会计师事务所鉴证企业内控报告的理性思考.docx

会计师事务所鉴证企业内控报告的理性思考 　　[ 摘要] 本文从美国公众公司 会计 监督委员会(PCAOB) 内控报告鉴证标准的最新进展出发, 解读PCAOB 近几年美国会计师事务所鉴证 企业 内控报告的 研究 成果, 探索完善我国会计师事务所鉴证内控报告业务的有效路径, 提出的建议包括准确地定位内控报告鉴证业务, 强化审计独立性理念, 不断提高注册会计师的相关执业能力, 提高内控报告的鉴证质量和效率, 建立和完善内控评价标准和相关执业准则, 规范内控鉴证报告的披露等等。 [ 关键词] PCAOB; 内控报告; 鉴证; 会计师事务所 本论文由http:// 一、引言针对安然、世通公司等一系列财务丑闻, 美国国会在2002 年7 月出台《萨奥法案》(SOA) , 旨在通过立法强制公司建立有效透明的监督体制, 恢复投资者对美国资本市场的信心。其中第404 条款对公司内部控制作出了特别的规定, 即国会不仅要求管理层报告公司对财务报告的内部控制, 而且要求注册会计师证实管理层报告的真实性、准确性。2006 年7 月, 我国代写论文上海交易所发布《上市公司内部控制指引》, 对上市公司内控的信息披露提出了有关要求, 对会计师事务所鉴证上市公司内控报告进行了规定。根据这一规定, 中国 国航、中国卫星及民生银行等50 多家上海交易所上市公司在2006 年年报中, 主动披露了公司内部控制的董事会自我评估报告和会计师事务所的核实评价意见。上交所副总经理周勤业表示, 上海交易所将用3 年时间,让所有上市公司主动披露公司内部控制建设情况; 同时把 目前 的以会计控制为主的内部控制, 过渡到财务报告相关的内部控制和公司整体的内部控制。2006 年9 月, 深圳交易所发布《上市公司内部控制指引》, 规定公司要同时披露经注册会计师审计的年度财务报告和内控报告。因此, 在2006 年年报披露的深市公司中, 有燕京啤酒、云南白药及首钢股份等24 家公司主动披露了内控报告及会计师事务所对其内控报告的核实评价意见。无论是美国2002 年的SOA404 条款的实施, 还是我国2006 年上海交易所、深圳交易所的《上市公司内部控制指引》的出台, 都促使我国会计师事务所鉴证企业内控报告这项新兴的业务深入开展。笔者认为, 立足国情、借鉴国际先进做法是我们应当坚持的原则。PCAOB 在规范会计师事务所对内控报告进行鉴证方面取得了不少成功的经验, 值得我们 学习 和借鉴。 二、PCAOB 内控鉴证标准的最新进展及其实施效果的解读( 一)PCAOB 内控鉴证标准的最新进展PCAOB制定了审计准则第2号()———“与财务报表审计相关的针对财务报告的内部控制的审计”, 以促使公司建立有效的内部控制监督体系, 从而为有效的公司治理奠定良好的基础。从连续两年PCAOB发布的有关会计师事务所鉴证企业内控报告的研究成果中可以看出,AS　在美国国内的开展取得了相当程度的进步与完善; 但是, 在实施中暴露的 问题 也同样棘手, 并亟待解决。2007 年5 月, 美国证券交易委员会(SEC) 最终发布了“管理层报告内部控制指南”, 大大方便了公司今后执行SOA404 条款, 这标志着对SOA的修改进入了实质性操作阶段。在实施内控报告鉴证业务中, 注册会计师通常认为 是导致他们过度谨慎的一个准则。因此, 为提高内控报告鉴证质量和效率, PCAOB在修订完善 的基础上, 通过了审计准则第5 号(AS ) , 以提高准则的清晰度, 降低其使用难度, 该准则在2007 年11 月生效。( 二) 解读PCAOB 内控鉴证标准的实施效果2005 年11 月, 即实施 的第一年, PCAOB 发布了对会计师事务所执行 情况进行调查的研究报告。在调查过程中, PCAOB发现注册会计师在执行 的第一年中遇到了巨大的困难。例如, 没有可供借鉴的现成实例; 具有评价与测试内部控制工作经验或受过类似培训的人员的短缺; SOA404 条款强制执行的时间期限的紧迫, 等等。