财务制度审计报告篇1

财务部审计需要根据企业管理需要，组织对企业主要业务部门负责人和子企业的负责人进行任期或定期经济责任审计;以下是小编精心收集整理的财务部审计职责，希望对你有所帮助，如果喜欢可以分享给身边的朋友喔!

财务部审计职责11.负责拟定内部审计计划及项目初步审计方案，报部门领导批准后组织实施公司及子公司各类审计工作，包括：财务审计、经营审计、投资审计、离任审计、履职绩效审计、内控体系审计等：

2.出具审计报告，确保审计结论正确，证据获取充分;

3.及时发现内部控制中存在的弊病和漏洞，优化内控体系，促使公司提升整体管理水平;

4.及时发现现有或潜在内外风险，提出相应意见和建议，促使整体目标的实现;

5.实施对子公司的专项审计工作，出具审计报告和管理层建议书等审计文书，督促审计结论和审计建立的落实;

6.负责对各被审单位审计整改意见落实情况进行检查;

7.了解内审发展趋势并运用新技术、新方法，有效提高审计效率和质量;

8.完成风控部负责人交办的其他事项。

财务部审计职责21.通过阅读上市公司财务报表，了解上市公司运营情况

2.通过财务报表和其他行业信息，撰写调研报告

3.负责财务报表、费用审核，资金管理、及财务预决算等工作，整理财务数据，支持业务工作

财务部审计职责31、严格执行集团财务管理制度和相关工作流程，开展子公司财务工作;

2、负责子公司会计核算，编制会计报表;

3、负责子公司财务预(决)算、资金计划、税务测算等工作;

4、负责子公司税务申报;

5、负责编制子公司月度指标执行情况，及时进行财务预警，确保年度指标及整体预算顺利达成;

6、审核子公司各类成本费用开支，确保各项报销及付款符合公司制度。

财务部审计职责41、组织拟定年度审计监察重点工作计划报监事会主席审批;

2、组织开展审计工作;

3、组织拟定审计工作报告，并上报监事会主席审核。

财务部审计职责51、拟定年度审计重点工作;

2、组织进行年中、年终经营情况审计;

3、进行财务制度执行情况审计;

4、进行经营与财务运行中单独事项的专项审计;

5、进行投资项目阶段性和专项审计;

6、联系外部审计单位对工程建设项目进行预算、决算审计;

7、检查督促审计决定与建议的实施。

财务部审计职责61、协助完成工作底稿的编制、整理和归档工作;

2、协助出具审计业务报告和其他鉴证业务报告;

3、熟练掌握财务会计审计等相关知识和政策法规。

财务部审计职责71、审查集团内各项财务制度的落实情况，完善财务制度的建立。

审阅定期财务报告，配合外部机构实施专项财务审计;

2、根据公司投融资需求进行标的公司的财务尽职调查工作。

3、对公司年度财务预算、财务决算执行情况进行跟踪审计

4、检查和评估公司重要的对外投资、购买和出售资产、对外担保、关联交易、募集资金使用及信息披露事务的合理合规性

5、独立编写审计工作底稿，编制审计报告，确保审计证据支持审计目的

财务制度审计报告篇2

摘要：以《企业内部控制基本规范》的颁布为契机，考察在法规约束前提下我国上市公司内部控制审计现状。2009年和2010年的年报数据表明，上交所有多于半数的企业并未遵循《企业内部控制基本规范》的要求，我国内部控制审计的披露程度较低。一方面，这和我国相关法规的强制力不足有关；另一方面，也和我国内部控制审计规范体系的不完善有关。由此，我国应制定详细的内部控制审计准则并完善审计报告的标题、类型、内容和格式，以促进我国内部控制审计实践的健康发展。

关键词：内部控制审计；财务报告内部控制；内部控制；内部控制基本规范

OnthePresentInternalControlAuditandtheImprovementofAuditStandardSysteminChina

-BasedontheResearchofAnnualReportsDatain2009and2010fromShanghaiStockExchange

TAOLijuan

（InternationalBusinessSchool,QingdaoUniversity,QingdaoShandong,266071,China）

Abstract：

TakingtheopportunityoftheissuanceofCompanies’InternalControlBasicNorms,thispaperstudiesthepresentinternalcontrolauditoflistedcompaniesrestrainedbylawsandregulationsinChina.Annualreportsdataofthelistedcompaniesin2009and2010showthatmorethanhalfofthecompaniesinShanghaiStockExchangefailedtofollowCompanies’InternalControlBasicNorms.InternalcontroldisclosureinChinaislefttoomuchtobedesired,whichisresultedfromtheinsufficientmandatoryforceoflawsandregulationsandtheincompleteinternalcontrolauditstandardsystem.Therefore,thegovernmentshouldestablishspecificinternalcontrolauditstandardsandrevisetheauditreporttitle,types,contentandformattoimprovetheinternalcontrolauditpracticeinChina.

Keywords：

internalcontrolaudit;internalcontroloverfinancialreporting;internalcontrol;internalcontrolbasicnorms

一、制度背景

1999年修订的《会计法》，第一次以法律的形式对企业建立健全内部控制提出了原则要求。随后，为加强内部控制建设，保证财务报告可靠，财政部规定从2001年6月起所有公司均应建立和维护有效的内部会计控制，并制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。中国人民银行、中国证监会、国务院国资委等部门也先后颁布了多个关于内部控制的文件。2006年，上海证券交易所和深圳证券交易所先后颁布了《上市公司内部控制指引》，强制要求上市公司的董事会在披露年报的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。为了适应国际内部控制发展的大趋势，同时解决“政出多门、要求不一”的问题，2006年，由财政部牵头的六部委成立了“企业内部控制标准委员会”，并于2008年6月28日联合了《企业内部控制基本规范》（以下简称《基本规范》）。《基本规范》要求企业建立并实施内部控制，上市公司应当对本公司内部控制的有效性进行自我评估，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。《基本规范》的颁布在我国内部控制监管史上具有划时代的意义，业界通常称之为“中国版的萨班斯法案”。2010年4月26日，财政部、证监会、审计署、银监会、保监会联合了《企业内部控制配套指引》。该配套指引包括《企业内部控制评价指引》、《企业内部控制审计指引》和18项《企业内部控制应用指引》，连同此前的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

然而自《基本规范》颁布之日起，就面临诸多尴尬。首先，相对美国的萨班斯来讲，其法律约束力不足。萨班斯法案是由美国国会通过，对在美国上市的所有公司都有约束力的“法律”，而《基本规范》只是一个“部门法规”，约束力远不及萨班斯法案。萨班斯法案号称自20世纪30年代以来，美国监管最严苛的法律，对于违背萨班斯法案的处罚也极其严厉，而财政部《基本规范》没有规定具体处罚内容，很可能造成有法不依、执法不严、违法不究的情况。其次，面临其“先天不足”，《基本规范》似乎也有后天不严肃之嫌。［1］加之相关规定和配套指引在2010年之前并未出台，很多合规企业恐将无所适从。因此，本文认定，2009年和2010年，我国的内部控制披露介于强制披露和自愿披露之间，并倾向于自愿披露。本文将以《基本规范》的颁布为契机，在考察我国上市公司内部控制审计披露现状的基础上，探讨我国审计规范存在的问题并提出相关建议。

二、内部控制自我评估报告及审计报告披露状况

通过上海证券交易所的网站，笔者手工收集了2009年和2010年沪市上市公司的年报数据，调查了内部控制管理层自我评估报告和内部控制审计报告的披露情况，并阅读了自我评估报告和内部控制审计报告。具体来看，我国沪市上市公司内部控制审计的披露状况如下。

（一）仅有不到一半的企业遵循了《基本规范》的要求

2009年上交所868家上市公司中，有376家披露了内部控制自我评估报告，占上市公司总数的4332%，未披露内部控制自我评估报告的有492家，占上市公司总数的5668%；376家披露自评报告的企业中，有190家同时提供了内部控制的审计师报告，占上市公司总数的2189%，占披露自评报告企业总数的5053%。2010年上交所895家上市公司中，有400家披露了内部控制自我评估报告，占上市公司总数的4469%，未披露内部控制自我评估报告的有495家，占上市公司总数的5531%；400家披露自评报告的企业中，有203家同时提供了内部控制的审计师报告，占上司公司总数的2268%，占披露自评报告企业总数的5075%。具体比较信息见表1。

