上市公司内部控制审计存在的问题及对策研究--以沪市为例

针对沪市上市公司内部控制审计存在的问题及对策
1绪论
1.1 选题目的和意义
众所周知，无论在资本市场比较完善的美国，还是在不发达的我国，都发生了一些较为严重的财务舞弊事件。

由于企业内部控制的建立、健全及有效执行，关系着企业生存和发展的各个方面。

虽然这些事件发生的背景和原因都较为复杂，但是企业内部控制存在缺陷或失效、外部监督缺失，对企业内部控制评价与审核监控不到位等都是共同因素。

这些震惊中外的大型企业造假丑闻和内部控制失效导致公司经营失败的重大恶性事件引发了全球的“内部控制风暴”，国内外有关内部控制的法规相继出台，内部控制需求日趋强烈，政府及社会各界对内部控制的重视度也不断上升。

与此同时，各国关于内部控制审计的理论、实务以及政策性研究也在不断开拓创新，取得了一系列重要进展。

但是，我国内部控制审计尚不成熟，内部控制体系尚未形成，制度比较混乱，注册会计师对内部控制审计的评价审计大多还仅仅是财务报表审计工作程序中的一部分，关于注册会计师对上市公司内部控制有效性的评价审计情况还没有明确的强制性的要求，关于上市公司内部控制的审计情况也披露的较少。

1.2 文献综述
相对于财务报表审计来说，内部控制审计是审计领域的一种较新的业务，也是一个热点领域。

国外对于内部控制审计的研究较为丰富，文章较多，起步也较早。

而我国对内部控制信息披露以及评价审计的研究起步比较晚，较多的研究均借鉴国外有关内部控制方面的研究经验，且在2006年我国监管部门对企业内部控制信息披露以及内部控制审计缺乏强制性规范以前，我国企业对内部控制的评价和注册会计师对内部控制的审核信息披露较少，因此大量的研究都集中在内部控制信息披露的分析上（袁敏，2008）。

随着国外尤其是美国内部控制研究的不断发展，关于内部控制信息披露与评价审计等制度的不断出台完善，也推动了我国理论界及实务界对内部控制评价与审计领域的重视。

纵观我国内部控制的发展历程，国内对上市公司内部控制审计的研究可以归纳为以下几个方面：
1.2.1 关于上市公司内部控制审计信息披露情况的研究
潘秀丽（2001）认为我国企业内部控制薄弱，内部控制评价缺乏公认标准，内控信息披露带来的社会问题，应制定法规、制度来规范企业的内部控制标准，以及制定注册会计师执业标准。

蔡吉甫（2005）对2003年A股上市公司采用Logistic回归模
型进行实证分析，认为财务状况不好的上市公司披露内控信息的动力不足，经营业绩、财务状况好的上市公司更愿意披露内控信息，但披露流于形式，相关规定没有得到有效执行。

黄秋敏（2008）分析了2001至2006年度上市银行年报中披露的内部控制信息，发现披露中的问题，提出规范上市银行内部控制信息披露形式，并要求披露内部控制评价报告。

林斌、饶静（2009）以信号传递理论对我国2007年沪深两市主板A 股上市公司进行实证检验，发现为了向市场传递真实价值的信号，内部控制质量好的
公司更愿意披露内部控制鉴证报告；而内部控制质量不好的公司更不愿意披露内控鉴证报告。

杨玉凤等（2010）从代理成本的角度出发对内部控制审计信息披露质量进行了研究，认为内控信息披露对代理成本有综合抑制作用。

1.2.2 关于内部控制审计实施必要性的研究
朱荣恩等（2003）认为我国应借鉴美国内部控制审计方面的先进经验，结合我国国情，建立完善内部控制评价工作。

张刚、周云鹏(2004)从内部控制与审计的关系出发，认为企业应委托注册会计师出具内部控制审核报告。

刘亚莉与杨兴全（2004）认为财务报告内部控制应作为一项独立的审计业务进行。

刘玉廷和王宏（2010）认为注册会计师对内部控制实施审计具有重要意义，并提出实施内部控制审计应重点关注的相关问题。

1.2.3 关于内部控制评价方面的研究
王立勇和张秋生（2004）对内部控制评价主体的定位进行研究，认为外部审计人员对内部控制评价工作取得了一定成果，但应更加重视内部审计的作用。

