时间:2020-05-19 作者:陈毓圭 (本文作者系中国注册会计师协会秘书长)
[大]
[中]
[小]
摘要:
探讨“内部控制与审计”之间的关系,对于注册会计师行业而言,是一个很重要的理论和实务课题。从注册会计师行业的发展历史来看,内部控制与注册会计师审计之间的密切关系主要体现在两个方面:一是注册会计师在执行传统的财务报表审计业务过程中对被审计单位内部控制的考虑;二是注册会计师直接以企业内部控制为鉴证对象,针对内部控制发表鉴证意见。在这两个方面,注册会计师都需要和企业的内部控制发生密切联系,只是发生的形式有所不同。下面就这两个方面的内容谈谈个人的看法。
一、财务报表审计中对被审计单位内部控制的考虑
(一)考虑内部控制的目的
在注册会计师行业发展的早期,审计工作的主要目的是查错纠弊,相应的审计工作方式主要是采取详细审查。随着此后审计目标逐渐转向财务报表的公允表达,以及企业规模和复杂程度的不断增大,审计工作的方法也需要调整,更多地采取了抽查的方式,以适应环境的变化。为了能够在不影响审计效果的前提下适当地减少审计工作量,提高审计效率,注册会计师行业越来越重视对被审计单位内部控制的了解和测试。对于内部控制情况较好的被审计单位,注册会计师在审计过程中需要实施的账户或交易细节测试量就可以...
探讨“内部控制与审计”之间的关系,对于注册会计师行业而言,是一个很重要的理论和实务课题。从注册会计师行业的发展历史来看,内部控制与注册会计师审计之间的密切关系主要体现在两个方面:一是注册会计师在执行传统的财务报表审计业务过程中对被审计单位内部控制的考虑;二是注册会计师直接以企业内部控制为鉴证对象,针对内部控制发表鉴证意见。在这两个方面,注册会计师都需要和企业的内部控制发生密切联系,只是发生的形式有所不同。下面就这两个方面的内容谈谈个人的看法。
一、财务报表审计中对被审计单位内部控制的考虑
(一)考虑内部控制的目的
在注册会计师行业发展的早期,审计工作的主要目的是查错纠弊,相应的审计工作方式主要是采取详细审查。随着此后审计目标逐渐转向财务报表的公允表达,以及企业规模和复杂程度的不断增大,审计工作的方法也需要调整,更多地采取了抽查的方式,以适应环境的变化。为了能够在不影响审计效果的前提下适当地减少审计工作量,提高审计效率,注册会计师行业越来越重视对被审计单位内部控制的了解和测试。对于内部控制情况较好的被审计单位,注册会计师在审计过程中需要实施的账户或交易细节测试量就可以适当减少;而如果被审计单位的内部控制情况不尽如人意,注册会计师能够减少的实质性测试工作量就很有限。这是注册会计师行业发展历程中考虑内部控制的一个重要动机,也是内部控制质量影响审计实务工作的一个重要机理。
从最近若干年国际审计执业界的发展来看,了解和测试内部控制的目的发生了重大变化,把了解和测试内部控制的目的仅仅局限在减少审计工作量、降低审计成本的视角上,似乎稍显不足。在安然、世通等一系列重大的财务丑闻发生后,国际监管机构、企业界和审计行业对内部控制的重视程度进一步提升,有关各方纷纷出台了与内部控制有关的标准和规范。从国际审计准则和有关国家(如美国、英国)的审计准则来看,对内部控制的了解和测试已经被视为注册会计师在财务报表审计过程中识别财务报表重大错报风险的一个重要方面和必须途径。我国审计准则的制订,也充分吸收了这一理念,并体现在最新发布的相关审计准则征求意见稿中。
在准备推行的审计准则框架中,注册会计师首先需要通过了解被审计单位及其环境,评估财务报表重大错报风险;随后注册会计师需要针对评估的重大错报风险设计和实施应对程序。在这样一个基本思路下,内部控制无论作为注册会计师需要了解的方面,还是作为测试的对象,都是实施审计不可或缺的重要组成部分。
