内控审计报告范文

导语：如何才能写好一篇内控审计报告，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：小规模企业；内控制度；审计；影响

我国《独立审计具体准则第七号———审计报告》规定了四种审计意见类型。注册会计师出具审计报告必须实施必要的审计程序，在充分的审计证据支持下发表审计意见，审计意见的对象是被审计单位的会计报表。而根据《中华人民共和国会计法》的要求，企业提供的会计资料要做到真实、完整，所谓真实就是会计报表反映的真实，会计处理符合企业会计准则和相关的会计制度规定；完整就是企业所有的经济业务必须纳入会计报表体系，而完整的前提条件是企业必须有健全的内部控制制度并得到良好执行。由此可见，企业内控制度建立及执行情况对注册会计师正确发表审计意见具有举足轻重的作用。尤其在小规模企业普遍存在内控制度不健全，有的根本没有内控制度的情况下，更要重视内控制度对审计意见的影响，以规避审计风险。不少注册会计师在审计实务中采用回避方式，不对内控制度作深入地与评价，只是做一些形式上的工作底稿，以应付复核和检查，在对企业内控制度根本没有实质测试的前提下发表审计意见，意见类型主要是无保留意见及保留意见，很少有否定意见和无法表示意见。本文就此提出一些看法。

一、建立健全内控制度并得到良好执行是提供真实完整的会计报表的前提条件

一般认为构成财务报告公允、准确呈报的三道重要防线分别为：公司内部控制制度、公司治理结构和独立审计师的审计。其中内部控制是一组程序，受到公司董事会、管理层以及其他人员的影响，合理保证了经营活动的效率效果、财务报告的可靠性和合规性目标的实现。有效的内控制度能防止舞弊形为的发生，保证资产安全和完整。内控制度是企业董事会和经理阶层为确保企业财产安全和完整、提高会计信息质量、实现经营管理目标而建立和实施的一系列具有控制职能的措施和程序。内控制度是企业内部管理的事，因此，往往不作具体的规定，而只是原则性的规定企业必须建立健全内部控制制度，建立内部控制制度并保障其顺利运行是管理当局的责任，对于具体的控制方式和程序只制定相应的规范。内控制度的目标是实现企业的目标，根本作用在于衡量和纠正下属人员的活动，以保证事态的符合计划的要求，它要求按照目标和计划对工作人员的业绩进行评价，找出消极偏差，采取措施得以改进，提高企业的经济效益，防止资产的损失，保证企业预定目标的实现。

有效的内控制度可以规范会计行为，保证会计资料真实、完整，堵塞漏洞，防止并及时发现、纠正错误和舞弊行为，保护资产的安全、完整，确保国家有关法律、法规和单位内部规章制度的贯彻执行。

虽然《中华人民共和国会计法》有明确要求：各单位应建立内部会计监督制度。企业经营的目标为追求利益最大化，从这点上看，健全内控制度必然是企业的内在要求。但不同的企业的价值取向或实现方式存在较大差异，国有企业及其他大中型企业管理当局对企业价值实现方式的理解不局限于经济效益的增长，较多地考虑国家法律、法规及企业未来的发展，所以，对企业内控制度的建立健全相对重视。而小规模企业的管理当局对企业价值的实现方式的理解更多地局限于经济效益的增长，甚至个人财富的扩大，偏重于纳税影响，有的甚至认为会计报表的编制仅为纳税而异，从而对内控制度的建立缺少内在动力，有的甚至没有基本的内控制度，把一些经济业务不纳入会计报表体系。因此，在没有内控制度这个前提条件下提供的会计报表完整性是得不到保证的。

二、注册会计师在小规模企业审计中遇到的企业内控制度的主要问题

1.内部控制环境弱化，控制体系不完善，使注册会计师对被审计单位内控制度的信任度大打折扣

我国很大一部分小规模企业不重视内控制度的建立，习惯于行政指挥、家长制管理的现象还普遍存在。企业普遍存在没有成文的内控制度，即使有制度也是为了应付有关部门的检查，具体的内部控制更无从谈起。相关的内控关键点失控，不履行相应的书面手续，注册会计师收集内部控制的证据犹如大海捞针、费时费力，难以保证审计效率和执业质量基本目标的实现，还有很多小规模企业内控制度尚未建立，更谈不上内控制度的履行。具体表现形式如：一是货币资金收付没有履行相关手续，无专职出纳管理现金，以致出现账面现金结存不符实际，同时有的企业银行账和企业账长期不符；二是材料收发没有相关手续，带来成本核算不实；三是销售结算环节失控，形成账外收入等等。

2.会计系统设计未考虑内控制度，会计凭证依赖的原始凭证履行形式上的手续，使注册会计师难以把握内部控制的实质

近年来，财政部对会计要素的确认和计量，对财务会计报告的信息提供和披露都制定出具体的准则和制度，对内控制度的建立已出台相应的规范，但对不建立内控制度的企业缺少相应的制约措施和处罚力度。具体到每一单位的会计系统设计形成了五花八门的局面，使注册会计师对内控制度的评价难以形成一般性认识。

由于会计系统的设计承袭了计划经济的陋习，会计凭证依赖的原始凭证过于简化，因此注册会计师从会计资料中往往找不出内控制度运行的有效证据，在财务会计报表中，只重视会计报表的提供，忽视财务情况和会计报表附注编制，只研究如何满足有关行政管理部门的需要，少研究利用财务会计信息加强内部管理。

3.小规模普遍缺乏成文的内控制度，对同一被审计单位，不同注册师所作的评价有时大相径庭

不同的单位应具有不同的内部控制模式。大中型企业人员分工较为细致，内部控制程序也严密，而小规模企业为了有效利用人力资源，内控制度显得粗略一些。《独立审计准则第九号———内部控制和审计风险》要求注册会计师应当审查企业的内部控制情况，注册会计师对不同的经济单位，如果企业没有建成内控制度，就缺乏评价的具体标准和尺度，就不能进行量化处理，仅凭抽象的专业性判断难以使人信服，一旦判断失误，将导致审计报告失真。

三、相关、法规对企业内控制度的建立及审计的要求

首先，《会计法》第27条规定：“各单位应当建立、健全单位内部会计监督制度”，《会计基础工作规范》明确要求各单位应当建立内部牵制制度，这是对单位建立内控制度提出的原则性要求。财政部于2001年6月至今相继出台了内部会计控制基本规范和具体规范，这些规范的出台，为企业提出了内部会计控制的一般标准，使企业具备了建立适合本单位特点的内部会计控制制度的条件。

另外，《内部控制和审计风险准则》《审计重要性准则》《错误与舞弊准则》《管理建议书准则》《小规模企业审计特殊考虑实务公告》等都对内部控制的测试、评价和报告做出了规定。在财政部《内部会计控制规范》不久，注册会计师协会也了《内部控制审核指导意见》，对注册会计师签定内部控制审核业务约定书、制定审核计划、履行审核程序、出具审核报告等做出了详细规定，为注册会计师开展内部控制评审提供了依据和准则。

因此，企业内控制度特别是内部会计控制的建立，测试评价制度体系已基本形成，要得到良好的贯彻执行，并实现注册会计师审计的操作性，关键在于企业管理当局的自我意识以及相关行政部门的监管。同时，注册会计师在审计实务中要严格执行内控制度的审计程序，切忌走形式，只有对企业内控制度的建立、健全情况有正确的评价，才能为发表正确审计意见打下基础。

四、小规模企业内控制度评价结果对审计报告意见类型具有决定性

小规模企业固有风险和控制风险通常很高，因其业务比较简单，审计收费低，注册会计师实施审计的外勤时间往往较短，实施审计的程序可适当简化，对账面情况的审计难度不大。如果注册会计师没有把握对企业内控制度的正确评价，将导致审计意见错误，使审计报告失真，带来致命的审计风险。

《独立审计准则第七号—审计报告》规定了四种审计意见类型。注册会计师必须对被审计单位的内控制度进行测试和评价的基础上，确认企业的内控制度有效性后，才具备会计报表反映的经济达到完整性这一些要求。会计资料具备了完整性，所有经济业务内容都纳入了会计报表体系，注册会计师才能按照《独立审计准则》的要求，发表相应的审计意见。实务中，注册会计师对小规模企业内控制度的评价多流于形式，在没有作深入细致的测试的情况下，简单信赖，仅根据账面审计的情况发表无保留意见和保留意见，很少出具否定意见和无法表示意见的审计报告。

篇2

关键词：上市公司；财务报告；控制审计

中图分类号：F239.4 文献标识码：A 文章编号：1006-8937（2014）3-0117-02

1 我国上市公司财务报告内部控制审计的现状与问

题

1.1 我国上市公司财务报告内部控制审计的现状

1.1.1 财务报告内部控制审计环境困境

自发生全球性经济危机以来，我国仍然处在经济结构调整的阶段，近年来，A股上市公司整体表现不佳，利润减少，或大幅度下滑的企业不在少数。当然，原因是多方面的，不容回避的是上市公司在上市过程中操纵财务造假，粉墨登场，然后就是一系列的违规运作，无所顾及。尤其是在资产重组和控制权变更等重大资本运作中，操纵股东大会及董监事会，占用和挪用大量资金，并编造和篡改财务报表的内容，使财报内控审计工作难以有效地展开。

1.1.2 财务报告内部控制审计面临更多的挑战

一是上市公司业务发展迅速，跨行业经营渠道有增无减，业务多元化的发展造成财务处理的多样化和复杂化，内部审计水平要求升高。二是部分公司会计制度不完善、有缺陷，信息系统不规范、不严肃。三是公司内部的财务管理薄弱，基础较差，跟不上新金融工具的使用和推广。

1.2 财务报告内部控制审计中的问题剖析

1.2.1 监管机构没有形成统一的政策

这有历史的原因和现实的滞后，与美国相对成熟的内部控制审计制度相比有着不小的差距，主要是缺乏科学、统一的评价标准和规范的操作程序。具体表现是：实施范围有限，基本还是针对金融系统和发行新股的上市公司。政策性不强，审计师的执行方式、报告内容、文本格式也不一致，造成师出多门。基础性工作薄弱，审计主体职业性欠缺，惩戒力度不够。

1.2.2 上市公司对财报内控建设重视不够

企业未能随着形势的变化推进审计工作，有的仍然沿袭着旧有的运行模式。国外著名学者德勤对中国企业内部控制状况调查分析后得出结论，中国企业还没有充分认识到内部审核的重要意义，“内部控制审计存在一些误区”，执行的目的仅仅“为了满足监管要求”。

