摘要:财务报告内部控制审计作为与财务报表审计并行的一种新型审计业务,其终极目标是为了向外部信息使用者提供决策有用的高质量信息。因此,研究财务报告内部控制审计对我国具有重要意义。本文从财务报告内部控制审计的概念界定入手,分析其动因,并提出如何做好财务报告内部控制审计的对策。
关键词:财务报告 内部控制审计 整合审计 动因
美国2002年7月颁布的《Sarbanes-Oxley法案》第404条款要求公众公司管理层应当对公司的内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司应当对管理层的评价进行鉴证并出具报告。此后,美国公众公司会计监督委员会(PCAOB)分别于2004年3月和2007年6月发布AS2《与财务报表审计同时进行的财务报告内部控制审计》以及旨在取代AS2的AS5《与财务报表审计相结合的针对财务报告内部控制的审计》,就内部控制审计的程序与方法作出了规定。
近年来,我国内部控制审计及其规范问题也引起了监管部门和学术界的高度关注。继2008年5月财政部会同证监会、审计署、银监会、保监会(以下简称五部委)发布《企业内部控制基本规范》后,2010年4月五部委又联合发布了企业内部控制配套指引(包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》),标志着具有中国特色的内部控制规范体系基本形成。根据《企业内部控制基本规范》的规定,执行企业内部控制规范体系的企业,应当对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所依照相关审计准则对其财务报告内部控制的有效性进行审计并出具审计报告。基于此,财务报告内部控制审计成为会计师事务所的一项法定鉴证业务。
一、财务报告内部控制审计相关概念界定
(一)内部控制及内部控制审计
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
我国内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。该定义包括三层含义:首先,内部控制审计基于特定基准日(如年末12月31日),而不是对财务报表涵盖的整个期间(如一年),但这并不意味着注册会计师只关注基准日当天的内部控制,而是要考察企业一个时期内内部控制的设计和运行情况。这里的基准日不是一个时点概念,而是体现内部控制这个过程向前的延续性,是一个区间概念。其次,定义中的内部控制的设计和运行是与财务报告相关的内部控制。审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,但也要关注非财务报告内部控制的重大缺陷,将注意到的非财务报告内部控制的重大风险,在内部控制审计报告中增加“非财务报告内部控制重大风险描述段”予以披露。第三,审计对象是内部控制设计与运行的有效性,即设计有效且运行有效。
(二)财务报告内部控制
财务报告内部控制是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括的政策和程序有:保存充分、适当的记录,准确、公允地反映企业的交易或事项;合理保证按照企业会计准则的规定编制财务报表;合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易或事项。
二、财务报告内部控制审计的理论基础
(一)受托经济责任理论
受托经济责任就是指资源所有者将其资源委托给受托者(代理人)并赋予受托者以资源的保管权和运用权,同时通过有关组织规则(如公司章程和法规制度等约束机制)明确规定委托者和受托者之间的权利义务关系。受托经济责任,其实质就是委托人与受托人的一种契约关系。随着经济的发展和社会的进步,受托经济责任的内涵在不断拓展,受托的责任范围也相应在不断扩大,同时受托经济责任关系不断发展又促使了审计业务种类的不断丰富。内部控制审计这项新业务正是在这种情况下产生的。
