1、关于注册会计师对内部控制评价的理论思考资料仅供参考关于注册会计师对内部控制评价的理论思考 -8-7 9:57张龙平 朱锦余【大 中 小】【打印】【我要纠错】摘要对企业内部控制有效性进行评价并出具审核报告是中国注册会计师的一项新业务,急需对由此引起的相关理论与实务问题进行探讨。本文从内部控制评价的性质、范围、目标、评价标准、责任划分等九方面探讨了与内部控制评价相关的理论问题,以期对中国注册会计师相关鉴证准则的制定和实务工作的开展提供支持。关键词内部控制;审核目标与范围;审核标准;审核阶段内部控制因在确保会计信息的真实可靠、资产的安全完整和业务活动的有效进行,防止舞弊欺诈行为、实现经营管理目标等方
2、面具有重要作用而日益受到国家和社会的重视。中国会计法有和关规定明确要求各单位根据国家法律法规和规范,建立符合本单位业务特点和管理要求的内部控制制度。与此同时,对内部控制有效性的说明与独立外部评价也引起相应重视。中国证监会要求商业银行、保险公司、证券公司对其内部控制的完整性、合理性、有效性作出说明,要求从 起“公开发行股票商业银行应对其内部控制制度的完整性、合理性与有效性作出说明。商业银行还应委托所聘请的会计师事务所对其内部控制制度,特别是其风险管理系统的完整性、合理性与有效性进行评价,提出改进意见,并出具评价报告。”在将来,所有上市公司及国有大中型企业均需聘请注册会计师对内部控制有效性进行评价
3、并发表意见。但当前中国注册会计师对内部控制评价的做法很不统一和规范。本文拟对与内部控制评价相关的理论问题进行探讨。一、内部控制评价的性质在美国等审计较发达国家,将注册会计师业务分为鉴证(attestation)与非鉴证两类。鉴证业务是指注册会计师受托对由另一人所负责的书面认定的可靠性提供书面结论所执行的一种业务,包括审计(auditing)、审核(examination)、审阅(review,也译“复核”)、执行商定程序(agreeduponprocedures)等;非鉴证业务包括税务服务、管理咨询、会计服务等。审计业务要对认定作出积极的、较高程度的但不是绝正确保证;审核或复核业务一般对认定作
4、出消极的、中等程度的保证,但在美国,审核业务也可对认定作出积极的保证;执行商定程序业务一般不对认定作保证,只报告所发现事实,但在有些情况下也可同时对认定作出消极的、中等程度的保证。在国际审计准则中,将注册会计师业务分为审计与相关业务两类,其中相关业务包括复核、执行商定程序和编表等。中国注册会计师法将注册会计师业务分为审计业务和会计咨询及会计服务业务两类,其中审计业务又包括审查会计报表,验证企业资本,办理企业合并、分立、清算等事宜中的审计及其它法律、行政法规规定的审计业务。按照国际通行做法,注册会计师执行与内部控制相关的业务既可是执行鉴证业务中的审核或执行商定程序业务,也能够是执行非鉴证业务中的
5、管理咨询业务,但不能是鉴证业务中的审计或审阅业务。这是因为对内部控制的评价不能实施会计报表审计中一般所采用的重要审计程序如盘点、函证、计算、分析性程序等,因此,内部控制评价不属于审计性质。由于在审阅业务中主要采用询问和分析性程序,而对内部控制评价无法实施分析性程序,且仅采用询问程序却又不能发现内部控制存在的问题,因此,对内部控制执行审阅业务无实际意义。那么,中国注册会计师执行内部控制评价究竟应定位为什么性质的业务?关键要看内部控制评价的目的。由于注册会计师进行内部控制评价要对管理当局关于内部控制有效性(完整性、合理性和有效性)的书面认定作出积极的较高程度的保证,因此,内部控制评价应属于审核业务
6、性质,而不是执行商定程序或管理咨询业务。在美国,把对管理当局关于内部控制有效性书面认定的评价界定为审核业务。当前中国有人主张用“内部控制评审”来描述此类业务是不可取的,因为“评审”一词含义甚广,无法归入合适的通行业务种类。二、内部控制构成要素及其对审核工作的影响在中国对内部控制构成的认识主要有三种。第一种是“内部控制制度论”(InternalControlSys tem),认为内部控制包括内部会计控制制度和内部管理控制制度;第二种是“内部控制结构论”(InternalControlStructure),认为内部控制包括控制环境、会计系统和控制程序;第三种是“内部控制成分论”(InternalC