（二）多数审计师报告并不符合《基本规范》的要求

《基本规范》第十条指出，“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。”由此可见，我国的内部控制审计属于直接报告的鉴证业务，注册会计师应直接对内部控制的有效性（鉴证对象）进行评价并出具鉴证报告，并且该鉴证报告应为信息使用者所获取并使用。但在阅读2010年年报时，笔者发现，虽有202家企业出具了审计师对内部控制的某种形式的报告，但并非全部满足内部控制审计的定义，这点可以从报告的标题以及报告中的部分措辞看出。

202家企业中，有些没有将审计师报告作为单独报告进行披露，因此这部分内容没有标题（也没有审计师签字）。作为单独报告进行披露的企业中，报告标题也五花八门：有的称为内部控制审核报告，有的称为内部控制审核评价意见，还有的称为鉴证报告、内部控制鉴证报告、××公司××年度内部控制评价报告、内部控制制度报告、××公司内部控制专项审核报告、××公司内部控制专项鉴证报告、××公司内部控制自我评估报告的核实评价意见、对××公司董事会关于公司内部控制自我评估报告的评价意见报告、关于××公司××年度内部控制自我评估报告的说明、对《××公司内部控制的自我评估报告》的专项说明等各种标题形式。

从这些标题可以看出，有些企业提供的是审计师对内部控制的鉴证意见（审计意见也即鉴证意见的一种），但有的是对内部控制的核实意见，有的是对管理当局自评报告的评价意见（这其实是基于责任方认定的业务，也即注册会计师对管理层对内部控制有效性的认定出具审计报告），有的仅仅是一项对管理当局自评报告的“说明”，并且部分报告的措辞也显示出：就我国法规对内部控制审计业务的要求来看，许多审计师报告并未恰当反映内部控制审计业务的实质内容。(比如，某份“说明”报告指出：“在审计过程中，我们研究与评价了我们所信赖的贵行与会计报表编制相关的内部控制，以确定我们实施会计报表审计程序的性质、时间及范围……我们的研究与评价是按照……以会计报表审计为目的而进行的，不是对内部控制的专门审核，也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。在研究与评价过程中，我们结合贵行的实际情况，实施了包括询问、检查、观察及抽查测试等我们认为必要的研究与评价程序……（内部控制固有局限段）……（意见段）……本说明仅作为贵行向中国证监会和上交易所提交2010年度报告之用，未经书面许可，不得用于其他任何目的。”)

此外，我们还发现，与传统财务报表审计报告不同，企业与企业之间提供的内部控制审计报告的内容和格式没有统一性。同时，审计师在执行内部控制审计业务时依据的执业准则也不统一，具体情况如表2所示。

内部控制审核指导意见713737%643168%中国注册会计师其他鉴证业务准则第3101号593105%864257%企业内部控制鉴证指引（征求意见稿）4211%4198%中国注册会计师准则第1211号201053%18891%上述条目的某种组合16842%8396%PCAOBASNO53158%2099%其他11579%9446%未明确提及执业准则6316%11545%合计19010000%20220000%

从表2可以看出，审计师在执业过程中，遵循了不同的执业准则。其中遵循最多的是《内部控制审核指导意见》和《中国注册会计师其他鉴证业务准则第3101号》，再次是《中国注册会计师准则第1211号》。值得注意的是，有几家中美同时上市的公司，其内部控制审计并未依据国内的任何准则，而是遵循了美国公众公司会计监管委员会（PCAOB）制定的审计准则5号。

（三）审计基准日和参照的内部控制框架不统一［2］

虽然内部控制的设计和执行是个连续的过程，但如果对整个年度的内部控制有效性发表意见，那么审计重点是内部控制在整个年度内是否一直有效，这种审核成本相对较高。考虑到注册会计师的时间和精力、与会计报表审计的整合等因素，我国《审计指引》要求注册会计师对特定基准日内部控制的设计和运行的有效性发表意见。在2010年披露内部控制审计师报告的202家企业中，有196份是对截至12月31日企业内部控制的有效性发表意见（有19份报告没有明确说明基准日，177份在引言段或意见段明确指出了12月31的基准日），有两家是对2010年年度内部控制的有效性发表意见。（另有4家在年报中指出出具了内部控制审核报告，但笔者在上交所网站并未找到相关数据。）

另外，审计师对内部控制的有效性发表意见，必须参照一个适当、公认的控制框架，并且在报告中做出明确说明。但笔者发现，在2010年的202份审计师报告中，有37份报告未明确说明审计师所参照的内部控制框架，120份报告参照了《基本规范》，27份报告参照了《内部会计控制规范――基本规范》，5份参照了《上海证券交易所内部控制指引》，3份指出遵循萨班斯法案的要求，参照了COSO框架，6份同时参照了《基本规范》和《上海证券交易所内部控制指引》，4份未找到数据。并且，这种框架的差异和事务所有关，同一家事务所给不同企业出具的审计报告，往往参考相同的内部控制框架。

三、内部控制审计规范存在的问题讨论及建议

总体来看，我国关于内部控制审计方面的披露程度较低，上交所有多于半数的企业并未按照《基本规范》的要求披露相关信息。一方面，这源于前述的特殊“半强制性”制度背景，法力约束力不足导致了企业违规成本较低，而主动披露内部控制评价和审计报告则毋庸置疑会引致成本。在有确定性证据表明内部控制审计报告的披露给企业带来的收益大于其成本之前，企业披露内部控制审计报告的动机必将受限。当然，内部控制审计报告的信息含量极其对各方的影响，也是未来值得研究的一个重要方向。另一方面，信息披露程度较低也和相关准则和配套指引的不完善有关，毕竟直到2010年4月各项配套指引才最终出台。但在内部控制审计领域，相关准则和规范仍有待改进。

（一）我国目前现存准则并非内部控制审计的恰当执业标准

在笔者查阅的内部控制审计师报告中，事务所主要提及了以下执业准则：中国注册会计师协会（以下简称中注协）于2002年2月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》（2008至2010年间为《内部控制鉴证指引（征求意见稿）》）。

《内部控制审核指导意见》第二条规定：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。”第二十九条规定：“注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用，被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”，“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前，内部控制审计已经从财务报表审计中独立出来，成为一项单独的审计鉴证业务，显然《指导意见》已不适合作为恰当的执业准则。

《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则，内部控制审计属于鉴证业务的一种特定类别，审计师以此为执业准则，具有原则指导性，但针对性明显不足。

《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境，识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务，注册会计师在编制审计计划时，应当了解被审计单位及其环境（包括被审单位的内部控制），对拟信赖的内部控制进行控制测试，据以确定实质性测试的性质、时间和范围。显然，该准则定位于财务报表审计业务，对内部控制的了解和测试，是作为财务报表审计业务的辅助部分展开的，而非为了对内部控制的有效性发表意见而进行的全面指引，显然，该准则也不完全适合于独立的鉴证业务――内部控制审计。

而美国在内部控制审计领域的法规演进，值得我们思考和借鉴［3］。2002年，美国出台了《公众公司会计改革和投资者保护法案2002》（萨班斯法案），该法案要求管理层设计有效的财务报告内部控制，报告财务报告内部控制的有效性，并要求外部审计师证实管理层报告的准确性，也即要求外部审计师对财务报告内部控制进行审计。

萨班斯法案要求成立独立的公众公司会计监管委员会（PCAOB），并授权美国证券交易委员会（SEC）对PCAOB实施监督。PCAOB负责监管执行公众公司审计业务的会计师事务所及其注册会计师，并有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等。作为对萨班斯法案的回应，2004年3月9日，PCAOB了《审计准则第2号――与财务报表审计相关的针对财务报告内部控制的审计》（ASNo2），并于6月18日经SEC批准。ASNo2关注对财务报告内部控制的审计工作以及这项工作与财务报表审计的关系等问题。考虑到法案的执行成本过高，PCAOB于2007年5月24日颁布了《审计准则第5号――与财务报表审计相整合的财务报告内部控制审计》（ASNo5）。ASNo5从审计计划、审计方法（由上而下、风险导向）、控制测试、评估缺陷、形成意见、内控报告、对他人工作的使用、获得他人的直接帮助等方面为内部控制审计提供了详细的指引。此外，ASNo5还以附录的形式对重要概念和术语以及特殊情形作了说明，从而进一步完善了财务报告内部控制审计准则。2007年7月25日，SEC批准了该准则，并明确表示会计年度在2007年11月15日及其之后结束的上市公司审计工作都将用第5号审计准则来代替原来指导404条款执行的第2号审计准则。

