实施内控审计：上市公司与事务所的双赢

------要从财务控制审计向全面控制审计发展

 

 

 

 

2、事务所进行内部控制审计都需要关注哪些关键点？

 

    事务所进行内部控制审计需要关注那些关键点，这因被审计单位的不同而不同,也应审计机构的不同而不同。一般认为，内部控制审计就是对被审计单位特定基准日内部控制设计与运行的有效性的审查和评价，包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素的审查和评价。把内部控制整体框架及其要素作为内部控制审计关键点是重要的，但这是基本的整体层面上内部控制审计的内容，还应把业务层面上的内部控制作为内部控制审计的重要内容。如不把业务层面的内部控制作为审计重点，内部控制审计工作难以深入，表面化，容易走形式。简单说，内部控制审计内容包括整体层面控制审计和业务层面审计两个重要方面。中天恒3C框架，把内部控制分为财务控制、业务控制和管理控制，与之相适应，内部控制审计内容应包括财务控制审计、业务控制审计和管理控制审计三个方面。这种分法便于在内部控制审计实践中操作。

 

    在内部控制审计实务中，审计机关和内审机构基于监管和管理需要的内部控制审计应根据资源情况、组织需求来决定，既可以是全面内部控制审计，也可以是局部审计，即对某个部门或某个控制要素进行审计。而会计师事务所从事的鉴证类内部控制审计要遵循有关鉴证规范的统一要求，不能仅仅满足委托要求。到底会计师事务所内部控制审计鉴证范围是什么，有内部控制整体论和财务报告内部控制论两种观点。内部控制整体论者认为内部控制审计的范围应涵盖内部控制整体，财务报告内部控制论者认为内部控制审计的范围应仅限于财务报告内部控制。从理论上说，既然称之为内部控制审计，那么内部控制审计的范围应涵盖内部控制整体。但从历史上看，会计师事务所内部控制审计鉴证的范围从来只是针对财务报告内部控制，美国、日本和加拿大等国家均要求会计师事务所就财务报告内部控制发表意见，尚无一例要求对内部控制整体发表意见。我国《企业内部控制审计指引》第四条规定：注册会计师应当对财务报告内部控制发表审计意见，并对审计过程中注意到的非财务报告内部控制的重大缺陷，在审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。严格意义上说，仅对财务报告内部控制发表意见的审计，不能叫内部控制审计，而应称之为财务报告内部控制审计。

 

    可以肯定地说，审计机构对内部控制进行全面控制审计是方向，但内部控制进行全面控制审计内容不仅包括财务报表相关的内部控制，还包括业务控制和管理控制等方面的审计内容，基于专业胜任能力、报告义务和成本负担等方面的考量，审计机构通常是对与财务报表相关的内部控制进行审计。这是因为以财务会计知识见长的审计人员终究不是企业经营管理方面的专家，不具备对业务控制和管理控制进行审计的专业能力。要满足对全面内部控制审计的要求，还需要精通经营管理方面的专业人员，当然不一定是审计师，可以是管理咨询师、经济师等。实事求是地说，我国现阶段审计机构还不具备对内部控制整体进行审计的条件，需要积极创造条件，逐步向全面控制审计方向过度。

 

     不管是对全面内部控制审计，还是对局部内部控制审计，内部控制审计内容均应包括内部控制设计与运行两个方面。内部控制的设计很重要，内部控制运行更重要，都是内部控制审计的重要内容。就具体而言，建设项目、采购业务、销售业务是公认的高风险领域，是必须关注的关键领域，其相应的业务人员尤其是相关领导是高风险人群，是关键之中的关键。当然，上市公司及其国有企业要业绩，财务报告虚假风险不可避免；上市公司及其国有企业不缺钱，盲目投资风险长期存在；上市公司及其国有企业治理结构不完善，内部人控制不会短期消失；经济不景气或货币紧缩情况下，现金断流风险日益严重。诸如此类，确实是需要关注的关键控制点。