关键词:上市公司;内部控制审计报告;披露
2008年颁布的《内部控制基本规范》提出上市公司可聘请会计师事务所对内部控制的有效性进行审计。2010年4月《企业内部控制配套指引》指出企业“应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告”,同时给出内部控制审计报告的参考格式。在此背景下,本文将对我国上市公司内部控制审计报告的披露现状及问题进行研究。
一、我国上市公司内部控制审计报告披露现状
本文选取2010年沪市A股年报中自愿披露内部控制审计报告的上市公司为研究对象,共239家。其中有9家上市公司虽然声称披露了核实评价意见但找不到具体的意见报告,还有7家只在内部控制评价报告中简要说明了审计意见。因此,实际以报告形式披露内部控制审计意见的共有223家。在内部控制基本规范和配套指引之后,我国披露内部控制审计报告已经有很大的改善,具体表现在:
首先,数量上有所增加。沪深两市在2007年报中仅有175家披露了审计师对管理层自我评价报告的审核意见,筛选之后只有156家,而在基本规范和配套指引之后2010年仅沪市A股就有223家,数量上大幅增长。
其次,内容上逐渐规范。223份报告中只有1份没有管理层的责任、4份缺少内部控制固有缺陷的描述,其余都包括管理层或董事会对内部控制的责任、注册会计师的责任、内部控制的固有局限性和财务报告内部控制审计意见这四个部分,基本符合配套指引所给出的内部控制审计报告的参考格式。
二、我国上市公司内部控制审计报告存在的问题
第一,我国上市公司内部控制审计报告名称混乱。虽然沪市A股中有223家公司的年报声称披露了审计机构对公司内部控制报告的核实评价意见,但是报告名称却包括“内部控制制度报告”、“自我评估报告的核实(审核)评价意见报告”等多种。其中,真正以“内部控制审计报告”命名的报告只有15份,仅占6.73%,而最多的“内部控制(专项)鉴证报告”有110份,占比49.33%。然而,鉴证、审核、核实评价等词并不能与审计等同,主要体现在保证程度的不同。以审核为例,内部控制审核提供的是有限保证,内部控制审计提供的则是合理保证,审核不可随意替代审计。名称的不一致不仅会使内部控制审计报告难以在格式上形成统一规范,还会影响利益相关者对报告的查阅和理解。
第二,内部控制审计报告中披露的几乎都是标准审计意见。企业内部控制审计指引中给出了四种内部控制审计报告的参考格式:标准(无保留)、带强调事项段的无保留意见、否定意见和无法表示意见。然而,在样本数据中,除了1份没有表示具体意见的报告,其余全为无保留审计意见。这可能是由于上市公司不愿披露非标准审计意见的报告,但是更多的还是因为会计师事务所未保持独立性,多为附和被审公司的要求而出具无保留意见,使内部控制审计流于形式。
第三,内部控制审计报告中极少涉及非财务报告内部控制。企业内部控制审计指引指出,在内部控制审计报告中应增加“非财务报告内部控制重大缺陷描述段”,意味着企业内部控制审计的范围应包括非财务报告内部控制。然而,在223份中只有1份内部控制审计报告简单提及非财务报告内部控制,其余报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性,对非财务报告的内部控制并无涉及。这与内部控制配套指引尚未正式在上市公司实施有关,更是因为长久以来人们将内部控制片面理解为与财务报告有关,忽视了非财务报告的内部控制。
三、改进我国上市公司内部控制审计报告的建议
第一,加快制定专门的内部控制审计准则。目前,我国上市公司内部控制审计报告的披露有所改善,但是仍存在不少问题。主要是因为基本规范和配套指引只是对上市公司给出指导和建议,并不具有法律上的强制力,即使上市公司不遵循,也没有相应的处罚措施,上市公司的执行力度较低。所以,应当制定专门的内部控制审计准则,在准则中强制要求上市公司披露内部控制审计报告,并统一规定报告名称和格式。
第二,加强会计师事务所独立性。针对会计师事务所普遍出具无保留意见的情况,首先我国会计师事务所应加强对注册会计师的职业道德教育以保持形式和实质上的独立,其次承接内部控制审计的事务所应定期更换,最后注册会计师协会应加强对会计师事务所的监管。
第三,转变对内部控制审计的认识。无论是会计师事务所还是上市公司都应转变对内部控制审计的认识,要认识到非财务报告内部控制的重要性,在进行内部控制审计的时候,既应当对财务报告内部控制的有效性进行审计,还应当对非财务报告内部控制中存在的问题进行说明。
参考文献:
1、企业内部控制基本规范,企业内部控制配套指引[M].法律出版社,2010.
2、袁敏.上市公司内部控制审计问题与改进――来自2007年年报的证据[J].审计研究,2008(5).
关键词:小规模企业;内控制度;审计;影响
我国《独立审计具体准则第七号———审计报告》规定了四种审计意见类型。注册会计师出具审计报告必须实施必要的审计程序,在充分的审计证据支持下发表审计意见,审计意见的对象是被审计单位的会计报表。而根据《中华人民共和国会计法》的要求,企业提供的会计资料要做到真实、完整,所谓真实就是会计报表反映的经济内容真实,会计处理符合企业会计准则和相关的会计制度规定;完整就是企业所有的经济业务必须纳入会计报表体系,而完整的前提条件是企业必须有健全的内部控制制度并得到良好执行。由此可见,企业内控制度建立及执行情况对注册会计师正确发表审计意见具有举足轻重的作用。尤其在小规模企业普遍存在内控制度不健全,有的根本没有内控制度的情况下,更要重视内控制度对审计意见的影响,以规避审计风险。不少注册会计师在审计实务中采用回避方式,不对内控制度作深入地研究与评价,只是做一些形式上的工作底稿,以应付复核和检查,在对企业内控制度根本没有实质测试的前提下发表审计意见,意见类型主要是无保留意见及保留意见,很少有否定意见和无法表示意见。本文就此提出一些看法。
一、建立健全内控制度并得到良好执行是提供真实完整的会计报表的前提条件
一般认为构成财务报告公允、准确呈报的三道重要防线分别为:公司内部控制制度、公司治理结构和独立审计师的审计。其中内部控制是一组程序,受到公司董事会、管理层以及其他人员的影响,合理保证了经营活动的效率效果、财务报告的可靠性和合规性目标的实现。有效的内控制度能防止舞弊形为的发生,保证资产安全和完整。内控制度是企业董事会和经理阶层为确保企业财产安全和完整、提高会计信息质量、实现经营管理目标而建立和实施的一系列具有控制职能的措施和程序。内控制度是企业内部管理的事,因此,法律往往不作具体的规定,而只是原则性的规定企业必须建立健全内部控制制度,建立内部控制制度并保障其顺利运行是管理当局的责任,对于具体的控制方式和程序只制定相应的规范。内控制度的目标是实现企业的目标,根本作用在于衡量和纠正下属人员的活动,以保证事态的发展符合计划的要求,它要求按照目标和计划对工作人员的业绩进行评价,找出消极偏差,采取措施得以改进,提高企业的经济效益,防止资产的损失,保证企业预定目标的实现。
有效的内控制度可以规范会计行为,保证会计资料真实、完整,堵塞漏洞,防止并及时发现、纠正错误和舞弊行为,保护资产的安全、完整,确保国家有关法律、法规和单位内部规章制度的贯彻执行。
虽然《中华人民共和国会计法》有明确要求:各单位应建立内部会计监督制度。企业经营的目标为追求利益最大化,从这点上看,健全内控制度必然是企业的内在要求。但不同的企业的价值取向或实现方式存在较大差异,国有企业及其他大中型企业管理当局对企业价值实现方式的理解不局限于经济效益的增长,较多地考虑国家法律、法规及企业未来的发展,所以,对企业内控制度的建立健全相对重视。而小规模企业的管理当局对企业价值的实现方式的理解更多地局限于经济效益的增长,甚至个人财富的扩大,偏重于纳税影响,有的甚至认为会计报表的编制仅为纳税而异,从而对内控制度的建立缺少内在动力,有的甚至没有基本的内控制度,把一些经济业务不纳入会计报表体系。因此,在没有内控制度这个前提条件下提供的会计报表完整性是得不到保证的。
二、注册会计师在小规模企业审计中遇到的企业内控制度的主要问题
1.内部控制环境弱化,控制体系不完善,使注册会计师对被审计单位内控制度的信任度大打折扣
目前我国很大一部分小规模企业不重视内控制度的建立,习惯于行政指挥、家长制管理的现象还普遍存在。企业普遍存在没有成文的内控制度,即使有制度也是为了应付有关部门的检查,具体的内部控制更无从谈起。相关的内控关键点失控,不履行相应的书面手续,注册会计师收集内部控制的证据犹如大海捞针、费时费力,难以保证审计效率和执业质量基本目标的实现,还有很多小规模企业内控制度尚未建立,更谈不上内控制度的履行。具体表现形式如:一是货币资金收付没有履行相关手续,无专职出纳管理现金,以致出现账面现金结存不符实际,同时有的企业银行账和企业账长期不符;二是材料收发没有相关手续,带来成本核算不实;三是销售结算环节失控,形成账外收入等等。
2.会计系统设计未考虑内控制度,会计凭证依赖的原始凭证履行形式上的手续,使注册会计师难以把握内部控制的实质
近年来,财政部对会计要素的确认和计量,对财务会计报告的信息提供和披露都制定出具体的准则和制度,对内控制度的建立已出台相应的规范,但对不建立内控制度的企业缺少相应的制约措施和处罚力度。具体到每一单位的会计系统设计形成了五花八门的局面,使注册会计师对内控制度的评价难以形成一般性认识。
由于会计系统的设计承袭了计划经济时代的陋习,会计凭证依赖的原始凭证过于简化,因此注册会计师从会计资料中往往找不出内控制度运行的有效证据,在财务会计报表中,只重视会计报表的提供,忽视财务情况分析和会计报表附注编制,只研究如何满足有关行政管理部门的需要,少研究利用财务会计信息加强内部管理。
3.小规模企业普遍缺乏成文的内控制度,对同一被审计单位,不同注册会计师所作的评价有时大相径庭
不同的经济单位应具有不同的内部控制模式。大中型企业人员分工较为细致,内部控制程序也严密,而小规模企业为了有效利用人力资源,内控制度显得粗略一些。《独立审计准则第九号———内部控制和审计风险》要求注册会计师应当审查企业的内部控制情况,注册会计师对不同的经济单位,如果企业没有建成内控制度,就缺乏评价的具体标准和尺度,就不能进行量化处理,仅凭抽象的专业性判断难以使人信服,一旦判断失误,将导致审计报告失真。
