北京市国有企业预算管理体系完善对策及实施(项目编号:PXM2013_014213_000099);北京市教委创新团队项目“投资者保护的会计实现机制及其效果研究”(项目编号:IDHT20140503);北京工商大学国有资产管理协同创新中心项目(项目编号:GZ20130801);科研基地建设-科技新平台-现代商科特色项目(项目编号:PXM2015_014213_000063);北京市社科重大项目“国有企业混合所有制改革理论与实现路径研究”(项目编号:15ZDA51)
中图分类号:F239.1文献标识码:A文章编号:1002-5812(2017)03-0010-04
摘要:整合审计是国际上普遍采用的审计方式,我国也了相关的法律法规,要求上市公司必须聘请注册会计师对内部控制的有效性进行审计。无论是在财务报表审计还是在内部控制审计中,与财务报告相关的内部控制的有效性都是审计师关注的重点和核心部分,两种审计不仅应该整合进行,而且存在着广泛的整合点。文章通过案例说明:对于传统的财务报表审计来说,内部控制审计并不是“额外的工作”,两者的整合有助于提高审计效率,也有利于增强外部信息使用者的信赖程度,获取更多的信息。
关键词:整合审计内部控制审计财务报表审计内部控制
一、整合审计的概念及由来
虽然内部控制一直是财务和法律领域的重要议题,但是直到21世纪初,世界各国才纷纷出台规范内部控制审计的强制性法律法规。虽然各国的要求有所不同,但是在风险管理的框架下将其与传统的财务报表审计进行整合是它们共同的特点。整合审计不仅受到法律法规的推动,而且也反映了会计信息系统的内在需求。内部控制作为公司治理结构的体现和重要组成部分,一直受到各界的广泛关注,而内部控制真正成为管理者经营责任的一部分,并要求审计师对其有效性进行审计,则是本世纪初一系列会计丑闻的直接后果。
2002年一系列的公司丑闻,尤其是安然和世通事件的爆发,不仅揭示出企业内部控制的重大缺陷,而且严重影响到资本市场的稳定发展,美国股市剧烈震荡。为了保证上市公司财务丑闻不再发生,美国在2002年7月出台了《萨班斯-奥克斯利法案》并第一次要求对有关财务报告的内部控制进行审计,其中备受关注和争议的404条款规定,管理层应当评价并在企业年报中报告内部控制情况,并且必须聘请会计师事务所对其年度报告(包括内部控制报告)进行审计并出具针对财务报表和内部控制的审计意见,两种审计不应当分开进行。该项条款强制在美国的上市公司建立有效的内部控制体系并聘请会计师事务所进行审计。根据萨奥法案同时创立了美国公众公司会计监督委员会(PCAOB),委员会制定了适用于上市公司的审计准则,并在2004年3月和2007年5月了规范内部控制审计的准则,对审计方式、内容和与财务报表审计的关系作出了具体的规范。萨奥法案的通过给我国在美上市公司提出了严峻的挑战,同时也给国内企业敲响了警钟。健全的内部控制体系不仅能够抵御经营风险、为企业的高效经营提供恰当的保护,也能够从公司治理方面为完善我国资本市场做出贡献。所以,财政部等五部委也联合出台了一系列法律法规,一方面积极吸收借鉴国外先进的经验和模式,另一方面又结合我国国情进行了改进,对企业建立有效的内部控制体系及两种审计过程的整合作出了具体的规范。
财务造假严重损害了社会公众的利益,为了恢复投资者的信心,政府部门和准则制定机构把健全有效的内部控制体系作为提高财务信息可靠性的重要途径。内部控制的有效性必然是内部控制审计关注的核心内容,而在传统的财务报表审计中,注册会计师为了评估重大错报风险,需要对被审计单位及其所处的内外部环境进行初步的了解,具体内容包括行业状况、企业文化、会计政策、战略及控制等许多方面,而这其中最重要的部分就是内部控制及其环境。那么,两者关注的内部控制的范围有何区别?下面试对两种审计中需要关注的内部控制的范围进行论述。
二、注册会计师对内部控制的关注
根据COSO2013的定义,内部控制是治理层、管理层和其他人员设计与执行的政策及程序,使得企业在合法合规的基础上提升经营效益,同时为外部信息使用者提供可靠的财务信息。内部控制的三个维度是:目的、要素、组织结构,这三个维度相互交叉,把整个内部控制分成了一个个具体的部分。注册会计师在进行财务报表审计和内部控制审计时就需要判断:应当关注哪一部分的内部控制?
