企业内部控制审计问题探讨分析研究 工商管理专业

企业内部控制审计问题探讨摘要：本文首先对内部控制审计的基本理论做了一个概述，分别论述了财务报表审计与内部控制审计的整合问题以及内部控制自我评价、内部控制、内部审计与内部控制审计的关系问题。公司自身应加强内部控制建设;我国也应进一步规范资本市场，首先要进一步规范证券市场建设，其次对于银行等金融机构，应提高他们自身的风险意识;提高注册会计师行业的执业水平，首先会计师事务所要对注册会计师进行培训和再教育，其次要采取激励手段防止人员流失;避免重复审计，首先在执行内部控制审计的时候要采取整合审计的方法，其次注册会计师在进行内控审计的时候，要尽可能利用内部审计的结果。通过以上方面来加强企业内部控制及内部控制审计建设。关键词:审计;内部控制;内部控制审计引言为了应对财务信息失真和重大会计舞弊，美国于2002年颁布了《萨班斯—奥克利法案》(SOX法案)，其中规定所有在美国上市的公司的管理层要定期披露内部控制评价报告，并且注册会计师要对公司内部控制情况进行审计。随后美国公众公司会计监管委员会(PCAOB)相继发布了审计准则第二号(ASZ)及审计准则第五号(ASS)。日本注册会计师协会也于2007年颁布了内部控制评价与审计准则。英国、加拿大、欧盟虽然未强制要求进行审计，但是也规定了注册会计师要对上市公司管理层提供的内部审计报告进行有限保证的审阅。由此我们可以看出，对企业内部控制进行审计是大势所趋。我国于2008年颁布了《企业内部控制基本规范》，2010年颁布了《企业内部控制审计指引))。这些规范、指引的颁布对于我国积极推动内控审计建设起到了很好的作用。由于我国内部控制起步较晚，理论上和实践上的研究都还不成熟。故本文通过对内部控制的基本理论、我国内部控制审计问题现状以及对我国内部控制审计的建议三个大的方面的研究，旨在提出白己的观点和建议。一、内部控制审计的基本理论我国《企业内部控制审计指引》中将内部控制审计定义为，会计师事务所接受企业委托，对特定基准日内部控制设计与运行的有效性进行审计[3]。根据该指引的规定，我们应关注如下三个方面的内容:首先，对于“基准日”概念的理解上，应该注意到，我们所考察的内部控制的设计及运行有效指的是在这一个基准日上是有效的，例如年末的12月31日。但是如果想考察这一基准日的有效性，单单考虑当大的内控情况是不够的，而是要考察一个足够长的时间(通常低于一个会计年度)。因此，这里的基准日，不是一个时点的概念，而是一个区间的概念，体现的是一种延续性。第二，该指引中所涉及的内部控制仅仅指与财务报告相关的，而非企业全部的内部控制。审计指引第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，但也要关注非财务报告内部控制的重大缺陷，将注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露[3]。第三，从指引中我们可以看出，内控审计的对象是企业内控设计与运行的有效性，内部控制要一设计有效并且运行有效;内控审计的目标是就基准日企业内控设计与运行有效性获取合理保证。在内控审计中，我国规定可以单独进行内部控制审计，也可以将内部控制审计与财务报告审计结合起来，采取整合审计的方法。在整合审计中，应同时实现如下的目标:(l)获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见;(2)获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果[3]。我国内部控制审计指引第三条界定了企业董事会和注册会计师的责任。其中规定，企业董事会对于企业自身内部控制体系的建立健全以及内部控制的具体实施过程负责;而注册会计师对内部控制的有效性发表的审计意见负责。二、我国内部控制审计问题现状研究内部控制在防范财务信息失真，预防重大的会计舞弊方面发挥着重要的作用。美国注册舞弊检查师协会2002年公布的调查报告显示，出现经营不善、涉及粉饰财务报告的企业中90%缺乏合理的内部控制制度或者内部控制制度被经营者忽略而未能有效地执行，内部控制如同人体的免疫力，是企业抵御外来风险的防火墙[10]。