三、相关法律、法规对企业内控制度的建立及审计的要求
首先,《会计法》第27条规定:“各单位应当建立、健全单位内部会计监督制度”,《会计基础工作规范》明确要求各单位应当建立内部牵制制度,这是对单位建立内控制度提出的原则性要求。财政部于2001年6月至今相继出台了内部会计控制基本规范和具体规范,这些规范的出台,为企业提出了内部会计控制的一般标准,使企业具备了建立适合本单位特点的内部会计控制制度的条件。
另外,《内部控制和审计风险准则》《审计重要性准则》《错误与舞弊准则》《管理建议书准则》《小规模企业审计特殊考虑实务公告》等都对内部控制的测试、评价和报告做出了规定。在财政部《内部会计控制规范》不久,中国注册会计师协会也了《内部控制审核指导意见》,对注册会计师签定内部控制审核业务约定书、制定审核计划、履行审核程序、出具审核报告等做出了详细规定,为注册会计师开展内部控制评审提供了依据和准则。
因此,企业内控制度特别是内部会计控制的建立,测试评价制度体系已基本形成,要得到良好的贯彻执行,并实现注册会计师审计的操作性,关键在于企业管理当局的自我意识以及相关行政部门的监管。同时,注册会计师在审计实务中要严格执行内控制度的审计程序,切忌走形式,只有对企业内控制度的建立、健全情况有正确的评价,才能为发表正确审计意见打下基础。
四、小规模企业内控制度评价结果对审计报告意见类型具有决定性影响
小规模企业固有风险和控制风险通常很高,因其业务比较简单,审计收费低,注册会计师实施审计的外勤时间往往较短,实施审计的程序可适当简化,对账面情况的审计难度不大。如果注册会计师没有把握对企业内控制度的正确评价,将导致审计意见错误,使审计报告失真,带来致命的审计风险。
《独立审计准则第七号—审计报告》规定了四种审计意见类型。注册会计师必须对被审计单位的内控制度进行测试和评价的基础上,确认企业的内控制度有效性后,才具备会计报表反映的经济内容达到完整性这一些要求。会计资料具备了完整性,所有经济业务内容都纳入了会计报表体系,注册会计师才能按照《独立审计准则》的要求,发表相应的审计意见。实务中,注册会计师对小规模企业内控制度的评价多流于形式,在没有作深入细致的测试的情况下,简单信赖,仅根据账面审计的情况发表无保留意见和保留意见,很少出具否定意见和无法表示意见的审计报告。
但小规模企业大多没有建立内控制度,因此,注册会计师往往通过实质性测试来实现对其评价,所以带有很多的主观判断。因此,注册会计师必须从企业内控制度的关键控制点着手,如货币资金的收付,存货进销存流程的相关手续等,通过测试评价,一旦认为企业内部控制失控,企业往往会存在账外资产,收入不入账,账实不符等问题,直接带来对会计报表完整性的冲击。在这种情况下,注册会计师很难通过追加审计程序来达到审计目的。由于企业内控制度失控,注册会计师无从全面了解审计范围,就无法确定审计范围限制带来的影响程度,故一般不应出具无保留意见和保留意见的审计报告,更多地应发表否定意见和无法表示意见的审计报告。如对企业存货的核实,按照审计准则要求注册会计师必须实施监盘程序。如存货不能核实,应视其对会计报表的影响程度发表相应的审计意见。当企业账面存货金额很小,对会计报表的影响在重要性标准以下,一般可不予披露,但这是建立在对内控制度确信有效的前提下。如企业内控制度失效,大量账外存货已转移的情况下,注册会计师在失控的内控制度前提下很难做出存货对会计报表的影响,发表保留意见和无保留意见都会带来很大的审计风险。
关键词 财务报告 内部控制 审计
中图分类号:F239 文献标志码:A
《企业内部控制基本规范》及其《企业内部控制配套指引》的,标志着我国企业内部控制规范体系的建设基本完成。但是,任何一个制度都需要强有力的监督才能发挥有效的作用,所以由第三方审计师对内部控制进行鉴证并进行披露已经被世界上大多数国家所共识。2002年7月,美国国会批准了《萨班斯――奥克斯利法案》(简称“《SOX》”),要求社会公众公司管理层对内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司对管理层的评价报告进行鉴证并出具审计报告。2004年3月,美国公众公司会计监管委员会(简称“PCAOB”),了《与财务报表审计同时进行的财务报告内部控制审计》(简称“AS2”); 2007年6月,PCAOB又了取代AS2的《与财务报表审计结合的针对财务报告内部控制的审计》(AS5);2010年4月,我国财政部等部门联合了《企业内部控制审计指引》要求会计师事务所接受委托,对上市公司内部控制设计与运行的有效性进行审计,并出具审计报告。但是,内部控制审计毕竟是一项新生事物,对其相关问题展开研究,对于正确指导会计和审计实务工作具有重要的意义。
一、关于内部控制审计的目标
世界公认的内部控制研究机构美国COSO委员会认为,如果公司的经营目标得到了某程度的实现、财务报告可以信赖、适用的法律法规得到了遵循,即可以认为内部控制是有效的。AS5指出,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见,财务报告内部控制的有效性包括设计和运行两个方面,任何一个方面存在重大漏洞,便可以被认定为无效的。我国《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。在内部控制审计业务中,注册会计师提供的保证水平要高于原来的内部控制审核业务提供的保证水平。内部控制审核在收集证据的性质、时间和范围方面是有意识的加以限制的,而内部控制审计则要收集充分的和适当的审计证据,以期为内部控制审计意见提供较高程度的保证。
二、关于内部控制审计的对象
(一)内部控制审计对象的类型。
AS5把财务报告内部控制审计的目标界定为“审计师就公司财务报告内部控制的有效性发表意见”,我国《企业内部控制审计指引》也指出,内部控制审计的目的是对财务报告内部控制的有效性发表意见,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应当在内部控制审计报告中增加“说明段”予以披露。由此可见,财务报告内部控制审计指向的对象都是内部控制而不是公司管理层对内部控制的自评报告。
(二)内部控制审计对象的时空范围。
内部控制的目标包括合规性目标、经营目标、财务目标和战略目标,财务目标只是内部控制目标之一。AS5仅要求注册会计师对与财务报告相关的内部控制进行审计。《SOX》要求,公众公司财务年报中应当包括内部控制报告,其内容包括对公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任的强调,管理层最近财政年度末对内部控制体系及控制程序有效性的评估,担任公司年报审计的会计公司应当对管理层对内部控制的评估进行测试和评价,并出具评价报告。我国《企业内部控制审计指引》强调会计师事务所对企业特定基准日内部控制设计与运行的有效性进行审计。PCAOB也认为财务报告内部控制有效性是针对具体某一时点的。由于财务报告内部控制是一个连续的和动态的过程,有些控制政策和程序运行后不会留下审计轨迹,因此审计师在财务报告内部控制审计过程中只能获取某一时点的充分而有效的审计证据,从而也只能对该时点控制的有效性提供合理的保证。
三、关于内部控制审计的依据
AS5指出,审计师在财务报告内部控制审计过程中,应当采用与公司管理层评价财务报告内部控制同样的标准,即共同认可的控制框架。美国证券交易委员会(简称“SEC”)要求管理层采用一个适当的、被认可的、包括向公众广泛征求意见的团体制定的控制框架作为评价公司财务报告内部控制有效性的基础,COSO的内部控制整体框架即是这样的一个框架。COSO 报告是由美国注册会计师协会、美国会计协会、内部审计协会、管理会计师协会和财务经理人协会共同制定,其专业导向性,决定了其关注的重点是会计和财务问题,普华永道会计师事务所承担了大量的工作,可以作为财务报告内部控制的评价标准。而且COSO报告的权威性在世界上得到了广泛的认可。
四、内部控制有效性的认定问题
(一)内部控制缺陷的概念。
内部控制缺陷指的是内部控制设计和运行中存在的漏洞,会影响内部控制目标的实现。内部控制是允许存在瑕疵的,AS5指出:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”但是,内部控制的缺陷不应当为控制目标的实现提供合理保证。因而内部控制缺陷是与控制目标相联系的。
(二)内部控制缺陷的分类。
对内部控制缺陷进行分类是十分重要的,因为审计师是缺陷的类型来确定审计意见的类型的。AS5根据将控制缺陷划分为一般缺陷、重大缺陷和实质性漏洞三个层次,并列举了实质性漏洞的信号。重大缺陷也称实质性漏洞,是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,例如管理层风险意识薄弱,或者的风险偏好与企业的经营特征不匹配等;重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大。例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。是指除重要缺陷、重大缺陷外的其他缺陷。
(三)内部控制缺陷的认定。
内控缺陷和内控局限性都会影响内控目标的实现,但二者是不同的。内部控制局限性指的是内部控制能够为控制目标的实现提供合理保证,但是却不能提供绝对保证。COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;控制成本与收益的权衡等。
五、内部控制审计与财务报表审计的整合问题
财务报告内部控制审计的目标是对财务报告内部控制有效性发表意见,财务报告审计的目标是对财务报表的公允性发表意见,二者都是对企业管理层对财务信息的认定提供合理保证。鉴于此,将二者进行整合将有助于提高审计效率,降低审计风险。《SOX》规定,内部控制审计应当由为公司出具审计报告的会计师事务所来进行;AS2和AS5均明确提出,财务报告相关内部控制审计应当与财务报告审计结合进行。我国《企业内部控制审计指引》规定:“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行”。在对财务报告内部控制审计与财务报表审计整合进行时,注册会计师应有效地、协同地计划和执行审计工作以实现两者的目标,在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
