中国神华案例对企业内部控制审计的启示

摘要：近年来，国内外频频曝出会计信息丑闻，给资本市场造成了严重损失，打击了投资者对资本市场的信心，社会对财务信息失真问题给予了极大的关注,内部控制的建设刻不容缓。我国正在引导企业建立以财务报告内部控制为核心的内部控制机制，此举亦意味着对内部控制有效性进行审计也将成为一种趋势。

本文基于对国内外内部控制审计相关文献及指引的理解，对内部控制审计进行理论论证，并通过问卷调查和案例分析的方法来验证理论研究结果。全文首先从内部控制审计概念以及相关法律法规介绍内部控制审计的基础理论知识，并阐述我国内部控制审计的实施和披露现状。其次通过向相关从业者发放调查问卷进行调查研究，重点从企业自身、会计师事务所和环境三个方面调查企业内部控制审计现状，对取得的数据进行描述性统计分析得出结论性意见。又借助中国神华股份有限公司的内部控制审计案例，介绍并分析企业内部控制审计的目标及实施流程，论证中国神华建立了以风险管理为导向的内部控制体系启示企业应该怎样更好地执行内部控制审计。最后通过上述研究分析并结合我国的具体国情，提出政府及法律环境、企业自身和会计师事务所三个方面完善企业内部控制审计的相关建议。

关键词 内控审计，问卷调查，案例分析

内部控制对于现代企业的发展举足轻重。企业内部控制在企业的发展中具有其重要的地位，它能够在一定程度上防止或发现财务舞弊、规避风险，能够保证企业经营的顺利发展，因此无论对于利益相关者还是企业自身，可靠的内部控制信息都是很重要的。同时，由于内部控制本身固有的局限性，企业内部控制审计对于利益相关者和企业而言，就尤为重要，它可以为企业内部控制缺陷的发现、内部控制的完善提供有力的建议，能够为利益相关者的决策提供有效的参考。

内部控制审计业务初步开展困难重重。我国将于2009年7月1日开始实施全面的内部控制审计，然而，我国这项审计业务的审计对象有其特殊性基础薄弱，相关机制不完善，人员配备不合理等诸多问题，都会给我国内部控制审计业务的开展带来诸多问题和障碍，甚至造成重大的损失和浪费。所谓，“知己知彼，百战不殆”，开展业务以前摸透审计对象的特点，结合我国企业内部控制的特殊情况，一定程度上可以缓解我国内部控制全面审计的困难，提高审计效率。

一、企业内部控制审计的理论、规范及现状

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。根据我国《企业内部控制审计指引》，所谓企业内部控制审计，就是指会计师事务所接受委托，对待定基准日内部控制设计与运行的有效性进行审计。

（一）企业内部控制审计理论的提出

一般来看，内部控制审计的提出最早要算2002年美国《萨班斯——奥克斯利法案》第404条款中提及的“要求上市公司管理当局评估财务报告内部控制的有效性”有关内容。此后美国上市公司会计监督委员会于2004年4月9日正式发布了题为“连同财务报表审计的财务报告内部控制审计”的第2号审计准则，要求被证券交易法所认定为首次递交的公司，在会计年度结束于2004年12月31日或之后的就要遵循《萨班斯——奥克斯利法案》第404条款规定，对外报告和披露内部控制审计情况；其他公司直至会计年度结束于2005年12月31日或之后的才遵循内部控制报告和披露的规定。

1996年财政部发布《独立审计具体准则第9号——内部控制和审计风险》首次提出内部控制审计概念。2002美国出台的《萨班斯——奥克斯利法案》为我国重视和加强企业内部控制，以及发展内部控制审计事业提供了参照。2006年2月我国《注册会计师审计准则》中，明确提出注册会计师要按照风险导向审计理念，提高对企业内部控制的重视，深入了解被审计单位内部控制及严格按照要求执行控制测试，更加强调控制测试与实质性测试的综合运用，这为后来的内部控制审计发展埋下伏笔。2010年4月，随着我国《企业内部控制审计指引》的制定，内部控制审计工作正式摆上工作日程，从而完成了从认识、吸收到付诸实践的过程。今后，随着内部控制审计事业的日益发展，内部控制审计必将不断走向成熟和完善。

