我国企业内部控制审计的现实选择:企业内部控制审计
时间:2018-12-23 12:49:45 来源:柠檬阅读网 本文已影响 人 
摘要:财政部2008年制定了《企业内部控制基本规范》,由此引起理论界和实务界对内部控制更为关注。注册会计师对企业内部控制进行审计(鉴证),成为保证内部控制有效性的关键环节,对我国内部控制审计进行深入研究具有重要意义。本文借鉴美国财务报告内部控制审计准则,采用比较研究的方法,通过对财务报告内部控制审计与财务报表审计二者关联的比较分析,提出我国制定内部控制审计准则的选择:对财务报表审计和企业内部控制审计进行整合。并对完善我国内部控制审计制度提出了建议。
关键词:内部控制 内部控制审计 财务报表审计 整合审计
一、内部控制审计产生的背景
(一)美国财务报告内部控制审计准则制定背景 2001年安然事件及其随后的世通等一系列公司经营失败事件严重地损害了公司相关利益者的利益,使人们对对美国资本市场的稳定性和公允性产生了怀疑。为了应对这一严重后果,美国国会于2002年7月颁布了由其总统签署的《萨班斯一奥克利法案》。其中,法案404(a)条款要求上市公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的注册会计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。为贯彻执行404条款,美国PCAOB(公众公司会计监管委员会)于2004年3月发布了第2号审计准则:《与财务报表审计相整合的财务报告内部控制审计》(以下简称ASNO.2),就审计人员根据上市公司管理当局对内部控制有效性的评估报告进行审计做出了具体、详尽的指导。AS No.2成为审计师审计财务报告内部控制,鉴证管理层评估内部控制有效性的标准和依据,从而导致了审计实务的重大变化。PCAOB于2007年5月颁布第5号审计准则《与财务报表审计一体化的财务报告内部控制审计》(以下简称AS NO.5)。AS NO.5在保持了AS NO.2揭示内部控制重大薄弱环节、降低财务报表出现重大错报可能性的基础上更加强调对重要控制的关注,并通过删除不必要的审计程序、修订小规模企业审计准则和简化审计准则来提高揭示重大控制缺陷的效率和准则的可阅读性。
(二)我国企业内部控制审计的发展 内部控制鉴证是注册会计师的重要业务,我国相关证券和金融监管法规中都要求聘请会计师事务所对内部控制进行独立鉴证或评价。为满足注册会计师从事上市公司首发和再融资业务的需要,中国注册会计师协会于2009-年发布了《内部控制审核指导意见》(以下简称《意见》),从而正式确立了我国的内部控制鉴证规范。《意见》第二条说明内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。随着证券市场的发展,我国内部控制鉴证规范已难以适应推动公司管理层切实履行经营管理和受托责任、保护投资者利益和提高审计效率、效果的需要,且不能实现与国际惯例接轨。2008年5月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年魔胄我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由此引出注册会计师需要对企业内部控制进行评价并出具审计报告。《企业内部控制基本规范》为我国企业内部控制制度建设提供了基本标准,在此基础上正在制定与内部控制相关的一系列操作指引。我国为了完善内部控制鉴证规范,在2008年发布了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。
二、内部控制审计相关概念界定
(一)广义内部控制 20世纪90年代,美国“发起组织委员会(cOSO)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制(缪艳娟,2007)。我国2008年制定的《企业内部控制基本规范》中的内部控制,是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由定义可以看出,我国基本采用了美国COSO中内部控制的定义,笔者认为这应是广义的内部控制,这一定义为我国内部控制制度建设提供了基本标准,也是本文所采用的内部控制的涵义。
