内部控制相关审计程序缺陷及建议

邓保华

随着企业所处经济环境的巨大变化，传统账项审计已不适应经济发展的需要，对内部控制了解和测试成为财务报表审计的重要组成部分。充分恰当的内部控制审计程序可以为进一步确定审计重点、审计抽样规模和审计程序提供指导，同时也是识别重大错报风险和发现舞弊的有效手段。相反，如果未对内部控制实施审计程序或实施不到位，则很可能导致审计失败，本文以2015年-2022年6月中国证监会对会计师事务所及注册会计师行政处罚中涉及内控审计程序不当导致审计失败的案例为研究对象，总结失败案例中存在不当的具体表现，分析内控相关审计程序缺陷的原因，最后提出应对策略。

一、内部控制审计程序实施现状分析

2007年起，我国开始推行风险导向审计，2010 年财政部联合五部委发布《企业内部控制配套指引》，随后证监会、证券交易所等监管机构相继出文规定，会计师事务所对内部控制进行审计或鉴证，由此，对内部控制的关注一次次地被提升到一个新的高度。本文考虑到由于证监会对审计违法行为查处时间大致为3-5年，故而选择区间为2015年至2022年6月发布的53份行政处罚决定书，从中以“内控”、“内部控制”为关键词筛选出涉及内控程序缺陷的行政处罚决定书进行深入研究，共计21份，比例为39.62%，占比较高。

从处罚年度和数目分布来看，其中2018年至2022年6月30日，证监会查处的审计失败案件中存在内控程序缺陷的案件数占当年度处罚案件总数的比例每年均保持在30%以上，部分年份甚至超过了50%（见表1）。可见，一方面证监会就内控审计程序实施情况加大了监管力度，另一方面，说明注册会计师实施内控审计程序的质量不容乐观，因内控审计程序执行不到位而导致审计失败的现象值得反思。内控审计程序缺陷主要表现在四个方面（见表2）。具体分析如下：

表1 行政处罚情况表

表2 内控审计程序缺陷分析表

（一）未实施了解内部控制和控制测试程序

根据审计准则规定，注册会计师应当了解与审计相关的内部控制，以评价这些控制的设计并确定其是否得到执行。当预期控制运行有效或仅实施实质性程序不能提供认定层次充分适当的审计证据时，应当设计和实施控制测试。而部分注册会计师极不重视内控程序的实施，认为实施内控程序也不能降低实质性程序工作量，于是省略内控程序，甚至直接以实质性程序替代内控程序。如大智慧案中，内控程序相关底稿和证据全部未能提供，而注册会计师却以已对销售业务有针对性地抽取销售发票、银行进账单以及服务开通的系统记录等等为由进行申辩，实际上就是拟用实质性程序的实施来为内控程序的缺失做辩解。

（二）未有效实施了解内部控制和控制测试程序

注册会计师应设计和实施恰当的审计程序，获取充分适当的审计证据，以得出合理的审计结论。有效性不足的内控审计程序不仅将形成对内控有效性错误的结论，也将影响注册会计师对进一步审计程序的恰当考虑。处罚案例中，未有效实施了解内部控制和控制测试程序的比例达到59.46%，集中反映了内控审计程序存在的主要问题。具体有以下几种表现：

未对重要组成部分实施了解内控和控制测试程序。集团财务报表审计中，注册会计师应当了解集团与组成部分及其环境，并对组成部分财务信息和合并过程获取充分适当的审计证据，因此存在多业务单元范围的，在确定内部控制测试对象时应将重要组成部分纳入测试范围，而非仅母公司。针对重大业务内部控制均应进行测试，否则无法获取充分适当的审计证据。如胜通集团案，注册会计师未对重要子公司实施控制测试，以致未能发现子公司虚假采购、销售。

