年度内部审计报告模板

年度内部审计报告例1

一、制度背景

根据中国证监督管理委员会颁布的《关于做好上市公司内部控制规范试点有关工作的通知》和《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，自2011年起，境内外同时上市的公司和纳入试点范围的上市公司应披露内部控制审计报告；自2012年起，国有控股的主板上市公司应披露内部控制审计报告；自2013年起，非国有控股且总市值和净利润达到一定标准以上的主板上市公司，应披露内部控制审计报告；自2014年起，所有主板上市公司均应披露内部控制审计报告。

根据《深圳证券交易所中小企业板上市公司规范运作指引》，中小企业板上市公司应当至少每两年披露一次内部控制审计报告。根据《深圳证券交易所创业板上市公司规范运作指引》，创业板上市公司应当至少每两年披露一次内部控制鉴证报告。

随着内部控制审计相关制度的颁布，对审计报告的研究就显得尤为重要。本文以浙江省上市公司披露的2011-2013年度内部控制审计报告为研究对象，对报告的总体特征进行分析，指出了其存在的主要问题，并提出相关建议，以期为内部控制审计工作的全面推进、内部控制审计制度的不断完善提供参考。

二、浙江省上市公司内部控制审计报告的总体披露情况

（一）上市公司披露内部控制审计报告的数量逐年增加

根据上市公司公告信息统计（见表1），2011年，浙江主板上市公司共89家，披露2011年度内部控制审计报告的上市公司为15家，占主板上市公司总数量的17%；2012年，浙江主板上市公司共93家，披露2012年度内部控制审计报告的上市公司为41家，占主板上市公司总数量的44%；2013年，浙江主板上市公司仍为93家，披露2013年度内部控制审计报告的上市公司为56家，占主板上市公司总数量的60%。浙江主板上市公司中披露内部控制审计报告的公司数量2013年较2011年增加41家，占总数量的比例增加了43%。

浙江中小企业板上市公司中披露2011-2013年度内部控制审计报告的公司数量：2011年度最多，达到78家，占浙江中小企业板上市公司总数量的66%；2012年度出现下降，只有51家，占浙江中小企业板上市公司总数量的43%；2013年度有所上升，为73家，占浙江中小企业板上市公司总数量的61%。三年中，披露内部控制审计报告的浙江中小企业板上市公司数量出现增减波动的原因是：《深圳证券交易所中小企业板上市公司规范运作指引》要求中小企业板上市公司至少每两年实施一次内部控制审计，所以，2011年度实施过内部控制审计的部分上市公司2012年度就不再实施内部控制审计，导致2012年度披露内部控制审计报告的公司数量有所减少。经进一步研究分析，2011-2013年，所有119家浙江中小企业板上市公司均至少披露了一次内部控制审计报告，因此“中小企业板上市公司至少每两年实施一次内部控制审计”的要求达成率为100%。

浙江创业板上市公司中披露2011-2013年度内部控制审计报告的公司数量：2011年为11家，占浙江创业板上市公司总数量的41%；2012年为13家，占总数量的36%；2013年为22家，占总数量的61%。披露内部控制审计报告的浙江创业板上市公司数量逐年递增。深圳证券交易所要求创业板上市公司至少每两年披露一次内部控制鉴证报告。经进一步深入研究分析，2011-2013年，36家浙江创业板上市公司中有33家公司至少披露了一次内部控制鉴证报告，有3家公司（南方泵业、开山股份、温州宏丰）三年间未披露一次内部控制鉴证报告。

（二）标准无保留意见的内部控制审计报告在审计意见类型中占绝对多数

浙江省上市公司披露的2011年度和2012年度内部控制审计报告意见类型均为标准无保留意见，占报告总量的100%；2013年度内部控制审计报告共计151份，除2份报告的意见类型为非标准无保留意见外，其余149份报告均为标准无保留意见，占报告总量的98%，详见表2。由此可见，随着企业内部控制规范体系在上市公司范围内分类分批实施，公司愈来愈意识到建立并实施有效的内控是本公司的重要责任，因此注册会计师在内部控制审计中对财务报告内控的有效性做出标准无保留意见的审计报告占绝对多数。

（三）同一家会计师事务所负责同一上市公司的内部控制审计和财务报表审计

将出具内部控制审计报告的会计师事务所与出具财务报表审计报告的会计师事务所进行对比分析，我们发现，2011-2013年度，所有披露内部控制审计报告的浙江省上市公司，其聘请的实施内控审计业务的会计师事务所就是为其提供年报审计服务的会计师事务所，整合审计比例为100%。

进一步研究，我们还发现，2011-2013年度，浙江省上市公司中变更了实施内部控制审计的会计师事务所的共有2家，分别是中恒电气、艾迪西。为中恒电气实施2013年度内部控制审计的会计师事务所由天健会计师事务所变更为瑞华会计师事务所，相应为中恒电气实施2013年度财务报表审计的会计师事务所也由天健会计师事务所变更为瑞华会计师事务所。为艾迪西实施2013年度内部控制审计的会计师事务所由中准会计师事务所变更为立信会计师事务所，相应为该公司实施2013年度财务报表审计的会计师事务所也由中准会计师事务所变更为立信会计师事务所。由此可见，即使上市公司由于种种原因变更会计师事务所，从成本效益角度出发，上市公司仍会聘请变更后的同一家会计师为其实施内部控制审计和财务报表审计，整合审计是一个主趋势。

三、存在的问题

（一）中小企业板上市公司内部控制审计报告的规范性低于主板上市公司

***和证监会联合的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，对不同类型的主板上市公司何时实施《企业内部控制审计指引》做出了明确规定。这样，审计人员对主板上市公司进行内部控制审计时有据可依。2013年度，浙江省主板上市公司披露内控审计报告共56份，其中54份为依据《企业内部控制审计指引》出具的审计报告，2份为依据《中国注册会计师其他鉴证业务准则第3 101号》的规定出具的鉴证报告。披露内部控制鉴证报告的2家公司分别为三江购物和卧龙地产，这两家公司由于未在证监会要求2013年强制披露内控审计报告的主板上市公司范围内，所以仅披露了内部控制鉴证报告。根据三江购物和卧龙地产的2013年报显示，两家公司都定于2014年起出具内部控制审计报告。因此，主板上市公司遵循了《企业内部控制审计指引》的相关规定，较为规范。

浙江省创业板上市公司2013年度披露的22份内部控制审计报告中，依据《中国注册会计师其他鉴证业务准则第3 101号》的规定出具的鉴证报告21份，占95%，与创业板上市公司应披露内部控制鉴证报告的规定基本相符。

但是，浙江省中小企业板上市公司披露的内部控制审计报告中却出现了报告标题多样、审计依据多样、名为审计报告实为鉴证报告等情况。2013年度，浙江省中小企业板上市公司披露内部控制审计报告共73份，其中审计报告标题为“内部控制专项报告”1份；标题为“内部控制审核报告”1份，标题为“内部控制鉴证报告”23份，标题为“内部控制审计报告”48份。进一步分析，48份标题为“内部控制审计报告”的报告中，真正依据《企业内部控制审计指引》实施审计的仅1份，其余47份均是依据《中国注册会计师其他鉴证业务准则第3 101号》出具的，审计范围也只是对公司编制的财务报告内控自我评价报告发表意见，报告格式与其他标题为“内部控制鉴证报告”的报告一致，所以48份题为“内部控制审计报告”的报告中47份属于“名为审计报告实为鉴证报告”。 中小企业板上市公司披露的内部控制审计报告之所以会出现报告标准不统一的情况，是因为证券交易所虽然颁布文件要求中小企业板上市公司至少每两年披露一次内部控制审计报告，但对中小企业板上市公司内部控制审计具体如何开展以及报告的格式均未作出明确规定。

（二）内部控制审计报告中对“非财务报告内部控制的重大缺陷”描述段鲜有提及

根据《企业内部控制审计指引》第四条，注册会计师在实施内部控制审计过程中如果注意到非财务报告内部控制的重大缺陷，应在报告中增加对该事项的描述。

2013年度，浙江省上市公司披露的依据《企业内部控制审计指引》出具的内部控制审计报告共计55份（主板54份，中小企业板1份），其中仅有1份内部控制审计报告披露了“非财务报告内部控制的重大缺陷”，其余54份均未在报告中提及是否注意到非财务报告内部控制的重大缺陷。披露了“非财务报告内部控制的重大缺陷”的上市公司为主板上市公司钱江摩托。注册会计师对“钱江摩托之子公司在外销业务中对终端客户所在国的***治经济风险缺乏系统的评价体系以应对相应的经营风险”认定为非财务报告内部控制的重大缺陷，但钱江摩托公司出具的《2013年度内部控制自我评价报告》，仅认为“公司非财务报告内部控制有一定的不足之处”，并没有明确说是否是重大缺陷。上市公司内部控制自我评价报告中有关对非财务报告内部控制重大缺陷的认定，与注册会计师出具的内部控制审计报告中的认定并不完全一致。

四、相关的建议

（一）尽快出台中小企业板上市公司内部控制审计的具体实施办法

从前面的数据分析，我们看到中小企业板虽然披露内部控制审计报告的公司数量较多，但报告的规范性、信息披露的质量远不及主板上市公司。其主要原因是一方面***府相关部门尚未要求中小企业板上市公司实施企业内部控制规范体系，另一方面证券交易所又规定中小企业板上市公司需要披露内部控制审计报告。因此***府职能部门应相互协调，尽快出台中小企业板上市公司实施内部控制规范体系的时间表，或者对中小企业板上市公司内部控制审计制定具体实施指南，规范中小企业板上市公司内部控制审计报告的基本格式，提高中小企业板上市公司内部控制审计报告的质量和可比性。

（二）不断健全内部控制缺陷披露制度

内部控制缺陷是反映上市公司内控是否有效的负向指标。上市公司对内部控制缺陷披露模糊，不利于监管单位、投资者判断上市公司内部控制的有效性，影响其做出恰当的监管决策和投资决定。此外《企业内部控制审计指引》及实施意见中均没有对“非财务报告内部控制重大缺陷”如何界定给出具体解释，因此在实务操作中存在“非财务报告内部控制重大缺陷”描述段空缺等现象。因此，建议***府职能部门不断完善内部控制缺陷披露制度，明确内部控制各类缺陷的判断标准。

