企业内部控制审计相关问题探讨

　　一、内部控制审计概论

　　（一）内部控制审计概念

　　《企业内部控制审计指引》指出，内部控制审计是会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计，发表审计意见。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

　　内部控制审计主要以财务报告相关的内部控制作为主要审计对象，具体内容如下：

　　1.控制环境。要把握好企业内部控制环境，特别关注财务主管的管理思路及管理态度；财务机构的设置是否合理；人力资源政策和激励约束机制是否科学合理等。

　　2.控制活动。在良好的控制环境下，控制活动是有效执行内部控制的关键性要素，重点审查财务活动是否有充分的授权审批制度；是否有效执行审批程序；财务不相容职务的设置与执行是否合理健全；账务处理是否及时正确反映企业经济活动等。

　　3.信息与沟通。信息与沟通是实施内部控制的重要条件，重点审查相关财务信息和信息处理的及时性、信息系统的安全性以及技术效果。

　　4.风险管理。重点审查被审单位抗风险的能力，重要管理岗位、资金流通环节、实物资产保管环节等，被审单位抗风险的能力，对可能出现的风险做好防范并提出合理建议。

　　5.监督。重点审查企业内部财务报告相关资料的审核制度的合理性及是否有效执行；审计与会计执行分离；审计的及时性及有效性；审计人员在不同审计环节的层次性等。

　　（二）内部控制审计的重要性

　　随着安然等一系列公司财务报表舞弊事件的发生，人们逐渐认识到健全有效的内部控制不仅能够提高企业经营效率和效果，而且在预防经济危机、财务报表舞弊等方面也能起到积极的抵御作用。因此，各国企业界和会计职业界对内部控制的重视程度进一步提升，内部控制审计也日趋重要。

　　1.完善公司治理，加强公司内部控制建设的需求

　　内部控制审计，可以在分析内部控制自我评估报告的基础上，揭露和评价企业内部控制各环节、各领域和各层次的弊端和问题，重点深入研究与财务报告相关的内部控制问题，识别其严重程度，与管理层及时进行沟通，并提出改进和调整办法，以促进企业各项内部控制活动的健康运行，最终提高财务报告的真实性、合法性，保障企业各种资产和各项财产的安全完整，提升企业的经济效益水平。

　　2.满足信息使用者的需求

　　企业外部利益相关者包括投资人、债权人、政府机关、社会公众等，他们主要关注财务报告内部控制的健全和执行有效性，良好的财务报告内部控制制度会在一定程度上有效防范和规避财务报告风险，依据内部控制审计报告企业利益相关者可以了解企业内部控制环境及执行的有效性等，判断企业财务报告的可信赖程度，进而正确评估企业抗风险能力和持续经营能力，从而为正确行使权力和各项决策奠定坚实基础，所以，对于企业外部利益相关者而言，监督和鉴证的内部控制行为尤其重要。

　　（三）内部控制审计与内部控制评价、内部控制评审的联系与区别

　　1.与内部控制评价异同点

　　内部控制评价是企业董事会对企业内部控制的一种自我评价，目的在于发现并解决企业内部控制存在的缺陷。

　　内部控制审计与评价都是对企业内部控制有效性进行评价，但两者在范围、目的、性质等方面不同。在范围方面，内部控制审计仅以财务报告相关内部控制为主，而内部控制评价围绕五大控制要素对企业所有的内部控制设计与运行情况进行全面评价；在目标方面，内部控制审计对企业财务报告相关内部控制的有效性发表审计意见，而内部控制评价是为了发现企业问题而进行的自我评价；在性质方面，内部控制审计是企业外部进行的独立鉴证业务，而内部控制评价是由企业内部审计机构的全面评价，是一种相对独立的服务业务。

　　2.与内部控制评审异同点

　　内部控制评审通常存在于企业财务报表审计中，注册会计师为了能够准确定位审计重点、判断审计抽样规模，从而编制合理的审计计划而进行的内部控制初步评审，以及风险评估阶段对内部控制进行的深度评价。评审结果直接影响到审计总体计划的安排及实施阶段进一步确定实质性程序的范围、性质。

