CPA审计是提升内控有效性的制度安排

　　2008年5月和2010年4月，财政部会同证监会、审计署、银监会、保监会先后发布了《企业内部控制基本规范》和20项《企业内部控制配套指引》，在基本建成我国企业内控规范体系的同时，确立了企业内控有效性的自我评价制度和注册会计师审计制度，由此推动我国企业内控体系贯彻实施步入了法制化、规范化发展的新阶段。实施企业内控注册会计师审计，是立足我国国情、借鉴国际惯例推出的一项创新之策，也是确保企业内控有效实施的重要标志和制度安排。

　　（一）实施企业内控注册会计师审计符合国际惯例，有助于揭示企业内控重大缺陷，维护投资者利益和资本市场秩序。在企业尤其是金融企业和上市公司中推行内部控制注册会计师审计制度由来已久。1991年美国颁布《联邦储蓄保险公司法案》，要求资产高于2亿美元的金融机构管理层提供内部控制有效性评价报告，同时要求此类金融机构“聘请独立审计师出于鉴证之目的而对其内部控制进行评估并报告结果”。2002年，美国颁布《萨班斯—奥克斯利法案》，通过其302和404条款将财务报告内部控制自我评价和注册会计师审计制度扩大到公众公司。2006年，日本颁布《金融机构与交易法》，借鉴美国模式建立了日本公众公司的内控审计制度；同年，欧盟修订“欧洲议会和欧盟理事会指令”，明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷，是注册会计师审计的重要职责。注册会计师根据有关法律法规的规定和《企业内部控制基本规范》、《企业内部控制审计指引》的要求将认定的内控重大缺陷报告给企业投资者和社会公众，有利于投资者、社会公众和其他利益相关者全面、及时、准确地了解和掌握企业内控现状，提高决策的科学性和针对性，防止和降低决策失误风险，从而有效维护投资者利益和资本市场健康稳定发展。

　　（二）实施企业内控注册会计师审计，有助于增强企业内部控制效能，促进企业全面提升风险防范能力和经营管理水平。注册会计师的独立性和专业性，决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题，较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目，只缘身在此山中”的固有约束，注册会计师提出的审计意见往往更具针对性、深刻性和建设性；同时，注册会计师审计报告具有法律效力和威慑性，使得企业管理层必须高度重视注册会计师的审计意见，围绕注册会计师提出的内控缺陷采取及时有效的整改措施，从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性，为企业举一反三健全管控、杜塞漏洞，实现又好又快可持续发展提供助推力。

　　（三）实施企业内控注册会计师审计，有助于促进注册会计师行业紧密适应市场需求推动业务转型升级、实现加快发展。为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全，2009年10月，国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》（简称“国办56号文件”），明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上，积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸，推动大型会计师事务所业务转变和升级，加速向高端型、高附加值、国际化业务发展”。实施企业内控审计，是落实国办56号文件精神的具体体现，是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。

　　二、实施企业内控注册会计师审计中应当正确处理的几个关系

　　（一）企业内控责任与注册会计师审计责任的关系。

　　两者之间的关系和会计责任与审计责任的区分保持一致，即：建立健全和有效实施内部控制是企业董事会（或类似决策机构，下同）的责任；按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的责任。换言之，内控本身有效与否是企业的内控责任，是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此，注册会计师在实施内控审计之前，应当在业务约定书中明确双方的责任；在发表内控审计意见之前，应当取得经企业签署的内控书面声明。

　　（二）企业内控自我评价与注册会计师内控审计的关系。

　　第一，企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。企业内控责任与注册会计师内控审计责任的划分，决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规则独立完成，两者之间不能相互替代和免除。

　　第二，注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言，企业内控自评工作应先于注册会计师内控审计进行，因此，适当利用企业内控自评工作及其成果，可以相应减少注册会计师的工作量，提高内控审计效率。但是，注册会计师的内控审计责任，不能因为利用了企业内控自评工作而减轻，这就要求注册会计师在利用企业内控自评工作时，必须毫不放松风险意识，特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。下图揭示了注册会计师利用企业内控自评工作应当把握的方法和尺度。

