2008年财政部等五部委联合颁布了《企业内部控制基本规范》,2010年又联合发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。内控实施和审计范围2012年已扩大到所有的国有控股主板上市公司。笔者通过近几年来参与上市公司及IPO企业的内部控制审计经历,对我国内部控制审计现状的不足之处有所体会,相应提出了一些加强内部控制审计的途径建议,以待与同仁商榷。 一、目前企业内部控制审计的不足 (一)内部控制审计范围有待扩大。许多上市公司为了规避管理责任或者减少成本,对内控实施和审计范围进行了限制。比如只在母公司实行,或者在一部分子公司中进行,没有包括特殊业务类型的重要子公司。这样的内控审计报告无法给投资者提供尽可能多的信息,也不能促进被审计单位全面加强内部控制建设。部分审计师也没有对内部控制审计范围进行强调,导致实施范围较小。 (二)内部控制审计对缺陷性质、认定标准不够明确。虽然内控缺陷认定标准由上市公司确定,但内控审计有复核、鉴证之责任。但目前部分上市公司未按要求披露内控缺陷具体认定标准,或者披露内控缺陷具体认定标准不恰当、不适用,千差万别、可比性差,且未严格按照其披露的缺陷认定标准进行缺陷认定。尤其对与非财务报告相关的内控缺陷,很难形成统一的客观标准。比如有些公司将《企业内部控制审计指引实施意见》中列举的表明财务报告内控可能存在重大缺陷的迹象直接认定为存在财务报告内控重大缺陷,而公司实际发生重大会计差错更正,但并未认定其财务报告内控存在重大缺陷。 (三)内控审计报告结论及相关信息披露与内控评价报告不一致,但未予以说明。从上市公司内控审计报告披露来看,存在被出具否定意见内控审计报告公司中,自我评价报告中否认其内部控制存在重大缺陷,仍认为财务报告内部控制有效或整体内部控制有效的情况。在内控审计报告也没有指出与被审计单位就重大缺陷认定结论的差异以及与内控评价报告相关披露的差异,仍披露为“公司的管理层已识别出上述重大缺陷,并包含在公司内控评价报告中”,作出与事实不一致的披露。 (四)信息系统审计不足。我国几乎所有上市公司均实施了信息系统管理,信息系统控制作为内部控制的重要组成部分作用日益突出。由于信息系统专业化要求较高,因此公司一般均招聘相应的IT人才或者外包给其他方。会计师事务所作为内部控制审计方,受人才、专业储备等因素限制,对与财务相关知识较为专业,对信息系统审计程序往往流于形式,审计人员信息系统知识储备不足。这必然会给内控审计带来一定的风险。 二、加强企业内部控制审计的途径 (一)将公司所有实施内部控制经营单位、业务均纳入审计范围。此外,审计师应按照审计指引等要求,考虑是否将1.按照权益法下相关会计处理而实施的内部控制,2.被审计单位在内部控制评价基准日或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务,纳入相应的控制测试范围。如果涉及军事保密等法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,除此外,注册会计师应将公司所有的业务均应纳入内控审计范围。 (二)参照被审计单位具体情况合理确定缺陷性质和认定标准。对于未提供认定标准的上市公司应参考同类公司及公司具体情况尽快进行认定,对认定标准不恰当、不适用的,应积极修改确定。我认为,考虑到目前大部分上市公司实施的是整合审计,即财务报表审计与内部控制审计系同一家,且财务报表审计与内部控制的审计重要性水平应该保持一致。因此从重要性水平金额来划分重大缺陷、重要缺陷、一般缺陷,即以定量的方式来确定具有合理性,既保持了两项审计的一致性,又有了相对客观的评价标准。但需要注意的是不能仅以已发生错报金额或已发生直接损失金额作为内控缺陷金额,需额外考虑潜在错报或潜在损失金额的影响。对于非财务报告缺陷标准,难以客观确定,我认为可以考虑自身的实际情况,比如医药行业可以考虑GMP认证标志、其他行业ISO体系认证标准,同时标准制定机构、研究机构,应研究制定内控缺陷认定的更多实务指引。 (三)内控审计要考虑内部控制自我评估报告等其他信息。内控审计为直接报告业务,非责任方认定的报告业务,即无需直接对客户出具内控自我评价报告发表意见,但需要对其信息进行考虑。审计人员需要对内部控制评价报告中披露的缺陷,审计中是否已经均考虑到,审计中发现存在内部控制的重大缺陷,公司内控评价报告是否也已披露。如果内部控制评价报告中披露的缺陷,审计中没有发现,则审计人员需重新考虑内控审计的计划、程序等是否合适,是否足以发现公司的重要缺陷。审计中发现存在内部控制的重大缺陷,如果而该公司内控评价报告的评价结论为内控不存在重大缺陷,注册会计师应积极与公司沟通,使其修改内控自我评估报告。如果客户坚持不披露,审计方应考虑按照《企业内部控制审计指引》及实施意见的要求,在内控审计报告中增加强调事项,披露其审计报告与公司内部控制评价报告对重大缺陷认定和披露不一致的事实。 (四)加强信息系统审计。会计师事务所需要高度重视信息系统审计,通过招聘信息系统审计专业人才,或者对目前审计人才加强信息系统培训的方式补充信息系统审计人才,事务所也可考虑开发专门的软件来对通用信息系统进行审计,以提高审计效率。实施信息系统审计时,一般审计人员要与IT系统审计人员密切配合。一般审计人员应具备是否需要实施信息系统审计的判断能力,以及对信息系统应用控制的识别能力。项目负责人应确保信息系统中关键控制点均得以测试。总的来说信息系统审计能够正确执行,实际上在完善审计范围的同时,能够减少重复信息的其他测试样本量,总体上缩减审计成本。
