内部控制评价和审计优化的对策研究
——以J公司为例

楼一沁 天健会计师事务所

引言

内部控制评价是上市公司对其内部控制的有效性进行全面评价、形成结论、出具报告的过程。内部控制审计是会计师事务所接受委托对被审计单位内部控制设计与运行的有效性进行审计并出具报告的过程。由于内部控制评价报告和内部控制审计报告出具主体、法律依据、使用目的不同，两者结论相悖时有发生。本文通过研究J 石股份有限公司（以下简称J 公司或公司）内部控制评价和审计失败成因，从上市公司、会计师事务所、外部监管三方面提出对策，以期提高内部控制评价和审计结论的有效性与一致性。

一、案例介绍

J 公司成立于20X4 年，201X 年在创业板上市。是一家以人造金刚石及其设备、原辅材料、制品的研发、生产和销售为主的超硬材料行业企业。

202X 年4 月，J 公司修正其20X9 年度业绩预告情况，将预计净利润由盈利修正为巨额亏损。证监会立案调查并予以行政处罚，后被作退市处理。其审计机构亚太会计师事务所（以下简称亚太所）于202X 年8 月被证监会处罚。

（一）J 公司内部控制评价失败

J 公司20X6-202X 年度的内部控制评价结论均为有效，而处罚书明确指出其违规对外提供担保，公司治理和内控机制存在系统性严重缺陷，信息披露严重背离真实、准确、完整、及时的法定要求，内部控制评价失败。

（二）审计报告中财务相关内控审计失败

行政处罚书指出，亚太所对J 公司的审计未勤勉尽责，财务报告相关内部控制审计失败。未发现部分合同存在客户与供应商地址一致的异常情形，对出库单编号不连续且无保管员和经手人签名情形未予关注。未获取重大诉讼事项的判决书，对流动性产生较大影响的债务合同未予重视，未审慎评估诉讼相关的合同是否需要计提预计负债。

二、内部控制评价和审计失败成因

（一）上市公司内部控制运行无效

1.销售与采购业务等内部控制无效运行

内部控制评价报告披露，公司对供应商准入管理进行了规范，对销售业务实行全流程监控。实际上，公司虚构采购业务，通过预付采购款及开具没有真实交易背景的商业汇票向控股股东及其关联方提供资金，造成非经营性资金占用。利用资金流转构成闭环、部分交易以虚假票据及低价值商品抵账、合同标的物及抵账商品未作实际验收等手段虚增销售交易，销售和采购制度无效运行。

2.审计委员会形同虚设

实际控制人决策并主导实施全部违法事项，公司高管知悉并参与，监事在定期报告上签字。审计委员会形同虚设，对内部审计部门工作的执行、结果评估未起到指导、督促整改内控缺陷的职责。

3.未披露资金占用、违规担保

子公司网银IP 地址与股权受让方相同，相关资金经过循环转账留痕于财务部。违规对外担保均未经董事会、股东会决议审批，负责保管公章的监事放任公章被多次违规带出，产生多笔巨额违规担保。公司未按照监管要求披露前述大股东资金占用、违规担保等事项。

（二）会计师审计意见未考虑内部控制缺陷影响

收入核查中，面对出库单不连号、缺少签名等异常事项，会计师不仅未保持职业怀疑，反而让J 公司重新制作出库单作为审计证据。诉讼案件的核查中，用J 公司及其控股股东出具的书面声明替代一审判决书等诉讼材料。在已识别公司与供应商存在大量非经营性往来的前提下，轻信管理层用于受托支付且时间间隔较短的解释，未合理怀疑其存在重大舞弊。未能合理评估J 公司持续经营能力，未将上述内部控制缺陷导致的财务舞弊风险纳入出具审计意见的考虑范围。

（三）外部监管体制有待完善

创业板公司此前并未要求披露经会计师事务所审计的内部控制审计报告。J 公司每年公布的内部控制评价结论、证券公司出具的对其内部控制评价报告的核查意见均为有效，缺少第三方发表独立审计意见。

当前的内部控制评价报告披露规则尚存在改善的空间，比如对重大或重要缺陷的认定标准有待细化，对重复出现的内控缺陷整改监督有待加强。重财务报告信息、轻内部控制信息的错误观念也亟待纠正。

三、提升内部控制有效性的主要途径

造成上市公司内部控制评价报告无效、内部控制审计失败的原因复杂。上市公司内部控制无效运行、会计师审计意见未考虑内部控制缺陷、外部监管主体缺位系主要归因，从这三方面入手提高内部控制评价有效性、防范内部控制审计失败十分必要。