（二）对我国内部控制审计法规的建议

针对目前我国现存准则存在的不足，并结合美国的做法，笔者就我国的内部控制相关法规建设提出如下建议。

1制定详细的内部控制审计准则

在本文第二部分，笔者发现审计师在执行内部控制审计过程中，参考了不同的执业准则，而根据前文的分析，有些准则的目标定位和目前已成为独立常规业务的内部控制审计并不相符。2010年最终颁布的《内部控制审计指引》，也未明确指出审计师执行内部控制审计时应参考的具体准则，而是在其后附的“内部控制审计报告”参考格式引言段中指出：“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了……”

首先，《审计指引》仅对内部控制审计提供了原则上的指导，涉及审计计划、审计方法、控制测试、缺陷认定及缺陷评价、形成结论并出具报告等具体内容时，指导性明显不足。这也是为什么很多事务所不得不参照《内部控制审核指导意见》、《中国注册会计师其他鉴证业务准则第3101号》、《中国注册会计师准则第1211号》等准则的原因之一。

其次，对内部控制的测试和评价业务已从传统的财务报表审计业务中独立出来，并由原来的一次性业务或面向特定企业的业务（原来仅要求A股企业在首次公开发行时提供、赴美国和日本等地上市的企业和金融证券保险等高风险行业提供）变成了与财务报表审计并列的经常性业务，与传统的财务报表审计相同，财务报告内部控制审计也是注册会计师的法定业务。

基于以上两点原因，借鉴美国的做法以及我国的财务报表审计准则，笔者认为，应在中国注册会计师执业准则体系鉴证业务准则中新增详细的内部控制审计准则，与目前的中国注册会计师审计准则、中国注册会计师审阅准则和中国注册会计师其他鉴证业务准则（分别简称审计准则、审阅准则和其他鉴证业务准则）并列，可命名为《中国注册会计师内部控制审计准则》，也可根据实际需要，制定详细的序列准则：《中国注册会计师内部控制审计准则XX号――审计计划/审计方法/控制测试/缺陷评估/审计意见/审计报告/特殊事项考虑/……》，原有的《中国注册会计师审计准则》更名为《中国注册会计师财务报表审计准则》。当然，考虑到财务报告内部控制审计和财务报表审计之间的关联性以及审计成本，也可参照美国的ASNo5制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。新增内部控制审计准则之后的中国注册会计师执业准则体系如图1所示。

由中注协制定详细的内部控制审计准则，可以加强对内部控制审计工作的指导，维护注册会计师执业准则体系的系统性和完整性。参照PCAOBASNo5对财务报告内部控制审计报告的要求以及我国的财务报表审计报告的格式，在制定了新的内部控制审计准则之后，笔者建议将《审计指引》引言段中的“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了……”，改为“按照中国注册会计师内部控制审计准则，我们审计了……”。目前，对于在中美同时上市的公司，出于披露成本的考虑，注册会计师可遵循美国PCAOB制定的审计准则；随着审计准则体系的国际趋同，对于跨国上市的公司，注册会计师也可遵循国际审计准则或其他国家的相关准则。

2完善审计报告的标题、类型、内容和格式

我国《基本规范》要求企业提供注册会计师的内部控制审计报告。如前所述，从2010年披露的报告标题和内容可以看出，大多数企业有违《基本规范》的初衷，事务所并未严格按照《基本规范》和《配套指引》的要求出具对内部控制有效性的鉴证意见。

《审计指引》明确将报告标题命名为“内部控制审计报告”，并且分标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告、无法表示意见内部控制审计报告四种类型，统一了报告的内容和格式。但该指引仍存有待商榷之处。

首先，《审计指引》指出“注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”由于注册会计师最终仅对财务报告内部控制的有效性发表意见，非财务报告内部控制重大缺陷是注册会计师在执行财务报告内部控制审计过程中“附带”注意到的内容，并非注册会计师的核心关注对象。因此，将审计师报告统一命名为“内部控制审计报告”仍有不妥，审计师的鉴证对象其实是“财务报告内部控制”，而非更宽泛意义的“企业内部控制”，笔者建议将该报告统一命名为“财务报告内部控制审计报告”。

其次，在财务报表审计中，报告类型包括标准无保留意见、带强调事项段的无保留意见、保留意见、否定意见和无法表示意见，而在内部控制审计业务中，则去掉了保留意见。当注册会计师在审计过程中（无论是财务报表审计还是财务报告内部控制审计）发现与被审单位存在对内部控制和内部控制缺陷的不同认识，两方无法达成一致意见，或者发现内部控制存在重要缺陷，但其严重性不足以发表否定意见时，审计师是否可以出具保留意见？

再次，前已述及，虽然内部控制的设计和执行是个连续的过程，但我国《审计指引》要求注册会计师对特定基准日内部控制设计和运行的有效性发表意见。因此，在内部控制报告的意见段中，有必要对此基准日做出明确说明，以免误导信息使用者，而《审计指引》并未强调该日期。参照传统的财务报表审计报告和美国PCAOBASNo5的规定，笔者认为，审计报告中应该规范对基准日期的说明，意见段修改为：“我们认为，根据《企业内部控制基本规范》（或其他公认的有效内部控制框架），截至201X年12月31日，XX公司在所有重大方面保持了有效的财务报告内部控制。”需要注意的是，这并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。按照指引的规定，注册会计师在对特定基准日内部控制的有效性发表意见前，需要获取内部控制在一段足够长的时间有效运行的证据，这段时间可能比企业财务报表涵盖的整个期间（通常为一年）短些，但必须足够长。因此，虽然是对企业12月31日（基准日）内部控制的设计和运行发表意见，但这里的基准日不是一个简单的时点概念，而是考虑了内部控制在此前的有效性，以及向前的延续性［4］。

最后，内部控制审计是一项独立的鉴证业务。《中国注册会计师鉴证业务基本准则》指出，鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果。具体到内部控制审计，注册会计师要对内部控制的有效性（鉴证对象）进行评价并出具鉴证报告，而对其进行评价必须参考一个适当、公认的标准（控制框架）。因此，内部控制报告中，应该明确说明注册会计师所参考的框架。前文我们发现，不同的注册会计师参考的框架并不完全相同，甚至同一份报告里面出现了两个不同的框架。

《审计指引》在意见段中明确标明“我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”但笔者认为，有关内部控制框架的选取，应该持开放的态度，而不仅限于我国的《基本规范》。关于框架的选取标准，可以借鉴美国SEC的做法。SEC最终规则33-8238要求管理层的评价必须依据由某一机构或团体依正当程序（包括要广泛征求公众对框架的评论）而建立的合适、可识别的框架，并且自评报告应披露该框架。SEC认为，一个合适的框架必须：（1）没有偏见；（2）对企业内部控制能形成合理一致的定性和定量评价；（3）充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素；（4）与评价财务报告内部控制相关。SEC指出，COSO框架满足它们的标准，但最终规则并不强制要求使用某一特定框架（如COSO框架），因为SEC认识到这样一个事实：在美国之外可能存在其他评价标准（比如加拿大的COCO框架），并且将来在美国可能也会发展出COSO以外的框架，它们符合法令的意图而不会减少投资者的利益［5］。

使用公开可获得的评价标准将会提高内部控制报告的质量，促进不同公司内部控制报告的可比性。因此，本文认为，《审计指引》应明确要求将注册会计师参考的评价标准列作审计报告的必要组成部分，该标准可以是《基本规范》，也可以是满足条件的其他适当、公允的框架。只要控制框架满足特定的条件（比如SEC最终规则列出的条款），那么都可以用作审计师的评价标准。《基本规范》满足前述要求，但这并不排斥事务所选取其他公认的适当框架。事实上，2010年的数据已向我们表明，事务所选取了不同的框架，除《基本规范》之外，还有《上海证券交易所内部控制指引》、《内部会计控制基本规范》和COSO框架等。

四、结语

对财务报告内部控制的关注，实质上是对财务报告可靠性要求的延伸。为了保证财务报告的可靠性，世界上许多国家都对保证财务报告可靠性的内部控制评价及其审计提出了要求。目前，内部控制系统已成为国家监管的一部分，不只是我国，许多国家的公司治理报告和改革法案都包含了对内部控制和内部控制报告的建议，世界各国对内部控制的重视达到了前所未有的高度。本文就以我国《基本规范》的颁布为契机，研究我国内部控制审计的现状，讨论我国内部控制审计规范体系存在的问题，并提出了自己的建议。由于本文数据均是手工收集，因此可能会存在疏漏和不准确之处；另外，本文仅选取了沪市的上市公司为调查对象，因此，有关我国目前内部控制审计披露的整体认识可能存在偏颇。

参考文献：

［1］陶黎娟．有关我国企业内部控制规范体系的几点探讨［A］．见中国会计学会2010年学术年会论文集［C］．北京：中国会计学会，2010：415-422．

［2］杨有红，陈凌云．2007年沪市公司内部控制自我评价研究――数据分析与政策建议［J］．会计研究,2009(6)：58-64．

［3］杨玉凤．内部控制信息披露国内外文献综述［J］．审计研究，2007(4)：74-78．

［4］杨志国．关于《企业内部控制审计指引》制定和实施中的几个问题［J］.财务与会计,2010(10):14-17．

［5］SEC.FinalRule:INTERNALCONTROLOVERFINANCIALREPORTINGINEXCHANGEACTPERIODICREPORTS［EB/OL］.sec.gov/rules/final/33-8238.htm,2003.