　　二者的评审对象都围绕与财务报告相关的内部控制，都采用检查书面文件和记录、询问有关人员、穿行测试等相似的审计方法，为了节约审计成本资源，两者可以开展“整合审计”。尽管如此，两者本质上还是有区别的，内部控制审计是一项独立的鉴证业务，而内部控制评审只是财务报表审计业务中一个重要的环节。

　　二、当前我国企业内部控制审计存在的问题

　　（一）内部控制审计过于依赖内部控制自我评价

　　按照《企业内部控制规范——基本规范》的规定，针对企业内部控制，企业既要进行自我评价，同时也要聘请注册会计师进行外部审计。而内部控制审计与评价对象一致，范围相同，只不过是内容各有侧重点。所以，为了减少注册会计师外部审计工作，注册会计师应当首先评估企业内部控制自我评价成果，以判定企业内部控制自我评价结果是否可以利用及利用的程度。因此，导致很多内部控制审计主体基于现实的选择、成本效益的考虑，尚未充分判断企业内部审计的可利用程度，未能对企业内部控制进行全过程、全方位的监督和评价，审计信息反馈滞后，审计领导不能及时准确地把握现场审计动态，更多地依赖企业内部控制评价结果，导致可能疏忽掉企业内部审计也没有发现的问题。

　　（二）内部控制审计方法和工作程序仍不够规范

　　《企业内部控制审计指引》第八条指出：注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。根据调研结果，虽然一部分事务所采用风险导向审计方法，但是也有很大一部分事务所是采用随机抽样和外部监管要求的审计方法确定内部控制审计的重点，这势必会影响内部控制的本质要求和内部控制审计的目标。

　　当前阶段，绝大部分事务所进行的都是“整合审计”，但是如何进行有效的整合尚属理论探讨阶段，导致更多的审计工作重心偏向财务报表审计，而内部控制审计也主要为财务报表审计的风险评估及控制测试提供依据，所以内部控制审计往往偏离方向，未能严格按照内部控制审计准则的有关要求实施必要的审计程序，如不编制审计计划、审计归档不规范、审计工作底稿混论、审计报告不复核等，很难保证审计质量。

　　（三）企业内部控制建设及执行内部控制审计重视程度不够

　　目前，企业内部控制要素的建设不均匀，尤其是控制环境较差，管理层认识不到位。为确保企业内控规范体系平稳顺利实施，财政部等五部委制定了实施时间表，自2011年1月1日起，采用“鼓励”政策，陆续有选择性地在境内外上市公司施行，推行内部控制及内部控制审计。截至目前，只有少数上市公司执行《企业内部控制规范——基本规范》，且只有一部分企业开展内部控制审计与财务报表审计整合审计，大部分企业尚未把内部控制审计提上议程。

　　（四）内部控制审计运行监管环境较弱

　　我国现行的内部控制审计法律法规较国外体系落后，仅仅限于在规章层次上有所引导和约束，但这些基本规范、配套指引等相关文件的权威性较差，违规成本较低，导致内部控制审计的执行力度不够。

　　（五）内部控制审计质量控制体系欠缺

　　随着内部控制审计业务市场的需求，越来越多的会计师事务所开始承揽内部控制审计新型业务，由于业务类型有别于会计师事务所以往的法定或非法定业务，导致许多会计师事务所还没有针对内部控制审计制定专门的质量控制体系，其审计结果势必会在一定程度上造成质量失控，从而极大增加审计风险。

　　三、对我国实施企业内部控制审计建议

　　（一）企业内部控制审计制度深层次法制化

　　我国企业内部控制相关管理规定正在逐渐规范，从2008年至今，财政部等五部委联合陆续发布了《企业内部控制规范——基本规范》及《企业内部控制配套指引》，可以说，《配套指引》连同《基本规范》共同构建了中国企业内部控制规范体系。但是，配套指引仍仅限于指引，而非法制化，会驱使企业选择性执行，所以建议相关部门对于内部控制审计执行要求、审计方法、整合审计等进一步法制化，以规范内部控制审计业务。

　　（二）规范内部控制审计工作方法和程序

　　虽然内部控制配套指引对于内部控制审计的工作方法和程序有了适当的指导，但据不完全统计，注册会计师依据配套指引开展内部控制审计，不同的事务所或不同的项目组执行程序仍然大有区别，可见指引不足够规范，需进一步详细明确工作目标、工作范围、工作程序，这样才会大大减少内部控制审计的可操控性，一定程度上降低内部控制审计风险。