2.1、完善公司治理的需求我国上市公司很多都是由原来的国有企业通过资产剥离或者改制上市的，这样就存在着一个问题，公司的股权结构非常不合理。控股企业一股独大，而其他中小股东仅占有非常小的股权份额。这种股权结构导致上市公司成为了为控股企业服务的工具，其他中小股东的利益受到了严重的侵害;董事会、监事会成为了虚设，无法发挥应有的监督制衡作用。2.2、加强上市公司内控建设的需求一般情况下，上市公司内部审计机构或者其他相关机构也会对企业内部控制的设计及运行情况进行评价。但是由于同属内部人的关系，可能会存在不够独立客观以及思维局限等问题。注册会计师，一方面拥有更加扎实的专业知识，另一方面作为外部人独立性更高，评价也更为客观。而评价的结果都将成为公司管理层和治理层进一步加强内控建设的有力保证。2.3、满足信息使用者的需求自从安然公司和世通公司重大会计舞弊案件的爆发，越来越多的信息使用者开始关注企业的内部控制情况。我国虽然己经实施风险导向审计，但是在实践层面，注册会计师通常认定企业的内部控制预期是有效的，仅仅当实施实质性程序无法获得充分有效的证据时才考虑对内部控制进行测试。而对内部控制进行独立的审计，出具内部控制审计报告，信息使用者就可以对公司内部控制的健全性及有效性有一个更加深入的了解，满足决策的需要。三、我国内部审计发展中存在的障碍3.1、制度层面的障碍3.1.1内部控制标准不适合我国现状现阶段，我国企业内部控制设计及运行所依据的内部控制标准是财政部等五部委于2008年颁布的《企业内部控制基本规范》，该规范是参照美国COSO《内部控制—整体框架》和《企业风险管理框架》的基础上，结合我国国情制定出来的，应该说该规范的颁布，对于我国内部控制的建立以及内部控制审计的发展都起到了很大的作用。但是该规范是全面的内部控制而非与财务报告相关的内部控制，因此如果以此为标准进行与财务报告有关的内部控制审计则不合适，而且该规范适用于大型企业，对于中小企业内部控制的建设也不合适。3.1.2内控审计没有准则予以规范我国于2010年出台了《企业内部控制审计指引》，规定执行内部控制基木规范的企业要在2011年开始对内部控制进行审计。但是迄今为止，仍未出台相关的准则，有关内控审计目标、范围与程序的问题也没有明确的规定。没有具体的准则予以规范，给内控审计的实际执行带来很大的困难。3.2、公司层面的障碍3.2.1公司主体对内控审计的需求不足首先，我国很多企业内部控制的起步和发展较晚，观念还很落后，与西方发达国家相比，体系不健全，制度不合理，执行效果不佳。这样的结果导致人多数企业对于国家要求建立健全内部控制的作用没有一个很好的认识，执行企业内部控制很大程度上成为了形式主义，而实际上内部人控制的问题仍然很严重。这就使得以内部控制为对象的内部控制审计更加没有意义，内控审计的需求不足。第二，我国很多企业仍然没有建立起一个有效的委托代理制度。公司治理结构不健全，公司的监事会、内部审计机构发挥不了应有的作用，治理层被管理层所左右。这种没有相互制衡的结构导致管理层拥有极大的话语权，他们并不需要一份高质量的审计报告，因为这样可能会损害自身的利益，尤其是对于本身质量不高的公司，他们甚至可能会选择一份合适的审计报告来包装自己。正因如此，对于意在提高财务信息质量，防止会计舞弊的内部控制审计更缺少需求的动力。3.2.2公司内部各部门不能全力配合致使外部审计工作质量不高内部控制是一个整体的过程，从公司的业务开始一直到业务结束，涉及采购、生产、销售的各个环节。因此在对公司的内部控制进行审计的时候，需要跟公司各个部门的人员进行接触，获取一些资料和审计证据。但是由于审计人员一般为财务人员，对于公司业务的接触不多，而这些部门的人员也大多数不是会计人员，缺乏专业的财务知识，这就使得两方在沟通上会遇到一些困难。使得审计工作的质量不高。而且在实际的审计中，有些财务人员也不配合外部审计工作。他们会故意掩饰一些财务信息，或者采取财务拖沓的办法，使得很难获得某些审计证据，这样就会大大的增加审计的风险。3.2.3内部控制审计成本的控制问题对于上市公司来说，每年要支付给会计师事务所年报审计的费用。而执行内部控制审计以后，又要支付内控审计的费用。