所以，导致一些企业建立内控建设的积极性不高，已建设的也是问题多多。其内控审计机构还是隶属于董事会或监事会，或者直接接受总经理领导，审计结果的可信度和独立性受到质疑。

1.2.3 社会审计机构存在一定的问题

一是社会审计机构的审计准则一般是原则性的，没有具体的实施细则，操作起来难度增加。二是负责审计工作的会计事务所对新准则的宣传、解读、培训缺乏新意，执行起来照猫画虎，不严谨、不到位。三是注册会计师在执行过程中缺乏独立性。企业一般依赖于管理层推荐的、熟悉的审计公司，轻易不肯变更，难以对审计水平和质量进行横向比较，选取更加优秀的审计单位。四是缺乏职业怀疑精神。这与客观的审计环境有关，也与审计师的职业精神有关。由于水平不高，经验不足看不到被审计单位存在的问题是一方面，因为外在压力和内部制约不敢彻查赢私舞弊的违法行为和相互矛盾的造假行为是另一方面。

1.3 社会公众对财务报告内控审计报告的有效需求不足

内控审计报告的需求主要来自管理部门，一般股市投资者兴趣有限，更不会就财务报告进行细致的解读，他们的信息来源主要依靠证券公司的专业机构和金融专家的研究报告来确定自己的投资方向。

实际情况是，财务报告内部控制审计本身具有相当的政策性和专业性，对审计单位和审计师都具有挑战意义，对中小投资者来说，更难掌握和解读，对于股市的交易操作参考价值不大，不受重视也就在所难免了。

1.4 财务报告内控审计本身存在诸多问题

1.4.1 财务报告内部控制审计的一般特点是时效性和针

对性

其一，如果不是身在其中，我们只能对企业内控机制的有效性做出判断，却不能监察到执行的全貌和最终结果。其二，在执行的过程中，内控活动随着生产的各个流程、阶段、时间进行，呈现出流动性、推进性、段落性，不可能付出巨大的成本来跟踪。

1.4.2 财务报告内部控制审计的效果有待提高

审计质量的优劣，决定了审计效率的高低。如果因为审计报告的缺陷导致IPO被拒，甚至遭到证监会的谴责和调查，只能说明内控审计的质量不高，急需进一步地提高。

1.4.3 增加了企业成本

上市公司通过种种努力，最终因审计问题上市失败，前期的审计努力和为此付出的成本都会付之东流。这就从某个角度体现了审计质量的重要性，质量就是效率，质量就是金钱在这里得到了验证。

财务报告内部控制审计一定会耗费大量的人力、物力和财力，还在某些方面影响到企业的正常经营。一方面财务报告内部控制审计制度加大了上市公司通过证券市场筹集资金的成本，无形中摊薄了利润水平；另一方面公司必须耗费时间和精力详细记录和测试内部控制程序，弥补控制缺陷，正常生产秩序势必受到影响，上市失败又无法补充和调整，无疑雪上加霜。

2 完善上市公司财务报告内部控制审计相关建议

2.1 政府监管部门要规范监管政策，转变方式

政府主管部门要肩负其政策责任，进一步强化实施内部审计管理，推动其顺利、规范、有效地实施和落实。

一要在证监会审核企业首次公开发行股票或有融资需求时，以及企业公开发行债券时，必须要求企业无条件地提供内部控制的报告和实施方案，并引入审计部门对财务内部控制情况进行审计。同时，政府相关部门也可创新性地对企业内部控制情况进行验收，并对该方面对企业信用的评级影响做出判断。

二要与政府相关的审计部门也要转变工作模式，从源头上寻找彻底避免出现问题的办法。学习、探讨、研究、借鉴国外先进的审计理念和最新的研究成果，以政策法令的形式强化企业实施的自觉性。

三要监管部门要在此项工作中处于主导和指导地位，进一步加强对会计师事务所审计过程地监管，组织和协调注册会计师在财务审核理念及审核标准等问题上的讨论论证，提高其执业能力和水平。要下沉工作落脚点，积极地与企业沟通交流，有针对性地对企业财务部门进行业务指导，了解和掌握第一手资料，监督和推进执行进展，考察执行效果。

2.2 上市公司需重视财务报告内部控制审计

《企业内部控制审计指引实施意见》施行以来，对企业内控制度建立的要求由主板公司逐渐向中小板、创业板全面过渡。企业高层管理人员要依法履行职务，尽职尽责，责无旁贷地健全财务报告内部控制体系，不打折扣地模范执行。

目前的上市公司多数是以企业集团的形式存在的，呈现出组织结构庞大而复杂，经营业务包罗万象的特点，建立健全有效的内部控制制度是一项具有挑战性的工程。然而，财务报告内部控制正是其向一个更高层次跃进的保证，可以有效地提高企业管理水平和提高抵御风险的能力，夯实在市场竞争中生存和发展的基础，对企业不断地发展壮大有着重大意义。

企业实行内部控制的目的在于降低运行成本，提高公司效益，追求效益的最大化。构建不能只是形式主义的虚构，要和企业的业务运转、机制运行、市场经营相结合，还要建立考查和评价的监督机构予以保证。同时，该系统还要接受相关部门对该系统进行监察，对是否运行有效进行评估，对运行状况提出意见，督促其不断地调整和改进。

社会审计机构的审计报告、监管机构的评估报告是上市公司公开的重要文件之一，也是上市公司展现自身管理水平的标的，重视与否，报告是否靓丽，直接关系到上市公司的形象，应该引起高管们足够的重视。

2.3 加强注册会计师队伍建设

首先，执业人员要自觉地参加培训，与时俱进，不断更新自己的知识结构，不断提高新形势下理论结合实际的能力，在实务操作中正确把握和运用文件精神，学以致用。

其次，组织有关部门，调动社会资源对执业人员进行业务指导和测试，完善财务报告内部控制审计的质量监控体系，尤其要对内部控制审计工作底稿的质量进行复核。

最后，会计师事务所在从事审计工作中要注意积累资料，有针对性地对典型案例进行搜集和研究。

2.4 改进财务报告内部控制审计

美国POAOB的AS5制定的相关审计准则还是具有相当指导性的，我们应该实行拿来主义，并根据国情和企业的实际状况予以参考，对我们现行的制度予以改进，和国际社会的审计标准接轨，探索出适应我国现实发展阶段的，带有自己特色的财务报告内部控制审计制度。

改进和提高主要还是要依靠注册会计师执业水平的提升，要求他们在开展财务报告内部控制审计工作中要站在相对的高度，具有大视野、全局观，在整个审计过程中尤其注重风险评估和风险控制。审计过程中和专业项目组要加强合作，经常沟通，信息共享，协同运作。对于关系到最终结论确定不一致的问题，要按照相应的审计程序，秉公办理，公平公正，使审计报告更具权威性和正确性，提高审计效率，降低审计成本。

3 总 结

财务报告内部控制审计是一项提高财务信息质量和审计理念创新的制度完善，具有明显的针对性和时效性，内控审计就是把监管的时间提前，防范于未然。这样，就可以披露企业财务报表背后的误区，曝光利用会计准则理解差异的违规操作，在国家和企业的利益遭到损害之前及时介入，将监管范围由事后提前到事前，可谓意义深远。

参考文献：

[1] 张海梅.我国上市公司财务报告内部控制审计的理论基础及对策[J].商业会计，2012，（02）.

[2] 朱荣恩.内部控制评价[M].北京：中国时代经济出版社，2002.

[3] 李军宇.上市公司财务报告内部控制审计研究[D].长沙：湖南农业大学，2012.

篇3

一、程序控制

控制内部审计报告编制程序，即控制内部审计报告编制的步骤、顺序和方式等。恰当的报告编制程序，是内部审计报告质量的制度保证。它主要包括：

（一）编前重视审计工作底稿的审阅，并评估审计发现的重要性。审计工作底稿是内部审计报告的基础。因此，编制内部审计报告前，项目主审应审阅审计工作底稿的充分性，重点复核其是否足以支持内部审计人员所发表的审计意见。在审计中，内部审计人员可能记录了很多审计发现，但其中可能有些与审计目标无关或关系不大，对审计意见和建设没有多大影响。这种信息出现在内部审计报告中会削弱内部审计报告的价值和作用。此时就应该评估审计发现的重要性，这也是由内部审计报告质量“重要性”的要求所决定的。

（二）编制修改时要重视加强沟通。加强沟通，重点是加强与被审计单位的沟通。编制初，应与被审单位就有关分歧进行必要沟通，这种分歧主要体现在报告编制与披露方面存在的不同意见。初稿形成时，为保证审计工作的客观性和公正性，还应征求被审计单位的意见，并要求其在一定期限内提出修改意见，以使审计报告更符合客观实际，能被其所接受。此外，还应就审计意见或建议整改落实的必要性，从被审单位考虑，与其相关人员，尤其是领导加强沟通，晓以厉害，以便其积极主动整改。此外，加强沟通，还包括审计组成员内部之间的沟通。这主要是指初稿或定稿形成前，审计组应以会议等形式在成员之间对其进行必要沟通以完善。

（三）定稿后坚持内部审计报告的三级复核制度。三级复核制度，一般是指审计组组长的复核、审计组所在部门的复核以及主管领导对内部审计报告并同审计工作底稿、被审单位和个人的明等材料进行逐级复核，最后再签发的内部审计报告制度。在实践中，由于审计业务本身的复杂性、审计过程中不可避免的审计风险以及审计人员自身能力的限制，对某一经济事项做出错误的判断在所难免，所以，为了确保审计质量，降低审计风险，明确相关审计人员的责任，建立三级复核制度是行之有效的方法。三级复核，重点要复核报告内容的真实合理性、措辞表达的恰当性、建议的实用性和可操作性等。

二、内容控制

控制内部审计报告的内容，即对内部审计报告所列事项、意见或建议的客观性、完整性和建设性等多方面要求所进行的控制。这是内部审计报告质量控制的中心环节。如果说程序控制强调的是过程控制，那么内容控制更强调的是结果控制。当然恰当编制程序对编制内容起着保障作用，因此二者具有内在的一致性。编制内容控制主要体现在内容选择控制及内容措辞控制两个方面：

