内部控制审计报告的三种意见

2024-07-13 04:11:00 来源 : haohaofanwen.com 投稿人 : admin

下面是好好范文网小编收集整理的内部控制审计报告的三种意见，仅供参考，欢迎大家阅读！

内部控制审计报告的三种意见

第1篇

一、内部控制审计概述

企业的管理活动中，内部控制起到非常重要的作用，当前的内部控制主要试图解决以下三个问题：财务报告与相关信息是否可靠，资产的是否安全完整，法律法规的是否得到遵循。安然公司和世通公司的财务舞弊丑闻推动了《萨班斯法案》的出台，美国公众公司会计监督委员会（PCAOB）随后配合出台的第二号审计准则（AS2）以及第五号准则（AS5）,使得内部控制审计业务成为一项新的独立的业务，此项业务与财务报表审计业务并行。内部控制审计目标是：注册会计师通过内部控制审计工作，关注企业管理层呈报的财务报告内部控制，注册会计师对有效性进行评价，并发表相应的审计意见。

《企业内部控制审计指引》关于内部控制审计的定义：内部控制审计是会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。企业内部控制审计的方法有两种，一种是详细评价法，一种是自上而下的方法。详细评价法是按照当时国际上权威机构设计的内部控制框架，对照评价对象内部控制要素健全性、设计合理性，然后再通过测试内部控制的运行有效性，最后综合考虑测试设计和运行的结果，得出总体的评价结论。而我国《企业内部控制审计指引》要求采用自上而下的审计方法。

二、内部控制审计报告与定义

内部控制审计报告作为一种载体，承载了内部控制审计的结果，它是内部控制审计结果的书面性文件，它的强制性公开披露可以使利益相关者了解上市公司的内部控制是否健全有效，是否存在缺陷，有效准确的报告可以为利益相关者的决策提供依据。

美国关于内部控制审计报告定义：注册会计师根据SEC和PCAOB的相关规定，在实施对企业管理当局关于内部控制的评估的有效性进行评价这一工作的基础上，发表审计意见的书面文件。经过相关资料的查询，我国目前并没有关于内部控制审计报告确切的定义，由于之前审计报告主要是财务报表审计报告，因此在各种出版物和政策法规中关于审计报告的定义更多的意指财务报表审计报告。由此，本文结合传统财务报表审计报告的定义和美国的经验，尝试对内部控制审计报告下一个定义。内部控制审计报告是指中国注册会计师根据《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，在认识内部控制局限性以及执行内部控制审计工作的基础上，主要关注企业的财务报告内部控制的有效性、健全性，同时披露非财务报告内部控制的是否存在重大缺陷，最终针对审计情况发表审计意见的书面文件。

三、内部控制审计报告的要素

1.内部控制审计报告与财务报表审计报告在要素上具有很多不同，例如，在标题使用上，财务报表审计报告之前大多称为“审计报告”，《企业内部控制审计指引》中规定为“内部控制审计报告”。引言段部分，内部控制审计报告规定“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求”。财务报表审计报告引言段中规定要按照中国注册会计师执业准则。在企业对内部控制的责任段，内部控制审计报告规定：按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。财务报表审计报告中没有类似描

述。在注册会计师的责任段，内部控制审计报告规定：我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的

重大缺陷进行披露等。

2.内部控制审计报告要素内容解析

（1）由对比可以看出，以后上市公司披露相关公告的时候，在标题上要区分财务报表审计报告和内部控制审计报告，以免混淆。

（2）内部控制审计期间和标准。众所周知，财务报表是涵盖了一个期间，《企业内部控制审计指引》虽然规定内部控制审计主要是财务报告内部控制审计，在具体的审计工作执行中是选中某一日，作为基准日，审计人员根据从这一基准日执行的内部控制审计工作对内部控制有效性发表意见。通常在实务中，企业要进行内部控制自我评价，CPA 只需要对自我评价的有效性发表意见即可。

（3）内部控制固有局限性的说明段。进行内部控制审计的注册会计师需要在此段内说明内控的固有的局限性，存在不能防止错报的可能性，同样存在不能发现错报的可能性。实务中的具体情况的不断变化也可能引起内部控制的有效性失效，内部控制本来制定的控制程序的效果有可能降低，报告中的反映的结果并不一定准确，存在不能反映未来的内部控制的有效性与否的可能性。

（4）非财务报告内部控制重大缺陷描述段。企业的内部控制缺陷对企业内部控制的影响程度不同，按照其影响程度不同进行分类，主要有重大缺陷、重要缺陷和一般缺陷。CPA 应评价企业存在的内部控制缺陷的严重程度，找出存在的重大缺陷。如果 CPA 发现企业的管理程序方法对编制的内部控制目标有重大不利影响，且确定属于这些重大不利影响属于非财务报告内部控制缺陷重大缺陷，在与企业董事会和经理层进行沟通的时候，应当采用采用书面的形式，来达到改进企业的管理的目的；与此同时，内部控制审计报告中应当增加非财务报告内部控制重大缺陷描述段，主要对重大缺陷的性质、实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险，但无需对非财务报告内部控制发表审计意见。

四、内部控制审计报告的意见类型

2004 年 12 月 3 日，美国公众公司会计监管委员会（PCAOB）的 AS2 对财务报告内部控制审计作了详细的规定。内部控制审计报告作为一份独立的第三方报告，由外部审计人员审计后，注册会计师给出审计意见出具报告。

美国内部控制审计报告意见类型及标准如下：

（1）无保留意见。审计范围没有收到限制，内部控制不存在一项或者多项缺陷，可以参考内审人员的成果。

（2）保留意见。审计范围一定程度上受到限制。

（3）无法表示意见。审计范围一定程度上受到限制。

（4）否定意见。内部控制存在一项或者多项缺项。

我国的《企业内部控制审计指引》规定的内部控制审计报告共有四种审计意见类型：标准无保留意见，带强调事项段的无保留意见，否定意见，无法表示意见。其意见类型及标准如下：

（1）标准无保留意见。上市公司符合下面两个条件，CPA 应当对财务报告内部控制出具无保留意见的内部控制审计报告：企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

（2）带强调事项段的无保留意见。注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明;注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。

（3）否定意见。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见，注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：重大缺陷的定义；重大缺陷的性质及其对财务报告内部控制的影响程度。

（4）无法表示意见。注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通；注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见；注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明五、内部控制审计报告的披露方式

1.美国内部控制审计报告的披露方式

美国公众公司会计监管委员会（PCAOB）规定注册会计师可以选择单独出具内部控制审计报告，或者采用和财务报表审计报告合并出具一份报告的方式。如果注册会计师采用内部控制审计报告单独出具的形式，那么他在出具内部控制审计报告时候要增加一段说明段：根据美国公众公司会计监管委员会的要求，我们还审计了该公司的财务报表，并且出具报告，发表了财务报表审计意见类型。

如果注册会计师采用与财务报表审计报告合并出具一份审计报告的方式，则内部控制审计意见和财务报表审计意见在同一份报告上公告。

2.我国的内部控制审计报告披露形式

《企业内部控制审计指引》规定，我国内部控制审计报告采用单独出具一份报告的披露形式。但是在实施具体审计工作中时，可以采取与财务报表审计整合进行的方法。

六、结语

通过比较美国内部审计报告与中国内部审计报告在定义、要素、意见类型、披露方式等方面的不同之后，我们可以看到，中国内部审计报告在吸收了美国内部审计报告一部分内容的同时，也加入了中国特色的元素。由于我国内部控制审计发展比较晚，且《指引》刚刚颁布实施，关于内部控制审计指引的实施案例相对匮乏，所以本文不能结合全面我国内部控制实施的情况，对内部控制审计报告的披露情况进行研究和探索，这是本文研究的局限所在，希望未来能够在本文的研究基础上深入探索，以期为我国内部控制审计业务服务。

参考文献

[1] 李荣,吴益兵.美国财务呈报内部控制审计报告及其比较[J].财会通讯,2005 年第 8 期.

第2篇

关键词：内部控制审计；财务报告质量；相关性

中图分类号：F239 文献识别码：A 文章编号：1001-828X（2016）015-000-01

现代企业内部控制审计始于本世纪初期（2002年），最早由美国发起，而在上个世纪九十年代末期（1997年）美国安然公司就出现过利用非法手段隐藏公司债务、操纵近6亿美元的利润，最终的结果就是公司破产。再如，世通公司在市场扩张的过程中，公司内部管理出现了问题，即管理层失误的决策，盲目进行低成本扩张，大肆造假支出，掩人耳目虚增企业的市场利润和现金流，最终的结果也是倒闭破产。即使是在今天，国内外企业财务欺诈事件时有发生，在这种情况下，真正遇到侵害的是利用相关者，其造成的损失是巨大的，是社会性的。我国现代财务会计领域的发展起步比较晚，现代内部控制审计体系也不够完善、成熟，本文正是基于这种背景环境，从当前我国特殊的市场经济制度为出发点，就财务会计的发展、内部控制审计制度的演进，对审计流程、标准的选取与实施路径简要探究。

一、财务会计和内部控制审计现状

1.内部控制和内部控制审计

关于“内部控制”，我国在该领域的研究和发展，兴起比较晚。在2008年，我国财政部门联合其他四大部门联合制定、颁布、施行了《企业内部控制的基本规范》这一章程标准，其中首次明确规范了内部控制的含义。即“为了保证公司生产经营管理的合法合规，提高生产经营的效率和效果，确保财务报表信息的真正可靠，由企业的股东会、董事、监事、经理层及全体员工共同实施的过程”。

2.企业财务会计制度

新时期新经济形势下，随着我国经济的不断发展，社会各行业发展领域及其所处环境也在不断变化、演进之中。在这种复杂而又激烈的市场经济环境下，市场经济主体所遭受到的最大影响因素还是来自于内部会计运作模式，换言之就是指在新形势下财务会计所处环境在不断变革之中，并且受到社会环境中经济、政治、法制等众多因素的影响，进而呈现为当下人们所看到的多元化、信息化、人力资源化等特点。总体来评价，财务会计及其环境已经成为会计理论结构中不可或缺的重要组成部分，无论是对于企业价值的实现，还是对于社会经济的发展，都起到着重要的促进功用。

二、内部控制审计和财务报告质量相关性

1.新时期资本市场财务环境分析

① 人力的资本化。当今世界是以知识经济为核心的互联网信息时代，随着技术经济在社会和企业发展中的作用日益突出、显著，企业更加注重人在生产要素中所发挥出的巨大作用。简单一点讲，现代企业无论是在经营管理理念上，还是在财务会计实施策略上，对于人力资本的投入，就具有一定的科学合理体系，也初步形成了现代企业价值观，任何资本投入都是有价值的。② 主体的多元化。社会经济主体的多元化，主要体现在产业经济结构上，比如，在经济主体层面上，我国包括国营经济、外商投资经济、个体经济、中外投资经济等。主体多元化，势必会导致与催生利益多元化，继而引发出一系列利益冲突，简单一点讲就是市场竞争程度加强，各企业的竞争实力也得到加强。现代企业会有针对性的给出相对精确的目标，长此以往，创新型的财务会计信息技术也就逐渐得以形成，并在此基础上加以创新，产生了一个全新的会计信息运行体制。③ 计量属性的转变。在现代社会，人们一般都会重点研究与议论财务会计的价值，但是财务会计的价值是多方面的，包括企业市场价值、企业会计的公允价值、内在价值等，无论如何，有一点不容置疑，即财务会计的价值是面向过去时间的，这也就是我们常提到的历史成本。如果我们从企业现行低成本或者是企业市面价格来计算，那么所估算出来的企业价值中所涉及到各指标要素，以历史价值作为可靠，并且它与企业未来现金流量之间具有较强的关联性。

2.提出假设

根据前面相关理论和实践内容的概述，基于内部控制审计与财务报告之间的相关性，在这里提出假设（包含两个）。问题假设一，上市公司被强制性披露内部控制审计报告之后，可以预想到，公司内部控制审计的引入以及在公司规章规范中的确立，在一定程度上有助于公司财务报表审计质量的提升；问题假设二，依据前面提到的整合审计大发展趋势，可以猜想到，上市公司内部控制审计和财务报表审计整合程度越高，就更加有助于公司财务报表审计质量的提升。根据上述两个问题假设的提出，也印证了本文研究的核心论点，即上市公司在公司内部治理中运用并强化现代内部控制审计，可有效地提高公司财务报告质量。

三、结语

样本公司各项财务数据指标在强制性内部控制审计实施前后的变化可以观察出，在强制性披露政策实施之后，总资产自然对数有所下降，但是幅度不大，换言之就是公司总资产规模没有发生较大改变。此外，均值有所下降，这一点主要表明了公司对重大客户、投资者在财务上依赖程度与最终的财务审计质量会产生一些影响。除此之外，包括公司损益、净资产收益率以及财务风险等，均呈现小幅度下降，这些变化足以表明公司财务状况比强制性内部控制审计实施之前改善很大，特别是在盈余管理动机层面，审计质量显著提升。

参考文献：

[1]王杏芬.整合审计提高了财务报告质量吗？――系统协同理论视角的经验证据[J].江西财经大学学报，2011，（4）：26-33.

