前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计内部控制范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
(一)内部控制鉴证与内部控制审计政策变迁
中国相关政策变迁中国内部控制审计鉴证政策变迁与美国较为相似,由最初的财务报表审计中的内部控制评价发展到财务报告内部控制审核,再发展到财务报告内部控制审计。具体如表3所示。从表3可以看出,财政部等部委制定的内部控制规范主要针对主板上市公司,目前并没有强制要求中小板和创业板遵循,而是择机实施。但是深交所的《中小板指引》和《创业板指引》则对中小板和创业板内部控制审计鉴证作出了强制要求,三个板块《运作指引》的具体要求如表4。
(二)文献回顾
以SOX法案的颁布实施为分界点,美国内部控制相关研究可以分为2002年之前和2002年之后两个阶段。2002年之前,相关文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究,只有少数研究关注内部控制审计,主要研究结论认为内部控制审计将提高审计的成本却无助于财务报告可靠性的提高(Hermanson,2000);2002年以后,随着SOX法案的实施,更多的研究开始关注内部控制审计,出现了大量的实证研究,其研究内容主要基于内部控制缺陷,具体包括内部控制缺陷发现和报告(Ashbaugh等,2007;Rice和David,2012)、内部控制缺陷对审计成本的影响(Raghunandan和Rama,2006)及对信息质量的影响等(AshBaugh-Skaifeetal.,2008)。中国内部控制的研究则可以分为2006年之前和2006年之后两个阶段。2006年以前,由于中国监管部门对内部控制审计鉴证尚无强制性规定,大量研究集中于内部控制信息披露,专门研究内部控制审计鉴证报告的文献较少,但是很多文献都提出上市公司内部控制审计或审核的必要性(陈关亭和张少华,2003;张立民等,2003)。2006年以后,随着上交所和深交所《上市公司内部控制指引》的颁布,尤其是2008年《基本规范》的颁布,大量研究开始关注内部控制审计报告,且均发现上市公司内部控制审计报告存在较多的问题,如审计意见表述方式不一致、审核依据不统一等(袁敏,2008;何芹,2012)。与国外研究相似,实证研究方面主要关注内部控制缺陷对审计成本及其信息质量的影响等(张宜霞,2011;田高良等,2011)。同时较多的研究开始关注内部控制鉴证的理论问题,内容包括鉴证目标、鉴证范围、鉴证标准等诸多方面(刘明辉,2010;李明辉和张艳,2010)。但是这些研究都是将内部控制鉴证报告与内部控制审计报告同等看待,并没有考虑二者之间存在的差异,未就内部控制审计与内部控制鉴证实施情况进行实证分析。
(三)比较分析
由此可见,美中内部控制审计鉴证政策的发展具有较强的相似性,都经历了内部控制评价、审核和审计等不同阶段,但是在具体执行过程中,又存在较多的差异,美国仅要求大型公司和中型公司实施内部控制审计,而对小型公司则没有内部控制审计的要求,也没有要求实施内部控制鉴证或评价。然而,中国对主板和中小板上市公司的要求是实施内部控制审计,而对创业板的要求则是内部控制鉴证。那么,内部控制审计与内部控制鉴证的差异是什么?内部控制审计与内部控制鉴证执行情况又是如何呢?这些问题还有待进一步探讨。同时,通过国内外文献回顾可以发现,虽然大量研究关注内部控制审计及其鉴证,但是均将内部控制鉴证报告与内部控制审计报告同等看待,二者之间的差异还有待进一步考察,且有关内部控制鉴证与内部控制审计实施现状的研究较少。因此,本文将在比较内部控制鉴证与内部控制审计政策要求差异的基础上,对内部控制审计与内部控制鉴证的实施现状进行实证分析。
二、内部控制鉴证与内部控制审计政策要求之比较分析
(一)内部控制鉴证与内部控制
审计概念范畴的比较根据《中国注册会计师鉴证业务基本准则》中的规定,鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证业务包括审计业务、审阅业务和其他鉴证业务。具体到内部控制审计与内部控制鉴证业务,根据中国《企业内部控制审计指引》的规定,内部控制审计是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。因此,内部控制审计属于审计业务的范畴。然而,根据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》(下文简称《其他鉴证业务准则》),注册会计师执行历史财务信息审计或审阅以外的鉴证业务属于其它鉴证业务,因此,内部控制鉴证属于其他鉴证业务范畴。具体关系可以通过图1予以说明。
(二)内部控制鉴证与内部控制
审计所适用行为规范的比较从所适用的行为规范来看,内部控制鉴证和内部控制审计应该遵循的行为规范既有相同之处,也存在差异。从图1可以看出,内部控制鉴证和内部控制审计都属于鉴证业务,因此二者都应当遵循《中国注册会计师鉴证业务基本准则》。同时,注册会计师在执行鉴证业务时,还应当遵守中国注册会计师职业道德规范和会计师事务所质量控制准则,因此,内部控制审计和内部控制鉴证应当共同遵循的准则是《中国注册会计师鉴证业务基本准则》、《中国注册会计师职业道德规范》和《质量控制准则第5101号——会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》(下文简称《质量控制准则》)。但是,与内部控制鉴证业务不同的是,内部控制审计业务还必须遵循《企业内部控制审计指引》(下文简称《审计指引》)的规定,而内部控制鉴证业务则遵循《其他鉴证业务准则》的规定,并参照《指导意见》的规定执行,同时根据《基本规范》和《配套指引》的要求,可以选择性遵循《审计指引》的要求执行。内部控制审计与内部控制鉴证所适用的行为规范如表5所示。