任何企业的经营管理活动都处在其设定的目标和战略之下,并受到其所在行业、监管环境及其他内外部因素的影响,因此不可避免地会产生各种经营风险,其中也包括导致财务报表发生重大错报的经营风险。内部控制作为企业的一项重要管理活动,主要试图解决三方面的问题,即财务报告的可靠性、经营的效率效果以及对法律法规的遵循。一家企业为了抵御或防范风险,或多或少都可能设计并实施了一些内部控制。显然,注册会计师如果不考虑这些控制,单纯来看导致财务报表发生重大错报的经营风险,可能就会高估被审计单位的重大错报风险,据此实施的应对程序就会有一部分是做无用功,浪费了审计资源;当然,不考虑内部控制的设计和实施情况,也很可能低估重大错报风险。无论是高估还是低估风险,都是不利于我们执业的。这个层面就是注册会计师为什么需要在财务报表审计中考虑内部控制的传统功用。而对高度自动化的被审计单位来说,如果注册会计师不测试甚至根本不了解该单位的财务信息系统和相关业务系统,即使检查了所有由自动化系统生成的会计记录和相关凭证,也可能根本发现不了潜在的重大错报。在这种情况下,了解不了解内部控制,测试不测试内部控制,已经不再是能够减少多少审计工作量的问题了,而直接影响到了审计工作的效果。从这个层面上讲,审计工作对内部控制的依赖性已经超越了传统意义上的审计与内部控制之间的关系。
(二)如何在财务报表审计中考虑内部控制
为加快我国注册会计师执业准则的健全和完善步伐,尽快实现我国审计准则的国际趋同,中注协已经发布了13项执业准则的征求意见稿,已经征求或正在征求各地注协、会计师事务所、监管机构以及其他各方面的意见。在这些准则项目中,有多项准则直接涉及内部控制和审计的关系,特别是《了解被审计单位及其环境并评估重大错报风险》、《针对评估的重大错报风险实施的程序》这两个项目。
参考最近的审计准则征求意见稿,并借鉴国际审计执业界先进经验的成果,可以把对内部控制的考虑分为了解内部控制、测试内部控制和评价内部控制。这里所讲的了解内部控制,是指了解内部控制的设计以及在某个时点是否得到执行;测试内部控制是指测试控制运行的有效性,特别是测试控制在所审计期间的不同时点是如何运行的,以及控制是否得到一贯执行。只有先了解内部控制,认为控制设计合理,能够防止或发现并纠正认定层次的重大错报时,注册会计师才有必要对控制运行的有效性实施测试,这是了解内部控制与测试内部控制之间的逻辑关系。只有在了解和测试内部控制的基础上,注册会计师才能够对内部控制形成一个基本合理的评价;有时,经过测试内部控制,注册会计师可能发现内部控制要比预期的情况糟糕,那么就需要修正自己初始的评价,扩大内部控制的测试量或增加实质性程序。当然,在审计实务中,了解、测试和评价内部控制等几个阶段的工作可能并没有特别明显的界限和时间间隔;注册会计师也完全可以根据实际需要,在实施一项审计程序的同时实现与内部控制有关的多项目的。
在了解、测试和评价内部控制这几个环节中,过去的审计实务普遍存在着几种倾向。
第一种倾向是,项目负责人根本不对被审计单位的内部控制作任何了解或测试,认为内部控制是一个很空洞的东西,实施程序与否都无所谓。这种思想和做法对审计工作质量的危害非常大。注册会计师如果不了解内部控制,就不能合理把握被审计单位对自身风险的防范程度有多大,评估出的重大错报风险自然不准,应对程序也就缺乏针对性,审计资源既可能浪费,也可能不足。如果再考虑到审计实务中的实际情况,大部分事务所都倾向于减少实质性测试的工作量,而这种盲目减少审计工作量的做法是缺乏依据的,当然也就很难对审计风险作出有效控制。
第二种倾向是,项目负责人可能仅仅在形式上对内部控制进行了解和测试,但缺乏目的性和针对性,程序也比较机械、单一。比如说,项目负责人可能只是把内部控制的了解或测试工作交给项目组内部的某位成员在某个时间里集中完成,而负责具体的财务报表认定的各个项目组成员并未有意识地利用内部控制的了解或测试结果,并把这种结果和自己负责的报表认定建立联系。这样的工作方式就使得项目组在形式上作出的内部控制了解程序或测试程序不能真正落实和发挥实际作用,对审计工作的质量也不会有实质性的帮助。
第三种倾向是,项目负责人仅仅了解和测试内部控制,而不做实质性程序。这种倾向往往是在注册会计师通过了解和测试内部控制后,认定被审计单位的内部控制非常不错的情况下发生的。但不做任何实质性程序,或不适当地减少实质性程序的工作量,都可能导致无法发现实际存在的重大错报。因为一方面,注册会计师不可能完全识别所有的重大错报风险,另一方面,内部控制毕竟存在着难以克服的固有局限,特别是存在着串通舞弊的风险以及最高管理层凌驾于内部控制之上的风险。