在2002年以前,受托经济责任相对简单,受托经济责任关系通常围绕着公司财务状况这一主题展开。委托人和受托人双方的权利和义务也是通过公司的财务状况(主要通过财务报表)展开的,但随着美国的安然事件、世通事件等审计失败的事件不断爆发,人们发现仅仅对公司的财务状况进行披露而忽略对公司内部控制的披露是远远不够的。管理层通过制定有效的、适合于公司的内部控制能实现管理层预定的目标,有效的内部控制有助于管理层将公司的经营风险、财务风险降至最低。可见内部控制是否有效将决定管理层是否能出色地完成受托经济责任。基于内部控制对企业的重要意义,美国颁布了《SOX法案》,该法案404(a)条款以及SEC的相关执行规则,均要求上市公司管理当局评估和报告公司的财务报告内部控制。这样管理层既是内部控制的制定者,也要对内部控制的有效性进行评价。为了保证管理层对内部控制有效性的认定是真实的、客观的,需要注册会计师对管理层关于内部控制有效性的认定进行审计,发表审计意见,出具审计报告,以增强预期使用者对该方面信息的信心。所以受托经济责任关系的变化,为内部控制审计的产生提供了客观的需要。
(二)信号传递理论
信号传递理论认为,公司所有者与管理层之间存在着严重的信息不对称现象:管理层代理公司所有者制订财务决策和经营决策、制订公司的内部控制,并评价公司的内部控制的有效性,拥有绝对的信息优势;公司所有者作为委托方只能通过管理层提供的内部控制报告间接获得相关信息,处于信息劣势。这样就使拥有内部控制信息的优势者(管理层)对信息的劣势者(公司所有者)有欺骗的机会,这也是许多公司出现管理层舞弊导致经营失败的重要原因。
要解决公司所有者与管理层之间有关公司内部控制信息不对称的问题,就要确保有关内部控制信息在信号发送和信号甄别这两个关键环节中顺利进行。在信号的发送方面,内部控制审计可以确保内部控制传递过程中信号的可信性。审计人员以独立第三方的身份对管理层作出的内部控制有效性评价进行再认定,运用一套科学完整的审计程序来识别和评估管理层制定的内部控制是否存在重大缺陷,最后发表审计意见并提供合理保证。这能从客观上确保管理层发出的内部控制有效性方面的信号的真实性和可信性。在信号的甄别方面,管理层是公司内部控制的制定者,在管理层对内部控制有效性进行评价时,会尽量掩盖内部控制的缺陷,评定内部控制是有效的,而内部控制审计就是注册会计师通过一整套权威的标准和严谨的审计程序来对管理层所做的内部控制有效性发表审计意见。
综上所述,公司所有者与管理层之间的内部控制信息不对称,客观上需要内部控制审计制度。这一制度的产生能够从根本上解决内部控制方面信号传递中的主要问题:消除内部控制信息的不对称性,防止管理层利用内部控制信息优势欺骗公司所有者的行为发生。
三、我国上市公司财务报告内部控制审计的对策
(一)努力整合财务报告内部控制审计与财务报表审计
《企业内部控制审计指引》第五条明确指出:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。但在实务中,由于内部控制审计和财务报表审计的关联性,注册会计师更适合于进行整合审计。整合审计又可分为以下三种情况:第一,当注册会计师接受委托对企业财务报表进行审计的同时,又受托对该企业内部控制进行审计。此时注册会计师需要对内部控制进行审计并提出审计报告,在其进行财务报表审计时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。第二,当注册会计师已对内部控制进行了审计并已提供审计报告,之后又接受委托对该企业财务报表进行审计,这样在进行财务报表审计时不需进行内部控制评价,可以直接利用内部控制审计报告中的结论。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计的报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。第三,当注册会计师先接受委托对企业财务报表进行审计,并提供了财务报表审计报告,此后才接受委托对该企业的内部控制进行审计。在这种情况下,注册会计师在财务报表审计时一般已进行了内部控制评价,并且可能提供了管理建议书,注册会计师在内部控制审计中可以利用财务报表审计中的内部控制评价结论,但这一结论的准确度一般不高,注册会计师不能直接利用,而应在其基础上,补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价,并出具审计报告。综上所述,将财务报告内部控制审计与财务报表审计进行整合,由执行财务报表审计的会计师事务所并由同一项目小组执行内部控制审计,可以避免重复审计,有助于提高审计效率,降低审计成本,保证审计质量。
(二)正确处理好企业内部控制自我评价与注册会计师审计之间的关系