7、ontrolComponents),认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五成分构成。当前占上风的是第二种观点。但在美国,对内部控制的认识已由第二种观点过渡到第三种观点。各种观点对内部控制构成内容的认识差距较大。如第一种观点一般不将管理哲学与经营方式、组织机构、董事会、人事政策与实务、外部影响等环境因素作为内部控制的构成内容;第二种观点则没有将新技术、顾客需求或期望的改变、竞争、经济环境的变化等对企业经营和管理产生影响的风险因素作为内部控制的构成内容。可见,人们对内部控制的认识在深化和拓宽。对内部控制构成的认识,将直接影响到内部控制审核的内容。我们认为,第三种观点是迄今
8、为止对内部控制最为全面和深刻的认识。因此,建议内部控制审核的起点,应建立在对内部控制构成的第三种认识上。在实务中,各企业管理当局结合其对内部控制的认识及实际情况,可能从不同层面建立其内部控制,如有的企业以业务循环为重点来设计,有的则可能以经营活动的类别为重点来设计,还有的以职能机构为基础、以岗位责任为重点来设计。不同企业内部控制的具体存在形式也不尽相同,如有的企业以书面文字说明为主,有的则以流程图为主;有的将其汇编成册,有的则主要以未汇编成册的单个文件为主。企业管理当局对内部控制的不同认识,不同的建立方法及存在形式,都不应当影响注册会计师对内部控制审核的内容、目标和基本程序。三、内部控制审核范
9、围内部控制的构成内容构成了内部控制审核的理论范围,但在实务中确定内部控制审核范围还须考虑注册会计师的专业胜任能力。由于注册会计师大多只具有会计、审计及财务管理方面的知识和经验,缺乏技术和质量管理等方面知识,因此注册会计师一般只具有对财务报告方面的内部控制(即与会计报表相关的内部控制)进行评价的能力,一般难以胜任对与人事、生产、经营、技术、质量管理等相关的内部控制进行的评价。在确定某具体控制政策、程序是否与会计报表相关时,关键要判断其对会计报表项目的反映和披露有无直接影响。注册会计师受托审核被审核单位内部控制时,既可对该被审核单位整体的与会计报表相关的内控有效性进行审核,也可只对其某一部分(如下
10、属的零售企业,或制造企业或服务企业)进行审核。在一般情况下,是对该被审核单位整体的与会计报表相关的内部控制有效性进行审核。注册会计师还需在审核时点或期间上作选择,她既可选择某时点与会计报表相关的内部控制进行审核,也可选择某期间与会计报表相关的内部控制进行审核。选择的是时点或期间,对所要实施的审核重点、审核程序和审核目标有较大影响。如选择某时点进行审核,则审核重点是该时点内部控制的有效性,审核目标是对该时点相关内部控制有效性进行评价并发表审核意见。如选择某期间进行审核,则审核重点是内部控制在该期间内是否一直有效,审核目标是对该期间相关内部控制设计的适当性和执行的有效性进行评价并发表意见,这种审核
11、成本相对较高。考虑到注册会计师的时间和精力、审核成本、与会计报表审计的结合等因素,建议将内部控制审核选在某一时点上。在中国,该时点可选为会计年度结束日(12月31日)。四、内部控制审核目标注册会计师执行内部控制审核的目标是对被审核单位管理当局关于与会计报表相关内部控制有效性的书面认定的公允性发表意见。但有时管理当局对内部控制有效性的书面认定,并不附在注册会计师内部控制审核报告后面,或者注册会计师更倾向于或更需要对被审核单位与会计报表相关的内控有效性直接作出评价,因此,审核目标也可表述为对被审核单位与会计报表相关的内部控制有效性发表意见。这两种表述实质是相同的,均需评价与会计报表相关内部控制的有
