内部控制审计概述


（一）实施内部控制审计的必要性
内部控制作为企业的一项重要管理活动，主要试图解决三方面的基本问题，即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循。
与此同时，促进提高经营的效率效果，并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后，人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升，从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设，也就是通过过程的有效来保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息，并要求经过注册会计师审计以增强信息的可靠性。
但是，在财务报表审计中，只有在以下两种情况下才强制要求对内部控制进行测试：在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见，注册会计师对内部控制的了解和测试不足以对内部控制发表意见，难以满足信息使用者的需求。因此，内部控制审计逐渐发展起来，很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如，美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计；我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计，出具审计报告，并专门制定《企业内部控制审计指引》规范内部控制审计工作。
（二）各国对内部控制审计的要求
1.其他国家对内部控制审计的要求。
我们对内部控制审计进行了国际比较研究，选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区，包括美国、日本、欧盟、加拿大和英国，对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明：
（1）美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计；欧盟、加拿大、英国未强制要求进行内控审计，但英国等国的上市规则要求审计师对管理层做出的内部控制声明进行形式上的审阅。
（2）强制要求进行内部控制审计的国家，如美国和日本，内部控制审计与年度财务报表审计整合进行。其中，美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行；而日本则不仅如此，要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性，直到发表审计意见的整个过程中，将两种审计作为一个整体进行。
2.我国对内部控制审计的要求。《企业内部控制基本规范》及配套指引的发布，要求执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。
这意味着，企业内部控制审计业务由原来的一次性业务或面向少数企业的业务（A股企业原先仅在IPO时需要，或者赴美国和日本等地上市企业需要，或者金融证券等高风险行业需要），变成了与财务报表审计一样的经常性业务，每年需执行一次。
对于执行内部控制审计的会计师事务所来讲，对公司上市前要进行内部控制审计，上市后也要进行内部控制审计。
（三）内部控制审计的定义
内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。例如，注册会计师可能在5月份对企业的内部控制进行测试，发现问题后提请企业进行整改，如6月份整改，企业的内部控制在整改后要运行一段时间（如至少一个月），8月份注册会计师再对整改后的内部控制进行测试。因此，虽然是对企业12月31日（基准日）内部控制的设计和运行发表意见，但这里的基准日不是一个简单的时点概念，而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法，也体现了这种延续性。
2.财务报告内部控制与非财务报告内部控制。审计指引第四条第二款规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制，是指企业为了合理