一、小企业内部控制审计的特殊性

小企业的内部控制审计在风险评估、识别重要的账户、列报及相关认定、选择拟测试的控制及测试控制设计及运行的有效性等各方面都有显著的不同。具体而言小企业内部控制审计的特殊性在于：

1.小企业的管理层直接参与到日常生产经营活动中，流程层面控制少。注册会计师评价企业层面控制可以为对内部控制的有效性发表审计意见提供实质性的证据。

2.小企业的管理层次少、管理层权限范围大。这使得高管容易凌驾控制之上或有意提供错报。因此注册会计师更要关注管理层凌驾控制之上及舞弊造成的重大错报的风险。

3.小企业的员工少，机构设置相对简单，影响了不相容职责的分开。企业可能会使用服务机构或替代控制实现职责分开，注册会计师应考虑这些替代控制能否实现控制目标。

4.小企业业务单一，会计功能集中，信息系统也相对简单。企业会更多地使用成套购进的不加改动的软件，因此信息技术控制测试也存在显著不同。

5.小企业由于条件限制，缺少有足够胜任能力的会计专业人士，可能会通过外部专家实现财务报告胜任能力的要求。注册会计师评价企业财务报告胜任能力时要考虑第三方的使用。

6.小企业没有或仅有较少的正式内部控制文档，内部控制更多通过非正式的方式如口头沟通来实现。这会影响注册会计师确定控制测试的性质、时间、范围。

二、注册会计师审计小企业内部控制的特殊考虑

1.评价企业层面控制。小企业公司治理相对不够完善，对高管的制约能力差，决策权相对集中，内部控制的有效性很大程度上取决于管理层的理念及重视程度。因此评价控制环境对于评价小企业内部控制的有效性尤其重要。比如AS5就要求注册会计师采用风险导向、自上而下的方法选择要测试的控制，重点关注企业层面控制。

2.评价管理层凌驾控制之上的风险。所有企业都存在管理层凌驾控制之上的风险，而小企业为管理层凌驾控制之上提供了更多机会。注册会计师应实施的程序有：

（1）评价诚信及道德价值观念。注册会计师可以通过与员工讨论他们观察到的业务活动，对企业的诚信与道德价值观念充分了解。

（2）评价治理层的监管。注册会计师可以检查董事会及审计委员会的活动和会议记录获得其应对管理层凌驾控制之上风险的证据。

（3）评价账务处理控制。注册会计师应测试日常核算中的会计分录及调整分录，复核会计估计是否有失公允，评价重要的异常交易的合理性，为是否存在管理层舞弊提供证据。

3.评价职责分开。职责分开是指在不同的员工之间划分不相容职务，减少重大错报的风险。小企业的员工少，限制了职责分开，注册会计师应该在审计过程中较早识别职责分开问题以减少相关的风险。而穿行测试有助于识别企业是否实现了职责分开。在通过外部服务机构实现职责分开时，注册会计师要参照审计准则中《对被审计单位使用服务机构的考虑》，了解服务机构中与企业内部控制相关的控制及企业针对服务机构活动实施的控制，并获得相关控制运行有效的证据。替代控制一般是管理层直接的监管及复核，注册会计师可以通过检查相关签章及记录来评价弥补性控制的有效性。

4.信息技术控制审计。IT环境的复杂程度对错报的风险及应对风险的控制有显著的影响。小企业IT环境的特点一般有：管理层主要依靠人工控制交易流程；主要使用成套软件，对用户配置的要求低；佣有访问权限的员工少，软件应用的功能简单。小企业一般会购入成套软件，软件的修改由软件的提供者提供更新。因此注册会计师应检查软件的选择、取得安装的过程，评价软件升级是否经授权以及是否及时。

5.评价企业的财务报告胜任能力。被审计单位的财务报告胜任能力对财务报告的可靠性有重要影响。连续审计中，注册会计师可以据以往的审计经验判断企业的财务报告胜任能力。比如注册会计师要评价管理层对胜任能力水平的设定；企业是否培训财务报告流程中的员工；审计委员会是否定期复核评价关键财务报告岗位员工的胜任能力。当企业聘请外部财务专家时，注册会计师还应评价管理层的监管是否能正确识别并应对风险，如管理层如何确定外部专家是否佣有必要的素质；是否建立了对外部专家的控制，分派了恰当的员工监管；管理层是否参与了重要假设、判断；如何评价外部服务的准确性及结果。

三、对内部控制及其审计制度的建议

我国近年来正在逐步健全内部控制标准体系。2006年7月财政部成立了专门的内部控制标准委员会。2008年7月财政部等五部委发布了《内部控制基本规范》，指导企业建立和实施内部控制。相应的配套指引，如《企业内部控制评价指引》《企业内部控制应用指引》和《企业内部控制审计指引》也于2010年4月15日正式发布，以期为企业建立健全内部控制及注册会计师的内部控制审计工作提供指导。配套指引主要是在主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。可见对于我国的小企业内部控制及其审计，我们尚有很长的路要走，在吸收大企业实施经验的基础上，逐步规范和完善。对此，笔者提出以下建议：