（三）加强内部控制审计人才的培养

内部控制审计不仅涉及公司的财务领域，还涉及战略管理、人力资源管理、采购、市场营销等众多领域，需要审计人员具备多方面的知识，因此，会计师事务所在招聘审计人员时，应注意人才的广泛性，形成一个多专业的人才团队，为内部控制审计培养后备力量。同时，审计人员自身也应加强学习，拓宽知识面，提高专业胜任能力。J

参考文献：

年度内部审计报告例2

随着人们对报表审计中内部控制重要性认识的深入，是否对内部控制进行单独评价及报告作为难题之一逐渐浮出水面，成为历史上一个长期争论的话题。而争论的焦点在于：内部控制评价报告的出具是否会降低财务报表审计意见的可靠性。

20世纪60年代末70年代初，财务领域的学术研究逐渐表明，年度财务报告仅仅是债务和权益投资的部分决策因素，而对季度会计信息、内部控制、预测等信息的需求变得越来越明显。于是，一些学者开始对注册会计师进入这些领域的可能性进行了论证，并使用问卷表来调查公众对此的态度。美国注册会计师协会1953年出版的《注册会计师手册》中指出一个新建议：在审计人员对财务报表的意见中，应包括一个对内部控制系统的意见。这个建议立刻引起了激烈的争论，许多人指出：对内部控制在审计报告中加以评价容易引起误解。到60年代，《审计程序说明书第49号--内部控制的报告》把在审计报告中是否需要说明内部控制的权利交给了管理当局。这使得如何表达对内部控制评价的意见成为一个更加突出的问题。1980年，《审计准则公告第30号--内部会计控制的报告》取代了《审计程序说明书第49号》，《审计准则公告第30号》指出：为了表示意见，注册会计师必须审查企业的内部控制结构。审查既可***进行，也可以结合财务报表审计进行。可见，《审计准则公告第30号》采取了折中的态度，这也反映了实际中人们对内部控制评价报告与审计报告二者关系认识上的转变。

在长期争论的基础上，人们对内部控制评价报告与审计报告关系的认识于80年代末出现了明显的改变。1988年，《审计准则公告第60号--审计师对关注到的内部控制结构相关事项的传达》被颁布，该公告要求注册会计师就控制环境、会计制度和控制程序中存在的重大不足与审计委员会进行沟通。1991年，美国国会通过了联邦储蓄保险公司利用法（FDICIA），这一法律规定：所有资产大于20亿美元的金融机构管理当局必须对内部控制结构的有效性进行声明。该法同时还要求注册会计师对管理当局的报告进行验证。21993年，美国注册会计师协会颁布了《鉴证业务准则第2号--财务报告外的内部控制报告》及《鉴证业务准则第3号--符合性鉴证》，对企业提供内部控制报告及注册会计师对其进行评价并表示意见提供指导。至此，对于内部控制评价与审计报告关系的争论，以职业规范对内部控制评价及出具报告的认可而告一段落。实践的发展告诉我们，对内部控制进行单独评价及报告是因实际需要而产生的，是经济健康发展的保证，是***审计勇于承担社会责任的正确选择。

（二）关系重新定位

虽然对于内部控制报告与审计报告关系的争论已告一段落，但留给我们思考的问题是：内部控制评价报告是否影响审计报告的意见类型？内部控制评价报告到底是提高了还是降低了审计报告的可靠性？二者的关系到底如何定位？笔者试在以上论述的基础上，就此谈一些自己的看法。

审计报告是注册会计师对于被审计企业年度会计报表发表审计意见的书面文件。这里的会计报表是企业管理当局向外部信息使用者提供关于企业财务状况、经营成果及现金流量等方面财务信息的手段。一般地，会计报表主要包括资产负债表、损益表、现金流量表等。注册会计师以第三者身份，对企业管理当局提供的会计报表进行检查，并对会计报表的合法性、公允性和一贯性作出***鉴证，以增加会计报表的可信性。内部控制评价报告是注册会计师对被评价企业内部控制声明书发表评价意见的书面文件。内部控制声明书是企业管理当局对其内部控制的完整性、合理性及有效性所作的认定。按最新理念，企业内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。注册会计师接受委托对企业管理当局的内部控制声明书中的认定进行鉴证，并发表评价意见，以满足利害关系人对此信息的需求。

从审计报告与内部控制评价报告的比较中可以看到：审计报告仅仅是对企业年度财务信息的鉴证，范围较小，时效也较短；内部控制评价报告则是对"……为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程"的鉴证，范围广，时效也较长。正因为内部控制评价报告是对过程的鉴证，审计报告是对结果的鉴证，所以内部控制评价报告会对注册会计师的报表审计产生影响。但这种影响不是表面上的意见类型的一一对应，即不能认为内部控制评价报告是无保留意见，则审计报告也应该是无保留意见。由于内部控制评价报告是对整个企业范围内的、某个时期的全过程的鉴证，而审计报告是当年度财务信息发表意见，故财务报表所示财务信息的合法、公允及会计处理方法保持一贯并不表示整个企业的内部控制也一定是完整、合理及有效的；同理，企业内部控制在完整性、合理性或有效性上存在重大缺失也不等于企业当年财务报表一定不可信。内部控制对财务信息的影响是一种基础性的影响，是一种过程性的影响。

审计报告侧重于向信息使用者传递被审计企业当年度或短期的信息，而内部控制评价报告反映出来的信息则具有长期性的影响。内部控制评价报告是对审计报告所提供信息不足的补充，二者相辅相成，共同为增加证券市场及其他资本市场的透明度及有效性发挥着应有的作用。

参考文献： 

1. [美]道格拉斯·R·卡迈克尔 约翰·J·威林翰 卡罗·A·沙勒 著 刘明辉 胡英坤 主译. 《审计概念与方法--现行理论与实务指南》. 东北财经大学出版社. 1999

2. 中国注册会计师协会 香港会计师公会. 《高级审计实务》. 经济科学出版社. 1998

3. 超越企管出版研发组. 《内部控制制度作业要点及实务--公开发行公司自我评估规范》.超越企管顾问股份有限公司新闻局局版. 1999

4. 文硕. 《世界审计史》. 企业管理出版社. 1996. 第二版

5. 王光远等编著. 《会计大典第十卷--审计学》. 中国财***经济出版社. 1999

年度内部审计报告例3

审计报告意见汇总中国注册会计师协会公布数据，截止2014年4月30日，共有40家证券资格的会计师事务所为来自深市与沪市的2534家上市公司出具了2013年年度财务报表审计报告，在这些财务报表审计报告中，包含有2450份标准无保留的审计意见，57份带强调事项段的无保留意见，22份保留意见，以及5份无法表示意见的审计报告。与此同时，截至2014年4月30日，共有40证券资格的会计师事务所为来自深市与沪市的1141家上市公司出具了2013年年度内部控制审计报告。在这一千多份的内部控制审计报告中，有1096份是标准无保留意见内部控制审计报告，35份是带强调事项段的无保留意见，9份否定意见，以及1份无法表示意见的内部控制审计报告。

（二）2011—2013年上市公司内部控制审计报告意见汇总

（三）2011—2013年被出具非标准内部控制

审计报告的上市公司财务报表审计意见汇总同时被出具非标准财务报表审计意见和非标准内部控制审计意见的上市公司2011年没有，2012年只有6家，在2013年却达到了21家。

（四）非标内部控制审计报告增加原因分析

（1）内部控制缺陷造成影响逐渐增大。近年来内部控制的相关法规细则不断颁布出来，从框架结构到具体内容不断细化。尤其是在2014年最新的《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》，明确了内部控制评价报告构成要素，说明了需披露的内容及要求，并且还提供了可供注册会计师参考的内部控制审计报告模板。因此，内部控制评价向着更加规范化、标准化的方向发展。

（2）审计意见的客观性进一步提高。注册会计师在内部控制审计方面的专业性越来越高，经验越来越丰富，同时职业道德也有所提高，敢于披露被审计单位内部控制的缺陷。

（3）企业内部控制重视程度提高。认识到内部控制对于企业发展的重要性，积极接受注册会计师出具的内部控制审计意见，并在内部控制自我评价报告中披露，提出解决问题的可行性计划和方案。

二、内部审计报告与财务报表审计报表案例分析

（一）案例背景

华锐风电科技股份有限公司是一家以风电为主的新能源企业，主要进行不同风电机组的研发、制造和销售。华锐风电公司在2013年度被同时出具了非标准的内部控制审计报告和财务报表审计报告。其中，内部控制审计意见为否定意见，财务报表审计意见为保留意见。上海家化联合股份有限公司是我国化妆品行业中第一家上市企业，产品覆盖化妆品、家居护理用品等，拥有国际水准研发以及广大的消费市场。上海家化2013年年度审计报告中，内部控制审计意见为否定意见，但财务报表审计意见却为标准无保留意见。

（二）案例分析

1.华锐风电

（1）华锐风电公司未能对实物资产实行有效控制，在对2013年年末的存货进行了全面清查后，发现了账实不符的情况，实物相比较账面金额，存在126853.54万元的短缺。由于公司对于存货盘点结果尚未核对完成，因此，在尚未获得充分、适当的审计证据的情况下，注册会计师无法实施必要审计程序，从而对于盘点结果以及由此所影响的存货、资产减值损失、管理费用等会计科目无法确认。并且在对应付账款进行函证时，发现了较多往来不符的情形，在该情形下注册会计师认为无法实施替代程序以获取充分、适当的审计证据。

（2）华锐风电公司2013年年末在其母公司财务报表上确认了递延所得税资产32924.13万元。但在此之前华锐风电已连续两年出现亏损。其中母公司在2012年与2013年分别取得利润总额为-71011.26万元和-331244.50万元。因对华锐风电公司未来的盈利情况不确定，注册会计师认为无法确定这一事项对公司财务报表的影响是否恰当。

