一、内部控制外部监督的含义
内部控制外部监督主要包括两方面的监督,即内部控制审计监督和政府主管部门其他外部监督。内部控制审计监督,即实施企业内部控制注册会计审计制度;内部控制其他外部监督,主要是指国务院有关部门根据法律法规、《企业内部控制基本规范》及其配套指引,对企业建立与实施内部控制的情况进行监督检查。
二、内部控制审计监督
(一)内部控制审计制度的发展历程
注册会计师在开展财务报表审计过程中,必定要涉及对客户内部控制现状的总体评价。但是,长期以来,这种外部评价是以服从服务于注册会计师实施财务报表审计为目的的,并没有将独立成为“内部控制审计”。
内部控制审计作为一项促进企业建立健全内部控制的重要制度安排,是资本市场和审计实践发展的必然选择。对美国内部控制审计由来的简要回顾有助于理解这一点。早在20世纪初,人们初步认识到内部控制对财务报表审计的重要性。1930年10月,美国AICPA发布第1号《审计程序公告》,首次增加对内部控制的评价。紧接着,美国SEC要求审计师在审计报告中增加与关于内部控制审查的内容。自此,注册会计师对企业(客户)内部控制评价在财务报表审计中的应用逐渐趋于成熟,并作为财务报表审计的必要程序纳入相关审计准则。随后,与之相关的几次重大事件,再次助推内部控制审计“走向”独立。主要包括:
1.美国1977年实施的《反国外贿赂法案》。该法案除规定遏制和处罚美国公司对外国政府官员进行非法的政治援助或贿赂等财务支出外,还包括强化会计工作和内部控制的条款,要求公司在保持健全会计记录的同时,设计、建立和保持有效的内部会计控制系统。这可能是内部会计控制首次写入一个国家的法律。
2.1978年AICPA下属的注册会计责任委员会提出报告,建议指出:公司管理层应当出具披露反映内部控制状况、与财务报告相匹配的报告;同时,注册会计师对公司管理层出具的内部控制报告进行评价并对外报告。SEC对此积极反映,于1979年4月发布了《管理层关于内部会计控制的公告》(征求意见稿),提议公司管理层在向股东提交的年度报告中包含内部会计控制自评报告。当时,SEC意在以法律形式将该提议确定下来,但后因时机不成熟而未果。SEC类似这样的提议后来还因为COSO的研究建议有过一次,但也未最终形成法规。
3.20世纪90年代初,美国商业银行破产频发,民众对联邦存款保险公司命运尤其担忧。就此,美国于1991年颁布了《联邦储蓄保险公司改善法案》(FDICIA)。该法案明确,资产总额在5亿美元以上的大银行必须评估并报告内部控制的有效性,同时要求注册会计师对公司管理层有关内部控制的声明进行验证。这些要求扩大了为规模较大的商业银行提供财务报表审计服务的注册会计师的责任范围。客观地看,尽管由于这些要求不适用于金融机构提交给股东的年度财务报告,只是要求公司在向联邦银行管理机构和相关州级银行监察机构提交报告时适用,因而对所有上市公司直接影响不大。但是,FDICIA开创了强制要求公司管理层报告内部控制有效性的先河。
4.2001年,美国能源巨头、位居世界500强的安然公司由于虚假账目突然宣告破产;2002年,美国著名的世界通信公司也因类似原因倒闭。这两家公司的崩溃,不仅冲击了美国资本市场、损害了美国投资者的合法权益,同时也对全球经济产生了巨大的破坏作用。为重塑美国资本市场、恢复投资者信心,美国总统布什于2002年7月30日签发了《萨班斯-奥克斯利法案》(SOX)。正是SOX404条款让财务报告内部控制审计成为面对广大在美上市公司的普遍要求。根据SOX404条款及SEC发布的相关“细则”,发行人(注册投资公司除外),必须在年度财务报告中包括公司管理层对财务报告内部控制结构和程序有效性的认定声明,清楚地表达:(1)管理层对于建立及维护充分的财务报告内部控制的责任;(2)管理层用于评价财务报告内部控制有效性的框架;(3)管理层在年末对公司财务报告内部控制有效性作出的评价结论(包括披露公司财务报告内部控制任何重大缺陷或实质性漏洞)。与此同时,还要求负责公司财务报表审计的注册会计师按照PCAOB发布的相关审计准则对公司财务报告内部控制的有效性进行审计并出具审计报告。但是,同一家会计师事务所不能同时对同一家公司既进行财务报表审计又进行内部控制咨询。至此,在美上市公司的内部控制自我评价报告不再是自愿性披露而是强制性披露,而且公司内部控制的有效性还需要由注册会计师进行审计鉴证。
除美国外,日本通过《金融工具法案》也明确提出要对企业财务报告内部控制进行审计,在做法上既要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,同时还要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。后一个方面有别于美国。不同于美国和日本,欧盟、加拿大、中国香港等地区或国家虽然也要求上市公司加强内部控制建设,但尚未强制进行内部控制审计。
(二)在我国实施企业内部控制注册会计师审计的必要性
在我国,执行《企业内部控制基本规范》及配套指引的企业,不仅应在年末财务报告中披露内部控制自我评价报告,同时还要求企业聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。此外,注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。实施企业内部控制注册会计师审计,既是立足我国国情、借鉴国际惯例推出的一项创新之策,同时又是确保企业内部控制有效实施的重要标志和制度安排。