在财务报表审计中,注册会计师需要了解和测试企业的内部控制体系,其中必然包括为了保证财务信息可靠程度的内部控制措施,但是,是否保障财务报表可靠性并不是注册会计师判断关注与否的唯一标准。而且即使某项控制与财务报表无关,但无效的内部控制可能会给企业带来经营风险、法律风险,最终也可能影响到企业的控制环境或文化,同样会造成财务报表的不真实。注册会计师在确定一项控制或者几项控制的组合是否与审计相关时,不仅要考察该项控制是否会影响财务报告的可信程度,更重要的是运用职业判断来划定具体的范围和边界。注册会计师了解企业内部控制的目的是评估财务报表的重大错报风险。在必要的情况下,如果这一主观评估出来的风险很高,那么就需要额外的、有事实支撑的审计证据,而不是单纯对风险或者说概率进行评估,控制测试就为注册会计师提供了获取审计证据的途径。既然需要了解的内部控制不一定全部为了保障财务信息的可靠性,那么我们就可以进一步得出结论,需要测试的控制也不限于与财务报告相关的内部控制。综上所述,对于财务报表审计中需要关注的内部控制和与财务报告相关的内部控制这两个概念来说,两者的范围相互重叠,但不存在一方包含另一方的关系,所以,即使面对同样的企业,由于工作经验、团队人员和事务所文化所造成的职业判断方面的差异,不同的审计师关注的内部控制一定是不一样的。
在内部控制审计中,注册会计师理所当然地应当关注被审计单位的内部控制。虽然在具体的审计方式和关注范围上中美两国的规定存在差异,但是内部控制审计主要关注的部分还是为了保证财务报表信息可靠性的内部控制措施。美国萨奥法案404条款仅仅要求管理层满足财务报告内部控制这一个方面的要求,并评价其最近一年控制的有效性,注册会计师在审计企业年度报告的同时应当测试和评价财务报告内部控制。两国的准则都要求注册会计师对企业财务报告内部控制的有效性发表意见,区别在于:ASNO.5规定两种审计不仅应当同时进行,而且需要以整合的方式相互促进,但是,在评估控制缺陷的过程中,即使某项控制存在缺陷,只要注册会计师判断该项控制不会合理可能地(reasonablepossibility)造成财务报表重大错报,注册会计师就不需要测试该项控制;我国的《企业内部控制审计指引》虽然没有规定必须整合两种审计,但是在审计报告中的特殊事项段应当披露所有的内部控制重大缺陷,无论是否与财务信息的可靠性相关。所以,我国的内部控制审计关注的是内部控制的整体,无论该项控制是否与财务报告有关,只要一项内部控制存在缺陷,就一定会影响到审计意见的发表,或者在重大事项段中被披露,进而引起信息使用者的关注,而美国的准则规定注册会计师只需要关注与财务报告有关的内部控制,而与财务报告无关的内部控制不会影响到审计过程,也不需要在审计意见中披露其可能存在的重大缺陷,也就是说,只要一项内部控制有助于保证财务报告的可靠性,那么就应当在内部控制审计中对其进行了解和必要的测试,而如果某项控制与财务报告的可靠性无关,那么内部控制审计就不需要关注它。因此,我们可以得出结论:在内部控制审计工作的实施方式上,美国强制要求由同一会计师事务所整合两种审计过程,而我国没有规定必须以整合的方式实施两种审计工作。同时,中美两国内部控制审计都是为了保证报表能够提供可靠的财务信息,而我国将整个内部控制体系作为考察的对象,如果一项控制或控制组的重大缺陷不会影响财务报表的可靠性,那么就不会影响审计意见,但是,内部控制体系中存在的任何重大缺陷都会反映在报告之中。
从上面的讨论中可以得出结论,为了保证财务信息的可靠性,两种审计共同关注的中心和支点就是企业内部控制的有效性。既然如此,那么能不能将两种审计整合进行?这样的整合审计能为企业、会计师事务所以及投资者带来怎样的效果呢?
三、整合审计的必要性与可行性
既然法律法规要求企业聘请注册会计师审计内部控制的有效性,那么应当如何进行内部控制审计呢?显然,与整合的方式相比而言,如果将两种审计分开进行,总的审计投入一定会更高,也会增加整个社会的成本。从目前的实证证据中可以看出,单独进行的内部控制审计并不能提高两种审计的效率和质量,也没有对财务报表审计目标的实现起到显著的积极作用。
内部控制在两种审计流程中的地位和作用决定了两者的最大整合c,还是能进行整合的根本原因。财务报表审计需要了解被审计单位及其环境,作为关注对象中的核心部分,被审计单位的内部控制包括设计和执行情况两个部分。在此基础上,注册会计师应当首先评估内部控制体系以及单项控制或控制组中存在的重大错报风险,并针对不同层次的重大错报风险设计和实施应对措施。报表层次的重大错报风险主要与控制环境有关,注册会计师应当据以确定与报告环境和企业整体有关的措施;认定层次的重大错报风险主要与某一单项控制或控制组有关,应当利用具体的测试和程序来确定内部控制是否有效、财务报表是否存在错报。而在内部控制审计中,首先应当评估内部控制在特定领域存在重大缺陷的风险,而内部控制又可以分为企业层面的内部控制和业务层面的内部控制。审计师应当根据特定领域内评估的风险确定控制测试的范围和程度。从两种审计的流程中可以看出,了解内部控制是共有的程序,据此评估出的风险都分为两种类型(报表层次和企业层面、认定层次和业务层面),由此确定的风险应对程序中又都包括控制测试。所以,内部控制在两种审计流程中的地位、结构、作用都是相似的,可以进行整合。
除了上述的最大整合点,财务报表审计和内部控制审计在其他方面也存在着广泛的整合点:(1)两者都属于鉴证业务,注册会计师都需要鉴定和证明鉴证对象信息是否符合标准,并发表能够提供合理保证程度的意见。(2)两者的最终目标相同,都是为了提高财务报表的可靠性。当外部使用者利用财务报表信息作出决策时,审计意见不仅可以增强其对财务报表信息的信赖程度,而且可以在受到不真实信息误导的时候追究审计师的责任。(3)在审计计划的制订中,两者的重要性水平相同,ASNO.5规定,在内部控制审计的计划过程中,审计师使用的重要性水平应当与财务报表审计中的重要性水平相同。同时,两种审计计划中也都需要确定审计范围、审计方向等。(4)两者都以风险为导向,要求在风险评估的基础上应对风险。在两种审计的实施过程中,注册会计师都应当以风险评估为基础,确定所需的审计证据的范围和程度。在内部控制审计中,评估某一项控制或者控制组合的重大缺陷,可以得到一个主观的评估概率,也就是存在重大缺陷的风险。注册会计师利用这一概率确定下一步的审计措施,高风险领域必然需要更多的关注。而在财务报表审计中,评估的重大错报风险越高,可接受的检查风险越低,需要的审计证据越就多,同样也需要更多的审计关注。(5)两者的审计报告可以合并入年报当中。虽然企业可以将内部控制审计报告单独披露,但是也可以将其作为年报的一部分与财务报表审计报告一起披露。