第3篇

关键词：浙江省上市公司内部控制审计审计报告

一、制度背景

根据中国证监督管理委员会颁布的《关于做好上市公司内部控制规范试点有关工作的通知》和《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，自2011年起，境内外同时上市的公司和纳入试点范围的上市公司应披露内部控制审计报告；自2012年起，国有控股的主板上市公司应披露内部控制审计报告；自2013年起，非国有控股且总市值和净利润达到一定标准以上的主板上市公司，应披露内部控制审计报告；自2014年起，所有主板上市公司均应披露内部控制审计报告。

根据《深圳证券交易所中小企业板上市公司规范运作指引》，中小企业板上市公司应当至少每两年披露一次内部控制审计报告。根据《深圳证券交易所创业板上市公司规范运作指引》，创业板上市公司应当至少每两年披露一次内部控制鉴证报告。

随着内部控制审计相关制度的颁布，对审计报告的研究就显得尤为重要。本文以浙江省上市公司披露的2011-2013年度内部控制审计报告为研究对象，对报告的总体特征进行分析，指出了其存在的主要问题，并提出相关建议，以期为内部控制审计工作的全面推进、内部控制审计制度的不断完善提供参考。

二、浙江省上市公司内部控制审计报告的总体披露情况

（一）上市公司披露内部控制审计报告的数量逐年增加

根据上市公司公告信息统计（见表1），2011年，浙江主板上市公司共89家，披露2011年度内部控制审计报告的上市公司为15家，占主板上市公司总数量的17%；2012年，浙江主板上市公司共93家，披露2012年度内部控制审计报告的上市公司为41家，占主板上市公司总数量的44%；2013年，浙江主板上市公司仍为93家，披露2013年度内部控制审计报告的上市公司为56家，占主板上市公司总数量的60%。浙江主板上市公司中披露内部控制审计报告的公司数量2013年较2011年增加41家，占总数量的比例增加了43%。

浙江中小企业板上市公司中披露2011-2013年度内部控制审计报告的公司数量：2011年度最多，达到78家，占浙江中小企业板上市公司总数量的66%；2012年度出现下降，只有51家，占浙江中小企业板上市公司总数量的43%；2013年度有所上升，为73家，占浙江中小企业板上市公司总数量的61%。三年中，披露内部控制审计报告的浙江中小企业板上市公司数量出现增减波动的原因是：《深圳证券交易所中小企业板上市公司规范运作指引》要求中小企业板上市公司至少每两年实施一次内部控制审计，所以，2011年度实施过内部控制审计的部分上市公司2012年度就不再实施内部控制审计，导致2012年度披露内部控制审计报告的公司数量有所减少。经进一步研究分析，2011-2013年，所有119家浙江中小企业板上市公司均至少披露了一次内部控制审计报告，因此“中小企业板上市公司至少每两年实施一次内部控制审计”的要求达成率为100%。

浙江创业板上市公司中披露2011-2013年度内部控制审计报告的公司数量：2011年为11家，占浙江创业板上市公司总数量的41%；2012年为13家，占总数量的36%；2013年为22家，占总数量的61%。披露内部控制审计报告的浙江创业板上市公司数量逐年递增。深圳证券交易所要求创业板上市公司至少每两年披露一次内部控制鉴证报告。经进一步深入研究分析，2011-2013年，36家浙江创业板上市公司中有33家公司至少披露了一次内部控制鉴证报告，有3家公司（南方泵业、开山股份、温州宏丰）三年间未披露一次内部控制鉴证报告。

（二）标准无保留意见的内部控制审计报告在审计意见类型中占绝对多数

浙江省上市公司披露的2011年度和2012年度内部控制审计报告意见类型均为标准无保留意见，占报告总量的100%；2013年度内部控制审计报告共计151份，除2份报告的意见类型为非标准无保留意见外，其余149份报告均为标准无保留意见，占报告总量的98%，详见表2。由此可见，随着企业内部控制规范体系在上市公司范围内分类分批实施，公司愈来愈意识到建立并实施有效的内控是本公司的重要责任，因此注册会计师在内部控制审计中对财务报告内控的有效性做出标准无保留意见的审计报告占绝对多数。

（三）同一家会计师事务所负责同一上市公司的内部控制审计和财务报表审计

将出具内部控制审计报告的会计师事务所与出具财务报表审计报告的会计师事务所进行对比分析，我们发现，2011-2013年度，所有披露内部控制审计报告的浙江省上市公司，其聘请的实施内控审计业务的会计师事务所就是为其提供年报审计服务的会计师事务所，整合审计比例为100%。

进一步研究，我们还发现，2011-2013年度，浙江省上市公司中变更了实施内部控制审计的会计师事务所的共有2家，分别是中恒电气、艾迪西。为中恒电气实施2013年度内部控制审计的会计师事务所由天健会计师事务所变更为瑞华会计师事务所，相应为中恒电气实施2013年度财务报表审计的会计师事务所也由天健会计师事务所变更为瑞华会计师事务所。为艾迪西实施2013年度内部控制审计的会计师事务所由中准会计师事务所变更为立信会计师事务所，相应为该公司实施2013年度财务报表审计的会计师事务所也由中准会计师事务所变更为立信会计师事务所。由此可见，即使上市公司由于种种原因变更会计师事务所，从成本效益角度出发，上市公司仍会聘请变更后的同一家会计师为其实施内部控制审计和财务报表审计，整合审计是一个主趋势。

三、存在的问题

（一）中小企业板上市公司内部控制审计报告的规范性低于主板上市公司

财政部和证监会联合的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，对不同类型的主板上市公司何时实施《企业内部控制审计指引》做出了明确规定。这样，审计人员对主板上市公司进行内部控制审计时有据可依。2013年度，浙江省主板上市公司披露内控审计报告共56份，其中54份为依据《企业内部控制审计指引》出具的审计报告，2份为依据《中国注册会计师其他鉴证业务准则第3 101号》的规定出具的鉴证报告。披露内部控制鉴证报告的2家公司分别为三江购物和卧龙地产，这两家公司由于未在证监会要求2013年强制披露内控审计报告的主板上市公司范围内，所以仅披露了内部控制鉴证报告。根据三江购物和卧龙地产的2013年报显示，两家公司都定于2014年起出具内部控制审计报告。因此，主板上市公司遵循了《企业内部控制审计指引》的相关规定，较为规范。

浙江省创业板上市公司2013年度披露的22份内部控制审计报告中，依据《中国注册会计师其他鉴证业务准则第3 101号》的规定出具的鉴证报告21份，占95%，与创业板上市公司应披露内部控制鉴证报告的规定基本相符。

但是，浙江省中小企业板上市公司披露的内部控制审计报告中却出现了报告标题多样、审计依据多样、名为审计报告实为鉴证报告等情况。2013年度，浙江省中小企业板上市公司披露内部控制审计报告共73份，其中审计报告标题为“内部控制专项报告”1份；标题为“内部控制审核报告”1份，标题为“内部控制鉴证报告”23份，标题为“内部控制审计报告”48份。进一步分析，48份标题为“内部控制审计报告”的报告中，真正依据《企业内部控制审计指引》实施审计的仅1份，其余47份均是依据《中国注册会计师其他鉴证业务准则第3 101号》出具的，审计范围也只是对公司编制的财务报告内控自我评价报告发表意见，报告格式与其他标题为“内部控制鉴证报告”的报告一致，所以48份题为“内部控制审计报告”的报告中47份属于“名为审计报告实为鉴证报告”。中小企业板上市公司披露的内部控制审计报告之所以会出现报告标准不统一的情况，是因为证券交易所虽然颁布文件要求中小企业板上市公司至少每两年披露一次内部控制审计报告，但对中小企业板上市公司内部控制审计具体如何开展以及报告的格式均未作出明确规定。

（二）内部控制审计报告中对“非财务报告内部控制的重大缺陷”描述段鲜有提及

根据《企业内部控制审计指引》第四条，注册会计师在实施内部控制审计过程中如果注意到非财务报告内部控制的重大缺陷，应在报告中增加对该事项的描述。

2013年度，浙江省上市公司披露的依据《企业内部控制审计指引》出具的内部控制审计报告共计55份（主板54份，中小企业板1份），其中仅有1份内部控制审计报告披露了“非财务报告内部控制的重大缺陷”，其余54份均未在报告中提及是否注意到非财务报告内部控制的重大缺陷。披露了“非财务报告内部控制的重大缺陷”的上市公司为主板上市公司钱江摩托。注册会计师对“钱江摩托之子公司在外销业务中对终端客户所在国的政治经济风险缺乏系统的评价体系以应对相应的经营风险”认定为非财务报告内部控制的重大缺陷，但钱江摩托公司出具的《2013年度内部控制自我评价报告》，仅认为“公司非财务报告内部控制有一定的不足之处”，并没有明确说是否是重大缺陷。上市公司内部控制自我评价报告中有关对非财务报告内部控制重大缺陷的认定，与注册会计师出具的内部控制审计报告中的认定并不完全一致。

四、相关的建议

（一）尽快出台中小企业板上市公司内部控制审计的具体实施办法

从前面的数据分析，我们看到中小企业板虽然披露内部控制审计报告的公司数量较多，但报告的规范性、信息披露的质量远不及主板上市公司。其主要原因是一方面政府相关部门尚未要求中小企业板上市公司实施企业内部控制规范体系，另一方面证券交易所又规定中小企业板上市公司需要披露内部控制审计报告。因此政府职能部门应相互协调，尽快出台中小企业板上市公司实施内部控制规范体系的时间表，或者对中小企业板上市公司内部控制审计制定具体实施指南，规范中小企业板上市公司内部控制审计报告的基本格式，提高中小企业板上市公司内部控制审计报告的质量和可比性。

（二）不断健全内部控制缺陷披露制度

内部控制缺陷是反映上市公司内控是否有效的负向指标。上市公司对内部控制缺陷披露模糊，不利于监管单位、投资者判断上市公司内部控制的有效性，影响其做出恰当的监管决策和投资决定。此外《企业内部控制审计指引》及实施意见中均没有对“非财务报告内部控制重大缺陷”如何界定给出具体解释，因此在实务操作中存在“非财务报告内部控制重大缺陷”描述段空缺等现象。因此，建议政府职能部门不断完善内部控制缺陷披露制度，明确内部控制各类缺陷的判断标准。

（三）加强内部控制审计人才的培养

内部控制审计不仅涉及公司的财务领域，还涉及战略管理、人力资源管理、采购、市场营销等众多领域，需要审计人员具备多方面的知识，因此，会计师事务所在招聘审计人员时，应注意人才的广泛性，形成一个多专业的人才团队，为内部控制审计培养后备力量。同时，审计人员自身也应加强学习，拓宽知识面，提高专业胜任能力。J

参考文献：

1.吴寿元.我国企业内部控制审计现状及相关建议[J].中国注册会计师，2013，（10）：90-96.

第4篇

摘要上市公司的财务问题伴随着安然、世通等公司的破产事件逐渐进入到人们的视野中，完善建立健全而有效的控制机制是企业能够健康发展的保证。从国内外审计的发展来看，上市公司进行内部审计也是现代审计的发展方向。本文从三个方面对上市公司财务报告中的内部审计问题和问题出现的原因进行充分的分析。

关键词上市公司财务报告内部控制审计问题

安然等知名企业曝露出在会计造假事件，给资本主义市场带来了严重的损失，打击了投资者的信心，美国迅速制定相关的法律条款对这类问题进行约束。财务报告控制审计作为注册会计师中新出现的的一项关于审计方面的业务，对相关企业具有很大的作用。财务报告内部控制审计成为现代化审计发展的方向。在我国内部控制审计还存在大量的问题，财务报告的内部审计问题应引起人们的足够重视。

一、研究背景

2001年美国的安然公司出现震惊世界的财务问题，宣布企业倒闭，这成为全球最大的财务丑闻，投资者和相关的监管部门把所有的原因归罪于企业内部管理的实效导致。第二年美国颁布《2002年上市公司会计和投资者保护法》的出台，该法又被称为萨班斯法案.。这部法律第404条规定：上市公司必须向投资者如实的回报企业的内部情况，并且应聘请公司外部的审计师对公司财务报告和公司的内部情况进行审计，该条款被看做是最难实施的条款之一。美国做出相关调整以后，很多国家紧随其后，建立企业的内部控制机制，并希望通过这种方式降低上市公司的审计过程中出现的风险，最终可以起到提高审计质量的效果

二、上市公司的财务报告中出现的内部控制审计问题

我国的部分上市公司资源评审审计机构对内部的财务报告进行审计，并进行相关披露，通过对我国上市公司的情况综合分析，发现我国上市公司进行的审计工作中主要存在以下方面的原因：

1.上市公司对聘请审计师的主动性不够

根据对上市公司进行的市场调查发现，上市公司自愿聘请审计师对内部财务进行审计的只有百分之二十左右，这表明上市公司自愿聘请审计师进行内部审计工作的动力不够。我国在很多方面存在法律法规不完善的问题，在这方面问题同样存在，我国法律并没有对上市公司聘请审计师对内部财务进行审计进行严格规定必须执行，只是在政策上鼓励实施，这就增大了上市公司领导层的选择空间。强制性是法律规定必须实施的条文，若没有实施，就会受到法律制裁，但是鼓励性的法律条文即使未能达到相关规定的要求也不会受到来自监管部门的处罚，这就使上市公司对这条规定抱着从宽执行的态度。鼓励性条文的执行要求执行对象有很强的道德约束力，属于非常高层面的要求。

2.内部控制信息的披露问题

在我国上市公司的财务报告中内部控制信息的披露方面存在众多的问题，目前我国所涉及到的内部控制披露问题主要设计到以下几个方面：年终报告；证券交易说明书；招股所进行的新规定。我国内部控制信息披露存在不足主要体现：内部控制信息披露的相关规定不合理：对上市公司的披露和对银行、保险公司的程度明显不同，对上市公司的要求明显偏低，但是对银行、保险公司的要求非常严格；对披露的内容和格式没有正确的样本规范：；对内部控制信息的主体没有进行严格规范：一般上市公司进行信息披露主要是依靠董事会；另外注册会计师的审计意见不到位也是进行内部控制信息披露的过程中出现的问题。

3.财务报告内部控制审计的质量不够

据相关统计显示，上市公司的内部控制审计报告中所填写的审计意见大多是标准无保留，这与我国企业内部建设的现实状况明显不相符。事实上，我国上市公司的财务报告内部控制审计的质量明显不足，仍然有很大的提升空间，大量存在与事实不相符的审计报告。执行性内控范围在工作开展的过程中遇到很多麻烦，例如，企业的领导者不够重视。做好内部控制的审计工作对内部控制建设起到决定性作用，相关企业应给予充分的重视。内部控制的审计报告在数量上明显增加，但是并不意味着内部控制审计已经走向正轨。