（一）上市公司完善内部控制建设并有效实施

1.完善销售与采购业务相关内部控制制度

完善销售和采购的关键流程，如发货环节由销售部门开具销售通知单，全过程记录销售台账，并通知仓储和财务部门；仓储部门审核销售通知单形成连续编号的发货单据，并保留货物交付环节的物流单据、客户验收单据等；财务部门根据销售通知单、仓库发货单、物流单和验收单等确认收入并跟踪回款。

采购业务应重视验收环节，涉及验收、仓储、材料设备使用、财务等部门，形成多部门牵制机制。如验收环节发现无采购合同、超预算采购等异常情形，及时报告给相关机构处理。

建立销售和采购业务后评估制度，由内部审计等部门对销售商品提供服务和物资采购供应进行专项评估和综合分析，及时发现销售和采购业务薄弱环节，并优化相关流程。定期形成专项报告和整改意见，由审计委员会审阅及评估，督促整改落实。建立关键指标预警机制，例如客户和供应商准入管理、无授权或超额授权合同审批等，设立预警阈值，帮助管理部门及时获得相关资料，采取措施防范风险，提高销售和采购内部治理效能。同时，将内部控制评价有效与否纳入公司绩效考核，倒逼各方落实自身责任，推动内部治理机构有效发挥作用。

2.完善审计委员会治理结构

上市公司选任审计委员会成员时，应关注其独立性和专业胜任能力，确保其专业知识和商业经验具有胜任审计委员会职责的能力，并对审计委员会成员组织相关培训，使之及时掌握法律、会计和监管方面的知识，以保证审计委员会发挥其建立健全内部控制的重要作用。此外，董事会应对审计委员会成员的独立性和履职能力定期评估，及时更换不适合继续担任的成员，并将审计委员会人员构成、专业背景、从业经历和变动情况及时披露于定期报告中。

3.健全资金营运和担保授权制度

建立健全资金营运内部控制制度，加强银行账户的管理，其开立、使用和注销均应有授权。资金经办和审核人员不相容职务分离，与资金支付业务相关的印章应分开保管，防止印章滥用，如财务章、法人章、空白票据应由专人分别保管，互相牵制。

建立和完善担保授权审批、重大担保业务集体决策审批制度。为股东、实际控制人及其关联方提供担保的，应采取回避制度，并要求其提供反担保。经董事会或股东大会决议通过的对外担保事项及时对外披露。独立董事在年度报告中对期末尚未履行完毕和当期发生的对外担保应发表独立意见。

发挥内部审计部门监督作用，对公司“三重一大”事项定期评估，联合公司法律部门日常监控及时发现可能的诉讼事项，倒查违规担保情况。实行担保合同会签联审制度，内审、法律、财务部门参与担保事项的合同审批签订，避免大股东“一言堂”行为。集团企业应注重子公司对外担保制度的建立和实施，防范脱离集团总部审批对外担保情形，避免因或有事项产生大额预计负债导致亏损。

Miseq测序得到的PE reads首先根据overlap关系进行拼接，同时对序列质量进行质量控制和过滤，区分样本后进行OTU聚类分析和物种分类学分析。基于OTU聚类分析结果，进行多种多样性指数分析，以及对测序深度进行检测；基于分类学信息，在各个分类水平上进行群落结构的统计。综合分析可以进行一系列群落结构和系统发育等深入的统计学和可视化分析。

（二）注册会计师应提高内部控制审计质量

1.利用整合审计实现内部控制审计目标

利用整合审计提高审计效率，降低审计成本。内部控制审计应当对所有重要账户和列报的每一个相关认定获取其控制设计及运行有效的审计证据。以销售循环内部控制审计为例，首先，应了解销售业务政策和相关流程，评价其合理性；识别订单处理、发货、开票、收款、调整和账目维护等子流程控制目标和影响的相关账户；了解前述子流程的控制活动、频率、方式、是否为关键控制及其理由、能否应对特别风险等。其次，针对关键控制应执行穿行测试，如果测试结果显示控制设计有效并得到执行，应当对识别的所有关键控制，测试控制运行的有效性；如果控制设计无效，或即使设计有效但并未得到执行，应当要求其对设计无效或未得到执行的控制进行整改并运行足够长时间，再对整改后的控制重新了解和评价。如J 公司的出库单存在不连续和签名缺失情形，应当要求其整改，并重新了解评价和考虑相关缺陷对审计结论的影响。

控制测试样本选择时，应根据控制运行次数、穿行测试评估的控制风险高低决定最小样本规模，并采用频率法抽样方式从总体中选择样本。应详细记录拟测试的各关键控制节点下所取得资料的详细信息，与定义的偏差进行比较，识别是否存在缺陷。例如J 公司部分交易以虚假票据及低价值商品抵账，如果将偏差定义为未按合同约定方式支付，则回款方式为抵账的样本会被高度关注，进而重点核查其抵账金额是否公允。

与管理层沟通时，会计师应当将重大和重要缺陷、审计委员会和内部审计机构无效监督内控等情况予以沟通，并考虑审计范围受限时对内部控制审计意见的影响。

2.重视不同审计证据和结论的相互参照

关注财务报表审计获取的异常审计证据，例如函证程序中，通过对被询证对象收发函地址不同年度、不同发函主体间的勾稽，识别是否存在不同客户和供应商存在相同或相似函证信息的情形。走访程序中，设计由被访谈对象回答的有关关联关系问题，要求对方出具关联关系声明书等以识别是否存在关联交易非关联化、关联交易不公允的情形。收入真实性核查中，根据被审计单位具体收入确认政策，确定核查重点，如以签收作为控制权转让时点的，除检查签收单上签收人和时间的完整性外，还应通过销售合同约定的客户指定签收人、与被审计单位销售人员日常沟通接受产品人员姓名或其他有效途径核实签收单上的人员是否实际为客户方有效签收人员。分析程序中，重点关注与客户、供应商异常的非经营性往来，利用银行流水穿透核查资金走向，必要时结合走访程序向前述公司访谈相关往来款的用途及商业合理性。重视不同审计证据和结论的相互参照，提高内部控制审计意见的有效性。

3.提高内部控制审计项目质量

提高内部控制审计项目质量，项目合伙人及有经验的人员应全程参与审计计划的制定，做出恰当安排并及时指导和复核，安排独立质量控制复核人员对项目重大判断事项复核，强化内部执业质量检查工作，对未按照内部审计准则执业的人员进行处罚。

要求审计人员执行穿行测试、控制测试时，应亲自从被审计单位处获取样本资料，如从装订成册的销售合同中取得影印本，从仓库调取出入库记录手填单，从公司门卫处获取运输出入记录或过磅单据，谨防被审计单位伪造样本。要求注册会计师对项目组成员提供全程督导，对于存在重大错报风险的领域，由注册会计师本人亲自前往取得审计证据，如重要银行账户跟函、重要客户或供应商走访、重要合同和业务资料审查等。要求质量控制复核人员关注内部控制审计基础程序执行情况，如是否已了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系；是否已识别存在重大错报风险的相关账户和认定；获取的审计资料是否支持得到的内部控制审计结论等。

（三）优化外部监管环境

1.完善内部控制信息披露规则

新证券法要求公司控股股东或实控人对重大事件的发生、进展产生较大影响时及时将其知悉的有关情况书面告知公司，并配合公司履行信息披露义务。《上市公司信息披露管理办法》第三十条应当披露的内容包括“财务管理和会计核算的内部控制及监督机制”。实践中应批未批、表示模糊，披露的内部控制仅限财务报告层面。

应完善内部控制信息披露规则，压实信息披露人的主体责任，统一有关情况披露内容要求，压缩企业披露自由裁量权。扩大内部控制的披露范围，增加非财务报告内部控制的内容，增加内部控制五要素的控制措施、执行情况和结果评价。同时，分行业细化重大、重要和一般缺陷的标准、内部控制缺陷认定及整改情况的披露要求。

2.创新监管手段，提升监管效能

建议监管部门利用大数据、云计算、人工智能等技术手段搭建上市公司内部控制评价和内部控制审计报告的数据共享平台，实时追踪披露的有关内部控制缺陷和整改进展情况。并对内部控制评价报告和财务审计报告结论存在重大差异的情况予以重视，及时关注和问询上市公司及其审计机构。

监管部门及行业自律协会对上市公司及其管理人员、审计机构定期开展培训工作，加强有关人员对内部控制评价和审计工作的重视，建立内部控制违法违规行为追责机制，定期通报处罚结果，夯实上市公司和审计机构的履职责任。

结语

上市公司根据内部控制基本规范和评价指引规范设计、运行和评价企业内部控制体系。会计师事务所依据内部控制审计指引对内控有效性发表审计意见，关注财务和非财务报告内部控制缺陷对内部控制和财务报表审计结论的影响。外部监管部门利用大数据创新监管手段，完善监管体制机制。多主体形成合力，推动企业内部控制评价和审计进一步优化，增强资本市场内在稳定性。