从1997年到2002年，中国人民银行、证监会分别颁布了《加强金融机构内部控制的指导原则》（1997）、《商业银行内部控制指引》（2002）、《证券公司内部控制指引》（2001），为保险公司、证券公司、商业银行等金融机构提供了内部控制方面的指导原则。2001年，财政部陆续发布了《内部会计控制规范（试行）》及货币资金、工程项目、对外投资等6个具体规范，为非金融企业的内部控制建设提供了指导原则。2006年，上交所和深交所分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况，并要求公司董事会形成内部控制自我评价报告；注册会计师在对公司进行年度审计时，应出具内部控制评价意见。但考虑到时间上的仓促以及成本的高昂，上交所于2006年12月在《关于做好上市公司2006年年度报告工作的通知》中做出了补充，没有强制要求上市公司披露年度内部控制自我评估报告以及注册会计师对内部控制评估报告的核实评价意见。2008年6月，财政部、证监会、审计署、银监会及保监会联合发布了《企业内部控制基本规范》（下称《基本规范》），《基本规范》合理借鉴了以美国COSO报告为代表的国外内部控制框架，并且根据我国国情进行了调整和改进，制定以风险控制为指引，以财务报告控制为主线。为企业进行内部控制的自我评估和外部评价提供统一标准。随着具体规范和应用指南的陆续发布，由基本规范、具体规范和应用指南组成的内部控制规范体系将对我国上市公司的内部控制制度建设和信息披露提出更加严格的要求。会计师事务所的大部分业务也是与企业的内部控制息息相关的，主要有内部控制咨询、内部控制有效性审计和财务报表审计。因此《基本规范》的实施必将会给会计师事务所的业务发展带来机遇，但同时也带来了风险。

　　一、会计师事务所面临的机遇

　　（一）增加了与企业内部控制相关的业务需求

　　在《基本规范》发布后，全球四大会计师事务所之一的德勤，于2008年7月发布中国上市公司内部控制报告，显示44%的公司认为其已经建立了内部控制体系。而另外56%的公司没有建立或现有内部控制机制尚不完善。由于我国大部分上市公司控制环境先天不足、控制制度不健全等原因导致内部控制薄弱的原因，不符合《基本规范》的要求，必然会要求会计师事务所为其提供内部控制咨询业务，以达到规范的要求，符合上市的条件；另一方面报告显示90%的受访上市公司认为注册会计师对内部控制进行有效性审计有利于企业完善内部控制工作，通过注册会计师的独立检查，有利于帮助企业发现自身内部控制体系存在的问题，提升自身的管理水平，而目前聘请会计师事务所对内部控制进行有效性审计的上市公司不到5%。上市公司披露内部控制自我评估报告并且经会计师事务所审计是未来的发展方向，也是资本市场发展的要求。随着我国市场经济的不断发展。将会有越来越多的公司认识到内部控制的重要性，选择对内部控制的有效性进行审计。

　　（二）为会计师事务所开展内部控制咨询提供了统一的标准

　　在《基本规范》发布之前，我国会计师事务所在进行内部控制咨询时，往往参照国际上的经验和体系（如COSO）或借鉴国内其他一些规定，并考虑一些相关部门的要求。内部控制制度的设计安排都是由会计师事务所和咨询人员根据经验判断来决定的，并不真正适合我国的国情。该规范解决了这一问题，能使内部控制咨询真正提高企业的管理水平和风险防范能力，增加企业的价值。这对会计师事务所开展内部控制咨询业务是有利的。

　　（三）提高会计师事务所财务报告审计的效率，降低审计风险

　　财务报告的审计，随着企业规模的越来越大，不可能直接做实质性测试。而是首先要对被审计单位的内部控制有效性进行评估，这是审计工作的重要组成部分。因此被审计单位的内部控制情况直接关系到财务报告审计的效率和风险。《基本规范》第四十二条特别针对企业建立反舞弊机制做出了规定，如果企业按照《基本规范》的要求建立健全内部控制，就能从根源上杜绝企业内部舞弊事件的发生。而且还可以降低管理层舞弊而导致企业资产流失的风险。目前在会计信息失真主要是由舞弊造成的情况下，《基本规范》的实施更能发挥出降低审计风险、提高财务报告审计质量的作用。