六、内部控制审计的导向性问题
AS5为财务报告内部控制审计设计了一种自上而下的风险导向审计方法。风险导向的意思是注册会计师将审计资源集中于高风险领域,以提高审计效率,降低审计风险。自上而下的意思是指,注册会计师首先要关注公司层面的内部控制,即控制的顶层设计;然后是重要的报表项目和重要账户余额和发生额的控制,最后才是业务层面的控制,即具体业务流程的具体控制。由于企业层面的内部控制主要涉及到的是控制环境因素,如公司组织架构、企业文化、人力资源政策和程序、职责分工等,这些因素决定了内部控制的基调,是内部控制的基础,同时也是内部控制的短板。控制环境出现问题,也就意味着其他层面的内部控制都可能会出现问题。如公司治理存在缺陷、不相容职务没有进行分离这些企业层面的设计缺陷,既容易导致管理层舞弊,不可避免地会导致财务报表层面和业务层面的内部控制出现问题。换而言之,企业层面的控制决定了财务报表层面的控制,进而决定了业务层面的内部控制,其风险也是逐级下移和扩散的,控制了企业层面的风险,也就等于控制住了其他层面的风险。所以,自上而下的内部控制审计方法就是以风险为导向的审计理念的具体体现。这种自上而下的,以风险为导向的审计方法将引导注册会计师将审计工作的重点指向下一步的高风险领域,为注册会计师制定审计策略、安排审计计划提供了路线图。
(作者单位:中国平煤神马集团财务资产部)
参考文献:
进行财务报告内部控制审计已经发展成为注册会计师审计的重点项目,但是相关的《企业内部控制基本规范》却一直没有出台,其中包含了《企业内部控制鉴证指引》的内容,使得内控审计不能顺利进行,审计水平也开始下降。《企业内部控制鉴证指引》中根据美国相关公司中的会计监督委员会所提供的有关的财务报表审计内容,笔者根据相关的意见,以对我国实行注册会计师进行内部控制审计的基本思路为基础,对此进行深入的分析,希望能对我国的财务报告内部审计工作提供帮助。
一、财务报告内部控制的基本概念
在《企业内部控制鉴证指引》中提出:“该内容主要包括企业的内部控制鉴证,主要是指会计事务所通过委托,对于企业的有关财务状况和内部控制的实际效用进行判别,并且提出合理化的建议。”在企业和有关财务报告的内部控制上,没有进行准确的区分。所以,可以根据美国证券交易会(SEC)的判定,财务报告内部控制的影响人员主要有:公司的首席执行官、公司实施相关职权的人员构建或是监管的人员、首席财务官、公司的管理高层、董事会和相关人员的影响等等,为了确保财务报告的准确性和更好地进行财务报表的编制工作,建立起符合会计准则并提供有效帮助的控制程序。其中的相关控制策略和过程主要有以下几个方面:
1.在会计记录中保持详尽合理,准确无误的反映资产的交易状况和处理状况。
2.为后续工作的顺利进行奠定坚实的基础,公司出现的交易都要记录在案,使得财务报表的编制能够更好地为会计原则进行服务,公司中的资金支出和收入都要通过公司管理阶层和董事阶层的批准。
3.为了预防和减少没有通过公司管理阶层批准而出现公司资金流入和转出情况的出现,为公司资产的合理使用提供保障。这种没有通过授权的资金,很有可能会对财务报表产生重要的影响。
二、财务报告内部控制审计和财务报告审计风险评价体系之间的关联和差别
现在,财务报告审计的方式主要是进行风险导向审计,需要注册会计在进行系统审计的时候,对其中风险问题进行评估,评估的内容主要有掌握被审计单位的内部控制和实施控制状况。财务报告在内部控制审计的审计范围和审计方式都与之相同,但是因为有关的法律措施还不全面,这就需要注册会计师针对公司财务报告内部控制的实际效果进行有效的评价,并且给出相关的意见,进一步强化控制测试力度。
三、实行财务报告内部控制审计的主要方式
(一)掌握被审计单位的控制状况
1.对企业运行造成重要影响的事务主要有:财务报告实际状况,经济情况,法律法规和技术改革;
2.企业组织构造、经营状况和资金构造;
3.企业的范围和业务的难易程度;
4.企业管理活动和内部控制出现的变化状况。
注册会计师的主要内容应该停留在被审计单位的管理人员对内部控制的认识程度,例如公司的文化素养、管理人员的工作作风、角色和责任的区分程度,还有是否建立了一个坚实审计委员会等等。
(二)构建审计计划
依据实际的控制环境和相关的财务报告状况来看,构建审计计划,规定项目负责人和项目团队人员数量,划分责任、任务和资料;构建项目计划、方式和报告要求。在整个计划中都要进行风险因素的考虑。传统的控制测试很多都是“表面文章”,没有发挥其实在的价值。其中的主要原因就是因为审计人员的专业能力不强,无法准确判断企业内控是否行之有效。企业的内部控制,通常都是企业的管理阶层经过长时间的探索所构建的,身为审计师,只是用几天的实践或是几周的时间,就要掌握清楚企业的内控状况和可能出现的风险问题,是十分困难的,没有充足的经验和对企业管理的熟练掌握,是不能准确理解企业的内部控制的。所以,在制定审计计划的时候,要合理安排相关的项目人员,对于相关的项目人员进行专业的培训和监督,并且根据实际情况聘请专家进行帮助。
(三)判别公司中的内部控制状况并对公司中的内部控制进行合理评价
其中的内部控制范围主要是指公司管理阶层的内部控制,也就是控制环境。它能有效地减少业务流程层次的检测,特别是对公司的整体把握比较强大,而且和业务流程的层次控制关系紧密;对公司的全局进行整体的把握和控制,能够防止或解决相关的重大错误。当然这些都还需要注册会计师准确判断公司的风险问题并且进行科学的评价。公司中的内部控制,主要有公司部门、人员职责的划分、相关的政策决定以及风险管理问题、管理层面的风险评价过程、反作弊制度、还有公司内控自我评价体系等等。注册会计师还要判定各个过程中的相关责任人,并且进行交流,划分明确的责任。而且,还需要对审计委员会的人员组成、工作方式以及在公司管理中的实际作用、实际职责时候受到限制等因素进行全面分析。
(四)检测财务报告任务中的主要控制
针对其中的主要财务报告目标的流程控制,对这些控制进行全面的评价。要着重判别那些会对财务报告造成重要影响的流程,并对其进行监督控制,实务中的审计方式主要是站在公司财务报表的角度,判断对财务报表有重要影响的业务活动和流程任务,找出其中的重要会计科目和会计报表任务。在对公司进行整体评价的过程中,要注重其中的重要性,还有财务报表状况、其他支持性会计科目资金以及相关支持性信息出现错误的状况,研究财务报告中的风险防范项目,从数目和特征两个方面入手,研究会计科目和信息揭露的重要作用。其中和错报风险有关的原因主要有:有关会计科目资金、交易的类型和大小;因为失误或舞弊的状况而出现错报的情况、相关会计科目所体现出的交易数目、会计科目的繁琐程度;揭露事务或有关会计科目的特点:会计科目所展现的交易种类使得公司可能出现负债的状况,是否进行关联交易等等。
(五)评价内部控制设计的实际效用和内部控制实行的实际价值
在进行评价的时候,第一要对财务报告内部控制风险体系进行系统的评价。财务报告内部控制风险有两个方面的内容:错报风险和控制失败风险。对某项控制风险造成重要影响的因素主要有:首先是该项控制预防和出现错报的特点和主要作用;第二、有关账户和判定的固定风险;第三、交易的数目和特征的变化,从而对这项控制设计或运行的实际作用造成的不利影响;第四、账户原来是否出现过错误;第五、企业的控制对相关控制的监管力度;第六、这项任务的特点和运行次数;第七、这项控制对其他控制作用的依附程度;第八,实行或监管这项控制的人员的专业能力,是否出现变化;第九、该项控制是自动进行还是人工实施;最后是任务控制的繁琐性,和运行过程中准确判断的重要作用。
内部控制设计的准确判断,是发挥内部控制实际效用和预防财务不正当信息揭露的重要途径。评价内部控制设计的实际作用主要依赖于:被审计单位是否根据相关控制任务建立了相关的解决方案;是否能够预防和检查出财务报告中可能出现的重大错误和舞弊情况。
(六)评价控制中的不足
针对内部控制中的不足,注册会计师需要根据实际状况,评价是否处于问题范围,还要判别是重大问题还是普通问题。如果控制的设计或是运行不能及时处理其中的错误,则内部控制存在问题。需要注意的问题是指内部控制中有的,不是特别严重但是需要进行监督企业财务报告人员,加大关注力度的某项或是几项问题的融合。重大问题存在与内部控制,具有一定的科学性,并且能够促使企业或中期财务报表出现重大失误,但不能及时被制止或发现的某项问题或几个问题的融合。控制失误的严重后果和以下因素有着密切的关系:首先企业控制是否不能预防或是出现账户资金错误的合理可能性;第二因为一个或者多个问题使得一些潜在错误的出现。在评判一项或是几项控制问题可能出现的错误的重要程度时,注册会计师要思考控制问题所造成的财务报表资金或是交易资金的问题,还有本期已经出现或是将来可能出现的控制问题造成的账户资金,或是相关交易数量多少的问题。
(七)构建审计报告
关键词:信息披露;内部控制审计报告;自愿性
企业内部控制审计报告披露行为对于企业内控制度的完整性、合理性和有效性具有一定的促进作用。我国在2010年前规定,上市公司需要每年强行披露内部控制自我评价报告,2010年后,上市公司可聘请事务所披露企业内部控制审计报告。部分上市公司中,更倾向于自愿披露,但是同时也存在一些影响自愿披露的因素。无论何种披露方式,都会调整企业内部控制制度,是企业发展的重要因素。
一、自愿性内部控制信息披露制度的定义及重要性
1.自愿性内部控制信息披露的定义
自愿性内部控制信息披露是指除强制性信息披露外其他信息的披露,包括企业形象、财务状况、管理方式以及市场占有率等[1]。内部控制信息披露制度分为自愿和强制两种:强制性披露需要按照相关规定和法律法规的要求,将企业内部控制信息公开;自愿性披露是企业强制性披露的相关规定和法律法规的其他信息部分予以公开的企业内部信息。自愿性内部控制信息披露的内容包括两方面:①对强制性信息披露内容的细化和深入,加深强制性信息披露的权威性;②对强制性信息披露的补充,以提升企业核心能力和竞争优势为目的,向社会披露公司的盈利能力来保证投资者的投资回报。
2.内部控制信息披露的重要性