（一）内容选择控制。内容选择控制首先要体现客观性和重要性原则，同时要兼顾被审单位实际情况。在实践中，内容选择要注意两个要点。第一，内容选择要包含被审单位取得的成绩或管理亮点，给予恰当的肯定。目前许多内部审计报告，一般都会列出审计发现的大量缺陷，以引起有关管理层的关注，并要求被审单位加以整改。但内部审计报告应该是客观的。对于被审计单位取得的成绩或管理中的亮点还应予以合理的表述。这种认可，实际上也表明内部审计人员不仅仅是来挑毛病的。第二，内容选择上要用好非正式报告。“每项审计活动都需要非正式的报告作为正式报告体系的补充”。对于发现的问题不便于上正式报告的，或存在更深或更广等客观影响因素，仅靠被审单位一己之力不能整改的，但又需要向更高公司层面管理当局报告的，此时即可采用非正式报告的形式。它的运用可以使公司更高层面的领导更能了解其本身的职责，从而有利于问题的解决。

（二）内容措辞控制。内容措辞控制是指报告用语措辞要合理陈述，以体现清晰简洁性原则。用词的选择，关键要站在报告阅读者的角度考虑。一方面，文字措辞要明确、简练，这主要是指写作技巧上。明确是指写出的报告要让大多数人能看懂，尽量不使用生僻的、专业性色彩太强的词语，或模糊性用语，以减少由此而给被审单位审计整改带来的困惑。此外，内部审计报告呈送的对象主要是公司领导，而其工作较繁忙，因此报告用词一定要简练。内部审计报告要主次分明，繁简得体，把主要方面讲清楚即可，切忌沉重冗长，或空话连篇。另一方面，要多用有说服力、较直观的表述。内部审计报告应明确地告诉对方他们错在哪里，这种错误的危害性有多大，应该怎样修改。此时引用恰当的法规或上级部门制定的相关文件制度作为依据，并列出具体条款内容，这就是对其错误最好的说服和说明。同时，对这种错误存在的风险及报告中建议的说明，能用数字表示的就不要用文字表示，并辅以一定的图表，这种形象又直观的表述自然更易引起报告阅读者的共鸣。

三、人员控制

鉴于审计报告及其编制的重要性，对其编制人员的综合素质控制，则显得尤为重要。在实践中，报告编制人一般都是项目主审。因此，编制人员控制，关键就是选择合适的项目主审。对其综合素质的控制内容，主要包括三个方面：

（一）职业道德方面。强化对项目主审的职业道德教育，就是加强对其进行《内部审计人员职业道德规范》教育，使其在履行职责时，能做到独立、客观、正直和勤勉，对审计涉及的所有事项都应持客观公正、实事求是的态度，一切从实际出发，不允许存在偏见、偏袒，并保持应有的职业谨慎，遵循保密性原则等事项。

（二）业务技能方面。《国际内部审计专业实务标准》要求：“审计人员要具有一定的经验和胜任能力”。项目主审人员不仅要精通审计业务，具备胜任的审计专业知识，而且要熟悉并熟练运用有关法规、准则和制度，有丰富的实践经验，同时对项目相关方面，了解项目业务活动、内部控制，并懂得管理。当然必要的时候，还要对其进行培训，以继续提高其业务技能。

（三）人格能力方面。项目主审人格上既要坚持原则性，同时又具备灵活性，在重大问题上有主见，不随便服从于他人。同时其还应匹配相应的能力，如组织能力、沟通能力、洞察能力、表达能力及文字处理能力。如洞察力，就可使其能从大量繁琐的数字中发现问题、总结问题，再通过其表达力及文字处理能力，形成简明扼要、通俗易懂的文字材料，使阅读者一目了然。

四、环境控制

开展高质量的审计工作，离不开高效有序的审计环境。内部审计报告质量控制同样也离不开高效有序的审计环境。对相关环境实施有效的控制，实际上是为包括内部审计报告编制在内的所有内部审计实施活动创造良好的氛围。对环境控制主要包括对下述环境进行的控制：

（一）运行环境。实施内部审计运行环境控制，其实质是通过在企业内部形成一种尊重、理解、支持内部审计的气氛，促进内部审计工作的正常开展。其中企业管理当局的支持至关重要。因此内部审计部门一方面要做出成绩，让领导感受到内部审计的重要性，另一方面要多向领导请示汇报，争取领导的重视和支持，从机构设置、人员、经费及业务等方面保证审计的独立性，为做好内部审计工作打好基础。此外，还要建立有效的内部运行机制，使内部审计机构可以充分综合考虑业务规模和范围、组织形式、成本与效益原则、人员素质及构成等影响控制政策和程序等因素。

（二）培训环境。培训环境控制，实际上就是提高内部审计人员的综合素质，以达到主动控制风险的目的。内部审计是一项专业性和技术性都很强的工作，并且是一项高层次、综合性的经济监督，要求审计人员必须具有过硬的思想素质和高度的责任心，必须具有扎实的会计、审计理论和审计技能，具有敏锐的分析能力和准确的判断能力，通晓财政经济法规，等等。这就需要内部审计部门制定必要的培训计划，加大培训力度，培养内部审计人员的职业道德素质，并使其不断更新知识，提高分析、判断和预测经济活动的能力，从而造就一大批素质高、能力强的审计工作队伍。

篇4

【关键词】 PCAOB AS5； PCAOB AS2； 内部控制； 内部控制审计

一、引言

最近，美国公众公司会计监督委员会（PCAOB）了新的内部控制审计标准：审计准则5号――《与财务报表审计相结合的财务报告内部控制审计》（Auditing Standard No.5 -An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，简称AS5）。PCAOB AS5取代了2004年的审计准则2号Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements，简称AS2），对内部控制审计和财务报表的审计方式产生了重要影响。AS5强化了PCAOB2005年5月的指南，该指南要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计，它被看成是一种内部控制审计实务最好的方法。尽管这种自上而下的风险基础审计方法是AS5关注的核心问题，但是审计准则的其他变化也是非常重要的，如AS5修改了“重要缺陷”和“重大缺陷”的定义、修改了“重大缺陷”显著征兆的构成、明确了审计中重要性的作用等。

二、财务报告内部控制审计准则PCAOB AS5的变化解析

（一）强调了风险和所需获取的证据之间的关系

AS5要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计，这种方法首先测试控制环境和了解财务报表，识别和评估重大错报风险。基于风险评估的结果，AS5要求外部审计人员识别需要测试的重要账户和流程。就这点而论，AS5强调风险评估及把风险评估与审计中所需获取的审计证据联系起来。

AS5允许减少业务流程层次的测试。尤其是在公司整体层面的控制较强，并且和业务流程层次的控制紧密相连时；或者公司整体层面的控制十分精确足以防止或发现相关认定的重大错报，外部审计人员通常就能够减少对业务流程层面的控制的测试。这两种情况都要求审计人员对业务流程层面的控制和他们与企业整体层面控制的交互作用有一个充分的了解。

大量的PCAOB检查报告表明外部审计人员并没有使用由上而下的方法。同样报告也表明宣称使用自上而下方法的外部审计人员并没有充分测试和记录企业整体层面的控制和业务流程层面的控制之间的直接联系或没有测试和记录企业整体层面的控制如何防止或发现相关认定的重大错报。PCAOB期望“外部审计人员对风险的评估能对内部控制的审计产生深远的影响”，对风险导向证据的依赖不断增加。

AS5将风险和证据相联系，这就需要摒弃固态的审计方法和以偏概全的思路。尤其是AS5要求外部审计人员应该不断调整他们的程序以反映审计人员所获得的信息，包括从内部控制和财务报表中获得的信息。AS5也指出审计测试的性质、时间和范围的不同组合能够提供与既定控制相关的风险水平相对应的充分的证据。为了成功地实施灵活而弹性的审计，风险评估有必要在自上而下审计方法的每个决策点都进行。

（二）修改了对重要缺陷和重大缺陷的定义

AS2和AS5在定义重要缺陷（significant deficiency）和重大缺陷（material weakness）时考虑了SFAS No.5的三大概率界限：极小可能（remote）、可能（reasonably possible）和很可能（probable）。如果把这三个界限看作是连续性的风险概率的话，还有一系列风险水平介于“极小可能”、“可能”和“很可能”之间。AS2使用“极小可能”来定义重要和重大缺陷，指出重要的缺陷是指一个控制缺陷或若干个控制缺陷的集合，对公司依一般公认会计原则可靠地确认、授权、记录、处理和报告外部财务数据的能力，造成不利影响，使其年度或中期财务报告中重要的错报无法被预防和侦查的可能性大于“极小可能”；重大的缺陷是指一个重要的控制缺陷或若干个重要的控制缺陷的集合，使年度或中期财务报告的重大错报无法被预防和侦查的可能性大于“极小可能”。

AS5用“可能”这个术语替代了原来的“极小可能”，以此来定义重要缺陷和重大缺陷。重大缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合，使公司的年度或中期财务报告的重大错报（material misstatement）可能无法被及时地预防和发现。这种可能性包括可能（reasonably possible）和很可能（probable）；重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合，比重大缺陷严重性轻一些，但仍很重要足以引起那些有责任监督公司财务报告系统的人的注意。用“可能”这个专业术语来定义重要缺陷，会将那些介于“极小可能”和“可能”之间的缺陷排除在重要缺陷之外。这样会减少审计师所识别的重大缺陷和重要缺陷的数量。公司的管理层和治理层应该明白这些，当外部审计人员识别出的重大缺陷下降时，不要错误地认为内部控制是安全的。

（三）修订了重大缺陷显著征兆（strong indicators）的构成

AS5取消了需要将已公布的财务情况重述和企业整体层面控制环境失效至少应该看作内部控制重要缺陷和重大缺陷显著征兆考虑的规定。因为这种变化，外部审计师需要使用自己的判断确定何时财务重述或公司整体层面控制失效不必被认为是内部控制的缺陷。

AS5同样也阐明了未修正的重要缺陷不必被认为是重大缺陷的显著征兆，但是公司整体层面上的控制缺陷除外。正因为如此，外部审计师（可能也包括内部审计师）必须要不断地评估公司整体层面的控制是否无效。当公司整体层面的控制环境确实是无效的时候，未修正的重要缺陷将成为重大缺陷的显著征兆。AS5中关于“财务重述和未能对外部审计师建议做出反应是否构成重大缺陷的显著征兆”的观点将很可能导致内部控制否定意见的减少。

（四）阐明了审计中重要性（materiality）的角色

AS2要求审计人员查找所有的内部控制的潜在缺陷，而不仅仅是与财务报表相关的内部控制。这一要求使得公司在总体上采用了COSO框架，包括遵守政府的规章制度、公司的运营、信息的有效性等方面的内部控制。AS5鼓励公司仅仅关注与导致财务报表错报相关的内部控制的缺陷。