（3）华锐风电公司于2013年5月、以及2014年1月分别收到来自中国证监会的两封《立案调查通知书》，证监会决定开始对华锐风电公司进行立案调查。截至到审计报告签发日，证监会的相关调查工作仍未结束，因此，注册会计师无法判断调查结论可能对华锐风电公司财务报表产生的影响。

2.上海家化

（1）由于上海家化并没有披露与吴江市黎里沪江日用化学品厂的关联交易事项，并且于2013年11月收到了来自中国证监会的《行***监管措施决定书》，认定上海家化在2009年至2013年与沪江日化发生的关联交易违反了相关的法律法规。注册会计师认为，上海家化对关联交易未能进行有效控制，并且由于关联方交易的未能及时识别会影响财务报表中与关联方有关的数据的完整性以及准确性，导致内部控制设计的失效。虽然上海家化在2013年12月表示对上述缺陷已进行了整改，但因为运行时间不长，因此不能认定整改有效。

（2）注册会计师认为上海家化在2013年以前及之后与代加工厂发生的委托加工交易在会计处理方法上不一致，由此认定部分上海家化子公司并未建立销售返利以及运输费等有关的内部控制。这一缺陷会导致财务报表中涉及销售费用和运输费用等相关交易的完整性、准确性以及截止性产生偏差，因此认定相关内部控制设计失效。

（3）注册会计师发现在2013年12月31日的财务报表中，财务人员将本应计入其他应付款科目的费用计入了应付账款科目，影响到财务报表多个会计科目的准确性，因此认为上海家化的财务人员的专业素养不够，造成会计处理的差错。注册会计师说明在2013年年度财务报表审计中，已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。因此，否定的内控审计意见并未对上海家化2013年年度财务报表出具的审计报告意见产生影响。然而在华锐风电内部控制审计报告中看出，由于对存货等实物资产缺乏有效的内部控制，导致了财务报表审计报告中保留意见事项一、二对资产负债表中的“存货”“应收账款”“资产减值损失”“管理费用”“销售费用”等会计科目产生重大影响，这些重大缺陷都是属于财务报表层次产生的。因此可以看出，内部控制审计意见与财务报表审计意见关系紧密，内部控制财务报表层次的缺陷会对财务报表审计报告意见产生重大影响。

年度内部审计报告例4

中***分类号：F239.43 文献标识码：B

企业内部控制评价与审计规范源自于美国，安然、世通等财务欺诈案件使人们进一步认识到了内部控制的重要性，也加速了企业内部控制制度建设的进程。2002年，美国出台了《萨班斯―奥克斯利法案》（简称萨班斯法案），该法案在302节“公司对财务报告的责任”和404节“管理层对内部控制的评价”中，要求在美国证券交易委员会注册登记的企业，其管理层要对财务呈报内部控制的有效性进行评价并对外公开报告；同时要求注册会计师对管理层财务呈报内部控制进行鉴证和报告。美国证券交易委员会和公众公司会计监督委员会为内部控制的评价与审计制定了相关规则和指引。其他一些国家也纷纷借鉴美国的做法，先后加强和完善了对企业尤其是上市公司内部控制的规制，这其中就包括日本和中国。

2006年6月7日，日本国会通过《金融商品交易法》，其中以上市公司为对象，将管理层对财务报告内部控制进行评价并由注册会计师对其进行审计作为义务予以规定（内部控制报告制度），并要求在2008年4月1日开始起的会计年度执行［1］。依据《金融商品交易法》，日本企业会计审议会于2007年2月15日，审议了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定（意见书）》，其公布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》适用于自2008年4月1日以后开始的会计年度财务报告内部控制的评价与审计。

长期以来，中国多个部门对企业内部控制的建立与实施进行了规范，但并未形成统一体系。美国颁布实施萨班斯法案后，中国企业内部控制制度建设也进入了快速发展时期。2005年6月，***领导在***、***和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制的报告》上作出批示，同意“由***牵头、联合证监会及***，积极研究制定一套完整公认的企业内部控制指引”［2］。2006年7月15日，***、***、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会。2008年6月28日，***会同中国证监会、国家审计署、中国银监会和中国保监会共同了《企业内部控制基本规范》，并要求自2009年7月1日起在上市公司范围内施行，同月，还了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》的征求意见稿。2010年4月15日，上述五部委制定了企业内部控制配套指引，具体包括《企业内部控制应用指引第1号――组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》，要求在境内外同时上市的公司自2011年1月1日起执行，在上海和深圳证券交易所主板上市的公司自2012 年1月1日起执行，在中小板和创业板上市的公司择机施行，并鼓励非上市大中型企业提前执行。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对企业内部控制的有效性进行审计并出具审计报告。至此，统一的、融合国际先进经验的中国企业内部控制规范体系基本建成。

日本和中国的内部控制评价和审计规范都借鉴了美国的COSO报告①以及内部控制评价与审计规范，但规范的具体要求和内容还是存在显著的差异，本文以日本企业会计审议会的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》以及中国***等五部委联合的《企业内部控制基本规范》及企业内部控制配套指引为依据，首先从规范的框架结构、规范对象与范围、内部控制的目标和要素、内部控制缺陷的分类以及内部控制审计等方面对其差异进行比较分析，在此基础上进一步探讨日本内部控制评价和审计规范对完善我国内部控制报告制度的启示。

一、 中日企业内部控制评价与审计规范的框架结构、规范对象与范围不同

日本的企业内部控制评价与审计规范分为《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》两个层次，准则与实施准则内容相同，均包括“内部控制的基本框架”、“财务报告内部控制的评价与报告”、“财务报告内部控制的审计 ”三部分，实施准则只是对准则列示尽可能具体的指南。我国2008年由***等五部委联合颁布的内部控制评价与审计规范，其框架结构由一项基本规范、系列应用指引、评价指引、审计指引和企业内部控制制度三个层次构成［3］。第一个层次企业内部控制基本规范规定了内部控制的基本目标、基本要素、基本原则、和总体要求，是制定后两个层次规范内容的基本依据，在内部控制标准体系中起统驭作用；第二个层次包括企业内部控制应用指引 、企业内部控制评价指引、企业内部控制审计指引（分别简称应用指引 、评价指引、审计指引），其中应用指引是对企业按照内部控制基本规范建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中居主体地位；主要包括两方面内容：一是针对企业主要业务与事项的应用指引，二是针对特殊企业或行业的应用指引。具体可以划分为内部环境类指引、控制活动类指引、控制手段类指引三类，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。评价指引是为企业管理层对本企业进行内部控制自我评价提供的指引和要求，包括评价内容和标准、评价程序和方法、评价报告的出具和披露等。审计指引是会计师事务所执行内部控制审计业务的执业准则；第三个层次企业内部控制制度是各企业依据前两个层次的要求，并结合本企业经营特点和管理要求建立的本企业的内部控制制度。可以看出，两国的规范都包括了基本要求和实施指南，但比较而言，我国的内部控制规范体系按照内部控制的建立、评价、审计分别制定指南，尤其是针对企业主要业务与事项和特殊企业或行业制定的应用指南具有更强的指导作用。

日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》要求自2008年4月1日开始的会计年度在上市公司执行；中国的《企业内部控制基本规范》适用于境内设立的大中型企业，小企业和其他单位可以参照建立与实施内部控制，自2009年7月1日起首先在上市公司施行。企业内部控制配套指引虽然目前尚未规定针对非上市企业强制实施的时间表，但也鼓励非上市大中型企业提前执行。可见，中国《企业内部控制基本规范》所规范的对象要广于日本，不仅包括上市公司，也包括非上市企业。

日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》规范财务报告内部控制的评价与审计活动，所谓财务报告内部控制是指以确保财务报告的可靠性为目的的内部控制。我国的评价指引第五条规定：企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。第二十一条规定：内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。审计指引第三条指出：按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。第四条进一步指出：注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。由此可见，中国《企业内部控制基本规范》以及配套指引并不局限于财务报告内部控制，而是规范内部控制目标全过程的评价和鉴证活动。显然，比日本规范的范围要大得多。

二、中日企业内部控制的目标和要素不同

日本在《财务报告内部控制评价与审计准则》中将内部控制目标确定为四个：即经营的有效和效率、财务报告的可靠性、营业活动遵循相关法律以及资产保全。我国《企业内部控制基本规范》规定了五个目标：即合理保证企业经营管理合规合法、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略，比较而言，战略目标是日本内部控制评价与审计规范中没有提及的。

从内部控制要素来看，日本《财务报告内部控制评价与审计准则》将内部控制基本要素确定为六个方面：控制环境、风险的评估与应对、控制活动、信息与沟通、监控、信息技术的应对；中国《企业内部控制基本规范》确立的内部控制框架包括五个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。尽管两国规范对于相关要素的表述有所不同，但前五个要素的内容大体相近，所不同的是日本的内部控制规范要比我国多一个要素――信息技术的应对。所谓信息技术的应对是指为实现组织的目标事先规定合理的***策及程序，根据这些***策及程序在业务实施中对组织内外的信息技术进行合理的应对，具体包括信息技术环境的应对与信息技术的利用和控制。日本内部控制规范制定机构认为：尽管美国的COSO报告未提及这一要素，但近些年，信息技术发生了飞跃性进展，组织的业务内容在很大程度上依赖于信息技术，组织的信息系统高度采用信息技术等的现状，使很多组织离开信息技术就不能进行业务活动。将信息技术的应对增加为基本要素，表明在信息技术深刻影响组织的状况下，在执行业务的过程之中，对组织内外的信息技术进行合理的应对，已经成为实现内部控制目标所不可或缺的［1］。

三、中日企业内部控制评价与审计规范对内部控制缺陷的分类不同

关于内部控制缺陷，中日内部控制规范都认为包括设计（构建）缺陷和运行缺陷，但对其划分的类别却不同。日本《财务报告内部控制评价与审计实施准则》基于对财务报告可靠性产生影响的程度，将内部控制的缺陷划分为“缺陷”和“重要缺陷”两类。我国内部控制评价指引根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷三类，比日本的划分更细。