但是,两者必然存在着差异,因为如果不存在差异就没必要将两者区分开来。首先,两者的目标不同,内部控制审计的目标是对内部控制的有效性发表意见,同时支持对控制风险评估的结果;财务报表审计的目标是对财务报表的编制和列报发表意见。其次,两者的鉴证对象不同,财务报表审计的鉴证对象是被审计单位的三张财务报表所反映的企业目前的状态以及上一个会计期间所取得的成果,而内部控制审计的鉴证对象是被审计单位内部控制的健全性和有效性。再次,即使评估出来的重大错报风险很低,实质性程序也是财务报表审计中不可少的环节,而控制测试只是在特定条件下才需要实施;但在内部控制审计中,控制测试是核心程序。总的来说,财务报表审计是为了增强财务信息的可靠性,重在审计“结果”;而内部控制审计是为了保证内部控制的有效性,重在审计“过程”。
所以,两种审计从根本性质上来说可以整合,在目标、计划、实施程序和报告方面也存在着许多整合点,完全可以将两者整合进行。同时,差异的存在也是重要的,而且两种审计的差异恰恰意味着通过实施内部控制审计,使更多的信息被披露了出来,不仅使投资者能够了解企业内部控制的有效性,更增强了财务报表的可靠程度。综上所述,整合审计不仅是必要的、可行的,而且在适当的整合方法下可以为投资者、企业和整个社会提高效率,带来收益。
四、整合审计的实际应用案例
(一)2014年中国内部控制审计意见概况
2012年8月14日财政部、证监会下发的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》中规定,规范的企业内部控制体系应当逐步在所有上市公司中推广开来。按照国有企业、大型非国有企业、所有主板上市公司的顺序,2014年是所有主板上市公司强制披露内部控制自我评价报告以及内部控制审计报告的第一年,统计结果见表1。
从表1中可以看出,在审计师出具的内部控制审计意见中,以标准无保留审计意见为主。在19份否定意见中,有5家上市公司(烯碳新材、泰达股份、柳化股份、航天通信、柳钢股份)的年度财务报表审计意见为标准无保留意见,且这5家企业的两种审计均由同一会计师事务所进行,即都采取了整合审计的方式。那么,为什么在这些企业的财务报告内部控制很可能已经失效的情况下,财务报表却在所有重大方面按照企业会计准则的规定编制,客观地反映了企业目前的状况以及上一个会计期间所取得的成果的情况呢?
(二)泰达股份审计意见的差异
天津泰达股份有限公司于1996年11月28日在深圳证券交易所挂牌上市交易。截至2016年第二季度末,公司总资产为300.36亿元。泰达股份目前拥有8家控股子公司,并参股8家公司,行业涉及化学加工、环保产业、金融、城市建设等。天津泰达股份有限公司前身是天津美纶化纤厂,1992年7月20日实行股份制试点,通过定向募集股份设立天津美纶股份有限公司。泰达股份目前的第一大股东为天津泰达集团有限公司,共持有泰达股份有限公司32.9%的股权。
2014年,泰达股份改聘普华永道中天会计师事务所,并在3月20日公布了关于重大会计差错更正的公告,在4月11日又更新了该公告,普华永道会计师事务所对该公告执行了有限保证的鉴证业务。普华永道为泰达股份出具了标准的财务报表审计意见和否定的内部控制审计意见。报告中披露的缺陷包括:资产减值评估过程未执行,或没能发现客观的减值证据;部分子公司未审核分析应付未付工程款、施工成本归集和分摊、施工进度、收入确认原则、在建工程是否达到可使用状态;对财务人员的培训也不够到位。这些重大缺陷已使得企业的内部控制不能合理保证财务报告和相关信息的真实完整性。而且在2014年底,泰达股份并没有进行内部控制的整改,上述重大缺陷问题依然存在,所以,审计师在内部控制审计报告中出具了否定意见。同时报告中还披露,公司2014年度的财务报表中对可能出现的错报、漏报进行了合理的关注和调整,不存在重大的可靠性问题。
既然内部控制存在如此多的缺陷,并导致审计师出具了否定意见,那么为什么财务报表却实现了公允反映,其审计意见也是标准无保留的呢?从公司的公告中我们可以推测,注册会计师在对本年和以往年度的财务报表进行审计和审阅的过程中,将内部控制审计进行了整合:首先,了解和测试内部控制揭露了内部控制存在的重大缺陷。为了应对重大缺陷所导致的高错报风险,审计师必须实施一定的风险应对措施,其中最主要的就是实质性程序。通过细节y试和实质性分析程序,审计师发现了重大的会计差错,并协助公司改正了本年和以往年度财务报表中存在的重大错报。所以,在改正了所有重大的会计差错后,2014年的年报真实可靠地反映了企业的状况,以前年度的报告也得到了重述。直观地看,实质性程序是财务报表审计独有的,也是两种审计意见存在差异的直接原因。虽然2014年内部控制缺陷没有完成整改,但是通过实质性程序,注册会计师得到了足够的审计证据,可以证明企业的财务报表实现了公允的反映。
审计意见的差异反映了两种审计对象之间的联系和区别。财务报表审计的对象是企业的财务信息,内部控制审计的对象是企业内部控制的有效性,财务报表是“结果”,可能存在重大错报,而内部控制是“过程”,可能存在重大缺陷。虽然两者之间存在相关性,即重大缺陷经常导致重大错报的发生,且重大错报经常意味着重大缺陷的存在,但两者之间并没有必然的因果关系。审计师首先对企业内部控制的健全性和有效性进行了解和测试,即使认为内部控制存在重大缺陷,也只是意味着企业有着很高的重大错报风险,但是在实施了足够的实质性程序之后,审计师同样有可能得出没有重大错报的结论。换句话说,即使企业的内部控制被出具否定意见,企业的财务报表仍然可以公允地反映企业的财务状况和经营成果。这样看来,与传统的财务报表审计相比,整合审计不仅额外提供了内部控制审计意见,而且种两审计意见的组合也具备相当的信息含量。
五、研究结论及启示