(三)内部控制鉴证与内部控制
审计主体及对象的比较首先,从内部控制鉴证与内部控制审计主体上看,二者主体相同。与《配套指引》鼓励上市公司实施财务报表与内部控制整合审计的要求相一致,三个板块《运作指引》中也均要求上市公司聘请会计师事务所在进行年度审计的同时,要求会计师事务所对上市公司内部控制实施审计或者鉴证,并出具内部控制审计报告或鉴证报告。可以看出,无论是内部控制审计还是内部控制鉴证,均鼓励上市公司聘请与财务报表审计相同的会计师事务所实施内部控制鉴证与审计。然而,从内部控制鉴证与内部控制审计对象上看,二者存在差异。根据《中国注册会计师鉴证业务基本准则》的规定,鉴证业务分为基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。具体到内部控制鉴证和内部控制审计业务中,从理论上来说,内部控制鉴证和内部控制审计可以是基于责任方认定的鉴证或审计业务,也可以是直接报告业务。在实务中,内部控制鉴证业务按照《其他鉴证业务准则》执行的同时,参照《指导意见》的规定执行。根据《指导意见》的规定,在内部控制鉴证业务中,注册会计师应当就企业管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。因此,从政策要求及注册会计师实务来看,内部控制鉴证是对管理层有关内部控制有效性的认定发表意见,而内部控制审计是直接对内部控制设计和运行的有效性进行审计并发表意见。但是从最终目的上看,都是对内部控制的有效性发表意见。同时,与《配套指引》一致,《主板指引》和《中小板指引》均要求注册会计师对财务报告内部控制有效性发表审计意见,并披露注意到的非财务报告内部控制重大缺陷,但是《创业板指引》只要求注册会计师对财务报告内部控制有效性发表鉴证意见,并没有提及对非财务报告内部控制的关注。内部控制鉴证与内部控制审计主体及对象的比较如表6所示。
(四)内部控制鉴证与内部控制审计保证程度和风险的比较
鉴证业务的保证程度分为合理保证和有限保证。合理保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的低水平,以此作为以积极方式提出结论的基础。有限保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的水平,以此作为以消极方式提出结论的基础。根据《审计指引》的规定,内部控制审计业务属于合理保证的鉴证业务,要求注册会计师将审计风险降至可接受的低水平,对内部控制提供高水平保证,在审计报告中对内部控制采用积极方式提出结论。根据《其他鉴证业务准则》的规定,内部控制鉴证业务的保证程度根据具体情况确定,可能是有限保证也可能是合理保证。在有限保证的内部控制鉴证业务中,要求注册会计师将鉴证风险降至该业务环境下可接受的水平,对鉴证后的内部控制提供低于高水平的保证,在鉴证报告中对内部控制采用消极方式提出结论。而进一步根据《指导意见》第四条的规定“注册会计师应当保持应有的职业谨慎,关注内部控制的固有限制,获取充分、适当的证据,将审核风险降低至可接受的水平”,从这里看,内部控制鉴证要求提供有限保证,业务风险较低。内部控制审计与内部控制鉴证保证程度及风险的比较如表7所示。
(五)内部控制鉴证与内部控制
审计实施频率和报告的比较首先,从内部控制鉴证与内部控制审计目前政策规定的实施频率上看,《主板指引》对上市公司的要求与配套指引一致,上市公司每年都要聘请会计师事务所对内部控制有效性实施审计;《中小板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次审计;《创业板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次鉴证。其次,从内部控制鉴证与内部控制审计报告的内容上看,其差异主要体现在以下几个方面:首先,报告标题不同。根据《审计指引》的要求,内部控制审计报告的标题是“内部控制审计报告”,根据《指导意见》的要求,审核报告的标题应当统一规范为“内部控制审核报告”,而再根据《创业板指引》的要求,内部控制鉴证报告的标题是“内部控制鉴证报告”。其次,报告意见存在差异。从意见类型上看,《审计指引》指出内部控制审计意见包括无保留意见、带强调事项段意见、否定意见和无法表示意见;《指导意见》则指出内部控制鉴证意见包括无保留意见、保留意见、否定意见和无法表示意见。同时,报告段落不同。在内部控制审计业务中,如果审计师在审计过程中注意到被审计单位非财务报告内部控制重大缺陷,还需要对其注意到的非财务报告内部控制重大缺陷进行说明;而内部控制鉴证业务则无此要求。内部控制鉴证与内部控制审计实施频率与报告的比较如表8所示。
(六)其他方面的比较
由于内部控制鉴证与内部控制审计概念范畴、适用行为规范等方面的差异,尤其是因为内部控制鉴证保证程度与风险低于内部控制审计风险,内部控制鉴证与内部控制审计还存在其他方面的差异:(1)证据收集程序要求不同。由于鉴证业务对业务风险降低的要求比审计业务低,因此,与审计业务相比,鉴证业务在证据收集程序的性质、时间、范围等方面是有意识地加以限制的。(2)证据数量要求不同。审计业务所需证据的数量较多,鉴证业务所需证据的数量较少。(3)审计师的责任不同。内部控制审计业务中,审计师所需承担的责任也更高。(4)业务收费不同。根据《会计师事务所服务收费管理办法》(2010)的规定,会计师事务所主要是根据业务性质、风险大小、繁简程度等确定服务收费高低,因此审计业务收费比鉴证业务收费更高。
三、内部控制鉴证与内部控制审计的实施现状
