李晓红

　　本文通过深度剖析2012年度被出具非标准审计意见的24家上市公司的内部控制审计报告，对披露的各种内控缺陷进行深入分析、归类总结，找出风险较为集中的领域，并据此对企业未来建立健全内部控制，有效防范各类风险提出建议。

　　一、2012年度上市公司内部控制审计总体情况

　　2012年度是中国上市公司全面实施《企业内部控制基本规范》及其配套指引的第一年。截止到2013年4月末47家会计师事务所对949家上市公司实施了内部控制审计，并出具了内部控制审计报告，相较于2011年的67家公司，在数量上有了大幅提升。

　　(一)内部控制审计报告的意见类型

　　根据五部委《企业内部控制审计指引》以及中注协《企业内部控制审计指引实施意见》的要求，内部控制审计报告的意见类型共分为四种，即“无保留意见”、“带强调事项段的无保留意见”、“否定意见”和“无法表示意见”。各项意见的具体含义是：

　　“无保留意见”：在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制。注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

　　“带强调事项段的无保留意见”：内部控制虽然不存在重大缺陷，但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意，注册会计师应当在内部控制审计报告中增加强调事项段予以说明。

　　“否定意见”：如果认为内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见。

　　“无法表示意见”：注册会计师只有实施了必要的审计程序，才能对内部控制的有效性发表意见。如果审计范围受到限制，注册会计师应当解除业务约定书或出具无法表示意见的内部控制审计报告。

　　除了“无保留意见”以外，其他的审计意见均称之为“非标准审计意见”。取得标准无保留意见的审计报告应当是每一家上市公司追求的目标。

　　(二)2012年度上市公司内部控制审计意见汇总

　　在截止到2013年4月末出具的949份审计报告中，被出具“非标准审计意见”的内部控制审计报告达24份(其中否定意见4份)，占所有内部控制审计报告的2.53%。而2011年度仅有一家被出具否定意见，占内部控制审计报告总数的1.49%。(见表1)

　　二、非标准审计意见详解

　　在2012年度被出具了非标准审计意见的24家企业中，4家为否定意见，20家为带强调事项段的无保留意见。笔者将在文中详细剖析其被出具非标准审计意见内部控制审计报告的原因

　　(一)“否定意见”报告解析

　　A公司

　　A公司是2012年度被会计师事务所出具内控有效性“否定意见”的第一家企业。经笔者分析该公司被出具“否定意见”的原因主要有以下几点：(1)子公司管理层逾越管理权限审批使用资金，且母公司未能对子公司实施有效控制。(2)母公司与部分子公司的公司治理架构不健全或者部分组织机构未能有效运作;(3)未有效执行资产减值测试、定期核对往来款项、依法取得涉税凭证和准确计缴税金等;(4)未有效执行重大信息内部报告制度，未及时识别出需履行信息披露义务的事项和及时履行信息披露义务。

　　A公司的《内部控制自我评价报告》中提到公司治理结构有待进一步完善，其披露的重大、重要缺陷主要包括发展战略缺失，岗位职责不明确，大额资金运作审批操作不规范，信息披露不及时等方面。

　　结合A公司《内部控制审计报告》与《自我评价报告》中的有关内容，笔者发现其在内部控制的设计及运行两个层面均存在重大缺陷，将两份报告中提及的内控缺陷进行分类汇总，可以发现设计层面的重大缺陷主要集中在不相容职责分离、全面预算和制度建设方面;运行层面的重大缺陷主要集中在授权审批、治理架构、信息沟通和制度执行方面。

　　B公司

　　B公司被出具“否定意见”的原因主要有以下几点：(1)B公司虽建立了定期往来账对账制度，但该制度未得到有效执行，导致往来账户长期、经常出现差异而未被发现，且在结账环节，未合理确定本期应计提的坏账准备;(2)B公司对销售业务的会计处理存在需改进的地方，存在未发货而提前确认销售收入、未确认成本;以及已发货、满足收入确认条件而未确认收入成本的现象;(3)B公司未建立投资业务的会计系统控制，未能及时、准确地确认投资收益及合理计提减值准备;(4)B公司在资产盘点工作上存在缺陷，年度财务决算前未组织固定资产盘点，存货盘点结果也未能及时进行账务处理;(5)B公司未建立期末财务报告流程控制制度，缺乏财务报表的复核及审批控制，重要子公司历年的审计调整事项均未做账务处理，未见管理层及治理层人员对期末报告流程进行监控。