更明确的是，AS5指出审计人员在计划和执行内部控制审计时采用的重要性衡量标准应该与计划和执行财务报表审计时所采用的重要性标准一致。这一要求使得外部审计人员审计工作的范围发生改变，可以不再检查内部控制所有的潜在缺陷，而是全力以赴地去寻找导致财务报表重大错报的内部控制的缺陷。

（五）取消了对管理层内部控制自我评估程序进行评价的要求

SEC规则曾要求报表者在每一会计年度终了时，使用合适的框架（一般采用COSO内部控制框架，虽然其它框架也能被接受）来评估其内部控制的有效性。为了在AS2的指导下完成审计工作，外部审计人员被要求评价管理层每年的内部控制自我评估程序。如果外部审计人员认为管理层的自我评估程序没有为其内部控制的自我评估结论提供充分的支持，那么就要求外部审计师拒绝对公司的内部控制发表意见。

在AS5和SEC的新的指南下，外部审计人员不再需要评价管理层每年的自我评估程序。然而，为了能够利用其它人员的工作，外部审计人员还需了解管理层的自我评估程序。因此，管理层、内部审计人员以及外部审计师就有必要来协调他们各自的工作。而审计委员会在这一协调过程中发挥着重要的作用。

（六）允许考虑先前审计所获得的信息

AS5允许外部审计人员基于以前年度的审计工作而在某些领域减少测试。这就取消了AS2要求审计师每年必须依靠当年自己的审计工作的规定。AS5要求外部审计人员在执行内部控制测试前，考虑以前年度审计（包括财务报表和内部控制审计）所执行的程序的性质、时间、范围和测试的结果以及自上一次审计以来内部控制或者相关程序的任何变化。在全面的风险评估基础上，外部审计人员应该根据与特定控制相联系的风险决定所需要获得的证据。例如，AS5中，当控制呈现低风险时（如固有风险较低，复杂程度较低，自以前年度审计后没有出现控制或程序的改变，以前年度的测试没有发现缺陷等）可以单独使用穿行测试来评价控制运行的有效性。而在有较高风险的控制中，仅仅采用穿行测试是不够的。但是当年进行的穿行测试以及其它测试的结果可以影响以后年度测试的性质、时间和范围。

AS5不允许减少那些对财务报告相关的内部控制整体有效性起核心作用的控制的测试。所减少的当年的内部控制测试工作（包括性质，时间，范围）必须是该控制对与财务报表相关的内部控制的整体有效性不起核心作用。例如，决算程序的控制对财务报表相关的内部控制整体有效性是起核心作用的，当测试这些控制的时候，以前年度的结果就不再值得依赖。

（七）重新调整多区域测试要求

在AS2的规定下，审计师必须评估他们对公司进行的多区域（multi-locations ）或多业务单元（multi-business units）的内部控制测试是否引起对公司的大部分范围都进行了测试。这种要求导致许多审计人员对某一公司进行大范围的了解，测试的覆盖面广，而不考虑和这些区域、业务单元相联系的财务报表中重大错报风险大小。由于AS2关注的是测试的覆盖面而不是错报风险大小，许多公司觉得他们被迫接受了对内部控制的过度审计。AS5的出台取消了“要对公司的大部分区域和业务单元进行控制测试”的要求，取而代之的是要求审计人员采用风险基础的方法来决定测试的恰当的区域范围和业务单元。

外部审计师在决策需要对一个公司的哪些区域或业务单元进行控制测试时，需要将对该区域或业务单元的评估的风险程度及投入该区域或业务单元的审计关注相联系。当某一区域或业务单元单独或和其他区域或业务单元合并一起没有可能引起公司合并会计报表存在重大错报时，外部审计师可以减少对这些区域或单元的进一步关注。在一个低风险的区域或业务单元，外部审计师可以首先评价公司整体层次控制的测试和那些合理保证恰当的控制贯穿于整个组织的控制是否能为它们提供充分的审计证据，而不是直接对这些低风险的区域或业务单元进行控制测试；在决策对哪些区域或业务单元进行控制测试时，外部审计师可以考虑其他人员的工作。例如，如果公司的内部审计人员在计划的工作中包括了对某些区域或业务单元的审计，外部审计师就可以整合内部审计师的工作，降低对业务区域或单元测试的数目。

（八）消除了使用其他人员工作的障碍

AS2要求外部审计师获取重要的证据以支持对内部控制发表的意见。而AS5要求外部审计人员仍然对他们出具的财务报表和内部控制的审计报告负责。但是AS5放宽了外部审计人员可利用的其它人员工作的情况，如利用内部审计人员的工作。

AS2中规定：“在内部控制审计过程中，外部审计人员对控制进行测试时，可以利用内部审计人员，公司的其他人员以及处于管理层指导下的第三方的工作”。然而“在财务报表审计中进行的控制测试中只能利用内部审计人员的工作”。

AS5为何时可以利用其他人员的工作建立了一个统一框架，这个统一框架的基础标准是：被测项目的性质（强调风险和相关的活动），执行测试人员的胜任能力及客观性。而不管这项工作是和公司的内部控制测试有关（只要执行这项工作的人员的胜任能力和客观性足够“高”）还是和财务报表审计有关。外部审计师需要研究如何运用这一框架判断在审计中公司员工的工作可以在何种程度上被利用，以及哪些人的工作可以被利用，哪些人的工作不能被利用。

（九）重新调整了穿行测试的要求

在AS2下，外部审计人员必须对所有主要的交易层次执行穿行测试（walk through），而且穿行测试不能由其他人执行。AS5则鼓励但不强制要求在每个重要的流程中进行穿行测试。同时，在流程层面支持采用穿行测试并不排除使用除穿行测试以外的其他审计技术来获取对重要流程中控制的了解。

AS5也允许外部审计人员利用其他人提供的直接帮助进行穿行测试。然而外部审计人员仍然必须主要和亲自参与到穿行测试中。在寻求其他人员对穿行测试进行帮助前，外部审计人员需要明确哪些穿行测试是重要的，必须亲自执行，这一点非常重要。

（十）为较小的公司量身定制审计

AS5允许外部审计师根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。

AS5代表了管制者对那些不得不遵循SOX404条款的公司提出问题的合理回应。外部审计人员应该意识到这些变化，并要有意识地探讨如何从资源、应用于财务报表和内部控制审计的方法方面来应对这些变化。

【主要参考文献】

[1] 阚京华.美国强制性双重内部控制评价制度的解析与启示.经济管理，2007，（22）：p13-18.

[2] PCAOB.2004.Audit Standard AS2：An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements.

[3] PCAOB.2007.Audit Standard AS5：An Audit of Internal Control over Financial Statement That Is Integrated with An Audit of Financial Statement.

篇5

【关键词】AS5；内控审计指引；区别

一、两者的出台背景

（一）PCAOB审计准则第五号的出台背景

受2001年安然、世通等事件的影响，美国国会于2002年7月25日通过了SOX法案。为了保证其有效实施，SEC于2003年11月了《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》。为了贯彻SOX法案和SEC的要求，PCAOB（美国公众公司会计监督委员会）于2004年了《第2号审计准则――与财务报表审计相协同进行的财务报告内部控制审计》（以下简称AS2），用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。自AS2实施以来，PCAOB的监督结果显示，AS2的部分条款不清晰或者与SEC的要求有差别，也有部分条款规定过细，不利于注册会计师的职业判断，或不适合小企业审计的要求。因此，2007年PCAOB又了《第5号审计准则――与财务报表审计相结合的财务报告内部控制审计》（以下简称AS5），以取代2004年的AS2。

（二）我国2010年审计指引出台背景

美国SOX法案出台以前，中国注册会计师协会从行业自律视角于2002年2月15日单独了《内部控制审核指导意见》。2008年6月，为了配合《基本规范》的施行，中注协又了《企业内部控制鉴证指引》（征求意见稿），旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制，虽未能正式出台，但对内部控制审计制度建设所起的推动作用毋庸置疑。2010年4月《企业内部控制配套指引》（以下简称《配套指引》）的出台，我国已基本建立起内部控制规范体系。其中《企业内部控制审计指引》（以下简称《审计指引》）第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

二、AS5与我国2010年的内控审计指引的区别

（一）关于审计范围

基于注册会计师风险规避和成本效益原则，美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协，出于规范审计工作、规避审计风险的考虑，将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时，内部控制审计范围被扩展至广义的管理视角下的内部控制。《审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致，《审计指引》规定注册会计师审计的范围不限于财务报告内部控制，而是覆盖整个企业的内部控制体系。但是，考虑到注册会计师在内部控制审计过程中的风险责任承担能力，该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，则要求其增加描述段予以披露。

（二）关于审计流程

内控指引认为审计流程包括：计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作。而AS5则认为审计流程是计划审计工作、使用从上至下的方法、测试控制、评估识别的缺陷、总结、内控报告、通过对比，我们可以看出，我国内控指引将使用从上至下的方法和控制测试放在实施审计工作中，而AS5单独列出，并详细地将使用从上至下的方法分为：确定公司层面的控制、确定重大项目、确定相关论断、确定主要交易类型和重大流程、选择控制进行测试。将控制测试分为：测试设计有效性、测试执行有效性、确定风险和证据的关系、未来年份审计的特殊考虑。此外，内控指引所说的完成审计工作其实也就包括了AS5在总结中规定：获取书面申明、形成审计意见、通报某些事项。

（三）关于审计方法

1.AS5认为整合审计是一项强制性要求，AS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。准则明确规定：财务报告内部控制审计应与财务报表审计整合。两个审计的目标虽然不同，但审计师必须计划并执行审计工作，以实现两个审计的目标。而我国《审计指引》第五条规定，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。当然，此处所指的“整合”，不包括注册会计师对同一家企业既做咨询又做审计的情形。《内控指引》第十条明确规定，为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

2.AS5要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域。由于从上至下方法对审计的有效性具有积极的影响，第5号审计准则要求审计师在审计中，包括对重要的公司层面控制进行测试时使用该方法。并要求审计师在每一决策点的风险评估中采用从上至下的方法。对重要账目和相关论断的确定要求审计师应清楚存在的相关风险，以及风险如何影响其决策。指引要求注册会计师按照自上而下的方法实施审计工作，并将方法作为识别风险、选择拟测试控制的基本思路。同时，该指引强调，在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

（四）关于审计报告出具

1.标题。指引规定出具审计报告需要有标题、但是AS5强制规定必须包含“独立”一词的标题。

2.公司财务报表和财务报告内控报告是否合并。如何出具内部控制审计报告，是大多数注册会计师所关心的问题。与审计范围相对应，指引要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面。AS5审计师可以选择关于公司财务报表和财务报告内控的合并报告或单独报告。

3.报告类型。指引提供了四种内部控制审计报告参考格式，分别是：标准内部控制审计报告、带强调意见段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见审计报告。而AS5因为公司财务报表和财务报告内控报告是否合并而不同。

三、总结

本文通过比较了AS5和内控审计指引的区别，发现我国内控审计逐渐国际化，虽然有一些方面还不是完全与国际接轨，但是相比之前的规定，对进一步提升对我国上市公司的治理水平，同时也更好地保护投资者的利益，提高我国资本市场的国际竞争力具有进步意义。

参考文献

[1]邓美洁,吴国萍，美国内部控制审计制度及其对我国的启示[J].税务与经济,2011(4):69-72.