四、中日内部控制审计规范的具体要求不同

从内部控制审计主体来看，日本《财务报告内部控制评价与审计准则》对内部控制审计主体有强制要求，规定内部控制审计由从事该企业财务报表审计的同一审计人员实施，这里的同一审计人员不仅要求同一会计师事务所，而且也要求是同一执行业务的合伙人。我国的审计指引第五条规定：注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行。可见，我国企业内部控制规范并未对内部控制审计主体作出强制性限制。

对于内部控制审计意见类型，日本财务报告内部控制评价与审计准则以及实施准则规定：内部控制审计报告意见可以分为无限定合理意见、附有除外事项的无限定合理意见、附有除外事项的有限定合理意见、内部控制报告内容不适当的意见和无法表示意见②。我国的审计指引将内部控制审计报告意见分为无保留意见、带强调事项段的无保留意见、否定审计意见和无法表示意见，两国所不同的是关于保留意见的规定。日本规定表述保留意见的条件是：因未能实施重要的审计手续而不能表明无限定合理意见的情况下，审计人员在判断其影响未达到对内部控制报告不能表明意见程度而不具有重要性时，必须表明附有除外事项的有限定合理意见。在这种情况下，必须在实施的审计的概要中记载未能实施的审计手续，在对内部控制报告的意见中记载该事项对财务报表审计产生的影响［1］。我国的审计指引第三十一条规定：如果注册会计师审计范围受到限制，应当解除业务约定或出具无法表示意见的内部控制审计报告，并不允许发表保留意见。如果财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当发表否定意见。上述规定表明，我国不允许注册会计师签发保留意见的内部控制审计报告，因为审计范围受到限制，难以确定财务报告内部控制的有效程度，因此，只要审计范围受到任何限制，就要出具无法表示意见的审计报告或选择解除业务约定。

中日两国关于内部控制审计报告的形式要求也不同。日本《财务报告内部控制评价与审计准则》规定：财务报告内部控制审计的目的在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则，在所有要点上是否适当表明内部控制有效性的评价结论，将基于审计人员自身取得的审计证据进行判断的结果作为意见予以表明。同时规定：内部控制审计报告原则上与财务报表审计报告一并编制。我国的审计指引第二条指出：内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第二十七条指出：注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告，标准内部控制审计报告应当包括标题、收件人、财务报告内部控制审计意见段、非财务报告内部控制重大缺陷描述段等要素。尽管中日两国都要求对内部控制审计结果以报告的方式表明，但内部控制审计意见报告形式的差异十分明显。日本为了减小审计成本，没有采用审计人员直接对内部控制的构建和运行状况进行验证的形式，而是要求对管理层进行的财务报告内部控制有效性评价的结论予以审计并发表意见，也就是采用间接发表意见的形式。中国的规范要求对内部控制设计与运行的有效性进行审计，采用的是直接报告的形式，并且要求单独编制审计报告。两种报告形式比较而言，直接报告形式尽管成本负担大，但能够以***的第三者的身份提供内部控制设计与运行有效性的结论，从而为信息使用者提供决策的依据。日本的间接报告形式从制度设计来看是希望降低成本，事实上，实际应用状况并不理想。注册会计师在执行审计时，为了验证经营者的评价是否合理，必须对企业内部控制的有效性进行检查， 因为只有在证明内部控制制度有效的基础上才能对经营者所做的内部控制评价是否合理做出结论。为此，要深入实际操作层次检查内部控制制度的存在，然后再抽取相关资料样本，从样本中留下的痕迹来验证内部控制运行是否有效［4］。可见，日本的间接报告形式远比制度设计所预想的审计工作要多。

五、日本内部控制评价与审计规范对我国的启示

（一）日本内部控制评价与审计规范关于实施成本的考虑对我国的启示

一项制度的创新可以促使交易成本降低，一项制度的实施自身也有执行成本，只有当制度的执行成本低于制度创新所节约的交易成本时，这项制度才会被人们自觉遵守。美国的内部控制报告制度就因为高昂的执行成本而饱受各方指责。根据萨班斯法案404条款以及美国证券交易委员会颁布的《最后规则》和美国上市公司会计监督委员会的第2号审计准则，上市公司须提交与财务报告有关内部控制有效性的管理当局报告和审计师对与财务报告有关的内部控制有效性的意见。实践表明，执行萨班斯法案404条款不仅直接成本高昂，间接（机会）成本对美国社会的影响更为深远［5］。为了进一步落实萨班斯法案，美国证券交易委员会和上市公司会计监督委员会采取了多项措施，以设法降低内部控制报告制度的执行成本，增进其执行效果，比如，推迟小企业及外国大企业执行404条款的时间，针对小企业开发了《小企业COSO内部控制框架》，制定第5号审计准则取代第2号审计准则，精简审计程序、使用整合审计的工作成果等［6］。

日本在制定内部控制评价与审计规范时，对美国内部控制报告制度的运行情况进行了深入调查，没有完全照搬其做法，而是充分考虑了其执行成本的问题。主要体现在：在审计范围上，只对财务报告内部控制进行评价和审计，将内部控制缺陷由三类简化为两类，对财务报告审计和内部控制审计实施整合审计并一起编制报告，对内部控制审计主体具有强制要求，允许内部控制审计人员与监事或审计委员会等监督部门之间进行合理的合作，适当利用内部审计人员的业务，以及采用对内部控制间接发表审计意见的形式等方面。日本的这些考虑对于我国有效实施内部控制报告制度具有重要的借鉴意义。

我国企业内部控制评价与审计规范将内部控制评价内容作为一项制度创新，要求不仅对财务报告内部控制有效性进行评价，还要对非财务报告内部控制有效性进行评价；注册会计师不仅要对财务报告内部控制的有效性发表审计意见，还要对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以描述，显然，评价与审计的成本会大于日本，此外，我国内部控制评价与审计规范中对审计主体的可选择性和对整合审计的非强制性要求也可能会加大内部控制报告制度的执行成本。我国企业内部控制评价与审计规范的出发点是希望突破单纯财务报告内部控制观念的束缚，更为全面地发挥内部控制的作用和效力，增强内部控制审计报告与自评报告的协调性，但在实施中执行成本是否能被企业所承受，还有待在实践中进一步检验和研究。事实上，从成本效益原则考虑，实施整合审计并合并编制报告，可以使企业更“经济”地委托审计，因为内部控制审计与财务报告审计的目的具有一致性，都是为了合理保证财务信息的可靠性，提高企业对外公布的财务信息的质量，我国内部控制审计与财务报告审计都实施风险导向的审计模式，通常情况下，两种审计都要实施风险评估程序和控制测试③，所获取的审计证据和结论可以相互参照，财务报告审计的实质性程序发现的错报可以为内部控制审计提供线索，是对内部控制审计程序的一种有益补充。同时由相同的注册会计师承担两种审计工作，可以加深对被审单位的了解，不仅有利于节约审计成本，而且能够控制审计风险，提高两种审计的质量。从各国的审计实践来看，目前没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标［7］。鉴于此，我国应当在内部控制审计规范中强制规定由相同的审计人员对同一客户的内部控制审计与财务报告审计实施整合审计，并合并编制报告。

（二）日本内部控制评价与审计规范中信息技术的应对要素对我国的启示

当今社会，信息技术（简称IT）的广泛应用对企业的经营管理产生了深刻的影响，也给企业的内部控制带来了巨大的冲击与挑战，传统的内部控制方式在信息技术的影响下发生了根本性的变革，原有的基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的信息技术内部控制［8］。运用信息技术实施企业内部控制，同时加强对信息技术应用风险的控制，已是企业必须面对和解决的问题。早在1977年，国际内部审计师协会就了《系统可审计性与控制》的报告，旨在对信息系统与技术的控制提供一个合理的指导，这一报告被业界认为是第一个与IT业有关的内部控制框架。国际组织信息系统审计与控制协会在1996年制定了《信息与相关技术的控制目标》，为信息技术安全与控制实践以及信息技术审计提供了应用准则。2003年12月，信息系统审计与控制协会联合信息技术治理委员会共同了《服务萨班斯法案的信息技术控制目标》，帮助信息技术职业界理解管理层在内部控制有效性上的法定报告要求，同时指导信息技术业界如何帮助管理层符合这些要求［9］。日本充分考虑了信息技术环境的发展变化以及日本企业的实际情况，在内部控制框架中将信息技术的应对作为内部控制的一个基本要素，在实施准则中明确了在信息系统中使用信息技术的情况下，管理层对内部控制进行评价的具体措施，以及审计师对内部控制进行审计的具体措施。当前，尽管我国企业信息技术的应用还处于较低水平，但大中型企业尤其是上市公司的信息化建设水平相对较高且发展迅速，而这些单位正是我国内部控制规范的主要对象。目前我国适用的内部控制规范已经关注到了信息技术对内部控制的影响，《企业内部控制基本规范》第七条指出“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。”第二十二、四十一条也有涉及，同时，信息系统应用指引对企业信息系统的开发、运行与维护做出了规定，体现了对于信息技术对内部控制影响的重视，但这些规范只是强调了信息技术的一般控制和应用控制，并未形成融合信息技术的控制体系，也没有信息技术内部控制的评价和审计标准，因此，我国内部控制规范在未来的完善中应当借鉴日本的经验，增加在应用信息技术环境下内部控制的建立、评价与审计的具体标准与应用指南，在理论上也应当先期开展相关方面的研究。

（三）日本内部控制评价与审计规范中关于评价与审计范围对我国的启示

日本内部控制评价与审计规范将评价与审计范围确定为财务报告内部控制，与美国的规定是相同的，我国也应当将内部控制评价与审计的范围限定为财务报告内部控制，这不仅是因为评价与审计成本的问题，更重要的是因为评价与审计的目的所要求的［10］。从萨班斯法案要求符合批报规则的公司对外披露内部控制信息的最初动机来看，美国国会旨在通过强制实施内部控制报告制度，以打击上市公司财务舞弊，合理保证财务报告质量，也就是说，内部控制评价与审计制度出台的目的是为了进一步解决财务报告的可靠性问题，保证资本市场的秩序。财务报告是一种社会信息，是投资者等利益相关者据以决策的依据，实践表明，现有的财务报告与审计制度不能完全解决财务信息的可靠性问题，于是，人们从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设，即为了实现合理保证财务报告可靠性的目的，管理层要对财务报告内部控制的有效性进行评价，为了增强信息使用者对管理层财务报告内部控制自评报告的信任程度，注册会计师要对财务报告内部控制进行审计。因此，内部控制评价与审计是对财务报表审计的有益补充。投资者除了可获得财务报表审计报告外，还能获得内部控制审计报告，可通过内部控制审计报告的意见类型来辨别管理层内部控制信息披露的质量，了解其对财务报告信息披露的影响［11］。也就是说，只对财务报告相关的内部控制进行评价与审计就可以实现内部控制报告制度的目的，满足投资者等利益相关者的信息需求。这样既可以降低内部控制评价与审计的成本，又可以消除人们对于整体内部控制审计时过于扩大注册会计师审计责任范围以及超越注册会计师专业能力范围的担忧。