这项额外的费用是影响内控审计实施的重要问题。如何在实施内控审计提高财务信息质量的前提下尽量较少成本，这是公司以及会计师事务所都应研究的问题。四、对我国实施内部控制审计的建议4.1制度层面的建议4.1.1、加强内部控制研究，制定科学的评价标准内部控制标准不光是注册会计师对企业进行审计时的依据，也是企业自身建立健全内部控制的依据。因此，制定科学的内部控制评价标准是尤为重要的。我国目前应该在借鉴国外先进理念的基础上，结合木国的国情，制定出适合企业并且易被企业接受和执行的内部控制评价标准。首先，要研究什么样的内控评价标准是与财务报告相关的评价标准，只有制定出这样的标准，我们才能进一步进行与财务报告相关的内部控制审计。然后，根据每个行业对内控的侧重点不同，我们也可以分行业研究出更适合本行业的内控评价标准，例如金融企业内部控制基本规范、制造业内部控制基本规范等。4.1.2、加强内部控制审计研究，制定内部控制审计准则我国进行内部控制审计己经是人势所趋，那么应当尽快制定审计准则，规范内控审计，使得内控审计切实起到提高财务信息质量的作用。在审计准则中，要明确以下儿个问题。(一)明确内部控制审计目标内部控制审计目标是制定内部控制审计准则的逻辑起点，决定着审计范围、审计程序的选择与运用、审计意见的表达、审计质量的衡量和审计责任的界定[13]。因此，在制定审计准则时，要首先明确内控审计的目标。这一目标的确定要使注册会计师能对被审计单位内控自评报告的真实性和合法性发表意见，并且能对此提供合理保证。(二)明确内部控制审计范围内部控制审计的范围决定着审计质量、成本和责任。虽然说内控审计的范围越大，就越能为报告的使用者提供尽可能多的了解被审企业的信息，也可以加强被审企业自身内控的建设。但是，由于内部控制范围本身就很难明确，如果将企业整体的内控都纳入到审计范围，则不好操作，易产生审计风险，而且也不符合成本效益原则。那么我国现在的做法就是突出重点，把内控审计的范围局限在与财务报告有关的内部控制，把内控审计过程中注意到的非财务报告有关的内部控制的重大缺陷在内控审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。但是即便如此，我国仍需要在制定审计准则的过程中对与财务报告相关的内部控制的范围至少包括哪些作出明确规定，以便注册会计师能据此作出合理判断，为内控审计报告提供合理保证。(三)明确内部控制审计程序在审计准则的制定中还应明确内控审计的程序以及在各个程序中注册会计师应关注的内容，重点测试的内容等。例如首先我们要测试企业层面的控制。在企业层面的控制中，就要重点关注与内部环境相关的控制、企业的风险评估过程、针对董事会、经理层凌驾于控制之上的风险而设计的控制等等。制定出了一个明确的审计一程序，注册会计师就能据此对被审计单位进行审计，为内控审计报告提供合理保证。4.2公司层面的建议4.2.1.完善公司治理结构公司主体对内控审计的需求不足以及公司内部各部门不能全力配合外部审计工作归结起来是因为公司本身没有一个有效的公司治理结构。一个有效的公司治理结构是内部控制评价得以有效运行的重要保证。这是因为公司治理结构作为公司的一项制度安排，是内部控制能否顺利进行的重要基础。因此，国家应进一步制定政策推进公司不断完善自身的治理结构。解决大多数上市公司控股企业一股独大，侵害中小股东利益的问题;解决大多数上市公司董事会、内审机构形同虚设的问题。只有不断完善公司治理结构，使得公司有一个良好的内部控制环境，内部控制才能落到实处，内部控制审计也才能发挥应有的积极作用。同时，随着公司内部控制制度的不断建立健全，内控审计发挥应有的作用，发过来也能发现公司在治理方面的问题，促进公司治理结构和制度的完善。4.2.2、完善自身内控建设，减少内控审计成本作为公司来讲，减少内控审计成木的唯一途径是完善自身内控的建设。按照企业内部控制基木准则的要求建立健全自身的内部控制体系，使得内部控制设计有效且运行有效。这样就使得外部审计时可以尽可能的利用内部审计的结果，减少内控测试，减少内控审计成本。4.3其他层面的建议4.3.1、规范资本市场提供内部控制审计报告的最终目的是保证财务信息的真实可靠，以便满足外部信息使用者的需求。