二、内部控制审计问题的原因分析

1.上市公司对聘请审计师主动性不够的原因

我国的上市公司的原形式国有企业，使得我国许多上市公司的体制还存在不完善想象。上市公司没能形成较好的企业管理，在企业的构架不完整的情况下，公司管理人员没有办法做到高度重视内部问题，公司运行的控制程序，不能调动积极性。进行审计的费用问题也是上市公司考虑聘请审计机构的重要原因，审计所花费的费用是一笔不小的开支，但是却对股价没能造成很大的影响，所以有些企业会衡量是否有必要对这方面的问题进行披露。我国的信息使用者一般的注意力都会在财务方面，对非财务的信息的注意力远远不足，这也成为上市公司对提高内部的审计报告主动性不强的原因。

2.内部控制信息的披露问题不完善的原因

上市公司财务方面管的内部控制信息披露问题充分体现了我国在这方面的监管制度不健全，缺少相应的法律条文规范相关问题。上市公司对内部情况问题一般只愿意对公司正面形象有利的方面进行披露，避免负面影响造成公司损失情况发生。企业内部管理人员对披露问题的认知程度不够，管理者未能以理性的监督正确对待内部控制信息的披露问题。内部控制信息的披露方式不够完善，造成大多数的上市公司将披露内容分散于年度报告中，并不能引起足够的重视。

3.财务报告内部控制审计的质量不够的原因

会计事务所进行内部审计的经验不足，我国的内部控制审计业务近几年才开始发展起来，其中大多的会计师对进行内部控制审计的经验明显不足，还在学习和完善阶段，但是企业的财务报告内部控制审计工作需要审计师大量的专业性判断，如果没有足够的审计经验就会造成审计效果明显不佳的现象发生。我国大多数的会计事务所还不能建立完善的质量控制体系，缺少一分单独的财务报告，审计工作成为财务报表的一项附属工作，没有足够的硬件提高内部控制审计质量。2013年发生的万福生科上市造假事件进一步说明，缺乏完善的内部体制和良好的专业判断都会严重影响到最后的审计结论。最后相关领导的重视度不够，这也会在进行内部审计过程中遇到阻碍，造成得到的信息不够全面，从而影响内部控制审计的质量不够高的现象出现。

四、结束语

内部控制审计作为一项新兴起的业务，在很多方面还有待研究和探讨。我国内部控制评价机制还在建设中，虽已颁布了《企业内部控制制度基本规范》和其相关的配套指引，但很多方面仍会存在大量的问题。外国在内部控制评价的建设方面有很多值得我们学习的地方，充分认识我国在这方面存在的问题和问题出现的原因，对更好的建设内部控制评价机制有非常重要的意义。财务报告内部审计的开展工作必定在资本主义市场和增加审计理论方面有深远的影响。我国如何根据本国的实际情况，制定一套完善的适合我国国情的财务报告内部控制体系，美国在内部审计工作中出现的问题对我国有哪些具体启示，这些问题都是值得我们进行探讨的。

参考文献：

[1]吴水澎，陈汉文，邵贤弟.企业内部控制理论的发展与启示.会计研究.2010（6）.

[2]谢晓燕，张韬，熊艳.内部控制审计制度安排动因的理论研究.内蒙古大学学报（哲学社会科学版）.2011（4）.

[3]王光远，刘秋明.公司治理下的内部控制与审计一一英国的经验与启示.中国注册会计师.2010（5）.

[4]杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题.财务与会计.2010（10）.

第5篇

关键词：内部控制审计报告披露决策有用性

一、引言

有效的内部控制是遏制企业财务报告错误和舞弊行为的第一道防线，也是保证企业财务报告真实、完整的内在机制。内部控制审计是指注册会计师对特定基准日财务报告内部控制设计和执行的有效性进行审计，同时对审计中注意到的非财务报告内部控制的重大缺陷进行相关披露。因此，内部控制审计报告的披露在合理保证财务信息的真实性和可靠性的同时，也为股权投资者提供了企业经营目标与风险、经营的效率与效益以及经营的合规性等方面的增量信息，在市场有效的前提下，应该有助于股权投资者的投资决策，进而起到遏制投机、规范资本市场的作用。2010年4月26日，我国财政部等五部委了《内部控制审计指引》，要求2011年1月1日起在境内外同时上市的公司实施该指引，并要求于2012年1月1日起在境内上市公司开始实施。我国上市公司的内部控制审计报告披露后对资本市场产生了什么影响，引起了关注。本文以2011年至2012年披露的深沪两市A股上市公司数据为样本，对“内部控制审计报告的披露是否引起股权投资者的关注，并引起相应的市场反应？”“披露内部控制审计报告是否会显著地影响股权投资者的理性投资？”这两个问题进行探讨，揭示内部控制审计报告与股权投资者决策有用性的关系。

二、文献综述

（一）国外文献 Raghunandan和Rama（1994）通过对1993年财富100强公司的年度报告进行研究，统计出其中有80家披露了内部控制报告，虽然没有对内部控制的有效性进行相关评价，但内容涉及企业是否存在内部控制系统等信息。Fekrat等（1999）研究了企业内部控制信息披露与投资者决策之间的关系，得出披露内部控制的企业有助于投资者做出相关决策的结论。David M.wills（2000）研究指出，公司披露内部控制报告可增加投资者对公司的信任，传递公司内部控制良好的信号。

（二）国内文献陈关亭和张少华（2003）运用问卷调查法，经过一系列的调查分析认为，良好的内部控制对于公司来说，有助于保证其经营效率与效果及对法律法规的遵守，应该被监管机构和投资者所重视，因此，强制要求企业聘请注册会计师对其内部控制进行审计并披露内部控制审计报告是非常有必要的。张先治、张晓东（2004）从需求方面考察了内部控制报告披露的影响因素问题，他们利用了249份被认为是有效的调查问卷，通过统计分析后，得出：上市公司的内部控制信息对于投资者来说是重要且有用的相关信息，因此投资者对其需求很大，并且投资者对内部管理控制和内部会计控制需求呈现出层次性。于忠泊等（2009）以2007年上海证券交易所上市的公司为样本，运用事件研究法研究了自愿进行内部控制信息披露的公司的报告有效性，并得出自愿进行上市公司内部控制信息披露的公司与未进行内部控制信息披露的公司相比，事件期内市场反应是不同的。

三、研究设计

（一）研究假设在市场有效的前提下股权投资者做出的理性投资决策，体现在公司的实际股价趋近于公司的正常股价，所以股票的日超额收益AR波动会更平缓，累计异常收益CAR的均值会更趋近于零。当企业披露内部控制审计报告时，股权投资者获得了更多的信息来了解和评价企业的真实经营情况，从而其买进或卖出股票的决策就更接近公司的实际经营水平，使得企业股票的实际收益率向正常收益率靠拢，股票的累积异常收益率的均值趋近于零，因此会削弱市场反映的显著性；相反，未披露内部控制审计报告的企业，与披露了内部控制审计报告的企业相比，股权投资者可利用的信息相对较少，且对企业披露的其他信息的信任也少了一项保障。因此，与前一种情况相比，股票的实际收益率会更加偏离正常收益率，累计异常收益率的均值显著异于零，市场反应显著。

（三）样本选取和数据来源本文选取2011年和2012年所有A股上市公司4727家为初始样本，横向配对组的样本筛选过程如下：先剔除如下样本：同一天披露内部控制审计报告、公司年报和一季度报的公司以及年报和一季度报披露时间未超过10个交易日的公司；事件日前后的10天内，有重大事项发生的公司； ST、SST和*ST的公司；股价和财务数据不全的公司；2011年和2012年新上市的公司；财务报告审计为非标准审计意见的公司；股利分配不同（不满足都分配股利或都不分配股利）的公司。最后进行配对分析时，还需要将样本数据进行分组，通过对配对组公司相关指标的比较，说明本文要研究的问题。为了考察披露内部控制审计报告是否引起股权投资者的关注，形成相应的市场反应，首先进行横向配对1组的设置，见表（2）。为了验证H1a和H1b两个子假设，需要结合每股收益变化率的符号，对上述分组情况进行进一步分组，得到横向配对2组，见表（3）。在相同的交易所和行业类型，选取资产规模、资产负债率、流动性等指标相同或相近的公司作为配对公司，共获得样本586家，如表（4）所示。样本数据处理的目的如下：（1）财务报表审计报告的披露也可能会引起一定的市场反应，为了说明事件期内的反应是由内部控制审计报告的披露而非财务报表审计报告的披露所引起的，需要设置未进行内部控制审计而只披露了财务报表审计报告的公司作为对照组。一季度财务报表的披露也会影响投资者决策，因此需将同时披露一季度财务报表和年度财务报表的公司剔除。（2）在选择公司时，需要剔除那些在事件日前后10天内有重大事项发生的公司，这里的重大事项包括资产并购、重组、更改年报等。之所以选择事件日前后10天而不是事件日前后5天，是为了更好地消除重要事件对股票异常收益率的影响。（3）在进行配对组公司的选择时，由于是不同公司间的横向对比，因此需要控制交易所类型、行业、年度、财务报告审计意见类型、公司是否进行分红、公司的每股收益增长率、资产规模、资产负债率、流动性等相关因素，这样可以使配对组的数据更具有可比性。

事件研究的配对分析中横向对比组的关于企业在2011年和2012年是否进行内部控制审计、财务报表审计报告披露日期、内部控制审计报告披露日期等信息通过查询上海证券交易所网站和深证证券交易所网站中公布的上市公司公告中获得。股票的时间窗口内的每日收盘价、行业指数收益率等指标通过CSMAR数据库获得。股票的异常收益率与累计异常收益率等指标通过手工计算获得。

（四）研究方法本文运用SPSS 13.0软件和Excel 2007软件对披露与未披露内部控制审计报告配对公司样本组的日平均异常收益率指标AAR的折线图进行比较分析，AAR的波动幅度越大，说明市场反应越大；同时对配对公司样本组的累积异常收益率指标CAR进行单样本T检验和配对样本T检验，通过比较配对公司样本组在报告披露的短时期内其市场反应显著性的不同，用以验证披露内部控制审计报告是否引起了股权投资者的关注，影响其理性投资。具体检验值见表（5）。如果检验后的概率在显著性水平之内，则拒绝原假设，认为平均异常收益率和累计异常收益率波动显著异于0；相反，认为平均异常收益率和累计异常收益率波动不显著。

四、实证检验分析

（一）描述性统计在统计2011年和2012年披露了内部控制审计报告公司的数量时，样本为所有A股、A+H股及A+B股上市公司，不考虑公司所处的行业以及是否属于ST公司等。2011年和2012年深、沪两市A股上市公司披露内部控制审计报告的情况统计结果见表（6）。可以看出，2010年《内部控制审计指引》实施后，我国A股上市公司披露了内部控制审计报告的公司数量逐渐增多，比例在逐年上升，到2012年总体披露比例已达到44.17%。这说明，披露内部控制审计报告越来越得到上市公司的普遍认可，披露内部控制审计报告也是未来的发展趋势。从近两年的披露比例来看，本文研究样本具有一定的代表意义。

（二）C组和Y组检验结果及分析查看事件期窗口内C组和Y组的日异常收益率（ARR）的波动情况，结果见图（1）。可以看出，未披露内部控制审计报告的企业与披露了内部控制报告的企业相比，其平均日异常收益率显著波动的时间更长，幅度更大。具体而言，在年度财务报告披露的前两天到披露后的两天，AAR有明显的波动；而披露了内部控制报告的企业，在报告披露的前一天到披露后的两天，AAR有显著的变化，同时披露后比披露前AAR的波动更平缓。这样的结果在一定程度上可以说明，在内部控制审计报告的披露的短时间窗内，会引起股权投资者关注，影响其做出适当的相关决策，从而使得AAR波动更平缓，削弱了市场反应的显著性。

（三）细分的C组与Y组检验为了进一步验证H1a和H1b的假设，在区分ΔEPS的符号后，事件期窗口内+C组、+Y组、-C组和-Y组的日平均异常收益率AAR的波动情况结果见图（2）和图（3），对累计异常收益率CAR进行单样本T检验，具体检验结果见表（8）和表（9）。从上面的折线图及T检验表可以看出：在事件期（-5，5）时间窗内，+C组与+Y组的CAR均值均为正，但+C组在10%水平下显著，而+Y组的在1%水平下显著，这可能是由于内部控制审计报告的披露使得股权投资者更加了解企业的真实情况，从而做出了适当的投资决策，削弱了股票的异常收益，因此CAR的均值趋近于零，市场反应的显著性减弱。这也很好地验证了前面提出的假设H1a。披露内部控制审计报告的-C组与未披露的-Y组相比，考察期内 CAR均值均不显著异于0，但CAR的值在多个时间窗内为负。这一部分验证了前面的假设1b。

结合图（2）和表（8），可以看出，当每股收益变化率为正时，CAR具有正反应，且未披露内部控制审计报告的公司CAR反应更显著。验证了假设1a的结论。结合图（3）和表（9），可以看出，当每股收益以变化率为负时，CAR具有负反应，且未披露内部控制审计报告的公司其CAR反应相对更显著。验证了H1b的结论。表（10）为CAAR的配对检验结果，其反映的是CAAR每一时间段的变动趋势，三组的均值在1%的水平下显著异于0。对假设1、假设1a和假设1b提出的内容均起到了进一步的验证作用。配对T检验的结果进一步验证了披露组与为披露组的市场反应是具有显著的差异的。

五、结论

事件研究进行配对分析时本文得出未披露内部控制审计报告的公司具有更显著的市场反应，即CAR的均值显著异于零这一实证结果，在区分了每股收益增长率的符号后，股票的累计异常收益率符号与每股收益增长率符号相同，并且仍然是未披露内部控制审计报告的企业比披露了内部控制审计报告的企业市场反应更显著。研究结果在一定程度上验证了企业内部控制审计报告的披露引起了股权投资者的关注并显著影响着股权投资者的决策，使其投资更加趋于理性，具有决策有用性。本文可能的研究贡献在于：配对分析中的样本数据更具有可比性；运用多个不同时间窗内的CAR作为被解释变量，便于从一个动态的过程更详细的考察相关问题。同时本文还存在如下不足：选择的样本数据时间较短，因此以后可适当延长考察时间；仅将是否披露内部控制审计报告作为自变量，以后可增加关注内控审计报告意见类型及报告的内容等。

参考文献：

[1]陈关亭、张少华：《论上市公司内部控制的披露及其审核》，《审计研究》2003年第6期。

[2]张先治、张晓东：《基于投资者需求的上市公司内部控制实证分析》，《会计研究》2004年第12期。

[3]赵宇龙：《会计盈余披露的信息含量—来自上海股市的经验证据》，《经济研究》1998年第7期。

[4]Raghunandan and D.V.Rama.Management reports after COSO.Intermal Auditor.1994.