　　第三，在各负其责的基础上加强双方的沟通协调，是做好企业内控自评和注册会计师内控审计不容忽视的重要方法。一方面，就注册会计师及其所在的会计师事务所而言，一是要注重树立整体研判观念，善于在宏观层面把握大局、把握实质；二是要着重关注合规目标、报告目标和资产安全目标，适当兼顾效率效果目标和战略目标；三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员；四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调；五是要加强内控审计业务培训和经验交流；六是要重视以前年度审计情况总结分析；七是要建立与同行的经验共享、技术合作机制；八是要加强信息技术等非财会、审计人才的引进和培养。另一方面，就企业管理层而言，一是要自觉强化可持续发展理念和借力“会诊”意识，主动配合支持注册会计师的审计工作；二是要建立并理顺与注册会计师的沟通协调机制，在审前、审中和审后保持坦诚、深入的沟通；三是要针对注册会计师的疑虑，提出有说服力的证据；四是要在第一时间整改注册会计师识别的控制缺陷，为获得更为正面的审计意见赢得主动。

　　（三）财务报告内控和非财务报告内控的关系。

　　第一，财务报告内控与非财务报告内控是一个相对概念，恰如会计控制与管理控制的界定一样。一般而言，与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控，比如，根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控，除此之外的控制可以归类为非财务报告内控。

　　第二，《企业内部控制审计指引》对财务报告内控和非财务报告内控提出了差异化的审计要求，即：注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。必须强调，这一规定是实事求是的，既充分考虑了注册会计师的专业特长和职业风险，将注册会计师的审计重心定位在财务报告内控领域，同时又大胆破除了单纯财务报告内控观念的束缚，促使注册会计师的内控审计范围与企业管理层的内控自评范围总体上趋于一致，增强了内控审计报告与自评报告的协调。

　　（四）内控审计和财务报表审计的关系。

　　《企业内部控制审计指引》规定，注册会计师可以将内部控制审计与财务报表审计整合进行（即整合审计），也可以单独进行内部控制审计。

　　尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择，但从企业更“经济”地委托审计分析，我们倡导内控审计和财务报表审计整合进行。事实上，审计准则所要求的风险导向审计与内控规范体系所要求的风险评估，在理念和方法上是趋于一致的，因此整合审计具有较好基础。整合审计的目的，就是在内控审计中获取充分、适当的证据，支持注册会计师在财务报表审计中对内部控制的风险评估结果；同时，在财务报表审计中获取充分、适当的证据，支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审计的互动关系见下图。

　　从美国公共会计公司（会计师事务所）整合进行财务报表审计和财务报告内控审计（404审计）的通常做法看，内控审计团队一般先于财务报表审计团队1－2个月的时间进入被审企业，在对财务报告内控有效性作出总体评估的基础上，对实施财务报表审计的性质、时间和范围作出适当调整和完善，之后，通过对财务报表的实质性分析复核，再来验证财务报告内控的有效性。由此可见，所谓整合审计，实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见，这是值得我国会计师事务所研究借鉴的。

　　（五）企业层面控制测试与业务层面控制测试的关系。

　　无论是企业内控自评，还是注册会计师内控审计，都需要对企业层面控制和业务层面控制进行测试。一般认为，与内部控制诸要素中的基本制度安排直接相关，对企业整体内控目标的实现具有重大影响的控制属于企业层面控制；与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论，企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控制。

　　因此，在实施企业层面控制测试和业务层面控制测试中，应当坚持自上而下、上下结合的测试方法。所谓自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企业层面控制，增强业务层面控制测试的科学性、针对性和实效性。同时应当注意，强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层面控制重点，以业务层面控制效果反证企业层面控制设计。

　　需要注意的是，在测试业务层面控制时，一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某项控制能够涵盖时，该项控制应当被认定为关键控制，除此之外，则被认定为一般控制。经验数据表明，在所有业务层面控制中，关键控制一般占到20％左右。下图为认定关键控制提供了一种可供参考的方法。