(一)主板上市公司强制内部控制审计具体分析
1.2012年和2013年内部控制审计报告的披露状况2012年主板上市公司中911家披露了内部控制审计报告,披露比例为64.38%;2013年主板上市公司中1090家披露了内部控制审计报告,披露比例为75.91%。2013年主板公司内部控制审计的比例明显高于2012年。如表9所示。可以看出,大部分公司能够满足一年出具一次内部控制审计报告的要求,且2013年相比2012年有较大幅度的提高,但是仍然有一定比例的公司难以满足“每年都要聘请会计师事务所对内部控制有效性实施审计”的规定。2.内部控制审计报告规范性分析2006年以后,有关内部控制审计报告规范性的研究大量涌现,并且发现内部控制审计报告规范性存在的问题包括审计依据不统一、审计报告名称不一致、业务类型有差别等方面(袁敏,2008);随着《基本规范》和《配套指引》的实施和完善,上市公司内部控制报告也在不断规范(何芹,2012)。我们对2012年至2013年度内部控制审计报告进行分析发现,这两年的内部控制审计报告规范性较好,但是仍然有个别公司内部控制审计报告规范性存在问题,包括报告名称、审核依据及语言表述等,如表10所示。
(二)创业板上市公司内部控制
鉴证具体分析1.2012年至2013年内部控制鉴证概况根据《创业板指引》的要求,创业板上市公司应当至少两年实施一次内部控制鉴证,至2012年12月31日,上市的创业板公司共355家,82家公司2012年和2013年连续两年披露内部控制鉴证报告,占比23.10%;328家公司能满足两年披露1次内部控制审计报告的要求,占比92.39%;27家公司连续两年均未披露内部控制鉴证报告,占比7.61%。可以看出,创业板公司披露内部控制鉴证报告大多数能够为了满足两年实施一次内部控制鉴证的监管需要,但是自愿每年实施内部控制鉴证的公司并不多,而且即使在监管层要求内部控制鉴证的背景下,仍有少数公司不能按照要求披露甚至不披露内部控制鉴证报告。2012年与2013年创业板公司内部控制鉴证概况如表11所示。2.内部控制鉴证报告信息规范性与主板公司相比较,创业板公司内部控制鉴证报告信息规范性较差,还存在较多的问题,具体如下:(1)鉴证依据。与内部控制审计归属审计业务不同,内部控制鉴证业务属于其它鉴证业务,其鉴证依据是《其他鉴证业务准则》,在实务中同时参照《指导意见》的规定执行。但是从创业板内部控制鉴证报告看,鉴证依据却存在非常大的差异,除了《其他鉴证业务准则》以外,还主要有:《企业内部控制鉴证指引》、《企业内部控制审计指引》、《中国注册会计师审计准则》。(2)鉴证报告名称。根据《其他鉴证业务准则》及《创业板指引》的要求,创业板上市公司内部控制鉴证报告的名称应统一为“内部控制鉴证报告”,但是从2009年至2013年创业板公司披露的内部控制鉴证报告看,大多数公司都符合规范的要求,但也存在其他的一些报告名称,具体有:内部控制审计报告、内部控制审核报告、内部控制专项报告、内部控制专项鉴证报告、内部控制制度报告。(3)鉴证业务类型。根据《其他鉴证业务准则》和《指导意见》的规定,内部控制鉴证业务是基于责任方认定的业务,但从实际情况看,创业板内部控制鉴证报告的引言段中既有将内部控制鉴证业务作为直接报告业务,又有将其作为基于责任方认定的业务;但是鉴证报告意见段又主要是针对内部控制发表鉴证意见,即将内部控制鉴证业务作为直接报告业务对待,但是具体范围却存在不同的界定,既有针对所有内部控制发表意见,又有仅针对财务报告内部控制发表意见。(4)鉴证保证程度。根据《指导意见》的规定,内部控制鉴证业务合理保证的要求并未明确,但是从实际情况看,创业板内部控制鉴证则主要提供的是合理保证。内部控制鉴证报告信息披露规范性归纳如表12所示。
(三)进一步分析
通过对主板公司内部控制审计和创业板公司内部控制鉴证实施现状的比较,我们可以发现,从内部控制审计与内部控制鉴证的实施意愿上看,大部分主板公司能够满足一年出具一次内部控制审计报告的要求,但是仍然有一定比例的公司难以满足每年审计一次内部控制的规定;虽然大部分创业板公司能够满足两年出具一次内部控制鉴证报告的要求,但是总体来说内部控制鉴证的意愿相对较低。同时,从内部控制审计报告和内部控制鉴证报告的规范性来看,内部控制审计报告较为规范,个别公司内部控制审计报告规范性存在问题;而内部控制鉴证报告存在的问题则明显较多,具体体现在鉴证依据、鉴证报告名称、鉴证业务类型及鉴证保证程度等方面。
四、研究结论与对策建议
关键词:内部控制;审计;初探
无论是拓展审计领域,发展教育审计事业,还是加强高校内部控制制度的建设,提高内部管理水平,开展内部控制审计已显得日益重要。特别是目前高校多渠道筹措资金的办学格局已逐步形成,资金流量大,如何保证会计信息的真实可靠,保护学校的财产安全,有效开展高校内部控制审计,独立、客观、公正地发表审计意见,是摆在我们面前的现实问题。本文从高校内部控制审计的目标定位、基本程序、风险防范三个方面进行探讨。
一、明确高校内部控制审计的目标定位
内部审计的准确定位是监督和服务。监督是审计手段和过程,提供审计服务则是内审的出发点和归宿点。内部控制审计作为高校内部审计的一个重要领域,监督和服务成为其目标定位则亦理所当然,只不过其侧重点在于对高校内部控制制度方面的监督和服务,通过高校内审机构对本单位内部控制的健全性、有效性进行了解、测试和评价,充分发挥其监督和服务职能。实质上高校内部控制审计要明确以监督为基础,以服务为根本的目标定位,即高校内部控制审计要通过监督单位内部控制的健全性和有效性,为内部控制建设服务,为强化管理和科学决策服务,进而促进高校加强管理和提高办学效益。
二、规范高校内部控制审计的基本程序
参照一般审计程序,结合审计工作基本要求,笔者认为高校内部控制审计基本程序也不妨分为三个阶段,即准备阶段、实施阶段和终结阶段。