第6篇

摘要：以《企业内部控制基本规范》的颁布为契机，考察在法规约束前提下我国上市公司内部控制审计现状。2009年和2010年的年报数据表明，上交所有多于半数的企业并未遵循《企业内部控制基本规范》的要求，我国内部控制审计的披露程度较低。一方面，这和我国相关法规的强制力不足有关；另一方面，也和我国内部控制审计规范体系的不完善有关。由此，我国应制定详细的内部控制审计准则并完善审计报告的标题、类型、内容和格式，以促进我国内部控制审计实践的健康发展。

关键词：内部控制审计；财务报告内部控制；内部控制；内部控制基本规范

On the Present Internal Control Audit and the Improvement of Audit Standard System in China

- Based on the Research of Annual Reports Data in 2009 and 2010 from Shanghai Stock Exchange

TAO Lijuan

（International Business School, Qingdao University, Qingdao Shandong, 266071, China）

Abstract：

Taking the opportunity of the issuance of Companies’ Internal Control Basic Norms, this paper studies the present internal control audit of listed companies restrained by laws and regulations in China. Annual reports data of the listed companies in 2009 and 2010 show that more than half of the companies in Shanghai Stock Exchange failed to follow Companies’ Internal Control Basic Norms. Internal control disclosure in China is left too much to be desired, which is resulted from the insufficient mandatory force of laws and regulations and the incomplete internal control audit standard system. Therefore, the government should establish specific internal control audit standards and revise the audit report title, types, content and format to improve the internal control audit practice in China.

Key words：

internal control audit; internal control over financial reporting; internal control; internal control basic norms

一、制度背景

1999年修订的《会计法》，第一次以法律的形式对企业建立健全内部控制提出了原则要求。随后，为加强内部控制建设，保证财务报告可靠，财政部规定从2001年6月起所有公司均应建立和维护有效的内部会计控制，并制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。中国人民银行、中国证监会、国务院国资委等部门也先后颁布了多个关于内部控制的文件。2006年，上海证券交易所和深圳证券交易所先后颁布了《上市公司内部控制指引》，强制要求上市公司的董事会在披露年报的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。为了适应国际内部控制发展的大趋势，同时解决“政出多门、要求不一”的问题，2006年，由财政部牵头的六部委成立了“企业内部控制标准委员会”，并于2008年6月28日联合了《企业内部控制基本规范》（以下简称《基本规范》）。《基本规范》要求企业建立并实施内部控制，上市公司应当对本公司内部控制的有效性进行自我评估，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。《基本规范》的颁布在我国内部控制监管史上具有划时代的意义，业界通常称之为“中国版的萨班斯法案”。 2010年4月26日，财政部、证监会、审计署、银监会、保监会联合了《企业内部控制配套指引》。该配套指引包括《企业内部控制评价指引》、《企业内部控制审计指引》和18项《企业内部控制应用指引》，连同此前的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

然而自《基本规范》颁布之日起，就面临诸多尴尬。首先，相对美国的萨班斯来讲，其法律约束力不足。萨班斯法案是由美国国会通过，对在美国上市的所有公司都有约束力的“法律”，而《基本规范》只是一个“部门法规”，约束力远不及萨班斯法案。萨班斯法案号称自20世纪30年代以来，美国监管最严苛的法律，对于违背萨班斯法案的处罚也极其严厉，而财政部《基本规范》没有规定具体处罚内容，很可能造成有法不依、执法不严、违法不究的情况。其次，面临其“先天不足”，《基本规范》似乎也有后天不严肃之嫌。［1］加之相关规定和配套指引在2010年之前并未出台，很多合规企业恐将无所适从。因此，本文认定，2009年和2010年，我国的内部控制披露介于强制披露和自愿披露之间，并倾向于自愿披露。本文将以《基本规范》的颁布为契机，在考察我国上市公司内部控制审计披露现状的基础上，探讨我国审计规范存在的问题并提出相关建议。

二、内部控制自我评估报告及审计报告披露状况

通过上海证券交易所的网站，笔者手工收集了2009年和2010年沪市上市公司的年报数据，调查了内部控制管理层自我评估报告和内部控制审计报告的披露情况，并阅读了自我评估报告和内部控制审计报告。具体来看，我国沪市上市公司内部控制审计的披露状况如下。

（一）仅有不到一半的企业遵循了《基本规范》的要求

2009年上交所868家上市公司中，有376家披露了内部控制自我评估报告，占上市公司总数的4332%，未披露内部控制自我评估报告的有492家，占上市公司总数的5668%；376家披露自评报告的企业中，有190家同时提供了内部控制的审计师报告，占上市公司总数的2189%，占披露自评报告企业总数的5053%。2010年上交所895家上市公司中，有400家披露了内部控制自我评估报告，占上市公司总数的4469%，未披露内部控制自我评估报告的有495家，占上市公司总数的5531%；400家披露自评报告的企业中，有203家同时提供了内部控制的审计师报告，占上司公司总数的2268%，占披露自评报告企业总数的5075%。具体比较信息见表1。

（二）多数审计师报告并不符合《基本规范》的要求

《基本规范》第十条指出，“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。”由此可见，我国的内部控制审计属于直接报告的鉴证业务，注册会计师应直接对内部控制的有效性（鉴证对象）进行评价并出具鉴证报告，并且该鉴证报告应为信息使用者所获取并使用。但在阅读2010年年报时，笔者发现，虽有202家企业出具了审计师对内部控制的某种形式的报告，但并非全部满足内部控制审计的定义，这点可以从报告的标题以及报告中的部分措辞看出。

202家企业中，有些没有将审计师报告作为单独报告进行披露，因此这部分内容没有标题（也没有审计师签字）。作为单独报告进行披露的企业中，报告标题也五花八门：有的称为内部控制审核报告，有的称为内部控制审核评价意见，还有的称为鉴证报告、内部控制鉴证报告、××公司××年度内部控制评价报告、内部控制制度报告、××公司内部控制专项审核报告、××公司内部控制专项鉴证报告、××公司内部控制自我评估报告的核实评价意见、对××公司董事会关于公司内部控制自我评估报告的评价意见报告、关于××公司××年度内部控制自我评估报告的说明、对《××公司内部控制的自我评估报告》的专项说明等各种标题形式。

从这些标题可以看出，有些企业提供的是审计师对内部控制的鉴证意见（审计意见也即鉴证意见的一种），但有的是对内部控制的核实意见，有的是对管理当局自评报告的评价意见（这其实是基于责任方认定的业务，也即注册会计师对管理层对内部控制有效性的认定出具审计报告），有的仅仅是一项对管理当局自评报告的“说明”，并且部分报告的措辞也显示出：就我国法规对内部控制审计业务的要求来看，许多审计师报告并未恰当反映内部控制审计业务的实质内容。(比如，某份“说明”报告指出：“在审计过程中，我们研究与评价了我们所信赖的贵行与会计报表编制相关的内部控制，以确定我们实施会计报表审计程序的性质、时间及范围……我们的研究与评价是按照……以会计报表审计为目的而进行的，不是对内部控制的专门审核，也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。在研究与评价过程中，我们结合贵行的实际情况，实施了包括询问、检查、观察及抽查测试等我们认为必要的研究与评价程序……（内部控制固有局限段）……（意见段）……本说明仅作为贵行向中国证监会和上交易所提交2010年度报告之用，未经书面许可，不得用于其他任何目的。”)

此外，我们还发现，与传统财务报表审计报告不同，企业与企业之间提供的内部控制审计报告的内容和格式没有统一性。同时，审计师在执行内部控制审计业务时依据的执业准则也不统一，具体情况如表2所示。

内部控制审核指导意见713737%643168%中国注册会计师其他鉴证业务准则第3101号593105%864257%企业内部控制鉴证指引（征求意见稿）4211%4198%中国注册会计师准则第1211号201053%18891%上述条目的某种组合16842%8396%PCAOB AS NO53158%2099%其他11579%9446%未明确提及执业准则6316%11545%合计19010000%20210000%

从表2可以看出，审计师在执业过程中，遵循了不同的执业准则。其中遵循最多的是《内部控制审核指导意见》和《中国注册会计师其他鉴证业务准则第3101号》，再次是《中国注册会计师准则第1211号》。值得注意的是，有几家中美同时上市的公司，其内部控制审计并未依据国内的任何准则，而是遵循了美国公众公司会计监管委员会（PCAOB）制定的审计准则5号。

（三）审计基准日和参照的内部控制框架不统一［2］

虽然内部控制的设计和执行是个连续的过程，但如果对整个年度的内部控制有效性发表意见，那么审计重点是内部控制在整个年度内是否一直有效，这种审核成本相对较高。考虑到注册会计师的时间和精力、与会计报表审计的整合等因素，我国《审计指引》要求注册会计师对特定基准日内部控制的设计和运行的有效性发表意见。在2010年披露内部控制审计师报告的202家企业中，有196份是对截至12月31日企业内部控制的有效性发表意见（有19份报告没有明确说明基准日，177份在引言段或意见段明确指出了12月31的基准日），有两家是对2010年年度内部控制的有效性发表意见。（另有4家在年报中指出出具了内部控制审核报告，但笔者在上交所网站并未找到相关数据。）

另外，审计师对内部控制的有效性发表意见，必须参照一个适当、公认的控制框架，并且在报告中做出明确说明。但笔者发现，在2010年的202份审计师报告中，有37份报告未明确说明审计师所参照的内部控制框架，120份报告参照了《基本规范》，27份报告参照了《内部会计控制规范――基本规范》，5份参照了《上海证券交易所内部控制指引》，3份指出遵循萨班斯法案的要求，参照了COSO框架，6份同时参照了《基本规范》和《上海证券交易所内部控制指引》，4份未找到数据。并且，这种框架的差异和事务所有关，同一家事务所给不同企业出具的审计报告，往往参考相同的内部控制框架。

三、内部控制审计规范存在的问题讨论及建议

总体来看，我国关于内部控制审计方面的披露程度较低，上交所有多于半数的企业并未按照《基本规范》的要求披露相关信息。一方面，这源于前述的特殊“半强制性”制度背景，法力约束力不足导致了企业违规成本较低，而主动披露内部控制评价和审计报告则毋庸置疑会引致成本。在有确定性证据表明内部控制审计报告的披露给企业带来的收益大于其成本之前，企业披露内部控制审计报告的动机必将受限。当然，内部控制审计报告的信息含量极其对各方的影响，也是未来值得研究的一个重要方向。另一方面，信息披露程度较低也和相关准则和配套指引的不完善有关，毕竟直到2010年4月各项配套指引才最终出台。但在内部控制审计领域，相关准则和规范仍有待改进。

（一）我国目前现存准则并非内部控制审计的恰当执业标准

在笔者查阅的内部控制审计师报告中，事务所主要提及了以下执业准则：中国注册会计师协会（以下简称中注协）于2002 年2 月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》（2008至2010年间为《内部控制鉴证指引（征求意见稿）》）。

《内部控制审核指导意见》第二条规定：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。”第二十九条规定：“注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用，被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”，“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前，内部控制审计已经从财务报表审计中独立出来，成为一项单独的审计鉴证业务，显然《指导意见》已不适合作为恰当的执业准则。

《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则，内部控制审计属于鉴证业务的一种特定类别，审计师以此为执业准则，具有原则指导性，但针对性明显不足。

《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境，识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务，注册会计师在编制审计计划时，应当了解被审计单位及其环境（包括被审单位的内部控制），对拟信赖的内部控制进行控制测试，据以确定实质性测试的性质、时间和范围。显然，该准则定位于财务报表审计业务，对内部控制的了解和测试，是作为财务报表审计业务的辅助部分展开的，而非为了对内部控制的有效性发表意见而进行的全面指引，显然，该准则也不完全适合于独立的鉴证业务――内部控制审计。

而美国在内部控制审计领域的法规演进，值得我们思考和借鉴［3］。2002年，美国出台了《公众公司会计改革和投资者保护法案2002》（萨班斯法案），该法案要求管理层设计有效的财务报告内部控制，报告财务报告内部控制的有效性，并要求外部审计师证实管理层报告的准确性，也即要求外部审计师对财务报告内部控制进行审计。

萨班斯法案要求成立独立的公众公司会计监管委员会（PCAOB），并授权美国证券交易委员会（SEC）对PCAOB实施监督。PCAOB负责监管执行公众公司审计业务的会计师事务所及其注册会计师，并有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等。作为对萨班斯法案的回应，2004年3月9日，PCAOB了《审计准则第2号――与财务报表审计相关的针对财务报告内部控制的审计》（AS No2），并于6月18日经SEC批准。AS No2关注对财务报告内部控制的审计工作以及这项工作与财务报表审计的关系等问题。考虑到法案的执行成本过高，PCAOB于2007年5月24日颁布了《审计准则第5号――与财务报表审计相整合的财务报告内部控制审计》（AS No5）。AS No5从审计计划、审计方法（由上而下、风险导向）、控制测试、评估缺陷、形成意见、内控报告、对他人工作的使用、获得他人的直接帮助等方面为内部控制审计提供了详细的指引。此外，AS No5还以附录的形式对重要概念和术语以及特殊情形作了说明，从而进一步完善了财务报告内部控制审计准则。2007年7月25日，SEC批准了该准则，并明确表示会计年度在2007年11月15日及其之后结束的上市公司审计工作都将用第5号审计准则来代替原来指导404条款执行的第2号审计准则。