　　（六）重大缺陷披露与其他缺陷沟通的关系。

　　内部控制缺陷按其影响程度分为重大缺陷（实质性漏洞）、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷，又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定，当注册会计师发现企业董事、监事和高级管理人员舞弊，或者注册会计师发现当期财务报表存在重大错报，而企业内部控制在运行过程中未能发现该错报，或者企业更正已经公布的财务报表，或者企业审计委员会和内部审计机构对内部控制的监督无效，应当认定企业财务报告内控存在重大缺陷，对企业财务报告内控有效性发表否定意见，并通过内控审计报告予以披露。对于其他控制缺陷，包括重要缺陷和一般缺陷，应当区别情况与企业沟通。一般地，对于重要缺陷，应当以书面形式与企业董事会和经理层沟通；对于一般缺陷，应当以书面形式与企业有关职能部门沟通。

　　从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看，在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著（见下图）。这也提示我国注册会计师在实施企业内控审计时，应当着力把握易于出现错弊的关键领域和重要环节，切实揭示出企业财务报告内控重大缺陷。

　　三、进一步深化企业内控注册会计师审计应当研究解决的几个重要问题

　　《企业内部控制审计指引》的发布，为实施企业内控审计提供了执业准则和操作指南；同时，随着企业内控审计的不断深入，也势必反映出这样那样的各种具体问题。在当前和今后一段时间，应当着力研究解决以下几个重要问题。

　　（一）非财务报告内控测试的范围界定和方法技术问题。

　　关于非财务报告内控测试的范围。相对而言，财务报告内控测试范围较为明确，而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制，要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此，我们倾向于紧密围绕内控目标，建立一套非财务报告内控测试的核心指标体系，这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点，其中：对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面，特别是董事会、监事会建设和审计委员会监督职能的发挥情况；对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用；对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况；对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善，以及信息系统开发、建设和运行状况；对内部监督的测试聚焦于日常监督和持续性监控的落实情况，特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。

　　关于非财务报告内控测试的方法。总体而言，应与财务报告内控测试方法基本相同或相近，比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法，但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。下面以对企业文化的面询为例，为注册会计师提供一个测试、审视企业文化的新视角。

　　企业文化 备注1.贵公司是如何建立员工行为准则和高管人员职业道德准则的？2.这些行为准则、职业道德准则多长时间检查和更新一次？3.董事会居于何种考虑建立上述行为准则和职业道德准则？a.您认为达到董事会的目标了吗？达到了能叙述一下是如何达到的吗？没达到您认为未能达到目标的主要障碍是什么？4.如果公司管理层认识到存在不可接受的行为，那么将采取什么程序来调查这个问题？a.您能举出一些具体的例子吗？b.公司如何让员工们了解到管理层在这个问题上采取的行动？5.董事会已经识别了那些可能 诱导不道德行为的薪酬政策或者其他激励措施了吗？是的这些政策是什么？您如何监督这些政策？没有在制定薪酬政策或措施的时候，考虑的是什么标准？6.在过去三年中，管理层认识到内部控制的任何缺陷了吗？a.您是怎么认识到的？b.采取了什么措施来加以改进？7.您得到了有效完成您的工作的全部信息了吗？是的它是可靠的吗？及时的吗？没有为什么没有得到？8.董事会定期讨论企业文化和“高层的调子”吗？它们如何影响内部控制的整体有效性？是的董事会发现了什么？没有是什么防碍了你们做这些事情？在询问结束后，注册会计师要初步评估：与企业文化有关的控制政策看起来是何种程度的，以此作为对企业文化的初步测试结论。

　　（二）内控测试评价的样本选取问题。

　　基于净利润、资产总额等指标的计划重要性水平确定抽样规模，是财务报表审计的重要方法。但是，企业内控审计的外延和内涵大大超越财务报表审计，因此，如何确定内控测试评价的抽样规模，是一个亟待解决的突出问题。截至目前，尚未形成具有统一性、公认性的抽样标准，但部分国际会计公司在执行404审计中逐步探索出一些经验数据，值得研究思考并在此基础上予以完善。