（二）企业内部控制审计相关法律规范的提出

我国最早的关于内部控制的政策是1996年12月财政部颁布的《独立审计具体准则第9号——内部控制和审计风险》，该项准则界定内部控制包括控制环境、会计系统和控制程序。2001年1月，证监会发布的《证券公司内部控制指引》指出内部控制包括环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。2001年6月财政部发却的《内部会计控制规范——基本规范(试行)》和《内部控制规范——货币资金(试行)》中的内部控制主要以单位内部会计控制为主，同时兼顾会计师事务所相关的控制。2008年7月1日，为了指导注册会计师执行企业内部控制（以下简称内部控制）鉴证业务，明确工作要求，保证执业质量，根据国家有关法律法规的要求，由中国注册会计师协会制定并颁布了《企业内部控制鉴证指引（征求意见稿）》。紧接着，2010年4月26日，五部委（财政部会同证监会、审计署、国资委、银监会、保监会）联合发布的《企业内部控制配套指引》（即：《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）给上市公司实施企业内控下达了“时间表”。“自2011年1月1日起首先在境内外同时上市的公司实施；自2012年1月1日起扩大到上交所、深交所主板上市的公司实施；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大型企业提前执行。”2001年发布的《内部控制审核指导意见》正式废止。

《内部控制审计指引》（以下简称《指引》）等三大配套指引作为最新的规范，对于内部控制和内部控制审计做了最为详细的规定。以下是从审计技术方面对其进行的归纳和总结：

1、强调风险导向审计思路，重视风险评估的基础作用

原有的《内部控制审核指导意见》更多是一些具体审计程序方面的规定，没有从审计方法论的高度进行规范。《指引》特别强调了风险导向审计思想，突出了风险评估的基础作用和对审计资源配置的导向作用。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多，具体体现为以下几点：首先，风险评估结果是确定重要账户（列报）和相关认定的依据。其次，风险评估是选择拟测试的控制的依据。再者，风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。第四，风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。最后，当被审计单位具有多个经营场所或业务单元时，风险评估结果还是确定测试范围的依据。

2、强调“自上而下”的审计思路

企业内部控制包括整体和业务流程两个层面。业务流程层面的控制为应对交易和账户余额认定的重大错报风险而设计，通常在业务流程内的交易或账户余额层面上运行，其作用通常能够对应到具体某类交易和账户余额的具体认定。企业整体层面的控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用比较广泛，通常不局限于某个具体认定。企业整体层面控制包括：（1）与控制环境相关的控制；（2）针对管理层凌驾于控制之上的风险而设计的控制；（3）企业的风险评估过程；（4）集中化的处理和控制，包括共享的服务中心；（5）监控经营成果的控制；（6）监督其他控制的控制，包括内部审计职能、审计委员会的活动及内部控制自我评价；（7）对期末财务报告流程的控制；（8）针对重大经营控制及风险管理实务的政策。业务流程层面的控制主要针对交易的生成、记录、处理和报告等环节，内部控制要素中的“控制活动”要素中，除业绩评价控制外的绝大部分可归于业务流程层面的控制。

原有的《内部控制审核指导意见》没有区别这两个层面的内部控制。《指引》将这两个层面的内部控制予以区分，要求注册会计师采取“自上而下”的审计思路，以提高审计效果和效率。通俗地讲，这里的“上”为企业整体层面的控制，“下”为业务流程层面的控制。“自上而下”按照下列工作步骤展开：（1）识别、了解和评价企业整体层面控制的设计有效性；（2）从财务报表层次识别重大账户；（3）识别与每个重大账户相关的认定；（4）识别重要的业务流程和主要的交易类别；（5）识别流程中错报可能发生的环节；（6）识别和测试预防或及时发现错报发生的控制（业务流程层面的控制）。

3、强调财务报告内部控制审计与财务报表审计的有机整合

《内部控制审核指导意见》发布于2001年。当时聘请会计师事务所进行内部控制外部评价、审核或鉴证有两个主要目的：一是满足金融保险等特殊行业的监管部门出于加强所辖企业内部控制和风险管理的需要而提出的特殊要求；二是满足证券监督管理部门针对发行新股企业提出的特殊要求。可以说，当时的内部控制审核业务更多的是一次性的或者说非经常性的业务。基于这样的背景，《内部控制审核指导意见》没有考虑财务报告内部控制审计与财务报表审计的关系，将其视为独立进行的两项业务。

从发布背景看，《指引》不同于《内部控制审核指导意见》。关于印发《企业内部控制配套指引的通知》（财会[2010]11号）指出，执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。可以说，对于执行内部控制规范体系的企业而言，财务报告内部控制审计将成为一项每年都将发生的经常性业务。因此，《指引》考虑了财务报告内部审计与财务报表审计之间的固有联系，提倡将两者予以有机整合。整合主要体现在以下方面：（1）要求合理计划和实施审计工作，以同时实现两种审计的目标。（2）两种审计识别的重要账户及相关认定相同。（3）两种审计确定的重要性水平相同。（4）两种审计都基于同样的风险评估结果。（5）两种审计的结果应当相互印证、相互利用。