　　二、会计师事务所面临的风险

　　（一）鉴证客户方面

　　目前，我国上市公司内部控制普遍薄弱，对内部控制有效性审计面临较大的风险。德勤的报告显示超半数中国上市公司内部控制不达标，尽管我国上市公司的内部控制现状与2007年相比有些改善，但总体上看，在内部控制建设方面仍存在较大的欠缺，公司认为自身的内部控制体系尚无法完全满足监管机构的要求，并缺乏完善的内部控制体系。由于我国进入市场经济的时间较短，对内部控制认识不到位，法人治理结构不完善，管理人员对内部控制不重视，导致公司控制环境先天不足。公司大部分经营活动在内部控制不健全的情况下进行。即使有些公司建立了比较全面的内部控制制度，但仅仅只停留在纸上而没有严格执行，不能落实到实处。大部分公司的风险管理机制也不健全，事前较少实行风险防御，风险识别和风险评估机制也不完善。会计师事务所对内控如此薄弱的公司进行内部控制有效性审计，可能会面临较大的审计风险。


（二）鉴证依据方面

　　对公司内部控制有效性审计缺乏相关的审计准则。杨有红、汪薇在《2006沪市公司内部控制披露》中对自愿进行内部控制有效性审计的24家公司研究发现：会计师事务所在对公司内部控制有效性进行审计时，有54.2%的会计师事务所依据的是2002年发布的《内部控制审核指导意见》，有41.7%的会计师事务所依据的是2006年发布的《中国注册会计师审计准则》，有4.1%的会计师事务所依据的是2006年发布的《上海证券交易所内部控制指引》。由此看出会计师事务所对内部控制有效性审计没有统一的依据。《内部控制审核指导意见》表面上看是针对内部控制的，但内容和最后的报告格式都仅仅针对财务报告；《中国注册会计师审计准则》中与内部控制有关的就是第1231号准则——针对评估的重大错报实施的程序，但也主要是针对在财务报表审计过程中，如何了解和测试被审计单位与财务报表有关的内部控制，而不是广义的内部控制。会计师事务所要对内部控制发表审计意见，必须有一个专门针对内部控制的统一的审计准则。规范会计师事务所如何确定审计范围、如何审计、如何取得证据、如何界定发现问题的性质等。

　　（三）会计师事务所自身方面

　　会计师事务所缺乏相关具有胜任能力的人才。会计师事务所业务范围的扩大，对具有相关专业知识和丰富经验的人才的需求也大幅增加。另一方面相对财务报表审计而言，内部控制审计需要更多的职业判断。首先在企业方面，因为内部控制是为了防范风险，而风险是还没发生、不确定的，所以企业要先判断哪里有风险，然后判断风险的大小，风险的偏好，还要考虑用什么样的内部控制，将风险控制在可接受的范围内。注册会计师在审计时，也要运用大量的职业判断。因此会计师事务所在缺乏相关具有专业知识和经验的人才的情况下，盲目承接业务会面临较大的审计风险。

　　三、会计师事务风险防范建议

　　（一）建立健全内部控制和风险管理制度

　　会计师事务所在接受客户时，要判断什么样的客户可以接受，要考察客户的控制环境。有没有蓄意欺骗的倾向等。在审计过程中，应履行严格的审验程序。记录详细的审计工作底稿，保持相应的职业谨慎。在证据充分的情况下，才可以出具签证报告。在具体承担业务分派任务时，要制定严格的政策和程序，以合理保证所有聘请的人员均能胜任所分配的任务，将工作委派给技术熟练、经验丰富的人员。考核方面应建立业务评价机制。添加绩效工资，对能力强、审计质量高、有敬业精神的员工，应给予奖励。具体审计项目中，给负责人用人权。充分调动员工的工作积极性，实现小组内的优化组合，使小组成员各司其职，最终实现优胜劣汰。对于审计失败的项目，要及时总结教训，建立责任追究制度。

　　（二）加强对员工内部控制方面的培训，使其具有胜任能力

　　人才是会计师事务所最重要的资产，员工素质的高低体现了事务所核心竞争力的强弱，也是能否向客户提供优质一流服务的首要条件。会计师事务所要在日趋激烈的竞争中生存发展，必须有一支优秀的从业人员队伍，优秀的队伍来自科学的管理和辛勤的培育。培训的核心是开发员工个人潜力以提升工作能力和工作绩效，开发组织潜能以形成相互协作的精神从而提高组织的整体战斗力和绩效水平。通过培训。能使员工提高和改善工作技能，掌握新知识和新技能。以适应业务的需要，具有胜任能力。

　　（三）加强注册会计师的执业风险意识

　　会计师事务所应加强对注册会计师执业风险的教育。注册会计师要充分考虑客户的内部控制情况和管理人员的品行，在执行审计业务时应严格、谨慎地按执业准则审查每一个程序、每一个票据、每一个环节，忠实地履行自己的职责，认真整理审计记录。考虑审计证据是否充分、适当，不能草草审计，匆匆下结论出报告。