收稿日期：2012-03-10

财务制度审计报告篇3

【关键词】内部控制，审计的变迁，完善建议

一、内部控制审计制度的变迁

（一）美国内部控制审计

美国是较早开始关注内部控制审计领域并完善内部控制审计规范的国家。1939年，美国注册会计师协会在第1号《审计程序公告》中，首次正式提出了对企业内部控制进行审查的要求。1978年，科恩委员会提出企业在披露公司年度财务报告时，也应对公司的内部控制的有效性进行自我评估，同时要求内部控制的自我评估需经过注册会计师的评价并出具相关报告。之后几年，SEC也了相关的提案意见。2001年的安然、世通等事件的发生催生了美国国会的《萨班斯——奥克斯利法案》，该法案规定会计师事务所在审计公司年报的同时应对公司内部控制进行评价并出具报告。2004年3月，美国公众公司会计监督委员会的《与财务报表审计相关的财务报告内部控制审计》（AS2）明确提出了在执行财务报表审计时应同时进行与财务报告相关的内部控制审计；2007年，PCAOB了更为完善的AS5以取代AS2。至此，美国内部控制审计已达到了较为完善的地步。

（二）我国内部控制审计

我国在相继出现了银广夏、蓝田等事件之后，中国注册会计师协会在2002年了《内部控制审核指导意见》，该意见要求注册会计师在接受委托后就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见。其后，为了规范企业内部控制，进一步使得国内的内部控制审计规范与国家接轨，财政部、证监会、审计署、银监会和保监会于2008年印发《企业内部控制基本规范》，并从2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。《基本规范》要求执行该规范的公司，应当披露本公司年度内部控制有效性的自我评价报告，并可以聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2012年我国67家境内外同时上市公司在披露2011年年度报告的同时，披露了企业内部控制评价报告以及内部控制审计报告。另外，根据《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》的要求，中央和地方国有控股上市公司应在披露2012年年度财务报表时，应披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。由此可见，我国在内部控制审计已逐渐趋于成熟化。

二、我国内部控制审计制度的完善建议

（一）内部控制审计范围

在2008年的《企业内部控制基本规范》中，要求执行本规范的上市公司应聘请会计师事务所对内部控制的有效性进行审计。随后的《企业内部控制审计指引》则明确提出会计师事务所应对财务报告内部控制的有效性进行审计并出具审计报告。在我国，内部控制有五大目标：保护财产安全，保证经营合法合规，提高经营效率，确保财务报告的可靠性以及实现企业的战略目标。而根据SEC2003年正式的最终定义中，财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序。由此可见，财务报告内部控制仅是内部控制的一个目标之一，而是否应该其他方面的内部控制包括在内部控制审计中，是值得思考的问题。

基于此，笔者建议，内部控制审计不应只包括财务报告内部控制审计。理由如下：（1）目前规定注册会计师只针对财务报告内部控制发表审计意见主要是为了减轻注册会计师的法律责任，但是，在笔者看来，风险和收益是对等的，注册会计师在对企业整个内部控制进行审计后所得到的报酬是与其承担的责任对等的；（2）注册会计师之所以需要对内部控制是为了提高财务报告信息的可靠性，除了财务报告内部控制以外，企业的内部环境等的内部控制也能对财务报告信息真实性产生影响，故更不应仅局限于财务报告内部控制；（3）对于企业管理层而言，其更希望审计人员能够通过对内部控制的整体审计提出内部控制在哪些方面可能存在失效。而即使准则规定审计人员应就非财务报告内部控制审计与管理层沟通，但是由于该业务并非审计人员必须完成的责任，就会出现审计人员不认真对待、管理层也无法获得内部控制整体运行情况的状况。由以上三点原因可见，将非财务报告内部控制作为审计人员必须履行的责任更有利于完善内部控制审计。

（二）内部控制审计是否应进行整合审计

内部控制审计被提出并逐渐得到越来越多的关注后，许多人认为应该对内部控制审计和财务报表审计进行整合。整合审计是指将两项审计工作交由同一家会计师事务所执行从而达到提高审计效率、降低被审计单位的审计成本和会计师事务所的工作成本的目的。并且，就我国现状而言，从2012年开始执行内部控制审计报告的公司基本都采取的是整合审计的方式。但是，在笔者看来，整合审计是不可行的。从前文所述内部控制审计的变迁可知，在经历了会计师事务所联合公司进行造假的事件后，公众降低了对财务报表的信任度，因此，实施内部控制审计主要是为了重新提高公众对公司财务信息的信任度，内部控制审计为财务报表审计的可靠性提供了保证作用。但是，当进行整合审计时，事务所为了能同时获得两项业务可能会向被审计单位做出不该有的承诺；而若整合审计最终被作为行业规定强制执行时，会计师事务所也会因能够获得一项审计业务的同时获得另一项审计业务从而减少内部控制审计业务的程序降低业务的质量。并且，相较于一家事务所的保证，公众更愿意相信两家事务所同时提供的保证。因而，实行整合审计只会降低内部控制审计对财务报表审计的保证作用，违背内部控制审计的初衷。所以，笔者认为，内部控制审计不应进行整合审计。

参考文献：

财务制度审计报告篇4

一、网络财务报告概论

关于网络财务报告的定义，很多学者都提出了自己的见解。崔也光提出，所谓网络财务报告，就是指企业在国际互联网上设置站点，向信息使用者提供定期更新的财务报告。企业在充分利用现代信息技术的基础上，通过环球网或与因特网相关的传播媒介公开披露企业各项经营与财务信息。沈颖玲认为，网络财务报告是指企业通过万维网（WWW）或与因特网相关的传播媒体披露企业各项经营业务与财务信息，并将反映企业各种生产经营活动和事项的财务报告存储在可供使用者随时查阅的数据库中，供使用者查询企业的财务状况、经营成果、现金流量以及其他重要事项。不难看出，网络财务报告简单概括起来就是借助于网络公开的财务报告。它具有两层含义：一是公司借助于网络披露财务信息；二是披露的内容为财务报告。

网络财务报告的形式主要是指财务报告的呈现形式，目前主要有Word/Excel文件、PDF文档、HTML（超文本标记语言）及XBRL（可扩展商业报告语言）四种形式。其中XBRL是应用于非结构化信息处理，尤其是财务信息处理的最新标准和技术。它将企业财务报告要素及其他信息用一种简明的语言标记进行编码，信息使用者通过运行财务软件，自动嵌入这些标记，将其展现为各种所需的形式而不会改变标记属性。与其他三种形式相比，XBRL具有较大的优势，它能够实现证券业业内和业间的信息共享，有利于公司信息披露和证券信息服务业规范、有序地发展,而且还可以提高公司财务报告的透明度。因此，XBRL必将是网络财务报告形式今后的主要发展方向。

二、网络财务报告的特征

通过对众多学者关于网络财务报告定义的分析，笔者得出网络财务报告的以下几个特征，主要体现在披露的时间间隔、披露的形式及披露的内容三个方面。

（一）披露实时化。网络时代以光纤作为主要传输介质，可以快速传输数据、文字、声音、图像等内容，具有双向传输、高精度、数字化传送等优点。快速的传输速度使企业可以随时更新网络财务报告的内容，同时信息使用者也可以获得有关企业财务信息的即时报告。而且资产负债表日与财务报告公布日之间时间间隔的缩短将有助于防范企业内幕交易的发生，从而加强资本市场的有效性，并保证资源的合理利用。