12、效性。内部控制的有效性包括两方面的含义:一是设计有效性;二是执行有效性。设计有效性也称设计的适当性,即内部控制设计的完整性(也称健全性)和合理性。所谓完整性是指企业内部控制设计要覆盖所有经济业务,不留内部控制空白,能防止、发现和纠正会计报表可能存在的所有重大错报或漏报;所谓合理性是指内部控制设计要符合成本效益原则,执行内部控制产生的收益要大于成本,没有重复、过多、繁杂的控制政策及程序。执行有效性是指内部控制得到一贯应用,实际发挥作用,达到了预期目标,能防止、发现和纠正特定会计报表项目的重大错报或漏报。因此,内部控制有效性可细分为内部控制设计的完整性、合理性和执行的有效性。五、内部控制标准内部控
13、制标准(简称控制标准)是用来指导被审核单位设计和执行相关内部控制的基本依据,也是注册会计师评价内部控制有效性的标准。控制标准的制定机构和程序不同,其权威性和社会公认性也不一样。制定机构层次越高,且在制定中广泛征求了社会各界意见,其权威性和社会公认性就越高。在中国,按控制标准的权威性和社会公认性由高到低可将控制标准分为以下层次:第一层次,在国家相关法律中涉及内部控制的条款,如在会计法中要求企业建立内部会计监督制度相关规定,在公司法中关于企业组织机构设置和主要职责的相关规定等;第二层次,国家权威经济监管部门制定的控制标准,如财政部制定的内部会计控制基本规范和加强货币资金会计控制的若干规定,证监会制
14、定的内部控制规范等;第三层次,相关行业协会制定的控制标准;第四层次,行业内部控制惯例或相关的内部控制理论;第五层次,企业股东大会、董事会或其它类似机构所制定或指定的标准;第六层次,注册会计师根据单位实情,结合内部控制一般理论和行业内部控制惯例推导出的控制标准。注册会计师在评价管理当局在内部控制有效性书面认定中所申明的控制标准是否适当时,应首先考虑内部控制审核委托的目的。如审核报告有特定的使用范围,可直接选择使用者均认可的控制标准如行业标准和企业内部标准。如审核报告在全社会使用,则应优先选择较高层次的控制标准。因为审核报告使用范围越大,越要注意控制标准的权威性和社会公认性。六、内部控制审核的职业
15、道德要求和责任划分由于注册会计师对内部控制执行的是审核业务,属于鉴证性质,其目的是对管理当局的书面认定进行评价并发表意见,为相关使用者的决策提供依据,因此,要求其在审核中始终坚持独立、客观、公正的原则,保证其评价结论的可靠性。注册会计师审核内部控制的责任不同于被审核单位管理当局的责任。被审核单位管理当局对按有关法律、法规和规章的要求建立健全内部控制,并保持其有效性负责;注册会计师的责任是按有关法规要求了解、测试和评价内部控制并出具审核报告。注册会计师审核责任不能代替或减轻管理当局建立、执行和保持有效内部控制的责任。七、内部控制审核与会计报表审计中对内部控制研评的关系内部控制专门审核与会计报表审
16、计中对内部控制研评(研究与评价),既有联系,又有区别。两者的联系有五点:一是理论范围相同,均是与会计报表相关的内部控制;二是实施的基本程序相同,均包括对相关内部控制的了解、测试和评价;三是所使用的方法相同,均可采用询问、观察、检查、重新执行等方法了解和测试相关内部控制;四是两者的执行者可是同一会计师事务所的同一注册会计师;五是两者的结论可相互利用,即内部控制审核能够利用会计报表审计中对内部控制研评的结论,在此基础上进行内部控制审核,后者也可利用前者结论,帮助评估控制风险。两者主要区别有四点:一是目的不同。内部控制审核的目的是对被审核单位与会计报表相关的内控有效性发表意见;会计报表审计中对内部控
17、制研评的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。二是实际范围不同。内部控制审核的实际范围是被审核单位与会计报表相关的所有内部控制的设计和执行情况;会计报表审计中对内部控制研评的范围分为了解范围和测试范围,其了解范围主要是所有与会计报表相关的内部控制,测试范围是了解、初评后确定拟依赖的相关内部控制。后者的实际范围可能比前者小得多。三是对内控有效性评价结论的准确程度要求不同。由于内部控制审核要对内部控制有效性直接发表评价意见,因而要求评价结论有较高程度的保证水平;由于会计报
