邢广旭
摘 要 内部控制审计这一制度安排,为财务报告的使用人了解企业内部控制,增强对财务报告的信心提供了保证。本文主要以财务报告为视角,重点探讨了与财务报告相关的内部控制审计问题,希望对会计和审计实务工作者有所启发。
关键词 财务报告 内部控制 审计
中图分类号:F239 文献标志码:A
《企业内部控制基本规范》及其《企业内部控制配套指引》的发布,标志着我国企业内部控制规范体系的建设基本完成。但是,任何一个制度都需要强有力的监督才能发挥有效的作用,所以由第三方审计师对内部控制进行鉴证并进行披露已经被世界上大多数国家所共识。2002年7月,美国国会批准了《萨班斯——奥克斯利法案》(简称“《SOX》”),要求社会公众公司管理层对内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司对管理层的评价报告进行鉴证并出具审计报告。2004年3月,美国公众公司会计监管委员会(简称“PCAOB”),发布了《与财务报表审计同时进行的财务报告内部控制审计》(简称“AS2”); 2007年6月,PCAOB又发布了取代AS2的《与财务报表审计结合的针对财务报告内部控制的审计》(AS5);2010年4月,我国财政部等部门联合发布了《企业内部控制审计指引》要求会计师事务所接受委托,对上市公司内部控制设计与运行的有效性进行审计,并出具审计报告。但是,内部控制审计毕竟是一项新生事物,对其相关问题展开研究,对于正确指导会计和审计实务工作具有重要的意义。
一、关于内部控制审计的目标
世界公认的内部控制研究机构美国COSO委员会认为,如果公司的经营目标得到了某程度的实现、财务报告可以信赖、适用的法律法规得到了遵循,即可以认为内部控制是有效的。AS5指出,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见,财务报告内部控制的有效性包括设计和运行两个方面,任何一个方面存在重大漏洞,便可以被认定为无效的。我国《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。在内部控制审计业务中,注册会计师提供的保证水平要高于原来的内部控制审核业务提供的保证水平。内部控制审核在收集证据的性质、时间和范围方面是有意识的加以限制的,而内部控制审计则要收集充分的和适当的审计证据,以期为内部控制审计意见提供较高程度的保证。
二、关于内部控制审计的对象
(一)内部控制审计对象的类型。
AS5把财务报告内部控制审计的目标界定为“审计师就公司财务报告内部控制的有效性发表意见”,我国《企业内部控制审计指引》也指出,内部控制审计的目的是对财务报告内部控制的有效性发表意见,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应当在内部控制审计报告中增加“说明段”予以披露。由此可见,财务报告内部控制审计指向的对象都是内部控制而不是公司管理层对内部控制的自评报告。
(二)内部控制审计对象的时空范围。
内部控制的目标包括合规性目标、经营目标、财务目标和战略目标,财务目标只是内部控制目标之一。AS5仅要求注册会计师对与财务报告相关的内部控制进行审计。《SOX》要求,公众公司财务年报中应当包括内部控制报告,其内容包括对公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任的强调,管理层最近财政年度末对内部控制体系及控制程序有效性的评估,担任公司年报审计的会计公司应当对管理层对内部控制的评估进行测试和评价,并出具评价报告。我国《企业内部控制审计指引》强调会计师事务所对企业特定基准日内部控制设计与运行的有效性进行审计。PCAOB也认为财务报告内部控制有效性是针对具体某一时点的。由于财务报告内部控制是一个连续的和动态的过程,有些控制政策和程序运行后不会留下审计轨迹,因此审计师在财务报告内部控制审计过程中只能获取某一时点的充分而有效的审计证据,从而也只能对该时点控制的有效性提供合理的保证。
三、关于内部控制审计的依据
AS5指出,审计师在财务报告内部控制审计过程中,应当采用与公司管理层评价财务报告内部控制同样的标准,即共同认可的控制框架。美国证券交易委员会(简称“SEC”)要求管理层采用一个适当的、被认可的、包括向公众广泛征求意见的团体制定的控制框架作为评价公司财务报告内部控制有效性的基础,COSO发布的内部控制整体框架即是这样的一个框架。COSO 报告是由美国注册会计师协会、美国会计协会、内部审计协会、管理会计师协会和财务经理人协会共同制定,其专业导向性,决定了其关注的重点是会计和财务问题,普华永道会计师事务所承担了大量的工作,可以作为财务报告内部控制的评价标准。而且COSO报告的权威性在世界上得到了广泛的认可。
