提高内部控制审计效果的措施

肖正森

摘要：设计合理和运行良好的内部控制是企业健康发展的基础，然而当前国内企业内部控制普遍存在问题，如何有效地实施内部控制审计程序，在保证审计效果的基础上提高审计效率，是本文考虑的重点之一。此外财务报表审计与内部控制审计之间存在很多相似之处，两种审计所进行的工作成果可以相互借鉴、利用，本文主要从这几个方面作出较详细的阐述。

ス丶词：内部控制；内部控制审计；控制测试

企业内部控制是由企业董事会制定和实施的，旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规，资产安全，财务报告及相关信息真实完整，提高企业经营效率和效果，促进企业持续发展的战略目标。

根据相关规定，为企业提供内部控制咨询的注册会计师，不得同时为企业提供内部控制审计服务。否则注册会计师的审计独立性将会受到影响，内部控制审计的效果也必然受到影响。

ゴ永砺凵辖玻由同一个或者不同的事务所分别承担这两项业务都是可行的，但是，从实际运行成本来看，由不同的事务所分别承担不符合成本效益原则，对企业内部控制的了解及对部分内部控制的测试工作都会被重复执行，会明显增加被审计单位的经济负担。因此，应当由同一事物所，甚至同一审计小组来同时承担这两项审计业务，一方面减轻被审计单位的负担，提高注册会计师的审计效率，另一方面，两项业务同时执行的过程中，注册会计师可以对被审计单位有更深的了解，一些审计证据也会在两项业务中得到多次确认，从而也能提高审计的效果，是一种经济可行审计模式。

ツ诓靠刂剖侵钙笠档娜面内部控制，而不是仅指与财务报告相关的内部控制。不过与之配套的《企业内部控制鉴证指引》（征求意见稿）的第一章第二条却指出：本指引所称企业内部控制鉴证，是指会计师事务所接受委托，鉴证企业与财务报告相关的内部控制的有效性，并发表鉴证意见。

ジ据《企业内部控制审计指引》的要求，内部控制审计业务应当包括五个步骤：计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告。

ゼ苹审计工作时，注册会计师需要考虑各项因素对内部控制及审计程序的影响，如与企业相关的风险、企业内部控制最近发生的变化、组织结构的复杂程度、对内部控制有效性的初步判断等等。在制定计划时，注册会计师就应当根据被审单位的具体情况，确定重点审计领域和具体的审计方案，并选择拟进行的控制测试。

プ⒉峄峒剖τΦ辈捎米陨隙下的方法实施审计工作，先了解并测试公司层的控制，然后对财务报表重要账户的控制进行测试，最后是具体的业务流程和交易的控制测试，每个步骤所获取的信息都将审计人员指向下一步的高风险领域。

ピ谥葱芯咛宓纳蠹瞥绦蚴保注册会计师可以执行穿行测试，以追踪某笔交易在企业控制信息系统中的处理流程。在执行穿行测试时，注册会计师使用与企业相同的凭证和信息技术进行测试，并综合运用询问、观察、检查及重新执行等程序。注册会计师应当考虑尽量在接近管理层评估日执行，并且其测试需要涵盖足够长的期间，足以对企业内部控制发表审计意见。

ピ谄兰劭刂迫毕菔保注册会计师应当综合考虑各项控制具体测试结论，足以支持最终对企业内部控制发表的审计意见。企业内部控制缺陷包括两个因素：一、企业控制能否防止或发现账户余额或列报错报；二、因一项或多项内部控制的不完善将会导致潜在的错报风险。

ネ瓿缮蠹乒ぷ靼括三个方面：形成审计意见、获取管理层声明、与补审单位最终沟通。注册会计师应当根据所获取的审计证据形成对内部控制有效性的意见，还应当就一些事项向企业管理层获取书面声明，注册会计师在同时执行这两项审计时应当考虑哪些沟通可以合并进行，哪些必须单独进行，一方面既可以满足全面沟通的需要，同时也可以提高审计效率。

プ詈螅出具审计报告时，注册会计师应当以审计证据作为形成内部控制审计意见的基础，单独对内部控制出具报告，在审计报告中清楚地表达意见，并对出具的审计报告负责。当按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》等的要求，在所有重大方面制定和实施了有效的内部控制，且执行审计程序的注册会计师已经按照《企业内部控制审计指引》的要求计划和实施相应了审计工作，并且在审计过程中未受到限制，在这种情况下注册会计师应当对内部控制出具无保留意见的审计报告。若注册会计师认为其存在一项或多项重大缺陷的，除审计范围受到限制，应当对内部控制发表否定意见的审计报告，且报告中应当包括对重大缺陷的定义，以及重大缺陷的性质及其对财务报告内部控制的影响程度这两个内容。当注册会计师内部控制审计范围受到较大限制时，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况以书面形式与董事会进行沟通。