（二）对我国内部控制审计法规的建议

针对目前我国现存准则存在的不足，并结合美国的做法，笔者就我国的内部控制相关法规建设提出如下建议。

1制定详细的内部控制审计准则

在本文第二部分，笔者发现审计师在执行内部控制审计过程中，参考了不同的执业准则，而根据前文的分析，有些准则的目标定位和目前已成为独立常规业务的内部控制审计并不相符。2010年最终颁布的《内部控制审计指引》，也未明确指出审计师执行内部控制审计时应参考的具体准则，而是在其后附的“内部控制审计报告”参考格式引言段中指出：“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了……”

首先，《审计指引》仅对内部控制审计提供了原则上的指导，涉及审计计划、审计方法、控制测试、缺陷认定及缺陷评价、形成结论并出具报告等具体内容时，指导性明显不足。这也是为什么很多事务所不得不参照《内部控制审核指导意见》、《中国注册会计师其他鉴证业务准则第3101号》、《中国注册会计师准则第1211 号》等准则的原因之一。

其次，对内部控制的测试和评价业务已从传统的财务报表审计业务中独立出来，并由原来的一次性业务或面向特定企业的业务（原来仅要求A 股企业在首次公开发行时提供、赴美国和日本等地上市的企业和金融证券保险等高风险行业提供）变成了与财务报表审计并列的经常性业务，与传统的财务报表审计相同，财务报告内部控制审计也是注册会计师的法定业务。

基于以上两点原因，借鉴美国的做法以及我国的财务报表审计准则，笔者认为，应在中国注册会计师执业准则体系鉴证业务准则中新增详细的内部控制审计准则，与目前的中国注册会计师审计准则、中国注册会计师审阅准则和中国注册会计师其他鉴证业务准则（分别简称审计准则、审阅准则和其他鉴证业务准则）并列，可命名为《中国注册会计师内部控制审计准则》，也可根据实际需要，制定详细的序列准则：《中国注册会计师内部控制审计准则XX号――审计计划/审计方法/控制测试/缺陷评估/审计意见/审计报告/特殊事项考虑/……》，原有的《中国注册会计师审计准则》更名为《中国注册会计师财务报表审计准则》。当然，考虑到财务报告内部控制审计和财务报表审计之间的关联性以及审计成本，也可参照美国的AS No5制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。新增内部控制审计准则之后的中国注册会计师执业准则体系如图1所示。

由中注协制定详细的内部控制审计准则，可以加强对内部控制审计工作的指导，维护注册会计师执业准则体系的系统性和完整性。参照PCAOB AS No5对财务报告内部控制审计报告的要求以及我国的财务报表审计报告的格式，在制定了新的内部控制审计准则之后，笔者建议将《审计指引》引言段中的“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了……”，改为“按照中国注册会计师内部控制审计准则，我们审计了……”。目前，对于在中美同时上市的公司，出于披露成本的考虑，注册会计师可遵循美国PCAOB制定的审计准则；随着审计准则体系的国际趋同，对于跨国上市的公司，注册会计师也可遵循国际审计准则或其他国家的相关准则。

2完善审计报告的标题、类型、内容和格式

我国《基本规范》要求企业提供注册会计师的内部控制审计报告。如前所述，从2010年披露的报告标题和内容可以看出，大多数企业有违《基本规范》的初衷，事务所并未严格按照《基本规范》和《配套指引》的要求出具对内部控制有效性的鉴证意见。

《审计指引》明确将报告标题命名为“内部控制审计报告”，并且分标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告、无法表示意见内部控制审计报告四种类型，统一了报告的内容和格式。但该指引仍存有待商榷之处。

首先，《审计指引》指出“注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”由于注册会计师最终仅对财务报告内部控制的有效性发表意见，非财务报告内部控制重大缺陷是注册会计师在执行财务报告内部控制审计过程中“附带”注意到的内容，并非注册会计师的核心关注对象。因此，将审计师报告统一命名为“内部控制审计报告”仍有不妥，审计师的鉴证对象其实是“财务报告内部控制”，而非更宽泛意义的“企业内部控制”，笔者建议将该报告统一命名为“财务报告内部控制审计报告”。

其次，在财务报表审计中，报告类型包括标准无保留意见、带强调事项段的无保留意见、保留意见、否定意见和无法表示意见，而在内部控制审计业务中，则去掉了保留意见。当注册会计师在审计过程中（无论是财务报表审计还是财务报告内部控制审计）发现与被审单位存在对内部控制和内部控制缺陷的不同认识，两方无法达成一致意见，或者发现内部控制存在重要缺陷，但其严重性不足以发表否定意见时，审计师是否可以出具保留意见？

再次，前已述及，虽然内部控制的设计和执行是个连续的过程，但我国《审计指引》要求注册会计师对特定基准日内部控制设计和运行的有效性发表意见。因此，在内部控制报告的意见段中，有必要对此基准日做出明确说明，以免误导信息使用者，而《审计指引》并未强调该日期。参照传统的财务报表审计报告和美国PCAOB AS No5的规定，笔者认为，审计报告中应该规范对基准日期的说明，意见段修改为：“我们认为，根据《企业内部控制基本规范》（或其他公认的有效内部控制框架），截至201X年12月31日，XX公司在所有重大方面保持了有效的财务报告内部控制。”需要注意的是，这并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。按照指引的规定，注册会计师在对特定基准日内部控制的有效性发表意见前，需要获取内部控制在一段足够长的时间有效运行的证据，这段时间可能比企业财务报表涵盖的整个期间（通常为一年）短些，但必须足够长。因此，虽然是对企业12 月31日（基准日）内部控制的设计和运行发表意见，但这里的基准日不是一个简单的时点概念，而是考虑了内部控制在此前的有效性，以及向前的延续性［4］。

最后，内部控制审计是一项独立的鉴证业务。《中国注册会计师鉴证业务基本准则》指出，鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果。具体到内部控制审计，注册会计师要对内部控制的有效性（鉴证对象）进行评价并出具鉴证报告，而对其进行评价必须参考一个适当、公认的标准（控制框架）。因此，内部控制报告中，应该明确说明注册会计师所参考的框架。前文我们发现，不同的注册会计师参考的框架并不完全相同，甚至同一份报告里面出现了两个不同的框架。

《审计指引》在意见段中明确标明“我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”但笔者认为，有关内部控制框架的选取，应该持开放的态度，而不仅限于我国的《基本规范》。关于框架的选取标准，可以借鉴美国SEC的做法。SEC最终规则33-8238要求管理层的评价必须依据由某一机构或团体依正当程序（包括要广泛征求公众对框架的评论）而建立的合适、可识别的框架，并且自评报告应披露该框架。SEC认为，一个合适的框架必须：（1）没有偏见；（2）对企业内部控制能形成合理一致的定性和定量评价；（3）充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素；（4）与评价财务报告内部控制相关。SEC指出，COSO框架满足它们的标准，但最终规则并不强制要求使用某一特定框架（如COSO框架），因为SEC认识到这样一个事实：在美国之外可能存在其他评价标准（比如加拿大的COCO框架），并且将来在美国可能也会发展出COSO以外的框架，它们符合法令的意图而不会减少投资者的利益［5］。

使用公开可获得的评价标准将会提高内部控制报告的质量，促进不同公司内部控制报告的可比性。因此，本文认为，《审计指引》应明确要求将注册会计师参考的评价标准列作审计报告的必要组成部分，该标准可以是《基本规范》，也可以是满足条件的其他适当、公允的框架。只要控制框架满足特定的条件（比如SEC最终规则列出的条款），那么都可以用作审计师的评价标准。《基本规范》满足前述要求，但这并不排斥事务所选取其他公认的适当框架。事实上，2010年的数据已向我们表明，事务所选取了不同的框架，除《基本规范》之外，还有《上海证券交易所内部控制指引》、《内部会计控制基本规范》和COSO框架等。

四、结语

对财务报告内部控制的关注，实质上是对财务报告可靠性要求的延伸。为了保证财务报告的可靠性，世界上许多国家都对保证财务报告可靠性的内部控制评价及其审计提出了要求。目前，内部控制系统已成为国家监管的一部分，不只是我国，许多国家的公司治理报告和改革法案都包含了对内部控制和内部控制报告的建议，世界各国对内部控制的重视达到了前所未有的高度。本文就以我国《基本规范》的颁布为契机，研究我国内部控制审计的现状，讨论我国内部控制审计规范体系存在的问题，并提出了自己的建议。由于本文数据均是手工收集，因此可能会存在疏漏和不准确之处；另外，本文仅选取了沪市的上市公司为调查对象，因此，有关我国目前内部控制审计披露的整体认识可能存在偏颇。

参考文献：

［1］陶黎娟．有关我国企业内部控制规范体系的几点探讨［A］．见中国会计学会2010年学术年会论文集［C］．北京：中国会计学会，2010：415-422．

［2］杨有红，陈凌云．2007年沪市公司内部控制自我评价研究――数据分析与政策建议［J］．会计研究,2009(6)：58-64．

［3］杨玉凤．内部控制信息披露国内外文献综述［J］．审计研究，2007(4)：74-78．

［4］杨志国．关于《企业内部控制审计指引》制定和实施中的几个问题［J］.财务与会计,2010(10): 14-17．

［5］SEC. Final Rule: INTERNAL CONTROL OVER FINANCIAL REPORTING IN EXCHANGE ACT PERIODIC REPORTS［EB/OL］.sec.gov/rules/final/33-8238.htm,2003.

收稿日期：2012-03-10

第7篇

美、澳、中三国内部控制审核报告的结构与内容

1.美国。根据《美国鉴证准则400：与单位财务报告相关的内部控制的报告》第45段的规定，执业人员的报告应当包括：

(1)包括“独立的”一词的标题(一般用“独立会计师报告”)。

(2)说明管理当局关于该单位在某一特定日期与财务报告相关的内部控制有效性的认定(当管理当局的认定没有后附于执业人员的报告时，报告的第一段也应当包含管理当局的认定的说明)。

(3)说明认定是管理当局的责任。

(4)说明执业人员的责任是根据其审核，对“该单位的内部控制有效性或管理当局的认定”发表意见。

(5)说明审核是根据美国注册会计师协会制定的鉴证准则执行的，相应地，包括了解与财务报告相关的内部控制，测试和评价内部控制设计和执行的有效性，以及实施执业人员根据实际情况认为必要的其他程序。

(6)说明执业人员相信，审核为其发表意见提供了合理基础。

(7)应加一段说明，由于任何内部控制中均存在固有局限，因此，由于错误或舞弊引起的错报可能已经发生且未被发现(此外，本段也应当说明，根据内部控制评价结果推测未来存在一定的风险，因为未来情况的变化可能导致现行内部控制变得不再适当，或者降低了内部控制政策或程序的遵循程度)。

(8)执业人员的意见是：①根据控制标准，该单位在某一特定日期是否在所有重大方面保持了与会计报表相关的有效的内部控制。②根据控制标准，管理当局关于该单位在某一特定日期与会计报表相关的内部控制有效性的认定是否在所有重大方面是公允表述的。

(9)如果认定是根据管理机构制定的特定标准编制的或者是根据由认定者与特定方商定的特定标准编制的，也应当包含执业人员的报告；应说明因为旨在单一地为特定方使用，所以报告的使用具有局限性；当存在既定标准时，应说明如果认定是根据“指出既定标准”来表述的，该认定就不是专门根据该标准来表述的结果。

(10)执业人员事务所的手书或印刷签名。

(11)审核报告的日期。

2.澳大利亚。根据《澳大利亚审计准则810：关于控制程序有效性的特殊目的报告》第67段的规定，审计师关于控制程序有效性的报告应当包括：

(1)标题(如果对控制程序有效性的认定提供高程度的保证水平，则标题为“独立审计报告”)。

(2)收件人。

(3)审计范围的描述，包括：活动范围的说明或描述，说明保持对活动范围有效的内部控制结构，包括控制程序，是管理当局的责任。

(4)当业务是鉴证业务时，说明管理当局关于控制程序有效性的声明的指定来源。

(5)说明审计师已经实施了该业务，以便对控制程序有效性发表意见。

(6)指出审计师编制报告的目的及有权利利用报告的人，并指出审计师对其他任何目的或其他任何人员利用本报告不承担责任。

(7)标准的描述或标准来源的披露。

(8)说明审计是根据澳大利亚审计准则实施的。

(9)在罕见及例外情况下，当偏离基本原则或基本程序可能是必要的，正如在“其他综合职业说明SPS1.1：遵循审计准则”中的(H)段所要求的说明，对于已偏离的特殊基本原则或基本程序连同偏离的正当理由，应当提供详细的说明。

(10)进一步详细说明影响所提供保证的变化因素及其他认为适当的信息。

(11)以“固有局限”为标题，在该段落部分中陈述：①由于在任何内部控制结构中均存在固有局限，因此，错误或违规可能已经发生且未被发现是可能的，并且在已审计的控制程序之内的内部控制结构执行未经审计，因而不对其有效性发表意见；②审计不被设计用于发现控制程序中的所有薄弱环节，因此没有在整个期间内持续地实施审计，且所实施的测试是建立在样本基础之上的；③根据控制程序评价结果推测未来期间存在一定的风险，因为未来情况的变化可能导致控制程序变得不再适当，或者可能降低控制程序的遵循程度。

(12)当审计师的意见是保留的，则应有以"限制情况"为标题的一部分，清楚地说明该保留意见的原因。

(13)对在所有重大方面和根据指定的控制标准，与活动范围有关的控制程序的设计和执行是否有效发表意见。

(14)审计师的签名。

(15)审计师的地址。

(16)审计师报告的日期。

3.中国。根据中国注册会计师协会发布的《内部控制审核指导意见》第五章第三十条至第三十九条的规定，内部控制审核报告应当包括以下基本内容：

(1)标题。统一规范为“内部控制审核报告”。

(2)收件人。应当为审核业务的委托人，并应当载明收件人的全称，可用“XX股份有限公司”。

(3)引言段。应当说明以下内容：①被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定；②被审核单位管理当局的责任；③注册会计师的责任。

