浅谈内部控制审计现状及优化路径

2023-01-08王婷

中小企业管理与科技 2022年6期

王婷

（新疆科技学院，新疆库尔勒 841000）

1 引言

在全球经济飞速发展的现今社会，上市公司的数量正在飞速增长，企业内部控制制度设计是否完善、运行是否有效，独立的第三方审计机构对其内部控制审计的结果都将影响公众对该企业的信任程度，这使上市公司意识到了建立和完善企业内部控制的重要性以及紧迫性。

当前，我国上市公司在公司治理以及内部控制建设和实施方面存在缺陷，这在一定程度上影响了我国企业的国际声誉。为改善这一现象，增强公众对上市公司的信任程度、维持良好的市场秩序，我国在2008年由审计署等五部委联合发布了《企业内部控制基本规范》，在2010年发布了《企业内部控制配套指引》，其内容包括应用、评价和审计指引，这一基本规范以及相关配套指引的发布对上市公司建立和完善公司治理以及内部控制制度具有指导和规范作用，同时，这意味着我国初步建成了能够适应我国企业实际情况的内部控制规范体系，我国的内部控制信息对外披露机制也初见雏形。

2 企业内部控制审计现状

企业开展内部控制审计有助于上市公司发现、抑制、纠正以及防止企业内部财务混乱等现象出现，对上市公司实施良好的公司治理以及其健康发展具有重大意义，是控制企业各类风险的重要工具。但是直至2012年我国才强制要求上市公司对外披露本公司内部控制审计报告。根据中注协的审计资讯，在2012年全年共有47 家事务所报备申请内部控制审计资质，但是当年仅有948 家上市公司进行了内部控制审计，并且披露了内部控制审计报告。截至2021年4月30日，披露内部控制审计报告的上市公司也仅有3 118 家，仅占同年披露财务报表审计报告的上市公司的72.5%，且仅有65 家被出具否定意见。由上述数据可见，虽然内部控制审计在我国的开展已有一段时间，披露内部控制审计报告的上市公司数量也有明显增长，但内部控制审计在我国的地位还远不及财务报表审计。

3 内部控制审计存在的问题

3.1 审计计划阶段

3.1.1 审计范围不全面

虽然近年来内部控制审计的重要性不断提升，但部分开展该业务的事务所在计划审计工作时，出于对时间和人力资源的考虑，在确定审计范围时仅考虑将合并报表净利润影响较大（一般为10%以上）的子公司和公司本部纳入审计范围。其余的子公司都被认为对公司的财务报表不会产生重大影响，因此，不做过多关注。但是依据简单的定量标准并不足以框定完整的审计范围，不可避免地面临较大的审计风险。例如，对于施工企业来说，其多数施工项目采用PPP、BOT 等模式，该模式下资金回笼时间较长，一般在项目建设期收入对合并报表净利润影响较小，但后期一旦建设完成，可能对合并报表净利润产生显著影响。此外，建设施工项目收入确认多采用完工百分比法，在确认收入时存在一定的难度，因此，在考虑审计范围时应当将所有施工类子公司都纳入审计范围，仅用定量的方法、仅关注对净利润的影响程度来确定审计范围是不全面的。

3.1.2 人员安排不合理

会计师事务所在年底审计业务繁忙时，经常处于人员缺乏的状态，大量实习生进入事务所实习，这导致审计项目组成员的能力存在明显差异。按照准则规定，计划审计工作时应当安排能力高的审计人员对能力低的审计人员进行督导，以提高审计的质量。并且相较于传统财务审计，内部控制审计的难度更高，涉及的专业知识更宽泛，所以应当在安排审计人员时，选择能力较强的人员来实施内部控制审计，加强对内控审计过程的督导。但是部分事务所在安排审计工作时实际没有遵守这一点。在预审时，主要的工作实际上都是由实习生和审计助理实施的，然而他们对审计的流程一知半解，经验也相对欠缺，只能被动地执行项目组负责人的指令，缺乏主动发现问题的能力，这就为内部控制审计埋下了隐患。预审作为内部控制审计的关键阶段，大多数审计流程都是在这一阶段开展的，预审中安排缺乏审计经验的审计助理和实习生开展工作将降低审计的质量。