王立勇（2004）通过构建内部控制评价系统的数学分析模型进行定量分析来进行内部控制评价工作。

潘立新和纪妍文（2007）通过对财务报表审计中的内控评价、专项鉴证的内控评价及管理咨询的内控评价三种典型的注册会计师内部控制评价的比较，提出建立和完善内控评价机制的建议。

陈汉文和张宜霞（2008）认为用风险基础法进行内部控制评价具有更高的效益和效率，政府监管部门应进行规范并正确引导。

南京大学会计与财务研究院课题组（2010）通过对近十年中国具有代表性的重大舞弊问题案例的分析，对内部控制评价方法与要点提出建议，认为内部控制评价体系的建立应以内部控制信息强制性披露为基础。

1.2.4 关于财务报告内部控制审计方面的研究
关于财务报告内部控制审计方面的研究在美国的AS2及AS5颁布之后比较多。

毛敏（2006）从对美国财务报告内部控制审计的最新发展进行分析与评述出发，研究了我国财务报告内部控制审计的建立与发展。

阚京华和曹俊（2008）对美国财务报告内部控制审计准则的变化进行了系统的评述。

张龙平和陈作习（2009）认为财务报告内部控制评价标准的制定是非常重要的，进而对不同的财务报告内部控制评价标准体系进行了评述。

谢晓燕、张龙平和李晓红（2009）对财务报表与财务报告内部控制整合审计实施的必要性和可行性进行了探讨，为注册会计师进行整合审计提出了建议。

陈汉文和董望（2010）以信息经济学的信息不对称理论为基础，构建财务报告内部控制新框架，认为我国对审计师审计评价内部控制的研究比较少，是未来重要研究领域之一。

1.3 研究内容
鉴于此，本文以《企业内部控制基本规范》、《企业内部控制鉴证指引（征求意见稿）》以及《企业内部控制审计指引》的发布为契机，参考国外先进的研究发现，借鉴国外的内部控制审计的成功做法，吸取各地内部控制审计失败的经验教训，查阅大量关于企业内部控制审计的文字资料和视频介绍，对内部控制及审计的相关理论基础
进行了梳理，通过研究内部控制审计在国内的发展历程，并针对以往年度和今年我国上市公司部分年报中披露的相关内部控制审计的现状进行分析，发现在上市公司内部控制审计实务中存在披露报告名称、意见表达方式有差别，制度相对混乱，不成体系等。

进而在此基础上提出应尽快制定内部控制审计准则，在审计实务中明确内部控制审计中报表名称，合理界定基准日，明确界定注册会计师在内部控制审计中的责任，以期提高审计质量与审计效率，降低审计风险，充分发挥内部控制审计职能作用，完善审计的监督作用。

2 内部控制审计发展历程
2.1 内部控制审计指引出台过程
新中国成立初期，由于传统计划经济体制的影响，市场风险没有充分的释放以及企业经营主体不独立等因素，人们对于内部控制及其重要性并没有给予充分的重视。

直至20世纪90年代中后期，随着我国社会经济的发展，一些反映企业内部控制缺陷的经济现象层出不穷，迫切要求我国尽快建立适合国情的内部控制规范体系，在这之后，我国相关企业监管部门或研究机构等纷纷出台了有关内部控制的法规或规范。

我国对内部控制审计最初源于证监会的要求。

2000年中国证监会发布的《公开发行证券公司信息披露编报规则》第1号、第3号、第5号要求商业银行、保险公司、证券公司对内部控制制度的完整性、合理性和有效性作出说明，同时，要求聘请会计师事务所对其内部控制进行独立鉴证或评价。

2002年，为了规范注册会计师执行内部控制审核业务，保证执业质量，中国注册会计师协会颁布了《内部控制审核指导意见》。

2006年上交所和深交所发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，指引均要求上市公司董事会披露内部控制自我评估报告，并由会计师事务所进行核实评价，出具内部控制评价报告。

2008年6月，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，要求上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。

同时，《企业内部控制鉴证指引》等配套指引征求意见稿也相继出台。

2010年4月五部委又发布了《企业内部控制审计指引》等配套指引。

规范及指引的发布标志着我国企业内部控制规范体系基本建成。

《企业内部控制配套指引》自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。

鼓励非上市大中型企业提前执行。

1
执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。

上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计
1我国内部控制审计相关问题探讨2011年蒋海燕杨毅
师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