未对信息系统进行充分了解和测试。信息与沟通是内部控制的基本要素之一，信息系统是企业财务、业务信息实现高效采集、存储、加工、报告的重要平台，包括财务和业务系统。注册会计师应当在了解被审计单位及其环境时，了解与财务报告相关的信息系统（包括相关业务流程）。而实务中存在以下几类问题：（1）未对信息系统进行了解和测试。（2）仅对财务系统而未对业务系统了解和测试。部分注册会计师在财务报表层面了解被审计单位对信息技术的运用时，未涵盖业务系统了解其与财务系统数据的勾稽关系，未关注业务财务系统数据是否存在差异及差异原因，业务系统数据是如何结转至财务系统的等等，康美药业案即为此类情形。（3）对信息系统存在的异常情形未予调查核实。如索菱股份案，瑞华会计师事务所针对出库单存在制单员为超级管理员账户Administrator的情形，轻易认为是日常管理中的正常现象，未保持职业怀疑进行取证调查，造成未能发现出库单虚假事项。（4）内控测试中未从业务系统获取审计证据。注册会计师过分依赖从财务端获取证据，未追踪业务轨迹，对业务数据关注度较低。

未审慎对待内控了解和测试中发现的控制偏差。注册会计师发现内部控制执行缺陷后,应保持必要的职业怀疑,审慎对待并修正风险评估结果,修改进一步审计程序的性质、时间安排和范围以应对可能由于舞弊而导致的重大错报风险，同时应考虑向治理层和管理层通报内部控制缺陷。而注册会计师因未能保持应有关注，导致对发现的控制偏差简单认定为一般缺陷，未能引起警惕，更有甚者视而不见。康美药业、雅百特、索菱股份等案件就存在各种控制偏差，由于注册会计师未予充分重视，也未采取恰当的审计程序排除异常消除疑虑，以至于未能揭露公司销售收入造假行为。控制偏差具体常常表现为：（1）合同和业务单据无编号或编号不连续；（2）同一种业务单据存在多种样式；（3）合同条款空白；（4）不相容职务未分离，由同一人完成；（5）合同或业务单据无企业及经办人、审批人盖章签名或盖章签名不全；（6）合同及各类业务单据签署时间不符合逻辑，如合同签署日晚于业务单据 、出库时间晚于签收时间；（7）信息系统的操作及信息和数据的维护存在设计、执行上的缺陷；（8）部分控制活动样本无支撑性文件而未关注等等。

关键控制点的测试不到位。与财务报告内控审计程序相关的关键控制点是指能够控制并使财务报告错误或舞弊因素得到预防、消除或降低到可以接受的水平的关键环节和程序，对控制目标的实现尤为重要，对关键控制点测试是否到位直接影响审计证据的充分适当性。测试不到位，主要为以下几种情形：（1）无目标性地选取少量控制点测试，未考虑测试的目的，如东方金钰案，在成本核算与成本控制的内控测试中,注册会计师仅仅执行了询问程序,无法达到对控制点实施有效测试的目标;在销售业务的控制测试中,仅针对客户及信用管理的相关控制点进行测试,未见测试订单录入、发货、记录应收账款、退换货、收款等流程的控制点。（2）关键控制点识别不完整，未对业务流程中最为关键的控制点进行测试，如蓝山科技案，注册会计师未根据公司收入确认政策对其中与产品验收相关的重要业务流程进行了解和测试，导致获取的验收单据异常却未被发现，又如华锐风电案，与确认收入相关的控制，未就其中的客服部项目日动态表、货到现场后设备验收单等重要节点进行测试。（3）测试的控制点与测试目标不相关。如雅百特案，设定的控制目标是所有记录的应收账款均已发出货物，但实施的程序是检查记账凭证和发票，而出库单、运费单据等未予测试。

与重大错报风险项目、重大或异常事项相关的内控未进行了解和测试。注册会计师局限于正常业务循环有关内控的了解和测试，未结合对公司内外环境和特殊交易的了解、高风险领域的识别，测试与重大事项相关的控制，舍本逐末。如：超华科技案，其主营业务模式与其他业务收入模式存在明显区别，且立信会计师事务所关注到超华科技“本年其他业务收入有5,000多万，成本300多万，若无其他业务收入，公司本年的利润为0”这一重大情况，却未对其他业务收入执行内控相关程序。