3.2 审计实施阶段

3.2.1 审计程序执行不到位

根据中注协发布的信息，目前开展内部控制审计业务的事务所数量虽然有所增加，但是事务所的主要精力还是放在财务报表审计上，虽然每年会对审计人员进行内部控制审计培训并且定期更新审计程序，但是整体而言内部控制审计在实施时仍然是机械地按照准则规定开展工作，审计程序固化。同时，事务所人员流动性较大，虽然部分事务所整体看来拥有较为丰富的内部控制审计经验，但是对事务所进行实地访谈调查发现，员工中实际参加过内部控制审计的不足50%，因此，在执行业务层面，落实内部控制审计程序时项目组仍然按照模板仅采取一些常规化的审计程序，审计人员在执行审计程序时也仅是按照模板机械进行，导致一些审计程序流于形式。

3.2.2 未有效结合企业内部控制自评工作

会计师事务所在实施审计过程中，可以提前与被审计单位内部审计部门进行沟通，了解并评价被审计单位内部控制自我评价报告的可信程度，在企业自评报告可信程度高的基础上，可以考虑参考被审计单位内部控制自我评价工作底稿，以提高审计效率。部分企业在执行内部控制自我评价时，其确定的审计范围和重点关注的高风险领域比会计师事务所确定的更加全面，有效利用企业自我评价结果以及获取的证据，可以提高审计效率，将审计资源安排在更为需要的环节。但是据调查，大多数事务所并未有效结合企业的内部控制自评工作。

3.3 审计完成阶段

3.3.1 审计底稿填写不规范

在结束现场审计工作后，审计人员需要就审计过程整理和编写审计工作底稿。但前文提到，年底审计事务繁忙，大量实习生进入审计项目组，整理和编制审计底稿的工作就交由实习生或者经验相对不足的审计助理完成，注册会计师只负责审核和检查编写完成的审计底稿。然而内部控制审计底稿不同于财务报表审计底稿，其内容更为晦涩，审计助理对此只是一知半解，甚至在编写审计底稿时直接照搬上一年度的审计底稿，部分工作底稿只是对上年的数字和关键支持性文件进行了替换，或者参考财务报表审计中内部控制测试的审计底稿进行填列。因此，审计助理编写的内部控制审计底稿过于模式化，并未详尽地记录审计的全过程，对一些内容进行了简化，甚至存在漏记现象。

3.3.2 审计复核不到位

复核程序不到位是在事务所中常见的问题。虽然每个事务所都设置了三级复核程序，但是在实际工作中很难落实，一般只进行二级复核。在进行复核工作时只注重形式，存在代签和互签的现象，复核的作用未得到充分发挥，审计质量堪忧。例如，审计业务一级复核原本应该由项目负责人开展，但是实际执行一级复核工作的是项目组负责填写审计底稿的审计助理，即自己审核自己的工作，最终只是由项目负责人在签字栏进行签字确认。再如，部门经理也没有实际执行二级复核工作，而是直接签字交由质控部门进行终极复核，但是年底审计业务较多，质控部门工作量大，复核的效果存疑。因此，审计三级复核流于形式，并未真正发挥把控审计质量的作用。

4 内部控制审计的优化路径

4.1 审计计划阶段的优化路径

4.1.1 定性定量结合确定审计范围

审计准则虽然没有明确规定要求事务所在开展内部控制审计工作时必须将被审计单位所有分子公司纳入审计范围，但是在实施审计工作时出于谨慎考虑，应当在审计资源及时间充足的条件下，尽可能地将所有子公司纳入审计范围。在计划审计工作时不应该只作出定量考虑，将对合并报表影响较大的分子公司纳入审计范围，还应当结合定性分析，了解被审计单位的行业特殊性、企业的经营风险、企业的特殊业务以及企业选择的会计政策等，全面评估企业可能出现重大错报的领域，准确划定审计范围。在计划审计工作时，审计人员要认识到定性考核和定量考核从来都不是互相独立的，应当相互结合，以定量考核为主，定性考核为辅，进行全面的评估确定审计范围，只有这样才能避免审计人员因为审计范围选择不当而无法发现被审计单位内部控制的缺陷，并据此出具不适当审计意见的审计风险。