内部控制评价和注册会计师审计是两种不同的责任,但两者的工作可以互相利用。一方面,在执行内部控制审计时,注册会计师通过评估企业内部控制自我评价工作,可以判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作。如果决定利用其工作,则可以相应减少本应由注册会计师执行的工作。当然,在决定利用他人工作前,注册会计师需要对相关人员的专业胜任能力和客观性进行充分评价。但无论是否利用企业的自我评价工作,会计师事务所均应对发表的审计意见承担全部责任。另一方面,注册会计师在执行内部控制审计时,从独立的第三方角度可能会发现企业自我评价没有发现的控制缺陷,提请企业予以整顿。此时,企业需要正确认识注册会计师的内部控制审计工作,正确对待注册会计师的工作结果,认真审视企业的内部控制,通过整改落实,使内部控制更加完善合理。
(三)实行自上而下的审计方法
在财务报告审计中,注册会计师应当运用自上而下的方法实施审计工作,它是注册会计师识别风险、选择拟测试控制的基本思路。这种方法要求财务报告审计始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始。然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在导致财务报表及相关的重大错报合理可能存在的账户、列报及认定上。自上而下的审计方法大致经历以下三个步骤:一是了解并选择拟测试的内部控制。通过识别公司层次的控制、识别重大账户,了解错报的可能来源,最后选择拟测试的控制。二是控制测试。控制测试包括测试设计有效性和测试运行有效性,测试程序包括询问适当人员、观察公司操作、检查相关文件及重新执行内部控制的综合运用。三是评价控制缺陷。审计人员必须评估注意到的各项缺陷的严重性,以确定这些缺陷单独或合并起来是否构成管理层评估日的重大缺陷。自上而下法能够将注册会计师的审计资源集中于风险最高的领域,通过对重要账户、重要认定、相关的控制等层层推进,有助于发现被审计单位的重大缺陷。
(四)提高注册会计师的职业判断能力
由于财务报告内部控制是非财务数据,更多表现为业务活动,对其进行鉴证并希望实现合理保证的目标是很困难的。因此,财务报告内部控制审计对注册会计师的职业判断能力和专业胜任能力都有更高的要求。如,在财务报告内部控制审计完成控制测试后,注册会计师需要评价内部控制存在的缺陷,并根据内部控制缺陷程度确定审计范围和审计意见类型。其中缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。
注册会计师应积极参加职业培训和后续教育,有计划地参与那些与个人和事务所目标相一致的培训项目。其次要注重经验的积累和交流,注册会计师在执行审计业务时勤于动脑,多做笔录,多做比较,在实践中学会分析、判断、综合、总结,积累审计实践工作经验,不断提高分析判断能力。同时还应该有意识地多与其他审计人员交流执业经验,或向专家请教,不断丰富自己的经验,提高判断技巧。
(五)建立健全内部控制审计质量控制制度
针对内部控制审计这一新业务,会计师事务所首先应积极开展相关专业研究,加紧建立和完善内部控制审计的业务流程和质量控制体系,制定和运用审计质量控制政策与程序规范服务标准,建立与企业、行业专家的专业合作机制,以保障内部控制审计业务的顺利开展。其次要制定相关业务人才培养和储备方案,加强注册会计师核心能力的培养,加大培训投入,逐步改善注册会计师知识、能力结构不合理的现状,以适应内控审计这一新业务的需要。会计师事务所要建立健全一套严密、科学的内部质量控制制度,并把这套制度推行到每一个人、每一部门和每一项业务,迫使审计人员按照专业标准的要求执行,保证整个会计师事务所的审计质量。
(六)实施同业互查制度
同业互查制度是对注册会计师的审计业务和审计程序进行定期检查的一种相互监督机制。通过互查,审计师可以对同行的审计质量和遵循独立审计准则的情况相互表示意见,并提出改进措施,必要时还可向同业互查组织提出有关处罚的建议。这样,便可对注册会计师的审计质量提供适当保证,防范审计风险的发生。J
参考文献:
1.谢晓燕,张心灵,陈秀芳.我国企业内部控制审计的现实选择[J].财会通讯,2009,(3).
2.张龙平,陈作习.财务报告内部控制审计的历史回顾[J].审计月刊,2008,(9).
3.杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].中国注册会计师,2010,(6).
4.雷英,吴建友.内部控制审计风险模型研究[J].审计研究,2011,(1).