2.2 注册会计师应对内部控制审计指引出台的举措
2011年10月11日为了贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》，提升我国上市公司财务报告信息披露质量和内部控制水平,规范注册会计师内部控制审计业务，明确工作要求，提高执业质量，维护公众利益，中国注册会计师协会制定了《企业内部控制审计指引实施意见》(以下简称意见)，并于2012年1月1日起实施。

《意见》在《企业内部控制审计指引》的基础上，对执行内部控制审计各个关键环节的要求进行补充和细化，从业务约定书签订，到总体审计策略和具体审计计划的制定，到审计工作实施，以及控制缺陷评价，形成审计意见到最终的审计报告出具都进行了较为详细的规定，对注册会计师执行企业内部控制审计业务具有较强的指导意义。

特别是对在实务工作中的具体操作问题，如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等，《意见》既给出注册会计师需要考虑的基本原则，又提供了具有可操作性的具体措施。

即便如此我国目前还没有颁布相应的内部控制审计准则来指导注册会计师对上市公司内部控制的审计业务,关于注册会计师对上市公司内部控制有效性的评价审计情况也没有明确的强制性的要求，内部控制审计工作是分散的、不一致、不连续的，而现有的内部控制审计相关指引的执行力度也有所不足，注册会计师在具体执行内部控制审计业务时对审计范围、审计依据、审计程序、审计方法等也未达成一致、形成统一。

一部部有关内部控制的规范的出台，不仅是我国相关法制规范与国际趋同的需要，更是由于内部控制对于企业治理的重要性引起了我国对企业内部控制尤其是财务报告内部控制的高度重视。

通过我国企业内部控制审计的发展，很容易看出，我国各个监管部门对不同行业的内部控制的建立健全及信息披露都进行了不同程度的要求。

并且，随着时间的推移，要求也在不断地提高，要求建立健全财务报告内部控制为核心的内部控制标准体系，从最初的要求注册会计师在财务报表审计中关注内部控制逐步发展到现在的要求注册会计师对公司财务报告内部控制有效性发表独立审计意见。

在相关各方力量的推动下，我国的内部控制理论与实践还会向前进一步发展。

3 我国上市公司内部控制审计的现状及存在的问题
3.1 上市公司内部控制审计的基本情况
本文的研究对象为披露内部控制审计意见的沪市上市公司，选取2009年、2010年、2011年沪市上市公司年报披露情况为样本总体，对上市公司内部控制审计的研究主要是针对2011年沪市上市公司内部控制审计披露的情况。

因部分上市公司虽表明披露了审计意见，但无法找到具体的审计报告或审核意见书，或上市公司仅仅在年报中表明了有聘请事务所对企业内部控制进行审计，但未披露审计意见，因此通过对各年数据的筛选，仅选取在上海证券交易所披露了相应内部控制审计报告的上市公司作为分析对象。

对在年报中披露会计师事务所对内部控制的审核意见和企业的内部控
制自我评估报告、企业内部控制经过注册会计师事务所审核并发表评价意见的上市公司的相关信息进行收集整理，从而分析我国上市公司内部控制审计的现状。

其中公布2009年年报的上市公司共782家，在年报中披露注册会计师事务所对内部控制审核评价意见或企业内部控制自我评估报告经过注册会计师事务所审核并发表意见的上市公司只有208家；在沪市主板公布2010年年报的上市公司共有496家，在年报中披露会计师事务所对企业内部控制进行审核并发表审核评价意见或企业内部控制自我评估报告经过会计师事务所审核并发表意见的上市公司只有202家；2012年，在沪市主板公布2011年年报的上市公司共有933家，在年报中披露会计师事务所对内部控制审核评价意见或企业内部控制自我评价报告经会计师事务所所审核并发表意见的上市公司只有133家。

2009、2010、2011年我国上市公司内部控制审计披露情况见表3.1
表3-1 2009、2010、2012年沪市上市公司内部控制审计披露情况见
（资料来源：作者依据上海证券交易所网站公布信息整理）由于披露注册会计师对上市公司内部控制有效性进行审计的意见及审计报告是上市公司的自愿行为，并非强制执行，因此，由表2.1可见，从2009年到2011年，披露了注册会计师对企业内部控制的有效性进行审核并发表意见或企业内部控制自我评估报告经过会计师事务所审核并发表意见的上市公司并不多，2009、2010、2011年的披露家数都只有两百家左右，且其中部分公司都会连续三年披露内部控制的审计情况，如中国银行（601988）等，而新披露内部控制审计信息的公司相对比较少。