[2]刘玉廷.全面提升企业持续经营管理水平的重要举措――企业内部控制配套指引解读[J].会计研究,2010(5):5-18.

[3]《企业内部控制应用指引》.财政部,证监会,审计署,银监会,保监会联合,2010-4-15.

篇6

要管理好一个公司必须依靠其内控；财务报表真实且公允地反映某个公司的财务状况和经营成果也必须靠其内控。每次年报审计，审计人员在某个公司现场审计很短的时间（是年度时长的十二分之二，或十二分之一，或更短），且现场审计主要靠抽查等审计程序，很难完全发现被审计单位所有的重大财务事项（问题），因此，必须靠内控来管控实际与报表列示数（包括未审数和审计调整后数）之间可能存在的（较大）偏差，将其控制在公司管理层和治理层可接受的水平。

另一方面，因出具的是内部控制审计报告，不同于以往的内部控制鉴证报告，两者的保证程度和法律效力不同。同时，内部控制审计报告所形成的底稿应符合相关要求，并能接受外部监管机构的检查等。

一、审计计划阶段

除通常财务报表审计的审计计划阶段需注意的事项外，在制定内部控制审计的总体审计策略时需主要注意以下几点：

1 时间安排

与正常的财务报表审计相比，内部控制审计的时间安排有其特殊性。

按照《企业内部控制审计指引》的要求，注册会计师在确定测试的时间安排时，应当尽量在接近企业内部控制自我评价基准日实施测试，实施的测试需要涵盖足够长的时间。

首次进行内部控制审计时，企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作，从而保证整改后的控制运行有足够长的时间。在接受或开展内部控制审计业务时，项目经理应当尽早与企业沟通内部控制审计计划，并合理安排内部控制测试的时间。

在连续进行内部控制审计的过程中，项目经理应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内部控制审计工作方案和时间安排。

虽然内部控制审计报告仅是对截止某年末的时点发表的审计意见，但实际上内控测试样本涵盖了当年的1月至12月。与会计报表认定相关的内部控制审计，大致可分为两个阶段：第一阶段，即每年的10月至11月（主要考虑给被审计单位留一至二个月的整改时间），主要是对当年1-9月（或1-10月）的内部控制进行审计；第二阶段，即次年的1月至3月，主要是对所审计年度（即上年）10～12月（或11-12月）的内部控制实施相应的“前推程序”等，同时，测试上次期中审计已发现的内部控制缺陷的整改情况。

2 总体上采用自上而下的方法

自上而下的方法是识别风险、选择拟测试控制的基本思路，其主要程序：（1）从财务报表层次初步了解内部控制整体风险，（2）识别企业层面控制；（3）识别重要账户、列报及其相关认定；（4）了解错报的可能来源；（5）选择拟测试的控制。

3 与被审计单位需作两次以上的沟通

一次是对当年1～9月（或1-10月）的内部控制审计后的沟通；另一次是上述第二阶段现场审计结束前的沟通。

4 内部控制审计的具体审计计划

应编制单独的内部控制审计的具体审计计划，主要包括内部控制审计的具体要求、审计思路（策略），人员的分工，各个分子公司的具体审计日程安排等事项。

5 重要性（水平）

在整合审计中，内部控制审计与财务报表审计确定的重要性（水平）相同。

二、审计现场实施阶段

内部控制审计的现场实施阶段主要分为以下两大部分：

（一）企业层面的内控了解、测试与评价

此项内容在日常财务报表审计的风险导向审计底稿中已涉及，此处不再赘述。

（二）各业务循环的内控了解、测试与评价

各业务循环的测试，主要包括以下步骤（程序）：

1 获取管理层内部控制自我评价报告及公司内部审计部门的相关底稿

外部审计人员进点时，应向被审计单位列出需提供资料的清单，其中应包括管理层有关公司内部控制自我评价报告和公司内部审计部门的有关内控自查（自测）和评价的所有电子底稿等。

收集了相关资料后，外部审计人员认为公司内部审计人员所编制的调查问卷和测试底稿等资料可利用的，应充分利用，减少不必要的重复工作，以提高现场审计工作效率。

2 初步了解沟通（调查问卷等）

通过调查问卷，可了解各个业务循环的主要概况，调查问卷可采用由审计人员当面与被调查者沟通询问的方法。这样，可观察被调查者的反映，看其是完全了解被问事项的相关情况，还是“不知调查者所云”，这样，调查者对询问事项就有一个大致的判断。

3 各业务循环流程层面内控了解和评价

各业务循环分为三大类：

（1）内部环境类：公司组织架构、发展战略、人力资源、社会责任、企业文化。此类与上述“企业层面的内控了解、测试与评价”内容有交叉。

（2）控制活动类：资金活动（包括筹资与投资、资金营运等活动），采购业务，资产管理（包括生产与仓储、固定资产等），销售业务，研究与开发，工程项目（土建），担保业务，业务外包，财务报告。

（3）控制手段类：全面预算，合同管理，内部信息传递，信息系统。

以上三大类基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

需说明的是：每一次内控审计时，并不需要编制所有业务循环的底稿，而是按照“自上而下方法”的审计策略，测试与财务报表认定相关的“关键控制（点）”的业务循环。

各业务循环流程层面内控了解和评价主要运用以下表式（见表1）。

4 子流程

每个业务循环有很多子流程。如：销售与收款循环的主要子流程有销售计划管理、客户开发与信用管理、销售定价、订立销售合同（订单）、发货、开票、收款、客户服务、调整和账目维护和会计系统控制等。

内控审计人员需依据实际情况逐一判断哪些是关键子流程。

5 相应子流程中与财务报表认定相关的“关键控制（点）”

这一环节是整个内控审计的关键，需所有审计人员判断哪些是“关键控制点”。

所谓“关键控制（点）”是指能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力的证据且测试最有效率的控制。

判断“关键控制（点）”的理由如下：

（1）哪些控制是必不可少的；

（2）哪些控制直接针对相关认定；

（3）哪些控制可以应对重大错报风险；

（4）控制的运行是否足够精确。

“关键控制点”与“非关键控制点”需审计人员进行具体分析和判断。若被审计单位均（或90%以上）为现款销售，对客户的信用评价则为非关键控制点，反之，则为“关键控制点”。由此可见，“关键控制点”与“非关键控制点”依各企业的实际情况而不同。

另一方面，从企业自身考虑，针对“关键控制点”还需遵循“成本效益原则”，若某个企业对“关键控制点”实施控制花费的成本大于其带来的直接和间接收益等，必须作深入分析，在所得与所费间进行权衡，以决定对“关键控制点”的控制程度或投入的控制总成本。

同时，需注意的是内控审计人员无须测试那些即使有缺陷但合理预期不会导致财务报表重大错报的缺陷。

6 与财务报表认定相关的“关键控制（点）”测试

针对“关键控制”点，测试人工控制的最小样本量区间如表2。

对上表，需说明以下三点：

第一、假设：测试每日执行数次的控制，样本量为25个。若期中测试为1月至9月。

方法一：期中测试20个样本，期末对剩余期间测试5个样本。

方法二：期中测试25个样本，期末实施前推程序。

以上两种方法各有优缺点：

方法一：

优点：部分样本接近基准日，无需实施前推程序。

缺点：期中测试样本不足以支持控制有效的结论，且有相当的工作需在期末实施，工作压力较大；如果期末测试发现重大缺陷，将没有整改时间。

方法二：

优点：若发现有内控缺陷，可以有时间整改，并缓解期末测试的压力。

缺点：执行的程序更多，需实施“前推程序”。

第二、上表为预期偏差率为零时的样本量，如果预期偏差不为零，侧需扩大样本规模（若该偏差不是系统性偏差，所增加的样本规模至少为15个）。

第三、若确认为电脑“自动控制”，需注明，则需抽1个样本进行测试。因为电脑程序自动生成（此程序需由相关审计人员另行对“信息系统”进行控制测试，以验证其运行的有效性），无需用抽更多样本的方法而浪费现场审计时间。

在内控审计期间，在各个业务循环，内控审计人员若发现缺陷应及时与对口的业务部门进行沟通，对方有可能补充提供相关资料，以防止审计人员由于尚未收集到相关资料等原因，出现判断上的偏差。

由以上几个环节，可以整理出内控审计第一阶段现场审计的总体思路如下：

初步了解沟通对各循环流程内控了解和初步评价子流程相应子流程的“关键控制点”对“关键控制点”测试且作出相应评价。

7 汇总整理《内部控制缺陷汇总表》及其整改建议

各审计小组项目负责人，将组内所有人员发现的被审计单位的内部控制缺陷进行分类整理，形成《内部控制缺陷汇总表》，并提出相应的整改建议。

8 审计现场一次交换审计意见

进行疏理和汇总后，各审计（分）小组负责人应将《内部控制缺陷汇总表》和已关注到的非财务报告类内控缺陷（如：工程项目未按规定程序进行招投标等）与被审计单位（主要指其分子公司或股份公司总部）交换意见。

在上述基础上，将所有分子公司的《内部控制缺陷汇总表》和已关注到的非财务报告类内控缺陷进行整理汇总，项目总负责人向股份公司的内部审计部门等沟通汇报，由其统一下发“内部控制缺陷限期整改通知”。

9 实施相关的前推程序等

若期中控制测试结论为有效，且与控制相关的风险低，前推程序一般采用询问和观察即可。

如控制风险较高或期中测试后主要控制点的控制发生重大变化，需要实施包括检查和重新执行在内的测试程序。

10 整改后控制运行的跟踪测试

内控审计人员应跟踪上次期中测试发现的相关缺陷是否已得到整改。

依据相关规定，整改后控制运行的最短期间（或最少运行次数）和最少测试数量具体如表3。

11 审计现场二次交换审计意见

实施相应的前推程序后，对仍未整改（视情况，可另附期中内控审计时发现的且至年末已整改的重大缺陷汇总表等）的内部控制重大缺陷和重要缺陷形成《内部控制缺陷汇总表》和已关注到的非财务报告类内部控制的重大缺陷，分别不同情况，与股份公司的董事会、经理层或审计委员会进行沟通。