(一)准备阶段
首先要做好内部控制审计立项工作。内部控制审计可根据年度审计计划进行常规立项,也可根据领导决策或审计工作需要进行临时立项。其次,制订项目审计计划和审计方案。审计组长根据审计单位业务大小、性质重要程度及审计工作的复杂程度制订项目审计计划和审计方案,并报审计负责人审批。项目审计计划应当明确以下主要内容:审计项目和审计范围;重要性和审计风险的评估;审计组构成和审计时间的安排。审计方案应明确以下主要内容:具体审计目的和审计主要内容;审计方式和具体审计方法;审计组成员工作任务及时间的分配。项目审计计划和审计方案需经内审部门负责人批准。项目审计实施审计组长负责制。最后,下达审计通知书。内审部门编制和下达审计通知书,在审计实施前三天送达被审计单位。
(二)实施阶段
首先,审计组进驻被审计单位召开进点会。审计组通过会议或座谈等形式同被审计单位有关人员进行信息沟通和交流,让被审方明确此次审计有关事项,审计人员进一步熟悉被审计单位在内部控制方面情况。必要时对审计方案进行修正。其次,审计人员了解内部控制。现场审计人员收集资料,运用询问、查阅、观察等审计方法,对被审计单位基本情况内部控制环境以及各类业务的内部控制情况进行详细了解,并在相应的《内部控制调查表》中作好审计记录,并对其内部控制的健全性作初步评价,再据此确定内部控制测试的范围和重点。再次,测试内部控制。审计组根据所确定的内部控制测试范围和重点,运用抽样技术抽查部分有代表性的业务活动,采用审查、核对、分析性复核等审计方法对其内部控制设计的合理性和执行的有效性进行测试。内部控制审计的合理性测试主要检查被审计单位的控制政策和程序是否设计合理、适当,能否防止或发现和纠正错弊的发生;内部控制执行的有效性测试主要检查被审计单位的控制政策和程序是否发挥作用。审计组根据测试结果填制相应的《内部控制测试表》,并对其内部控制设计的合理性和执行的有效性作出初步评价。最后,整理审计工作底稿。审计组将实施阶段的审计证据进行收集、汇总,整理好审计工作底稿,组长对其复核后要求被审计单位有关人员在必要的审计工作底稿上签字,审计人员对被审计单位内部控制的健全性和有效性作出综合性的初步评价,并分析是否达到了此次审计的目的,是否还要实施其他必要的审计程序进行补充和完善。
(三)终结阶段
首先,评价内部控制。审计组根据对内部控制了解、测试结果以及作出的初步评价,对被审计单位内部控制的健全性和有效性进行综合分析,形成对内部控制的整体评价。其次,拟定《审计报告》(征求意见稿)及有关审计文书。审计组拟定《审计报告》初稿,报告的内容主要包括:审计概况;被审计单位基本情况;审计结果;审计意见和建议。审计组将《审计报告》(征求意见稿)连同“审计报告征求意见书”送被审计单位征求意见,结合被审计单位提出的合理意见修正《审计报告》和拟订《审计意见书》初稿后一并提交审计部门负责人。再次,出具正式《审计报告》和《审计意见书》(若有违纪违规事项需作出处理的还应下达《审计决定书》)。审计部门负责人审定《审计报告》和《审计意见书》,对有违纪违规事项需作出处理的还应拟订《审计决定书》,并一起报主管校(院)长批示后,将《审计报告》、《审计意见书》及《审计决定书》报送校(院)领导,将《审计意见书》和《审计决定书》发送被审计单位及校(院)属有关单位如财务部门等相关单位)。最后,回访审计执行与落实情况。审计部门就被审计单位对审计建议的采纳和审计意见及审计处理的执行情况进行检查,并对未落实者监督其严格执行。
三、防范高校内部控制审计的几大风险。
从内部控制审计基本程序和关键环节来看,要做好高校内部控制审计必须对以下几大风险进行防范。
(一)防范了解不全风险
对内部控制情况进行了解,是内部控制实施阶段的首要环节,也是对内部控制进行测试的重要前提。因此审计人员对被审计单位内部控制的了解要做到全面彻底。个别审计人员往往会因某些客观因素(程序多、工程量大)和主观因素(图简单省事)而草草了事。这不但违背谨慎性原则,而且影响审计质量,带来审计风险。为了防范这一风险,审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况进行了解,审计人员应重点了解:被审计单位的性质;高层管理人员;资产、负债、所有者权益;所属行业;经营业务;组织结构;各机构职能及负责人;职员人数;高层管理人员分管业务及各自职责等。对被审计单位总体控制环境,审计人员应重点了解:高层管理人员对内部控制的态度;高层管理人员从事相关业务年限、相关学历;被审计单位经营管理目标是否明确;是否订有职工行为守则;高层管理者是否重视制度的实际执行;被审计单位以前或目前是否有重大违反财经法规的行为极其高层管理者对此态度如何等。对各类业务循环内部控制,审计人员重点了解被审计单位业务特点及业务流程中关键控制点。
(二)防范测试失效风险
在内部控制测试环节审计人员主要防范测试失效风险。导致测试失效风险,主要由以下因素引起:选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计,会使审计失之偏颇;测试重点不准直接影响内部控制测试效率和效果;测试审计方法多种多样,要因事制宜,根据不同业务而方法各异,否则会导致测试失效;抽查的业务缺乏代表性,会因评价不全面而带来测试失效风险。因此,要防范测试失效风险审计人员必须做到测试范围要全,测试重点要准,测试方法得当,抽查业务的代表性要强。
(三)防范评价不当风险