(4)范围段。应当说明以下内容：①审核依据，即《内部控制审核指导意见》；②审核程序；③实施的审核程序为注册会计师发表审核意见提供合理的基础；

(5)固有限制段。应当说明以下内容：①内部控制的固有限制；②根据内部控制评价结果推测未来内部控制有效性的风险。

(6)说明段。如果注册会计师发表的是非标准无保留意见，则应增加说明段，说明内部控制存在的重大缺陷及其对实现内部控制目标的影响。

(7)意见段。应当说明被审核单位于特定日期在所有重大方面是否保持了与会计报表相关的有效的内部控制。

(8)签章和会计师事务所地址。应当由注册会计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。

(9)报告日期。是指注册会计师完成外勤审核工作的日期。

三国内部控制审核报告的比较

(一)内容与结构

1.标题。美国将其统一称为“独立会计师报告”，突出了注册会计师实施业务的独立性特征，将注册会计师的报告与其他专业人员的报告区别开来。但美国注册会计师就其他业务签发的报告也有称为“独立会计师报告”的。如注册会计师签发的中期财务报告审阅报告就称为“独立会计师报告”，年度财务报表审计报告也可称为“独立会计师报告”。此外，这种标题没有反映出业务对象与业务性质，不能将内部控制审核业务报告与注册会计师实施的其他业务报告相区别。澳大利亚将标题统一称为“独立审计报告”，也突出了注册会计师实施业务的独立性特征。但也存在几个问题：一是未将注册会计师内部控制审核业务报告与会计报表审计报告相区别；二是内部控制审核业务性质定性不太恰当，没有严格区分审计(audit)与审核(examination，也译为“审查”)业务。一般地，将对财务信息提供高程度保证服务的业务称为审计，而将对其他非财务信息提供高程度保证服务的业务称为审核。在澳大利亚，注册会计师还可以对内部控制实施审阅(review)业务和商定程序业务(agreed-upon procedures)。中国将标题统一称为“内部控制审核报告”，突出了注册会计师所完成业务的对象是内部控制，实施业务的性质是审核业务，言简意赅，一目了然。但没有将注册会计师所签发的审核报告与其他专业人员所签发的审核报告区别开来。

2.收件人。美国的内部控制审核报告没有要求注明收件人，而澳大利亚的内部控制报告要求注明收件人。在中国，收件人为审核业务委托人，一般直接用“XX股份有限公司”。在收件人方面，中国与澳大利亚在实质上是相同的。

3.正文整体结构。美国的标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成。在正式报告中，每一自然段均没有小标题。如果是非标准无保留意见审核报告，则在意见段之前增加说明段。在澳大利亚，标准无保留意见内部控制审核报告的正文整体结构由范围段、固有限制段、意见段构成。范围段又包括五个自然段，固有限制段包括四个自然段，只有意见段只包括一个自然段。每一自然段均有相应小标题，分别是范围、固有局限、审计意见。实际上，其范围段包括了美国的引言段与范围段的内容。如果是非标准无保留意见审核报告，则在意见段之前增加说明段，说明段的小标题为“发现的情况”或其他适当的小标题。在中国，标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成，每一自然段均没有小标题。如果是非标准无保留意见审核报告，则在意见段之前增加说明段。可见，在正文的整体结构上，中国的与美国的相同，而澳大利亚的则较为复杂。

4.引言段。美国的引言段只有一自然段，主要说明审核的范围，即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。澳大利亚没有专门的引言段，但在范围段中，包括了美国审核报告中引言段中的相应内容，只是分散在不同的自然段中而已。在中国，引言段也只有一自然段，主要说明审核的范围，即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。可见，中国与美国的审核报告中，引言段中的内容是相同的。

5.范围段。美国的范围段只有一自然段，包括的主要内容有三个方面：一是说明实施审核程序所依据的职业准则；二是说明已实施的审核程序；三是说明已实施的审核程序为执业人员发表审核意见提供了合理基础。澳大利亚的范围段共有五个自然段，包括的内容比较复杂：第一自然段主要说明已审计内部控制的范围与审计目的(或者说是注册会计师的责任)；第二自然段主要说明确定审计范围的依据和使用的评价标准；第三自然段主要说明被审计单位管理当局的责任、包含该认定的报告、已经对控制程序实施了独立审计及审计的目的；第四自然段主要说明实施审计程序所依据的审计准则、已实施的审计程序、实施审计程序的目的；第五自然段主要说明审计师编制报告的目的、有权利使用报告的人、强制审计师对其他任何目的或其他人员使用本报告不承担责任。在中国，范围段也只有一自然段，主要说明审核依据、审核程序、实施的审核程序为注册会计师发表审核意见提供了合理的基础三方面的内容。可见，在范围段中，中国的与美国的相同，而澳大利亚的则较复杂。

6.固有局限段。在美国，固有限制段只有一自然段，主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。在澳大利亚，固有限制段分四个自然段来表述，第一自然段说明内部控制本身存在的局限与审计范围的局限；第二自然段说明审计程序设计的局限；第三自然段说明根据评价结果推测未来存在的风险；第四自然段说明审计意见形成的基础。在中国，固有限制段也只有一自然段，主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。可见，在固有局限段中，中国的与美国的完全相同，澳大利亚的不但结构复杂，所包括的内容也较多，特别强调审计范围与审计程序方面存在的局限。

7.意见段。三国审核报告的意见段均只有一自然段。如美国注册会计师可以直接针对被审核单位是否保持了与财务报告相关的有效的内部控制发表审核意见，也可以针对管理当局关于内部控制有效性的认定发表审核意见。在澳大利亚，注册会计师可以直接针对控制程序本身的有效性发表意见，也可以针对管理当局关于控制程序有效性的认定发表意见。在中国，规定了注册会计师对被审核单位是否保持了与会计报表相关的有效的内部控制发表审核意见，没有规定注册会计师是否可以对管理当局关于内部控制有效性的认定发表审核意见。可见，美国与澳大利亚发表审核意见的对象相同，可以针对内部控制本身的有效性发表意见，也可针对管理当局关于内部控制有效性的认定发表意见。而在中国，只规定注册会计师直接对内部控制本身的有效性发表审核意见。

8.说明段。在美国，说明段主要说明三项内容：一是说明注册会计师在审核中发现了情况，并认为是内部控制设计或执行中存在的重大缺陷；二是说明存在的重大控制缺陷对实现控制目标的影响；三是解释重大控制缺陷，即不能为单位内部控制及时预防或发现财务报表中存在的重大错报提供合理保证的情况。在澳大利亚，则称为“发现的情况”，主要说明内部控制存在的重大缺陷及对实现控制目标的影响。必要时，还可以对其他适当信息进行详细说明，但没有解释什么是“内部控制的重大缺陷”。在中国，说明段除描述内部控制的重大缺陷及其对实现内部控制目标的影响外，还强调“有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证，而上述重大控制缺陷使贵公司内部控制失去这一功能。“该强调实质上是对“内部控制的重大缺陷”进行解释。可见，三国在说明段中的主要内容是一致的。

9.报告签名与报告日期。三国在报告签名与报告日期方面是相同的。

10.主要意见类型。三国在内部控制审核意见类型方面也是相同的，均分为无保留意见、保留意见、否定意见、无法发表意见。我国用的是“拒绝表示意见”。笔者认为，“拒绝”含有注册会计师不愿意之意，其感情色彩与注册会计师因受范围限制无法、不能形成意见不符，笔者倾向于使用“无法发表意见”。

11.其他。在美国和澳大利亚，在报告正文的开头，均提及被审核单位对内部控制有效性作出认定所依据的控制标准。而中国的报告中没有提及管理当局作出认定所依据的控制标准。

总之，中美两国注册会计师内部控制审核报告大同小异，差异甚微。而澳大利亚的审核报告则包括了中美报告的全部内容，但在报告中的排放位置不同，且还有其独特内容，既向使用者传达了更多信息，但也增加了报告的复性。

(二)质量要素

第8篇

内容摘要:随着内部控制配套指引的出台,内部控制审计越来越被关注,内部报表审计与内部控制评价、财务报表审计内部控制评审之间的关系容易被混淆,论文重点分析以上几项之间的联系与区别,以便深入了解内部控制审计。

中图分类号:F270 文献标识码:A

内部控制在防范财务信息失真,预防重大的会计舞弊方面发挥着重要的作用。但是,任何一个好的制度都需要强有力的监督才能发挥积极有效的作用,才能对由此产生的财务信息的质量进行合理保证。所以利用注册会计师,对企业内部控制进行外部审计,出具合理保证的审计报告,已经成为全世界的共识。随着美国SOX法案(《萨班斯—奥克斯利法案》)的颁布,绝大部分国家都意识到了内部控制审计的重要性。我国在2008年5月由财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,2010年4月,上述5部门又颁布了《企业内部控制审计指引》。

《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。注册会计师在执行内部控制审计工作中,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系,又有本质区别。弄清它们之间的关系,对于充分认识内部控制审计的独特作用,切实推进内部控制审计工作的开展,具有重要意义。

内部控制审计与内部控制评价之间的关系

内部控制评价是指由企业董事会或类似权利机构对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。董事会或类似权利机构通常指定内部审计部门为内部控制评价部门,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素的设计与运行情况进行全面评价,并指出控制缺陷包括设计缺陷和运行缺陷,形成内部控制自我评价报告。

企业董事会对内部控制自我评价报告的真实性和合法性负责,内部控制自我评估报告的真实性,是指内部控制自我评估报告是否如实反映了企业内部控制设计和执行的有效性;内部控制自我评估报告的合法性,是指内部控制自我评估报告的编制是否符合国家有关法律、规章的要求(吴秋生,2010)。

(一)内部控制审计与内部控制评价的区别

1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。

按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。

2.性质不同。内部控制审计是企业外部对企业的内部控制审计,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价,通常情况,授权内部审计机构对企业内部控制进行评价,是一种相对独立的服务业务。

3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价,一方面,在评价的过程中可以发现企业内部控制缺陷,及时改善企业内部控制情况,进而提高企业经济效益;另一方面,投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营能力,从而为投资决策和正确行使相关权利提供资料依据。

4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照该指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成,两者之间不能够相互替代和免除(金灵,2011)。

5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价,而内部控制审计依据《企业内部控制审计指引》进行审计。

(二)内部控制审计与内部控制评价的联系

1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。

2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。

3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。

综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻(王晓丽,2011)。

内部控制审计与财务报表审计中的内部控制评审之间的关系

财务报表审计中的内部控制评审,是指为编制审计计划能够准确确定审计重点和抽样规模提供可靠依据,进而进一步确定实施实质性程序的范围、性质,注册会计师在进行财务报表审计时应当首先了解审计单位内部控制,且出现下列两种情况时注册会计师应当对内部控制实施控制测试:

在评估认定层次重大错报风险时,预期控制的运行是有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

(一)内部控制审计与财务报表审计中的内部控制评审的区别

1.直接目的不同。内部控制审计是出于管理方面的需求,从公司层面对企业整个内部控制系统尤其是财务报告内部控制进行全面的评价,以促进企业经营管理措施的实施及目标的实现,表现形式为对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见。而财务报表审计中的内部控制评审是为了满足审计方面的需要,评价那些可能对财务报表可靠性有重要影响的内部控制,判断其可依赖程度,从而合理确定审计程序,保证审计质量,提高审计效率。

2.性质不同。内部控制审计是一项独立的鉴证业务。而财务报表审计中的内部控制评审是财务报表审计工作中的一部分,一个重要的环节,而非单独的一项业务。

(二)内部控制审计与财务报表审计中的内部控制评审的联系

1.审计对象相同。内部控制审计与财务报表审计中的内部控制评审都要对与财务报告相关的内部控制进行审查,审查财务报告相关的内部控制设计的合理性,执行的有效性。

2.审计方法相似。针对相同的审计对象,内部控制审计与财务报表审计中的内部控制评审在审计方法上相似,都需要运用检查书面文件和记录、询问有关人员、穿行测试等方法。

正因为两者的相似点,现阶段内部控制审计与财务报表审计就内部控制的有效性的评价可以开展整合审计,即由同一会计师事务所的不同项目组执行同一委托单位的内部控制审计和财务报表审计,整合有利于注册会计师之间的沟通,方便协调各自的工作进度,互相借助对方的工作成果,可以大大加速审计时间,节约审计费用,降低审计成本,有利于促进内部控制审计顺利开展。当然在整合审计过程中,应同时实现如下的目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。

一方面,注册会计师在进行财务报表审计中的内部控制评审时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。

另一方面,注册会计师提出内部控制有效性审计结论时,应考虑财务报表审计控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。注册会计师要充分利用财务报表审计中的内部控制评审结论,再进行补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价。

结论

综上所述,无论是内部控制审计还是内部控制评价及财务报表审计的内部控制评审,均是针对企业内部控制所做的评价。按照评价主体的不同,可以分为外部评价和内部评价。内部控制审计与财务报表审计的内部控制评审是外部审计,通常由企业以外的注册会计师完成;内部控制评价是是典型的内部审计,一般由企业内部审计人员对内部控制做具体评价,管理层审批生成内部控制自我评估。虽然不同主体对内部控制的评价在目标、范围、内容和程序等方面存在差异,但是他们有一个共同性,评价对象是企业的内部控制。

由此看来,内部控制对于企业而言是非常重要的,它直接影响企业生存的质量、长久生存的耐力及扩张力,合理设计并有效运行内部控制是现代企业的生存之道。由此,自然滋生出对内部控制设计是否合理、有无执行及执行是否有效内部控制评价系统。其中内部控制审计作为外部监督系统,对企业内部控制执行的合法性和有效性发表审计意见,提供合理的鉴证,对于企业外部信息使用者作出合理的判断和决策起到了非常重要的作用。

参考文献:

1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9)