但是，随着我国上市公司对内部控制重要性的认识不断加强，我国理论界及实务界对内部控制研究的不断完善，各个行业上市公司对内部控制审计信息的披露情况也在不断改善。

因部分上市公司虽然表明披露了审计意见，但无法找到具体的审计报告或审核意见书，或上市公司仅仅在年报中表明了有聘请事务所对企业内部控制进行审计，但未披露审计意见，因此通过对各年数据的筛选，仅选取披露了相应内部控制审计报告的上市公司作为分析对象。

经过对2011年沪市上市公司内部控制审计报告的分析，可以将公司的内控工作开展情况可以分为三大类：内控工作取得一些实质性进展、刚认真开展内控工作、内部控制工作还处于筹备和学习阶段。

其中，有实质性进展的企业例如600089特变电工。

该公司不仅对内部控制缺陷及风险进行了详细地界定，而且实际检查和梳理了一些重要管理流程。

刚认真开展内控工作的企业有600351亚宝药业。

它对企业内部控制的重点进行了缜密分析，对企业的主要风险进行了定性与定量的划分，但尚需进一步根据重点内容对内部控制的有效性进行检查和测试。

内部控制工作还处于筹备和学习阶段的企业还有很多，这其中又可以分成两种：一种是认真学习了各项文件，内部
控制已经着手准备的企业，例如600317营口港；另一种还没有认真的学会各监管机构的全部要求，从内控自评报告的认真和严谨性角度来说，更像是凑热闹的，这样的企业还有很多。

3.2 上市公司内部控制审计的现状
3.2.1 均未披露内部控制缺陷
在沪市上市公司2011年报中披露内部控制审计报告中没有一份披露自身的重要控制缺陷或重大控制缺陷。

表3-2 沪市上市公司2011年内部控制审计报告审计意见汇总表
（资料来源：作者依据上海证券交易所网站公布信息整理）我们每个人都清楚国内上市公司目前的实际管理水平，既然美国实施内部控制时，40%的企业披露重要或重大控制缺陷。

那么，如果我们真正实施内部控制的企业，披露重要或重大控制缺陷的比例少于50%，就只有两个可能。

（1）没有真正认真地开展内部控制自我评价工作。

包括：没有科学严谨的界定内部控制的重点区域和内容、没有设计有效的内部控制评价方法、没有切实进行内部控制检查和梳理工作、审计机构不能有效监督和检查内部控制工作、对内部控制的监督和处罚力度不够。

在我国全面铺开实施内部控制建设,主要来源于政府的主导作用,企业是被动接受的,面对这一新生事物,企业需要一段时间的适应过程,而且,无论从内控审计、咨询、管理等各个方面来看,我国内控方面的人才还是相当缺乏的。

（2）企业还需要一个较长的提高过程，以适应内部控制的监管要求。

事实上，在国外开展内部控制只需要经过检查、改进控制、复查、完善控制、综合控制水平的提高5个阶段，这样的流程走下来少则1、2年，多则3、5年。

国内一些上市公司由于流程、制度体系的不完善，需要经过初查、建立控制、检查、改进控制、复查、完善控制、综合控制水平提高等7个阶段，时间周期更长。

并且，在企业开展内部控制的前2个阶段，无法对重要和重大缺陷进行有效分析和准确界定。

3.2.2 形同虚设的内控鉴证与审计报告
绝大多数内控审计或鉴证报告都披露该上市公司内控无重大缺陷，最有意思的是，有些审计报告居然没有使用规定的标准语言表达方式。

说到披露缺陷的阻力，其实来自上市公司自身的两怕：一怕“丢脸”，二怕“金融市场风险”。

上市公司的“金融市场风险”通常指股票价格波动对其造成的潜在损失。

再者,制度或指引并没有强
制要求公司对内部控制进行披露,企业还是在一个自愿的基础上的.
3.3 上市公司内部控制审计存在的问题
3.3.1 内部控制审计报告名称相对混乱
内部控制审计报告的标题可以在一定程度上反映出注册会计师对内部控制审计业务性质的认识。