针对上述三种不正确的倾向,中注协在近期修订相关的审计准则中提出要求:了解被审计单位及其环境是必要程序,对内部控制的了解自然包含其中;在评估错报风险时,注册会计师应当将所了解的控制与特定认定相联系。尽管准则并不要求注册会计师在任何情况下都需要实施控制测试,但明确规定了注册会计师必须实施控制测试的两种具体情形。此外,准则还特别强调了无论评估的重大错报风险结果如何,注册会计师都应当针对所有重大的各类交易、账户余额、列报与披露实施实质性程序。上述核心规定以及其他相关要求,旨在使将来新发布的审计准则无论在理念上还是在实务操作上,都有助于审计单位正确理解财务报表审计与企业内部控制的关系,在财务报表审计过程中针对被审计单位的内部控制有效设计和实施审计程序,切实评估和应对财务报表重大错报风险,提高审计质量。
二、直接针对内部控制发表鉴证意见
在2001年底的安然事件等一系列财务丑闻案之后,美国国会颁布了《萨班斯法案》,该法案不仅要求公众公司的管理层报告公司对财务报告相关内部控制的有效性,而且要求注册会计师直接针对公司管理层报告的财务报告内部控制有效性出具鉴证报告。2004年3月,美国公众公司会计监督委员会(PCAOB)发布了第2号审计准则《与财务报表审计—同实施的财务报告内部控制审计》,对《萨班斯法案》的原则性规定作出了更加明确的要求和更加具体、细致的阐释。
在《萨班斯法案》颁布以前,美国证券交易委员会(SEC)也有着要求注册会计师针对审计客户内部控制提交报告的做法。但经过比较分析不难发现,《萨班斯法案》提出的要求与美国资本市场中的以往做法相比,无论从目的上考虑,还是从注册会计师的执业责任及相应执业报告的具体措辞表述上看,都存在着重大区别。从提交报告的目的来看,注册会计师以往向SEC提交的内部控制报告中明确指出,其提交内部控制报告的目的“是为了在对合并财务报表发表审计意见时合理确定审计程序,而不是为内部控制提供可信性保证”。显然,新出台法案的目的恰恰是要求直接或间接地为公众公司的内部控制提供鉴证意见。从注册会计师的执业责任和相应的报告措辞表述来看,注册会计师以往向SEC提交的内部控制报告至少不属于高度保证的鉴证报告。例如,从《萨班斯法案》出台前注册会计师为美国证券公司出具的内部控制报告中,能够找到消极保证的措辞,而且还能发现注册会计师对报告的分发和使用做出的严格限制。尽管《萨班斯法案》的相关条款并没有明确界定注册会计师对内部控制出具报告的业务性质和执业责任,仅称之为“attestation”,但PCAOB则在其发布的审计准则中将该执业行为明确表述为一种审计责任,使用了“audit of internal control”的措辞。从传统意义上讲,“audit”一词主要指的是针对历史财务信息实施的审计,而如果需要表达同等水平保证程度、但针对的是历史财务信息以外其他信息的鉴证业务,通常使用“examination”一词,对应我国审计准则体系中的“审核”业务。由此可见,美国资本市场监管者在这个问题上对注册会计师提出的要求相当高,执业责任则与财务报表审计责任等同对待。
近年来我国注册会计师行业已经开始针对被审计单位的内部控制出具专项报告,这项业务体现了以下特征:首先,适用范围不断扩大。从1999年至今,中国证监会对内部控制鉴证服务的需求范围不断扩大。在2001年初以前主要局限在拟公开发行证券的商业银行、保险公司、证券公司、期货公司以及有证券业务的信托投资公司等其他具有重大财务风险的金融机构;自2001年3月开始,监管机构对内部控制鉴证服务的需求已经扩大到了申请首次公开发行股票并上市的公司和申请发行新股、配股以及可转换债券等再融资的公司。第二,业务性质不断演变并在保证程度上不断提高。从证监会于1999年底发布的有关文件来看,监管部门最早对内部控制鉴证服务提出的要求为“以管理建议书的形式对公司内部控制制度的完整性、合理性和有效性作出评价,并提出改进建议”。而在一年以后,对内部控制的外部评价要求则统一改为“以内部控制评价报告的形式作出报告”。在2002年初,有关业务报告的性质在表述上再次发生了细微改动,即”以内部控制评审报告的形式”出具报告。
为了满足我国注册会计师行业针对内部控制出具评价报告的需要,中注协曾经在2002年初发布了内部控制审核指导意见。随着未来形势的不断变化,中注协(也包括广大的注册会计师)需要对与这项业务有关的监管政策和执业规范的发展方向有一个基本的把握和预见,加强与内部控制设计与评价有关的培训和继续教育,合理借鉴《萨班斯法案》相关条款和PCAOB的相关审计准则,及时修订、完善适用于我国注册会计师执业的内部控制鉴证业务规范。
责任编辑 孙蕊
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号