在内部控制审计终结阶段整体评价中,审计人员要防范出现评价不当风险,即健全性评价不当风险和有效性评价不当风险。究其原因,除了由内部控制了解、测试两个环节存在的风险引起外,还会因内部控制系统本身不完善和风险估计水平过高等因素造成。内部控制系统本身不完善,使某些业务活动被置于审计范围之外而疏忽,通常导致内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险(β风险),从而造成内部控制有效性评价不当风险。因此,要防范评价不当风险,除了要做好内部控制了解、测试两个环节工作外;审计人员还应从宏观出发,统筹考虑,从各方面调查了解熟悉被审单位业务活动及其需设计的相应的内控系统,并充分利用审计技术对风险水平作出合理估计。
参考文献:
(一)财务审计转变为管理审计内部控制注重管理控制与会计控制的结合。内控会计目标为增强会计信息的可靠性与相关性,当前赋予会计控制新内涵,即管理会计控制与财务会计控制。财务审计关注点为会计控制内容,确认制定会计控制制度的情况,并进行评价与监督。传统内部审计则主要基于账项开展财务审计,对财务事项充分关注,专业审计人员按照相关规定对会计资料、程序以及控制情况进行检查和测试,进而对财务报表的真实性进行评价,以确保其透明度与可靠性。同时还要查看企业资产的完整性、组织权益的保障情况等,进而对受托人财务责任进行确认和解脱,将内部审计查错防弊目标充分体现。当前市场经济快速发展且企业组织结构也产生变革,促使建立在会计控制基础上的财务审计会发展至建立在管理控制基础上的管理审计。
(二)对内部控制进行评价与监督一方面,当企业管理活动与内控完全融合时企业内控运行过程就等同于企业经营管理过程。内部审计人员应将内部控制原有限制充分考虑进来以评价内部控制,同时还要充分围绕内控目标,对企业会计制度、控制环境、交易授权以及机构设置等内控内容进行考量,审查内控执行状况,评价内控有效性、合法性以及健全性,提升会计信息的可信度。因此对内控进行评价,促进内控程序的修订与完善是内部审计重要作用之一。另一方面,内部控制具有整体性,包括文化、程序以及制度等,结合系统论相关观点,系统持续改进与运转效率均密切关联于监督,因此在风险管理框架中都把监督当做主要内容,并将其放于最顶端。内部审计就是对内部控制进行再控制,在企业内部中内部审计不会参与任何经营管理活动,但是对内部控制又极为熟悉,因此在内部控制中内部审计充分发挥监督作用。
二、强化内部控制中内部审计作用的途径
(一)强化内审队伍建设,增强人员综合素质现代内部审计职能的完善对于审计人员也提出更高要求,例如知识广博、技能多元化、专业知识扎实并了解一定的法律与管理知识等。同时,内审人员还要充分了解企业发展经营目标、战略、计划,并掌握各项管理职能。因此企业一定要培训内审人员,将其内审职能充分发挥,提升管理效果。首先要对内审人员结构进行优化,重在提升其职业道德素质与责任感;其次对知识结构进行完善,加快知识更新速度。可开展类型多样的培训,开展再教育,使其职业责任感与专业操作技能得以持续提升;最后实行科学合理的考核机制,以评价内审人员的工作效果,并联系于绩效奖金,激发员工工作积极性,进而提升内审工作的效率与质量。
(二)坚持成本效益原则,增强内审机构独立性外国经验认为内审机构最好设置在董事会或者下设审计委员会中,可将内部控制中内审作用充分发挥出来。但是在设置机构层级时一定要遵循成本效益原则,尤其时当前我国诸多企业不具备规模经济以建设独立性强的内部审计机构,因此在建设内审组织层级时不能采用一刀切方式,各个企业应充分结合自身实际开展。不管哪种组织层级,都应做到以下内容:内部审计章程需先经由董事会批准,内审负责人需直接报告董事会内审相关情况,并有共同研究问题的机会;内审人员有权利参加董事会或者高层举行的关联于内审机构职责会议;董事会直接负责内审负责人的任免、考核以及薪酬,使其独立性更强。
(三)实行全面质量管理,适当外包内部审计在提升内部审计工作效果时应重点考虑内部审计质量。我国相关规定中明确了内部审计机构管理人员应该采取何种措施监督内审工作人员,但是仅靠监督无法实现全面质量管理的要求。可适当开展内部审计外包工作,即将企业内部审计工作外包给会计事务所专业人员。分析价值链得知内部审计对于企业而言价值重大,若企业价值链分析内审后发现其无法为企业带来效益,那么企业可放弃设置单独的内部审计部门,选择外包方式。这其中不包含国家法规强制性要求需设立独立内审机构的企业。若企业已经设立内部审计机构,但是由于内审人员在某些项目中专业素质较低无法胜任则可将该项目外包出去,这不仅与成本效益原则相符,也可在极大程度上避免内审工作人员由于专业知识低下或者技能缺陷而导致企业陷入内审风险。
(四)对内部审计方式进行创新1、要对内控有关的法律法规予以健全优化当前我国颁布的与内控有关的法规主要为部门规章,领域则主要为会计,尚未构建内控整体框架。此时应结合我国国情对内控相关法律法规体系进行完善。2、对内部审计准则体系进行完善制定审计准则时需确保其水准高,同时还要注重严肃性与可行性,以对内部审计行为进行规范,提升工作质量。同时企业应基于自身实际制定内部审计办法,为实际内审工作提供指导。3、创新内部审计方式传统内部审计的开展主要依靠手工操作,随着科学技术的快速发展,现代企业已经普遍使用计算机技术,在内审工作中也要充分使用审计软件,以提升内审效率与质量。
三、结束语
关键词:注册会计师;内部控制;审计风险
中图分类号:F239.4 文献标识码:A 文章编号:1003-3890(2011)10-0067-03
内部控制是基于公司管理的需要而产生的。建立内部控制制度的目的是为了保证会计记录的可靠性,因为内部控制制度可以约束管理层或职员随机错报的可能性,进而对财务报告内容的真实性提供合理保证,成为确保财务报告可靠性的另一项重要制度安排。然而,由于内部控制的局限性以及公司管理层面临的压力、机会和借口,管理层披露的内部控制自我评估报告的可信性仍然不够高,因此需要注册会计师对管理层披露的内部控制自我评估报告进行审计,以增强公司内部控制信息的可信度,内部控制审计业务应运而生,随之而来的内部控制审计风险也就产生了。