但是由于前文述及的原因，社会公众可能并不关注财务信息，而且可能有些银行等金融机构在考虑贷款的时候也没有考虑申请贷款企业财务信息的质量。这样的外部环境使得内控审计报告在实际操作层面需求很少，那改变这一现状最关键的还是要进一步规范资本市场。首先，要进一步规范证券市场建设。在我国，不管是新股发行模式还是定价模式，其背后都是由政府来操纵的，而非通过市场竞争来完成。这样的结果导致投资者认为买到了原始股就一定会赚钱所以并不会关注公司的财务状况，而被审计单位因此也就不需要一份高质量的审计报告。因此，要想真正提高财务信息的质量，使得内控审计达到应有效果，在证券市场方面，政府应首先在保证市场稳定有序的前提下，更多的遵循市场经济的规律。其次，对于银行等金融机构，应提高他们自身的风险意识。不能只关注客户的财务信息，而更应当关注公司财务信息的实际质量问题。如贷款时可以考虑根据不同的财务信息质量给予不同的利率标准等等。4.3.2、提高注册会计师行业的执业水平首先，会计师事务所要对注册会计师进行培训和再教育。这里的培训和教育既包括业务素质方面，也包括职业道德方面。在业务素质方面，事务所要不断提高所内从业人员的知识面，以便能更好的适应全面内部控制审计的要求;在职业道德方面，事务所更要予以高度重视。注册会计师的职业道德水平是抵制客户管理当局压力的最关键的也是最后一道防线。所有外在的、强制的规则和限制都要靠注册会计师自身去遵守。第二，采取激励手段防止人员流失。目前我国会计师事务所人才流动量很大，原因主要是审计人员在承受高压、加班的同时并没有获得相应的报酬，工资普遍较低。为了能提高审计质量，提高注册会计师行业的威信力，应当采取一些激励手段，留住人才。4.3.3、避免重复审计，控制审计成本实施审计的过程中，应当尤其遵循成本效益原则。在确保审计质量的大前提下，要尽可能的降低审计成本，提高审计效率。首先，在执行内部控制审计的时候，选择整合审计的方法。与财务报表审计同时进行的财务报告内部控制审计是国家所提倡的审计方法。这是因为单独进行两项审计，会有很多重复的地方。财务报告内部控制审计需要了解和测试企业与财务报告相关的内部控制的设计及运行情况，而财务报表的审计过程中在实质性程序不足以提供充分审计证据的情况下，也要进行内部控制的测试。因此虽然在审计指引中规定，可以采取单独审计的方法，也可以采取整合审计的方法，但是实务中仍然应当采取整合的方法。第二，注册会计师在进行内控审计的时候，要尽可能利用内部审计的成果。这是因为，企业内部也会进行自身的监督检查，其中很多时候涉及到内部控制的监督情况。那么注册会计师如果利用内部审计的结果，就可以减少很多的工作量。但是必须强调的是，注册会计师必须是在充分了解内部获取的证据是充分有效的前提下才能信赖此证据。结论建立一个有效的内部控制体系是公司未来更好发展的基础，这是因为有效的内部控制可以使公司各方面都发挥应有的作用，相互牵制。仅从财务的角度来说，有效的内部控制可以保证财务信息的质量，避免或减少财务失真和重大会计舞弊案件的发生。一个良好的体系需要有相应有效的措施进行监督，因此内部控制审计应运而生。从美国、日本等国家近些年实施内部控制审计的情况，我们了解到实施内部控制审计，确实起到了一个良好的作用，但是同时也会存在一些弊端。我国于2008年颁布《企业内部控制基本规范》，继而于2010年出台了《企业内部控制审计指引》，并且规定执行内部控制基本规范的公司要在20n年开始对与财务报告相关的内部控制进行审计。这些文件的出台，都对我国内部控制审计的发展起到了推动的作用。注释3中华人民共和国则政部等制定.企业内部控制基本规范[M].北京:中国则政经济出版社，2008.6.10.张影.日本企业内部控制审计及其对中国的启示[J].审计与经济研究，2010.613.夏颖.内部控制审计的国际比较及对我国的启示[J].农村则政一与则务，2010，12参考文献[1]COSO制定发布.企业风险管理—整合框架[M].方红星，王宏译.大连:东北财经大学出版社.[2]中华人民共和国财政部等制定.企业内部控制基木规范〔M].北京:中国财政经济出版社，2008.6.[3]陈关亭，张少华.论上市公司内部控制的披露及其审