上市公司的利益相关者众多,提供真实有效的内部控制信息能够成为利益相关者的投资判断标准,也能够保护利益相关者的合法权益。企业内部控制信息披露能够规范企业内部的控制制度、加强控制力度,也能够为投资者提供企业的真实信息,这是企业内部控制信息披露行为的重要作用[2]。
二、企业内部控制审计报告披露制度的发展
我国企业内部控制审计报告披露制度始于上世纪末,近20年的发展,该行为已经逐渐成熟。内部控制信息披露制度的发展可划分为以下三个阶段:
1.初始阶段
我国首次提出内部控制披露工作是财政部下发的《独立审计准则第9号――内部控制和审计风险》,此文件中指出内部控制的三要素:控制环境、会计制度和控制程序,披露的内容根据为这三点。在审计过程中需要判断内部控制的真实性来保证审计工作的范围和时间。1997年的《加强金融机构内部控制的指导原则》中规范了金融机构内部控制的目标、原则和要素等基本要求。2000年的《公开发行证券公司信息披露编报规则》提出了证券公司公开发行的内部控制制度,并明确制定了内部控制制度的完整、合理和有效标准。
2001年颁布的《证券公司内部控制指引》中提出,市场中所有的证券公司需要建立完善的内部控制制度;2001年颁布的《内部控制审核指导意见》提出注册会计师需要在被审核企业中的固定日期内对企业的内部控制进行审核,并发表真实的审核意见,这使我国的内部控制审计制度初步定位[3]。在此之前我国的内部控制审核制度还属于调整阶段,不断出台新的政策,但规范的行业也仅是金融企业,对于一般的企业公司还没有制定完善的内部控制审核制度。
2.发展阶段
通过不同政策指导方针的实施,针对于金融企业中的内部控制审计工作很好的规范了金融市场,也经过美国安然事件爆发影响后,使我国的内部控制信息披露制度的重视程度逐渐加深[4]。
2006年我国先后了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,说明我国上市公司急需建立起完善的内部控制机制,并加强内部控制审计报告的披露。自从证交所的两个内部控制指引后,我国上市企业的内部控制审计报告便需要按照制定的标准进行强行披露。
3.完善阶段
2008年政府部门联合银监会、证监会、财政部等部门共同颁布了多项规范文件,其中包括20余种应用指引,在上市公司中实施,并提出其他大型非上市公司也一并执行,这使我国企业内部控制审计报告披露工作愈加完善[5]。
三、企业内部控制审计鉴证报告
企业内部控制信息披露是管理机构按照相关法律法规相外部投资者和直接受益人披露本公司的运行状况,信息披露的结果需要具有完整性、合理性及有效性。这种信息披露行为需要企业管理机构以第三方的立场客观的反应企业情况,企业内部控制鉴证的载体是企业内部控制鉴证报告[6]。注册会计师披露的企业内部控制信息包括对内部控制制度设计和运行有效性(企业内部控制的自我评估报告)的鉴证报告,不仅为外部直接受益人和竞争对手提供相关信息,同时也对本企业的管理者展示当前企业内部控制情况。
四、自愿性内部控制审计报告披露行为的影响因素
1.公司规模
就公司规模而言,大多数学者认为公司规模越大,越倾向自愿性信息披露,并且披露的内容越多。1986年便有学者指出公司规模与自愿性信息披露成正比。这是由于大型企业更注重企业的社会知名度及政治成本,并且外界直接受益人或利益相关人对大型企业的内部控制信息的需求量较大。因此,上市公司所披露的内部信息越多,吸引投资者目光的机会就越大,但是需要保证企业内部控制信息披露的质量。另外,由于大型企业的内部控制信息较为全面,媒体更加乐于关注大型企业的信息披露,并且大型企业的信息成本相比小企业要低。因此可以看出,公司规模的大小是影响自愿性信息披露的因素之一[7]。
另外,有研究指出,多元化经营的企业更愿意对外界进行信息披露。上市公司的股权呈分散性,分散程度越高,企业越乐于自愿披露信息,并且信息披露较为完整、细致、频繁。
2.公司上市年限
在我国证券市场中,对于上市公司的内部控制信息的需求较低,也因此引发了一系列事件,使市场逐渐注重企业的内部控制信息的披露。我国在内部控制信息制度下发前上市的企业,对于内部控制制度和信息披露的概念较为模糊,因此,早期上市公司的内部控制工作较差。随着政府对内部控制工作的重视度加深,内部控制监管制度也逐渐完善,新上市的公司受到了较多市场政策的约束,企业会在上市前便建立健全的内部控制制度,来满足市场政策的监管要求,这是新上市公司与早前上市公司抗衡的一种优势。如果上市公司的内部控制制度完善,公司会倾向和自愿披露审计信息[8]。
企业的内部控制制度不仅是为审计机构所建立,更重要的是可以自身衡量和评价企业的发展。但是也有观点认为,企业发展速度越快,与内部控制制度的距离越大。这是由于企业的高速发展,内部组织结构和管理方式在不断的更新换代,并且很可能受到资金的约束在需要建立和完善内部控制体系时没有及时建立,待企业发展进入稳定期后,才会重新建立内部控制体系[9]。因此,在一定程度上会影响企业的信息披露。
由于早期的上市公司内部控制制度的不完善,监督、审核机构也没有建立,对于内部控制制度的成熟程度较落后于后上市公司。因此,可以认为越早上市的公司自愿披露内部控制审计报告的可能性越低。
3.公司内部控制资源
企业在发展中需要维护内部控制制度,对于大企业而言,完善的内部控制制度能够为企业赢得更多利益,这也是大企业的一种优势,虽然维护的成本较高,但大企业相对更乐于对此投资。而对于小企业而言,经营发展需要以自身的稳定性及市场性的角度出发,小企业的资金成本较低,投资于维护内部控制将使小企业的部分资金流出,而这部分流出资金在短时间内不会产生回报率。因此小企业对于内部控制的需求较小[10]。
大企业之所以愿意披露企业的内部控制审计、支付更多的审计费用,是因为所披露的信息能够体现出企业本身的优越性,是一种提升自身价值的权威信息。内部控制中最为实际的一项工作是董事会的召开,召开次数与企业的盈余管理程度呈正比。董事会的召开,能够很大程度上对公司董事、管理层的日常工作作出客观的监督和评价。因此,企业的独立董事越多,内部控制资源越为丰富。
公司内审部门归属于公司治理结构,公司治理结构能够体现公司的管理者与经营者之间的关系。当公司治理结构合理并且具有科学性时,能够降低经营者的内部控制资金投入,也因此会影响到企业的自愿性信息披露[11]。公司内审部门的合理设置,能够有效提升公司信息披露的质量。以香港上市公司为例,设置了内审部门的上市公司中,企业管理者更愿意向外界进行信息披露。可以看出,公司内审部门的设置能够影响自愿性信息披露。
当公司制定了内部控制制度后,需要花费大量的维护费用进行维护,这是企业经营过程中的一个固定支出。但是小公司的资金有限,财务管理能力较低,即使清楚内部控制系统能够为企业带来有利影响,也不会选择投资复杂的控制系统。大企业则不同,随着内部控制系统的成熟,大企业的生产规模、盈利能力也有所提高,也因为大企业的内部控制系统关乎于投资者的投资决策,大企业在建立内部控制体系后进行披露,可以规避企业经营风险、增加融资几率。由此可以看出,大公司的内部控制系统较为完善,将会乐于自愿披露内部控制审计报告。
4.企业盈利能力
如果采用评分形式为公司的自愿性信息披露进行分级,可以看出,企业的业绩越好,信息披露的等级越高。当上市公司预计将会有更高的盈利能力时,信息披露将愈加频繁、内容愈加细致。上市公司中根据自身的经济收益能够体现出公司发展前景,在证明公司具有广阔发展前景时,将企业内部控制信息披露将会获得更多的市场效应[12]。因此,上市公司的盈利能力是影响自愿性信息披露的因素,且盈利能力能够体现信息披露的质量。
内部控制能够保障上市公司的经营、收益合乎法规,收益率作为直接体现公司经营、收益的信息,必然会与内部控制发生联系。如果企业的内部控制质量高,收益率便会提高。在收益率有所保障的情况下,企业披露内部控制信息的意愿会增加。因此可以看出,自愿披露内部控制审计报告的企业多数属于收益率高的企业。
5.资产负债率
资产负债率是企业财务的一种杠杆原理,在一定程度上是影响公司经营情况的一种计算方式。企业中的资产负债率越高,企业承担的风险将会越大。因此,企业管理者和外部投资者更需要企业披露内部控制信息来掌握企业的运营情况和运营风险。但是,如果站在企业管理者的角度来看,在企业的资产负债率高的情况下披露内控信息,将会严重影响投资者决策及企业发展。因此可以认为资产负债率高的企业将不会自愿披露内部控制信息,并且有动机不披露[13]。
6.公司财务状况
上市公司的财务状况是企业经营、发展的最重要因素。财务状况良好的企业更乐于投资在内部控制建设中,但是对于财务状况较差的企业,缺乏对内部控制建设的投资资金,这使企业内部控制制度不完善,披露时也不积极。另外也是由于内部控制制度存有缺陷才会产生财务状况较差的现象。因此可以看出,财务状况较差的企业不会积极披露内部控制信息。
企业财务状况体现的两个因素是收益率和资产负债率:①收益率,直接反应企业的盈利能力,企业盈利是企业发展的有力保障;②资产负债率是企业的一种财务杠杆表现[14]。企业的内部控制制度完善,可以保证企业的生产经营的稳定,也就会提高企业的收益率。收益率越高,企业越想对外披露企业信息,相反,企业资产负债率高,则不愿披露内部控制信息。
7.公司发展前景
公司的发展前景受到内部控制质量的影响,这是公司发展的必然规律。早期上市公司的内部控制质量不高,对内部控制的概念较为模糊,是通过政府的一再调整、颁布相关制度条例,才将上市公司的内部控制质量提升。而新上市企业在创业初期,一方面为了迎合市场中的制度,另一方面也由于新上市企业的管理意识先进,因此会积极建立企业内部控制制度[15]。在信息披露方面,新上市公司需要一定的市场知名度来得到市场的认可,所以大力投资于内部控制建设,通过强制或自愿的信息披露,向市场输送更多的自身优势信息,也是为企业打开市场的一把钥匙。
五、结论
综上所述,企业内部控制审计报告的披露能够使企业的经营、管理有所提升,并且在权威信息披露后能够使公司的融资能力有所保证,因为投资者会根据披露的内部控制信息影响投资决策。影响自愿性内部控制审计报告披露的因素可以归纳为企业规模小、内部控制制度不完善、财务能力差等。而提高自愿性内部控制审计报告披露意愿需要通过市场宏观调控、公司内部整治和加强内部控制审计能力。
参考文献:
[1]肖晓参.上市发电企业的内部控制信息披露对审计质量的影响研究[D].长沙理工大学,2013.