四、内部控制有效性的认定问题
(一)内部控制缺陷的概念。
内部控制缺陷指的是内部控制设计和运行中存在的漏洞,会影响内部控制目标的实现。内部控制是允许存在瑕疵的,AS5指出:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”但是,内部控制的缺陷不应当为控制目标的实现提供合理保证。因而内部控制缺陷是与控制目标相联系的。
(二)内部控制缺陷的分类。
对内部控制缺陷进行分类是十分重要的,因为审计师是缺陷的类型来确定审计意见的类型的。AS5根据将控制缺陷划分为一般缺陷、重大缺陷和实质性漏洞三个层次,并列举了实质性漏洞的信号。重大缺陷也称实质性漏洞,是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,例如管理层风险意识薄弱,或者的风险偏好与企业的经营特征不匹配等;重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大。例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。是指除重要缺陷、重大缺陷外的其他缺陷。
(三)内部控制缺陷的认定。
内控缺陷和内控局限性都会影响内控目标的实现,但二者是不同的。内部控制局限性指的是内部控制能够为控制目标的实现提供合理保证,但是却不能提供绝对保证。COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;控制成本与收益的权衡等。
五、内部控制审计与财务报表审计的整合问题
财务报告内部控制审计的目标是对财务报告内部控制有效性发表意见,财务报告审计的目标是对财务报表的公允性发表意见,二者都是对企业管理层对财务信息的认定提供合理保证。鉴于此,将二者进行整合将有助于提高审计效率,降低审计风险。《SOX》规定,内部控制审计应当由为公司出具审计报告的会计师事务所来进行;AS2和AS5均明确提出,财务报告相关内部控制审计应当与财务报告审计结合进行。我国《企业内部控制审计指引》规定:“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行”。在对财务报告内部控制审计与财务报表审计整合进行时,注册会计师应有效地、协同地计划和执行审计工作以实现两者的目标,在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
六、内部控制审计的导向性问题
AS5为财务报告内部控制审计设计了一种自上而下的风险导向审计方法。风险导向的意思是注册会计师将审计资源集中于高风险领域,以提高审计效率,降低审计风险。自上而下的意思是指,注册会计师首先要关注公司层面的内部控制,即控制的顶层设计;然后是重要的报表项目和重要账户余额和发生额的控制,最后才是业务层面的控制,即具体业务流程的具体控制。由于企业层面的内部控制主要涉及到的是控制环境因素,如公司组织架构、企业文化、人力资源政策和程序、职责分工等,这些因素决定了内部控制的基调,是内部控制的基础,同时也是内部控制的短板。控制环境出现问题,也就意味着其他层面的内部控制都可能会出现问题。如公司治理存在缺陷、不相容职务没有进行分离这些企业层面的设计缺陷,既容易导致管理层舞弊,不可避免地会导致财务报表层面和业务层面的内部控制出现问题。换而言之,企业层面的控制决定了财务报表层面的控制,进而决定了业务层面的内部控制,其风险也是逐级下移和扩散的,控制了企业层面的风险,也就等于控制住了其他层面的风险。所以,自上而下的内部控制审计方法就是以风险为导向的审计理念的具体体现。这种自上而下的,以风险为导向的审计方法将引导注册会计师将审计工作的重点指向下一步的高风险领域,为注册会计师制定审计策略、安排审计计划提供了路线图。□
(作者单位:中国平煤神马集团财务资产部)
参考文献:
[1]李明辉,张艳.上市公司内部控制审计若干问题之探讨.审计与经济研究,2010(03).
[2]龙凤姣.企业内部控制缺陷认定方法探讨.商业会计,2012(11).