プ⒉峄峒剖υ诮行内部控制审计时应当充分考虑其与财务报表审计的关系，财务报表审计和内部控制审计之间密切相联，它们之间即有联系又有区别。

ナ紫龋两种审计中是否对内部控制进行测试的要求是不同的。财务报表审计中，注册会计师必须首先了解企业的内部控制，进而根据其职业判断确定该企业的内控是否有效，若有效则可进行控制测试，否则直接实施实质性程序，或者注册会计师基于审计成本和效益考虑，可以选择放弃内控测试而直接进入实质性程序。而内控审计是要对企业内部控制发表审计意见，根据注册会计师的判断不管其是否有效，都需要执行从制定审计计划、实施控制测试到评价内部控制存在的缺陷，最终形成内部控制审计报告这一系列程序，可见，这是对企业内部控制的设计和执行有效性进行的全面评价。

テ浯危二者对内部控制有效性评价结论的准确程度要求不同。内控审计需要注册会计师对企业内控的制定和执行是否有效发表审计意见，因此评价结论要保证有较高的水平；而财务报表审计中对内控的测试只是制定实施实质性测试审计程序的依据。若对内部控制的有效性给予较低的信赖，这样会增加实质性测试的工作量，会影响审计效率。但若对内部控制的有效性给予较高的信赖，则会增加审计风险，影响审计质量。

サ谌，两种审计对注册会计师的职业判断能力要求不同，且注册会计师所承担的责任也有所不同。企业内部控制的复杂程度与企业规模、性质等因素有关，在制定内部控制审计计划时需要注册会计师具体问题具体分析，因此其难度更大。在对内部控制完成控制测试后，注册会计师需要评价内部控制存在的风险，以进一步确定的审计范围及审计意见类型，而内部控制评价一直是内部控制审计中难度最大的一个方面，这需要注册会计师进行大量的职业判断。

在财务报表审计中，为了降低审计风险，注册会计师可以对企业的内部控制作出较保守的评价，而多实施一些实质性程序，这样会影响到审计的效率，但对审计效果一般不会产生影响，这种情况下注册会计师对内部控制的职业判断要求可以降低。

ゾ」苋绱耍但内部控制审计与财务报表审计之间存在必然的联系。

サ鼻暗牟莆癖ū砩蠹撇捎玫氖窍执风险导向审计模式，这种方法要求注册会计师通过对企业情况的了解，评估出报表层次和认定层次的重大错报风险，进而确定总体应对方案和进一步审计程序；在内部控制审计中《企业内部控制审计指引》要求审计人员采用自上而下的审计方法，先了解并测试公司管理层的控制，然后是财务报表层的控制，再往下是具体的业务流程和交易的控制。该方法每个步骤所获取的信息都将审计人员指向下一步的高风险领域，其本身也有风险导向审计的特点。

ゴ佣阅诓靠刂频牧私夂筒馐岳纯矗为对财务报表发表意见，注册会计师一般要执行控制测试和实质性程序，但控制测试并不是必需程序，当注册会计师通过对企业的风险评估确定内部控制无效时，可以直接实施实质性程序，当拟信赖其内部控制时，则可进行控制测试，目的是评估控制风险进而评估重大错报风险。在内部控制审计中，控制测试测是必须实施的程序，其目的是获取内部控制设计是否合理，执行是否有效的证据，足以支持注册会计师对管理层的内部控制公允地发表审计意见。尽管存在这些差别，两种审计中对内部控制的测试还是有许多相似之处的，为对管理层认定发表意见而对内部控制有效性提出结论时，注册会计师应考虑对财务报表发表意见而执行的控制测试的结果，为确定在财务报表审计中是否要对内部控制进行测试也应考虑是否以内部控制审计的结果为依据。（作者单位：江苏中兴会计师事务所）

オオおおげ慰嘉南祝

ぃ1］ 中华人民共和国财政部等五部委，企业内部控制基本规范 企业内部控制鉴证指引 （征求意见稿），2008

ぃ2］ 中国注册会计师协会，审计［M］，中国时政经济出版社，2008

ぃ3］ 张龙平、陈作习，财务报告内部控制审计的研究综述［J］，审计月刊，2008.11

ぃ4］ 中华人民共和国财政部等五部委，企业内部控制配套指引，2010

ぃ5］ 刘明辉、何敬，内部控制鉴证的时点与时期之争［J］，中国注册会计师，2009.8