公众对会计信息质量的担忧使得企业的利益相关者纷纷关注内部控制的有效性,这又迫使企业的管理层建立有效的内部控制体系,进行自我评价。在此基础上,企业的管理层还必须雇佣会计师事务所对内部控制体系是否健全有效进行审计。为了增强投资者的信心,企业必须建立并披露有效的内部控制体系,同时,内部控制审计也是传统的财务报表审计的有效补充,不仅可以支持控制风险的评估结果,也让信息使用者对企业财务信息的生产过程和结果有了更深的认识。为了避免单独进行的内部控制审计所带来的高额成本,将两种审计整合进行就成为了必然趋势,而且两种审计拥有广泛的整合点,这又使得整合存在现实的可能性。
同时,两种审计又由于存在明显的差异,使得它们能够相互补充,为投资者披露更多的信息。如果由同一会计师事务所进行整合审计,那么企业内部控制体系的有效性必将得到充分的考虑,这提高了审计效率,也有助于企业和外部信息使用者理解错报风险、内部控制重大缺陷之间的联系和区别。而且,作为两种审计之间差异的外在表现形式,不同的审计意见组合又传递出了许多额外的信息。尤其是对于我国的内部控制审计而言,全面的审计要求必将改善企业的经营水平,提高财务信息质量,并最终使得投资者、企业和整个社会都能从中获益。J
参考文献:
[1]PCAOB.AnAuditofInternalControlOverFinancialReportingthatisIntegratedwithAnAuditofFinancialStatements[S].AuditingStandardNo.5,2007.
[2]COSO.InternalControl-IntegratedFramework(2013),http://.
[3]何芹.内部控制审计意见、财务报表审计意见及内部控制自评结论――比较分析与数据检验[J].中国注册会计师,2015,(02).
[4]丁红燕,王竹泉.我国上市公司内部控制审计:现状及改进策略[J].财务与会计,2015,(08).
[5]何芹.内部控制与财务报表整合审计的再思考――兼谈财务报表审计准则与内部控制审计指引的比较[J].中国注册会计师,2012,(04).
[6]吴燕.浙江省上市公司内部控制审计报告研究[J].商业会计,2014,(19).
(一)内部控制审计规范工作的内容
内部控制,即内部控制制度的建立与实施,是为了实现企业的目标,如股东利益最大化、尽可能保护所有利害关系人的权利等。通过内部控制,达到兴利与防弊,特别是提高经营效益的目的。如果企业内部控制失效,提供的会计信息也就无法真实地反映企业财务状况和经营成果。
内部审计不仅仅只是一种保证活动,更多的是一种咨询活动,并且内部审计的目标与组织目标是一致的:都是为了增加组织价值。
(二)我国的内部控制审计规范研究工作现状
在借鉴西方内部控制审计规范的同时,我国的内部控制审计规范研究与实践工作也取得了相应的发展。从2006年起,内部控制审计规范的研究制定工作进入了快车道,我国力求在借鉴SOX法案的基础上形成自己的内部控制规范体系。2008年财政部等五部委出台了《内控基本规范》,这标志着中国版的SOX法案的诞生。由于这一基本规范是原则性的,还需要有进一步的指南性文件以使规范更具操作性,2009年,《内控基本规范》配套指引(征求意见稿)应运而生。2010年4月26日,在征求意见稿的基础上,财政部等五部委联合了《企业内部控制规范》配套指引。至此,我国的内部控制规范体系基本完善,为企业评价内部控制工作、注册会计师执行内控审计工作提供了具体指导。
二、我国审计规范工作存在的问题
(一)我国尚未形成完善的内部控制审计准则
内部控制审计准则制定问题一直是国内外学者密切关注的热点问题之一。调查研究发现,现阶段,国内部分审计师以多种不同的执业准则为依据开展内部控制审计活动。受诸多不稳定性因素的影响,部分执业准则在目标定位方面已严重脱离现行实际状况,无法满足内部控制审计的要求。2010年,我国政府部门出台《内部控制审计指引》,这一政策虽然对审计师能够更好的执行内部控制审计起到借鉴意义,但仍然未明确审计师在执行内部控制审计时所要依据的准则和规范,只是在后附中简单的提到“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”。
一方面,《内部控制审计指引》仅在部分方面对内部控制审计具有指导作用,而未对审计方法的选择、审计计划的审核及审计过程中的评价等方面做到明确指导,可想而知,其指导作用也就没有什么可期待的了。正因如此,使得国内多数事务所只能够依据《中国注册会计师其他鉴证业务准则第3101号》、《内部控制审计指导意见》及《中国注册会计师准则第1211号》等准则执行内部控制审计活动。另一方面,主动将内部控制的测试和评价业务从财务报表审计业务中脱离出来,这一举动打破了传统的一次性业务或面向特定企业的业务,实现了与财务报表审计并列的经常性业务。尤为注意的是在《内部控制审计指引》背景下,财务报告内部控制审计已成为注册会计师的法定业务。
(二)我国上市公司内部审计报告存在着问题
1.内部审计报告中缺乏非财务报告内部控制。内部审计报告由财务报告内部控制和非财务报告内部控制共同构成。研究调查显示,我国大多数上市公司在制定内部审计报告时,过于重视财务报告内部控制,而忽略了非财务报告内部控制的重要性,因此,一定程度上削弱了内部审计报告的高效性。
2.内部审计报告中披露的大都为标准审计意见。目前,我国上市公司内部审计报告中主要具有四种参考格式:标准格式、否定意见格式、带强调事项段的无保留意见格式以及无法表示意见格式。在样本数据中,我国上市公司均采取无保留审计意见格式,究其根本在于上市公司大都不愿意自主披露非标准审计意见的报告,同时,会计师事务所未能够保持独立性,多为附和被审计公司的要求而出具无保留意见,导致我国上市公司内部审计流于形式,无法充分发挥其职能。
(三)我国当前存在准则并非内部控制审计的恰当执业标准
在查阅的内部控制审计师报告中,事务所主要提及了以下执业准则:中国注册会计师协会(以下简称中注协)于2002年2月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》(2008―2010年间为《内部控制鉴证指引(征求意见稿)》。