1.实施企业内部控制注册会计师审计,有助于增强企业内部控制效能,促进企业全面提升风险防范能力和经营管理水平。注册会计师的独立性和专业性,决定了其在实施内部控制审计过程中可以更超脱、更全面、更深入、更客观、更精确地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题,较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目,只缘身在此山中”的固有约束,注册会计师提出的审计意见往往更具针对性、深刻性和建设性;同时,注册会计师审计报告具有法律效力和威慑性,使得企业管理层必须高度重视注册会计师的审计意见,围绕注册会计师提出的内部控制缺陷采取及时有效的整改措施,从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性,为企业举一反三健全管控、杜塞漏洞,实现又好又快可持续发展提供助推力。
2.实施企业内部控制注册会计师审计,有助于促进注册会计师行业紧密适应市场需求推动业务转型升级、实现加快发展。为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全,2009年10月,国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》(简称“国办56号文件”),明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上,积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸,推动大型会计师事务所业务转变和升级,加速向高端型、高附加值、国际化业务发展”。实施企业内部控制审计,是落实国办56号文件精神的具体体现,是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。
(三)实施企业内部控制注册会计师审计中应着力处理好的几个关系
1.企业内部控制责任与注册会计师审计责任的关系
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内部控制本身有效与否是企业的内部控制责任,是否遵循内部控制审计指引开展内部控制审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内部控制审计之前,应当在业务约定书中明确双方的责任;在发表内部控制审计意见之前,应当取得经企业签署的内部控制书面声明。
2.企业内部控制自我评价与注册会计师内部控制审计的关系
(1)企业内部控制自我评价与注册会计师内部控制审计是相互独立、并行不悖的。企业内部控制责任与注册会计师内部控制审计责任的划分,决定了企业实施内部控制自评和注册会计师实施内部控制审计必须按照不同的规则独立完成,两者之间不能相互替代和免除。
(2)注册会计师在实施内部控制审计中可以适当利用企业内部控制自评工作。一般而言,企业内部控制自评工作应先于注册会计师内部控制审计进行,因此,适当利用企业内部控制自评工作及其成果,可以相应减少注册会计师的工作量,提高内部控制审计效率。但是,注册会计师的内部控制审计责任,不能因为利用了企业内部控制自评工作而减轻,这就要求注册会计师在利用企业内部控制自评工作时,必须毫不放松风险意识,特别要在评估企业内部控制自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。
(3)在各负其责的基础上加强双方的沟通协调,是做好企业内部控制自评和注册会计师内部控制审计不容忽视的重要方法。一方面,就注册会计师及其所在的会计师事务所而言,一是要注重树立整体研判观念,善于在宏观层面把握大局、把握实质;二是要着重关注合规目标、报告目标和资产安全目标,适当兼顾效率效果目标和战略目标;三是要配备经验丰富、结构合理的内部控制审计项目负责人和经理人员;四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调;五是要加强内部控制审计业务培训和经验交流;六是要重视以前年度审计情况总结分析;七是要建立与同行的经验共享、技术合作机制;八是要加强信息技术等非财会、审计人才的引进和培养。另一方面,就企业管理层而言,一是要自觉强化可持续发展理念和借力“会诊”意识,主动配合支持注册会计师的审计工作;二是要建立并理顺与注册会计师的沟通协调机制,在审前、审中和审后保持坦诚、深入地沟通;三是要针对注册会计师的疑虑,提出有说服力的证据;四是要在第一时间整改注册会计师识别的控制缺陷,为获得更为正面的审计意见赢得主动。
3.财务报告内部控制和非财务报告内部控制的关系
财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。处理好财务报告内部控制与非财务报告内部控制的关系,至少应把握好以下两点:
(1)财务报告内部控制与非财务报告内部控制是一个相对概念,恰如会计控制与管理控制的界定一样。一般而言,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内部控制,比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内部控制,除此之外的控制可以归类为非财务报告内部控制。
(2)《企业内部控制审计指引》对财务报告内部控制和非财务报告内部控制提出了差异化的审计要求,即:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。必须强调,这一规定是实事求是的,既充分考虑了注册会计师的专业特长和职业风险,将注册会计师的审计重心定位在财务报告内部控制领域,同时又大胆破除了单纯财务报告内部控制观念的束缚,促使注册会计师的内部控制审计范围与企业管理层的内部控制自评范围总体上趋于一致,增强了内部控制审计报告与自评报告的协调。
4.内部控制审计和财务报表审计的关系
《企业内部控制审计指引》规定,注册会计师可以将内部控制审计与财务报表审计整合进行(即整合审计),也可以单独进行内部控制审计。