　　B公司的2012年度《内控自我评价报告》未使用财政部会计司提供的统一模板，报告认为自身在财报相关的内部控制上是有效的，且并未对内控自评缺陷进行认定。

　　根据《内部控制审计报告》，笔者将B公司的内控缺陷进行分类，发现设计层面的缺陷主要集中在会计控制、制度建设和资产清查方面;运行层面的缺陷主要集中在制度执行方面。

　　值得一提的是B公司于5月30日补充披露了一份《内控自我评价报告》，披露了部分内控缺陷，包括资产盘点问题，往来账核对问题和投资业务的会计系统控制问题。需要注意的是，B公司仍未在《内控自评报告》中说明具体的内控缺陷认定标准，也没有说明上述缺陷的重要性程度，即属于重大缺陷、重要缺陷还是一般缺陷。

　　C公司

　　C公司被出具“否定意见”的原因是在成本核算上存在漏洞，即大宗原材料的成本核算基础薄弱，部分暂估入账的大宗原材料缺少原始凭证(如包括原材料数量、供应商名称等信息的入库单)，影响该存货的发出成本结转与期末计价的正确性。此项重大缺项导致C公司2012年度未审财务报表的本期数据和前期数据中“营业成本”、“应付账款”、“存货”等项目存在重大会计差错。

　　而查看该公司的内部控制自评报告，发现其对这一结论却并不认同。公司认为该缺陷是由于公司和事务所在原材料核算办法上存在认识差异导致的，公司原料采购跨会计年度，之前的核算方法是遵循行业普遍存在的一惯性做法，之前会计事务所对此也没提出重大异议，因此才出现本次自查中发现的缺陷。

　　D公司

　　D公司被出具“否定意见”的原因是该公司因涉嫌违反证券法律法规被中国证券监督管理委员会立案调查;财务报告中多个科目发生了重大前期差错调整，公司更正已经发布的2009年度、2010年度、2011年度的财务报表。同期，会计师事务所对公司的财务审计出具了保留意见。公司存在从非客户方转入大额资金冲减应收账款，并于次年年初转回的情况。

　　D公司也在《内控自我评价报告》中指出公司内控制度执行的有效性存在缺陷，对于与财务报表准确性相关的内部控制执行存在重大缺陷，需要进一步整改。

　　(二)“带强调事项段的无保留意见”报告解析

　　在20份带强调事项段的无保留意见内部控制审计报告中，有一部分强调事项是对内部控制审计范围的附加说明，还有一些是对公司的重大事项或突发事项的特别公告，因此并不完全与内控缺陷相关。与内控缺陷相关的强调事项有以下几点：(1)组织架构和岗位设置不健全，不相容职责未得到有效分离;(2)部分关键业务和流程的制度规定不明确;(3)内控管理过程中部分重要资料缺失;(4)制度执行不完善;(5)部分业务的会计处理不符合会计准则要求。

　　三、2012年内部控制审计结果带给企业的启示

　　(一)缺陷分析

　　2012年披露的内控重大缺陷共计24个，笔者希望通过分类分析，找出缺陷比较集中的高风险领域，引起企业管理层的关注，从而有的放矢的完善本企业的内部控制。

　　按缺陷性质分类分析

　　按照设计层面与运行层面进行分类，设计类缺陷为14个，占总数的58%，运行类缺陷为10个，占总数的42%。

　　启示1：设计有效性缺陷造成的不利影响往往高于运行有效性缺陷，应是企业关注的重点。

　　在2012年度的内部控制审计缺陷中，与设计有效性相关的重大缺陷占据了较大比例。设计有效性缺陷因涉及整个制度或流程的缺失，从而使相关的风险无法得到有效控制，无法达成控制目标，会对企业造成较大不利影响。但在长期运作的内部控制体系中，随着对制度、流程的不断梳理完善，设计有效性缺陷在所有缺陷中的比例应会不断下降。