《内部控制审核指导意见》第二条规定:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审核意见。”第二十九条规定:“注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用,被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”,“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前,内部控制审计已经从财务报表审计中独立出来,成为一项单独的审计鉴证业务,显然《指导意见》已不适合作为恰当的执业准则。
《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则,内部控制审计属于鉴证业务的一种特定类别,审计师以此为执业准则,具有原则指导性,但针对性明显不足。
《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务,注册会计师在编制审计计划时,应当了解被审计单位及其环境(包括被审单位的内部控制),对拟信赖的内部控制进行控制测试,据以确定实质性测试的性质、时间和范围。显然,该准则定位于财务报表审计业务,对内部控制的了解和测试是作为财务报表审计业务的辅助部分展开的,而非为了对内部控制的有效性发表意见而进行的全面指引。显然,该准则也不完全适合于独立的鉴证业务――内部控制审计。
三、我国审计规范存在的问题及相关建议
(一)完善内部控制审计
准则
综上所述,目前,我国尚未形成完善的内部控制审计准则,以至于内部控制审计的高效性职能无法充分发挥。针对于这一现状,笔者认为,我国相关部门需吸取发达国家的优秀作法,结合我国的市场特点和需求,在《中国注册会计师执业准则体系鉴证业务准则》中新增更为全面的内部控制审计准则,之后将其与《中国注册会计师审阅准则》、《中国注册会计师审计准则》及《中国注册会计师其他鉴证业务准则》相融合,最终将其确定为《中国注册会计师内部控制审计准则》。除此之外,相关部门可结合实际状况,将《中国注册会计师审计准则》更名为《中国注册师财务报表审计准则》。为满足财务报表内部控制审计和财务报表审计的需求,相关部门也可依据美国的PCAOBASNo.5,结合国内市场现状,制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。与此同时,相关部门可构建中国注册会计师执业准则体系,从而为完善和调整内部控制审计准则提供有力平台。
美国PCAOBASNo.5中对财务报告内部控制审计报告作出了规定,我国相关部门可依据这一规定,结合国内财务报表审计报告的格式,推进内部控制审计准则改革。在内部控制审计准则改革过程中,笔者认为,应将《内部控制审计指引》后附中的“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”改为“审计师已依据《中国注册会计师内部控制审计准则》执行了内部控制审计”。现阶段,对于跨国的上市公司而言,要求其注册会计师严格依据国际审计准则开展内部控制审计活动;对于在中美同时上市的公司而言,要求其注册会计师严格依据PCAOBASNo.5下的审计准则开展内部控制审计活动,以此才能够确保公司平稳而快速的发展。
(二)完善上市公司内部审计报告
1.增强会计师事务所的独立性。我国会计师事务所对于保持独立性多为附和被审计公司的要求而出具无保留意见,针对其现象,一方面,我国上市公司会计师事务所需进一步加强注册会计师的职业道德和相关专业技能知识培训和再教育,实现注册会计师思想和能力的独立性;另一方面,会计师事务所需定期接受注册会计师协会的监督和管理,保证会计师充分的独立性。
2.转变上市公司对内部控制审计的认识。无论是上市公司还是会计师事务所都应该树立其正确的内部控制审计观,在充分认识到非财务报告内部控制的重要性的条件下,确保上市公司能够立足于非财务报告内部控制和财务报告内部控制的基础之上开展内部审计报告制定工作,从而,全面调动上市公司内部审计报告的高效性。
3.完善上市公司内部控制审计准则。目前,我国上市公司内部审计报告仍存在一定的不,!足,大大削弱了内部审计报告职能。该环境下,完善上市公司内部控制审计准则不容忽视,即内部控制审计准则的完善需结合上市公司的实际情况,通过不断加大内部审计报告披露力度,推进上市公司内部审计报告名称和格式的统一性。
(三)防范内部控制审计风险措施
1.研究制定获取第三方信息的程序和规范。制定完善的《审计机关获取第三方信息操作规范》须立足于下述方面:首先,应该统一第三方信息的概念及构成要素;其次是制定健全的第三方信息操作步骤和标准;再次是明确第三方信息的使用范围;最后是规范第三方信息风险控制措施。
健全有效的内部控制可以合理保证企业经营效率与效果、财务报表的可靠性以及对相关法律法规的遵循。但是在二十一世纪初,美国等国家爆发安然、世通等一系列数额惊人的财务舞弊案件,对资本市场产生极大震动,其根本原因之一是内部控制失效导致的。美国为整顿资本市场秩序,重树社会公众对资本市场的信心,于2002年颁布了《萨班斯-奥克斯利法案》,该法案要求管理层对财务报告内部控制的评价报告随定期报告一同对外披露,同时要求公司内部控制必须经注册会计师审计。内部控制审计这一新型业务的开展将会对提高财务报告信息质量产生深远影响,这也正是本文研究内部控制审计问题的价值所在。
一、内部控制审计理论
在美国展开的内部控制审计的制度化,并不是安然、世通等财务舞弊事件所引起的特定国家的问题,而是通过这些偶然事件得以加速公司治理的必然发展。世界各国也同样存在内部控制审计制度化的必然性。美国内部控制审计的发展过程:文件化、测试、经营者评价报告、内部控制报告审计,其宗旨是从财务报告过程的控制以保证财务报告的可靠性,进而达到公司治理的目的。可见,我们有必要研究内部控制审计相关的基本理论。
(一)内部控制审计相关的概念界定