在这种困境下, 注册会计师执行该项审计活动的效率与效果远没达到原先预想的状态, 没有满足要求达到的目标。但PCAOB相信, 随着注册会计师有关经验的提高, 该项审计工作的效率与效益会得到不断改进。2007 年4 月, PCAOB 发布了一份针对AS　实施第二年情况的研究报告。在报告中, PCAOB 表示2006 年对于内控审计的检查重点是会计师事务所是否在有效率59/ CHINA MANAGEMENT INFORMATIONIZATION 审计研究的方式下实现内控审计的目标。通过对275 个内控审计业务的检查, PCAOB 发现多数会计师事务所在提高内控审计的效率方面取得了进步( 这里的效率是指以最小的努力和资源支出实现PCAOB准则的目标) 。如使用同一个审计小组进行财务报表审计和内部控制审计, 在结合审计方面有进步; 在采用自上而下的审计 方法 上做得比较好, 重点关注有关公司层面控制的测试和评价, 花费较少的时间测试有关程序和交易层面的控制; 根据风险水平的不同改变测试的范围, 从而实现了较高的效率; 利用他人的工作也比 实施的第一年要多。这些进步源于对SOA404条款实施时间约束的放宽、审计人员和上市公司积累经验的增加以及会计师事务所在审计方法和员工培训方面的改进。尽管取得了上述进步, PCAOB表示还应关注并理性思考下面需要进一步完善的 内容 。1. 没有充分结合内控报告审计与财务报表审计有的审计师对于计划和执行两种审计在本质上是分开的, 没有结合他们的审计; 有的审计师没有根据控制测试的结果调整实质性程序的性质、时间和范围; 有的审计师认为上市公司没有完成对内部控制的评价, 所以他们延迟了控制测试, 在近期末时进行, 这与财务报表实质性测试工作的时间结合在一起, 使得他们无法充分结合两种审计。上述表现都不利于审计师有效地完成两种审计。2. 审计方法不当 影响 内控报告审计的效率和效果有的审计师在工作中未能有效地运用自上而下的审计方法, 而过多地使用自下而上的方法; 有的审计师在对公司层面的控制进行测试和评价后, 没有根据测试结果改变程序、交易层面控制的测试程度; 有的审计师没有根据各个认定层次的风险水平而相应地调整测试的性质、时间和范围, 在整个测试过程中使用同一种方法, 造成高风险领域审计资源不足, 而低风险领域审计资源浪费的现象;有的审计师在穿行测试中, 用不同的交易测试不同的控制, 而没有用一笔交易测试整个控制; 有的审计师没有通过充分地咨询被审企业的有关人员从而获得对整个交易过程全面的理解, 而实施这样的调查可以有效地帮助审计师确定哪些环节在公司的控制是缺失的或者是无效的, 从而确定下一步测试的性质和范围; 有的审计师对于重要账户的识别仅仅基于定量方法, 而没有 应用 定性方法, 认为超过一定数量限制的账户就是重要的, 应该被包括在控制测试中, 而实际上对其测试的意义不大。上述审计方法的不当, 都使得审计工作缺乏效率, 降低了审计效果。3. 合理有效地利用他人工作成果尚显不足准则允许审计师适当地利用他人( 他们完全地符合审计师对特定控制风险的评估及执行者客观性和工作能力的要求) 的工作, 以实现审计师不在低风险领域重复工作,把自己的精力更好地集中在高风险控制上, 但有的审计师没有在准则允许的程度内使用他人的工作。此外, 大多数会计师事务所描述一个特定的范围( 通常是百分比表示)来指导审计师使用他人工作的程度, 在这种情况下, 审计师通常选择最保守的方法( 即选择利用他人工作范围的下线和自己测试范围的上线) 。审计师仅仅使用定量方法, 可能会影响审计测试的质量和效果。4. 影响内控报告审计的企业方面的因素有的审计师认为企业的环境会影响内控报告审计工作的开展, 或者说企业的某些环境因素会增加审计师的工作量; 有的审计师认为企业在近年末才完成内部控制的评估和测试, 从而降低了审计师利用他人工作来减少自身进行测试的机会; 企业为了能够补救识别的控制缺陷或其他的原因, 要求审计师延迟内控测试, 这样就减少了充分结合两种审计和使用他人工作的机会。