未对不同的且重要的业务类别和业务模式分别选取样本进行测试。公司存在多种业务类别和业务模式，且涉及的业务流程和内部控制措施存在显著差异时，均应纳入测试范围，否则无法整体评价该业务循环的内部控制的有效性。如科融环境案，发货确认收入和调试确认收入是不同的收入确认方式，而亚太会计师事务所仅对发货确认收入进行控制测试,未对调试确认收入进行控制测试，导致未能发现虚假调试收入。

（三）内部控制有效性对实质性程序的影响处理不当

通过内控审计程序发现的内控重大缺陷将表明财务报表很可能发生重大错报，通过实质性程序发现的错漏也可能说明内控存在缺陷，有效的内控可以适当减少实质性程序，而无效的内控需通过实质性程序获取更广泛的证据。实务中，关于两者的相互影响处理不当表现为：（1）得出了控制无效的结论，但未能设计和实施充分恰当的进一步审计程序应对；（2）执行细节测试发现异常情况时,未评价是否可能表明内控存在缺陷，是否表明存在舞弊风险因素；（3）未执行内控测试情况下，实质性程序样本也未扩大；（4）实质性程序实施时间和方式与内控基础不匹配。通常内控有效的情况下，可以将部分程序置于期中执行，而内控有效性较低的情况下，则更应接近资产负债表日实施程序。如华泽钴镍案，在与资产相关的内控存在重大缺陷的情况下，注册会计师仍通过期后盘点倒轧程序来证实期末余额，获取的审计证据可靠性低。

（四）工作底稿记录不准确、不完整

1. 底稿有关记录与其他信息不符。部分注册会计师不重视内控底稿记录的真实性、准确性和逻辑性，导致底稿记录较为随意，或者与其他信息明显矛盾，与其他底稿勾稽不符。例如零七股份案，公司因存在多起违法违规行为被通报，管理层、治理层频繁变动，牵涉法律诉讼等情形，而注册会计师在“忽视与侵占资产相关的内部控制，凌驾于控制之上或未对已知内部控制缺陷采取补救措施”底稿中均填写为“不存在”；且底稿还记录控制环境“未变化”、“业务层面的风险完全可控”；又如，抚顺特钢案，个别内控审计底稿中访谈记录获得的信息与财务信息不符，后续实质性程序未对上述现象予以查实。

2. 底稿不完整、证据缺失。根据审计准则规定，注册会计师应对制定的审计计划、实施的审计程序、获取的审计证据，以及得出的审计结论完整记录在工作底稿中，证据与之对应，并妥善保管，按要求归档。但部分注册会计师疏于工作严谨性，部分底稿未记录程序结论，或部分底稿和证据未保留，以致被处罚时百口莫辩。如康美药业、东方金钰案，底稿记载部分程序已执行却无证据。

二、内部控制审计程序执行不当的原因

（一）重实质性程序，轻内控程序

内控审计程序是检查公司是否建立完善的内部控制并得到有效执行；实质性程序是检查余额、发生额是否存在重大错报，前者关注过程，后者关注结果，了解内控和控制测试是前置程序。然而，由于内部控制是由一整套体系、政策和程序构成的内在机制，具有抽象的一面，从而显得似乎脱离实际、晦涩难懂，故部分注册会计师倾向于从财务结果出发来看问题，认为对内控的了解和测试过程繁琐，即使经控制测试认定被审计单位内控健全，也不能完全省略实质性测试程序，而实施实质性程序过程中也可发现内控缺陷。因此，注册会计师错误认为内控审计程序增加了工作量，影响了审计效率，将内控审计程序简单看作是形式程序，未从思想上真正重视，有的甚至将实质性程序和内控程序混为一谈，未形成专门的内控底稿，直接以实质性程序底稿取而代之，虽然两者可以相互提供思路，相互印证整合执行，但却忽视了两者的区别。

（二）知识储备欠缺，胜任能力不足

除会计、审计、财管知识外，内部控制还囊括了人力资源、企业文化、公司战略、组织架构等内容。由于不少执业人员缺乏管理领域知识、信息化系统知识、行业见闻等等，加上文字组织和表达能力不佳，导致与企业有关人员沟通交流不畅，未能获得对其内控情况良好和满意的了解，最终导致未能准确识别关键控制点、或识别不完整，未能察觉风险因素、控制偏差。另一方面，对内部控制基本规范、审计准则等法规的学习及实践运用不够，对内控有关底稿编制规范一知半解，因而记录不够清晰准确、前后底稿勾稽和逻辑关系不正确等。