　　（三）首次执行内控审计与连续实施内控审计的策略问题。

　　根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署，包括《企业内部控制审计指引》在内的《企业内部控制配套指引》自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。因此，除按《萨班斯—奥克斯利法案》404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外，其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计，特别是同时也属首次执行财务报表审计，意味着注册会计师对某一特定企业（客户）的了解尚不全面、系统、深入，因此，首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地，在以后年度的内控连续审计中，由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解，因此可以突出审计重点、简化部分程序，更多地关注高风险领域、企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化，对企业和会计师事务所是“双赢”之举，应当予以重视。由此也启示会计师事务所，一定要未雨绸缪、早做准备、注重积累，不断建立健全不同行业、企业的风险案例库，为提升内控审计质量和内控咨询服务水平奠定扎实基础。

　　（四）内控审计报告的披露形式问题。

　　《企业内部控制审计指引》明确了内控审计报告的格式和内容，但并未对如何公布、披露内控审计报告作出详细规定。从美国的情况看，企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告，一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看，既有在年度报告中单作一部分予以披露的，也有自成体系形成一个专门报告单独披 露的。两种做法各有利弊，我们尊重企业的自主选择权。同时，考虑到内控自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联，我们倾向于建议企业在年度报告中一并披露内控审计报告，以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内控状况的基础上作出正确决策。但是应当强调，在年度报告中一并披露的内控审计报告是一个独立的报告，不同于财务报表审计报告，否则与传统做法没有区别，也易于弱化内控审计。

　　（五）内控审计信息系统的开发建设问题。

　　会计师事务所及其注册会计师执行企业内控审计，必须开发建设审计软件，将内控审计程序固化在信息系统之中，形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看，其财务报告内控审计软件主要包括以下数据包：1.审计项目概述。2.

　　审计项目计划，包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。3.内控审计模型，包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。4.审核相关备忘录（MRC），包括404缺陷备忘录等。5.控制测试概览，包括：控制评估与记录；企业层面控制测试；承诺义务与或有事项；工薪循环控制测试；存货循环控制测试；现金收入（含销售业务）循环控制测试；现金支付（含采购业务）循环控制测试；财务报表结账程序控制测试；固定资产循环控制测试；负债循环控制测试；所得税控制测试；股东权益控制测试等。以对固定资产的控制测试为例，需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。6.对内控缺陷的集合与评估。7.就控制缺陷与企业管理层的沟通情况。8.就控制缺陷与企业董事会审计委员会的沟通情况。9.内控审计报告，包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异，但开发建设内控审计软件的基本思路和总体要求是一致的，应当迅速行动起来，通过联合开发、自主开发等多种形式，在利用信息技术实施内控审计中赢得先机。

　　（六）内控审计结果的利用问题。

　　构建政府、企业、注册会计师行业和社会有关方面有机协调、相互促进的良性互动关系，是贯彻实施企业内控基本规范和配套指引的内在要求，也是我国推进企业内控体系建设的重要创新。要实现这一目标，必须以充分利用企业内控审计结果为抓手。对政府有关部门而言，通过分析、利用企业内控审计结果，可以增强政府监督的针对性和实效性；同时，通过汇总、分析各类企业尤其是上市公司内控审计结果，发布上市公司内部控制年度综合分析报告，可以为改进宏观调控、完善资本市场提供直接有力的决策参考。对企业而言，通过反思内控审计结果尤其是内控重大缺陷，并将内控有效性情况纳入绩效考评体系，可以促进健全内控机制，培育内控文化，推动内控理念和制度深入人心、落地生根。对注册会计师行业而言，通过测试、评价企业内控有效性，由点及面、积少成多，可以丰富、充实企业内控经验教训案例库，为延伸专业服务链条，提供高端型、高附加值增值服务提供强有力的支持。对社会有关方面，包括理论界而言，内控审计报告为深度研究公司治理、风险管理和内部控制问题提供了丰富素材，在此基础上归纳、拓展、提升，可以为深化企业内控建设提供科学理论指导。

　　实施企业内控审计制度日渐临近、任重道远。广大企业、会计师事务所和各方面的专家学者应当积极投身其中，深入研究当前和今后一个时期的重点、热点、难点问题，切实把实施企业内控审计与推行企业内控自我评价结合起来，切实把实施企业内控审计与繁荣内控理论研究结合起来，切实把实施企业内控审计与培养造就高素质、复合型会计审计人才和企业经营管理人才结合起来，推动企业内控审计扎实、有序、深入开展。【消息来源：中国会计报      作者：刘玉廷  王宏】