一、内部控制审计业务的产生
内部控制审计业务源于20世纪70至80年代的美国,起因是上市公司出现的舞弊财务报告、公司管理层和破产倒闭等事件。1987年美国Treadway委员会提交的报告指出,大约一半的欺诈性财务舞弊案例是因为内部控制失效而产生的。随后Treadway委员会发表研究报告,建议所有上市公司应当在年度财务报告中附列有管理层签名的内部控制报告,切实履行最高管理层建立并维持适当内部控制的承诺。但这一建议并不具有强制性。1992年的COSO框架确定了内部控制的五个核心要素:控制环境,风险评估,控制活动,信息与沟通,监控。1994年美国注册会计师协会主席建议,公司管理层应当对内部控制的有效性发表报告,且注册会计师对管理层报告提供评估。2004年,COSO框架又增加了三个要素,即目标设定、事项识别和风险应对,以强化该框架的风险管理部分。从此内部控制审计业务开始走上规范化的轨道。
中国上市公司内部控制审计制度始于2002年。2002年2月,中国注册会计师协会《内部控制审核指导意见》,该意见规定,注册会计师接受委托,就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见,从而正式确立了中国的内部控制审计制度。
二、内部控制审计业务的性质
从国内外内部控制审计业务的产生来看,内部控制审计业务属于一种鉴证业务,是由注册会计师接受委托进行的鉴证业务。在中国,从《内部控制审核指导意见》(2002)到《企业内部控制鉴证指引(征求意见稿)》(2008),再到《企业内部控制审计指引》(2010),内部控制审计业务的性质始终围绕鉴证业务来定性。
2002年3月,中国注册会计师协会制定了《内部控制审核指导意见》,该意见明确规定了内部控制审核的定义,内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核并发表审核意见。该意见还规定按照国家有关法规的要求,建立健全内部控制并保持其有效性,是被审核单位管理当局的责任;注册会计师的责任是了解、测试和评价内部控制,出具审核报告。从此,中国的内部控制鉴证业务开始走上规范化的道路。
2006年以后,中国上市公司内部控制审计制度发生了很大的变化,监管部门通过上市公司年度财务报表披露等途径,鼓励上市公司自愿披露内部控制鉴证报告。2008年7月1日,由中国注册会计师协会并施行企业内部控制鉴证指引(征求意见稿)》明确规定了企业内部控制鉴证的含义:会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。还明确规定注册会计师的责任是在实施鉴证工作的基础上,对内部控制有效性发表鉴证意见;在对内部控制有效性形成意见后,注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。
为了更加有效地促进上市公司建立、实施和评价内部控制,进一步深化内部控制鉴证业务,规范会计师事务所内部控制审计行为,2010年4月26日,中国财政部会同证监会、审计署、银监会、保监会联合制定并了《企业内部控制评价指引》和《企业内部控制审计指引》。其中,《企业内部控制审计指引》规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这一制度的施行对防范企业风险、规范企业管理、指导注册会计师进行内部控制审计业务具有重大的历史意义。
三、中国内部控制审计业务发展中存在的问题
(一)内部控制审计业务的相关规范缺乏强制性
在2006年以前,中国相关监管部门对内部控制审计缺乏强制性的规定,这就导致部分上市公司管理层不愿意主动对外披露内部控制信息。例如,为了规范上市公司内部控制的建立、运行和信息披露,中国深圳证券交易所(简称:深交所)于2006年9月了《深圳证券交易所上市公司内部控制指引》(简称:《深交所指引》),《深交所指引》规定,注册会计师应当直接对公司内部控制的有效性进行评价,并出具鉴证报告;《深交所指引》的颁布,旨在通过提高上市公司内部控制建立和运行的透明度以及内部控制信息披露的充分性,来改善上市公司内部控制的运行效果。证监会公告[2008]48号《关于做好上市公司2008年度报告相关工作安排的公告》规定:上市公司应当在2008年年报中全面披露公司内部控制机制建立健全的情况。从上述规定我们看到,相关规范只是引导上市公司应当出具鉴证报告,并没有强制要求必须出具鉴证报告,这就直接导致绝大多数上市公司不愿意披露自身存在的内部控制缺陷,也不愿意聘请会计师事务所鉴证其内部控制。相关研究成果也证实了这一点。杨有红、汪薇(2008)通过描述性统计对2006年沪市年报内部控制信息披露的现状进行了分析,认为2006年沪市公司内部控制信息披露存在内部控制信息披露的强制规定未得到有效执行、内部控制信息自愿性披露动机不足、内部控制自我评估和会计师事务所的核实评价缺少统一的标准等问题。杨德明、王春丽、王兵(2009)利用A股上市公司2007年度相关数据进行的实证检验分析发现:上市公司内部控制环境越好,越容易收到清洁的审计意见;上市公司在披露内部控制鉴证意见时,明显存在"报喜不报忧"的披露管理行为。
(二)内部控制审计主体单一
从《内部控制审核指导意见》(2002)到《企业内部控制鉴证指引(征求意见稿)》(2008),再到《企业内部控制审计指引》(2010),这三项法规规定的内部控制审计主体都是注册会计师所在的会计师事务所。最新法规《企业内部控制审计指引》规定:会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。而这个“特定基准日”在《企业内部控制评价指引》(2010)中规定为12月31日,并且要求企业内部控制评价报告应于基准日后4个月内报出。这个时间刚好与财务报告审计报告报出的时间重合。在审计时间有限、具有上市公司审计资格的会计师事务所数量有限、会计师事务所从业人员知识结构不太合理、企业内部控制不够健全且执行不够有效等情况下,作为内部控制审计主体的注册会计师则感觉到心有余而力不足。
