您的位置 > 审计学
审计学论文范文
内部控制审计探索与选择来源:人大经济论坛论文库 作者:齐鸣 时间:2015-04-20
内部控制审计探索与选择
[提要] 本文回顾我国内部控制审计发展历程,从内部控制审计的性质、范围和主体等方面进行分析。内部控制审计在我国起步较晚,在很多问题上还存在争议,只有立足国情,不断探索,才能作出恰当的选择。关键词:内部控制;内部控制审计;财务报告内部控制
安然事件和世通事件爆发后,美国于2002年7月颁布了《萨班斯-奥克斯利法案》。该法案的第404节以及美国证券交易委员会(SEC)的相应实施标准,要求上市公司管理层评估和报告公司最近年度财务报告的内部控制的有效性,第404节还要求上市公司聘请外部审计师对管理层的内部控制评估意见出具“证明”。自此拉开了内部控制鉴证的帷幕。随后,美国公众公司会计监督委员会(PCAOB)分别于2004年3月和2007年6月发布了其第2号审计准则《与财务报表审计相关的针对财务报告内部控制的审计》和第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》,这两个准则主要对内部控制审计进行了更为具体的要求,并阐述了内部控制审计与财务报表审计之间的关系。在我国,中国注册会计师协会(以下简称中注协)于2008年颁布了《企业内部控制鉴证指引(征求意见稿)》,财政部会同证监会、审计署、银监会、保监会于2010年制定了《企业内部控制应用指引第1号――组织架构》等18项应用指引及配套指引,配套指引包括《企业内部控制评价指引》和《企业内部控制审计指引》明确要求执行该指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。由此可见,内部控制的审计工作及其规范问题已经引起了我国监管部门及学术界的高度关注。但是,目前依然有一些问题存在争议,这些问题关系到内部控制审计这种制度能否达到预期的效率和效果。本文拟对我国内部控制审计中存在的几个问题进行初步的探讨。
一、内部控制审计业务的性质
根据提出意见的对象不同,审计业务可以分为基于责任方认定的业务和直接报告业务。因此,内部控制审计有两种选择:一是针对被审计单位管理层做出的内部控制自我评价报告提出结论,属于基于责任方认定的业务;二是针对被审计单位的内部控制有效性提出结论,属于直接报告业务。由于这两种业务性质的不同,导致注册会计师与管理层的责任划分、审计程序、发表审计意见的依据、审计报告的内容和格式都会有所不同。在基于责任方认定的业务中,注册会计师的责任是对被审计单位管理层做出的内部控制自我评价的再评价,审计对象是内部控制自我评价报告,审计的重点是管理层的自我评价报告是否真实、公允地反映了被审计单位内部控制的情况,而不是内部控制的有效性,尽管内部控制的有效性是注册会计师做出判断的基础。在审计报告中应明确提及管理层的内部控制自我评价报告,如果被审计单位内部控制存在重大缺陷,但是管理层已经在自我评价报告中进行了充分的披露,那么注册会计师依然应当发表无保留意见的审计报告。只有当被审计单位的内部控制存在重大缺陷,而管理层未在自我评价报告中进行披露,或未进行充分披露时,注册会计师才发表非无保留意见的审计报告。而在直接报告业务中,注册会计师直接对被审计单位内部控制的有效性发表审计意见,责任是对内部控制的有效性提供合理保证,重点在于评价内部控制的有效性,在审计报告中无需提及管理层做出的自我评价报告,审计报告的意见类型由内部控制是否有效来决定,而与管理层的自我评价报告的意见类型无关。
在中注协于2002年发布的《内部控制审核指导意见》中指出“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。”由此可见,《指导意见》将内部控制审计业务划归为基于责任方认定的业务,即对管理层认定的再认定。上海证券交易所(以下简称上交所)2006年6月发布的《上海证券交易所上市公司内部控制指引》也采用的是基于责任方认定的业务观,其第三十二条指出,“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。”而深圳证券交易所(以下简称深交所)则认为内部控制审计属于直接报告业务,在其分别于2006年9月和2007年12月发布的《深圳证券交易所上市公司内部控制指引》和《中小企业板上市公司内部审计工作指引》中都指出上市公司在聘请注册会计师对公司进行年度审计的同时,应对公司内部控制的有效性出具鉴证报告。中注协于2008年7月发布的《企业内部控制鉴证指引(征求意见稿)》以及财政部等五部委于2010年制定的《企业内部控制审计指引》均采用的是直接报告业务观。由此可见,目前我国对于内部控制审计业务性质的界定存在着不同的意见,不同部门制定的规章制度之间存在着矛盾。
笔者认为,无论采用基于责任方认定的业务观还是直接报告业务观,其根本目的是相同的,即促进企业建立健全内部控制,合理保证企业目标的实现。但将内部控制审计界定为直接报告业务更为合理,原因有以下几点:
首先,从审计成本看,无论是将内部控制审计界定为基于责任方认定的业务还是直接报告业务,均需要注册会计师对被审计单位内部控制的有效性进行测试,而注册会计师若要对被审计单位管理层的内部控制自我评价报告发表意见,还要测试自我评价报告与内部控制情况是否相符,审计成本大大增加。
其次,从预期使用者的角度看,无论是获取内部控制自我评价报告还是内部控制审计报告,预期使用者的目的都是了解内部控制的有效性,进而对被审计单位的运营情况作出判断。因此,直接对内部控制的有效性提供保证更符合预期使用者的需要。
最后,从注册会计师的责任上看,管理层出具的内部控制自我评价报告是针对被审计单位所有的内部控制,而注册会计师进行内部控制审计则侧重于对于财务报告有关的内部控制发表意见。若要求注册会计师对内部控制自我评价报告发表审计意见,则需要注册会计师了解和测试所有的内部控制,从而大大增加了注册会计师承担的审计责任。 因此,将内部控制审计界定为直接报告业务是合适的,《企业内部控制审计指引》第二条中也明确指出“本指引所称内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。”很明显,《企业内部控制审计指引》已经将内部控制审计界定为直接报告业务。
二、内部控制审计业务的范围
美国COSO委员会于1992年9月发布的《内部控制整合框架》(以下简称COSO报告)已经成为美国普遍接受的内部控制规范,其他各国的内部控制规范也大都参考了COSO报告中对内部控制的界定。COSO报告指出,内部控制有三大目标,即财务报告目标、经营目标和合规性目标。为了实现内部控制目标,管理层制定的内部控制活动中有一部分并不直接与财务报告相关,例如人力资源控制、经营业绩分析、组织结构控制等。注册会计师在对内部控制进行审计时,是对内部控制整体发表意见,还是仅对与财务报告有关的内部控制发表意见呢?