2.杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].财务与会计,2010(10)

3.吴葳.内部控制审计研究[D].南京大学,2011

4.李锦.财务报告内部控制审计[D].浙江工商大学,2010

第9篇

2001年6月，财政部发布《内部会计控制规范》，要求各单位建立适合本单位业务特点和管理要求的内部会计控制制度，并提出，单位可以聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及实施进行评价，接受委托的中介机构或相关专业人员应当对委托单位内部会计控制中的重大缺陷提出书面报告。7月11日，中国注册会计师协会发布《独立审计实务公告—内部控制审核（征求意见稿）》，对注册会计师接受专门委托从事内部控制审核业务作出了规定。此前，由深圳证券交易所发布的《创业板上市公司招股说明书（征求意见稿）》也提出，发行人应当披露对内部控制制度完整性、合理性及有效性作出的说明，注册会计师应对发行人的内部控制制度进行审核，出具评价意见，发行人应披露注册会计师的评价意见。由此可以预见，内部控制审核可能很快将作为一项独立的鉴证业务得以发展，那么，内部控制审核与传统的会计报表审计究竟是什么关系呢？本文试图对此作出论述。

一、会计报表审计与内部控制的关系

早期的内部控制是以账簿之间的核对、账簿记录与财产的一致性以及会计报表数据可靠性为核心内容，与独立审计有着天然的血缘关系。内部控制被运用于独立审计，最初就是为保证会计信息的真实性。实践中，注册会计师认识到抽样审计可以与内部控制制度结合起来，使审计方式逐渐演进成以评审内部控制为着眼点。注册会计师通过对被审计单位内部控制进行研究和评价，根据内部控制的可信赖程度，确定审计抽样范围以及实质性测试的性质、时间和范围，以获取适当、充分的审计证据。独立审计也由此从传统的审计阶段进入到现代审计阶段。

1949年，美国注册会计师协会（AICPA）所属的审计程序委员会发布《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告指出：内部控制是否健全及是否得到一贯遵行，对注册会计师审计质量的好坏及审计风险的大小有着举足轻重的影响。后来，AICPA又发布一系列公告，使内部控制审查逐渐成为一项必经的审计步骤。

90年代以来，我国也在颁布的一系列审计执业规范中明确了内部控制对于会计报表审计的重要作用。比如：《独立审计基本准则》规定，“注册会计师应当评价和研究被审计单位的相关内部控制制度，据以确定实质性测试的性质、时间和范围”；《独立审计具体准则第1号-会计报表审计》要求，“注册会计师应当在对被审计单位相关内部控制制度进行调查、研究和评价的基础上，确定审计程序和方法”；《独立审计具体准则第9号—内部控制和审计风险》要求，注册会计师在编制审计计划时，应当研究和评价被审计单位的内部控制，并指出内部控制包括控制环境、会计系统和控制程序三个方面的内容。然而，透视内部控制发展的现状，不难发现这种内部控制评价和研究仅仅是作为整个会计报表审计程序中的一个步骤，加之企业内部控制基础的薄弱，实践中在很大程度上不免流于形式。

随着人们对会计报表审计中内部控制重要性认识的加深，对内部控制进行单独评价及报告逐渐浮出水面。企业对外出具内部控制报告，注册会计师对企业内部控制报告出具审核意见，加重了企业管理当局及注册会计师的责任。企业管理当局出于减轻自身责任及企业长期利益的考虑，需要在注册会计师的协助下真正关注内部控制的缺陷与缺失，不断健全与完善企业的内部控制。同时，注册会计师也会为降低自身的审计风险而加强审计质量控制并督促企业改进内部控制。由此，可降低企业营运的风险，提高企业营运的效率和效果，也保护了投资者的利益，提高了企业对外出具的财务报告及其他披露信息的可靠性，增加了证券市场的透明度和有效性。

二、内部控制审核与会计报表审计的关系

如前所述，会计报表审计与内部控制存在天然的关系，会计报表审计原包含评价和研究内部控制的内容，如果把内部控制审核作为一项专门的业务独立出来，是否会影响会计报表审计意见的可靠性，甚至削弱会计报表审计的必要性呢？笔者认为，这关键是看两者的关系如何定位。

首先，独立审计的业务范围从会计报表鉴证拓展到内部控制报告鉴证的根本原因在于经营管理责任的演化。当公司所有者将会计信息以外领域的责任，如组织、计划、协调、企业文化等委托给公司经营者时，经营者自然要承担并履行责任。所有者不仅关心会计报表审计所提供的会计信息，还要关注包含上述内容的内部控制的建立和执行情况，并对内部控制作出评价和审核。相应地，独立审计鉴证的内容也会随之扩展。因此，通过会计报表审计披露会计信息的同时，对内部控制进行单独审核及报告是经营管理责任深化的结果，会计报表审计并不能完全替代内部控制审核的内容。

其次，会计报表审计是注册会计师对公司管理当局提供的会计报表的合法性、公允性和一贯性作出鉴证，以增强会计报表的可信性。内部控制审核是注册会计师对公司管理当局就其内部控制的完整性、合理性及有效性所作的认定进行鉴证，并发表评价意见，以满足利害关系人对管理信息的需求。从两者的报告内容看，审计报告仅是对年度或短期会计信息的鉴证，范围较小，时效也较短；内部控制评价报告则是对经营效率效果、会计信息可靠性、法令遵循性等目标的实现而提供合理保证的过程的鉴证，范围广，时效也较长。因此，内部控制审核报告是对审计报告所提供信息的有益补充，内部控制审核无疑会增强会计报表审计的可靠性。

第三，内部控制审核是对过程的鉴证，而会计报表审计是对结果的鉴证，因此，在报告结论上，内部控制审核必然会对会计报表审计产生一定的影响。但这种影响本身也是相对的。因为审计报告所揭示的会计信息的合法、公允和一贯性，并不表示内部控制一定是完整、合理及有效的；而内部控制在完整性、合理性或有效性上存在重大缺失，也并不等于会计报表不可信。所以，不能认为审计报告与内部控制审核报告的意见类型是完全一致的。实际上，内部控制审核与会计报表审计应是相辅相成的，共同为增加资本市场的透明度及有效性发挥重要作用。

第10篇

关键词:财务报表审计;内部控制审计;整合审计

一、绪论

1、财务报表审计基本理论

财务报表审计是指注册会计师接受委托，在实施审阅程序的基础之上，通过执行审计工作，对企业对外提供的财务报告是否按照适用的财务报告编制基础编制，财务报表是否在所有重大方面按照适用的会计准则和相关会计制度的规定编制，真实公允地反映被审计单位的财务状况、经营成果和现金流量发表审计意见的鉴证业务。财务报表审计最早起源于19世纪以前，目前在世界各国范围内已发展成熟，美国、日本等国家很早就颁布实施了财务报表审计准则，我国也早在1996年就发布了国家审计基本准则，相关学者对财务报表审计的研究成果不计其数。

2、内部控制审计相关概论

内部控制审计是指注册会计师接受审计委托，对被审计单位特定基准日的财务报告内部控制设计和运行的有效性进行审计，并在此基础上发表审计意见。在研究美国COSO发布的《内部控制整体框架》和我国《企业内部控制基本规范》中有关内部控制概论的基础上，将内部控制进一步细分为:广义内部控制和狭义内部控制，广义内部控制采用COSO《内部控制整体框架》和我国《企业内部控制基本规范》中内部控制的概念;狭义内部控制概念借鉴美国PCAOB发布的AS2中的财务报告内部控制概念，是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制审计目标的过程，其目标主要是为了合理保证企业财务报告及其相关信息的真实公允完整。

3、整合审计基本理论

整合审计是指会计师事务所接受审计单位委托，依照相关法律法规，通过利用两次审计工作的相似性来制定实施双向审计的流程，在整合审计的实施过程中，对被审计单位的财务报表和内部控制制度由同一家会计师事务所的同一项目组来执行，实施审计的整合计划，合理运用他人的审计成果，以求实现两种审计共同的审计目标。财务报表审计和内部控制审计的整合审计研究已经成为国际执业界最新的发展趋势。在近十年的发展过程当中，理论界和实务界一直在孜孜不倦的对整合审计的效率和方案进行探索和研究。

二、财务报表审计和内部控制审计的区别、联系

企业的内部控制审计和财务报表审计的最终目标相同，整合趋势明显，但是财务报表审计和内部控制审计是两种不同的审计模式，二者在实施审计程序的过程中也有着明显的区别，笔者通过下表分析二者的区别和联系:

1、审计业务范围

财务报表审计和内部控制审计都需要了解企业内部控制的设计和运行的有效性，必要时进行内部控制测试，但是二者在审计范围方面有着本质区别，财务报表审计的审计对象主要是对某一时点的或某一会计期间的财务报表、内部控制测试的必要性、并在必要时测试内部控制有效性，在非财务报告内部控制方面，除了了解与财务报表审计有关的非财务报告内部控制外，对于其他内部控制不需要进行了解和评价，内部控制审计主要是对特定基准日的内部控制制度进行审计，对于内部控制必须要进行测试，对注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

2、审计目标

财务报表审计和内部控制审计的具体目标不一致，但是二者的最终目标是一致的，共同目标都是向财务报表外部的信息使用者提供决策有用的高质量的财务信息，并对提供的财务信息的真实公允性提供合理保证;但是，财务报表审计的具体目标主要是对财务报表是否在所有重大方面都进行了真实公允反映，按照适用的财务报告编制基础编制发表审

3、整合审计的必要性和可行性分析

基于上述财务报表审计和内部控制审计两种审计模式的区别和联系的研究，笔者认为，实施整合审计有可行性，有利于提高审计效率，节约审计成本，改善审计效果。从被审计单位的角度来看，整合审计可以有效避免被审计单位重复实施审计程序，收集审计证据，从而减少注册会计师的审计工作量，由此，整合审计可以有效减少被审计单位的经济负担。

参考文献:

［1］李哲．财务报表审计和内部控制审计的整合研究［D］．云南大学，2015．

第11篇

（一）财务审计报告意见

《审计准则第1501号――对财务报表形成审计意见和出具审计报告》规定，注册会计师应当就财务报表是否在所有重大方面按照适用的财务报告编制基础编制并实现公允反映形成审计意见。对上市公司财务状况发表财务审计意见是注册会计师的主要工作，根据2009年至2014年财务审计意见分析，我们可以看出，标准无保留意见的比例占总审计意见的90%以上，且数量在逐步增加，绝对数量从2009年1656份增加为2014年2569份主要是由于随着相关部门的对信息披露的监管力度增大，促使上市公司不断提高其经营管理能力，也提高了其财务信息披露质量，出具标准审计意见的数量随之增加。非标准审计意见除了2012年有所增加之外，基本呈现下降趋势，其中带强调事项段的审计意见占非标意见的绝对比例，说明审计师更倾向于出具带强调事项段的审计意见，一方面反映了审计师的谨慎态度，另一方面反映了审计师更愿意出具较轻的带强调事项段审计意见来替代出具保留意见和否定意见。2009年至2014年审计师没有出具过否定意见，说明上市公司还没有较明显的会计政策运用的不合理与明显的舞弊行为，但是无法表示意见的数量绝对值没有下降，说明外部审计遇到的无法出具审计意见的事项在不断的变化，也说明整个审计工作的开展遇到一些新问题。

（二）内部控制审计意见

根据《企业内部控制审计指引》的要求，审计师应当就内部控制是否存在重大缺陷发表审计意见。如果审计师根据收集的审计证据得出结论认为内部控制存在重大缺陷，或者难以就内部控制是否存在重大缺陷收集充分适当的证据，那么审计师应当在内部控制审计报告中发表非无保留审计意见。由于2009年和2010年没有强制要求披露内部控制审计报告，所以严格意义上来说，2009年和2010年对内部控制的评价报告叫做内部控制鉴证报告。根据2009年至2014年内部控制审计意见分析，我们可以看出，近五年公开披露出具内部控制审计报告的公司数逐年上升，从2009年的627家逐年上升为2070家比例呈现直线上升趋势，这与我国政策要求的逐步分批对内部控制进行评价的要求有关，但是也反映了上市公司对内部控制评价的重视程度在逐步的增加。其中，出具标准无保留意见的数量仍呈现绝对比例，占97%以上。但是，我们发现，随着内部控制披露的不断成熟，标准无保留意见比例在不断的下降，从2009年的99.06%下降为2014年的95.94%，说明事务所对内部控制的评价越来越严格，对上市公司内部控制的缺陷与不足予以充分披露。与此同时，不仅非标准意见的内部控制审计意见绝对数量在逐步增加，从2009年的3份上升为2014年的82份而且非标意见的内部控制审计意见的比例也从2009年的0.48%上升为2014年的4.06%。在内部控制审计的非标意见中，审计师更加倾向于出具带强调事项段的无保留意见，其数量占非标意见的绝对比例。这是由于审计师在评判内部控制评价中，更愿意采用强调事项段来提醒使用者关注企业的内部控制评价效果，这种方式既能够保持足够的严谨性，也不至于使公司难以接受。在非标意见中，审计师出具的否定意见仅次于带强调事项段的审计意见。由于内部控制的评价本身不存在无法获取审计证据的情况，出具保留意见和无法表示意见的情况很少，如果发现内部控制存在着一定的缺陷，可以直接对其持否定意见。从数据中可以看出，2014年内部控制审计意见否定意见21份比2012年的4份曾加18份说明审计师对内部控制评价标准越来越严格。

（三）内部控制自我评价报告分析

内部控制自我评价，要求管理层根据公司切实情况对内部控制的设计和运行进行评价，发表书面评价意见并以报告形式出具的一种书面文件。可以认为，2009年我国内部控制自我评价制度开始规范化，随着近几年职能部门对公司内部控制评价要求的不断深入。整体来说，2009年至2014年内部控制自我评价从简单公布披露数量到详细披露内部控制缺陷类型，管理层对内部控制的自我评价有了质的飞跃。2009年至2014年披露内部控制自我评价披露总数从2009年的1108家上升2014年的2586家，披露比例从62.85%上升为98.29%，上升了35.44%，披露比例直线上升，而未披露公司数越来越少，除去连续亏损，重组等特殊事项以外，绝大多数公司都能够完全按照《内部控制配套指引》的要求，进行强制披露。