注释：

① COSO是Treadway委员会的发起组织委员会(Committee of Sponsoring Organizations)的英文简称，1992年，COSO的《内部控制――整合框架》报告也称为COSO报告（1994年进行了局部修改），COSO报告是内部控制领域最为权威的文献之一，已被美国和国际及一些国家审 计准则制定机构、银行监管机构所采用。

② 日本财务报告内部控制评价与审计准则规定：因审计范围的约束，未能实施重要的审计手续而不能取得对内部控制报告表明意见的合理的基础时，审计人员不得表明意见。在这种情况下，必须记载不能表明对内部控制报告的意见的内容及理由，本文将这种情况称为无法表示意见。

③ 根据我国审计准则的规定，在财务报表审计中，控制测试并非一定要实施，当注册会计师在评估认定层次重大错报风险时，预期控制的运行是有效的，或仅实施实质性程序并不能提供认定层次充分、适当的审计证据时需要实施控制测试。

参考文献：

［1］ 日本企业会计审议会.日本内部控制评价与审计准则［M］．李玉环，译.大连：东北财经大学出版社，2007：2，48，30.

［2］ 于蒙.企业内部控制规范广泛征求意见［EB/OL］．［2007-03-09］．中国财经报网站： 省略/web/ckb/2007-03/09/content_337562.htm.

［3］ 企业内部控制标准委员会秘书处.企业内部控制基本规范会暨首届企业内部控制高层论坛专辑［C］．北京：中国财***经济出版社，2008：63,52-61.

［4］ 张影.日本内部控制审计及其对中国的启示［J］．上海立信会计学院学报，2010（4）：

［5］ 黄京菁.美国 SOA404条款执行成本引发争议的评述［J］．会计研究，2005（9）：86-89.

［6］ 孟焰，张***.萨班斯法案 404 条款执行效果及借鉴［J］．审计研究，2010（3）：96-100.

［7］ 谢晓燕，张龙平，李晓红.我国上市公司整合审计研究［J］．会计研究，2009（9）：88-95.

［8］ 章铁生.信息技术条件下的内部控制规范：国际实践与启示［J］．会计研究，2007（7）： 29-35.

年度内部审计报告例5

(一)验证业务公告第2号的实施美国注册会计师协会在验证业务公告第2号(验证业务准则公告第6号对其进行了修订)《对企业财务报告的内部控制做出报告》中为检查和报告管理层的书面认定提供了指导，这里的书面认定是指关于企业财务报表的内部控制的有效性。管理层可以对特定内部控制的运行效果进行测试，并将测试结果提供给从业人员(注册会计师)。如果从业人员可以考虑这些测试的结果，意***在进行业务计划时将其考虑在内，那么其应当确认管理测试的结果。为了让从业人员对管理层的认定进行检查和报告，必须有合理的标准，这样才能依据标准对认定进行检查。验证业务公告第2号指出：由普华永道会计公司所著、COSO发表的报告《内部控制――整体框架》中为内部控制的有效性提供了合理的标准。这份报告既为内部控制提供了整体指南，又包括了设计、评估和监督内部控制体系的实施指南。

(二)萨班斯法案的近十年来美国公司发生了一系列财务丑闻，美国证监会(SEC)公告正式实施萨班斯法案。该法案的103条款、302条款、400款与906条款的相关内容标志着上市公司的内部控制信息开始纳入强制性信息披露范围，并赋予严厉的法律责任，同时也首次从强制性监管角度提出对内部控制的有效性进行审计。其中，第404条款要求上市公司外部审计师就管理层对财务报告相关内部控制的声明提供审计。萨班斯法案实施已经五年，五年来关于该法案，尤其是其中第404条款的争论未曾中断。主要有两种意见：一种意见认为，萨班斯法案的第404条款一方面对于改善公司治理、防范风险、保护社会公众利益的积极性产生了积极作用；另一种意见认为，其执行成本和效率的矛盾、监管力度和市场平衡的矛盾所导致的实施中的困难也是现实存在的。***、企业界及会计职业团体的意见如表1所示。

(三)其他法规的制定　为了更好地实施404条款，2004年3月，美国上市公司会计监管委员会(PCAOB)制定了审计准则第2号《与财务报告审计协同进行的财务报告内部控制审计》(AS2)。2006年，SEE相继批准了AS2、《小企业COSO内部控制框架》、《管理层内部控制评估概念公告》、《管理层内部控制评估解释性指南(征求意见稿)》，这些规范的颁布对注册会计师在针对财务报表审计的同时如何开展财务报告内部控制审计提出明确要求。针对AS2实施中遇到的问题，2007年6月SEE批准了PCAOB审计准则第5号《与财务报告审计相结合的内部控制审计》(以下简称AS5)。该项新准则将取代PCAOB审计准则第2号，其主要变化包括：强调应按照风险导向原则采用从上至下的方法，将审计重点放在最重要的内部控制事件上；删除关于审计师应对管理层内部控制评估报告的有效性发表意见的要求；审计师可以考虑使用其他人员的工作结果与以往年份的测试结果；修订了重大缺陷和实质性漏洞的定义与指标；调整对小公司的审计标准，要求审计师在计划及执行内部控制审计时，应评估公司的规模及其复杂性。

二、日本内部控制审计发展历程

(一)内部控制相关法规的2004年3月开始的会计决算，日本将公司管理层对有价证券记载内容的适当性说明作为任意制度而采用，要求管理层对财务报告内部控制系统是否能有效发挥作用进行确认。但2006年的《金融商品交易法》，以上市公司为对象，将管理层对财务报告内部控制进行评价，并由注册会计师对其进行审计作为义务予以规定(内部控制报告制度)。日本企业会计审议会2007年2月15日审议了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》，要求适用于自2008年4月1日以后开始的会计年度财务报告内部控制的评价与审计。

(二)相关法规的构建关系及目的意见书中所公布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》，是为了配合《金融商品交易法》规定的内部控制报告制度的实施而制定的。意见书中所列示的准则由“内部控制的基本框架”、“财务报告内部控制的评价与报告”和“财务报告内部控制的审计”三部分内容组成。“内部控制的基本框架”规定了对管理层拥有构建和运行职能的内部控制的定义、概念框架，“财务报告内部控制的评价与报告”和“财务报告内部控制的审计”则表明了管理层对财务报告内部控制有效性进行评价和注册会计师进行审计的思路。上述准则中明确规定了内部控制审计的目的：对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则，在所有要点上是否适当表明内部控制有效性的评价结论，将基于审计人员自身取得审计证据进行判断的结果作为意见，予以表明。

三、国外内部控制审计发展对我国的启示

(一)我国内部控制审计发展情况2002年2月，中国注册会计师协会《内部控制审核指导意见》，对注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见制定规范，从而正式确立了我国的内部控制审计制度。2006年月15日，***、***、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会，许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障，该委员会的组建被认为是“中国版萨班斯法案”出台的前兆。我国***会计司2000年开始调查研究。研究制定了一系列控制规范，目前包括《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。此举意味着对财务呈报内部控制有效性进行审计也将成为一种趋势，而制定相关的审计准则将有助于公司内部和审计人员关注财务呈报内部控制，提高风险意识，防止或及时发现导致财务报表错报的重大控制缺陷和实质性漏洞，保证财务报告的编报质量，为投资者提高更可靠、更透明的财务信息。

年度内部审计报告例6

一、相关背景和制度介绍

21世纪以来，美国的安然、安达信、世通等多家知名的企业、事务所不断被曝出企业存在有严重的财务舞弊问题，这些财务问题与企业自身内部控制机制失效密切相关；我国中航油、银广夏、万福生科等企业也频频曝出内部控制存在严重的漏洞，进而也对财务报表产生了重大的负面影响。可以看出，由于内部控制机制的不健全，或者内部控制制度只是流于形式而非真正地起到控制和预防的作用，导致大量财务报告欺诈案例是由内部控制的失效引起的，严重影响了企业财务报表的公允表达。

2008年，***、审计署、证监会、银监会等联合了《企业内部控制基本规范》，对本公司的内部控制有效性进行自我评价成为了沪深两市上市公司的基本要求，同时要求他们公开披露企业年度的内部控制自我评价报告；在财报审计业务进行的同时，需聘请具有专业资质的会计师事务所来进行企业内部控制有效性的审计活动。2014年，***联合证监会了《公开发行证券的公司信息披露编报规则第21号――年度内部控制评价报告的一般规定》，明确了内部控制评价报告构成要素，需要披露的主要内容及相关要求。

企业内控审计制度的建立和执行，使得企业的内部控制逐渐得到完善，内部控制能够在一定程度上提前对企业的舞弊和重大错报起到遏制作用。财务报告重大错报和舞弊的发生要求审计工作能够发现问题的源头，在错报和舞弊发生之前就被遏制，使企业的损失降到最低，这就是目前企业界推崇的内部控制审计和财务报表审计结合所能达到的最高目标。

二、相关研究情况

目前，国内外学者对单一审计意见影响因素的研究较为广泛和深入，但针对于内控审计意见和财报审计意见之间的对应关系，大部分研究仅从实证研究角度证明了二者具有一定程度的相关性，并从规范研究角度研究了二者之间关系的理论基础。然而，对于两者间意见类型有时存在明显差异的情况，一般仅从两者理论基础的相同点与不同点来探讨，说明两者有存在明显差异的理论可能，但是并未探究这一差异在实务中存在的现实影响因素和原因，缺少结合案例对于出现这一差异的影响因素进行具体分析的研究。根据《审计指引》的规定，如果对内部控制发表否定意见，注册会计师应当确定该意见对财务报表审计意见的影响，并在内部控制审计报告中予以说明。但是通过查看否定意见内部控制审计报告发现，然而个别公司并未在内部控制审计报告中予以说明。