对此, PCAOB鼓励审计师与其客户和他们的审计委员会尽可能地沟通, 发现并解决企业自身的因素对审计师工作的影响。此外, 有的会计师事务所没有规范的自我监控程序,用来监督审计师在业务水平上与PCAOB的有关准则要求相一致。针对上述结果, 笔者相信, 通过改进审计方法, 加强和规范有关培训和指南, 增加内部监控以及与企业进行充分的沟通等途径, PCAOB 所检查的这些会计师事务所在内控报告审计业务中会更加具有效率, 审计过程将持续得到完善。上述思考对于提高我国刚刚起步的内控报告鉴证业务的效率尤为重要和珍贵。 　　三、建立和完善我国 企业 内控报告鉴证业务任重而道远1. 准确地定位内控报告鉴证业务内控报告鉴证业务是由内部控制评价业务衍生 发展 而来。内部控制评价是对企业内部控制的健全和有效性进行 分析 和评定, 包括报表审计范畴的内部控制评价、专项鉴证范畴的内部控制评价以及管理咨询范畴的内部控制评价。 会计 师事务所需要正确地划分不同的内部控制评价业务, 并针对不同的类型采用不同的服务策略, 充分发挥自身专业优势, 制定出具有前瞻性的业务拓展战略。本文所探讨的内控报告鉴证业务属于第二个类型, 对其进行准确定位, 有助于会计师事务所更好地开展此项业务。与其他两类相比, 这种业务要求对内部控制的健全和有效性进行积极的、较高程度的保证, 需要收集充分、适当的证据支持审计结论, 因此, 需要实施较多的测试。这不仅对注册会计师专业胜任能力提出了更高的要求, 也对内部控制的评价标准和内部控制的鉴证规范提出了更明确的要求。2. 确保审计独立性审计独立性是审计的灵魂, 是注册会计师行业的基石, 是审计质量的根本保证。在内控报告鉴证业务的开展中, 鉴证结果的可信性是审计人员鉴证内控报告所追求的目标, 是内控报告鉴证的核心价值。注册会计师应确保其审计独立性, 实现内控报告鉴证过程的客观性、公正性, 进而达到鉴证结果的可信性。因此, 与提供财务报表审计时对审计人员独立性的要求一样, 审计人员在执行内控报告60CHINA MANAGEMENT INFORMATIONIZATION /审计 研究 鉴证时, 在实质和形式上应体现其独立性。针对 目前 我国的实际情况, 一方面, 通过强化审计人员自身在执行内控报告鉴证活动时必须保持独立性这种理念; 另一方面, 通过进一步推动注册会计师行业的诚信建设、建立和完善相关法规、加大对违反审计独立性的处罚力度等手段, 促使审计人员在执行内控报告鉴证业务中确保其独立性。3. 提高注册会计师相关执业能力随着内控报告鉴证业务的不断深入开展和完善, 会计师事务所需要不断提高自身整体水平及员工素质, 更好地进行内控报告的鉴证工作。目前, 国内会计师事务所还缺乏评估内控制度的专门人才, 审计人员仅评会计、审计专业知识难以胜任此项业务。因此, 一方面, 会计师事务所要加强员工的继续 教育 培训, 有计划、有步骤地培养和吸收企业管理、信息技术、 法律 和 金融 等方面的专业人才加入会计师事务所的执业队伍, 有力地保持和提升其整体胜任能力, 以提供更为全面的专业化服务; 另一方面, 审计人员应深化对内控报告鉴证业务的执业 内容 以及评价标准的掌握,　学习 国外开展该项业务的先进经验, 不断增强自身的专业素质。4. 提高内控报告的鉴证质量和效率我们应该借鉴PCAOB 在规范内控报告鉴证业务方面的先进经验, 不断完善内控报告审计 方法 , 以提高鉴证质量和效率。具体表现在: 审计人员有效地结合内控报告审计和财务报表审计; 使用自上而下的方法, 从评价公司层面控制开始, 向下测试程序、交易层面上的重要账户的控制; 对于重要账户的识别, 应基于定量方法和定性方法的结合; 在合理使用他人的工作方面, 审计人员在特定事实和环境下, 依靠自身的判断, 结合使用定量方法和定性方法, 来决定重新执行他人工作的程度, 使审计人员能够不在低风险领域重复工作, 把精力更好地集中在高风险控制上; 会计师事务所应该建立规范的监控程序, 使其内控报告审计的实施行为与有关审计准则的要求保持一致; 审计人员要分析来自客户方面的 影响 因素, 并及时地与客户及其审计委员会进行沟通, 以提高内控报告审计活动的效率。5. 完善相关执业准则针对内控报告鉴证业务, PCAOB 先后出台了和 及其他相关指南来指导审计师进行该项业务,而且这些准则和指南随着实际情况的改变在不断地完善,目的是指导审计师提高该项业务的审计质量和审计效率。在我国, 该项业务处于起步阶段, 行业经验的积累严重不足。目前可以 参考 的内部控制审核标准是2002 年 中国 注册会计师协会颁布的《内部控制审核指导意见》, 该标准指出注册会计师对特定期间与会计报表相关的内部控制的有效性执行审核时, 可以参照该意见办理。随着近几年我国企业经营环境和会计、审计准则规范体系的重大变化,该标准已不能很好地适应审计人员进行内控报告鉴证的需要, 应尽快修订和不断完善内控报告鉴证业务标准和相关指南, 以及作为审计人员在执行该项业务中的规范。6. 完善内部控制评价标准内部控制评价标准是用来指导公司设计和执行相关内部控制的基本依据, 也是评价内部控制健全和有效性的标准。SOA将内部控制评价及披露的范围限定在与财务报告有关的内部控制中。笔者认为, 内部控制报告的评价范围应该更广泛些。因为 现代 内部控制的范围已扩展到企业整体控制, 控制目标已不仅仅是保证财务报告可靠, 还有保证经营的效率和效果以及相关法令的遵循。仅仅评价和披露与财务报告有关的内部控制不能反映企业内部控制的整体情况, 信息使用者无从了解企业整体控制环境和实际运作情况, 不利于信息使用者利用相关信息进行决策。因此, 为使内部控制报告发挥其应有的作用, 内部控制报告应考虑内部控制的各个组成要素, 其评价范围应包括整体内部控制的设计及执行情况。正如上海交易所副总经理周勤业所表示, 要把目前的以会计控制为主的内部控制,过渡到与财务报告相关的内部控制和公司整体的内部控制。7. 规范内控鉴证报告的披露从1999 年至今, 我国监管机构对内部控制鉴证服务的需求范围在不断扩大。随着我国公司内部控制体系建设的不断完善, 应该强制要求所有上市公司披露内控报告及其鉴证报告, 以使利益相关者能够借助该报告判断公司的管理情况和财务报告质量, 同时督促上市公司强化内部控制并借以减少公司丑闻和重大财务错弊。其他非上市公司, 可由其投资者、债权人等利益相关者决定是否对外提供内控报告和注册会计师的独立审核意见。在内控鉴证报告中应说明内控健全和有效性的评价标准。如果发现企业内部控制存在重大缺陷, 应当在报告中指出该项缺陷。由于仅仅声明内部控制有效可能会使信息使用者产生某种误解, 认为内部控制可以绝对防止舞弊, 并持续有效。因此, 在内控鉴证报告中应说明, 内部控制存在固有缺陷, 有效的内部控制也只能对财务、营运、法规遵循等3 大目标的实现提供合理保证, 随着公司环境的变化, 其有效性可能会发生改变。此外, 内控鉴证报告的用语要标准化, 以方便信息使用者阅读、理解和比较。 主要参考 文献 [ 1] 本报讯. 上证所: 明年年初推出公司治理指数[N] . 中国财经报,2007- 10- 30( 8) . [ 2] 本报讯. 美萨奥法案修改进入实质性阶段[N] . 中国财经报,2007- 06- 01. [ 3] PCAOB. Reports on the Second - year Implementation of AuditingStandard , An Audit of Internal Control over Financial ReportingPerformed in Conjunction with an Audit of Financial Statements[R] . 2007.