这里，需特别注意的是集团审计中判断内部控制是否存在重大缺陷，不应对各组成部分的项目组进行单独判断，应将各组成部分发现的所有内控缺陷全部汇总到集团层面分析后，再综合评价其是否存在重大缺陷。

三、出具审计报告阶段

内部控制审计报告分为以下两大类：

（1）标准的内部控制审计报告

（2）非标准的内部控制审计报告

①带强调事项段的非标准的内部控制审计报告。

②否定意见的内部控制审计报告。

③无法表示意见的内部控制审计报告。

④期后事项与非标准的内部控制审计报告。

当知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，需对财务报告内部控制发表否定意见；当不能确定期后事项对内部控制有效性的影响程度的，需要出具无法表示意见的内部控制审计报告。

另外，需特别注意的是若发现“非财务报告内部控制的重大缺陷”，在内部控制审计报告中应作专段描述。

对于审计过程中注意到的非财务报告内部控制缺陷，如发现某项或某些控制对企业发展战略、法规遵循、经营的效率和效果等控制目标的实现有重大不利影响，确定该项非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与公司董事会和经理层沟通，提醒公司加以改进-同时，在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露。

每年的1-4月，对上一会计年度的内控审计报告，应与财务报表审计报告同时对外披露，且两者的出具日（落款）应为同一天。四，审计底稿整理归档阶段

出具内控审计报告为单独的文号，因此，其底稿应整理后单独归档（若有共用底稿，可与财务报表审计底稿交叉索引），归档目录列表和索引号应注意以下相关事项：

BB——表示风险评价的相关底稿。

L——最后一位字母L表示对内控的了解和（初步）评价。

XSL——表示对销售与收款内控了解和（初步）评价的底稿

BC——表示控制测试的相关底稿。

C——最后一位字母C表示（控制）测试和（最终）评价。

XSC——表示对销售与收款内控测试和（最终）评价的底稿

另外，调查问卷及相关测试时若引用被审计单位的相关内部制度，可注明系该制度的第几条和第几款，不需打印附在相应的底稿后（可另存电子档，备查），否则，会有较多的底稿。

经过整理后，底稿归档应做到分门别类、层次清楚、索引齐全、（所附）附件恰当、归档及时。

五、亟待解决的事项

随着企业利用信息系统对生产经营实施管理的普及，生产经营的所有（或主要）数据通过网络传递，或通过电脑控制的程序自动生成，无纸化管理日益成为相关公司的普遍处理方式，信息系统控制成为公司内部控制的重要组成部分之一。

对信息系统的内部控制审计，目的之一即为验证其主要数据生成的结果与预期结果是否一致，以证实其电脑相关控制的有效性。

而事实上，至目前，国内的具有证券期货审计资格的会计师事务所精明的人员较少，甚至空缺这类人员。因此，相关会计师事务所，急需引入IT审计人员（信息系统审计师），对信息系统进行相关的审计。如：在对通信公司进行内控审计时，可组织精明的人员，对通信公司的计费系统进行相关计费测试和审计等。

另一方面，其自身对电脑软件等信息系统特别感兴趣且有“天份”的特殊好苗子，可到外资所等作特定培训半年左右，之后，直接作为信息系统审计人员。

六、相关思考

（1）从提高公司内控制度执行的效益与效率出发，对公司现有内控制度进行全面完善，使其更符合各自公司的现实状况。

在内控审计之前，相关公司已聘请国（内）外专业咨询公司设计了较系统的内控制度，但部分（或个别）环节与公司的现实经营情况不相称、不匹配，执行有难度。

究其原因主要是随着公司的经营规模扩大，或管理细化，原有的内控制度设计时并未能完全考虑该等因素（或细节），使原来的内控制度部分条款显得不适用；也有部分系当初设计制度时，过于理论化等方面的原因。凡此种种，均致使相关内控制度条款的设计需再次（不断）完善。

另一方面，需化繁就简，从制度设计的高效精干的角度出发，使其最终达到提高公司内控制度执行的效益与效率的目标。

（2）内控制度执行是一个系统工程，需公司内各部门协同配合，才能达到相关目标。

内控制度执行不仅仅是财务部门（或会计人员）的事，需要公司内人人执行内控，事事受内控的控制，公司的相关部门需上下统一协调，且从企业整体层面权衡，遵循“成本效益原则”，紧抓关键内控环节，才能取得实质性的效果。

篇7

关键词:商业银行；内部控制；信息披露

商业银行内部控制制度逐步完善、内部控制信息披露机制逐步形成。第一、财政部会计司2012年8月“关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知”，要求上市公司在披露年度报告时，需同时披露董事会对公司内控的自我评价报告及由注册会计师出具的财务报告内部控制审计报告。第二、中国证监会2014年1月起施行“证券公司年度报告内容与格式准则”要求应披露董事会关于内部控制责任的声明，与此同时需披露建立财务报告内部控制的依据和内部控制制度建设情况。第三、中国证监会2014年1月“公开发行证券的公司信息披露编报规则第21号文”，明确如实披露内部控制评价报告是公司董事会的责任。统一上市公司的财务报告内部控制缺陷认定标准、年度内部控制评价报告披露参考格式、非财务报告内部控制缺陷认定标准和内部控制缺陷认定及整改情况。第四、中国银监会2014年9月修正了“商业银行内部控制指引”，要求董事会审议商业银行年度内部控制评价报告后报送银监会或属地银行业监督管理机构，必须指定专门部门作为内控管理的职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。商业银行内控应当遵循全覆盖原则，制衡性原则，审慎性原则，相匹配原则的四个原则。第五、证监会2014年10月“公开发行证券的公司信息披露内容与格式准则第2号文”要求披露董事会审议通过“内部控制自我评价报告”，必须披露报告期内发现的内部控制重大缺陷的具体情况。还需披露聘请会计师事务所对出的内部控制审计报告，如果出现会计师事务所出具非标准意见的内部控制审计报告或者内部控制审计报告与董事会的自我评价报告意见不一致的情况，上市公司应当解释原因。以上5个法规体现了监管机构对我国上市银行内部控制信息披露的要求。

1中信银行内部控制信息披露现状分析

1.1样本选取

中信银行（股票代码601998），成立于1987年的股份制商业银行。2007年4月，中信银行在上海、香港同步上市，是第二家A+H同步同价上市的国内银行。2013年2月，中信银行主要股东中信集团将持有的中信银行股份全部转让至中信股份，中信银行控股股东变更为中信股份，中信集团仍为中信银行实际控制人。2012年、2014年中国银监会对中信银行作出了行政处罚。说明内部控制出现了漏洞，这也是本文选取中信银行作为研究对象的重要原因。

1.2中信银行内部控制信息披露情况

依据迪博的企业内部控制评价指标体系计算出的中信银行内部控制信息披露指数显示2011年为38.00，2012年为11.00，2015年为29.91，中信银行的得分处于银行业偏低水平。栾甫贵、田丽媛（2015）在杨有红（2008）按各个企业的内控信息披露的详细程序不同分三档次进行量化分类的基础上，对上市银行内控信息披露的详细程度细分为4个层次，分别用数字0-4来表示。0-没有对内控信息做任何披露，1-仅用一句话对内控信息进行披露进行概括性，2-对内控信息做出了一些简单的说明，3-对内控工作计划、机构设置与安排、实际运行情况等至少一条进行了较为具体的说明，4-对公司的内部控制的设置和实施情况做出了全面详尽的解释和说明。本文延用此方法，根据新法规的要求对中信银行2011-2015年内部控制信息披露情况进行评级，2011-2015年“公司治理报告”为2，“内部控制报告”2011年为0，2012-2015年为4，“审计报告及财务报告”2011-2012年为0，2013-2015年为1。中信银行上市以来对内控信息披露由2011年仅在“公司治理报告”中体现，到2012-2015年在“公司治理报告”、“内部控制”、“审计报告及财务报告”提及。但内控披露在制度建设情况披露较多，而风险评估与披露不足。2012、2014年新颁布的内控法规后，中信银行的披露只体现在增加了年报中“内部控制”，而“董事会报告”、“监事会报告”、“报表附注”、“内控自评报告”、“内控审核报告”均未提及。银监会在2012年检查中发现中信银行“违反审慎经营规则，改变理财资金投向，操纵理财产品收益。”同年，对中信银行实施了行政处罚罚款50万元。2014年银监会检查发现中信银行“转贴现业务风险管控不足，银行承兑汇票易背景真实性审查不到位。”对其罚款40万元。而2011-2015年中信银行聘请的毕马威华振会计师事务所在审计报告中并未披露出有违法违规事件，审计报告有所隐瞒。

2结论与建议

2.1加强对商业银行内部控制基本规范和配套指引学习

在商业银行内部控制制度、财务报告内部控制、内部控制的自我评价、审计报告方面应遵循的原则和标准等要提高重视、达成共识，从而增强信息披露的格式化、标准化和可比性。

2.2改进对内部控制的理解和应用

内部控制披露已由原来的自愿披露向强制披露转变，上市商业银行应明确自我评价报告的主体为董事会；评价的内容应为整个内部控制而不仅局限于财务报告内控。

3结语

篇8

一、内部审计报告的经济权威性

判断单位内部审计报告的经济信息权威，关键在于内部审计的经济权威。在市场经济体制逐步建立的情况下，高校经济活动由单一性向多样性方面发展，经济实力有了较快增长。但是经济发展需不需要内部审计，答案是肯定的。现代经济管理告诉我们，内部审计是单位内控制度建设的重要组成部分，是为了内控制度需要而设置的，也是规避经济活动风险的重要监督环节。因此，如果按照上述认识建立起来的内部审计机构，其在单位内部的经济权威是毫无疑问的。从另一个角度讲，内审人员看重的正是内部审计的权威性，而被审对象惧怕的也是审计的权威性。所以，如果要让内部审计报告的经济信息具有价值，首先要规范我们的审计机构，提高审计权威。否则人微言轻，审计报告中的经济信息价值就难以得到体现。

二、内部审计报告的信息质量

内部审计报告和单位财务报告一样都存在一个信息质量问题。我们知道一个单位的财务报告的信息真实与否直接影响到单位的重大经济决策问题，如果是对外的财务报告信息有误还会导致投资者的损失。与其一样，审计报告中所提供的经济信息真实与否，不仅仅是针对被审计对象的，也不仅仅是是否影响审计权威的问题，关键是这个审计报告所提供的经济信息具有多大的价值，信息质量如何。我们可以想象，如果审计报告所提供的经济信息真实可靠，含金量较高，那么对经济管理的推动作用是毋庸置疑的，不仅领导会认可采纳，也使审计报告具有严肃性和威慑力。