尽管从法规的角度为如何进行内部控制审计和财务报表审计提供了选择,但从企业更“经济”地委托审计分析,我们倡导内部控制审计和财务报表审计整合进行。事实上,审计准则所要求的风险导向审计与内部控制规范体系所要求的风险评估,在理念和方法上是趋于一致的,因此整合审计具有较好基础。整合审计的目的,就是在内部控制审计中获取充分、适当的证据,支持注册会计师在财务报表审计中对内部控制的风险评估结果;同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内部控制审计中对内部控制的有效性发表意见。
从美国公共会计公司(会计师事务所)整合进行财务报表审计和财务报告内部控制审计(404审计)的通常做法看,内部控制审计团队一般先于财务报表审计团队1~2个月的时间进入被审企业,在对财务报告内部控制有效性作出总体评估的基础上,对实施财务报表审计的性质、时间和范围作出适当调整和完善,之后,通过对财务报表的实质性分析复核,再来验证财务报告内部控制的有效性。
由此可见,所谓整合审计,实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见,这是值得我国会计师事务所研究借鉴的。
5.企业层面控制测试与业务层面控制测试的关系
无论是企业内部控制自评,还是注册会计师内部控制审计,都需要对企业层面控制和业务层面控制进行测试。一般认为,与内部控制诸要素中的基本制度安排直接相关,对企业整体内部控制目标的实现具有重大影响的控制属于企业层面控制;与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内部控制目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。
因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。
需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为关键控制,除此之外,则被认定为一般控制。经验数据表明,在所有业务层面控制中,关键控制一般占到20%左右。
6.重大缺陷披露与其他缺陷沟通的关系
内部控制缺陷按其影响程度分为重大缺陷(实质性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定,当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效,应当认定企业财务报告内部控制存在重大缺陷,对企业财务报告内部控制有效性发表否定意见,并通过内部控制审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷,应当以书面形式与企业董事会和经理层沟通;对于一般缺陷,应当以书面形式与企业有关职能部门沟通。
从美国上市公司近年来披露的财务报告内部控制缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著。这也提示我国注册会计师在实施企业内部控制审计时,应当着力把握易于出现错弊的关键领域和重要环节,切实揭示出企业财务报告内部控制重大缺陷。
7.对基准日内部控制有效性发表审计意见与财务报表涵盖期间有效性的关系
注册会计师实施内部控制审计,是会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。由此看出,注册会计师是基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。
(四)进一步深化企业内部控制,注册会计师审计应当研究解决的几个重要问题
《企业内部控制审计指引》的发布,为实施企业内部控制审计提供了执业准则和操作指南;同时,随着企业内部控制审计的不断深入,也势必反映出这样那样的各种具体问题。在当前和今后一段时间,应当着力研究解决以下几个重要问题。
1.非财务报告内部控制测试的范围界定和方法技术问题
关于非财务报告内部控制测试的范围。相对而言,财务报告内部控制测试范围较为明确,而非财务报告内部控制测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制,要求注册会计师事无巨细地关注非财务报告内部控制的方方面面是不现实的。因此,我们倾向于紧密围绕内部控制目标,建立一套非财务报告内部控制测试的核心指标体系,这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点。其中,对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面,特别是董事会、监事会建设和审计委员会监督职能的发挥情况;对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用;对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况;对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善,以及信息系统开发、建设和运行状况;对内部监督的测试聚焦于日常监督和持续性监控的落实情况,特别是企业内部控制自评工作的开展成效以及内部控制缺陷的整改情况。
关于非财务报告内部控制测试的方法。总体而言,应与财务报告内部控制测试方法基本相同或相近,比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法,但非财务报告内部控制测试又往往因测试内容的复杂性和难以量化性具有其独特之处。
备注:
1.贵公司是如何建立员工行为准则和高管人员职业道德准则的?
