小企业内部控制审计

　　简介：小企业的内部控制有其特殊性。2007年5月，美国公众公司会计监督委员会（PCAOB）一致投票通过了新的内部控制审计准则第5号（AS5），取代了颇有争议的审计准则第2号（AS2）。目标之一就是使内部控制审计工作更容易随企业的规模进行调整。AS5中贯穿了对小企业内部控制审计的指导。此后PCAOB组织有小企业内部控制审计经验的注册会计师，进一步研究小企业内部控制审计的特殊性，于2009年1月发布了《小规模上市公司与财务报表审计整合的内部控制审计指引》，推动在规模小的企业中应用AS5。小企业内部控制在我国也越来越受到重视。2008年发布的《企业内部控制基本规范》第二条规定，小企业和其他单位可以参照本规范建立与实施内部控制。2009年启动的创业板要求创业板上市公司要具有会计师事务所签发无保留意见的内部控制审计报告。创业板的一个显著特点是面向成长型的小规模企业。这就使得我国的小企业也面临内部控制审计的要求。小企业的内部控制审计方法不同于大中型企业，本文结合小企业内部控制审计的特点，对小企业的内部控制审计进行探讨。

　　一、小企业内部控制审计的特殊性

　　小企业的内部控制审计在风险评估、识别重要的账户、列报及相关认定、选择拟测试的控制及测试控制设计及运行的有效性等各方面都有显著的不同。具体而言小企业内部控制审计的特殊性在于：

　　1.小企业的管理层直接参与到日常生产经营活动中，流程层面控制少。注册会计师评价企业层面控制可以为对内部控制的有效性发表审计意见提供实质性的证据。

　　2.小企业的管理层次少、管理层权限范围大。这使得高管容易凌驾控制之上或有意提供错报。因此注册会计师更要关注管理层凌驾控制之上及舞弊造成的重大错报的风险。

　　3.小企业的员工少，机构设置相对简单，影响了不相容职责的分开。企业可能会使用服务机构或替代控制实现职责分开，注册会计师应考虑这些替代控制能否实现控制目标。

　　4.小企业业务单一，会计功能集中，信息系统也相对简单。企业会更多地使用成套购进的不加改动的软件，因此信息技术控制测试也存在显著不同。

　　5.小企业由于条件限制，缺少有足够胜任能力的会计专业人士，可能会通过外部专家实现财务报告胜任能力的要求。注册会计师评价企业财务报告胜任能力时要考虑第三方的使用。

　　6.小企业没有或仅有较少的正式内部控制文档，内部控制更多通过非正式的方式如口头沟通来实现。这会影响注册会计师确定控制测试的性质、时间、范围。

　　二、注册会计师审计小企业内部控制的特殊考虑

　　1.评价企业层面控制。小企业公司治理相对不够完善，对高管的制约能力差，决策权相对集中，内部控制的有效性很大程度上取决于管理层的理念及重视程度。因此评价控制环境对于评价小企业内部控制的有效性尤其重要。比如AS5就要求注册会计师采用风险导向、自上而下的方法选择要测试的控制，重点关注企业层面控制。

　　2.评价管理层凌驾控制之上的风险。所有企业都存在管理层凌驾控制之上的风险，而小企业为管理层凌驾控制之上提供了更多机会。注册会计师应实施的程序有：（1）评价诚信及道德价值观念。注册会计师可以通过与员工讨论他们观察到的业务活动，对企业的诚信与道德价值观念充分了解。（2）评价治理层的监管。注册会计师可以检查董事会及审计委员会的活动和会议记录获得其应对管理层凌驾控制之上风险的证据。（3）评价账务处理控制。注册会计师应测试日常核算中的会计分录及调整分录，复核会计估计是否有失公允，评价重要的异常交易的合理性，为是否存在管理层舞弊提供证据。

　　3.评价职责分开。职责分开是指在不同的员工之间划分不相容职务，减少重大错报的风险。小企业的员工少，限制了职责分开，注册会计师应该在审计过程中较早识别职责分开问题以减少相关的风险。而穿行测试有助于识别企业是否实现了职责分开。在通过外部服务机构实现职责分开时，注册会计师要参照审计准则中《对被审计单位使用服务机构的考虑》，了解服务机构中与企业内部控制相关的控制及企业针对服务机构活动实施的控制，并获得相关控制运行有效的证据。替代控制一般是管理层直接的监管及复核，注册会计师可以通过检查相关签章及记录来评价弥补性控制的有效性。

　　4.信息技术控制审计。IT环境的复杂程度对错报的风险及应对风险的控制有显著的影响。小企业IT环境的特点一般有：管理层主要依靠人工控制交易流程；主要使用成套软件，对用户配置的要求低；拥有访问权限的员工少，软件应用的功能简单。小企业一般会购入成套软件，软件的修改由软件的提供者提供更新。因此注册会计师应检查软件的选择、取得安装的过程，评价软件升级是否经授权以及是否及时。