三、否定内控审计意见下出现的标准财报审计意见

我国的上市公司财务报表审计工作已经有了几十年的历史，而内部控制审计报告则是在近几年来才规范起来。如果一家企业在某个年度收到了标准的无保留财务报表审计意见和否定的内部控制审计意见，一般认为虽然审计机构认为内部控制存在重大问题，但一定会有修改意见和整改措施，以保证财务报表是有效的。基于内控审计的基础是有效性，而财报审计的基础是公允性，二者在理论基础层面有交叉也有不同，因此对于二者意见类型的明显不一致，应当辩证的分析并结合实际情况。

在2015年，沪深两市上市公司中否定内控审计意见与标准无保留财报审计意见同时出现的情况如下：

在沪深两市中，2015年年报为否定的内部控制审计意见下出现标准无保留财报审计意见的公司有以上五家，其余有很多非标内控审计意见下的带强调事项段无保留意见的财报审计意见，因为典型性的原因暂不讨论。

四、具体审计风险

（一）财务报表审计意见的风险大小

在非无保留意见的内部控制审计报告下，企业的内部控制存在重大缺陷，控制风险很大，在这一情况下出具标准财务报表审计报告，其审计风险是相对较大的。

由于审计风险=重大错报风险*检查风险，在模型下，内部控制存在的重大缺陷很可能直接影响重大错报风险的大小。因此，我们需要对这一特殊情况下的审计风险大小加以重点关注，评估可能出现的审计风险，特别是由于内部控制重大缺陷所带来的财务报表中存在潜在的未被发现的重大错报的可能性。

（二）故意以较差内控审计意见掩盖财务报表中的问题的可能性

在这一情况下，有很大的以较差内部控制意见来掩盖财务报表中存在的问题的可能性。一家企业确实存在重大问题，但是在治理层与审计师之间存在沟通，审计师出于其他利益的考虑，这一情况的出现往往伴随着审计意见的购买行为，审计师作为理性人，有时会认为如果认同购买行为个人收益很大，但是完全出具无保留意见的风险也很大，为了降低风险仅出具一份较差的内部控制审计意见，并同时出具标准的财务报表审计报告，在这一情况下，王慧莉（2015）认为其对股价的影响远远小于出具非无保留审计意见的财务报表审计报告所带来的影响。

这样，审计师可以表示，自己确实关注到了企业存在的一些问题，并且出具了合理的建议，监管层看到确实有一个较差的审计意见，很有可能放松对这一公司的监管力度，认为其信赖过度的可能性非常小，从而让该情况逃避管理层的监管，很有可能原本应当同时出具的是非无保留意见的财务报表审计报告和非无保留的内部控制审计报告。

（三）以XX公司为例，分析标准财务报表审计报告和非无保留意见的内部控制审计报告情况下的审计风险

XX公司是一家以房地产为主营业务的上市公司，在2015年被会计师事务所出具了无保留意见的财务报表审计报告和否定意见的内部控制审计报告。在描述内部控制缺陷是有这样几条：

首先是公司未能定期执行资产减值测试，或在资产减值评估过程中未发现已表明该资产发生减值的客观证据。但是又提到在编制财务报表时已经做了恰当调整，将财务报表问题转移到内部控制上来，从而实现了避免了财务报表的问题表现。

第二是部分子公司的收入确认存在跨期或者未核对原始凭证的情况，对于这一情况，会计师事务所在调整报表后仅仅将其列明为内部控制问题，基于收入舞弊的基本假设，会计师很难保证在发现部分子公司收入确认的问题后，已经解决了所有子公司的收入确认问题，反而存在更大收入确认问题的可能性，财务报表的审计风险程度很高。

第三是公司未能在执行内部控制监督过程中有效的执行与识别内部控制缺陷并评价缺陷重要性的相关程序，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。上述重大缺陷影响了财务报告及相关信息的真实完整，且未能整改。这一问题对于财务报表审计意见是致命的，然而会计师事务所仅仅将其放在内部控制审计报告的最后，明显是将问题弱化影响，以保持股价的相对稳定。

因此，我们有较为充分的理由怀疑，在XX公司的2015年度审计报告中存在重大的可能未被察觉或者公开的审计风险，事务所有很大的可能性通过出具非无保留审计意见的内部控制审计报告，来弱化和掩盖财务报表上所存在的可能的重大错报。

以上分析仅从学术角度进行推测，实际情况非常复杂，不能以简单的逻辑推测来说明审计中存在的问题，这里的目的是为了提醒注册会计师加大对这一情况出现时伴随的审计风险的关注。

五、结论和不足之处

在内部控制审计报告意见类型与财务报表审计报告意见类型存在重大不一致的问题上，我们需要更多的加以关注。原本认为企业如果出现了一个非无保留审计意见，其本身审计风险已经得到了有效“释放”，但是仍然存在文中提到的情况，即审计师可能在一定程度上通过另一审计意见的补偿，在一定程度上降低了对企业经营状况恶劣程度的表达，影响了上市公司信息的有效披露。

标准财务报表审计报告和非无保留意见的内部控制审计报告情况下的审计风险主要来源于可能存在的财务报表问题的“弱化”表达。同时需要警惕在这一情况下可能出现的审计意见购买行为。

本文的不足之处在于未能在统计数据的基础上对整个市场的情况做出分析，得出有更高说服力的结论，同时难以对分析中认为可能出现的审计意见购买行为做进一步的案例，将在未来继续完善论文体系和相关内容。（作者单位：上海立信会计金融学院）

参考文献：

[1] 希格玛会计师事务所.亚太实业2015年度内部控制审计报告[R].西安.

[2] 希格玛会计师事务所.亚太实业2015年度财务报表审计报告[R].西安.

[3] 王慧莉.内控报告类型和财务报表审计报告类型不一致时挽回投资者信心的策略研究[J].财税研究，2015[30].

年度内部审计报告例7

二、研究背景

（1）我国会计信息质量要求

财务会计质量要求包括：相关性、可靠性、可理解性、谨慎性、实质重于形式、重要性、可比性、和及时性。站在财务人员的角度看，一方面，在会计实务中，由于在月末，季末、年末时通常要及时出报表，财务人员会在截止日前一段时间，停止会计处理，进行报表编制。另一方面，由于收入等会计要素在不同的行业确认具有差别。

（2）股票市场上市公司股票价格波动剧烈

股票价格分为市场价格和理论价格，实际价格和理论价格通常并不相等，但理论价格可以作为实际价格的预测标准。股票市场也遵守商品价值规律，也就是实际价格围绕理论价格上下波动。但是个别上市公司股票实际价格却大幅偏离理论价格。股票价格波动受到财务信息和非财务信息的影响。一般，非财务信息对股票的实际价格影响较大，财务信息对股票的理论价格具有一定影响。

（3）当前经济形势下对季度会计资料的要求

当今世界是信息化的大世界，对信息要求越来越高，信息的时效性要求我们能够及时收集有效性信息，做出对自身有利的决策。而上市公司的财务会计以季度向外报表，由于存在公司大股东与管理层和小股东的利益矛盾、上市公司财务信息披露制度不健全以及部分公司管理层道德风险，没有经过第三方对季度财务报表的合理保证，使除管理层以外的信息使用者来说处于不利地位。

三、季度报告披露有限保证的可行性分析

（1）当前关于中期报表的有限保证情况

我国现行的中期（半年度）财务审计报告制度为自愿审计报告制度，出于成本因素的考虑，并没有和美国一样进行强制审计程序。自愿审计说明企业的财务信息可靠，才会做自愿审计，这样无论财务报告是否公允，都会使信息使用者认为企业的财务信息可靠公允，从而影响投资者的投资意向。

（2）当前财务报告存在的问题

无论是年报还是季报，上市公司管理层总是尽可能做出有利于维护公司形象的报告，可能会做出歪曲交易和事项实质的管理层认定，或是片面的，有所保留的向外披露信息，甚至违背证监会相关法规，采用隐蔽方式，提前向外部透露消息，构成内幕交易。这些存在的问题大致可以划分为三大类。

会计信息不真实，也就是歪曲的财务信息，财务报告主要是对过去形成的交易事项做出报告，但有时公司为了增加盈利，或避免被证券交易所劝退等因素，会做出虚假的财务信息，对收入的提前或推迟，对成本费用进行隐瞒，更有甚者，如银广夏，通过高估年产量，甚至伪造销售合同的方式，进行欺诈。

会计信息披露要求当期发生的业务和事项，都要向信息使用者进行披露，而实际业务中常常会出现会计信息披露不充分。具体表现在以下六个方面：对投资去向和利润构成的财务信息披露不够充分；企业偿债能力的披露不够充分；当存在大量应收款情况下，没有对应收帐款的进行账龄分析或其他的分析，或者对企业的对外担保情况、或有负债的具体内容披露不够充分；对关联企业之间的交易信息披露不够充分；对一些重要信息的披露不够充分；借保护商业秘密为由，隐瞒对企业不利的财务信息尤其是涉嫌违规行为的披露。①

会计信息不公平，通常是与管理层相关的利益方，能够提前获得相关的信息，在公司重大重组，或利润大幅变动时提前采取措施，增加了故事的投机性，不利于上市公司的健康发展。在股票市场上，一些大股东借助其信息优势，高抛低吸，大肆套现，损害了中小投资者的合法利益。

四、季度报表提供审核的策略

季度财务报告审核程序应当同年度财务报告审计程序具有一致性。其审计目标应当具有一致性。同时利用企业内部控制的成果，一方面提高审计工作的效率，同时也能减少审计费用，为被审计单位节约成本。季度审计程序与年度审计程序最大区别在于它能够比较准确的解释企业业绩的季度变动。