2.这些行为准则、职业道德准则多长时间检查和更新一次?
3.董事会居于何种考虑建立上述行为准则和职业道德准则?a。您认为达到董事会的目标了吗?b。达到了能叙述一下是如何达到的吗?没达到您认为未能达到目标的主要障碍是什么?
4.如果公司管理层认识到存在不可接受的行为,那么将采取什么程序来调查这个问题?a。您能举出一些具体的例子吗?b。公司如何让员工们了解到管理层在这个问题上采取的行动?
5.董事会已经识别了那些可能诱导不道德行为的薪酬政策或者其他激励措施了吗?如果是,这些政策是什么?您如何监督这些政策?如果没有,在制定薪酬政策或措施的时候,考虑的是什么标准?
6.在过去三年中,管理层认识到内部控制的任何缺陷了吗?a。您是怎么认识到的?b。采取了什么措施来加以改进?
7.您得到了有效完成您的工作的全部信息了吗?如果是,它是可靠的吗?及时的吗?如果没有,为什么没有得到?
8.董事会定期讨论企业文化和“高层的调子”吗?它们如何影响内部控制的整体有效性?如果是,董事会发现了什么?如果没有,什么妨碍了你们做这些事情?
在询问结束后,注册会计师要初步评估:与企业文化有关的控制政策看起来是何种程度的,以此作为对企业文化的初步测试结论。
2.内部控制测试评价的样本选取问题
基于净利润、资产总额等指标的计划重要性水平确定抽样规模,是财务报表审计的重要方法。但是,企业内部控制审计的内涵和外延大大超越财务报表审计,因此,如何确定内部控制测试评价的抽样规模,是一个亟待解决的突出问题。截至目前,尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据,值得研究思考并在此基础上予以完善。
3.首次执行内部控制审计与连续实施内部控制审计的策略问题
根据财政部、证监会、审计署、银监会、保监会五部委的统一部署,包括《企业内部控制审计指引》在内的《企业内部控制配套指引》自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。因此,除按SOX404条款要求为在美上市公司提供财务报告内部控制审计的会计师事务所外,其他多数会计师事务所及其注册会计师属于首次执行内部控制审计的范畴。首次执行内部控制审计,特别是同时也属首次执行财务报表审计,意味着注册会计师对某一特定企业(客户)的了解尚不全面、系统、深入,因此,首次执行内部控制审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地,在以后年度的内部控制连续审计中,由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解,因此可以突出审计重点、简化部分程序,更多地关注高风险领域、企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内部控制审计与连续实施内部控制审计的策略变化,对企业和会计师事务所是“双赢”之举,应当予以重视。由此也启示会计师事务所,一定要未雨绸缪、早做准备、注重积累,不断建立健全不同行业、企业的风险案例库,为提升内部控制审计质量和内部控制咨询服务水平奠定扎实基础。
4.内部控制审计报告的披露形式问题
《企业内部控制审计指引》明确了内部控制审计报告的格式和内容,但并未对如何公布、披露内部控制审计报告作出详细规定。从美国的情况看,企业管理层的财务报告内部控制自评报告和公共会计公司的财务报告内部控制审计报告,一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内部控制审计的做法看,既有在年度报告中单作一部分予以披露的,也有自成体系形成一个专门报告单独披露的。两种做法各有利弊,我们尊重企业的自主选择权。同时,考虑到内部控制自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联,我们倾向于建议企业在年度报告中一并披露内部控制审计报告,有利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内部控制状况的基础上作出正确决策。但是应当强调,在年度报告中一并披露的内部控制审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也易于弱化内部控制审计。