(二)狭义内部控制笔者认为,狭义内部控制的定义应借鉴PCAOB发布ASNO.5审计准则所定义的“财务报告内部控制”。我国的狭义内部控制应定义为,由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。狭义内部控制包括以下方面的政策和程序:保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况;合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权;合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。这一狭义内部控制概念的提出主要是为注册会计师对企业内部控制进行审计时,专门针对财务报告领域的内部控制有效性发表审计意见。
(三)内部控制审计在借鉴美国ASNO.5"财务报告内部控制审计”概念的基础上,结合我国具体情况,笔者认为我国内部控制审计可定义为:注册会计师接受委托,对企业在特定时点(以下称审计基准日)管理层针对与财务报告相关的内部控制有效性做出的自我评价进行审计,并发表审计意见。需要说明的是此时的内部控制是前文述及的狭义内部控制,如果注册会计师对内部控制的所有方面进行评价,即对广义内部控制进行评价,其可行性受到一定制约,超出了其专业胜任能力,因此评价范围应具体有所指,才真正具有实际意义和可行性。
三、内部控制审计与财务报表审计的关联分析
(一)业务类型相同 注册会计师的业务类型包括鉴证业务和相关服务。根据鉴证对象信息是否能被预期使用者获取,鉴证业务分为基于责任方认定的业务和直接报告业务;根据保证程度,鉴证业务可以分为合理保证业务和有限保证业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价和计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在内部控制审计中,被审计单位管理层(责任方)对与财务报告相关的内部控制的有效性(鉴证对象)进行评价而形成评估报告(鉴证对象信息),即为责任方的认定,该评估报告可为预期使用者获取,注册会计师针对评估报告出具审计报告。在财务报表审计中,被审计单位管理层(责任方),对财务状况、经营成果和现金流量(鉴证对象)进行确认、计量和报告而形成财务报表(鉴证对象信息),即为责任方的认定,该财务报表 可为预期使用者获取,注册会计师针对财务报表出具审计报告。通过上述分析可知,内部控制审计与财务报表审计都属于基于责任方认定的,合理保证的鉴证业务,两者业务类型相同。但实务中注册会计师对与财务报告相关的内部控制的评价是主观的、定性的,能否真正做到合理保证还存在疑问。
(二)审计目标的共同性 虽然对内部控制审计和财务报表审计的目标各有所侧重,但两者的共同目标都是为了向企业外部信息使用者提供决策有用的高质量的会计信息提供合理保证,提高对外公布的财务报表信息的质量。
(三)控制测试对实质性程序的影响 如果在内部控制审计中识别出某项控制缺陷,注册会计师应当确定该项缺陷对为将财务报表的审计风险降至适当的低水平,拟实施的实质性程序的性质、时间和范围的影响(如有任何影响)。无论与财务报表审计相关的控制风险评估水平或评估的重大错报风险如何,注册会计师都应当对所有相关认定实施实质性程序。为对内部控制发表意见而实施的程序并不减弱该项要求。
(四)实质性程序对注册会计师就控制运行有效性结论的影响 在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对内部控制有效性的影响。评价内容主要包括:注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;发现的违反法规行为和关联方交易情况;表明管理层在作出会计估计和选择会计原则时存在偏见的情况;实质性程序发现的错报。该项错报的严重程度可能使注册会计师改变对控制有效性的判断。为了获取有关选择拟测试的控制是否有效的证据,注册会计师应当直接测试该项控制,而不能根据实质性程序没有发现错报,推断该项控制的有效性。然而,注册会计师实施实质性程序没有发现错报,也有助于注册会计师在确定针对某项控制的有效性得出结论所必需的测试时作出风险评估。
(五)工作成果可以互为所用 由于财务报告内部控制审计和财务报表审计相互影响,为了节约审计成本和审计资源,二者的工作成果可以互为所用而且不会降低审计质量。具体来讲:当注册会计师接受委托,对企业财务报表进行审计的同时,又受托对该企业内部控制进行审计。此时注册会计师需要对内部控制进行审计并提出审计报告,在其进行财务报表审计时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。当注册会计师已对内部控制进行了审计并已提供审计报告,之后又接受委托对该企业财务报表进行审计,这样在进行财务报表审计时不需进行内部控制评价。可以直接利用内部控制审计报告中的结论。