现代审计的主流是以财务报表审计为代表的对信息的检验。但是,随着企业经济活动的不断扩大和经济全球化的不断进展、社会民主意识对政府以及社会团体等机构的信息披露要求不断提高,审计范围越来越广泛,审计的类型越来越多,人们对审计的关心也越来越强。审计是为了确认有关行为是否妥当,或者该行为人所给的信息(陈述、认可)是否可靠,由独立第三者所进行的一种检验。审计对于注册会计师而言,主要是财务报表审计。SOX之后,美国开始实施财务报告内部控制审计,日本、加拿大等也在相继制定相关的审计准则并在适时推出这项制度安排,这说明除了传统的财务报表审计外,还将有一套新的审计制度安排,即内部控制审计。也就是说,需要对内部控制预期的目标实现进行检查和评价,即建立一个内部控制评价和报告体系,来提高内部控制的有效性,加强内部控制信息的透明度。所建立的内部控制评价与报告体系既要求管理层对内部控制的有效性进行评价,也要求中介机构对其进行审计。本文将内部控制审计、财务报表审计以及同时进行这两项审计时的整合审计的概念界定如下:
1.内部控制审计
笔者对本文的内部控制审计定义,在借鉴美国AS5“财务报告内部控制审计”概念的基础上,结合我国的具体情况,定义为:内部控制审计是指会计师事务所接受委托,对特定日期(通常与企业内部控制自我评价基准日一致)企业内部控制的有效性进行审计,并发表审计意见。为了形成审计意见的基础,审计人员必须计划和执行审计程序,获得合理保证,确定公司与财务报告有关的内部控制是否在管理当局评估的特定日期存在重大缺陷。这里内部控制审计的对象,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,即“狭义的内部控制”。我们在文中的主题“内部控制审计”即指这里的狭义内部控制审计。
2.财务报表审计
财务报表审计属于鉴证业务,是指注册会计师按照审计准则的规定,通过计划和执行审计工作,对财务报表的下列方面发表审计意见:(1)财务报表是否按照适用的会计准则和相关会计制度的规定编制;(2)财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。注册会计师的审计意见旨在提高财务报表的可信赖程度。
3.整合审计
本文所研究的整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计,注册会计师通过整合计划和实施审计工作,以同时实现二者的目标:①获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;②获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
二、内部控制审计的业务特性
1.基于责任方认定的信息审计业务
审计有两大系列。其一是需要对审计客体的陈述或声明发表意见的审计,称之为信息审计;其二是需要对审计客体的行为、过程以及系统发表意见的审计,称之为非信息审计。财务报表审计,实质上是对经营者所作会计声明的审计,是一种典型的信息审计。信息审计和非信息审计并不是同一审计行为的两种表现类型,而是审计人基于不同审计主题采取了不同认识行为所形成的两大审计系列。根据审计的主题是已经用语言表现的声明还是未经语言表现的非声明事项,审计的认识对象可以分为两大范畴:其一,已经用语言表现的声明――责任方认定,是责任方对其责任范围内的业务活动及其结果进行评价或计量后形成和给出的认定。即在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。责任方认定是责任方将适当标准应用至鉴证对象的结果。比如,经营者(责任方)对财务状况、经营成果和现金流量(业务活动及其结果)进行确认、计量和列报(评价或计量)而形成的财务报表即为责任方的认定,该财务报表可为预期报表使用者获取,注册会计师针对财务报表出具审计报告注册会计师或者针对责任方认定提出结论,或者直接针对鉴证对象提出结论,无论采取何种方式提出结论,预期使用者都可以获取责任方认定;其二,未经语言表现的非声明事项――直接报告业务,是责任方没有给出认定,需要审计人员直接对审计对象进行评价或计量,形成审计结论的业务。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。简而言之,直接报告业务是注册会计师直接应用适当的标准对鉴证对象进行评价并提出结论,预期使用者无法获取责任方认定。我们定义以责任方认定为主题的审计为信息审计,以直接报告业务的对象为主题的审计为非信息审计。信息审计是指通过获取与责任方认定的内容及依据有关的证据,验证责任方认定是否按照既定的标准恰当地反映了责任方所认定的企业等经济主体的活动及其结果,并对责任方认定是否可靠发表意见为目的的审计。比如,财务报表审计,内部控制审计等。非信息审计则是通过调查有关行为主体的行为内容行为过程和行为程序等,验证该行为妥当与否,法律等各种规范的遵守情况如何,效率如何等等,并对该行为、过程和程序给出调查结论为目的的审计。比如,舞弊审计等。
2.合理保证的鉴证业务
国际审计与鉴证准则委员会(IAASB)将注册会计师的服务分为鉴证业务(AssuranceEngagements)和非鉴证业务(Non-assurance,或者RelatedServices,相关服务)。
关键词:财务报告;内部控制;审计整合;审计动因
随着近年来我国公司的发展,我国内部控制审计及其规范问题也引起了监管部门和学术界的高度关注。继2008年5月财政部会同证监会、审计署、银监会、保监会(以下简称五部委)《企业内部控制基本规范后,2010年4月五部委又联合了企业内部控制配套指引(包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》),标志着具有中国特色的内部控制规范体系基本形成。
一、财务报告内部控制审计相关概念界定
(一)内部控制及内部控制审计
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。我国内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
(二)财务报告内部控制