[2]袁娜.交叉上市公司内部控制信息披露质量的影响因素分析[D].东北师范大学,2013.
[3]杨名杨.内部控制自我评价报告和审计报告对权益资本成本的影响[D].湘潭大学,2013.
[4]孙艳玲.内部控制审计报告披露与股权投资者的决策有用性研究[D].西南财经大学,2013.
[5]刘贞.我国上市公司内部控制鉴证报告自愿性披露影响因素研究[D].广东商学院,2011.
[6]袁蓉丽,陈黎明,文雯.上市公司内部控制审计报告自愿披露的经济效果研究――基于倾向评分匹配法和双重差分法的分析[J].经济理论与经济管理,2014,07(06):71-83.
[7]林斌,刘春丽,舒伟,魏广剡.中国上市公司内部控制缺陷披露研究――数据分析与政策建议[J].会计之友,2012,05(25):9-16.
[8]黄惠平,宋晓静.内控报告与会计信息质量及企业价值――基于沪市A股的经验研究[J].经济管理,2012,03(01):122-128.
[9]陈艳,张勇,朱天星.自愿性披露内部控制鉴证报告的影响因素――基于2008年沪市A股数据的实证研究[J].数学的实践与认识,2012,03(22):13-23.
[10]张国清.自愿性内部控制审计的经济后果:基于审计延迟的经验研究[J].经济管理,2010,12(06):105-112.
[11]张国清.自愿性内部控制审计的经济后果:基于审计延迟的经验研究[A].中国会计学会审计专业委员会.中国会计学会审计专业委员会2010年学术年会论文集[C].中国会计学会审计专业委员会,2010:14.
[12]刘俊萍.2009年度深市主板上市公司内部控制信息披露研究[J].商业会计,2011,08(09):38-40.
[13]袁放建,冯琪,韩丹.内部控制鉴证、终极控制人性质与权益资本成本――基于沪市A股的经验证据[J].审计与经济研究,2013,06(04):34-42.
关键词:内部控制;内部控制审计;财务报告内部控制
中图分类号:F239 文献标识码:A
收录日期:2014年12月23日
安然事件和世通事件爆发后,美国于2002年7月颁布了《萨班斯-奥克斯利法案》。该法案的第404节以及美国证券交易委员会(SEC)的相应实施标准,要求上市公司管理层评估和报告公司最近年度财务报告的内部控制的有效性,第404节还要求上市公司聘请外部审计师对管理层的内部控制评估意见出具“证明”。自此拉开了内部控制鉴证的帷幕。随后,美国公众公司会计监督委员会(PCAOB)分别于2004年3月和2007年6月了其第2号审计准则《与财务报表审计相关的针对财务报告内部控制的审计》和第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》,这两个准则主要对内部控制审计进行了更为具体的要求,并阐述了内部控制审计与财务报表审计之间的关系。在我国,中国注册会计师协会(以下简称中注协)于2008年颁布了《企业内部控制鉴证指引(征求意见稿)》,财政部会同证监会、审计署、银监会、保监会于2010年制定了《企业内部控制应用指引第1号――组织架构》等18项应用指引及配套指引,配套指引包括《企业内部控制评价指引》和《企业内部控制审计指引》明确要求执行该指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。由此可见,内部控制的审计工作及其规范问题已经引起了我国监管部门及学术界的高度关注。但是,目前依然有一些问题存在争议,这些问题关系到内部控制审计这种制度能否达到预期的效率和效果。本文拟对我国内部控制审计中存在的几个问题进行初步的探讨。
一、内部控制审计业务的性质
根据提出意见的对象不同,审计业务可以分为基于责任方认定的业务和直接报告业务。因此,内部控制审计有两种选择:一是针对被审计单位管理层做出的内部控制自我评价报告提出结论,属于基于责任方认定的业务;二是针对被审计单位的内部控制有效性提出结论,属于直接报告业务。由于这两种业务性质的不同,导致注册会计师与管理层的责任划分、审计程序、发表审计意见的依据、审计报告的内容和格式都会有所不同。在基于责任方认定的业务中,注册会计师的责任是对被审计单位管理层做出的内部控制自我评价的再评价,审计对象是内部控制自我评价报告,审计的重点是管理层的自我评价报告是否真实、公允地反映了被审计单位内部控制的情况,而不是内部控制的有效性,尽管内部控制的有效性是注册会计师做出判断的基础。在审计报告中应明确提及管理层的内部控制自我评价报告,如果被审计单位内部控制存在重大缺陷,但是管理层已经在自我评价报告中进行了充分的披露,那么注册会计师依然应当发表无保留意见的审计报告。只有当被审计单位的内部控制存在重大缺陷,而管理层未在自我评价报告中进行披露,或未进行充分披露时,注册会计师才发表非无保留意见的审计报告。而在直接报告业务中,注册会计师直接对被审计单位内部控制的有效性发表审计意见,责任是对内部控制的有效性提供合理保证,重点在于评价内部控制的有效性,在审计报告中无需提及管理层做出的自我评价报告,审计报告的意见类型由内部控制是否有效来决定,而与管理层的自我评价报告的意见类型无关。
在中注协于2002年的《内部控制审核指导意见》中指出“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。”由此可见,《指导意见》将内部控制审计业务划归为基于责任方认定的业务,即对管理层认定的再认定。上海证券交易所(以下简称上交所)2006年6月的《上海证券交易所上市公司内部控制指引》也采用的是基于责任方认定的业务观,其第三十二条指出,“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。”而深圳证券交易所(以下简称深交所)则认为内部控制审计属于直接报告业务,在其分别于2006年9月和2007年12月的《深圳证券交易所上市公司内部控制指引》和《中小企业板上市公司内部审计工作指引》中都指出上市公司在聘请注册会计师对公司进行年度审计的同时,应对公司内部控制的有效性出具鉴证报告。中注协于2008年7月的《企业内部控制鉴证指引(征求意见稿)》以及财政部等五部委于2010年制定的《企业内部控制审计指引》均采用的是直接报告业务观。由此可见,目前我国对于内部控制审计业务性质的界定存在着不同的意见,不同部门制定的规章制度之间存在着矛盾。
笔者认为,无论采用基于责任方认定的业务观还是直接报告业务观,其根本目的是相同的,即促进企业建立健全内部控制,合理保证企业目标的实现。但将内部控制审计界定为直接报告业务更为合理,原因有以下几点:
首先,从审计成本看,无论是将内部控制审计界定为基于责任方认定的业务还是直接报告业务,均需要注册会计师对被审计单位内部控制的有效性进行测试,而注册会计师若要对被审计单位管理层的内部控制自我评价报告发表意见,还要测试自我评价报告与内部控制情况是否相符,审计成本大大增加。
其次,从预期使用者的角度看,无论是获取内部控制自我评价报告还是内部控制审计报告,预期使用者的目的都是了解内部控制的有效性,进而对被审计单位的运营情况作出判断。因此,直接对内部控制的有效性提供保证更符合预期使用者的需要。
最后,从注册会计师的责任上看,管理层出具的内部控制自我评价报告是针对被审计单位所有的内部控制,而注册会计师进行内部控制审计则侧重于对于财务报告有关的内部控制发表意见。若要求注册会计师对内部控制自我评价报告发表审计意见,则需要注册会计师了解和测试所有的内部控制,从而大大增加了注册会计师承担的审计责任。
因此,将内部控制审计界定为直接报告业务是合适的,《企业内部控制审计指引》第二条中也明确指出“本指引所称内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。”很明显,《企业内部控制审计指引》已经将内部控制审计界定为直接报告业务。
二、内部控制审计业务的范围
美国COSO委员会于1992年9月的《内部控制整合框架》(以下简称COSO报告)已经成为美国普遍接受的内部控制规范,其他各国的内部控制规范也大都参考了COSO报告中对内部控制的界定。COSO报告指出,内部控制有三大目标,即财务报告目标、经营目标和合规性目标。为了实现内部控制目标,管理层制定的内部控制活动中有一部分并不直接与财务报告相关,例如人力资源控制、经营业绩分析、组织结构控制等。注册会计师在对内部控制进行审计时,是对内部控制整体发表意见,还是仅对与财务报告有关的内部控制发表意见呢?