5.内部控制审计信息系统的开发建设问题
会计师事务所及其注册会计师执行企业内部控制审计,必须开发建设审计软件,将内部控制审计程序固化在信息系统之中,形成可供查验的内部控制审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看,其财务报告内部控制审计软件主要包括以下数据包:(a)审计项目概述。(b)审计项目计划,包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。(c)内部控制审计模型,包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循SOX 404条款计划文件、企业内部控制自评记录、404审计流程与控制测试等。(d)审核相关备忘录(MRC),包括404缺陷备忘录等。(e)控制测试概览,包括:控制评估与记录;企业层面控制测试;承诺义务与或有事项;工薪循环控制测试;存货循环控制测试;现金收入(含销售业务)循环控制测试;现金支付(含采购业务)循环控制测试;财务报表结账程序控制测试;固定资产循环控制测试;负债循环控制测试;所得税控制测试;股东权益控制测试等。以对固定资产的控制测试为例,需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。(f)对内部控制缺陷的集合与评估。(g)就控制缺陷与企业管理层的沟通情况。(h)就控制缺陷与企业董事会审计委员会的沟通情况。(i)内部控制审计报告,包括会计师事务所的404审计意见、企业管理层的内部控制声明书等。尽管我国企业内部控制审计的范围与美国404审计有所差异,但开发建设内部控制审计软件的基本思路和总体要求是一致的,应当迅速行动起来,通过联合开发、自主开发等多种形式,在利用信息技术实施内部控制审计中赢得先机。
6.内部控制审计结果的利用问题
构建政府、企业、注册会计师行业和社会有关方面有机协调、相互促进的良性互动关系,是贯彻实施《企业内部控制基本规范》及其配套指引的内在要求,也是我国推进企业内部控制体系建设的重要创新。要实现这一目标,必须以充分利用企业内部控制审计结果为抓手。对政府有关部门而言,通过分析、利用企业内部控制审计结果,可以增强政府监督的针对性和实效性;同时,通过汇总、分析各类企业尤其是上市公司内部控制审计结果,发布上市公司内部控制年度综合分析报告,可以为改进宏观调控、完善资本市场提供直接有力的决策参考。对企业而言,通过反思内部控制审计结果尤其是内部控制重大缺陷,并将内部控制有效性情况纳入绩效考评体系,可以促进健全内部控制机制,培育内部控制文化,推动内部控制理念和制度深入人心、落地生根。对注册会计师行业而言,通过测试、评价企业内部控制有效性,由点及面、积少成多,可以丰富、充实企业内部控制经验教训案例库,为延伸专业服务链条,提供高端型、高附加值增值服务提供强有力的支持。对社会有关方面,包括理论界而言,内部控制审计报告为深度研究公司治理、风险管理和内部控制问题提供了丰富素材,在此基础上归纳、拓展、提升,可以为深化企业内部控制建设提供科学理论指导。
实施企业内部控制审计制度日渐临近、任重道远。广大企业、会计师事务所和各方面的专家学者应当积极投身其中,深入研究当前和今后一个时期的重点、热点、难点问题,切实把实施企业内部控制审计与推行企业内部控制自我评价结合起来,切实把实施企业内部控制审计与繁荣内部控制理论研究结合起来,切实把实施企业内部控制审计与培养造就高素质、复合型会计审计人才和企业经营管理人才结合起来,推动企业内部控制审计扎实、有序、深入开展。
三、内部控制其他外部监督
内部控制外部监督,应以内部控制审计监督为主,其他外部监督为辅。本着这一原则,内部控制其他外部监督,即国务院有关部门根据法律法规、《企业内部控制基本规范》及其配套指引,对企业建立与实施内部控制的情况进行监督检查,应以内部控制审计结果为重要依据,尽量减少不必要的重复检查,最大限制地提高内部控制外部监督的效能。