（三）企业内部控制审计报告的披露现状

1、我国上市公司内部控制审计报告披露现状

本文选取2010年沪市A股年报中自愿披露内部控制审计报告的上市公司为研究对象，共239家。其中有9家上市公司虽然声称披露了核实评价意见但找不到具体的意见报告，还有7家只在内部控制评价报告中简要说明了审计意见。因此，实际以报告形式披露内部控制审计意见的共有223家。在内部控制基本规范和配套指引发布之后，我国披露内部控制审计报告已经有很大的改善，具体表现在：

首先，数量上有所增加。沪深两市在2007年报中（截止2007年底，深交所上市公司670家，沪市上市公司860家）仅有175家披露了审计师对管理层自我评价报告的审核意见，筛选之后只有156家，而在基本规范和配套指引发布之后2010年仅沪市A股就有223家，数量上大幅增长。

其次，内容上逐渐规范。223份报告中只有1份没有管理层的责任、4份缺少内部控制固有缺陷的描述，其余都包括管理层或董事会对内部控制的责任、注册会计师的责任、内部控制的固有局限性和财务报告内部控制审计意见这四个部分，基本符合配套指引所给出的内部控制审计报告的参考格式。

2、我国上市公司内部控制审计报告存在的问题

第一，我国上市公司内部控制审计报告名称混乱。虽然沪市A股中有223家公司的年报声称披露了审计机构对公司内部控制报告的核实评价意见，但是报告名称却包括“内部控制制度报告”、“自我评估报告的核实（审核）评价意见报告”等多种。其中，真正以“内部控制审计报告”命名的报告只有15份，仅占6.73%，而最多的“内部控制（专项）鉴证报告”有110份，占比49.33%。然而，鉴证、审核、核实评价等词并不能与审计等同，主要体现在保证程度的不同。以审核为例，内部控制审核提供的是有限保证，内部控制审计提供的则是合理保证，审核不可随意替代审计。名称的不一致不仅会使内部控制审计报告难以在格式上形成统一规范，还会影响利益相关者对报告的查阅和理解。

第二，内部控制审计报告中披露的几乎都是标准审计意见。《企业内部控制审计指引》中给出了四种内部控制审计报告的参考格式：标准（无保留）、带强调事项段的无保留意见、否定意见和无法表示意见。然而，在样本数据中，除了1份没有表示具体意见的报告，其余全为无保留审计意见。这可能是由于上市公司不愿披露非标准审计意见的报告，但是更多的还是因为会计师事务所未保持独立性，多为附和被审公司的要求而出具无保留意见，使内部控制审计流于形式。

第三，内部控制审计报告中极少涉及非财务报告内部控制。《企业内部控制审计指引》指出，在内部控制审计报告中应增加“非财务报告内部控制重大缺陷描述段”，意味着企业内部控制审计的范围应包括非财务报告内部控制。然而，在223份中只有1份内部控制审计报告简单提及非财务报告内部控制，其余报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性，对非财务报告的内部控制并无涉及。这与内部控制配套指引尚未正式在上市公司实施有关，更是因为长久以来人们将内部控制片面理解为与财务报告有关，忽视了非财务报告的内部控制。

二、目前企业内部控制审计的调研及分析

内部控制审计是公司治理与内部控制的一项重要内容。为了更好地研究与分析本文论述的企业内部控制审计的相关问题，设计出一份共23题的调查问卷。（问卷详见附录）

（一）企业内部控制审计调研情况说明

本次调研由本人通过网络向相关从业人员发放问卷进行，调查于2013年10月5日开始，问卷回收截止时间为2013年10月24日，调研结果是对企业内部控制审计现状的些许描绘。从回收问卷中调查对象的个体特征及背景资料来看，年龄层次主要分布在31～45岁区间内，这一年龄层的从业人员的从业经验较为丰富；教育程度集中在本科，调查对象的文化程度较高，可以认为其能够很好地理解问卷中提出的问题。