我国《企业内部控制基本规范》中要求对企业内部控制的有效性进行审计,并没有明确指出是内部控制整体还是仅针对与财务报告有关的内部控制。《上海证券交易所上市公司内部控制指引》中要求会计师事务所对内部控制自我评估报告发表意见,管理层做出的内部控制自我评价是针对内部控制整体的评价,因此我们可以将该指引理解为要对内部控制整体进行审计。而在《内部控制审核指导意见》、《深圳证券交易所上市公司内部控制指引》以及《中小企业板上市公司内部审计工作指引》中则明确界定了审计对象是与财务报告相关的内部控制。
笔者认为,对内部控制整体进行审计和对与财务报告有关的内部控制审计各有利弊,可从以下几个方面进行分析:
首先,从预期使用者的角度看,预期使用者通过获取财务报表审计报告和内部控制鉴证报告来增强或降低其对财务报告的信赖程度,从而影响其做出的经济决策。因此,预期使用者主要关注的是上市公司财务报告的可靠性,其对内部控制审计的诉求也主要针对与财务报告有关的内部控制。
其次,从管理层的角度看,管理层设计和实施内部控制,除了合理保证财务报告的可靠性之外,还有经营目标和合规性目标。因此,管理层更加希望注册会计师对内部控制整体发表意见,这相当于对上市公司提供了高质量的管理咨询。
最后,从审计成本和注册会计师的责任上看,对内部控制整体进行审计审计成本大大增加,并且注册会计师要合理保证内部控制整体运行的有效性,其承担的法律责任也大大增加。
因此,我们认为将审计对象界定为与财务报告相关的内部控制是合理的,但同时也应当适当的考虑到与经营目标和合规性目标相关的内部控制。《企业内部控制审计指引》第二条指出“本指引中内部控制审计的范围,主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制,可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。”
三、内部控制审计业务的主体
内部控制审计业务和财务报表审计业务是否可以由同一家会计师事务所来承接呢?
《内部控制审核指导意见》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、《中小企业板上市公司内部审计工作指引》均没有明确说明内部控制审计应单独作为一项审计业务与财务报表审计分开承接。《企业内部控制基本规范》也仅要求“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。”
有学者认为,两种审计业务的目标不同、审计对象不同、发表审计意见的方式不同,将两种业务整合在一起,难以保证审计质量,也无益于审计效率的提高。并且,一个会计师事务所同时承接这两项审计业务会提高服务费用,增加事务所对某一客户的依赖程度,从而影响注册会计师的独立性,因此应将内部控制审计作为单独一项业务由其他事务所承接。
笔者认为,了解被审计单位的内部控制并对其进行控制测试本身就是财务报表审计过程中很重要的一项工作,同时这也是内部控制审计的核心工作。注册会计师在对内部控制进行审计的过程中重点关注的是与财务报告相关的内部控制,如果没有审计财务报表,就无法对与财务报告相关的内部控制有效性发表意见。因此,把两种审计业务整合起来,有利于注册会计师对被审计的单位的内部控制进行全面的了解和测试,从而降低审计成本,提高审计质量。《企业内部控制审计指引》第六条中也规定了“注册会计师应当将内部控制审计与财务报表审计整合进行。”
我国内部控制审计制度起步较晚,很多问题依然存在争议,实施过程中也存在一些问题。只有立足国情,借鉴国际惯例,不断探索,才能做出恰当的选择。
主要参考文献:
[1]阚京华.我国内部控制发展的制度性缺陷与完善[J].审计与经济研究,2006.3.
(一)《基本规范》颁布前我国内部控制审计的发展 一是我国内部控制审计发展的起步阶段。从1996年至2005年,我国社会各界逐渐认识到内部控制的哦重要性,并开始推动企业内部控制工作的开展。1996年12月财政部颁布《独立审计准则第9号――内部控制和审计风险》,提出内部控制“三要素”,确定审计的时间、范围与性质。2001年起,财政部提出了在新形势下加强企业内部会计控制与监督的要求,逐步发行了一系列内部会计控制的相关规范。2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核,进而发表审核意见制定规范,正式确立了我国的内部控制审计制度。2003年6月中国内部审计协会实施《内部审计具体准则――内部控制审计》,基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。2005年10月,证监会《关于提高上市公司质量意见》的通知,要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。
二是我国内部控制审计的发展阶段。2006年至2007年,我国上市公司的内部控制审计制度发生了很大的变化。2006年2月,我国重新修订《中国注册会计师审计准则》,其中1121号准则借鉴COSO报告,提出内部控制的内涵和要素,并分别解释了内部控制五要素的涵义。准则第1231号从审计的角度出发,对注册会计师了解企业内部控制、进行控制测试的程序及方法做出相应规定。2006年5月的《首次公开发股票并上市管理办法》第二十九条明确规定“发行人的内部控制在所有重大方面是有效的,并有注册会计师出具无保留结论的内部控制鉴证报告”。2007年9月国务院法制办的《上市公司监督管理条例(征求意见稿)》、2007年12月深交所的《关于做好上市公司年年度报告工作的通知》及上交所2008年1月的《关于做好上市公司年年度报告工作的通知》,都明确要求上市公司应按照证监会和本所的相关要求,对公司内部控制的有效性进行审议评估。同时鼓励有条件的公司聘请审计机构就公司财务报告内部控制情况作出评价意见,并披露内部控制的自我评估报告和审计机构的核实评价意见。
(二)《基本规范》颁布后我国内部控制审计的发展 随着《企业内部控制基本规范》的颁布与实施,我国的内部控制审计建设进入不断完善的阶段。2008年6月颁布的并要求上市公司于2009年7月1日实施的《企业内部控制基本规范》和17项具体规范(征求意见稿),进一步要求执行该规范的上市公司可聘请具有证券、期货业务资格的会计师事务所对内部控制的情况进行审计,并发表审计意见,并鼓励非上市的其他大中型企业施行。同时,鼓励上市公司自愿性地在年报中披露“内部控制自我评估和审计机构的核实评价”。继而,财财政部与中注协主持起草制定《企业内部控制鉴证指引(征求意见稿)》,这些举措意味着我国对企业内部控制的审计也将成为一种趋势,而制定相关的审计准则将有助于企业和注册会计师关注内部控制,提高风险意识,防止、及时发现导致财务报表错报的重大控制缺陷和实质性漏洞,保证审计质量,为投资者提高更可靠、更透明的财务信息。
二、美国内部控制审计发展历程
(一)萨班斯法案颁布前美国内部控制审计的发展 一是《证券法》和《证券交易法》。1929年美国爆发较为严重的经济危机,在危机中前行的美国,1933年制定了《证券法》,1934年制定了《证券交易法》,这些法律规定的出台,在美国经济发展史上具有重大意义,对证券交易与监管、财务信息披露等作了具体规定,并首次提出了“内部会计控制”的相关概念,极大地促进了审计的发展。二是麦克森・罗宾斯公司事件与相关文件的出台。1938年美国爆发麦克森・罗宾斯公司破产事件,暴露了审计程序及企业内部控制的严重缺陷。次年10月,美国注册会计师协会第一号《审计程序公告》,首次提出内部控制的评价。SEC对审计程序进行了修正,正式要求注册会计师在审计报告中增加内部控制审查的内容。麦克森・罗宾斯事件让社会各界开始对内部控制审计进行关注。内部控制评价逐步成为财务报表审计组成部分和重要程序,制度基础审计逐渐取代账项基础审计。三是《反国外贿赂法案》及相关建议。1977年美国出台《反国外贿赂法案》,该法案要求SEC管辖的所有公司必须建立保持有效的内部会计控制系统,1978年AICPA成立的注册会计师责任委员会(科恩委员会)提出建议:公司管理层应披露与财务报告相匹配的内部控制报告,注册会计师还应对管理层出具的内部控制报告进行评价并披露相关报告。四是COSO报告及《审计准则公告第78号》(SAS78)。1987年,COSO委员会成立,并于1992年9月颁布了《内部控制――整体框架》报告,即COSO报告,提出内部控制整体框架报告的概念,是内部控制发展史上的一个里程碑。COSO报告认为“内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程”。内部控制式由控制环境、风险评估、控制活动、信息与沟通、监督五要素相互联系、相互协调共同构成的一个能动的整体。1996年美国独立审计人员协会《审计准则公告第78号》(SAS78),对内部控制进行了肯定和细化,并提出风险控制的意识理念,促进了内部控制审计的进一步发展。
(二)萨班斯法案颁布后美国内部控制审计的发展 一是《萨班斯――奥克斯利法案》。本世纪初,安然倒塌,安达信破产,继而世界通信、南方保健等舞弊事件的相继发生,再一次暴露了企业内部控制的缺陷。为了强化企业内部控制的责任,加强对会计、审计、公司治理、证券交易以及美国资本市场的监管,2002年美国国会通过《萨班斯――奥克斯利法案》。该法案的302及404条款规定,管理层应对企业内部控制系统的建立与维护负责,并应在企业年度报告中披露内部控制体系以及控制程序有效性的评价报告。条款还要求独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告鉴证结果及披露审计意见。这标志着美国上市公司管理层内部控制报告由原来的自愿性披露改为强制性披露,并实现了由审计师单独执行内部控制审计业务的重大飞跃。二是美国证券交易委员会(SEC)的“最终规则”。根据萨班斯404条款有关内部控制的规定,美国证券交易委员会(SEC)于2003年出台了相应的规章制度,在8月《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》简称《最终规则》),要求除投资公司以外,所有受1934年证券交易法约束的公司,均应在年报中包括管理层关于公司财务报告内部控制的报告,并要求负责该公司财务报表审计的注册会计师对管理当局出具的内部控制有效性评估报告发表独立审计意见。三是PCAOB的第二号审计准则(AS2)。PCAOB于2004年3月审计准则第2号《与财务报表审计结合进行的财务报告内部控制审计》。该准则重新定义重大控制缺陷和重要控制弱点,合理界定管理当局和审计人员对内部控制应承担的责任,明确要求注册会计师应当在执行公司的财务报表审计业务的同时,对上市公司的财务报告内部控制实施审计业务,即提出整合审计概念。至此,现代审计全面走进财务报表审计与财务报告内部控制审计并重的新时代。四是PCAOB的第五号审计准则(AS5)。PCAOB于2007年审计准则第5号《与财务报表审计整合的财务报告内部控制审计》,对内部控制审计程序与方法等方面的相关条款进行修订与完善,取代了AS2。与AS2相比,AS5进一步优化自上而下的审计方法,修订重大缺陷和实质性漏洞的定义及评价实质性漏洞的重要指标,增加对舞弊控制的评价,区分重要性在审计中的地位,简化原准则的要求,减少不必要的审计程序等。