　　5.评价企业的财务报告胜任能力。被审计单位的财务报告胜任能力对财务报告的可靠性有重要影响。连续审计中，注册会计师可以据以往的审计经验判断企业的财务报告胜任能力。比如注册会计师要评价管理层对胜任能力水平的设定；企业是否培训财务报告流程中的员工；审计委员会是否定期复核评价关键财务报告岗位员工的胜任能力。当企业聘请外部财务专家时，注册会计师还应评价管理层的监管是否能正确识别并应对风险，如管理层如何确定外部专家是否拥有必要的素质；是否建立了对外部专家的控制，分派了恰当的员工监管；管理层是否参与了重要假设、判断；如何评价外部服务的准确性及结果。

　　三、对内部控制及其审计制度的建议

　　我国近年来正在逐步健全内部控制标准体系。2006年7月财政部成立了专门的内部控制标准委员会。2008年7月财政部等五部委发布了《内部控制基本规范》，指导企业建立和实施内部控制。相应的配套指引，如《企业内部控制评价指引》《企业内部控制应用指引》和《企业内部控制审计指引》也于2010年4月15日正式发布，以期为企业建立健全内部控制及注册会计师的内部控制审计工作提供指导。配套指引主要是在主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。可见对于我国的小企业内部控制及其审计，我们尚有很长的路要走，在吸收大企业实施经验的基础上，逐步规范和完善。对此，笔者提出以下建议：

　　1.逐步建立小企业内部控制标准体系。内部控制是企业生存、发展壮大的基础，我国的小企业占有相当大的比重，在国民经济中处于十分重要的地位，而很多小企业因为缺乏内部控制而导致失败。目前国内的内部控制标准体系只适用于大中型企业，由于小企业内部控制有其特殊之处，注册会计师在对小企业进行内部控制审计时要根据其特点进行相应的高速。因此应重视小企业的内部控制制度建设，促进小企业加强内部控制，提高小企业内部控制审计的效率效果。

　　2.监管部门适当放宽资本市场上小企业披露的内部控制审计意见的要求。鉴于小企业条件的局限性，与大中型企业相同的无保留意见的内部控制鉴证报告的披露要求会增加小企业的負担，限制小企业进行资本市场发展，或者使小企业通过粉饰内部控制审计报告，进而降低内部控制审计报告的有用性。因此，小企业的内部控制审计报告的要求可以适当放宽。

　　3.注册会计师在实施小企业内部控制审计时要把握重要性原则，主要关注重大错报风险领域的重要控制。内部控制的设立要遵循成本效益的原则，小企业受资源限制，不可能也没有必要像大企业一样建立一套完整的内部控制。小企业的内部控制的建立应该讲求重要性及有效性原则，注册会计师的审计也应适应小企业特点相应加以调整。

小企业内部控制审计

　　简介：小企业的内部控制有其特殊性。2007年5月，美国公众公司会计监督委员会（PCAOB）一致投票通过了新的内部控制审计准则第5号（AS5），取代了颇有争议的审计准则第2号（AS2）。目标之一就是使内部控制审计工作更容易随企业的规模进行调整。AS5中贯穿了对小企业内部控制审计的指导。此后PCAOB组织有小企业内部控制审计经验的注册会计师，进一步研究小企业内部控制审计的特殊性，于2009年1月发布了《小规模上市公司与财务报表审计整合的内部控制审计指引》，推动在规模小的企业中应用AS5。小企业内部控制在我国也越来越受到重视。2008年发布的《企业内部控制基本规范》第二条规定，小企业和其他单位可以参照本规范建立与实施内部控制。2009年启动的创业板要求创业板上市公司要具有会计师事务所签发无保留意见的内部控制审计报告。创业板的一个显著特点是面向成长型的小规模企业。这就使得我国的小企业也面临内部控制审计的要求。小企业的内部控制审计方法不同于大中型企业，本文结合小企业内部控制审计的特点，对小企业的内部控制审计进行探讨。

　　一、小企业内部控制审计的特殊性

　　小企业的内部控制审计在风险评估、识别重要的账户、列报及相关认定、选择拟测试的控制及测试控制设计及运行的有效性等各方面都有显著的不同。具体而言小企业内部控制审计的特殊性在于：

　　1.小企业的管理层直接参与到日常生产经营活动中，流程层面控制少。注册会计师评价企业层面控制可以为对内部控制的有效性发表审计意见提供实质性的证据。

　　2.小企业的管理层次少、管理层权限范围大。这使得高管容易凌驾控制之上或有意提供错报。因此注册会计师更要关注管理层凌驾控制之上及舞弊造成的重大错报的风险。

　　3.小企业的员工少，机构设置相对简单，影响了不相容职责的分开。企业可能会使用服务机构或替代控制实现职责分开，注册会计师应考虑这些替代控制能否实现控制目标。

　　4.小企业业务单一，会计功能集中，信息系统也相对简单。企业会更多地使用成套购进的不加改动的软件，因此信息技术控制测试也存在显著不同。

　　5.小企业由于条件限制，缺少有足够胜任能力的会计专业人士，可能会通过外部专家实现财务报告胜任能力的要求。注册会计师评价企业财务报告胜任能力时要考虑第三方的使用。

　　6.小企业没有或仅有较少的正式内部控制文档，内部控制更多通过非正式的方式如口头沟通来实现。这会影响注册会计师确定控制测试的性质、时间、范围。

　　二、注册会计师审计小企业内部控制的特殊考虑

　　1.评价企业层面控制。小企业公司治理相对不够完善，对高管的制约能力差，决策权相对集中，内部控制的有效性很大程度上取决于管理层的理念及重视程度。因此评价控制环境对于评价小企业内部控制的有效性尤其重要。比如AS5就要求注册会计师采用风险导向、自上而下的方法选择要测试的控制，重点关注企业层面控制。