2、内部控制审计基本问题的了解

针对内部控制审计基本问题的了解情况共设计了6个相关问题，就调查结果显示，95%的被调查者听说过内部控制审计；45%的被调查者对于美国萨班斯法案对内部控制审计的要求了解程度一般；45%的被问卷者了解中国注册会计师协会颁布的《企业内部控制鉴证指引》；清楚内部控制审计的内涵和实质的占55%；从以上数据可以得出调查对象对于内部控制审计并不是一个陌生的领域，80%的被调查对象曾执行过内部控制审计。

3、企业内部控制审计现状

针对该项调查研究共设计了13个相关问题，分三个方面进行：首先，企业自身方面：55%的被调查者表示其所在单位未建立内部控制审计机构；80%曾经执行过内部控制审计的他们中，执行内部控制审计针对的目标单一者与双重目标者各30%；70%的被调查者认为目前内部控制审计质量一般；内部审计决定能得以正常执行的只有48%。以上数据说明，由于我国内部控制审计工作起步晚，部分企业的认识还不够充分，内部控制审计开展仍不够全面和深入。其次，会计师事务所方面：35%和45%的被调查者认为近些年国内外发生的财务舞弊案与内控失效相关和非常相关。由此可见，会计师事务所存在内部控制的缺陷。最后，环境方面：45%和40%的被问卷者认为有必要和非常有必要强制要求上市公司对内部控制进行审计；70%的被调查者是根据单位有关内部控制审计的规定来进行内部控制审计；38%的被调查者不确定在我国对企业执行内部控制审计的客观条件和环境能够保证其顺利实施。从上述回答情况分析得出企业内部控制审计方面制度、法规不够完善，内部控制审计监管也不到位。由于目前内部控制审计工作开展局限性，导致调查对象并不能清楚地识别出外部环境的影响。

4、调研小结

通过对以上调查内容的统计及结果分析可以得出，我国企业对内部控制审计需求并不强烈，内部控制审计并没有受到应有的重视。这主要是我国内部控制审计起源于国家的行政安排，而不是自发的需求，而现今内部控制审计自身也存在着严重的缺陷，影响内部控制审计职业的发展。

（二）企业内部控制审计存在问题分析

1、企业自身方面存在的问题

（1）内部控制审计的开展基于企业内部控制评价，其范畴局限于内部会计控制。长期以来，人们对内部控制评价的定位，一直站在制度基础审计的角度，集中于会计控制。会计控制是企业内部控制系统最基础的控制平台，是企业内部控制的主要内容，但绝不是惟一内容。以目前我国许多上市公司为例，有些公司虽然会计制度比较健全，但由于忽略控制环境问题，使管理环节存在诸多缺陷，导致会计控制失效的事例频频发生。红光、琼民源、郑百文、深华源、银广夏等也已暴露了违规事件几乎都与内部控制环境弱化有着千丝万缕的联系。从目前运用最广泛的内部控制理论——美国“反虚假财务报告委员会”COSO报告看，内部控制中的控制环境被置于很高的地位，而控制环境中的大部分内容显然超出了会计控制的范畴。尤其在我国，企业的发展有着特殊的背景，控制环境包含的内容更丰富，需要解决和完善的问题更多。

（2）评价标准不完善。标准的适当与否直接影响着最终的目标实现问题。在财务报表审计中，除了一些非常特殊的业务，一般都有非常明确的会计准则对其进行确认和计量，这时利用会计准则去评价会计报表是否存在重大错报是很适当的。但是，财务报告内部控制具有其特殊性，其鉴证对象是非财务数据，对其进行评价是非常困难的，要制定一个适当的标准自然要难很多，所以，目前世界各国并没有一个统一或者非常接近的内部控制标准。因此，要实现财务报告内部控制审计的目标，首要任务就是根据我国情况，制订适当的评价标准。

2、会计师事务所方面的问题

近年发生的种种上市公司财务舞弊的案例，如我国的银广夏、琼民源，美国的安然等等，除了暴露了被审计单位内部控制失效之外，也在一定程度上暴露了会计师事务所存在内部控制的缺陷，造成注册会计师执业失效及诚信缺失。

3、政府及法律环境方面的问题

我国内部控制审计实施环境是三位一体的,通过建设内部控制审计监管环境,监管部门修订和完善内部控制审计相关的法律法规,以便对企业和会计师事务的监督和管理,能够加强内部控制的作用,促使会计师事务所提高审计质量。目前存在着一些问题主要表现为：第一，企业内部控制审计方面制度、法规不够完善，内部控制审计监管也不到位。虽然已初步建立了以独立审计准则、职业道德准则、质量控制准则、后续教育准则为内容的框架结构，仍存在着不足。针对注册会计师行业的违纪行为，监管部门主要采取警告、暂停执业、撤销等行政方式，注册会计师及事务所承担刑事责任和民事责任的几乎没有。第二，政府有关部门工作开展不平衡，制度、法规落实不到位。第三，管理体制不适应，指导监督不到位。现今我国注册会计师协会内部机制还不很完善，运作也不顺畅，且不能从根本上摆脱行政干预，无法充分发挥其作用。