（二）形式多样化。传统财务报告主要以报表的形式来表达会计信息，信息通过文字、图表等静态的介质进行传播，在阅读上市公司年报全文的时候，会令人感到精疲力竭，这在很大程度上与传统的企业财务报告采用纸介质进行传播有关。而在现代信息技术的发展过程中，网络财务报告综合采用了多媒体技术使信息呈现更具综合性、直观性和形象性。特别是音频、视频技术的运用，使用动态化的图像来传播信息成为可能。用户在接收信息时，可以通过视觉、听觉等多种感官全方位地接收信息，从而财务报告的传播形式呈现出了多样化特征。

（三）内容个性化。网络为信息提供者和使用者之间的及时交流创造了条件。在网络环境下，借助计算机网络所提供的人机对话功能，信息使用者不再只是被动地接受统一格式的财务信息，而是根据自身的需求获取相关的会计信息，并可对这些信息进行进一步的处理，满足自身的使用需求。同时还可以借助多媒体技术提供图像化、音讯化的需求差异，按用户不同的个体需求提供信息，提高了会计信息提供的相关性，更好地实现了会计目标。

三、网络财务报告对注册会计师审计的影响

由于网络财务报告与传统财务报告相比具有其独到之处，因此在实际应用过程中既对会计的发展带来了机遇，提出了挑战，也对注册会计师审计产生了影响。

（一）扩大了审计范围。审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。总体而言，传统审计范围依据不同的审计对象和审计目标而定，审计范围有限。网络会计下的企业会计信息系统具有开放性，财务报告信息使用者能同时访问会计信息，接触会计信息的人可能涉及整个网络用户。而网络用户的不正当行为可能影响会计信息的质量。因此，审计范围就不能只局限于被审计单位，而应扩大到交易关联方以及网上的有关信息用户。这就需要审计人员十分重视与信息系统开发人员协同合作，并提前参与系统设计与控制。审计人员应在系统的设计与开发修改阶段积极介入，帮助提出实时控制，使信息技术为新的服务方式提供机会。

（二）加大了取证难度。审计证据是审计人员形成审计意见和发表审计结论的重要依据。但由于网络财务报告披露的信息量大，涉及的范围广，因此加大了审计取证的难度。一方面网络财务报告中涉及人力资源等无形资产的界定及计量的证据很难获得；另一方面联机实时数据处理使很多经济业务在发生时没有留下任何手工凭证。比如，利用网上订单可以通过网络实现直接订货、账款的划拨而不用手工编制凭证。财务报告实现网络化，会计数据的存储介质和形式都发生了变化，审计人员很难甚至根本无法通过肉眼来跟踪会计业务的处理，这些都在一定程度上加大了获取审计证据的难度。

（三）增大了审计风险。网络环境下的审计不仅具有传统工业经济条件下的风险，而且由于网络财务的特殊性而具有一些特殊的风险。李闻一认为网络经济的全球化、虚拟化及网络本身的安全性等给审计带来新的风险。全球化对审计报告的进一步重视对审计质量、审计结论等提出了更高的要求，因此必然会增加审计风险；虚拟市场和虚拟企业的风险比传统企业要大得多，对审计同样会带来更大的风险；而网络技术的脆弱性、黑客和计算机病毒以及网管人员的安全意识等对审计也会带来不可预测的风险。杨平波认为，网络环境下审计风险包括：1、审计动态取证的风险；2、审计内容难以把握的风险；3、内部控制评价的风险。

在综合以上学者观点的基础上，笔者提出网络财务报告给审计人员带来的新的审计风险有以下六点：1、公允性审计目标受到冲击带来的风险；2、审计意见的发表受到影响带来的风险；3、审计证据取得的难度加大带来的风险；4、审计内容难以把握带来的风险；5、审计计划需要加强事前控制带来的风险；6、网络技术上的问题给审计带来的额外风险。

企业向信息使用者提供个性化的财务报告，意味着不同的信息使用者可以根据自己的需求生成各种不同数量和质量的财务信息。目前，注册会计师发表的审计意见都是以原始财务报告为依据的，而个性化的网络财务报告与之相比具有不同的披露内容和方式，对这些个性化的财务报告的可靠性进行评价比较困难，这就导致注册会计师对会计报表公允性进行审计的基本目标受到影响。同时，审计师可能不再根据独立审计准则发表意见，而是根据公认控制准则对整个信息系统的可靠性和收集、储蓄及披露财务信息的内部控制程序发表意见。可以推测，未来的审计报告不仅要对信息的披露方式发表意见，还要对信息的获取方式发表意见。

充分性和适当性是审计证据的两大特性，充分性要求注册会计师注重审计的效果，而适当性要求注册会计师注重审计的效率，在收集审计证据时审计师应同时兼顾效率和效果，并争取将支持审计结论的审计证据降低至最低限度。网络财务报告披露的信息涉及范围广、信息量大，从内容上看应该包括管理、控制、预测、分析和决策等层次的信息，尤其是对企业产生重大影响的信息。如知识性资产的信息、金融工具信息、履行社会责任的信息、行业和地区分部信息、预测性信息及其他非财务信息。信息内容的丰富与复杂，部分信息的可靠性令人质疑，会计业务处理的无法追踪，这些都给注册会计师的审计取证带来了困难，也使得他们无法准确把握审计的具体内容，势必加大审计风险。同时，由于网络财务报告涉及的面广、影响大，需要审计人员重视与信息系统开发人员的协同合作，并提前参与系统设计与控制。这就要求审计人员在制定审计计划时加强事前控制，审计环节的增加也会增大审计风险。

网络技术是先进的技术，但网络的安全性并不高，首先，被审计企业接受审计后对外的会计报表可能会受到恶意的攻击，如网络病毒的破坏，而且网络本身对外界具有高度的依赖性，比如突然断电对电脑的影响和电子数据未保存等。其次，被审计企业账务处理实现网络化之后历史追踪困难。如企业可以利用财务软件提供的多套账套进行会计造假，而会计人员有时可能并非出于恶意，对以往操作错误的财务数据进行修改，这两种行为在网络财务条件下都是无法查证的，因此都会给审计带来额外的风险。

财务制度审计报告篇5

[关键词]财务报表审计；内部控制审计；整合

doi：10.3969/j.issn.1673-0194.2013.23.008

[中图分类号]F239[文献标识码]A[文章编号]1673-0194（2013）23-0016-02

我国内部控制理论的研究是在最近两年展开的，主要是我国颁布了《企业内部控制基本规范》后，注册会计师会增加一项新的审计业务——内部控制审计，因而许多学者从理论和实务操作方面开始探讨内部控制审计。

《企业内部控制审计指引》第五条规定，注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（下称“整合审计”）。我国对内部控制审核和财务报表审计关系以及内部控制审计和财务报表审计关系的研究文献主要观点如下。

1内部控制审核和财务报表审计关系

吴文军[1]（2001）对内部控制审核与传统的会计报表审计之间的关系作出论述：独立审计的业务范围从会计报表鉴证拓展到内部控制报告鉴证的根本原因是经营管理责任的演化；内部控制审核是对过程的鉴证，而会计报表审计是对结果的鉴证，因此在报告理论上，内部控制审核必然会对会计报表审计产生一定的影响。

肖强[2]（2003）论述了内部控制评审在审计中的作用在于：评审内部控制有助于确定合理的审计程序，提高审计效率；评审内部控制，可以帮助审计人员确定审计程序的实施程度，即确定审计人员的工作方法、抽点及审计范围等；健全的内部控制，可以保证审计测试的质量。

张龙平、朱锦余[3]（2002）认为，对企业内部控制有效性进行评价并出具审核报告是我国注册会计师的一项新业务，介绍了内部控制审核与会计报表审计中对内部控制研评的关系。

袁文龙[4]（2007）认为，财务报告内部控制评价与会计报表审计中对内控测试，既有联系，又有区别。两者的联系有5点：一是理论范围相同，均是与会计报表相关的内部控制；二是实施的基本程序相同，均包括对相关内部控制的了解、测试和评价；三是所使用的方法相同，均可采用询问、观察、检查、重新执行等方法了解和测试相关内部控制；四是两者的执行者可以是同一会计师事务所的同一注册会计师；五是两者的结论可相互利用，即财务报告内部控制评价。两者主要区别有4点：一是目的不同，财务报告内部控制评价的目的是对被评价单位与会计报告相关的内控有效性发表意见；会计报表审计中对内部控制测试的目的是在了解、测试与会计报表相关的内部控制的基础上，评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表审计意见。二是实际范围不同，财务报告内部控制评价的实际范围是被评价单位与会计报告相关的所有内部控制的设计和执行情况；会计报表审计中对内部控制测试的范围分为了解范围和测试范围，其了解范围主要是所有与会计报表相关的内部控制，测试范围是了解、初评后确定拟依赖的相关内部控制；后者的实际范围可能比前者小得多。三是对内控有效性评价结论的准确程度要求不同，由于财务报告内部控制评价要对财务报告内部控制的有效性直接发表评价意见，因而要求评价结论有较高程度的保证水平；由于会计报表审计中对内部控制的测试只是规划实质性测试的重要依据，因而对其有效性的评价可不要求很准确，如对其有效性可作保守评价，仅给予极低的信赖度，这样只增加了实质性测试的工作量，会影响审计效率，一般不会影响审计效果，但要防止对其有效性作出过于乐观的评价，否则会增加审计风险。四是测试数量不同，由于对内部控制有效性评价结论准确程度要求不同，因而要求的测试范围和数量也不同，因为财务报告内部控制评价需要对内部控制有效性作出积极的、较高程度的保证，需要收集充分、适当的证据支持审核结论，因此需要实施较多的测试。

