浅析内部控制审计中若干误区及应对.docVIP

PAGE PAGE 1 浅析内部控制审计中若干误区及应对 　　【摘要】20世纪以来，陆续曝光的财务舞弊案例，给企业带来了严重的损失、扰乱了社会秩序，引起了国际社会的关注，究其根本原因均是企业内部控制薄弱甚至失效。因此，各国监管机构纷纷加快立法建设，我国财政部、证监会、审计署、银监会、保监会五部委2008年联合发布《企业内部控制基本规范》，2010年联合发布了配套指引，已形成“应用+评价+审计”三者结合的内部控制模式。其中，内部控制审计是企业发展需要，有利于内部控制的循序改进，帮助企业、单位维持有效的内部控制。然而在实际实施过程中，仍存在着内部控制审计技术不到位的问题，本文即是从技术层面剖析内部控制审计执行中的一些误区，并提出应对措施，以期为内部控制审计提供一些思路。从开展内部控制审计工作的上市公司来看，95%以上财报审计是由同一家会计师事务所实施的，因此本文以下讨论也基于整合审计而展开。 　　【关键词】内部控制；审计；误区；应对措施 　　一、内部控制审计的概念以及在我国的实际开展情况 　　内部控制审计是评价企业、单位内部控制是否有效的一种现代审计方法，是对内部控制的再控制，包括评价内部控制设计与运行缺陷、分析原因、提出应对措施等，主要从评价内部控制的合法性、完整性、有效性几方面开展。 　　财政部、证监会、审计署、银监会、保监会五部委2008年联合发布的《企业内部控制基本规范》是其重要依据。2010年五部委联合发布了配套指引，该指引同时规定了执行的时间表，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。但是2012年财政部办公厅、证监会办公厅再次发布了推迟的时间表，2012年需要内控审计的上市公司缩小到了中央和地方国有控股上市公司，2014年才最终扩大到所有主板上市公司。 　　二、内部控制审计中存在的误区及应对措施 　　（一）未准确应用风险导向审计理念，教条化的使用准则、生搬硬套 　　风险评估程序是内部控制审计的核心所在，也是审计过程中不可缺少的一个步骤，即注册会计师应对内部控制的有效性等重要事项进行风险评估，据以确定相应审计程序的性质、时间和范围。然而，实务中往往存在这样的现象，即按照内部控制运用指引分模块按矩阵对企业内部业务流程逐个测试，但是首先应用指引是以制造业为例的，对其他诸如服务业、建筑业却是不完全适用的；其次，指引中只是指出了18项流程中的关键控制点，一般企业会有数百项流程且各有其独特之处。因此，18项应用指引只是在进行内部控制审计时的指导和参考，注册会计师应当在了解企业行业特点、自身经营特点的基础上，首先，对企业的业务流程进行梳理，评估重大错报风险；其次，对于已识别的风险，注册会计师应当评价其对财务报表和内部控制的影响程度；最后，注册会计师应当更多地关注内部控制审计的高风险领域，开展审计程序，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。 　　（二）重要组成部分的界定 　　审计准则“对集团审计的特殊考虑”里明确界定了重要组成部分，内部控制审计指引也援引了上述界定，其中重要组成部分分为两类，一类是具有财务重大性，第二类是具有特别风险的也就是因为特定性质和情况，可能导致集团财务报表产生重大错报风险的部分。除重要组成部分外，其余为一般组成部分，一般组成部分中，根据需要仅测试与重要账户、列报及其相关认定相关的流程控制；对不重要的组成部分，不实施内控测试。在实务中，我们注意到，有的注册会计师会对所有组成部分均进行控制测试；有的仅依据财务重大性确定重要组成部分，以上均存在误区。 　　那么，如何做到准确把握重要组成部分呢？这就要求审计人员在审计计划阶段先行考虑，可根据单体财务报表指标占集团财务报表的比重首先列出财务重大性组成部分；其次在考虑外部环境、内部环境的基础上，确定特定风险组成部分。如果某些组成部分单独或连同其他组成部分导致合并财务报表出现重大错报的可能性极小，注册会计师无需进一步考虑这些组成部分；对风险较低的组成部分，注册会计师可以首先评价、测试企业层面控制能否提供充分、适当的证据，如果能提供充分、适当的证据，注册会计师对这些组成部分可以仅测试企业层面控制；如果某项风险导致企业合并财务报表发生重大错报的可能性不是极小，注册会计师应当测试针对该项风险而实施的控制。 　　（三）混淆内部控制审计和财报审计内部控制测试 　　在整合审计中，财报审计的内部控制测试是在内部控制审计程序中一并进行的，但是两者的目的是不同的，故而要区别来看，内控审计是风险—财务报表应对—控制的识别过程；对财报审计来说，甚至可以直接实施实质性方案，而不进行控制测