　　（三）多角度控制内部控制审计成本

　　为了能够促使内部控制审计及时有效地全面开展，在确保审计质量的大前提下，应当遵循成本效益原则，要尽可能地降低审计成本，提高审计效率。首先，与财务报表审计进行整合审计，互相利用审计成果。当然，“整合审计”不能相互过度依赖，需要对两类审计分阶段、分步骤、有计划地巧妙整合，使之达到事半功倍的效果。其次，充分利用内部审计的成果。内部审计的一项主要工作是对企业自身的内部控制进行审计，与外部内部控制审计有重合之处，如果能够借助内部审计的的工作成果，会大大减少审计工作量，需要强调的是，必须以企业的内部控制可以信赖为基础。

　　（四）建设良好的内部控制审计运行监管环境

　　为了保证内部控制审计质量，促进会计师事务所内部控制审计业务的开展，内部控制审计监管部门应该完善监管体系建设，包括内部控制审计制度体系建设（完善内部控制审计相关的法律法规、部门规章等）、监督管理企业内部控制建设和披露、监管会计师事务所内部控制审计业务，监管事务所质量控制设置的合理性和执行的有效性，考评内部控制审计报告的真实性，建立会计师事务所质量评级机制，并通过建设合理的监督公告制度，发挥监督效用，促进内部控制审计合理运行。

　　（五）建立健全的内部控制审计质量体系

　　为了提高内部控制审计业务质量，规避会计师事务所审计风险，完善内部控制审计质量体系是大势所趋。质量体系主要从会计师事务所和注册会计师两方面着手建设。会计师事务所从整体层面健全事务所组织结构、审计人员质量控制、审计业务质量控制、审计制度质量控制，在业务层面规范内部控制审计承接业务程序、审计方法及取证程序、明确审计范围等，促进会计师事务所内部控制业务质量控制。注册会计师的质量控制核心在于加强事务所执业人员的职业素质培养，多渠道、多角度培育注册会计师内部控制审计执业能力。

企业内部控制审计相关问题探讨

　　一、内部控制审计概论

　　（一）内部控制审计概念

　　《企业内部控制审计指引》指出，内部控制审计是会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计，发表审计意见。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

　　内部控制审计主要以财务报告相关的内部控制作为主要审计对象，具体内容如下：

　　1.控制环境。要把握好企业内部控制环境，特别关注财务主管的管理思路及管理态度；财务机构的设置是否合理；人力资源政策和激励约束机制是否科学合理等。

　　2.控制活动。在良好的控制环境下，控制活动是有效执行内部控制的关键性要素，重点审查财务活动是否有充分的授权审批制度；是否有效执行审批程序；财务不相容职务的设置与执行是否合理健全；账务处理是否及时正确反映企业经济活动等。

　　3.信息与沟通。信息与沟通是实施内部控制的重要条件，重点审查相关财务信息和信息处理的及时性、信息系统的安全性以及技术效果。

　　4.风险管理。重点审查被审单位抗风险的能力，重要管理岗位、资金流通环节、实物资产保管环节等，被审单位抗风险的能力，对可能出现的风险做好防范并提出合理建议。

　　5.监督。重点审查企业内部财务报告相关资料的审核制度的合理性及是否有效执行；审计与会计执行分离；审计的及时性及有效性；审计人员在不同审计环节的层次性等。

　　（二）内部控制审计的重要性

　　随着安然等一系列公司财务报表舞弊事件的发生，人们逐渐认识到健全有效的内部控制不仅能够提高企业经营效率和效果，而且在预防经济危机、财务报表舞弊等方面也能起到积极的抵御作用。因此，各国企业界和会计职业界对内部控制的重视程度进一步提升，内部控制审计也日趋重要。

　　1.完善公司治理，加强公司内部控制建设的需求

　　内部控制审计，可以在分析内部控制自我评估报告的基础上，揭露和评价企业内部控制各环节、各领域和各层次的弊端和问题，重点深入研究与财务报告相关的内部控制问题，识别其严重程度，与管理层及时进行沟通，并提出改进和调整办法，以促进企业各项内部控制活动的健康运行，最终提高财务报告的真实性、合法性，保障企业各种资产和各项财产的安全完整，提升企业的经济效益水平。