综合分析可以看出：一是随着我国内部控制评价体系的建立，内部控制自我评价逐步完善，上市公司能够积极响应国家政策的要求，公开披露内部控制运行效果，也不断的促使上市公司完善内部控制运行的合理性。二是由于2009年月1日才开始执行内部控制评价制度，2009年至2014年内部控制自我评价经历了一个非常明显的变化。这也说明了国家政策的强制要求对上市公司有了威慑作用，但是我们还发现，到2014年，还是有45家上市公司未披露内部控制自我评价报告，排除一些重组、兼并等客观原因以外，还没有完全达到100%的披露。

二、财务审计意见、内部控制审计与内部控制自我评价的比较分析

（一）财务审计意见与内部控制审计意见的比较分析

1.审计目标的不同，导致出具审计意见的标准不同。国际审计准则ISA 200第2条规定，财务报表审计的目标是审计人员对财务报表是否在所有重大方面按适用的财务报告框架编制发表意见；美国审计准则公告“独立审计人员的职责和职能”第1段明确规定：财务报表审计的一般目标是财务报表在所有重大方面是否按照公认会计原则公允反映了公司财务状况、经营成果和现金流量。这可以看出，财务报表审计目标在于对财务信息是否存在重大错报发表审计意见。同时，ISA 700“整套一般目的财务报表的独立审计人员报告”第6条强调，审计意见用词必须包含“给出真实公允印象”或“公允反映”。所以，财务报表审计意见的发表，主要是对“公允性”进行评价，审计的标准的重点放在“重大错报”上。然而，内部控制审计的审计目标有所不同。PCAOB在AS5第3段规定，财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见。由此可见，财务报告内部控制审计的目标是“有效性”。PCAOB在AS5第3段同时进行了说明，如果存在重大漏洞，公司财务报告内部控制是无效的。因此，注册会计师必须计划并执行审计，以取得在管理层评估日被审计单位内部控制是否存在重大缺陷的证据。由此可见，判断财务报告内部控制是否有效的重要依据是“重大缺陷”。正是由于财务报表审计目标体现为“公允性”，而内部控制审计目标体现为“有效性”，所以导致审计的标准从关注“重大错报”到“重大缺陷”。财务报表审计意见的出具依据公允性，对财务信息的重大错报进行程度分类，从而出具相应的审计意见。而内部控制审计通过对有效性的判断发现内部控制的缺陷程度，从而反映内部控制的运行状况。所以导致其审计意见的内涵有较大差别。值的注意的是，当审计师认为内部控制有效时，财务报表审计中也要对内部控制有效性进行评价，从而开展风险评估程序。这种对内部控制有效性的评价，与内部控制审计的内容有所重叠，但是财务报表审计并不对内部控制进行评价。这也说明，二者虽然存在在审计目标以及标准中存在差异，但是在具体审计过程中，也会有一定的交叉，不能把两者明确的分开。

2.对财务报告内部控制评价的不一致，导致出具非标准审计意见的差异。财务报表审计意见划分为五种类型，分别为：标准无保留意见、带强调事项段的无保留意见、保留意见、否定意见以及无法表示意见。而内部控制审计意见只有四种，分别为：标准无保留意见、带强调事项段的无保留意见、否定意见以及无法表示意见，比财务报表审计少了一个保留意见。注册会计师不能出具“保留意见”的内部控制审计报告，主要是因为内部控制审计在对内部控制的有效性评价时，会存在一定的主观性从而难以评估，因此不能对内部控制的有效性做出过于乐观的评价，否则会增加审计风险。这里值得注意的是，由于审计指引中明确规定内部控制审计意见中没有保留意见类型。由于财务审计开展得较早，且实践过程较为成熟，相对于刚刚强制实施不久的内部控制审计，由于相关规定的贯彻与实施的不同，也成为了审计师在出具财务审计和内部控制审计意见的区别。

（二）内部控制审计意见与内部控制自我评价结论的比较分析

1.评价范围以及对象有所不同。内部控制自评结论是针对企业所有内部控制运行进行的评价，关注公司的管理层、人力资源部门、销售与采购部门、财务部门等一系列流程部门内部控制系统的建立与运行状况。而内部控制审计的对象则是企业财务报告层次的内部控制，侧重于对外报告范围内的内部控制运行状况，由于自评报告针对的是企业所有的内部控制，而内部控制审计针对企业财务报告内部控制，同时如果审计师注意到企业非财务报告内部控制存在重大缺陷，也需要在审计报告中予以说明。虽然两者都是对内部控制的有效性发表意见，但内部控制自我评价的评价范围要比内部控制审计的范围广泛，其本身还是通过评价过程来完善内部控制运行机制，提高内部控制运行效果。

（一）内部控制信息披露的方式是强制披露

1978年美国科恩委员会建议公司管理当局对内部控制系统进行评价并报告，1979年证券交易委员会（SEC）提出《管理当局内部控制报告》，建议要求管理当局提供内部控制报告并要求审计人员加以审核，1988年又在《管理当局责任的报告》中建议要求上市公司评估其内部控制并将结果披露给公众。但是由于遭到公司管理当局的反对，内部控制信息披露最终没有成为强制要求，但仍有很多公司为了传递公司质量的信号而自愿披露其内部控制信息。2001年安然事件后，美国颁布了萨班斯法案，强制要求公众公司的管理当局对内部控制做出有关的保证，并提供经注册会计师验证的内部控制报告，内部控制信息披露由自愿转为强制要求。

（二）内部控制信息披露的内容是财务报告内部控制

萨班斯法案规定上市公司应在年度报告中包含一份内部控制报告，该内部控制报告主要包含管理当局的责任声明和对这部分内部控制有效性的自我评价。SEC为贯彻和落实萨班斯法案并便于界定CPA内部控制审核责任，专门采用了“财务报告内部控制”的概念，即旨在合理保证财务报告的可靠性和财务编报符合公认会计原则的控制程序。SEC于2003年8月的“最终规则”规定除了投资公司之外的上市公司都应在年度报告中包括一份管理当局关于公司财务报告内部控制的报告，该规则具体规定了财务报告内部控制报告的内容与格式。

（三）内部控制信息披露的主体是管理当局

“最终规则”要求证券发行人的管理层要在发行人首席执行官和首席财务官的参与下，评价发行人每一财务年度财务报告内部控制的有效性。根据萨班斯法案及SEC的相关规则，公司管理层不但要定期对外报出财务报告内部控制的报告，而且还要向公司的审计委员会报告内部控制的设计或运行中对记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷。

（四）内部控制信息披露需要注册会计师出具验证报告

萨班斯法案第103款要求，注册会计师在审计报告中描述对内部控制结构和程序进行测试的范围，并在审计报告中或者单独出具一份报告陈述以下内容：（1）内部控制测试所发现的情况。（2）关于内部控制是否合理保持了具体会计记录，以保证公允反映资产的交易和处置情况；内部控制是否合理保证交易得以完整记录，以保证财务报表的编报符合公认会计原则，及公司一切收支活动均在管理层和董事会的授权下进行等方面的评价。（3）内部控制测试中发现的内部控制重大缺陷和任何违规行为。

（五）内部控制评价标准

SEC建议使用COSO报告提出的内部控制框架，但不做强制性的统一要求，同时提出合适的规则框架需满足一定条件：（1）无偏性；（2）提供评价内部控制的合理、一致的定性和定量方法；（3）完备性，涵盖内部控制的各方面、各环节；（4）相关性，即与评价财务报告内部控制相关。2004年年底，Treadway委员会又推出新的COSO报告，在内部控制的框架和要素方面比以前又有所突破。

二、英国内部控制信息披露的特点

（一）内部控制信息披露内容的制度规定

1992年12月，英国研究报告《公司治理的财务方面》（Cadbury报告），要求董事会对公司内部财务控制的有效性发表公告，并要求外部审计师对该公告予以审核。Cadbury报告所界定的内部控制是狭义的，仅指内部财务控制。巴林银行的倒闭使人们认识到董事对内部控制评价仅仅限于财务方面远远不够，于是1998年Hampel报告出台，拓展了内部控制的概念，明确内部控制不应仅局限于公司治理的财务方面，并坚信董事及管理人员对控制的各个方面（包括财务控制、经营控制、遵循性控制等方面）进行复核评价具有重要意义。

（二）内部控制信息披露的主体是董事会

1994年，英国公司治理财务委员会了《内部控制和财务报告》，要求英国各公司的董事会公布一份有关其内部财务控制制度的声明。1998年颁布的《联合准则》规定，董事会应保持一个健全的内控体系，以保护股东的投资和公司的资产；董事会至少每年对内控的有效性评估一次，并向股东报告，评估应涵盖所有重要的控制，包括财务、运营、遵循性控制和风险管理，但没有要求外部审计师审核。由此可见，管理层有责任监督内部控制系统并向董事会提供报告，董事会应当定期收到和审查内部控制的有关报告，对内部控制进行年度评价，审查内部控制的有效性。

（三）英国内部控制的评价标准

为帮助董事执行《联合准则》中关于内部控制的相应条款，英国于1999年《内部控制：董事关于联合准则的指引》（Turnbull报告）。该报告对英国现有的公司内部控制体系进行了总结，并给出一个明确的公司内部控制框架，使得公司和董事会可以在此框架基础上形成自己的内控体系模式。虽然该框架是指导性的，不具有法律强制力，但是LSE的上市规则中要求上市公司就联合准则在年度报告中阐明没有遵守的条款并解释原因，即采取“遵循或解释”的准自愿或半强制方式。

（四）外部注册会计师的责任

关于Turnbull报告中建议公司应当披露用来处理年度报告和说明中披露的所有重大问题的重要内部控制方面的过程，英国审计实务委员会指南指出，审计师应当与董事讨论在年度报告和说明中披露那些重大问题所采取的步骤，并评价内部控制声明是否适当的反映了这些过程。在审查公司内部控制声明的过程中，外部审计师也要运用他们在财务报表审计中所获得的对公司的了解来做出职业判断。如果审计师认为董事会的内部控制声明与了解的情况不一致，审计师要在审计报告中增加补充段。

三、我国内部控制信息披露的现状

（一）上市公司年报中内部控制信息披露的形式

关于内部控制的相关法规中都没有对年报中内部控制信息披露的形式进行规范，这使得上市公司内部控制信息披露的形式不统一。除了监事会对内部控制信息的披露置于监事会报告中外，董事会和管理层对内部控制的披露大多数置于“重要事项报告”中；少数公司将内部控制信息披露放在“公司治理结构”中；也有公司在“董事会报告”中披露这部分信息；还有一部分公司以独立于年报的评估报告的形式提供了内部控制自我评估报告，而不再在年报的其他部分体现。披露形式的不一致也体现了上市公司对内部控制信息披露的认识和重视程度有所不同。

（二）内部控制信息披露的内容

从内部控制报告披露的内容来看，大多数企业只做简单、笼统的披露，存在重形式、轻内容、过于模式化的问题，而且按照披露要求出具内部控制自我评估报告和注册会计师鉴证报告的企业相对较少，大多数企业没有严格按照要求披露内部控制各个方面的内容，而只是披露了其中的一两方面。例如：大部分公司都认为其“已建立较完善的内部控制并得到有效执行”，并“将不断完善内部控制”，很少真正涉及到内部控制中存在的具体问题；即使认为公司内部控制存在问题，也是“控制重点不突出”、“个别控制业务执行不力”等无关痛痒的描述。

（三）注册会计师对内部控制鉴证的评价标准

由于我国目前没有对评价标准进行统一规范，会计师事务所提供鉴证报告的鉴定依据不尽相同，主要评价依据有财政部的《独立审计具体准则第9号――内部控制与审计风险》、《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》和中注协的《内部控制审核指导意见》。而且审计机构出具的文件有鉴证报告、审核报告、核实评价意见、专项说明等多种形式；还有部分公司在内部控制报告中表示注册会计师对其未表示异议，但未出具书面文件。注册会计师发表意见的具体方式也是多种多样，如对相关制度的执行情况及其有效性无异议、认为公司内部控制符合相关规则的要求、认为其相关内部控制制度有效等。

四、改进我国内部控制信息披露的建议

（一）完善内部控制信息披露的相关规定

首先，提高内部控制信息披露相关要求的权威性，加大监管力度，引起上市公司更为广泛的重视，并且使对不执行或不严格执行规则的上市公司的处罚有法可依。其次，对内部控制信息披露方面的内容与格式进行详细规定，使其要求更为明确、内容更为细化、格式更为合理，从根本上提高上市公司在内部控制方面相关信息披露的有效性，便于信息使用者的分析和比较。最后，进一步完善内部控制评价标准及相应细则，为管理层进行内部控制有效性评价提供指引。

（二）构建完善的内部控制信息披露责任机制

基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，所以为了完善内部控制信息披露制度，不仅要在政策上加以引导和规范，还需要明确董事会、监事会、高管人员及董事会下设各个委员会、独立董事等，对内部控制信息披露的准确性、完整性、及时性等方面的责任划分，规范上市公司内部控制报告的审核程序，制定处罚机制，对虚假记载、重大遗漏及误导性陈述等行为形成有效的法律约束机制。

（三）改进上市公司的公司治理

健全的公司治理是内部控制有效运行的保证，也有助于提高内部控制信息披露的质量。首先，理顺产权关系，规范股东大会、董事会、监事会、经理层、独立董事及审计委员会的职责，保持上市公司的独立性，避免内部人控制。其次，保持监事会较高的独立性和有效性，强化其监督作用；加强专门委员会和独立董事的作用，充分发挥审计委员会对内部控制的审查作用。此外，可以聘请年报审计的注册会计师之外的中介机构或专业人员协助对本单位内部控制的建立、健全及有效性进行评价，并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进。

（四）统一注册会计师内部控制鉴证的评价标准