财务报告内部控制是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括的政策和程序有:保存充分、适当的记录,准确、公允地反映企业的交易或事项;合理保证按照企业会计准则的规定编制财务报表;合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易或事项。
二、财务报告内部控制审计的理论基础
(一)受托经济责任理论
受托经济责任就是指资源所有者将其资源委托给受托者(人)并赋予受托者以资源的保管权和运用权,同时通过有关组织规则(如公司章程和法规制度等约束机制)明确规定委托者和受托者之间的权利义务关系。受托经济责任,其实质就是委托人与受托人的一种契约关系。随着经济的发展和社会的进步,受托经济责任的内涵在不断拓展,受托的责任范围也相应在不断扩大,同时受托经济责任关系不断发展又促使了审计业务种类的不断丰富。内部控制审计这项新业务正是在这种情况下产生的。
(二)信号传递理论
信号传递理论认为,公司所有者与管理层之间存在着严重的信息不对称现象:管理层公司所有者制订财务决策和经营决策、制订公司的内部控制,并评价公司的内部控制的有效性,拥有绝对的信息优势;公司所有者作为委托方只能通过管理层提供的内部控制报告间接获得相关信息,处于信息劣势。这样就使拥有内部控制信息的优势者(管理层)对信息的劣势者(公司所有者)有欺骗的机会,这也是许多公司出现管理层舞弊导致经营失败的重要原因。
三、公司财务报告内部控制审计的对策
(一)努力整合财务报告内部控制审计与财务报表审计
《企业内部控制审计指引》第五条明确指出:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。但在实务中,由于内部控制审计和财务报表审计的关联性,注册会计师更适合于进行整合审计。将财务报告内部控制审计与财务报表审计进行整合,由执行财务报表审计的会计师事务所并由同一项目小组执行内部控制审计,可以避免重复审计,有助于提高审计效率,降低审计成本,保证审计质量。
(二)正确处理好企业内部控制自我评价与注册会计师审计之间的关系
内部控制评价和注册会计师审计是两种不同的责任,但两者的工作可以互相利用。一方面,在执行内部控制审计时,注册会计师通过评估企业内部控制自我评价工作,可以判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作。如果决定利用其工作,则可以相应减少本应由注册会计师执行的工作。但无论是否利用企业的自我评价工作,会计师事务所均应对发表的审计意见承担全部责任。另一方面,注册会计师在执行内部控制审计时,从独立的第三方角度可能会发现企业自我评价没有发现的控制缺陷,提请企业予以整顿。此时,企业需要正确认识注册会计师的内部控制审计工作,正确对待注册会计师的工作结果,认真审视企业的内部控制,通过整改落实,使内部控制更加完善合理。
(三)实行自上而下的审计方法
在财务报告审计中,注册会计师应当运用自上而下的方法实施审计工作,它是注册会计师识别风险、选择拟测试控制的基本思路。这种方法要求财务报告审计始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始。自上而下法能够将注册会计师的审计资源集中于风险最高的领域,通过对重要账户、重要认定、相关的控制等层层推进,有助于发现被审计单位的重大缺陷。
(四)提高注册会计师的职业判断能力
由于财务报告内部控制是非财务数据,更多表现为业务活动,对其进行鉴证并希望实现合理保证的目标是很困难的。因此,财务报告内部控制审计对注册会计师的职业判断能力和专业胜任能力都有更高的要求。如,在财务报告内部控制审计完成控制测试后,注册会计师需要评价内部控制存在的缺陷,并根据内部控制缺陷程度确定审计范围和审计意见类型。其中缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。
参考文献:
[1张龙平,陈作习.财务报告内部控制审计的历史回顾[J].审计月刊,2008,(9).
关键词财务报告内部控制审计
中图分类号:F239文献标志码:A
《企业内部控制基本规范》及其《企业内部控制配套指引》的,标志着我国企业内部控制规范体系的建设基本完成。但是,任何一个制度都需要强有力的监督才能发挥有效的作用,所以由第三方审计师对内部控制进行鉴证并进行披露已经被世界上大多数国家所共识。2002年7月,美国国会批准了《萨班斯――奥克斯利法案》(简称“《SOX》”),要求社会公众公司管理层对内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司对管理层的评价报告进行鉴证并出具审计报告。2004年3月,美国公众公司会计监管委员会(简称“PCAOB”),了《与财务报表审计同时进行的财务报告内部控制审计》(简称“AS2”);2007年6月,PCAOB又了取代AS2的《与财务报表审计结合的针对财务报告内部控制的审计》(AS5);2010年4月,我国财政部等部门联合了《企业内部控制审计指引》要求会计师事务所接受委托,对上市公司内部控制设计与运行的有效性进行审计,并出具审计报告。但是,内部控制审计毕竟是一项新生事物,对其相关问题展开研究,对于正确指导会计和审计实务工作具有重要的意义。
一、关于内部控制审计的目标
世界公认的内部控制研究机构美国COSO委员会认为,如果公司的经营目标得到了某程度的实现、财务报告可以信赖、适用的法律法规得到了遵循,即可以认为内部控制是有效的。AS5指出,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见,财务报告内部控制的有效性包括设计和运行两个方面,任何一个方面存在重大漏洞,便可以被认定为无效的。我国《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。在内部控制审计业务中,注册会计师提供的保证水平要高于原来的内部控制审核业务提供的保证水平。内部控制审核在收集证据的性质、时间和范围方面是有意识的加以限制的,而内部控制审计则要收集充分的和适当的审计证据,以期为内部控制审计意见提供较高程度的保证。
二、关于内部控制审计的对象
(一)内部控制审计对象的类型。