(三)对内部控制审计风险的研究较少
在中国注册会计师审计准则中,内部控制测试结果一直是注册会计师确定实质性程序的重要依据。因为注册会计师在执行财务报告审计程序时,已经对同一被审计单位的内部控制风险进行了测试。然而,随着企业经营环境的变化,企业的经营业务日趋复杂,企业的内部控制难以做到健全。而且,企业内部控制审计业务在中国还尚属新业务,这一新业务的开展还处于探索阶段;加之,中国注册会计师审计职业还比较年轻,现有执业人员中,能够胜任内部控制审计业务的人才占较少的比例。
另外,从内部控制审计业务的性质分析中我们也看到,内部控制审计业务的内容在发生变化,审计范围在扩大。《内部控制审核指导意见》中规定的内部控制审计内容是被审核单位管理当局对特定日期与会计报表相关的内部控制有效性;《企业内部控制鉴证指引(征求意见稿)》中规定的内部控制审计内容是被鉴证企业与财务报告相关的内部控制的有效性;《企业内部控制审计指引》中规定的内部控制审计内容是被审计单位特定基准日内部控制设计与运行的有效性。这一细微的变化,不仅增加了注册会计师的审计成本,而且也增加了注册会计师的审计风险。
四、内部控制审计风险的控制路径
作为内部控制审计主体的注册会计师,如何在有限的时间内,对企业特定基准日内部控制设计与运行的有效性获取充分、适当的审计证据,合理控制内部控制审计风险,已经成为注册会计师必须要面对的现实问题。笔者认为,在当前企业经营环境比较复杂、内部控制信息披露不充分、不主动等情况下,注册会计师可以先从严格律己开始做起,首先培养内部控制审计复合型人才,其次是加强与企业内部审计部门的联系,第三是有效整合内部控制审计业务与财务报告审计业务。
(一)尽快培养内部控制审计复合型人才
内部控制审计是否能够帮助企业防范风险,归根到底还得依赖内部控制审计人员高水平的业务素质。《企业内部控制审计指引》第六条规定,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,但并没有对内部控制审计人员应当具备哪些具体方面的专业胜任能力作出具体规定。企业经营环境的多变性,经济业务的复杂性,审计时间的局限性,都在一定程度上影响着内部控制审计风险。笔者认为,内部控制审计人员至少应当具有敏锐的观察能力、缜密的思维能力、过硬的专业知识、合理的知识结构等能力,只有拥有一批高素质的内部控制审计从业人员,才能胜任内部控制审计工作;而建立内部控制从业人员后续教育体制是培养高素质的内部控制审计人才的制度保证。
(二)切实加强与企业内部审计部门的联系
在企业全面风险管理框架的指导下,企业内部审计部门的工作重点是协助企业建设内部控制。在现代企业管理过程中,内部审计作为企业内部控制的一个重要组成部分,具有监督内部控制其他环节的职责。内部审计应有的作用不仅在于监督企业的内部控制是否被执行,还应该帮助企业进行控制环境的营造,成为内部控制过程设计的顾问,在帮助管理层更有效地达到预期控制目标的过程中,发挥着较大的作用。因此,内部审计人员在了解、评估内部控制的风险水平方面,较会计师事务所的注册会计师更加深入与恰当。《企业内部控制审计指引》第九条明确规定,注册会计师利用企业内部审计人员的工作,可以相应减少可能本应注册会计师执行的工作。在内部控制审计时间有限、审计经验不足、审计业务复杂等情况下,只有加强与企业内部审计部门的联系,较为深入地了解内部控制,谨慎而合理地评估内部控制风险水平,才能合理控制内部控制审计风险。
(三)有效整合内部控制审计业务与财务报告审计业务
由于中国企业的内部控制报告都包含在企业财务报告之中,因此审计主体主要还是由注册会计师在对企业的财务报告进行审计的同时,整体地对报告中相应的内容进行评价,因此,实施内部控制审计的主体与实施财务报告审计的主体是一致的。当前主流的财务报告审计方法是风险导向审计,要求注册会计师在实施进一步审计程序之前,应当首先了解被审计单位及其环境(包括内部控制),并评估内部控制的风险水平,然后再根据内部控制的风险水平决定下一步的审计程序。既然对内部控制的了解和评估是企业财务报告审计的必要环节,我们不如把内部控制审计与财务报告审计整合进行。一方面可以避免重复审计,减少被审计单位的检查负担,节约审计成本;另一方面还有利于注册会计师统筹控制审计风险水平。因此笔者认为,同一家客户的内部控制审计与财务报告审计应当由同一家会计师事务所执行。
参考文献:
[1]Weili Ge, Sarah Mcvay. The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act[J]. Accounting Horizon, 2005,(Sep):137-158.
[2]Andrew J., Leone. Factors Related to Internal Control Disclosure[J]. Journal of Accounting and Economics, 2007,(Sep):224-237.
[3]Ogneva M., Raghunandan K., Subramanyam K. R.. Internal Control Weakness and Cost of Equity : Evidence From SOX Section 404 Disclosures[J]. The Accounting Review, 2007,(82):1255-1297.