孙银刚[5]（2008）认为内部控制审计根据审计的范围、重点及方法，既可以作为独立的审计项目组织实施，也可以作为实施其他审计活动的一个程序或流程，以便提高审计工作效率和质量，减少审计风险。

2内部控制审计和财务报表审计关系

毛敏[6]（2006）通过对美国财务报告内部控制审计准则的借鉴，指出PCAOB的AS2设计了综合审计模式。综合审计模式是财务报表审计与财务报告内部控制审计的结合，通过单独并行的过程同时实现两种审计目标，审计人员可通过财务报表审计的发现来检查内部控制是否有效，也可以通过财务报告内部控制审计得到的发现和结论，帮助审计人员更好地计划和实施审计程序，以确定财务报表是否公允地表达。

陈汉文、李荣[7]（2007）认为PCAOB的AS2关注的是财务呈报内部控制的审计工作，以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见：一份针对财务呈报内部控制，另一份针对财务报表。对内部控制的审计涉及以下内容：评价管理当局就公司财务呈报内部控制有效性评估的过程；评价财务呈报内部控制设计和执行的有效性；形成对财务呈报内部控制是否有效的审计意见。

谢晓燕、张心灵[8]（2009）从内部控制审计产生的背景、相关的概念确定及其与财务报表审计的关联出发，采用比较研究的方法，通过对财务报告内部控制审计与财务报表审计二者关联的比较分析，提出我国制定内部控制审计准则的选择：对财务报表审计和企业内部控制审计进行整合。并提出明确开展内部控制审计业务的评价标准，制定内部控制审计指引和应用指南等完善我国内部控制审计制度的建议。

3整合审计

文献[9-11]研究认为，我国在上市公司中即将推行的内部控制审计在理论和实践方面都具有可行性，而且将内部控制审计和财务报表审计整合进行，必将对提高审计效率、发挥审计的协同效应以及最终提高财务信息质量起到根本性的推动作用。作者从审计目标、审计计划、审计实施和审计报告4个大的方面进行整合的分析，归纳各个过程具体的整合点，其中，审计目标的整合点是提高财务信息质量，审计计划的整合点是使用相同的重要性水平，审计方法选择的整合点是风险导向、自上而下，审计程序运用的整合点是控制测试，审计证据收集的整合点是获得的证据相互利用，对舞弊的考虑的整合点是因内部控制漏洞而导致舞弊的控制缺陷，审计报告的整合点是出具合并报告或独立进行报告。通过以上研究为我国注册会计师开展整合审计业务提供切实可行的操作性建议。

裘宗舜、周洁[12]（2009）对财务报告内部控制审计与财务报表审计进行了比较，指出两者的区别在于：审计内容及范围不同；对内部控制有效性评价结论的准确程度要求不同；对外部审计师的职业判断能力要求不同；对外部审计师的责任要求不同。两者的联系在于：目标相同；程序关联；方法相同且有所改进。

李锦[13]（2010）从风险导向审计作为两者的整合依据入手分析了整合审计的流程：从审计计划、审计工作到审计报告的出具。王美英、郑小荣[14]（2010）就具体整合审计的程序和方法进行研究。

根据上述分析可以得到以下启示：明确审计目标，整合审计概念；提高审计人员的素质，明确审计责任；统一评价标准，初步实施财务报告内部控制审计。从已执行内部控制审计的国家的经验来看，内部控制审计和财务报表审计相互影响，为了节约审计成本和审计资源，二者的工作成果可以相互利用。鉴于二者的关联性，将内部控制审计和财务报表审计进行整合，有助于提高审计效率，保证审计质量。在对内部控制审计与财务报表审计进行整合时，注册会计师应当有效、协同地计划和执行审计工作，以实现两者的目标。在审计过程中既要考虑内部控制审计得出的结论对财务报表审计的影响，也要考虑财务报表审计得出的结论对内部控制审计的影响。经过文献梳理发现，在我国研究内部控制审核和财务报表审计关系的文献较多，而研究内部控制审计和财务报表审计关系包括整合审计的文献较少，处于初步探讨阶段。

4总结

理解审计指引中有关审计整合的这一规定，要明确两点：一是内部控制审计与财务报表审计是两种不同的审计业务，两种审计的目标不同；二是内部控制审计与财务报表审计可以整合起来进行。

4.1内部控制审计与财务报表审计的异同

内部控制审计要求对企业内部控制设计和运行的有效性进行测试，在财务报表审计中，也要求了解企业的内部控制，并在需要时测试控制，这是两种审计的相同之处，也是整合审计中应整合的部分。但由于两种审计的目标不同，审计指引要求在整合审计中，注册会计师对内部控制设计与运行的有效性进行测试，要同时实现两个目的：

（1）获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见。

（2）获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。

4.2两种审计的整合

财务报告内部控制审计与财务报表审计通常使用相同的重要性（或重要性水平），在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。

实施财务报表审计时，注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围，并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时，注册会计师需要慎重考虑识别出的控制缺陷。

实施内部控制审计时，注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是，注册会计师需要重点考虑财务报表审计中发现的财务报表错报，考虑这些错报对评价内控有效性的影响。

研究是否具有将二者整合审计的必要性和可行性，财务报表审计目标是合理保证会计报表的公允性，而财务报告内部控制审计是合理保证内部控制的有效性，虽然两者有所差别，但是，其最终目标都是为使报表使用者获得可靠的财务信息，因此，两者的整合才有意义。研究得出整合审计的实施思路和要点。其次，研究具体的应用过程，整合审计可从审计目标的整合、审计计划的整合、审计实施过程的整合和审计报告的整合4个方面具体实施，其中，审计实施过程从审计方法的选择、审计实施的运用、审计证据的收集和对舞弊的考虑4个方面进行整合考虑。最后，在实务中是否能够采用理论上所提出的整合措施需要验证，

主要参考文献

[1]吴文军.略论内部控制审核与会计报表审计的关系[J].中国注册会计师，2001（12）：32-33.

[2]肖强.内部控制审计浅探[J].四川会计，2003（9）：39-40.

[3]张龙平，朱锦余.关于注册会计师对内部控制评价的理论思考[J].审计研究，2002（2）：23-26.

[4]袁文龙.财务报告内部控制评价研究[D].天津：天津财经大学，2007.

[5]王展翔.加拿大CoCo委员会内部控制框架述评[J].商业研究，2005（1）：168-171.

[6]毛敏.美国财务报告内部控制审计的最新发展及启示[J].财会通讯：学术版，2006（1）：70-73.

[7]张笠.美国内部控制审计准则最新发展与启示[J].审计月刊，2007（8）：10-11.

[8]谢晓燕，张心灵，陈秀芳.我国企业内部审计的现实选择——基于内部控制审计与财务报表审计关联的分析[J].财会通讯：综合（下），2009（3）：125-127.

[9]张龙平，陈作习.财务报告内部控制审计与财务报表审计的整合研究（上）[J].审计月刊，2009（5）：10-12.

[10]张龙平，陈作习.财务报告内部控制审计与财务报表审计的整合研究（下）[J].审计月刊，2009（6）：7-9.

[11]谢晓燕，张龙平，李晓红.我国上市公司整合审计研究[J].会计研究，2009（9）：88-94.

[12]裘宗舜，周洁.美国财务报告内部控制审计的发展与启示——财务报告内部控制审计与财务报表审计的比较[J].财会月刊：上半月，2009（2）：35-36.