　　2.满足信息使用者的需求

　　企业外部利益相关者包括投资人、债权人、政府机关、社会公众等，他们主要关注财务报告内部控制的健全和执行有效性，良好的财务报告内部控制制度会在一定程度上有效防范和规避财务报告风险，依据内部控制审计报告企业利益相关者可以了解企业内部控制环境及执行的有效性等，判断企业财务报告的可信赖程度，进而正确评估企业抗风险能力和持续经营能力，从而为正确行使权力和各项决策奠定坚实基础，所以，对于企业外部利益相关者而言，监督和鉴证的内部控制行为尤其重要。

　　（三）内部控制审计与内部控制评价、内部控制评审的联系与区别

　　1.与内部控制评价异同点

　　内部控制评价是企业董事会对企业内部控制的一种自我评价，目的在于发现并解决企业内部控制存在的缺陷。

　　内部控制审计与评价都是对企业内部控制有效性进行评价，但两者在范围、目的、性质等方面不同。在范围方面，内部控制审计仅以财务报告相关内部控制为主，而内部控制评价围绕五大控制要素对企业所有的内部控制设计与运行情况进行全面评价；在目标方面，内部控制审计对企业财务报告相关内部控制的有效性发表审计意见，而内部控制评价是为了发现企业问题而进行的自我评价；在性质方面，内部控制审计是企业外部进行的独立鉴证业务，而内部控制评价是由企业内部审计机构的全面评价，是一种相对独立的服务业务。

　　2.与内部控制评审异同点

　　内部控制评审通常存在于企业财务报表审计中，注册会计师为了能够准确定位审计重点、判断审计抽样规模，从而编制合理的审计计划而进行的内部控制初步评审，以及风险评估阶段对内部控制进行的深度评价。评审结果直接影响到审计总体计划的安排及实施阶段进一步确定实质性程序的范围、性质。

　　二者的评审对象都围绕与财务报告相关的内部控制，都采用检查书面文件和记录、询问有关人员、穿行测试等相似的审计方法，为了节约审计成本资源，两者可以开展“整合审计”。尽管如此，两者本质上还是有区别的，内部控制审计是一项独立的鉴证业务，而内部控制评审只是财务报表审计业务中一个重要的环节。

　　二、当前我国企业内部控制审计存在的问题

　　（一）内部控制审计过于依赖内部控制自我评价

　　按照《企业内部控制规范——基本规范》的规定，针对企业内部控制，企业既要进行自我评价，同时也要聘请注册会计师进行外部审计。而内部控制审计与评价对象一致，范围相同，只不过是内容各有侧重点。所以，为了减少注册会计师外部审计工作，注册会计师应当首先评估企业内部控制自我评价成果，以判定企业内部控制自我评价结果是否可以利用及利用的程度。因此，导致很多内部控制审计主体基于现实的选择、成本效益的考虑，尚未充分判断企业内部审计的可利用程度，未能对企业内部控制进行全过程、全方位的监督和评价，审计信息反馈滞后，审计领导不能及时准确地把握现场审计动态，更多地依赖企业内部控制评价结果，导致可能疏忽掉企业内部审计也没有发现的问题。

　　（二）内部控制审计方法和工作程序仍不够规范

　　《企业内部控制审计指引》第八条指出：注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。根据调研结果，虽然一部分事务所采用风险导向审计方法，但是也有很大一部分事务所是采用随机抽样和外部监管要求的审计方法确定内部控制审计的重点，这势必会影响内部控制的本质要求和内部控制审计的目标。

　　当前阶段，绝大部分事务所进行的都是“整合审计”，但是如何进行有效的整合尚属理论探讨阶段，导致更多的审计工作重心偏向财务报表审计，而内部控制审计也主要为财务报表审计的风险评估及控制测试提供依据，所以内部控制审计往往偏离方向，未能严格按照内部控制审计准则的有关要求实施必要的审计程序，如不编制审计计划、审计归档不规范、审计工作底稿混论、审计报告不复核等，很难保证审计质量。

