由我国内部控制基本规范谈内控年报审计

【摘要】 2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。经历2008

【摘要】 2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。经历2008年度上市公司审计历程，对于上市公司中相关内部控制的方法和原则认识，以审计人的角度提出企业内部控制的研究和完善对策

【关键词】内部控制；内控基本规范；内部控制审计；审计工作

2008年6月，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，对于需要在2009年7月1日执行规范的上市公司，应当对本公司内部控制的有效性进行自我评估，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。作为接受企业委托从事内部控制审计的会计师事务所，需要根据规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。本文根据实际规范指引及相关规定进行分析，结合审计实务提出了对于企业内部控制的研究和看法：

一、关于企业内部控制基本规范的认识

在全球化背景下，随市场经济的发展和企业环境的综合变化，强化企业内部控制系统将有助于防止和管理风险、提高运营的效率和效果、确保财务报告的可靠性、提高企业战略目标的能力并维护投资者的合法权益的意识越来越深入人心。2002年7月美国国会通过的《萨班斯——-奥克斯利法案》也对目前国际上各国企业内控建设产生了积极影响。在国内资本市场中，由于没有统一的企业内部控制规范，加上一些上市公司内部控制意识淡薄，也出现了一些企业内部控制失效甚至舞弊的案件，损害了投资者利益，并且在市场上造成了恶劣影响。此外，由于企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。2008年6月28日，我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称内控基本规范），强化了企业内外对内部控制的投入和监管力度，标志着我国企业内部控制规范体系建设取得了重大突破。

（一）内控基本规范的定义认识

本次发布的内控基本规范共7章50条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则，是酝酿两年之久的中国版“萨班尼斯－奥克斯利法案”。根据内控基本规范要求，所属规范范围的企业应该：

1、科学界定内部控制的内涵。内控基本规范强调企业内部控制是应该由企业董事会、监事会、经理层以及全体员工共同实施的，旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念定义。

2、准确定位内部控制的目标。内控基本规范要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。

3、合理确定内部控制的原则。内控基本规范要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。

4、统筹构建内部控制的要素，有机融合世界主要经济体加强内部控制的做法经验。内控基本规范要求企业构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架体系。

5、开创性地建立以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。内控基本规范要求企业实行内部控制自我评估制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，并出具审计报告。

（二）内控基本规范的操作认识

在按照内控基本规范的操作实践中，按照具体操作内容主要要求企业：

一是着力抓好实施准备工作，研究制定具体实施办法，采取有效措施降低企业实施成本，稳步扩大基本规范实施范围；

二是着力加强宣传培训，为贯彻实施基本规范营造良好的舆论氛围和社会环境；

三是着力健全内控规范体系，逐步建立一套以基本规范为统领，以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系，并不断完善以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施体系；

四是着力巩固科学民主决策机制，充分调动各方面的积极性、主动性和创造性，为建设高质量的内控标准体系提供强大智力支持；

五是着力推进内控国际趋同，通过促成我国内部控制标准与国际内部控制框架的趋同乃至等效，为我国企业“走出去”提供积极支持；

六是着力发挥体系联动效应，研究分析会计准则、审计准则、内控规范、会计教育与人才评价、信息化建设之间的联动关系，最大限度地发挥整体联动效应，更好地为经济社会可持续发展服务。

企业内控基本规范的推出，符合了中国特殊国情下对企业内控的要求，并且在细则要求上达到了国际化水平。基本规范扎能够有效的在我国发布和实施，主要源于在规范的制定上扎根于我国企业的鲜活实践，在实际实施中具有有效的支撑点和强大的生命力，同时在界定上放眼世界、兼收并蓄，取其所长、为我所用，过程中合理借鉴了以美国COSO报告为代表的国外内部控制框架，在形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。

（三）内部控制规范的实践认识

在我国，因为长期以来的财务管理思想在企业管理思想中根深蒂固，对于内部控制的研究起步较晚。虽然在我国的实际企业管理中正积极跟进国际上的先进管理思想，并已经在实际操作中加大了研究力度，但较国际上其他国家的企业内控实务管理仍有差距。在我国，随着内控基本规范的颁布和实施，企业在内控制度体系建设上已取得一定的成果，并且在企业实务管理中显有成效。但由于受到长期的管理思想和理念影响，人们对内部控制及公司治理等理论仍认识不够，加上内部控制体系尚未完善，社会上缺乏相关的内部控制人才，所以内部控制在我国的发展应用中还存在不少尚待解决的问题。

二、关于企业内部控制审计实务的认识

（一）企业内部控制年报披露的要求

根据上交所上市部向各上市公司发出的《关于做好上市公司2008年年度报告工作的通知》称，上交所从2008年年报披露开始，在部分上市公司中推行披露履行社会责任的报告和内部控制自我评估报告。必须与2008年年报同时披露这两份报告的公司包括三类，分别是在上交所上市的“上证公司治理板块”样本公司，发行境外上市外资股的公司以及金融类公司。为规范上市公司董事会在年报中关于公司内部控制的自我评估报告以及公司履行社会责任的报告的编制和审议工作，进一步加强上市公司的制度建设和信息披露的规范性、准确性，关于对2008年年报披露工作，上交所拟全面推行上市公司年报XBRL（可扩展商业报告语言）形式的披露。具体来说，上交所拟要求全部沪市上市公司在披露2008年年报时，需同时提交两份电子文件，一份是常规的PDF格式文件，另一份是XBRL实例文档，两份文件将同时在交易所网站披露。