三、中美内部控制审计的比较与启示
(一)制度规范层面美国的内部控制准则体系起步较早,发展趋于成熟,拥有一套较为独立完善的准则指导体系。与之相比,我国的内部控制审计起步较晚,制度体系较为松散,仍未能形成独立的审计准则,最新的鉴证指引也仅为征求意见稿。与PCAOB的AS5相比,AS5以“管理层对财务报告内部控制的评估报告”为审计对象,而《内部控制鉴证指引》(简称《指引》)则是以“企业内部控制”为审计对象。《指引》与《基本规范》要求注册会计师以企业内部控制整体为审计对象,体现了在思想体系上的一致性。但是,内部控制审计业务在我国毕竟仍处于探索阶段、起步阶段,需要一个逐步适应、分步实施、不断完善的过程。另外,《指引》虽试图实现对企业内部控制整体的有效性发表意见,但内容主要阐述如何对财务报告内部控制进行鉴证。可见,我国对于内部控制审计方面的规范制度的制定还应该进行更深入的探讨与研究,以形成一套合理可行,适合我国国情的内部控制准则体系。
(二)实际执行层面 我国的内部控制规范并没有明确强调内部控制审计的不可缺失性,也未具体地规定必要的内部控制审计步骤和程序。在审计实务中,我国审计职业界主要采取了两个方面的对策来进行内部控制的测试工作:运用了解内部控制和进行控制测试的程序表,在审计工作中简单地勾划表格;探索分析性程序,以某些关键指标、关联和趋势作为引导审计资源流向的标杆。但是从总体上来看,这两种方式都不利于内部控制审计程序较好的实施。尽管风险基础战略审计在我国已初步确立,并强调了内部控制对整体审计工作的重要影响,以及注册会计师对企业内部控制制度的保障和监督作用,但内部控制审计在实务中所受到的关注仍不足。因此,我国有必要进一步强调内部控制审计工作的重要性,提出必要的审计程序、内容与方法以指导内部控制审计的进行,以完善内部控制审计,提高审计质量。
(三)信息披露层面我国内部控制信息披露机制尚不完善,我国对内部控制信息披露的强制性规定主要针对的是商业银行、证券公司、发行新股的上市公司等,对其他类型公司还没有强制性规定,还停留在自愿披露。由于我国大部分上市公司不要求强制披露内部控制信息,所以对企业内部控制信息进行审计就缺乏动力与强制性。因此,加强对内部控制审计披露的规范,对我国内部控制相关体系的完善非常重要,同时还能够让审计报告的使用者形成对公司内部控制执行情况的深度了解,提高各类公司信息披露的透明度,以促进更加合理的资本市场的形成。
参考文献:
[1]张龙平、陈作习、宋浩:《美国内部控制审计的制度变迁及其启示》,《会计研究》2009年第2期。
内容摘要:随着内部控制配套指引的出台,内部控制审计越来越被关注,内部报表审计与内部控制评价、财务报表审计内部控制评审之间的关系容易被混淆,论文重点分析以上几项之间的联系与区别,以便深入了解内部控制审计。
中图分类号:F270 文献标识码:A
内部控制在防范财务信息失真,预防重大的会计舞弊方面发挥着重要的作用。但是,任何一个好的制度都需要强有力的监督才能发挥积极有效的作用,才能对由此产生的财务信息的质量进行合理保证。所以利用注册会计师,对企业内部控制进行外部审计,出具合理保证的审计报告,已经成为全世界的共识。随着美国SOX法案(《萨班斯—奥克斯利法案》)的颁布,绝大部分国家都意识到了内部控制审计的重要性。我国在2008年5月由财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,2010年4月,上述5部门又颁布了《企业内部控制审计指引》。
《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。注册会计师在执行内部控制审计工作中,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系,又有本质区别。弄清它们之间的关系,对于充分认识内部控制审计的独特作用,切实推进内部控制审计工作的开展,具有重要意义。
内部控制审计与内部控制评价之间的关系
内部控制评价是指由企业董事会或类似权利机构对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。董事会或类似权利机构通常指定内部审计部门为内部控制评价部门,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素的设计与运行情况进行全面评价,并指出控制缺陷包括设计缺陷和运行缺陷,形成内部控制自我评价报告。
企业董事会对内部控制自我评价报告的真实性和合法性负责,内部控制自我评估报告的真实性,是指内部控制自我评估报告是否如实反映了企业内部控制设计和执行的有效性;内部控制自我评估报告的合法性,是指内部控制自我评估报告的编制是否符合国家有关法律、规章的要求(吴秋生,2010)。
(一)内部控制审计与内部控制评价的区别
1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。
按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
2.性质不同。内部控制审计是企业外部对企业的内部控制审计,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价,通常情况,授权内部审计机构对企业内部控制进行评价,是一种相对独立的服务业务。
3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价,一方面,在评价的过程中可以发现企业内部控制缺陷,及时改善企业内部控制情况,进而提高企业经济效益;另一方面,投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营能力,从而为投资决策和正确行使相关权利提供资料依据。
4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照该指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成,两者之间不能够相互替代和免除(金灵,2011)。
5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价,而内部控制审计依据《企业内部控制审计指引》进行审计。
(二)内部控制审计与内部控制评价的联系
1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。
2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。
3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我评价工作进行评 估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻(王晓丽,2011)。
内部控制审计与财务报表审计中的内部控制评审之间的关系
财务报表审计中的内部控制评审,是指为编制审计计划能够准确确定审计重点和抽样规模提供可靠依据,进而进一步确定实施实质性程序的范围、性质,注册会计师在进行财务报表审计时应当首先了解审计单位内部控制,且出现下列两种情况时注册会计师应当对内部控制实施控制测试:
在评估认定层次重大错报风险时,预期控制的运行是有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。
(一)内部控制审计与财务报表审计中的内部控制评审的区别
1.直接目的不同。内部控制审计是出于管理方面的需求,从公司层面对企业整个内部控制系统尤其是财务报告内部控制进行全面的评价,以促进企业经营管理措施的实施及目标的实现,表现形式为对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见。而财务报表审计中的内部控制评审是为了满足审计方面的需要,评价那些可能对财务报表可靠性有重要影响的内部控制,判断其可依赖程度,从而合理确定审计程序,保证审计质量,提高审计效率。
2.性质不同。内部控制审计是一项独立的鉴证业务。而财务报表审计中的内部控制评审是财务报表审计工作中的一部分,一个重要的环节,而非单独的一项业务。
(二)内部控制审计与财务报表审计中的内部控制评审的联系
1.审计对象相同。内部控制审计与财务报表审计中的内部控制评审都要对与财务报告相关的内部控制进行审查,审查财务报告相关的内部控制设计的合理性,执行的有效性。
2.审计方法相似。针对相同的审计对象,内部控制审计与财务报表审计中的内部控制评审在审计方法上相似,都需要运用检查书面文件和记录、询问有关人员、穿行测试等方法。
正因为两者的相似点,现阶段内部控制审计与财务报表审计就内部控制的有效性的评价可以开展整合审计,即由同一会计师事务所的不同项目组执行同一委托单位的内部控制审计和财务报表审计,整合有利于注册会计师之间的沟通,方便协调各自的工作进度,互相借助对方的工作成果,可以大大加速审计时间,节约审计费用,降低审计成本,有利于促进内部控制审计顺利开展。当然在整合审计过程中,应同时实现如下的目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
一方面,注册会计师在进行财务报表审计中的内部控制评审时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。
另一方面,注册会计师提出内部控制有效性审计结论时,应考虑财务报表审计控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。注册会计师要充分利用财务报表审计中的内部控制评审结论,再进行补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价。
结论
综上所述,无论是内部控制审计还是内部控制评价及财务报表审计的内部控制评审,均是针对企业内部控制所做的评价。按照评价主体的不同,可以分为外部评价和内部评价。内部控制审计与财务报表审计的内部控制评审是外部审计,通常由企业以外的注册会计师完成;内部控制评价是是典型的内部审计,一般由企业内部审计人员对内部控制做具体评价,管理层审批生成内部控制自我评估。虽然不同主体对内部控制的评价在目标、范围、内容和程序等方面存在差异,但是他们有一个共同性,评价对象是企业的内部控制。
由此看来,内部控制对于企业而言是非常重要的,它直接影响企业生存的质量、长久生存的耐力及扩张力,合理设计并有效运行内部控制是现代企业的生存之道。由此,自然滋生出对内部控制设计是否合理、有无执行及执行是否有效内部控制评价系统。其中内部控制审计作为外部监督系统,对企业内部控制执行的合法性和有效性发表审计意见,提供合理的鉴证,对于企业外部信息使用者作出合理的判断和决策起到了非常重要的作用。
参考文献:
1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9)