　　启示2：企业应通过建立健全内部监督机制确保制度及流程的有效运行。

　　即使是设计完善的内控体系，如果未能得到有效的运行，仍然可能导致重大风险。这一方面是由于内部控制的局限性(例如串通舞弊、管理层逾权、疏忽大意等)，另一方面是由于缺乏有效的内部监督机制，督促既有制度及流程的有效运行。

　　内部监督机制包括日常的来自各个业务条线管理层或职能部门的过程及结果监控，也包括定期组织的内控自评及内部审计。在带强调事项段的审计报告中，多处提及了企业未能建立有效的内部监督机制，尤其是内部审计机制。

　　按缺陷内容分类分析

　　将24个重大缺陷按照缺陷内容进行分类(见图2)：

　　通过分析上述数据，企业可得到如下启示：

　　启示1：加强制度建设形成制度定期梳理机制是完善内部控制的重要措施。

　　披露的与制度相关的缺陷是2012年度内部控制审计中占比最高的，占到38%。企业应当以此为鉴，确保企业内既有的流程及操作都有明确的制度进行规范。在建立了相关制度后，还应至少每年对制度进行梳理与回顾，根据经济业务的变化，实时增加新制度、作废过时制度、修订存在差异的制度以及关注制度的实际执行情况是否与规定一致。

　　启示2：在各种类型的控制活动中均有可能存在重大缺陷。

　　从2012年度内部控制审计中披露的重大缺陷分布来看，缺陷的种类涉及治理架构、制度建设、授权审批、不相容职责、会计控制、全面预算、资产清查、信息沟通等等。任意一类控制活动失效均可能导致非标准的内部控制审计意见出现重大缺陷。

　　企业在内部控制体系的建立与完善过程中，应当综合考量各类控制活动潜在的风险，不应过分偏重某类控制活动而忽略其他类型的控制活动。

　　(二)财务审计报告与内部控制审计报告之间的关系分析

　　除了总结缺陷带给企业的启示之外，笔者通过分析上述企业披露的《财务审计报告》和《内部控制审计报告》之间的关系，发现已披露的内控缺陷集中在与财务报告高度相关的领域。这主要由于多数企业采取财务审计与内控审计相互整合的审计方法，以及部分会计师事务所受内部控制审计经验的限制，内部控制审计范围还局限在与财务报告高度相关的领域，甚至直接与具体经济损失或财报差错相关。企业应当注意，根据《企业内部控制基本规范》及其配套指引的定义，重大内控缺陷不仅仅是指已产生了经济损失或财报差错的缺陷，也包括可能会造成潜在损失或错报，以及对企业声誉、安全等定性指标造成损害的缺陷。随着会计师事务所审计经验的不断积累，这方面缺陷也将得到更多的关注。

　　启示1：与信息系统相关的内控风险应引起企业重视。

　　通过分析已披露的24个重大缺陷，笔者发现2012年度的内部控制审计中，并未出现与信息系统相关的内控缺陷。而以笔者在公司内控体系建设阶段的经验看，一般情况下，在依赖信息系统实施各项业务的企业中与信息系统相关的内控缺陷会占到整体内控缺陷的20%-30%。这主要是由于会计师事务所对于信息系统相关内控活动的审计程序与方法尚缺乏经验积累。随着企业内部对信息系统的依赖不断提高，其潜在的风险也将随之不断增高，应引起企业管理层的充分重视。对会计师事务所而言，随着内部控制审计经验的累积，也会逐步增强对信息系统审计的重视。

　　启示2：未来企业内控工作应更好地与风险管理相结合，实现风险导向的内部控制。

　　参照美国萨班斯法案发展经验与中国监管机构的最新动向，中国企业在未来的内控工作中要注意以风险为导向，将内控工作重心放在高风险领域，将内控工作更好地与风险管理相结合，实现风险导向的内部控制;同时，要强调高级管理层的控制责任，高级管理层在充分理解公司主要风险的基础上，对内控工作加以监督和指导。此外，不难预见未来监管要求将更趋精细化和严格化，将会从目前通用于各个行业的基本规范及应用指引，逐步拆分出适用于特定行业或领域的、更加细化的内控监管规定。对于内控工作的实施、评价、审计及披露的具体要求与监督力度等也将持续加强。与此同时，对于财务报告的合法性和公允性、自评及审计工作底稿的编制与保存等方面出现违规操作或发现舞弊及欺诈行为时的处罚都将不断进行明确与加强。