三、中国神华内部控制审计的案例分析

（一）中国神华内部控制审计案例简介

中国神华能源股份有限公司（“中国神华”）由神华集团有限责任公司（“神华集团”）独家发起，于2004年11月8日在中国北京注册成立。中国神华H股和A股于2005年6月和2007年10月分别在香港联合交易所及上海证券交易所上市。中国神华是世界领先的以煤炭为基础的一体化能源公司，主营业务是煤炭、电力的生产与销售，煤炭的铁路、港口和船队运输等。中国神华设有董事会和监事会。董事会下设审计委员会等五个专门委员会。公司在内部控制建立和实施过程中，遵循以下基本原则：1、全面性原则。2、重要性原则。3、制衡性原则。4、适应性原则。5、成本效益原则。公司在建立和实施内部控制制度时，主要考虑目标设定、内部环境、风险管理、控制活动、信息与沟通、内部监督、管理改进七项要素。

（二）中国神华内部控制审计的目标分析

内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。

内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层向外提供一张资产负债表，表上反映有多少资产，其明示或暗示了这样几个声明：资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地，外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。内部控制审计直接评价的是内部控制能否保障资产、资金的安全，其目标对象是内部控制，而资产、资金只是作为中间的观察对象而存在。由于内部控制既要保障资产、资金静的安全，又要保障其动的安全，所以内部控制审计既检查资产、资金的静的安全，又检查资产、资金的动的安全。

对于中国神华来说，会计师事务所对其审计的目标就是对中国神华管理层“合理保证公司经营管理合法合规、资产安全、财务报告信息真实完整和可靠、防范重大错报风险，提高经营效率和效果，促进公司实现发展战略”取得足够的证据，发表合理审计意见。

（三）中国神华内部控制审计的流程分析

1、了解审计对象

注册会计师需要了解内部控制结构的五个要素：内部环境、风险评估、控制活动、信息与沟通及内部监督。许多信息可以从以前年度的审计中取得，这些信息也会变化更新。

首先，注册会计师可以运用调查问卷、清单、询问等，通过这些方法，注册会计师可以更新他们对客户控制环境和风险评估程序的认识，收集相关的信息并对其进行评价。

其次，注册会计师要了解和识别被审计单位控制活动和信息系统情况，在这一阶段，注册会计师必须确定控制政策和程序是否被恰当的应用，有关内部控制的信息是否能够得到有效的传递和沟通。这些了解可以使注册会计师认识到控制活动、信息传递流程的效率和可能发生错报的种类。

当注册会计师获得对内部环境等要素的了解之后，就能取得许多必要的信息。然后，注册会计师记录对组织内部控制的了解。注册会计师书面记录下对组织内部控制的了解和评价以及评估的控制风险。书面记录应该能清楚地反映每个重要的会计应用和关键的控制措施，并能清楚地描述与账户实质性测试的关系。在每次审计中，注册会计师对控制风险的了解和评价都需要进行书面记录。当控制风险被评为较低水平时，注册会计师必须记录做出这种评价的依据实施了何种测试以及测试的结果如何。书面记录的常用方法有流程图、调查问卷和叙述，这几种方法可以相互补充。一旦整体的过程被记录了，许多事务所就只关注以后年度发生的变化以及监督控制的有效性，在整个控制设计中标记出潜在的漏洞。

对于中国神华，其建立了以风险为导向的内部控制框架体系，包括目标设定、内部环境、风险管理、控制活动、信息与沟通、内部监督、管理改进等七项要素，这些要素和环节紧密联系，相互作用，构成了中国神华内部控制建设、执行、检查和改进的闭环控制体系。