　　（三）企业内部控制建设及执行内部控制审计重视程度不够

　　目前，企业内部控制要素的建设不均匀，尤其是控制环境较差，管理层认识不到位。为确保企业内控规范体系平稳顺利实施，财政部等五部委制定了实施时间表，自2011年1月1日起，采用“鼓励”政策，陆续有选择性地在境内外上市公司施行，推行内部控制及内部控制审计。截至目前，只有少数上市公司执行《企业内部控制规范——基本规范》，且只有一部分企业开展内部控制审计与财务报表审计整合审计，大部分企业尚未把内部控制审计提上议程。

　　（四）内部控制审计运行监管环境较弱

　　我国现行的内部控制审计法律法规较国外体系落后，仅仅限于在规章层次上有所引导和约束，但这些基本规范、配套指引等相关文件的权威性较差，违规成本较低，导致内部控制审计的执行力度不够。

　　（五）内部控制审计质量控制体系欠缺

　　随着内部控制审计业务市场的需求，越来越多的会计师事务所开始承揽内部控制审计新型业务，由于业务类型有别于会计师事务所以往的法定或非法定业务，导致许多会计师事务所还没有针对内部控制审计制定专门的质量控制体系，其审计结果势必会在一定程度上造成质量失控，从而极大增加审计风险。

　　三、对我国实施企业内部控制审计建议

　　（一）企业内部控制审计制度深层次法制化

　　我国企业内部控制相关管理规定正在逐渐规范，从2008年至今，财政部等五部委联合陆续发布了《企业内部控制规范——基本规范》及《企业内部控制配套指引》，可以说，《配套指引》连同《基本规范》共同构建了中国企业内部控制规范体系。但是，配套指引仍仅限于指引，而非法制化，会驱使企业选择性执行，所以建议相关部门对于内部控制审计执行要求、审计方法、整合审计等进一步法制化，以规范内部控制审计业务。

　　（二）规范内部控制审计工作方法和程序

　　虽然内部控制配套指引对于内部控制审计的工作方法和程序有了适当的指导，但据不完全统计，注册会计师依据配套指引开展内部控制审计，不同的事务所或不同的项目组执行程序仍然大有区别，可见指引不足够规范，需进一步详细明确工作目标、工作范围、工作程序，这样才会大大减少内部控制审计的可操控性，一定程度上降低内部控制审计风险。

　　（三）多角度控制内部控制审计成本

　　为了能够促使内部控制审计及时有效地全面开展，在确保审计质量的大前提下，应当遵循成本效益原则，要尽可能地降低审计成本，提高审计效率。首先，与财务报表审计进行整合审计，互相利用审计成果。当然，“整合审计”不能相互过度依赖，需要对两类审计分阶段、分步骤、有计划地巧妙整合，使之达到事半功倍的效果。其次，充分利用内部审计的成果。内部审计的一项主要工作是对企业自身的内部控制进行审计，与外部内部控制审计有重合之处，如果能够借助内部审计的的工作成果，会大大减少审计工作量，需要强调的是，必须以企业的内部控制可以信赖为基础。

　　（四）建设良好的内部控制审计运行监管环境

　　为了保证内部控制审计质量，促进会计师事务所内部控制审计业务的开展，内部控制审计监管部门应该完善监管体系建设，包括内部控制审计制度体系建设（完善内部控制审计相关的法律法规、部门规章等）、监督管理企业内部控制建设和披露、监管会计师事务所内部控制审计业务，监管事务所质量控制设置的合理性和执行的有效性，考评内部控制审计报告的真实性，建立会计师事务所质量评级机制，并通过建设合理的监督公告制度，发挥监督效用，促进内部控制审计合理运行。

　　（五）建立健全的内部控制审计质量体系

　　为了提高内部控制审计业务质量，规避会计师事务所审计风险，完善内部控制审计质量体系是大势所趋。质量体系主要从会计师事务所和注册会计师两方面着手建设。会计师事务所从整体层面健全事务所组织结构、审计人员质量控制、审计业务质量控制、审计制度质量控制，在业务层面规范内部控制审计承接业务程序、审计方法及取证程序、明确审计范围等，促进会计师事务所内部控制业务质量控制。注册会计师的质量控制核心在于加强事务所执业人员的职业素质培养，多渠道、多角度培育注册会计师内部控制审计执业能力。