中国由于实行市场经济时间不长,企业刚刚认识到内部控制审计的重要性,对内部控制审计的研究和实践正处于摸索阶段,内控审计思想散见于各部门、各组织的相关文件中,呈现出比较混乱的局面。
(一)企业内部控制审计机构建立模式不合理
20世纪90年代之后,企业为了加强自身管理的需要,其内部控制审计机构在隶属领导层次上有两种模式:一种模式是受董事会或监事会领导;另一种模式是受总经理领导。这两种模式在一定程度上增强了内部控制审计机构的独立性和权威性。前者使内部控制审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督,但会造成经营者对内部控制审计的误解,从而不同程度引发审计风险;后者作为总经理参谋和助手,为单位实现经营目标服务,但是在审计过程中,不可避免地受本单位利益的限制,涉足企业经营活动有关的风险,特别是当面对领导参与或法人违纪时,内部控制审计往往无能为力,从而引发审计风险。
(二)内部控制审计法规体系及管理制度不健全
内部控制审计法律法规体系不健全,依法治审不力。国家审计和社会审计分别有《审计法》和《注册会计师法》作为法律依据,而目前内部控制审计只有审计署发布的《审计署关于内部控制审计工作的规定》,法律级次明显偏低,可操作性不足,使得内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上影响了审计结论的权威性和正确性。《公司法》和《证券法》没有明确要求公司建立有效的内部控制及其鉴证制度。目前,证监会主要通过规范性文件的形式要求进行内部控制评价,如《公开发行证券的公司信息披露编报规则》和《公开发行证券的公司信息披露内容与格式准则》。此外,2006年,上海和深圳证券交易所分别发布《上市公司内部控制指引》,要求从年度报告起披露管理层关于内部控制的自我评价报告,并由会计师事务所发表评价意见。
(三)缺乏统一的内部控制鉴证标准和规范
与美国内部控制审计相比,中国现阶段尚不存在权威且公认的内部控制理论框架,这导致内部控制评价缺乏科学、统一的标准。与美国PCAOB制定的第2号准则《与财务报表审计相关的财务报告内部控制审计》(简称ASNo2)相比,中国注册会计师协会发布的《内部控制审核指导意见》(以下简称《意见》)存在几个缺陷:
1、范围较小。《意见》将范围确定为于会计报表有关的内部控制,而ASNo2强调财务报告内部控制。
2、保证程度较低。《意见》将注册会计师提供的内部控制鉴证界定为审核。从性质上看,类似于AICPA在SSAE(美国审计鉴证准则)中提出的检查。ASNo2将内部控制鉴证界定为一项与财务报表审计协同进行的审计活动,是一种整体性审计。
3、缺乏明确的评价标准。《意见》没有提及实施内部控制审计所依据的具体标准,导致难以判断内部控制是否有效。ASNo2规定,COSO报告为管理层评价财务报告内部控制有效性提供了适当和可用的标准。
4、缺乏切实可行的评价程序。《意见》要求注册会计师遵循3个程序,对注册会计师如何开展财务报告内部控制审计做出详细的规定。
(四)审计方法落后且经营管理者对审计认识不足
目前的内部审计方法是制度基础审计,这种审计方法的弊端日渐突出,已不能适应当今复杂的经营环境。因为它过分依赖被审计单位内部控制制度的测试,本身就蕴藏着巨大的风险。又由于受长期计划经济的影响,部分企业领导人片面地认为内部控制审计就是检查内部经济问题,会影响到企业职工的团结和稳定,分散管理人员的精力,有的认为内部审计限制了自己的经营自主权,削弱了自己的权威,有的将内部审计机构形同虚设,使内审人员无职无权。审计部门与其他部门平行的地位,致使许多内审流于形式,缺乏自身应有的地位和威信,根本无法保证内部控制审计的独立性和权威性。
总体上说,中国企业的内部控制较为落后,与西方发达国家企业相比不仅体系不健全,“内部人控制”比较严重,更甚的还在内部控制基本观念上,认为内部控制只是一大堆制度,没有将内部控制当作企业运作必要的、相互间紧密联系的系统,没有将企业运营融入这个系统中。