2、审计对象内部控制有效性的评价

在对被审计单位内部控制取得了解之后，注册会计师就应该对内部控制有效性做出初步评价，以决定进行控制测试的必要性。

对于中国神华来讲，毕马威会计师事务所通过一系列了解之后，初步评价其内部控制具有有效性，并进一步执行控制测试。

3、控制测试的执行

如果初步评价内部控制是无效的，即存在重大控制缺陷，可不必执行后续审计程序，直接对被审计单位的内部控制发表否定意见；如果初步评价是有效的，则需要进一步执行控制测试，收集能够保证控制措施在整个财年运行有效的证据。控制测试是针对那些决定可信赖的内部控制制度进行的测试，以确定内部控制制度在被审计单位经营时是否实际存在，其执行情况的合规程度如何，有无失控之处，进而评价内部控制制度可信赖的确切程度。注册会计师检查客户关于控制如何运行的证明文件，然后决定控制测试的程序。控制测试的程序包括穿行测试、询问、观察、检查相关凭证以及重新执行控制等。

对于中国神华来讲，其建立了较为完善的内部审计管理制度。内控审计部由公司董事长分管，并向审计委员会汇报工作。公司不断推进内部审计体制改革，成立直属的三个区域审计中心，明确内控审计部与审计中心的职能划分及职责，对子（分）公司内部审计实行双重管理，初步构建起公司“统一领导、区域监督、分级负责”的垂直与分级相结合的内部审计管理体制。

公司制定内部审计规范体系框架，制定《内部审计工作管理办法（试行）》、《建设项目审计制度》、《内部审计工作规范》、《审计中心管理办法（试行）》等制度，规范内部审计部门职责、权限、工作程序等。经过反复研究，公司确立满足监管要求和结合公司实际，突出公司特色的评价原则。评价工作范围覆盖公司总部及子（分）公司的主要业务和事项，评价内容包括18项应用指引包含的全部内容，并补充公司特有业务，基本涵盖了公司生产经营的主要方面，从内部控制设计有效性与执行有效性两个方面进行评价。

评价工作程序包括各单位填写评价工作底稿、中介机构现场检查评价、内控缺陷汇总、缺陷整改、编制内控评价报告。为指导本次评价工作，增强评价工作可操作性，公司在《内部控制手册》和《自我评估手册》的基础上，依据新的监管要求，结合当年管控实践和重点等进行调整，编制《内部控制自我评价手册》，用于指导公司开展内部控制评价工作。公司聘请中介机构协助实施内控评价工作，综合运用穿行测试法、个别访谈法、抽样法、检查法、观察法等方法，广泛收集公司内部控制设计和运行是否有效的证据，如实填写工作底稿，分析、识别内部控制缺陷。

在对其控制测试的方法上，实际工作中往往是多种方法综合使用，分为公司层面内部控制审计和具体业务层面内部控制两部分：

（1）公司层面内部控制审计常用的方法

公司层面涉及高管基调、人力政策、权责分配、人员机构等软要素控制较多，审计时要与不同控制层面的人员进行访谈、发放调查问卷和调查表或知识技能考试等，了解公司的政策程序、管理基调和氛围，以便对控制基础环境做出趋势性判断，或为业务层面审计指出重点等。审计中按不同的控制层面和人员，区别使用以下方法（见表2）

（2）业务层面内部控制审计常用方法

①设计层面内控审计较实用的方法为“跟单测试法”。该方法是对一项业务由始至终进行穿行测试，可帮助审计人员尽快熟悉、理解业务流程，验证重要风险和设计的关键控制的完整性、合理性和有效性，查看业务流程中存在的重要风险是否被识别，相应的关键控制是否被确认并准确记录，是否制定了与控制实施相关制度以及控制是否被准确执行等。

②执行层面内控审计常使用“抽样审计与详细审计结合”的方法。在基于内部控制与重要性水平评估的基础上进行抽样，在对关键控制进行抽样检测时，当发现例外事项，或是对某一样本产生怀疑时，再扩大样本的数量或对某一样本的业务流程进行详细审计，分析产生原因和造成的影响。

③计算机辅助审计法。利用计算机技术对各种信息系统控制进行检查，辅助审计人员完成某些审计工作的方法。如SQL语句查询审计法等。

4、出具内部控制审计报告

对于在审计过程中识别的所有控制缺陷，注册会计师应与被审计单位管理层进行沟通；注册会计师应当通过评价所有来源的证据，包括其控制测试、财务报表审计中发现的错报和任何已识别的控制缺陷，形成其内部控制有效性的审计意见；注册会计师根据形成的审计意见发表内部控制审计报告。审计报告应主要包括管理层对内部控制的责任段、注册会计师的责任段、内部控制的定义段、内部控制的固有局限性段以及鉴证意见段。以下列示的是中国神华股份有限公司的内部控制审计（鉴证)报告的主体部分：

中国神华能源股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了中国神华能源股份有限公司（以下简称“贵公司”）于2011 年12 月31 日的财务报告内部控制的有效性。