有些上市公司的审计报没有使用规定的标准语言表达方式。

虽然沪市主板上市公司中有133家公司的年报声称披露了审计机构对公司内部控制报告的核实评价意见，但是报告名称却包括“财务报告内部控制审计报告”等，不过总体上沪市上市公司的审计报告名称相对比其他的规范统一。

内部控制审计报告名称相对要比自评报告名称统一些。

由此可见，注册会计师对内部控制审计业务的性质认识不统一，定位不统一，定位不同，提供的鉴证不同，对信息使用者的有用性也完全不同。

表3-3沪市上市公司2011年内部控制自评报告名称汇总表
（资料来源：作者依据上海证券交易所网站公布信息整理）
表3-4沪市上市公司2011年内部控制审计报告名称汇总表
（资料来源：作者依据上海证券交易所网站公布信息整理）
3.3.2 内部控制审计报告中极少涉及非财务报告内部控制
企业内部控制审计指引中规定，在企业内部控制审计报告中应增加“非财务报告内部控制重大缺陷描述段”，这就意味着企业内部控制审计的范围应该包括非财务报告内部控制。

然而，在沪市上市公司133份内部控制审计报告中几乎全部报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性，对非财务报告的内部控制并无涉及。

这与内部控制配套指引尚未正式在上市公司实施有关，更是因为长久以来人们将内部控制片面理解为与财务报告有关，忽视了非财务报告的内部控制。

表3-5 沪市上市公司2011年内部控制审计发表意见汇总表
（资料来源：作者依据上海证券交易所网站公布信息整理）
3.3.3 企业内部控制制度体系不健全
评价内部控制制度设计和运行是否执行有效是内部控制评价的目的，从沪市上市公司内部控制审计自评报告中可以发现大部分沪市上市公司的内部控制制度内容比较紊乱，缺乏系统性，最终导致可操作性较差。

具体表现为：
（1）一套完整的制度应由文字、工作流程图及说明、相关表单等三部分内容构成。

而上市公司内部表单和一定的流程图较少，文字叙述比较多，流程保障不完善。

工作流程图作为制度体系的重要组成部分，可以直观、清晰地了解业务程序、涉及部门和人员、以及相关责任和配套制度。

通过对沪市上市公司的内部控制制度的研究发现大部分上市公司只有较多的文件制度，从而造成评价人员很难及时发现内部控制中重大和重要缺陷以及控制缺陷。

（2）“救火式”的制度较多，缺乏完整性。

公司运营过程中某个环节出现了问题，就相应地出台一个制度来规范，无论在内容和形式上，都缺乏统一性、系统性。

（3）公司制度脱离实际情况，随着业务形式的变化，制度没有适时跟进、修改和完善，从而使制度失去可操作性。

加之又缺乏保证制度执行的机制，内控制度执行情况没有严格地监督、检查，以及奖罚措施，使制度逐步丧失了其应有的严肃性。

3.3.4 内部控制审计中缺乏对注册会计师责任的界定。

由于我国内部控制审计尚不成熟，内部控制体系尚未形成，注册会计师对内部控制审计的评价审计大多还仅仅是财务报表审计工作程序中的一部分，关于注册会计师对上市公司内部控制有效性的评价审计情况还没有明确的强制性的要求，内部控制审计业务在为注册会计师行业带来新的业务机会的同时,确实也意味着注册会计师执业风险的提高。

在沪市上市公司中披露内部控制审计报告的133家公司中，只有大华会计师事务所审计的4家公司强调这个内部控制审计报告的用途，即强调了注册会计师的责任。

但从促进上市公司内部控制的角度来讲,要求注册会计师对上市公司的内部控制或内部控制报告进行审计,又是必要的，然而我国在制定内部控制审计准则等相关管规章制度时却没有明确注册会计师的相应责任，在这些方面存在着漏洞。

4 如何完善和加强内部控制审计
依据以上沪市上市公司近三年内部控制审计的现状分析可以发现，虽然我国已经出台了一系列内部控制审计相关规范制度，并于2010年4月颁布了《企业内部控制审计指引》，但是注册会计师在实际实施上市公司内部控制审计业务时，对于内部控制审计业务的界定到底是财务报表审计中的一个必要程序，还是注册会计师对上市公。