财务制度审计报告篇6

美国企业改革法(Sarbanes－OxleyActof2002，又称《萨班斯―奥克斯利法案》，或简称SOX法案)404条规定：经营者有关公司财务报告的内部控制的评价结果――《内部控制报告》，需要在年度报告中加以披露；外部审计机构需要揭示经审计的《内部控制审计报告》。这是美国审计制度的重大变迁，是安然等公司丑闻发生之后的制度完善之举。在SOX法案颁布前，美国对内部控制的评价主要从审计的技术角度出发，此时对内部控制的评价是制度基础抽样审计的需求。审计人员根据对内部控制制度的评价结果来确定财务报告实质性测试的性质、时间和范围，内部控制的评价是财务报告审计的附属工作，内部控制的评价并不是单独委托的独立鉴证业务，也不需对内部控制出具独立的审计报告。与此同时被审计单位的经营者也无需对本公司的内部控制作出自我评价报告。

依据SOX法案404条规定，凡是2004年11月15日以后完成的经营年度报告，都必须揭示经营者内部控制自我评价的控制报告，并由外部审计机构出具相关的《内部控制审计报告》；美国COSO委员会了“企业风险管理综合框架”(简称ERM－IF)，作为管理当局和注册会计师进行内部控制评价的基础；公众公司会计监管委员会(PCAOB)在2004年6月对外公布了其已获SEC批准的第2号审计准则“对与财务报告审计相关联的财务报告内部控制的审计”(简称PCAOBAS2)，直接规范注册会计师对内部控制的审计。

在SOX法案404条规范下，2004年12月31日进行决算的美国公司在规定的时间里，由经营者根据Form10－K年度报告――《项目9A：控制与手续》的要求，向美国证券交易委员会(SEC)提交《内部控制报告》。根据美国调查机构AuditAnalytics公司的资料汇总，截止2005年4月19日已向SEC提交资料FormIO－K的具体情况是：9.15％的公司(2689家中的246家)披露的是“内部控制无效”的经营者《内部控制报告》和外部审计机构的《内部控制审计报告》。

二、无效内部控制的涵义

在分析内部控制报告之前需要明确的是，企业及外部审计机构在何种情况下必须确认为“内部控制无效”并记载于报告之中。在美国上市公司会计监管委员会(简称“PCAOB”)的审计准则第2号《有关财务报表审计并实施相关财务报告的内部控制审计》(简称“PCAOBAS2”)中，将《经营者、管理者以及职员在通常履行职务的过程中，难以适时地对防止或发现的错误记载予以揭示情况的设计与运用》(PCAOBAS2第8节)定义为不完备。在PCAOBAS2中将这种不完备定义引起的财务报表错误记载的影响程度和发生的可能性作了如下分类：内部控制上的不完备；重要的不完备；重大的缺陷。将这种分类加以简单的归集，见表1所示。

有关评价这种不完备状况的影响所依据的指南是《控制的例外案例以及评价不完备的框架》，由9家美国会计师事务所共同编制完成。经营者和审计机构利用这种指南可以作出如下的判断：依据运用的有效性测试来判断已发现的例外案例是否完备；对过程／交易层次的内部控制上的不完备，作出它们是重要的不完备还是重大缺陷的判断；对基于IT技术的全面控制的不完备，作出是重要的不完备还是重大缺陷的判断；对于IT技术全面控制之外的整个公司控制的不完备，作出是重要的不完备还是重大缺陷的判断。对于这种评价结果，经营者以及审计机构对“重大的缺陷”存在一种以上判断情况时，经营者需要揭示所谓“本公司的内部控制无效”的《内部控制报告》，外部审计机构则根据内部控制审计报告提出“内部控制无效”的“保留意见”(PCAOBAS2第175节)。

三、经营者的《内部控制报告》和外部审计机构的《内部控制审计报告》

在美国企业的年度报告《项目9A：控制和手续》中，要求披露如下资料：《揭示控制》、《有关财务报告的内部控制》以及《内部控制的变更》，其中的《有关财务报告的内部控制》是经营者的《内部控制报告》。在无重大缺陷的情况下，经营者的内部控制报告如表2所示。

表2Pfizer公司2004年12月《内部控制报告》定制定了与财务报告相关的内部控制，并承担与之相关的责任。本公司在财务报告内部控制上采取了如下的方针与措施：有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的局限性，客观上存在难以防止或者发现错误记录的情况。此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

经营者开展的是本公司2004年12月31日时点上的有关财务报告内部控制的有效性评价，这种评价是依据COSO的内部控制综合框架加以规范和应用的。对于这种评价结果以及据此的相关规则，经营者确信本公司在2004年12月31日时点上的与有效的财务报告相关的内部控制是能够得到保证的。

本公司的独立审计机构，依据有关本公司财务报告的内部控制报告，对经营者进行了评价并了审计机构报告。这份报告以《独立注册公认会计师事务所财务报告的内部控制报告》为题，包含在2004年度的财务报告之中。

HenryA．Mckmnell总裁以及CEO(署名)

DavidL．Shedlarz主要财务负责人(CFO)(署名)

LorettaV．Cangialosi财务部负责人(署名)

2005年2月24日

与经营者的内部控制报告书相对应，外部审计机构的《无保留意见》的《内部控制审计报告》的例，见表3所示。

表3Pfizer公司2004年年度《内部控制审计报告》Pfizer股份公司董事会及股东

我们依据COSO公布的“内部控制――控制框架”所确立的基准，对Pfizer公司及其子公司在2004年12月31日时点上经营者做出的保持了有效的财务报告内部控制的评价，经营者的内部控制评价包含在所附的管理当局的报告中。保持有效的财务报告内部控制，并对财务报告内部控制的有效性进行评价是Pfizer公司及其子公司管理者的责任。我们的责任是依据所实施的审计，对管理当局的评估和管理当局对公司财务报告的内部控制的有效性评价意见发表审计意见。

我们实施的审计是以上市公司会计监管委员会(美国)的准则为基准的。该准则要求我们的审计合理确信并判断在所有重大方面被

审单位是否保持了有效的内部控制。我们的审计包括了解财务报告内部控制，评价管理者的自我评估，测试和评价内部控制的设计及其运行的有效性，以及结合实际情况认为必要的其它审计程序。我们相信，我们的审计工作为发表意见供了合理的基础。

公司的财务报告内部控制是为了财务报告按照公认的会计准则编制和报告的可靠性外部目标的达成而提供合理保证而设计的一个过程。在财务报告内部控制方面，主要的方针和措施有：公司的财务报告内部控制主要的方针和措施有：(1)有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；(2)对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；(3)对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的界限，客观存在着难以防止或者发现错误记录的情况。此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

我们在2004年12月3l日这一时点上，依据经营者评价对Pfizer公司及其子公司作出了维持有关有效的财务报告的内部控制。对基于COSO公开发表的“内部控制――控制框架”方面确立的基准，认为在所有的重要方面，已做到了公平的揭示。同时，我们在2004年12月31日，根据COSO公开发表的“内部控制――整合框架”确立的基准，确认Pfizer公司及其子公司在所有的重要方面具有维持有效财务报告内部控制的能力。

此外，我们以上市公司会计监管委员会(美国)的准则为基础，对Pfizer公司及其子公司的2004年以及2003年12月31日时点的合并资产负债表，以及2004年12月31日结束的3年间的各个会计期间的合并损益表、股东未分配收益以及现金流量表实施了审计，我们对2005年2月24日签署的审计报告以及有关这些合并财务报表，表示无任何保留意见。

KPMGLLP

NewYork,NY

2005年2月24日

在没有重大缺陷的情况下，无论是哪家公司大致与上述表述相同。首先，就经营者而言，主要明确一是表明内部控制的结构、维持责任的基础；二是表明在期末时点上能够维持有效的内部控制。其次，外部审计人在意见表述方面，要明确对经营者进行的评价是公正的(基于自信的保证)，公司的内部控制是有效的(“直接报告”)。外部审计机构按照“基于自信的保证”和“直接报告”这两种意见表述，理论上可以形成如(表4)的结构，在有关经营者评价和审计机构评价的三种模式中，第二种模式(经营者和审计机构之间对重大的缺陷存在争议)在现实中没有发生。

此外，外部审计机构的内部控制审计必须由进行财务报表审计的会计师事务所承担(美国企业改革法404条(b))，并以财务报表审计的“综合审计”的形式加以展开(PCAOBAS2第145节)。因此，外部审计机构是分别编制《财务报表审计报告》还是《内部控制审计报告》(这种情况下在各自的报告后面，即表3的最后一节加上诸如“财务报表审计意见的说明”之类的表述，以披露另一份报告书的审计意见)，或者仅编制包含两种意见的《综合审计报告》。