一、企业对内部控制的责任

按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是贵公司董事会的责任。

二、注册会计师的责任

我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

三、内部控制的固有局限性

内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

四、财务报告内部控制审计意见

我们认为，贵公司于2011 年12 月31 日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

（四）中国神华内部控制审计案例小结

作为A+H股上市公司，中国神华内部控制建设要满足上市监管要求，同时要建立符合公司实际的内部控制评价制度。目前这一评价制度的建设和运行已经从公司总部、业务板块模式转变为“十八加X”模式，“十八”就是财政部等五部委内控应用指引基本要求，“X”为公司基本要求，包括公司以风险管理为主要特征的经济本质安全体系建设和运行的基本评价点。目前，内控评价已经成为公司监督内部控制有效性及提升企业管理水平的重要举措。

四、完善企业内部控制审计的相关建议

（一）政府及法律环境方面的完善建议

加强行业监管，完善执业规范体系，培养一支高素质的注册会计师队伍。针对注册会计师行业的造假行为，首先要不断加大监管的力度，继续制定和完善检查、惩处等一系列规章制度，着力构建包括与政府部门联手监管、重大业务事项备报、上下联动开展行业互查、公众举报和新闻曝光相结合的社会监督在内的行公众举报和新闻曝光相结合的社会监督在内的行业监管体系。其次应强化行业的职业道德建设，在行业检查、开展培训和后续教育时，应将职业道德作为工作的重点，使业内所有从业人员切实做到诚信为本、操守为重、遵循准则、不做假账。在执业规范体系的建设上，应加快职业道德准则、质量控制准则、后续教育准则的制订与完善，增强其可操作性，使独立审计准则能真正落到实处。在队伍建设上，要培养一批具有坚定政治信念、具有强烈风险意识、责任观念、业务熟练、经验丰富的注册会计师队伍。最后应当抓紧做好《注册会计法》与其他法律的衔接工作。目前，我国的《注册会计法》与《民法》、《刑法》、《公司法》、《合同法》等重要的法律存在一些矛盾之处，应该尽早做好修订工作，使相关法律相配套。建立一套与国际惯例接轨并具有中国特色的社会主义的注册会计师法律制度。同时，必须切实加强执法力度，真正做到有法必依。

（二）企业自身方面的完善建议

1. 强化内部审计队伍的建设

高质量的内部审计成果取决于一支高素质的审计队伍，强化内部审计队伍建设是当务之急。遵守职业道德、具有高度负责的敬业精神是对审计人员最基本的要求。审计人员不仅要懂财务知识，还要熟悉相关的法律法规、制度方面的知识，有些企业还要求内部审计人员具备工程项目审计的能力，因此审计人员应不断的加强业务学习，提高业务能力，积累丰富的审计经验，提高缜密的职业判断能力，做一个复合型的审计人员，这样才能在企业内部控制制度中发挥重要的作用。

2. 提高认识、保证内部审计工作的独立性

《内部规范》中突出了内部审计独立于内部控制设计与执行的地位和作用，《基本规范》第十五条规定，企业应加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会及审计委员会、监事会汇报。企业领导要牢固树立内部审计监督就是企业内部控制有效实施的机制保障的理念、是服务于企业的理念，要认识到加强内部审计是改进企业管理的重要内容，应重视、关心、支持内部审计监督过程及结果。要注重选拔专业能力强、具有协调能力的优秀人员充实到审计队伍中，保证他们的知情权、参与权。

3.转变内部审计的职能

在以前的工作中，审计人员常常将主要精力放在对审计数据的真实性和合法性的检查及对生产经营的监督上，其主要职责就是查错纠弊。随着现代审计的发展，审计的主要职能已经由传统的查错纠弊转移到根据审计结果，分析和评价企业的经营管理，并提出相应的管理建议。过去，审计的主要对象就是企业的财务报表、凭证及其他相关资料，工作主要集中在财务领域，很少涉及企业的经营管理。随着现代审计的发展以及现代企业内控制度的要求，企业内部审计的主要职能应从检查和监督职能转变为对内控制度有效性作出评价和提出整改计划，降低企业面临的风险，确保企业经营目标的实现。

4.重视信息系统在内控中的作用

企业的运营越来越依赖于信息系统，而信息系统是为管理决策服务的。企业应根据内控制度的要求，结合业务范围、技术能力等因素，制定信息系统整体规划，结合内控制度的要求，包括授权控制、不相容职权的划分、标准化程序控制等。加大投入力度，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