（1）季度报表审核的总体要求

季度财务报告同年度财务报告的审计所遵守的原则一样，都应当遵守成本效益原则，降低审计成本。同时季度财务报告同年度财务报告的审计的差别在于，年度财务报告应当提供合理保证，而季度财务报告由于其审核业务的时间以及考虑到年度财务报告工作，应当提供有限保证。这一点同当前的半年度财务报告审阅一致。②

（2）季度报表审核参考的内部控制成果

上市公司已经建立前比较完善的内部控制体系，且从2013年开始出具内部控制审计报告。企业的内部控制可以提高企业财务数据的可靠性，但也有局限性。决策时，人为判断可能出现错误和由于人为失误而造成内部控制的失效；内部控制可能由于两个或两个以上人员进行串通或管理层凌驾于内部控制之上，造成内部控制失效；中小企业人员比较少，使中小企业职责分离受到成本效益原则的限制，造成企业管理人员凌驾于内部控制之上。③

（3）季度与年度审计策略联系

注册会计师审计过程有五步骤：第一、接受业务委托，第二、计划审计工作，第三、实施风险评估程序，第四、实施控制测试和实质性程序，第五、完成审计工作并出具审计报告。其中年度财务报告审计与季度财务报告乃至半年的财务报告在前面的三个程序是可以借鉴的，这样可以减少审计工作。而控制测试主要是利用企业内部控制。从这样一个角度来看，进行季度财务报告审核，也可以减少年度审计工作的工作量。

随着证券市场的发展，季度财务报告的关注度也会越来越高，而对应的季度报告真实、公允也会备受关注，因而，季度财务报告审阅也会变得重要起来。

（作者单位：贵州财经大学）

注解：

①王丽萍，刘毅.上市公司会计信息披露[J].商，2013（11）

②方红星 金玉娜.高质量内部控制能抑制盈余管理吗？――基于自愿性内部控制鉴证报告的经验研究[J].会计研究，2011（08）

③陈汉文，张宜霞.企业内部控制的有效性及其评价方法[J].审计研究，2008（03）

参考文献：

[1]黄志忠.股权比例、大股东“掏空”策略与全流通[J].南开管理评论，2006（01）

[2]徐焱*** 刘国常.中期财务报告需要注册会计师鉴证吗？[J].财会月刊，2010（02）

年度内部审计报告例8

自2006年我国对资本市场内部控制信息披露实施管制以来，上市公司披露的内部控制鉴证报告数量猛增，但是这些报告的标题和内容却五花八门，可比性较差，削弱了信息的有用性。究其原因，主要是注册会计师对内部控制鉴证业务性质的认识存在差异。现阶段内部控制鉴证业务是定位于审核抑或审计，这是一个有必要厘清的重要问题。本文拟对此问题进行理论分析和实证研究，旨在为提高我国上市公司内部控制鉴证制度的实施效果有所帮助。

一、内部控制审核与内部控制审计辨析

根据国际审计鉴证准则委员会（IASSB）的定义，鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强责任方之外的预期使用者对鉴证对象信息信任程度的一种业务，其中鉴证对象信息是对鉴证对象按照标准进行评价和计量的结果。在鉴证业务中，内部控制审核（Examination）与内部控制审计（Audit）的区别主要表现在以下五个方面：

一是保证水平不同。内部控制审核提供的是有限保证，而内部控制审计提供的是合理保证，合理保证的保证水平要高于有限保证。

二是鉴证对象不同。在内部控制审核中，注册会计师仅就企业管理当局对特定基准日的内部控制有效性的认定（即企业内部控制自我评价报告）进行审核，并发表审核意见。在内部控制审计中，注册会计师不仅要审计管理层的报告，还要出具一份有关公司内部控制效果的单独的、***的意见。从鉴证对象看，注册会计师在内部控制审计业务中承担的责任显然要重于审核业务。

三是测试控制设计与运行有效性的程序不完全相同。内部控制审核包括询问、观察、检查、重新执行，内部控制审计。除了用到上述程序外，还必须实施穿行测试，以便为其审计意见提供充分适当的证据。美国公众公司会计监督委员会（PCAOB）的审计准则要求外部审计人员至少对每个重要交易实施一次穿行测试。穿行测试涉及从原始凭证追踪某笔交易，经企业的信息系统，直至它在企业财务报告上反映出来。而在审核业务中只是简单地了解企业内部控制，针对性不强，收集的证据的充分性和适当性要弱很多，因此无须执行穿行测试。

四是鉴证意见态度不同。内部控制审核是以消极方式发表鉴证意见，而内部控制审计是以积极方式发表鉴证意见。

五是社会影响不同。财务报告内部控制鉴证业务主要是为资本市场服务，其鉴证结果对整个社会有巨大而深远的影响。相比于内部控制审核，内部控制审计提供的保证水平较高，因而社会公众更多地依赖审计意见。内部控制审计的社会影响显然要比内部控制审核的大得多。

上述五个方面的差异，核心是保证水平不同。正是源于内部控制审计提供的保证水平高于内部控制审核提供的保证水平，才导致了注册会计师需要执行更加周密、严格的计划，收集更加充分适当的证据，以支持注册会计师以积极方式发表审计意见，同时也使得其社会影响更大，注册会计师承担的责任更重。

二、我国内部控制鉴证制度的演进―由审核到审计

2000年11月中国证监会《公开发行证券的公司信息披露编报规则》， 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告，并委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性及有效性进行评价，提出改进建议，并出具评价报告。这是我国首次确立上市公司内部控制专项审核制度。而后证监会以信息披露内容与格式的形式要求，将对内部控制鉴证扩大到了在境内申请首次公开发行股票并上市的公司以及申请发行新股的上市公司范围。2002年2月，为了规范注册会计师执行内部控制审核业务，国注册会计师协会颁布了《内部控制审核指导意见》。

2006年，沪深交易所先后出台《上市公司内部控制指引》，要求上市公司披露内部控制自我评价报告，深交所要求其所有主板上市公司的注册会计师在对公司进行年度审计时，就公司财务报告内部控制情况出具评价意见，而上交所仅要求会计师事务所出具对内部控制自我评估报告的核实评价意见。这标志着我国全面实施上市公司内部控制鉴证制度。虽然两份指引未明确说明内部控制鉴证业务的性质，但是从其规定的鉴证对象和注册会计师责任看，沪深交易所对内部控制的定位不同，上交所定位为审核，而深交所定位为审计。这表明这一时期***府监管部门对上市公司内部控制鉴证的性质尚未达成共识。

2008年6月，***等五部委联合我国最具权威性的《企业内部控制基本规范》，其中第十条要求会计师事务所对企业内部控制的有效性进行审计，出具审计报告。《基本规范》对内部控制鉴证的定位与美国SOX法案相同，这将中国的内部控制鉴证推向了保证程度最高的审计业务，中国的内部控制鉴证正式从审核转变为审计。2010年4月，***等《企业内部控制审计指引》，首次对注册会计师执行内部控制审计业务进行专门规范。至此，从制度层面上说，我国上市公司内部控制鉴证业务性质的定位已完全明确。

显然，我国内部控制鉴证经历了由审核向审计转变的发展轨迹，这种转变虽然会增加企业的成本，同时也对注册会计师的专业胜任能力提出了更高的要求，但是有助于加强公司治理，提高财务报告质量，保护投资者利益，符合企业和社会的长远利益。

三、内部控制鉴证业务性质认同度调查

如前所述，深交所对内部控制鉴证定位为审计，这与2008年颁布的《企业内部控制基本规范》一致，那么，实践中注册会计师是否均认同这一定位呢？我们以2009年度深市主板上市公司披露的内部控制鉴证报告为样本来研究这一问题。

2009年度深市共有485家上市公司，其中96家披露了注册会计师的内部控制鉴证报告。从报告标题来看，使用的报告标题有10余种之多，其中使用最广泛的是“内部控制鉴证报告”，共42份，占总数的43.75%， 其次是“内部控制审核报告”，共23份，占总数的23.96%，其余的使用“内部控制制度报告”、“内部控制审核评价意见”、“专项报告”以及“专项说明”等名称。由此可见，注册会计师对内部控制审计业务性质的认识存在分歧。值得注意的是，没有一份报告采用“审计报告”作为标题，由于审计业务在鉴证业务中要求的保证程度最高，注册会计师面临的法律风险最大，因此在专门的内部控制鉴证指引出台前，事务所很有可能出于规避风险的考量而弃用这一名称。

从报告的内容来看，96份鉴证报告可以划分成三种范式，一是审计报告，共75份，占比是78.13%，报告对被审单位内部控制的有效性以积极方式发表审计意见；二是审核报告，共5份，占比是5.21%，报告强调提供的保证水平为有限保证，其保证程度低于合理保证；三是其他鉴证业务报告，共16份，占比是16.67%，报告强调不是对内部控制专门审核，仅就管理当局提供的内部控制自我评价报告与注册会计师对该公司财务报表的审计发现在重大方面是否一致发表意见。以上统计结果说明注册会计师未一致认同将内部控制鉴证业务定位为审计，近四分之一的注册会计师将内部控制鉴证业务定位为审核或保证程度更低的其他鉴证业务。上述现象反映出深交所的《上市公司内部控制指引》没有得到全面的贯彻执行。

四、结论与建议

内部控制审计与内部控制审核在保证程度、鉴证对象、测试程序、鉴证意见态度等诸多方面存在差异。我国上市公司内部控制鉴证制度最初定位为审核，后发展为审计，制度创新的目的是最大限度的促进企业内部控制建设，提高上市公司内控信息披露的质量。在对深市主板市场上内部控制鉴证报告进行统计分析后，我们发现我国注册会计师还没有对内部控制鉴证业务的性质形成统一的认识。因此，我国有关的***府监管机构和行业协会还需要针对内部控制审计业务加大对注册会计师的宣传和培训，加强对内部控制审计业务的监管，促使内部控制审计业务质量不断提高。

参考文献:

①蔡吉普. 我国上市公司内部控制信息披露的实证研究[J]．审计与经济研究，2005（3）:85―88

②方红星. 强制披露规则下的内部控制信息披露－基于沪市上市公司2006年年报的实证研究[J]．财经问题研究，2007（12）:58―64

③林斌，饶静．上市公司为什么自愿披露内部控制鉴证报告？――基于信号传递理论的实证研究[J]．会计研究，2009（2）:45―52

④[美]迈克尔 拉莫斯著，李海风译.如何遵循SOX404条款―评估内部控制的效果[M]，第1版．北京：中国时代经济出版社，2007:3―14

年度内部审计报告例9

一、审计委员会在公司治理中的定位与职责

（一）审计委员会的定位

审计委员会制度是英美等国家公司制企业的一项重要的内部治理机制。其建立的初衷是在董事会建立一个***、专门的治理力量以强化外部审计师的***性，从而提高公司财务报告信息的真实性和可靠性。审计委员会在西方实行多年，发挥了积极的功效。我国为改善公司治理效率而引进审计委员会制度，但是其在中国的有效性还有待检验。

（二）审计委员会的职责

审计委员会源于1338年的麦克森·罗宾斯（Mckesson&Robbi-

ns）案。该项舞弊案后，证券交易理事会于1939年系列文告建议成立专门委员会，并建议此委员会由非执行董事组成，负责选任外部审计师以及参与洽谈审计计划，期望能增强会计师的***性。

1987年，美国瑞德威委员会(Treadway Committee )认为，审计委员会应该是公司财务报告过程和公司内部控制信息及时、有效的监管者。瑞德威报告将审计委员会作为公司治理的有效手段并向审计委员会提出了一系列目标建议。该报告指出：审计委员会的主要职责是监管财务报告，而且该职责优先于其他职责。

1988年，加拿大特许会计师协会（CICA）出台了麦克唐纳报告（Macdonald Report），建议所有上市公司建立主要由外部董事组成的审计委员会，复核中期和年度财务报告，并且要求审计委员会每年向股东大会报告其职责履行情况。

1992年，英国凯德伯瑞报告(Cadbury Report)最佳实务指南，要求公司建立一个至少由三个非执行董事组成的审计委员会（大部分应***于公司），委员会应有书面的章程。委员会的章程应明确说明委员会的权利和责任。委员会每年至少需要召开两次会议。在公司的年度报告中应披露委员会的成员，并且委员会***应出席年度股东大会并回答问题。

1993年，公共监督委员会( Public Oversight Board)发表了“公众利益：会计职业界面对的问题”的特别报告，认为在许多情况下，审计委员会不能适当地完成他们的职责，并且在许多情况下他们也不能理解他们的职责。建议审计委员会应明确其职责的范围。

1994年COSO(Committee of Sponsoring Organizations)建议审计委员会应加强评价和控制的职责。

1999年，蓝带委员会(Blue Ribbon committee)发表了“关于提升公司审计委员会有效性的建议和报告”，最后该委员会提出了10个方面的建议。该建议的核心是如何提高审计委员会的***性，并对***性提出了明确的定义。

2002年，美国总统布什签署了《萨班斯—奥克斯莱法案》。上市公司董事会下设的审计委员会作用极为突出，将成为确保审计***性的一个重要环节。审计委员会还将在财务报告过程中承担关键角色，注册会计师的相关审计报告要向审计委员会报告。

随着经济环境的改变以及公司治理实务的发展，审计委员会的职责从关注注册会计师的***性拓展到对公司整体财务呈报体系（财务、会计、内部审计等）的全面治理，并涉及风险管理、管理当局对法律法规的遵循情况、道德问题、利益冲突问题及对违法舞弊行为的调查等多个方面。从专家的观点得出审计委员会的职责主要包括：监管内部控制结构和财务报告过程；确保内部审计师和外部审计师的***性；监督企业法律、法规的遵循情况；参与阻止、发现舞弊活动并促进公司行为法规的实行；帮助企业进行风险管理并不断改进经营和商业环境。

二、内部审计在公司治理中的定位与职责

（一）内部审计的定位

IIA的观点是：良好的治理是由有效的公司治理系统的四个部分协同实现的：即董事会、管理层、内部审计师、外部审计师。虽然它对内部审计的定位理念相当超前，但是把内部审计作为公司治理结构的组成部分，可以看出对内部审计寄予的重视和厚望。在我国，内部审计的组织与工作受到公司管理层的领导，内部审计职能是为经营管理服务，因此，内部审计是管理层对内部经营管理的一项监督、评价机制，从此种意义来讲，可以将其作为公司治理，特别是公司内部治理的有效组成部分。

（二）内部审计的职责

IIA规定的内部审计的主要职责包括：(1)对公司运营与公司的项目进行评价，以确保与公司的价值保持一致；(2)开展有益于增加公司价值的咨询业务。也就是说内部审计应该以公司的价值链为评价对象，如风险管理评估、内部控制评价等，为增加公司价值做出贡献。

三、审计委员会与内部审计的关系

1、复核并核准内部审计章程。内部审计章程提供了内审部门功能性和组织性的架构。章程除了需经管理层批准外，审计委员会还应代表董事会对章程进行复核与评价。审计委员会在复核章程时，应特别注意内部审计部门在公司架构内的组织地位。组织地位的设计应确保能对管理当局的活动实施有效的***评价；同时，在组织架构上还应注意其全面性，不仅继续关注对公司的财务审计，而且重点监控企业风险管理和内部控制。

年度内部审计报告例10

一、内部控制审计对年报审计意见的影响反映出的问题

1.实施范围不全面，缺乏强制性处罚措施。《企业内部控制配套指引》中明确指出了执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价并披露年度自我评价报告，要求企业需聘请具有资格的会计师事务所对其财务报表内部控制的有效性进行审计，发表审计意。2011年上交所938家上市公司中披露自我评估报告的公司中仅不到一半，2012年上交所954家上市公司中未披露自我评估报告的公司中也有255家，这充分表明了其施范围不全面。虽然已经对内部控制审计的披露进行了强制性规定，但是相关的惩罚措施却没有进行明确的规定，这显然不利于内部控制审计业务的有效执行。

2.已披露的内部控制缺陷集中在与财务报告高度集中的领域。通过深入了解2012年度被出具非标准意见的上市公司的内部控制审计报告，发现按照设计层面与运行层面进行分类，设计类缺陷占总数的58%，运行类缺陷占总数的42%。与设计有效性相关的重大缺陷占较大比例。会计师事务所可能受其内控审计经验的限制以及内控审计范围的局限。企业对于非财务报告的内部控制重大缺陷的披露笼统、含糊，未按要求披露缺陷的性质及对实现相关控制目标的影响程度。

3.非标准无保留意见总体比重减少，但保留意见等比重增加。2012年年报审计的非标准审计意见比2011年少了1.67%，从整体来说，财务报告的审计质量有所提高。这必然与内控审计发展有关联，越来越多的公司注重其内部控制机制或流程的合理性，通过加强内部控制获得标准审计意见的内控审计报告。内部控制机制发挥了有效性必然会提高其公司报表中财务信息的正确性。会计审计事务所给出审计意见的同时承担着相应的审计风险。为了尽量规避审计风险，会计师事务才会出具保留意见和无法表示意见。由此可见，有两种可能性，一是我国上市公司中内部控制机制存在缺陷，注册会计师本着客观性、准确性的原则就上市公司实际情况给出公正的审计意见；二是因为注册会计师本应该作出判断而未予适当判断，由于自身审计业务经验不足，无法出具审计意见。

二、进一步完善内部控制审计的建议

1.建立健全内部控制审计相关法律法规。《指引》与《基本规范》虽然对内部控制审计的披露进行了强制性规定，但是相关的惩罚措施却没有进行明确规定，这显然不利于内部控制审计业务的有效执行，《指引》与《基本规范》虽然对内部控制审计的披露进行了强制性规定，但是相关的惩罚措施却没有进行明确规定，这显然不利于内部控制审计的有效执行，强制性披露内部控制审计报告也无法实现。监管部门应该对不按规定的公司进行惩罚，追究其相关责任人，提其高违规成本。应建立健全相关的法律法规，使其树立法律意识，从意识的层面出发，最终做到内控审计业务的有效执行。

2.完善上市公司内部控制体系，加强内部控制信息披露的监管力度。推进我国内部控制审计的发展就必须要强化上市公司建立健全内部控制体系的责任。监管要求建立和完善内部控制是为了保持企业的长远健康发展，提高管理水平，企业管理层要转变管理观念，学习理念先进的企业内部控制建设的经验，认识到建立健全内部控制是有利于企业发展的，主动为企业发展建立健全内部控制体系转变被动监管的局面。企业有责任和义务做好财务报告内部控制自我评价工作，企业管理层需要对内部控制的有效性进行自我评价，并出具报告。详细披露内部控制缺陷，减少内部控制审计实施过程中的工作量，提高审计工作效率。

3.加强内部控制审计提高年报信息质量。内部控制审计是内部控制的再控制，是影响年报审计意见的重要因素。公司经过内部控制审计之后，其财务信息更具有可靠性，被出具标准无保留意见类型的公司往往具有有效的内部控制机制、健康的财务状况、完善的公司治理、良好的持续经营能力等。财务信息的可靠性对于会计师事务所出具的信息质量有重要的影响，同时对于审计意见有影响。企业的形象也会随着建立。企业应该积极建立合理的内部控制审计程序，组织相关执业人员的培训。从执业人员的角度来讲，执业人员应该自觉学习财务报告内部控制审计的理论相关内容，积极参加***等权威部门组织的财务报告内部控制审计相关的解释和培训，加强在实际操作中的应用能力。

三、结论

以上内容是对内部控制审计对审计意见的影响研究分析。内部控制审计与年报审计是联系紧密又相互区别的两项业务，内部控制审计是对过程进行鉴证，而年报审计是对结果进行鉴证。要强化上市公司内部控制体系建立健全的。公司对企业内部控制的有效性进行自我评价并聘请注册会计师对其财务报告内部控制的有效性进行评估，要加强控制机制的监管力度，从而最终提高年报审计质量，以提升企业价值。

参考文献：

[1]潘芹.内部控制审计对审计意见的影响研究[J].财会月刊，2011，9：80-82.

[2]潘芹，刘永君.关于整合进行财务报表审计与内部控制审计的思考[J].财会月刊，2011，3（上）：40.

转载请注明出处学文网 » 年度内部审计报告模板