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任.关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。当注册会计师先接受委托对企业财务报表进行审计,并提供了财务报表审计报告,此后才接受委托对该企业的内部控制进行审计。在这种情况下,注册会计师在财务报表审计时一般已进行了内部控制评价,并且可能提供了管理建议书,因此注册会计师在内部控制审计中可以利用财务报表审计中的内部控制评价结论,但这一结论的准确度一般不高,注册会计师不能直接利用,而要在其基础上,补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价,并出具审计报告。
四、我国企业内部控制审计的现实选择
(一)内部控制审计与财务报表审计的整合 通过对内部控制审计和财务报表审计的比较可以看出.两者业务类型相同.都属于基于责任方认定的合理保证业务;工作的最终目的都是为外部信息使用者提供高质量的会计信息;两者都强调风险导向思路,即评估、识别和应对风险;且两者的工作成果相互影响,互为所用。鉴于二者的关联性,将内控制审计和财务报表审计进行整合,将有助于提高审计效率,保证审计质量。美国AS NO.2也明确指出,上市公司的审计人员需要在财务报表审计的同时进行财务报告内部控制审计,并提出了整合审计的理念(Integrated Audit)。在对内部控制审计与财务报表审计整合进行时,注册会计师应有效、协同地计划和执行审计工作,以实现两者的目标。在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
(二)明确内部控制审计业务的评价标准 内部控制鉴证业务属于历史财务信息审计或审阅业务之外的其他鉴证业务。正如在开展历史财务信息审计或审阅业务需要依据会计准则和相关会计制度,在开展财务报告内部控制时,注册会计师同样也需要一定的判断标准,标准的适当与否直接影响着最终目标的实现。财务报告内部控制具有其特殊性,其鉴证对象是非财务数据,对其进行评价比较困难,目前世界各国并没有统一的或者非常接近的内部控制标准。美国As NO.5明确将COSO报告作为判断财务报告内部控制有效性的框架,我国财政部于2001年先后发布《内部会计控制规范――基本规范》和相关的具体控制规范。但这些规范在形式上属于内部会计控制标准,且较为分散,难以满足内部控制鉴证业务的需要。财政部于2008年会同证监会、审计署、银监会、保监会制定发布《企业内部控制基本规范》,明确了我国内部控制审计的评价标准,但还有许多方面有待完善。
(三)制定内部控制审计指引和应用指南应关注的问题 我国在建立具有可操作性的内部控制评价指引和应用指南时。有关内部控制审计业务的理论还存在争议,笔者就此提出了一些看法:(1)内部控制审计业务类型是继续沿用审核,还是作为审计或其他鉴证业务。通过前文分析可知,审核地位过低,所以应建议作为审计业务,而且与财务报表审计的相整合。(2)内部控制审计业务由谁来承接,是同一会计师实务所还是不同的会计师事务所。从前文分析可知,内部控制审计应与财务报表审计整合进行,所以建议由同一会计师事务所进行企业的内部控制审计和财务报表审计,因为如果交由不同的会计师事务所进行,会计师事务所之间还要进行沟通。这样就增加了审计成本,降低了审计效率。(3)要求注册会计师审计广义内部控制还是狭义内部控制。如果按《内部控制审核指导意见》中要求审计与会计报表相关的内部控制,笔者认为与会计报表相关的内部控制范围过小;如果审计广义内部控制会被认为我国指引甚至比SOX法还严,而且所扩大的监管内部控制的外延也是注册会计师不能胜任的,会使其暴露在高风险的境地,同时难以落实和界定注册会计师的审计责任;而注册会计师审计狭义的内部控制突破了广义的内部控制面面俱到实际却流于形式的缺陷。强调要突出财务报告层面内部控制的重要性、责任及范围,直接指向资本市场上日益严重的上市公司经营失败、公司舞弊现象,具有明显的针对性和可操作性,对于提高资本市场信息质量、加强独立审计的有效性具有重要意义。(4)对内部控制时点还是时期发表意见。由前文分析知,内部控制审计倾向于对时点发表意见,由于情况发生变化,或者控制政策或程序的遵循程度可能变坏,致使控制可能变得不适当,对未来时期内部控制有效性的任何评价作出预测都存在风险。所以应建议对时点发表审计意见。(5)内部控制审计报告意见段中,是提及认定还是不提及认定。按照《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。可见注册会计师是在管理层认定基础上的再认定,所以在报告中要提及管理层对内部控制的评价报告。