当然，审计报告的信息质量高低，除了关系到审计人员的业务能力外，信息质量的评判标准也相当重要。在现实工作中，同一份审计报告，被审对象和委托者对于报告中的经济信息可能会有不同的理解，这是因为他们所处的地位不同决定的。但是，对于任何一方来讲，审计报告所反映的经济业务信息应该是清晰、简明、易懂，应该客观、公正、真实，这是最基本的判断标准，也容易被大家认可和接受。

对于审计报告中的经济信息评判，审计报告的编制质量显得尤为重要。在日常审计业务中，象财务收支审计、任期经济责任审计、重大项目专项审计和经济效益审计等审计报告中都包含了众多的有用的经济信息。在审计实务操作过程中，被审对象所提供的财务会计资料，审计人员是难以认定其真伪的，这就象上市公司中的造假行为一样，一时是难以发现的。所以，我们希望审计报告内容真实，首要前提是假设被审对象所提供的会计资料和其他被审资料真实，否则审计披露的经济信息就没有价值。因此，审计人员应该以自己的专业判断能力，认真加以识别被审对象所提供的财务会计资料的真实性，这是写好审计报告的前提。

另外，当收集了大量的财务数据后，还有一个确认和分析过程，审计人员出于职业习惯，总希望把所审计内容，以文字加以说明，或以经济数据加以清晰列示，但是这些文字说明和分析确认的数据，一定是要体现《企业会计准则》、《企业财务通则》或《事业单位财务规则》《事业单位会计准则》和行业分类会计、财务制度或其他相关财经制度原则和要求。只要依据充分，分析严谨，计算正确，那么所构思撰写的审计报告必然会充分反映审计内容，从而就会大大提高审计报告中经济信息的质量，为被审计对象和委托者接受和利用。

三、单位管理者对审计报告的认识有待提高

微观经济学的理论告诉我们，任何一项经济活动都有一个成本与效益的关联问题，审计活动也不例外。对于每个审计项目，审计人员几乎都花费了大量的人力物力，其出具的内部审计报告体现的是审计价值和审计成果，精明的管理者是会充分意识到审计报告中的经济信息价值的，他们会听取和采纳审计人员的意见和建议，从而去改进单位的经济管理工作。但是，确实也有不少单位的管理者没有意识到审计报告中的经济信息价值，没有去认真研究审计报告，更谈不上维护审计工作的权威了，如此这样的局面维持下去，审计自然成了摆设。这些单位的主要管理者所以会在认识上有偏差，是有多方面原因造成的，具体原因有：

1．所有者主体缺位。我们知道高校的校长或医院院长，并不是单位资产的所有者，公有经济下的高校和医院的资产都是国有资产，他们只不过是受托经营者，这样的运行体制导致了管理者没有内在的追求效益的动力。就象包装上市的股份公司一样，法人治理结构不完善，经营机制没有改变，上市只不过是一种圈钱行为罢了。上市公司暴露出来的众多问题已经说明这种体制下的企业经营就是缺乏追求长期盈利的内在动力。

2．专家、学者治理。高校和医院都是知识密集型事业单位，这些具有高学历、专家型的业务专家，对于教育、医疗、科研的重视和全身心投入远远大于经济管理。这种“差别服务”导致了他们对于经济管理缺乏了解，也缺少资产运作能力，他们整天忙于业务，哪有时间坐下来看你写的审计报告，更不会静下心来分析审计报告中的经济信息了。这种采取行政任命的主要领导当然只能对上级负责了。

篇9

从2006年起证券交易所的鼓励使我国上市公司陆续开始内部控制评价报告及审计意见。然而上市公司内部控制信息披露一直为市场和监管者所质疑的一个重要原因，在于内部控制信息披露表面化和形式化，对于内部控制缺陷信息较少，同时上市公司内部控制审计意见一直都是标准无保留意见。上市公司内部控制信息披露和审计的信号作用难以发挥。2012年3月21日―3月27日，沪深两市共有43家上市公司披露了2011年度内部控制审计报告，其中沪市主板31家，深市主板8家，中小板3家，创业板1家。从内部控制审计报告类型看，42家上市公司被出具了标准内部控制审计报告，1家上市公司（新华制药）被出具了否定意见的内部控制审计报告，成为我国第一份上市公司非标准的内部控制审计意见。本文希望通过对新华制药否定内部控制审计意见案例进行分析上市公司内部控制失败及内部控制审计责任的分析和研究。

案例回顾

新华制药被信永中和出具否定意见内部控制审计报告的原因是其内控制度存在重大缺陷。信永中和在内控审计报告中指出，重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。信永中和认为，新华制药内控存在两个重大缺陷。

一是，新华制药子公司――山东新华医药贸易有限公司（简称“医贸公司”）内部控制制度对多头授信无明确规定，在实际执行中，医贸公司的鲁中分公司、工业销售部门、商业销售部门等三个部门分别向同一客户授信，使得授信额度过大。

二是，医贸公司内部控制制度规定对客户授信额度不大于客户注册资本，但医贸公司在实际执行中，对部分客户超出客户注册资本授信，使得授信额度过大，同时医贸公司也存在未授信的发货情况。

上述重大缺陷使得新华制药对山东欣康祺医药有限公司（简称“欣康祺医药”）及与其存在担保关系方形成大额应收款项6073万元，同时因欣康祺医药经营出现异常，资金链断裂，可能使新华制药遭受较大经济损失。

欣康祺医药因涉嫌卷入非法吸收公众存款案已于2011年12月30日被济南市公安局立案侦查。欣康祺医药等五家公司欠新华制药子公司的货款6073.1万元也很有可能就此打了水漂。公司对此已进行坏账计提准备。按80%比例计提坏账准备，计提坏账准备金额合计4858.5万元，占该公司全年利润总额的52.12%，导致公司2011年度增收不增利。

会计师事务所声明，审计过程中发现该上市公司的大客户某医药公司及与其存在担保关系方形成大额应收款项，而以前年度的期末应收账款余额很小，存在很大的不合理性；同时在检查该上市公司的授信流程时，发现其子公司2011年授信业务内部控制制度存在缺陷，导致对大客户某医药公司赊销额度过大，在该客户经营出现异常、资金链断裂的情况下，会使该上市公司遭受较大的经济损失。虽然该上市公司作为多年的A+H股公司，在公司治理及内部控制方面有较好的基础，该事项属于2011年度的偶发事项，但该缺陷对财务报表有重大影响，按内部控制审计的相关标准应当认定为是重大缺陷。根据《企业内部控制指引》的相关要求，内部控制存在一项或多项重大缺陷，应当对内部控制发表否定意见。由于内控审计标准没有保留意见的内部控制审计报告类型，因此对该上市公司的内部控制出具了否定意见的审计报告

内控责任归属

新华制药内部控制否定审计报告案件中让市场争论较大的不在于新华制药内部控制存在缺陷问题，因为在美国“萨班斯法案”推进第一年接近15%的上市公司披露了内部控制缺陷信息，并被出具非标准无保留内部控制审计意见。新华制药内部控制否定审计报告案件引发的争论更多的是集中在内部控制重大缺陷的责任及内部控制审计责任的探讨上，本文希望通过法规梳理及实务操作角度，分析新华制药内部控制否定审计报告案件中多方在内部控制责任的认定问题。

1、企业对内部控制的责任

新华制药内部控制否定审计报告案件中内部控制重大缺陷的存在是基本确定的，因而第一个内部控制责任认定分析应该从企业内部控制缺陷责任开始。在各国内部控制相关法规规定中，内部控制设计和执行有效性的责任主要落实于董事会和高管，如美国“萨班斯法案”302条款和404条款都明确公司董事会、首席执行官CEO和首席财务官CFO对公司内部控制体系的建设、维护和评价负有责任，我国五部委颁发的《企业内部控制基本规范》和《企业内部控制评价指引》也同样规定，建立健全和有效实施内部控制，并评价其有效性是公司董事会的责任。

因此，在新华制药内部控制否定审计报告案件中董事会及高管首先必须对于新华制药内部控制体系建设存在重大缺陷负有责任；其次，在新华制药内部控制否定审计报告案件中还必须注意到的是新华制药在内部控制自我评价上，出具的是标准无保留的内部控制自我评价报告，而在事后被认定是和新华制药内部控制真实情况不符合的，因此新华制药董事会及高管还必须对内部控制自我评价报告虚假披露程度负责。

2、注册会计师的责任

与内部控制建设和评价缺陷责任较为清晰不一样的是，在新华制药内部控制审计中责任是该案件中比较难界定的。第一需要界定的问题即内部控制审计的范围和边界问题。在美国“萨班斯法案”之后推行的内部控制审计的范围和边界就曾经发生过激烈的争论和修订。“萨班斯法案”内部控制监管开始推行时及美国公众会计师监督委员会PCAOB的第二号准则AS.2中规定，将审计师对内部控制审计的范围和对象分为两部分：一是上市公司高管出具的内部控制自我评价的有效性，即对上市公司内部控制自我评价报告进行审计；二是上市公司内部控制体系设计和执行的有效性，即对上市公司内控体系有效性进行审计。然而，由于AS.2中对于上市公司内部控制执行及审计要求太严格导致了两个问题，一是大量上市公司无法承受巨额的内部控制建设和执行成本，选择不上市或私有化退市，特别是一些规模较小的企业；二是审计师发现自身无法对上市公司内部控制体系的有效性进行审计，缺乏足够的胜任能力，特别是在一些行业风险和管理判断上。争论中最为严重的观点，源自于纽约资本市场专家甚至认为过严的监管削弱了美国的国家竞争力。之后美国公众会计师监督委员会PCAOB在召开多次论证会之后修订了内部控制审计要求，将审计师对上市公司内部控制体系审计要求剔除，只要求审计师对上市公司内部控制自我评价报告编制的基础及合理性与有效性发表审计意见。同时需要指出的是美国“萨班斯法案”被成为全球最严格的监管法案，对于内部控制审计的范围仅仅为财务呈报内部控制（Internal Control over Financial Statements Reporting），主要指向财务报表编报过程的程序和证据，这远远低于我国五部委提出的全面内部控制及证监会发文要求的财务相关内部控制的范围。在我国五部委颁发的《企业内部控制基本规范》 和《企业内部控制审计指引》指出，审计师在进行内部控制审计项目中的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