四、“保留意见”案例分析

上述是无保留意见的案例，这里以“重大缺陷”为例分析经营者的《内部控制报告》和审计机构的《内部控制审计报告》，根据与表2及表3的标准格式报告相比，将不同点摘出来加以说明。详见表5与表6。

表5经营者《内部控制报告书》

经营者的内部控制报告

……我们就有关2004年12月31日时点的财务报告的内部控制发现了3个重大的缺陷。

包含在有关关联公司间交易的未实现收益及期末库存产品应当征收的费用，对于原材料、半成品，以及成品发生的各种成本信息，因没有作出公正的揭示，使得这方面的方针及手续是不完备的。这些不完备会给本公司的存货资产和销售成本的会计核算产生重大影响。

包含在本公司的财务信息计算和编制方面所使用的报表计算软件，因计算机系统的信息发送控制和安全性是不充分的，故这方面的方针及手续是不完备的。据此所编制的公司合并财务报表中的各种数据的完整性难以保证，进而对大部分数据的账户余额及揭示产生重大影响。

包含在顾客供货需求单上的价值验证及信用记录的认证，有关销售额以及销售债权的记录，以及职务分管等有关公司舞弊防范控制，其相关的方针及手续是不完备的。这些不完备会对本公司销售额和销售债权的会计核算产生重大影响。

根据以上的重大缺陷，我们的结论是，本公司有关财务报告的内部控制系统在2004年12月31日时点上是无效的……。

表6审计机构《内部控制审计报告》

独立注册的公认会计事务所的报告

……以下重大缺陷的认别，关系到2004年12月31日时点对经营者的评价。

……我们认为，根据对经营者的评价,2004年12月31日的ISG公司以及其子公司与有效的财务报告相关的内部控制不能维持，这是基于COSO公开发表的“内部控制――控制框架”确立的基准进行的。其他所有重要的方面，我们也作出了公正的表述。此外，由于上述重大缺陷无法实现规范控制的目标。我们在2004年12月31日。对ISG公司依据COSC公开发表的“内部控制――综合的框架”作出判断，认为不能维持有效的与财务报告相关的内部控制。

表5、表6显示，“重大缺陷”的内容被具体地记载在经营者的“内部控制报告”中，与“企业继续经营的注解”一样。首先，经营者在揭示这一信息的基础上，审计机构就这一揭示内容发表了有关“经营者内部控制的评价”的“公正的评价”。在此基础上，审计机构本身作出了“内部控制无效”这种判断意见。假如审计机构识别出了“重大缺陷”，而经营者没有揭示，审计机构在表明“经营者进行的评价是不公正的”这种意见的同时，还要表明“该公司的内部控制是无效的”这种意见。(表4中的第二种模式)。

五、重大缺陷分析

由Deloitte&Touche，Ernst&Young，KPMG，PricewaterhouseCoopers等四大会计师事务所共同实施的对《财富》杂志上的1000家企业的匿名调查中，在90家中发现了不完备的情况，同时还得出如下结果：

在样本对象公司，发现2004年度平均有271家企业在内部控制上存在问题(这里面有若干家是重要的不完备，也有重大缺陷的企业)，但得到了改善。

2005年度预计会增加77家不完备企业，并加以改善。

2005年改善的不完备企业中的96％是单一的不完备，剩余的4％是重要的不完备或者重大的缺陷。在被发现的90家企业

中，合计有5项重大缺陷直到2004年度还未得到改善。

此外，根据美国有合作关系的信息提供公司ComplianceWeek的报告，通过对存在重大缺陷案例的分析，内部控制的不完备情况大致可以分成五种类型：财务报告系统与手续(决算修正环节、总账调整、存货资产相关的环节等)；“人的问题”(不充分的职务分权，在量与质上的人员不足、教育与监督)；内部控制“本本化”；收益确认基准；IT系统控制(安全、传送控制、后援、回复)等。

上述揭示还包括对过去年度修正的报告，经营者在决算时虽然没有确认财务报表的错误记载，然而审计机构进行财务报表审计却发现了重大的记载错误，这种情况也很多，是公司内部控制“重大缺陷”的起因。这方面的预测与判断余地很大，需要有专门的知识。关于税金计算的“重大缺陷”情况，有诸如“因缺乏公正和具有能力的人员，所得税会计不完备”，“未付税金总账存在无法调整的余额”，“国际标准的税务体系建设不到位”等的记载。

如果这种不完备发生在期中，那么，在对应措施采取的期末日加以改善的话，就有可能不再采用“重大缺陷”的表述；相反，若发生在期末决算完毕之后的期末日，则改善这种情况就不存在，只能按“重大缺陷”加以表述。这样在期末决算时按实施情况所作的预测计算(例如，税金计算等)，其“重大缺陷”的风险会很高。

其他方面，对大型公司出具保留意见的内部控制审计报告，揭示了这些企业非同―般的重大缺陷，并可以发现风险的升级。详见表7。

六、内部控制报告的市场评价

证券市场如何对披露的内部控制报告加以反应，监管部门又是如何加以处理的，是SOX法案404条实施效果的体现。依据SEC，即使内部控制审计报告出具了“保留意见”，在财务报表审计报告中若出具了“无保留意见”，也不采用停止上市等的措施(但企业方面的内部控制评价因不充分而出现“意见分歧”时，停止上市等的情况就有可能)。因此，内部控制审计的结果与停止上市这类规则相比，市场围绕企业内部控制无效应如何加以判断。市场代表可以参考以下鉴别机构的见解。如美国的等级鉴别机构mood's详见(表8)。依据重大的缺陷内容，提出改变等级的处理报告。

根据mood's于2005年4月公开发表的报告，3月31日将报告提交给证券机构的1800家企业中，存在如下的情况：递交期限推迟的有16家(1％)；揭示“重大的缺陷”的企业有76家(4％)。其结果是前者全部公司和后者中的“重大缺陷”情况，根据会计记录的判断(这些会计记录相当于“挑战性”的重要会计政策)，被认为无效并在大范围受到波及的公司有24家，总计是40家。该报告将这些企业划分为“分类B”，除已经进入鉴别和作出了判断的公司外，其修正的结果表明，最大的2个层级的等级下降了。这种内部控制问题，借助于等级鉴别及股价判断，形成影响企业价值的这种机制已经开始发挥作用。

七、SEC及PCAOB对策

为避开与EU适用国际会计准则而导人的初始年份，考虑到对美国国内的小规模公司导人而带来的工作量负荷情况，SEC在2005年3月2日将外国企业和小规模公司的404条的适用日期，从以前确定的2005年7月15日以后结束的经营年度，延迟到1年之后的2006年7月15日以后结束的会计年度起采用。此外，有关小规模公司的COSO也推出新开发的追加辅导资料，并正在逐步进行。

2005年4月13日有关美国企业改革法404条的内部控制的公开圆桌会议由SEC召开。对财务报表的编制方针、审计机构，以及投资者对有关新的内部控制规则导人初始年度所确认的成本、有利条件以及相应问题展开了探讨。其中以下问题较为引人注目：应当将内部控制评价以更具风险标准的路径开展费用对比的效果评价；外部审计机构的内部控制审计以内部审计部门的结果为依据，并在认可岗位转换基准审计以及柔性的事前预防程序等方面，进一步谋求外部机构审计的效率性；为了便于判断有关评价的范围、不完备的定义等内容，有必要通过制度制定当局所追加的辅导(特别是经营者角度的辅导)加以明确。

在这些公开圆桌会议上接受的课题，2005年5月16日由SEC和PCAOB发行了追加的辅导。在这两个部门的辅导材料中有以下要求：通过财务报表审计的“综合审计”，提高审计的效率；按照风险标准的垂直型路径开展公正的基于审计计划的判断；积极利用其他(自我评价、内部审计等)的测试结果；以过去的测试结果为基础决定第二年以后的测试水准以及IT自动化控制效率的检测手段等。依据上述要求在2007年以后所开展的内部控制审计方面，能够根据经营者的评价以及外部审计机构的努力，提高外部审计效率。这些方针与措施对于我国内部控制制度的建设，以及审计政策的确立将起到积极的参考作用，并有助于提高我国企业跨国经营的效率。

参考文献：

[1]PCAOB,2004,AuditStandardNo2：AnAuditofInternalControlOverFinancialReportingPerformedinConjunctionwithAntuditofFinancialStatements．

[2]TheCommitteeofSponsoringOrganizationoftheTreadwayCommission，2004,EnterprlseRiskManagement－IntegratedFrame－work，ExecutiveSummaryFramework