　　2.评价管理层凌驾控制之上的风险。所有企业都存在管理层凌驾控制之上的风险，而小企业为管理层凌驾控制之上提供了更多机会。注册会计师应实施的程序有：（1）评价诚信及道德价值观念。注册会计师可以通过与员工讨论他们观察到的业务活动，对企业的诚信与道德价值观念充分了解。（2）评价治理层的监管。注册会计师可以检查董事会及审计委员会的活动和会议记录获得其应对管理层凌驾控制之上风险的证据。（3）评价账务处理控制。注册会计师应测试日常核算中的会计分录及调整分录，复核会计估计是否有失公允，评价重要的异常交易的合理性，为是否存在管理层舞弊提供证据。

　　3.评价职责分开。职责分开是指在不同的员工之间划分不相容职务，减少重大错报的风险。小企业的员工少，限制了职责分开，注册会计师应该在审计过程中较早识别职责分开问题以减少相关的风险。而穿行测试有助于识别企业是否实现了职责分开。在通过外部服务机构实现职责分开时，注册会计师要参照审计准则中《对被审计单位使用服务机构的考虑》，了解服务机构中与企业内部控制相关的控制及企业针对服务机构活动实施的控制，并获得相关控制运行有效的证据。替代控制一般是管理层直接的监管及复核，注册会计师可以通过检查相关签章及记录来评价弥补性控制的有效性。

　　4.信息技术控制审计。IT环境的复杂程度对错报的风险及应对风险的控制有显著的影响。小企业IT环境的特点一般有：管理层主要依靠人工控制交易流程；主要使用成套软件，对用户配置的要求低；拥有访问权限的员工少，软件应用的功能简单。小企业一般会购入成套软件，软件的修改由软件的提供者提供更新。因此注册会计师应检查软件的选择、取得安装的过程，评价软件升级是否经授权以及是否及时。

　　5.评价企业的财务报告胜任能力。被审计单位的财务报告胜任能力对财务报告的可靠性有重要影响。连续审计中，注册会计师可以据以往的审计经验判断企业的财务报告胜任能力。比如注册会计师要评价管理层对胜任能力水平的设定；企业是否培训财务报告流程中的员工；审计委员会是否定期复核评价关键财务报告岗位员工的胜任能力。当企业聘请外部财务专家时，注册会计师还应评价管理层的监管是否能正确识别并应对风险，如管理层如何确定外部专家是否拥有必要的素质；是否建立了对外部专家的控制，分派了恰当的员工监管；管理层是否参与了重要假设、判断；如何评价外部服务的准确性及结果。

　　三、对内部控制及其审计制度的建议

　　我国近年来正在逐步健全内部控制标准体系。2006年7月财政部成立了专门的内部控制标准委员会。2008年7月财政部等五部委发布了《内部控制基本规范》，指导企业建立和实施内部控制。相应的配套指引，如《企业内部控制评价指引》《企业内部控制应用指引》和《企业内部控制审计指引》也于2010年4月15日正式发布，以期为企业建立健全内部控制及注册会计师的内部控制审计工作提供指导。配套指引主要是在主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。可见对于我国的小企业内部控制及其审计，我们尚有很长的路要走，在吸收大企业实施经验的基础上，逐步规范和完善。对此，笔者提出以下建议：

　　1.逐步建立小企业内部控制标准体系。内部控制是企业生存、发展壮大的基础，我国的小企业占有相当大的比重，在国民经济中处于十分重要的地位，而很多小企业因为缺乏内部控制而导致失败。目前国内的内部控制标准体系只适用于大中型企业，由于小企业内部控制有其特殊之处，注册会计师在对小企业进行内部控制审计时要根据其特点进行相应的高速。因此应重视小企业的内部控制制度建设，促进小企业加强内部控制，提高小企业内部控制审计的效率效果。

　　2.监管部门适当放宽资本市场上小企业披露的内部控制审计意见的要求。鉴于小企业条件的局限性，与大中型企业相同的无保留意见的内部控制鉴证报告的披露要求会增加小企业的負担，限制小企业进行资本市场发展，或者使小企业通过粉饰内部控制审计报告，进而降低内部控制审计报告的有用性。因此，小企业的内部控制审计报告的要求可以适当放宽。

　　3.注册会计师在实施小企业内部控制审计时要把握重要性原则，主要关注重大错报风险领域的重要控制。内部控制的设立要遵循成本效益的原则，小企业受资源限制，不可能也没有必要像大企业一样建立一套完整的内部控制。小企业的内部控制的建立应该讲求重要性及有效性原则，注册会计师的审计也应适应小企业特点相应加以调整。