4.1.2 合理安排审计人员

内部控制审计不同于财务审计，内部控制审计不仅涉及的领域更广，而且对审计人员职业素质和专业能力的要求也更高。因此，这要求参加内部控制审计的审计人员要具备更高的职业素质，除了要掌握传统财务审计知识，还应当了解公司治理、公司运作流程等方面的知识。事务所应当改变固有思维，正确认识内部控制审计的重要性以及复杂性。例如，在组建项目组时应当重点安排具有内部控制审计经验的审计人员，在正式开展内部控制审计之前，安排内部控制审计经验丰富的老员工对项目组进行培训指导，将实际审计案例作为培训资料，对审计全过程进行梳理。

4.2 审计实施阶段的优化路径

4.2.1 规范审计程序执行过程

根据自上而下的审计工作思路，审计人员在开展审计工作时应当重点关注企业层面内部控制的有效性，在对企业层面内部控制进行审计时，应当将所有与控制环境、风险评估、管理层凌驾于内控之上、信息与沟通以及监督直接相关的控制因素都纳入测试范围，然后针对不同的风险点有重点地实施审计，切忌平均施力。在实施审计程序时，不应单独采用一种审计方法，而应该应用多种审计方法进行审计，获取充分适当的审计证据。首先，审计人员在执行穿行测试之前，应该利用自身的职业判断来确定对哪一时段的哪一笔业务执行穿行测试，并且在执行穿行测试的过程中不能受到被审计单位的影响而随意更换提前选定的业务，防止被审计单位管理层做出违规行为，向审计人员提供提前准备好的虚假业务资料；其次，执行审计程序时要按照业务发生的顺序，对业务发生的全过程进行测试，获取业务运行生成的全部支持性文件，不能随意改变测试顺序；最后，针对“内控制度缺陷导致的重大错报”，考虑增加重新执行程序。

4.2.2 合理结合公司内部审计工作

审计人员应当在开展审计之前充分了解企业的内部控制自我评价的情况，提前与被审计单位的审计委员会进行沟通，获取其内部控制评价报告、工作底稿、相关的原始资料、自评阶段发现的内部控制缺陷汇总表和公司后续整改情况汇总表等，然后审计员应当评价内部审计部门的独立性以及工作质量，确定是否利用其内部审计工作结果。但是签字注册会计师要明确，利用他人工作虽然能够提升审计效率，但是并不能减轻自身对审计报告的责任，所以在结合他人工作时要对其工作质量和独立性进行评估，以确保最终出具的审计报告的客观性。

4.3 审计完成阶段的优化路径

4.3.1 规范编制审计底稿

事务所在审计底稿的整理和编制时出现种种不规范的现象，究其原因，一方面是负责整理底稿的审计助理对审计过程一知半解，未完全了解各工作底稿间的逻辑关系，对审计全过程缺少系统的认识，填列时只能照搬模板；另一方面是事务所对审计底稿整理工作的重视度不高，未能及时对所执行的工作进行记录，导致部分信息记录不全面。为解决上述问题，事务所一方面要定期对审计人员开展内部控制审计业务培训，使审计人员能够对内部控制审计的全过程有系统了解；另一方面在安排审计工作时，对每一环节均要安排至少一名具有内控审计经验的审计员对审计工作进行督导，并对工作底稿的整理和填列进行检查，承担检查责任，以确保审计工作底稿能够得到及时并且正确的填列。此外，事务所应当结合自身的内部控制审计经验，对不同的行业建立有针对性的审计底稿，而不是将一个模板用于全行业，并且设计的底稿内容要尽可能详细，最大限度地呈现审计人员所实施的审计全过程，使复核人员能够一目了然。

4.3.2 落实三级复核制度

事务所三级复核流于形式最主要的原因是接近年底，事务所审计任务重、项目配备人员不够，加之审计时间安排过于紧张，所以事务所在执行审计复核时出现了代签、互签等现象。为保证三级复核制度真正得到落实，首先事务所应当对每一级复核形成书面记录，对复核工作开展情况以及复核结果予以记录，并且签字留存；其次，如果在后期审查中发现代签、互签现象，对代签双方均追究责任；最后，将复核工作执行情况与员工绩效考核挂钩，不定期由事务所组织人员对项目复核情况进行检查，一旦发现复核不到位的情况，立即处理相关责任人，对其进行通报批评并扣发当年奖金。