（二）2008年报中披露报告的看法

根据2008年度已经公告的上市公司中，从内部控制自我评估报告披露形式和内容来看，部分公司内部控制自我评估报告篇幅较长，重点不突出，对于内部控制存在的问题避重就轻，且由于内部控制自我评估报告没有一个统一格式，使得投资者阅读难度加大，可比性较差。个别公司在披露内部控制自我评估报告时，仅针对内部会计控制制度的建立和执行情况进行了说明，评估范围较窄，无法反映公司内部控制的整体情况。此外，多数公司在内部控制自我评估报告中对公司内部控制存在的问题泛泛而谈，未触及主要内部控制上的实质性内容。对于改进措施和建议也较为原则，缺乏针对性，个别公司在实际经营和管理中，出现过了重大违规行为，但出具的内部控制自我评估报告却未反映出任何有针对性意见的问题。

（三）浅谈企业内部控制的审计认识

内部控制审计是企业内部控制制度的一个重要组成部分。由于我国的内部控制制度仍处于起步阶段，根据部分市场调查，为数不少的企业没有设置内部审计机构， 更谈不上内部控制的审计，即使具有内审机构的企业，其内部控制审计也有时会被忽略。

按照上交所拟全面推行上市公司年报XBRL（可扩展商业报告语言）形式的披露认识，内部控制审计已经作为一种思想逐步在上市公司中开始实施，具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计已经作为一项必须的年报程序在上市公司年报审计工作中崭落头角，如何有效的进行该项工作成为了各家中介机构的焦点。根据当前我国已经颁布和实施的会计和审计准则，就我国的审计模式和认识，笔者认为在企业的内部控制审计上，中介机构应当实施注意如下程序：

1、编制内部控制审计计划确定审计重点

对于一个完整的审计工作，审计计划是工作的源头，是实现科学审计管理的灵魂思想。作为一项审计工作，加强和改进审计计划，对规范审计业务活动、确保审计工作高效、有序运行具有重要意义。我国的内控审计才刚起步，与经济社会发展对审计工作的要求还有相当大的差距，这需要几代审计人共同去完成这项历史的使命，审计计划的编制和实施更是其中的最薄弱和需要完善的环节。

2、有效的组建内部控制审计工作小组

受托审计机构应当根据内部控制审计工作的性质、业务量、难度及时间进度，并结合有关企业的对内部控制审计任务的特殊要求和规避原则，组织有经验的审计人员和聘请有关专家，组建内部控制审计工作小组，任命工作小组组长，并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求，同时进行审计前有关法律法规、主要项目业务培训，为现场审计工作打好坚实的基础。

3、现场内部控制审计工作应注意策略

a、有效的编制内部控制审计方案。内部控制审计方案主要内容包括内部控制审计的目的、时间、范围、方式、内容以及项目组人员的分工等，完整的内部控制审计方案是使审计具体工作达到预期效果的合理保证。

b、现场审计工作做到灵活合理。在具体审计工作中，审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工，采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等审计方法，根据现场确定的审计重点，对照内部控制规定的业务流程步骤、控制点和监督检查方法，抽取一定的经济业务对被审计单位或部门的内部控制进行测试，检查内部控制是否执行以及执行的程度等。因为每个企业的内部控制管理模式是不同的，审计人员在实际操作中必须要做到审计方法合理使用，这就要求审计人员必须进行专业的判断，在实务操作中做到灵活合理，有效的完成具体审计工作。

审计人员在我国的经济大环境运行中，承担着服务与监督两方面的职能，在企业内控制度建设管理中，应加强各类政策法规和专业知识的学习，不断拓宽自己的审计思路，改进审计方法，提高自己的业务综合能力，增强宏观意识。在具体审计工作过程中，不能仅仅拘泥于一般的财务收支活动，更要注意搜集企业经营管理过程中的各类信息；平时，要多了解国际国内最新审计动态，在实际的审计工作中为企业决策者提供祥实的财务信息和管理信息，提出的意见和建议应当具有极强的可操作性，注意原则性和灵活性相结合，不能脱离实际、纸上谈兵，以促进企业内部控制制度的不断健全和完善。

受近年美国次贷危机的影响，我国大量企业的倒闭暴露出了企业管理的种种问题。虽然这些企业的倒闭原因不尽一致，但多数企业最根本的原因都一样：风险意识淡薄，内部控制形同虚设。通过建立健全企业内部控制体系、完善企业内部控制审计机制，可以为企业建立公司治理结构，确立董事会在内部控制系统中的核心地位，并且有效的增强企业的竞争实力和提高企业的经济效益。

【主要参考文献】

［1］中国财政部、证监会、审计署、银监会、保监会 《企业内部控制基本规范》 2008年

［2］财政部中国注册会计师协会 《中国注册会计师鉴证业务基本准则》 2006年

［3］美国内部控制专门研究委员会（COSO） 《内部控制———整体框架》 1992年

［4］美国国会 《塞班斯法案》 2002年

［5］美国内部控制专门研究委员会（COSO） 《 企业风险管理―总体框架》 2004年