2.杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].财务与会计,2010(10)
3.吴葳.内部控制审计研究[D].南京大学,2011
4.李锦.财务报告内部控制审计[D].浙江工商大学,2010
【关键词】整合审计,内部控制审计,风险导向,治理导向
一、财务报表审计与内部审计区别
2012年,纳入内部控制审计实施范围的853家上市公司中,除20家公司单独实施内部控制审计外,其余833家公司均采取内部控制审计和财务报表审计相互整合的形式。这表明,整合审计是目前上市公司内部控制审计的主流方式。在全面分析整合审计的必要性之前,必须在理论上探讨财务报表审计和内部控制审计的区别:
第一,审计意见的区别:财务报表审计仅需对财务报表不存在重大错报出具审计意见,虽然内部控制对财务报表不存在重大错报很重要,但财务报表审计报告一般不需要对外报告内部控制情况。而内部控制审计则需要对企业在财务和非财务方面的内部控制做出严格的评估,其侧重点不同导致了审计意见发表的区别:1、在内部控制审计中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报表的重大错报,注册会计师则出具无保留意见的财务报表审计报告。2、注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具非标准意见的内部控制审计报告。
第二,对于被审计单位的区别:财务报表审计是为了提高被审计单位财务报表的可信赖程度,对于关注被审计单位财务情况的银行而言更为关注;而内部控制审计是对保证企业财务报告质量良好和其他内部控制得到运行的审计,对于关注被审计单位治理的投资者而言更为关注,其有助于投资者在财务报表审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
第三,审计程序、审计内容的区别:1、对内部控制了解和测试的目的不同:注册会计师在财务报表审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型。在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。2、内部控制测试范围存在区别。注册会计师在财务报表审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以不进行内部控制测试程序。而在内部控制审计中,注册会计师必须进行内部控制测试程序,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。3、内部控制测试结果所要达到的可靠程度不完全相同。在财务报表审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,控制测试的样本量选择相对弹性较小。
二、整合审计的必要性分析
从上述审计意见的区别、对于被审计单位的区别,以及审计程序、审计内容的区别可以得知:内部控制审计独立于财务报表审计。但在审计技术、审计实务工作中,两者审计模式、审计程序等存在着很多可以相互借鉴之处,在一项审计中发现的问题还可以为另一项审计提供线索和思路。
目前,美国《萨班斯―奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报表审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯―奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将两者整合进行,具体原因如下:
第一,两种审计工作存在重合:内部控制审计是指注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见,注册会计师要了解和测试内部控制获得内部控制在足够长的期间(可能短于财务报表涵盖的整个期间)内运行有效的证据。二者目前均采用风险导向审计模式,在财务报表审计中,注册会计师也必须了解内部控制,在评估认定层次重大错报风险时预期控制的运行是有效的,并在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制,注册会计师要测试其在整个审计期间内的有效性。因此整合审计可以减少审计工作量,提高审计效率。
第二,审计意见可以互相支持,提高审计质量。一方面,内部控制审计中,注册会计师在对内部控制有效性形成结论时,应同时考虑财务报表审计中控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而现有的内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。另一方面,在财务报表审计中,也要利用内部控制审计中控制测试的结果。内部控制审计中发现的缺陷会影响注册会计师做出的控制风险评估结论,进而影响实质性测试的性质、时间和范围。
三、整合审计案例分析
财务报表审计和内部控制审计之所以要整合,其核心在于财务报表审计需要对内部控制的了解与测试,而内部控制审计则是内部测试是否有效出具审计意见。所以以下通过案例分析财务报表审计和内部控制审计之间的联系和区别:
第一,北大荒2012年的内部控制审计意见中披露:北大荒及其子公司管理层逾越管理权限审批使用资金,未能对子公司实施有效控制。如:子公司黑龙杨岱投资管理公司向哈尔滨乔仕房地产开发公司提供乔迁借款50000万元,其中19000万元被该公司挪用,按合同约定有16000万元逾期未收回。(2)北大荒在资产减值测试、定期核对往来款项、依法取得涉税凭证和准确计缴税金等方面存在缺陷,未能有效执行《公司资产减值提取和资产损失处理内部控制制度》和《财务管理制度》等有关规定。因为上述事项,中瑞岳华会计师事务所对被审计单位的内部控制审计出具了否定意见。
而在2012年北大荒审计报告中披露事项:北大荒公司合并资产负债表其他应收款年末余额中,有69375万元属于对合并范围之外房地产开发公司的借款。截至本报告日,我们对北大荒公司对该等其他应收款计提的坏账准备 13636 万元未能获取充分的审计证据以判断北大荒公司对这些其他应收款计提的坏账准备是否足够和充分。故中瑞岳华会计师事务所对北大荒出具了保留的审计意见,这与内部控制审计报告中提及的减值事项也有密切的关系。
第二,江淮汽车2012年的内部控制审计意见中披露:经向国家质检总局备案,根据江淮汽车董事会2013年3月28日第三届十二次会议审议通过的《关于召回部分同悦轿车的议案》,江淮汽车拟自2013年3月30日起召回2008年11月15日至2011年12月31日生产的同悦轿车117072辆。因为上述事项,华普天健会计师事务所出具了带强调事项段的无保留意见的内部控制审计报告。由于上述事项并未影响企业财务报表是否存在重大错报,华普天健会计师事务所对企业2012年的财务报表审计出具无保留意见。
第三,深天地2012年的内部控制审计意见中披露:2013年3月15日,深建字(2013)39号文责令深圳市天地混凝土有限公司(南山区西丽镇茶光路北站)停业整顿一年。深圳市住房和建设局在2012年预拌混凝土生产企业资质动态核查中发现深圳天地远东混凝土有限公司实际处于无生产场所、无设备、无人员状态,已不符合资质条件要求。因为上述事项,大华会计师事务所出具了带强调事项段的无保留意见的内部控制审计报告。由于上述事项使得注册会计师必须在财务报表审计报告中体现审计报告使用者注意该事项,可能影响企业财务报表是否存在重大错报,所以大华会计师事务所对企业2012年的财务报表审计出具带强调事项段的无保留意见,强调事项段与企业内部控制审计报告相同。
从上市公司财务报表审计意见和内部控制审计意见可以发现,二者审计意见并非完全一致,在实例中主要分为五种组合情况:
1、企业内部控制不存在缺陷,则注册会计师根据财务报表审计测试的结果,对企业是否存在重大错报出具审计意见。
2、企业内部控制存在缺陷,该内部控制缺陷与财务报表相关,故二者都需要出具非标准审计意见。
3、企业内部控制存在缺陷,该内部控制缺陷与财务报表无关,所以内部控制审计意见需要出具保留或者否定意见,财务报表审计可以出具标准审计意见。
4、企业内部控制审计内部控制存在缺陷,该内部控制缺陷并不与财务报表审计直接相关,但是注册会计师认为该内部控制缺陷对公司的影响仍然存在不确定性,故财务报表审计需要出具带有强调段的无保留意见。
5、企业内部控制存在缺陷,与此相关的内部控制也影响到了企业财务报表,但被审计单位已按照注册会计师的要求对财务报表进行了调整,注册会计师在出具否定意见的内部控制审计报告时,可以出具带强调事项段的财务报表审计报告。
四、结论与建议:整合审计的可行性
从上述财务报表审计和内部控制审计之间的理论和实例分析,我们发现财务报表审计和内部控制审计存在着很强的关系性。注册会计师在最后出具财务报表审计意见时,如果发现重大错报,只要被审计单位最后同意审计调整,注册会计师即可出具无保留意见的审计报告。内部控制审计则不同;在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否出具无保留意见的审计报告。对于注册会计师,为了更好地实施整合审计,着重需要从以下几个方面入手:
1、在计划审计工作:注册会计师应当初步确定可接受的重要性水平。判断内部控制是否存在重大缺陷是以控制能否及时防止或发现财务报表出现重大错报为依据的。因此,财务报表审计与内部控制审计中对于重要性水平的判断是相同的。
2、风险评估程序:风险评估是整合审计的基础。财务报表审计中,注册会计师应充分识别和评估财务报表重大错报风险,以设计和实施进一步的审计程序应对评估的错报风险。风险评估同时也贯穿于整个内部控制审计过程,企业层面控制对内部控制的有效性起决定性作用,影响着内部控制审计中业务层面控制测试及财务报表审计中实质性测试的范围。
3、注册会计师的风险应对包括实质性测试和控制测试:选择拟测试的控制时,注册会计师应考虑证据的性质及获得的难易程度。如果有两个以上控制能应对相关认定的错报风险,则没有必要测试所有控制,应当选择更容易获得运行有效证据的控制进行测试。当存在一项或多项重大缺陷时,内部控制即被认定为无效。如果注册会计师识别了控制缺陷,在财务报表审计中注册会计师会直接实施实质性测试程序,而在整合审计中,注册会计师还应进一步评价内部控制,进行控制测试,确定该控制缺陷单独或组合起来是否构成内部控制重大缺陷,以获得足够的证据支持对财务报告内部控制发表审计意见。
4、审计结论及出具审计报告:在审计结论阶段,注册会计师应综合地评价发现的错报及识别的控制缺陷,并考虑是否获得了足够证据支持对财务报表是否存在重大错报及内部控制是否存在重大缺陷发表审计意见。整合审计中每一部分审计的结果会支持其他部分审计的结论,注册会计师做出控制是否有效的结论应基于所有方面获得的控制相关信息,包括:内控审计中控制测试的结果、报表审计中的控制测试、由错报发现的控制缺陷及管理层识别的控制缺陷。这些信息既影响财务报告内部控制有效性的结论,也影响财务报表审计中的控制风险评估。在综合评价财务报表重大错报风险和控制缺陷后,分别出具财务报表审计意见和内部控制审计意见。
参考文献:
购物车(0)