我国《企业内部控制基本规范》中要求对企业内部控制的有效性进行审计,并没有明确指出是内部控制整体还是仅针对与财务报告有关的内部控制。《上海证券交易所上市公司内部控制指引》中要求会计师事务所对内部控制自我评估报告发表意见,管理层做出的内部控制自我评价是针对内部控制整体的评价,因此我们可以将该指引理解为要对内部控制整体进行审计。而在《内部控制审核指导意见》、《深圳证券交易所上市公司内部控制指引》以及《中小企业板上市公司内部审计工作指引》中则明确界定了审计对象是与财务报告相关的内部控制。
笔者认为,对内部控制整体进行审计和对与财务报告有关的内部控制审计各有利弊,可从以下几个方面进行分析:
首先,从预期使用者的角度看,预期使用者通过获取财务报表审计报告和内部控制鉴证报告来增强或降低其对财务报告的信赖程度,从而影响其做出的经济决策。因此,预期使用者主要关注的是上市公司财务报告的可靠性,其对内部控制审计的诉求也主要针对与财务报告有关的内部控制。
其次,从管理层的角度看,管理层设计和实施内部控制,除了合理保证财务报告的可靠性之外,还有经营目标和合规性目标。因此,管理层更加希望注册会计师对内部控制整体发表意见,这相当于对上市公司提供了高质量的管理咨询。
最后,从审计成本和注册会计师的责任上看,对内部控制整体进行审计审计成本大大增加,并且注册会计师要合理保证内部控制整体运行的有效性,其承担的法律责任也大大增加。
因此,我们认为将审计对象界定为与财务报告相关的内部控制是合理的,但同时也应当适当的考虑到与经营目标和合规性目标相关的内部控制。《企业内部控制审计指引》第二条指出“本指引中内部控制审计的范围,主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制,可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。”
三、内部控制审计业务的主体
内部控制审计业务和财务报表审计业务是否可以由同一家会计师事务所来承接呢?
《内部控制审核指导意见》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、《中小企业板上市公司内部审计工作指引》均没有明确说明内部控制审计应单独作为一项审计业务与财务报表审计分开承接。《企业内部控制基本规范》也仅要求“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。”
有学者认为,两种审计业务的目标不同、审计对象不同、发表审计意见的方式不同,将两种业务整合在一起,难以保证审计质量,也无益于审计效率的提高。并且,一个会计师事务所同时承接这两项审计业务会提高服务费用,增加事务所对某一客户的依赖程度,从而影响注册会计师的独立性,因此应将内部控制审计作为单独一项业务由其他事务所承接。
笔者认为,了解被审计单位的内部控制并对其进行控制测试本身就是财务报表审计过程中很重要的一项工作,同时这也是内部控制审计的核心工作。注册会计师在对内部控制进行审计的过程中重点关注的是与财务报告相关的内部控制,如果没有审计财务报表,就无法对与财务报告相关的内部控制有效性发表意见。因此,把两种审计业务整合起来,有利于注册会计师对被审计的单位的内部控制进行全面的了解和测试,从而降低审计成本,提高审计质量。《企业内部控制审计指引》第六条中也规定了“注册会计师应当将内部控制审计与财务报表审计整合进行。”
我国内部控制审计制度起步较晚,很多问题依然存在争议,实施过程中也存在一些问题。只有立足国情,借鉴国际惯例,不断探索,才能做出恰当的选择。
参考文献:
[1]阚京华.我国内部控制发展的制度性缺陷与完善[J].审计与经济研究,2006.3. [2]李明,张艳.上市公司内部控制审计若干问题之讨论――兼论我国内部控制鉴证指引的制定[J].审计与经济研究,2010.2. [3]刘明辉.内部控制鉴证:争论与选择.会计研究[J].会计研究,2010.9.
相关论文
最新论文
推荐论文
手机版