根据中注协2012年3月30日的上市公司2011年年报审计情况快报，新华制药被信永中和出具了否定意见的内部控制审计报告。信永中和事务所在新华制药内部控制否定审计报告案件中引起争论的问题主要集中在内控缺陷存续及审计胜任能力问题上。

内部控制缺陷按性质可分为设计缺陷和执行缺陷。企业内部控制设计缺陷的存在具有一定的持续性，如果公司的内控制度并没有发生变化，一般情况下都不是短时间内存在，即2011年存在某项内部控制设计缺陷，则之前该项内部控制设计缺陷应该是持续存在的。如果是执行缺陷则较为复杂，其理论上持续性难以确定，但在实际执行中持续性也是较强的，其与企业对控制规则认可度和企业执行力相关。内部控制设计缺陷审计是较为简单的，在于就企业内部控制措施设计与内部控制规范要求进行对标而确认。内部控制执行缺陷则需要通过一定样本量内部控制执行痕迹的随机抽样审计进行确认。

在新华制药案例中，审计师出具的否定意见是针对财务相关内部控制有效性出具的。市场上很多人容易把对控制缺陷识别及否定意见给出时间过晚问题，归结于审计师的不作为和与企业勾结问题，甚至有些学者对审计师喊打。这其中有部分原因在于对于审计工作的专业性不熟悉导致。在新华制药案例中，审计师需要对控制设计及风险评估两部分内容进行审计。在控制设计相关的问题时，如果新华制药现有的内控制度与财务报告的披露是一致的，也就是说，现有的制度体系能有效保证最终的财务报告能直接公允地反映他们的经营管理状况，所有发生的业务都是真实的，可以追述到源头，重点是能保证股东不被欺骗。这一点审计师通过严格的审计程序是可以确认并给与评判的。然而另外一个问题，即风险评估问题，如新华制药销售管理制度存在，也严格执行，但由于对客户风险评估不准确，授信过大，导致最后坏账。这一点审计师即使作为专业人士，由于没有亲自参与企业经营，是无法进行有效评判的。

然而，在企业风险评估内容上的审计责任在我国内部控制规范中没有给予明确界定。其一方面导致了审计师行为界定变得困难，另外一方面使得公众对于内部控制审计的理解和预期可能产生偏差。二者皆不利于我国资本市场和内部控制审计业务的开展。

当然，新华制药案例中审计师是否存在过错还有待检查确认。新华制药案件具有很强的代表性，其发生也存在市场环境原因。比如内部控制审计在中国刚刚开展，上市公司很多都是第一次做内部控制审计，存在内部控制有效性时间延续问题，有可能存在上市公司以前年度的问题没有全部消化掉，在时间点的确认上很难按法定要求一次到位。

同时，新华制药案件也告诫我们审计师要意识到现在面临的风险与责任比以前大很多，所以在工作方法与思路上要有所调整，以前做预审的时间通常在11月，现在应该大大提前，而用从报表出发看问题也很难及时发现问题，在内部控制审计过程中严格审计程序和完善的审计底稿是保护审计师和事务所的基本要求。

相关市场反应

篇10

一、研究背景及研究意义

内控审计和财务报表审计息息相关，二者都是鉴证类业务。内部控制审计是指注册会计师接受委托，对特定基准日内部控制设计与运行有效性进行的审计，更加关注控制活动和过程，关注管理活动的有效性;财务报表审计是对被审计单位财务报表的合法性和公允性的审计，更加关注控制结果，关注具体定量数据的公允性。因此，二者作为不同的鉴定业务，需要各自分别进行审计测试，出具不同的审计报告。需要指出的是，财务报表审计意见与内控审计意见可以相互印证，然而并不一定完全一致。内控的否定意见报告并非对财务报表真实性及公允性的否定。上市企业应正确面对内控审计发现的问题，不断加强完善和整改，促进企业管理水平的提升。

2002年7月，美国政府和国会通过了SOX法案，该法案于2003 年6月正式实施。其中法案第404条款（a）要求管理层对公司财务报告内部控制结构和程序有效性进行评估，第404 条款（b）要求编制或出具审计报告的会计师事务所应该对管理层内部控制有效性的评估进行鉴证并出具报告。我国财政部于2010年4月出台了《企业内部控制基本规范》的配套指引，该指引自2012年1 月1日起在上海证券交易所施行。深圳证券交易所主板上市的公司施行“执行企业内控规范体系的企业，必须聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。”这对我国之前所的现行规定进行了整合，改变了不同层次之间要求不同，同一层次的规定也存在差异的混乱局面，对于内部控制审计的要求由非强制性改为强制性。这就意味着，我国的A股上市公司必须对财务报表和内部控制进行双重审计，增加了企业的审计成本。在如今的经济背景下，整合审计已经在我国有了一定的应用，但是在实施整合审计的过程中，会遇到什么样的问题及企业与事务所是如何应对的，值得研究。

二、整合审计文献综述

1.国内文献。我国内部控制审计最早始于对内部控制的审核，这为我国学者研究财务报表审计与内部控制审计的关系打开了思路。目前学术界有不少学者均是通过内部控制审核来研究财务报表与内部控制整合审计的。孙银刚指出，根据审计的范围、重点及方法，内部控制审计既可以作为独立的审计业务，又可以作为财务报表审计业务中一个程序或环节，以提高审计工作效率和质量，降低审计成本和审计风险。王军只配对分析了2007年上交所上市公司首次内控审计对盈余质量的影响，实证结果显示，无论是分行业还是以全样本，首次实施内控审计的公司盈余质量得到了明显改善。整合审计将产生范围经济，降低内控审计成本。安永的调查结果显示，执行 AS 5 第二年的审计成本下降 46%，其中两项审计工作更好地整合是一个主要原因。但整合审计是否会影响审计独立性，从而影响审计结果，降低财务信息质量？对此，美国审计质量中心指出，不同于审计业务与咨询服务之间存在独立性的冲突，会计师事务所需要分别对年报审计报告和内控审计报告的意见类型承担责任，不存在为了获得一项业务而牺牲另一项业务的审计独立性问题。我国内部控制审计指引对于整合审计并未作出强制规定，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。

2.国外文献。安永通过一项调查发现，注册会计师与上市公司管理人员均认同执行AS5 第二年的审计成本将下降 46%，其中两项审计工作将更好地整合是一个主要原因。

CAQ指出财务报表审计与内部控制审计由同一家会计师事务所整合进行会提高审计效果和效率，降低审计成本，减少重复劳动，避免审计判断出现不一致。与此同时，两项审计工作由同一家会计师事务所整合进行并不会影响审计独立性，因为会计师事务所需同时对两个审计意见都承担责任，不存在为了确保得到一项业务而牺牲另一项业务的审计独立性问题，这一点与管理咨询业务和审计业务之间存在独立性冲突的情况不同。

三、实施整合审计的必要性与可行性

注册会计师的业务类型包括鉴证业务和相关服务。鉴证业务又分为基于责任方认定的业务和直接报告业务。首先，内部控制审计和财务报表审计都属于鉴证业务，也都属于基于责任方认定的业务。可见，二者业务类型都属于基于责任方认定的合理保证业务。其次，二者工作的最终目的都是为利益相关者提供高质量的财务信息，同时二者都强调风险导向审计思路。正是由于二者存在上述关联关系，所以，应当将内部控制审计和财务报表审计整合进行，否则会加大会计师事务所制度运行成本，并增加被审计单位的经济负担和工作负担;整合审计既可以提高审计效率，降低审计风险，又可实现提高上市公司财务信息质量的最终目的。可见，整合审计是一种经济可行、切实兼顾了社会公众、被审计单位和注册会计师行业三者利益的制度安排。美国PCAOB及加拿大等国家均采用整合审计这种制度模式，效果很好。

将内部控制审计和财务报表审计整合进行在实践中具有可行性。原因有三：第一，两种审计服务的最终目标一致，都是为提高财务信息质量。目标的一致性从根本上决定了将二者进行整合的可行性。第二，在两种审计中有大量工作内容相近，而且在某一类审计中发现的问题还可以为另一类审计提供线索和思路，使工作成果能够互相利用，充分发挥审计作用。比如，如果在财务报表审计中发现了重大错报，则说明财务报告内部控制肯定存在重大缺陷，可以为内部控制审计提供线索。第三，财务报表审计和内部控制审计必须由同一家会计师事务所实施，这为内部控制审计和财务报表审计整合提供了外部条件和实施基础。由同一事务所负责同时审计同一上市公司的相关内部控制和财务报表，更有利于注册会计师适当节省审计成本、控制审计风险和实现二者的审计目标。而且目前从世界范围看，没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标。

四、上市公司应如何更好地实施整合审计

现阶段，整合审计实施的必要性已毋庸置疑。为实现更好的整合审计，企业需要理清内控和财报审计的联系和区别：财报审计要求企业评价其重大财务风险，内控审计同时要求企业披露重大缺陷，区别在于前者强调结果，后者注重过程。对于大多数企业来说，操作的误区往往在于不能从整合的操作体系出发，吸收不同专业领域的人员构建团队，有效的整合可以遵循一个流程、一套工作底稿和参照样本，实现一箭双雕的目的。内部控制建设的一个目标是让企业在没有外部审计的情况下实现审计的正确性，合乎会计准则。从企业配合的角度讲，内部控制要涉及整个业务流程，发现问题及时整改。从企业在选择事务所角度来说，企业的财务状况，经济实力，未来发展战略以及企业高管的权利集中程度，董事会的选择等等，都会影响企业事务所的选择。企业应做好配合的工作，加强内部控制的建设与实施，力争有良好的内部控制系统更好的应对整合审计的审计目标与程序。上市公司和事务所配合方面，监管部门要求公司结合自身特点进行披露，基于对自身业务的了解，切不可借鉴专业机构的审核底稿。对于披露中存在的缺陷要正确认识，并进一步分析是否可以通过持续的评价弥补缺陷，给投资者信心。

五、事务所在实施整合审计的过程中应注意的问题

随着内控建设地位的加强，整合审计作为国际社会普遍采用的内控审计受到越来越多的青睐。财务报告整合审计是结合财务报告审计和财务报告内部控制审计的专业工作方法。同时，信息技术审计是财务报告审计和财务报告内部控制审计的一个关键审计工作。与非整合审计相比，整合审计具有：节约社会成本和审计成本，内控审计与报表审计人员的系统安排和无间距衔接，两项审计结论可以充分及时地相互印证，提升被审计单位在公众中的公信度，保证和提升审计质量及效率等优势特点。