（三）风险容忍度过高

注册会计师过于自信，轻易将内控缺陷看成是日常工作失误，低估内控缺陷的严重性，风险容忍度过高。造成这一现象的原因主要为：害怕失去客户，容易向客户作出妥协；专业能力不强，风险意识不够、职业怀疑能力较弱，过于信赖客户的解释；为了业务收入，淡漠风险；存在侥幸心理，认为不会被查处等等。

三、提高内部控制审计程序实施质量的建议

（一）加强教育和培训，提高职业素养

内部控制涵盖的知识面宽广，随着经济和信息环境的日益变化，对注册会计师知识层次提出了更高要求。注册会计师应紧跟时代发展步伐，补齐知识结构短板。目前部分会计师事务所对员工进行的教育培训很少与内控专题相关，可见其对内控审计规范的强调和要求确有欠缺。因此建议加强对注册会计师相关法规学习和多领域培训，专题专项，按期培训，帮助其知识面和专业能力持续拓宽和深入。

（二）坚定落实强制轮换制度

仅依靠监管处罚无法提高审计公信力，真正保持审计独立性才是防范审计失败的有力保障，强制轮换便是维护审计独立性、提高审计质量的一项重要制度安排，但现实中却存在规避行为。部分项目只是表面轮换，实则项目合伙人及其他关键人员并未变动，独立性隐性下降。因此，建议进一步改善轮换制度现状，一方面会计师事务所要健全内部管理机制，严格执行轮换规定；另一方面轮换后的注册会计师要担负起责任，不过于依赖轮换前注册会计师的工作。

（三）切实重视内控审计程序

内控程序不是形式程序，敷衍了事只会助长企业舞弊，需要转变对内控审计意义的认识，发挥其为财务报表审计提供实质性支持的作用。既要着眼于宏观层面，把握企业所处大环境、行业态势、自身经营发展状况，又要于细微处见真章，严格实施内控审计程序，审慎对待内控缺陷，增强职业敏感性，获取充分适当证据，必要时向企业适当人员报告。同时，项目复核人员要强化责任心，认真检查审视底稿，履行好复核职责，对项目组工作中的不规范、程序和证据不充分、职业判断不合理应追踪跟进，而不是听之任之。

（四）高度关注重大事项相关内控的了解和测试

对重大事项审计不力是审计失败核心所在，而财务舞弊往往与薄弱的内控有关，特定领域存在的重大缺陷越多，财务报表存在重大错报的可能性就会越高，需要获取的审计证据可靠性、相关性要求越高。注册会计师应通过广泛了解公司治理和外部环境、财务数据与经营交易等层面信息，识别和关注对财务报表产生重要影响的内控及其变化，重点关注内控高风险领域，包括资金使用、关联交易、对外担保、投资活动、资产减值、复杂交易、收入确认、特殊事项等的内控流程和控制措施，而不仅仅是常规销售采购生产业务控制的测试，并谨慎评估是否存在由舞弊导致的重大错报风险和管理层凌驾于控制之上的风险，详实记录测试过程、证据和结论。

（五）提升对关键控制点的识别能力，注重控制点测试的完整性

准确完整识别和测试关键控制点对充分适当地获取审计证据起着至关重要作用。处罚案例中，不乏已识别出重大风险领域却因未能识别出与之相关的业务流程中的关键控制活动而未能获取说服力足够的证据，仍然审计失败的案例。注册会计师应充分了解重要交易的控制流程，精准选取与业务流程最关键的控制活动分别进行测试，包括被审计单位用于应对错报或潜在错报的控制、及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制等，并获取与控制活动相匹配的支撑性文件，以证实只有经过核准的业务才被记录；记录准确、及时、完整；与对账、资金收付、岗位职责分工、差异处理程序、信息维护及变更等流程相关的控制有效。