AS5把财务报告内部控制审计的目标界定为“审计师就公司财务报告内部控制的有效性发表意见”,我国《企业内部控制审计指引》也指出,内部控制审计的目的是对财务报告内部控制的有效性发表意见,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应当在内部控制审计报告中增加“说明段”予以披露。由此可见,财务报告内部控制审计指向的对象都是内部控制而不是公司管理层对内部控制的自评报告。
(二)内部控制审计对象的时空范围。
内部控制的目标包括合规性目标、经营目标、财务目标和战略目标,财务目标只是内部控制目标之一。AS5仅要求注册会计师对与财务报告相关的内部控制进行审计。《SOX》要求,公众公司财务年报中应当包括内部控制报告,其内容包括对公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任的强调,管理层最近财政年度末对内部控制体系及控制程序有效性的评估,担任公司年报审计的会计公司应当对管理层对内部控制的评估进行测试和评价,并出具评价报告。我国《企业内部控制审计指引》强调会计师事务所对企业特定基准日内部控制设计与运行的有效性进行审计。PCAOB也认为财务报告内部控制有效性是针对具体某一时点的。由于财务报告内部控制是一个连续的和动态的过程,有些控制政策和程序运行后不会留下审计轨迹,因此审计师在财务报告内部控制审计过程中只能获取某一时点的充分而有效的审计证据,从而也只能对该时点控制的有效性提供合理的保证。
三、关于内部控制审计的依据
AS5指出,审计师在财务报告内部控制审计过程中,应当采用与公司管理层评价财务报告内部控制同样的标准,即共同认可的控制框架。美国证券交易委员会(简称“SEC”)要求管理层采用一个适当的、被认可的、包括向公众广泛征求意见的团体制定的控制框架作为评价公司财务报告内部控制有效性的基础,COSO的内部控制整体框架即是这样的一个框架。COSO报告是由美国注册会计师协会、美国会计协会、内部审计协会、管理会计师协会和财务经理人协会共同制定,其专业导向性,决定了其关注的重点是会计和财务问题,普华永道会计师事务所承担了大量的工作,可以作为财务报告内部控制的评价标准。而且COSO报告的权威性在世界上得到了广泛的认可。
四、内部控制有效性的认定问题
(一)内部控制缺陷的概念。
内部控制缺陷指的是内部控制设计和运行中存在的漏洞,会影响内部控制目标的实现。内部控制是允许存在瑕疵的,AS5指出:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”但是,内部控制的缺陷不应当为控制目标的实现提供合理保证。因而内部控制缺陷是与控制目标相联系的。
(二)内部控制缺陷的分类。
对内部控制缺陷进行分类是十分重要的,因为审计师是缺陷的类型来确定审计意见的类型的。AS5根据将控制缺陷划分为一般缺陷、重大缺陷和实质性漏洞三个层次,并列举了实质性漏洞的信号。重大缺陷也称实质性漏洞,是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,例如管理层风险意识薄弱,或者的风险偏好与企业的经营特征不匹配等;重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大。例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。是指除重要缺陷、重大缺陷外的其他缺陷。
(三)内部控制缺陷的认定。
内控缺陷和内控局限性都会影响内控目标的实现,但二者是不同的。内部控制局限性指的是内部控制能够为控制目标的实现提供合理保证,但是却不能提供绝对保证。COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;控制成本与收益的权衡等。
五、内部控制审计与财务报表审计的整合问题
财务报告内部控制审计的目标是对财务报告内部控制有效性发表意见,财务报告审计的目标是对财务报表的公允性发表意见,二者都是对企业管理层对财务信息的认定提供合理保证。鉴于此,将二者进行整合将有助于提高审计效率,降低审计风险。《SOX》规定,内部控制审计应当由为公司出具审计报告的会计师事务所来进行;AS2和AS5均明确提出,财务报告相关内部控制审计应当与财务报告审计结合进行。我国《企业内部控制审计指引》规定:“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行”。在对财务报告内部控制审计与财务报表审计整合进行时,注册会计师应有效地、协同地计划和执行审计工作以实现两者的目标,在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
六、内部控制审计的导向性问题
AS5为财务报告内部控制审计设计了一种自上而下的风险导向审计方法。风险导向的意思是注册会计师将审计资源集中于高风险领域,以提高审计效率,降低审计风险。自上而下的意思是指,注册会计师首先要关注公司层面的内部控制,即控制的顶层设计;然后是重要的报表项目和重要账户余额和发生额的控制,最后才是业务层面的控制,即具体业务流程的具体控制。由于企业层面的内部控制主要涉及到的是控制环境因素,如公司组织架构、企业文化、人力资源政策和程序、职责分工等,这些因素决定了内部控制的基调,是内部控制的基础,同时也是内部控制的短板。控制环境出现问题,也就意味着其他层面的内部控制都可能会出现问题。如公司治理存在缺陷、不相容职务没有进行分离这些企业层面的设计缺陷,既容易导致管理层舞弊,不可避免地会导致财务报表层面和业务层面的内部控制出现问题。换而言之,企业层面的控制决定了财务报表层面的控制,进而决定了业务层面的内部控制,其风险也是逐级下移和扩散的,控制了企业层面的风险,也就等于控制住了其他层面的风险。所以,自上而下的内部控制审计方法就是以风险为导向的审计理念的具体体现。这种自上而下的,以风险为导向的审计方法将引导注册会计师将审计工作的重点指向下一步的高风险领域,为注册会计师制定审计策略、安排审计计划提供了路线图。
(作者单位:中国平煤神马集团财务资产部)
参考文献: