上市公司内部控制审计相关问题探讨.docVIP

上市公司内部控制审计相关问题的探讨 　　摘要　内部控制审计在我国目前来说还是一项新兴业务，无论是在理论界还是在实务界均有许多问题需要研究。本文鉴于在去施内部控制审计过程中一些有争议的问题提出一些个人的见解， 　　关键词　内部控制　内部控制审计　内部控制基本规范内部控制配套指引 　　中图分类号：C931.2　文献标识码：A 　　 　　2008年5月，财政部会等五部委联合发布了《企业内部控制基本规范》(以下简称《规范》)，标志着我国内部控制审计业务即将展开。2010年4月，五部委又联合发布了《企业内部控制配套指引》(以下简称《指引》)，虽然正式的准则在我国还未出台，但是指引的发布无疑是确定了注册会计师内部控制审计的标准。这个标准的确立标志着在我国保证财务报告可靠性机制建设也被键到了同等重要的地位。同年底，深交所在《关于做好上市公司2010年度报告披露工作的通知》也明确要求中小企业板和创业板公司应当至少每两年要求独立的第三方，即会计师事务所对公司与财务报告相关的内部控制有效性出具一次内部控制审计报告。 　　内部控制审计的定义是会计师事务所接受企业委托，对企业特定基准日(下文会对基准日进行讨论)内部控制设计与运行的有效性进行审计，并对其有效性发表审计意见。与传统的审计业务相比，内部控制审计业务在我国还处于起步阶段，尚存在很多理论和实务问题亟待进一步解决，本文利用现有的《规范》、《指引》，对企业内部控制审计相关问题展开讨论。 　　 　　1　关于内部控制审计业务的类型和目的 　　 　　从我国这些年发布的相关规定来看，早期对于内部控制审计业务的类别或是目的是不太明确的。我们从2002年国家发布的《内部控制审核指导意见》可以注意到，从内部控制审计的定义和后面所述的审计报告的引言段的相关规定来看，审计业务的类引是注册会计师对管理层的对内控的评估进行审核并就此发表审计意见：但该指导意见在审计报告的意见段里又说明审计结果应当说明被审计单位于某一基准日在所有重大方面是否保持了与财务报表相关的、有效的内部控制，这其实又表明内部控制审计的目的是对公司内部控制的有效性进行评价并出具鉴证报告。时至2008年5月22日发布的《企业内部控制基本规范》对于审计业务的类别采用的是后者观点，即对有效性进行评价：“指引征求意见稿”对鉴证报告的引言段的规定及示例又明显的偏向前者。 　　内部控制审计究竟属于哪一种业务，它的目的到底是提高管理层自我评估的可信性还是由第三方进行的、与管理层的自我评估并行的内部控制评价?如果是后者的话，那么管理层对内部控制进行自我评估并公开报告的意义又在哪里?实际上，内部控制评价与注册会计师是两种不同的责任。真正在执业的过程中必须得理清这两者之间的关系，管理层的责任是建立、健全内部控制，并有效的实施内部控制，最后评价其有效性；而注册会计师的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。基于成本与效益原则，两者的工作是可以相互利用的。在对企业内部控制自我评价工作的评估上，注册会计师可以判断或是决定是否利用内部人员的工作，当然不管是否利用他人的工作，会计师事务所都应对发表的审计意见承担全部责任。综上所述，内部控制审计到底是哪一种类型实际上是不重要的，只要在审计的过程中我们能明确为什么要进行这样的审计，怎么来权衡审计成本与效益就可以了。 　　 　　2　关于内部控制审计的方法 　　 　　一项新的业务，我们了解审计的目的后，接着需要知道如何来进行审计，也就是按什么方法按什么步骤来进行审计。是依托传统财务报表审计，还是借鉴现代风险导向审计的理念?SOX颁布后，众多专家学者及一些专业机构都对如何对内部控制进行审计提出了自己的方法，经过研究国外现行的做法，发现其中有一共同点就是基本上都使用了自上而下的方式实施内部控制审计。结合实施风险导向审计的思路，《指引》也规定采用自上而下的审计方法实施审计工作。 　　自上而下的方式第一层是从财务报表层次初步了解内部控制整体风险。第二层是识别企业的内部控制，第三层是识别重要账户、列报及其相关的认定，第四层是了解错报的可能来源及选择将要进行测试的财务报告相关控制，最后一层是执行控制测试。 　　这种方法始于报表层次，结束于控制测试，注册会计师通过初步了解与财务报表相关的风险，可以从整体上识别或是了解为保证财务报告合法公允的内部控制而必需具备的公司层面的内部控制。注册会计通过对企业层面内部控制的评价结果，并以这个结果来重新调整测试其他控制的性质、时间、范围及人员安排等。有鉴于此，注册会计师也可以直接在审计业务的初期阶段就对企业层面的内控进行评价，在一定程度上节约审计成本。 　　在第三个层次上，注册会计师在考虑某账户或列报的重要性时要注意不要首先就考虑相关控制的影响，应把考虑的重点放