[4]Patterson E.R., Smith J.R.. The Effects of Sarbanes-Oxley Act on Auditing and Internal Control Strength[J]. The Accounting Review, 2007,(82):427-455.
[5]饶盛华. 加强企业内部控制是当务之急――ST郑百文的警示[J].中国注册会计师,2001,(6):52-54.
[6]张立民,钱华,李敏仪.内部控制信息披露的现状与改进――来自我国ST上市公司的数据分析[J].审计研究,2003,(5):10-15.
[7]陈关亭,张少华.论上市公司内部控制的披露及其审核[J].审计研究,2003,(6):34-38.
[8]张刚,周云鹏.内部控制审核报告分析[J].广东经济管理学院学报,2004,(6):67-69.
[9]杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008,(3):35-42.
[10]杨德明,王春丽,王兵.内部控制、审计鉴证与审计意见[J].财经理论与实践,2009,(3):60-66.
[11]邓美洁,吴国萍.美国内部控制审计制度及其对我国的启示[J].税务与经济,2011,(4):69-72.
内部控制制度审计的对象是被审计单位的内部控制制度,对这些制度的检查、测试也就构成了内部控制制度审计的基本内容,主要体现在以下管理制度的检查、测试中:
1、责任控制制度。责任控制制度是以确定经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度。主要是检查各部门和经办人员的职责是否经过恰当授权,各种岗位责任制赋予各职能部门和经办人员的责任是否达到分工明确,职责分明的目的。
2、内部牵制制度。内部牵制制度是为了保证会计资料的正确性、可靠性及保护财产而形成的种制度。它主要检查不相容职务是否分离,会计事项的处理是否遵循必须经过两个以上的人员或部门来完成,是否经过复核,以防止差错、舞弊的发生。
3、会计控制制度。会计控制制度是指经济组织为了保证会计数据的正确性和可靠性而采取的各种措施和方法,主要是各种凭证的记录、传递,资金的使用,债权债务反映,会计报表编制等各个环节的控制制度和程序。主要是通过账证、账账、账表之间的相符关系,检查会计数据的可靠性;通过账实核对检查账实是否相符,以保证会计数据的真实性;通过严格的复核审批制度,以保证会十十业务处理的合法性;通过定期编制计算平衡表检查所有数据的正确性等。
4、经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度:如成本控制、购销控制、物资控制、生产经营过程的控制制度等。通过检查这些环节的控制是否严密,反映企业是否能正常进行经营活动及企业的生存和发展。
5、财产、凭单管理制度。财产、凭单管理制度是为了确保经济组织的财产和各种凭证单据而建立的控制制度。如财产物资的保管、清点、验收、领用、计划、合同、单据等各个环节,都应实行专人管理。
进行内部控制制度审计,其重点是放在对于制度内各个控制环节的审查上,目的在于发现制度中控制的薄弱环节。
二、内部控制审计的程序与方法
主要有四个步骤。
1、了解企业的内部控制情况,并做出相应的记录。这是内部控制制度审计的第一步,其主要目的是通过一定手段,了解被审计单位已经建立的内部控制制度及执行的情况,并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素,对内部控制的程序、控制环境、会计系统采取有效的方法进行审计,主要方法包括:(1)查阅前期审计报告或审计工作底稿;(2)询问被审计单位有关人员,并查阅相关内部控制文件;(3)检查内部控制生成的文件和记录;(4)观察被审计单位的业务活动和内部控制的运行情况:(5)选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况,可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进,通过查阅相关规章制度、方针及政策等文件,查看组织机构系统图,和相关人员交谈对内部控制获得足够的了解,以便进行程序设计和制定运用方案。
2、初步评价内部控制的健全性。确认内部控制风险,确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解,对被审计单位内部控制有了一个初步的认识的基础上,应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程,通常出现以下情况之一时,应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平:(1)企业内部控制失效;(2)难以对内部控制的有效性做出评价;(3)不拟进行符合性测试。对某项会计报表认定而言,如果同时出现以下情况,则不应评价其控制风险处于高水平。(1)相关内部控制可能防止或发现和纠正重大错弊,(2)拟进行符合性测试。
3、实施符合性测试程序,证实有关内部控制的设计和执行的效果。
通过对内部控制进行初步评价,可基本掌握被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。审计人员只对那些准备信赖的内部控制执行符合测试,并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时,符合性测试才是必要和经济的。符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试,控制设计测试是测试被审计单位控制政策和程序是否设计合理、适当,能否防止或发现和纠正特定会计报表认定的重大错报或漏报:控制执行测试是测试被审计单位的控制政策和程序是否实际发挥作用。被审计单位的控制设计的再好,还必须靠有效的执行来发挥作用。
内部控制符合性测试常用的方法主要有四种:(1)询问法,审计人员为厂了解被审计单位各项业务操作是否符合控制要求,而向有关人员询问某些内部控制和业务执行情况。例如,审计人员通过询问计算机管理人员,就可以知道未经授权的人员是否接触计算机文件、(2)观察法。审计人员亲临被审计单位的卜作现场,实地观察有关人员的实际厂作情况,以确定既定控制措施是否得到严格执行。如审计人员亲门到现场观察材料验收和入库情况,就可知道材料是否严格验收,并及时入库,库存材料是否有序摆放,是否安全存放。(3)证据检查法。审计人员抽取一定数量的账表、凭证等书面证据和其他有关证据,检查是否认真执行相关控制制度,以判断内部控制是否得到有效贯彻执行。如检查货款的支付是否有相关责任人和经办人的批准和签字,来判断实际工作中是否执行了批准控制程序。(4)重复执行法。审计人员就某项内部控制制度来按照被审计单位的业务程序全部或部分重做一次,以验证既定的控制措施是否被贯彻执行。