（三）会计师事务所的完善建议

1、针对我国企业内部控制薄弱的现状，扩大重点审计范围

在内部控制全面审计实施的初期，注册会计师应该针对我国企业内部控制的现状采取合适的审计程序。对于内部环境恶劣的被审计单位，注册会计师应该对被审计单位内部控制的审计投入较多的精力，要对企业的内部控制的各个环节进行全面审计，加大内部控制测试范围，必要时进行适当的实质性程序，以全面调查企业的内部控制是否能够达到《规范》的内部控制目标要求。对于内部环境相对良好的被审计单位，注册会计师应将审计重点放在其他内部控制要素的审计上，此时，注册会计师就要针对不同行业不同规模的被审计单位，根据被审计单位的规模、经营流程的复杂程度等，依据专业判断审计重点，量体裁衣地制定审计计划，对重点区域加大时间投入，扩大审计范围。例如，针对我国金融银行的风险评估程序可有重点的进行控制测试；对于生产性行业，要关注企业产品生产环节的控制，关注企业产品质量，必要时利用专家意见；对于大型的集团企业，要关注其信息系统是否畅通有效；对于中小企业，则更要关注其内部环境和控制活动，特别是相关的权责分配机制和授权审批制度等。

2、完善会计师事务所内部控制

近年发生的种种上市公司财务舞弊的案例，如我国的银广夏、琼民源，美国的安然等等，除了暴露了被审计单位内部控制失效之外，也在一定程度上暴露了会计师事务所存在内部控制的缺陷，造成注册会计师执业失效及诚信缺失。因此，为提高对我国上市公司内部控制审计的效率，在健全内部控制审计相关法规，探究更好的内部控制审计方法的同时，加强我国会计师事务所的内部控制也是非常必要的。会计师事务所必须严格遵守相关法规的规定，如若为企业内部控制提供咨询服务，则不得对其提供内部控制审计业务。会计师事务所及相关管理监督机构应加强注册会计师职业道德教育，制止注册会计师的弄虚作假，倡导注册会计师的诚信执业、防范注册会计师的道德风险，进一步提高其独立性；加强注册会计师的后续教育，保证专业胜任能力，提高执业质量；加大对注册会计师执业的监督力度，严格执行审计的三级审核制度，保证审计质量。

五、结论

随着我国内部控制审计相关的法规准则的正式出台，以及2009年7月1日我国内部控制审计在上市公司范围内的全面实施，内部控制审计业务将正式成为我国会计师事务所的法定业务，从而揭开我国审计史新的一页。内部控制审计的实施，将为我国内部控制审计的学术研究提供大量的实践素材，这些宝贵的实践素材无论对我国内部控制审计的制度发展还是学术研究都将是非常重要的，对二者的发展完善提供可靠的参考依据和实践基础。同时，随着日后内部控制审计实践的发展，我国企业对内部控制的认识水平将得到进一步的提高，企业内部控制制度及运行随着审计的实施得到进一步健全，我国企业内部控制将得到突飞猛进地发展。这些，也就必然带动我国内部控制审计实践的不断进步与发展，使我国内部控制和内部控制审计的发展进入良性循环的轨道。

参考文献：

［1］董凤莉，任国瑞．财务报告内部控制审计要素及实施问题探讨。商业会计，2011年，2期。

［2］田高良，齐保垒，李留闯．基于财务报告的内部控制缺陷披露影响因素研究。南开管理评论，2010年，13期。

［3］李蓉蓉．内部审计人员如何参与控制自我评价。中国内部审计，2010年，6期。

［4］梁良，张丽．上市公司财务报告内部控制审计存在问题与策略探讨。财经界（学术），2010年，12期。

［5］齐保垒，田高良，李留闯．上市公司内部控制缺陷与财务报告信息质量度。管理科学，2010年，4期。

［6］李源.财务报告内部控制审计与财务报表审计的比较研究。财政监督，2011年，7期。

［7］黄秋菊.关于我国《企业内部控制审计指引》的几点思考。审计月刊，2010（9）。

［8］企业内部控制鉴证指引(征求意见稿)，中国注册会计师协会，2008年7月。

［9］李国忠，构建以风险为导向的内部控制体系促进企业可持续发展——中国神华能源股份有限公司的实践，财务与会计，2009年第9期。

［10］规范内控审计行为，促进内控有效实施——财政部会计司、中注协解读《企业内部控制审计指引》。交通财会，2010年第9期。

［11］邹玉梓，上市公司内部控制审计报告研究。中国集体经济，2011年10期下。