18、表审计中对内部控制的研评只是规划实质性测试的重要依据,因而对其有效性的评价可不要求很准确。如对其有效性可作保守评价,仅给予极低的信赖度,这样只增加了实质性测试的工作量,会影响审计效率,一般不会影响审计效果,但要防止对其有效性作出过于乐观的评价,否则会增加审计风险。四是测试数量不同。由于对内部控制有效性评价结论准确程度要求不同,因而要求的测试范围和数量也不同。因内部控制审核需要对内部控制有效性作出积极的、较高程度的保证,需要收集充分、适当的证据支持审核结论,因此需要实施较多的测试。根据上述比较可得出以下实用的结论:(1)如由同一注册会计师同时进行会计报表审计和内控审核,须出具两个报告,则注册会计
19、师需要进行内部控制审核,而不是内部控制研评,在会计报表审计中可直接利用内部控制审核结论;(2)如在接受并完成会计报表审计业务后,又接受内部控制审核业务,则注册会计师能够利用在会计报表审计中对内部控制研评结论,但必须对内部控制补充和扩大实施了解及测试程序;(3)如在接受并完成内部控制审核业务后,又接受会计报表审计业务,注册会计师则可利用内部控制审核结论,无需再进行内部控制研评。八、注册会计师接受内部控制审核业务委托的条件由于内部控制审核目标是对被审核单位管理当局关于与会计报表相关的内部控制有效性的书面认定发表意见,因此,注册会计师必须在同时满足以下条件时,才能接受委托执行内部控制审核业务:(1)
20、被审核单位已经承诺对其内部控制有效性负责;(2)管理当局已按既定标准对内部控制有效性进行了评价;(3)有足够证据支持管理当局的评价;(4)管理当局已提供有关内部控制有效性的书面认定。条件(1)实际上是要求被审核单位管理当局明确确认她们在内部控制方面的责任。这是注册会计师执行内部控制审核业务的责任划分基础。条件(2)说明单位内部控制设计和执行有合适的标准,且管理当局根据该标准对内部控制有效性作了评价,外界人员也可根据该标准对其进行评价。这是注册会计师进行内部控制审核的标准基础。条件(3)说明内部控制设计和执行情况有相关事实支持,管理当局的评价结论是建立在足够证据基础之上的,暗示注册会计师在执行内
21、部控制审核中,经过采用一定方法,可再次查明内部控制设计和执行的相关事实,收集到必要证据支持其审核意见。这构成注册会计师执行内部控制审核业务的证据基础。条件(4)构成注册会计师执行内部控制审核业务的对象基础。这正如会计报表构成注册会计师执行会计报表审计业务的对象基础一样。如单位不提供会计报表,注册会计师就不可能对报表发表审计意见。如单位不提供相关内部控制有效性的书面认定,注册会计师也就不可能对内部控制有效性发表审核意见。可见这四个条件是注册会计师执行内部控制审核的必备条件,缺一不可。九、内部控制审核的阶段与会计报表审计相似,内部控制审核同样包括计划、实施和报告三阶段。在计划阶段,注册会计师首先应
22、向管理当局获取有关内部控制有效性的书面认定及内部控制手册、流程图、调查问卷和备忘录等文件,以此作为审核对象,并制定合理的审核计划。在实施阶段,包括三个步骤:了解内部控制设计;评价内部控制设计的有效性(含完整性和合理性);测试和评价内部控制执行的有效性。另外,还应与管理当局就与内部控制相关的问题进行沟通,主要包括沟通已发现的重大内部控制缺陷,取得管理当局关于内部控制的一些重大事项的书面证明。注册会计师应在实施必要审核程序后,以经过核实的证据为依据,形成审核意见,出具审核报告。参考美国的内部控制审核报告格式和中国审计文书习惯,我们认为,中国内部控制审核报告应当包括以下基本内容:标题;收件人;引言段;范围段;固有限制段;意见段;签章和会计师事务所地址;报告日期。与会计报表审计意见相似,内部控制审核意见同样可分为无保留意见、保留意见、否定意见、拒绝表示意见等类型。主要参考文献1 财政部注册会计师考试委员会办公室:审计,经济科学出版社, .2 阎达五、杨有红,内部控制框架的构建:会计研究, ,第3期。3 朱荣恩,建立和完善内部控制的思考:会计研究, ,第1期。4 财政部:内部会计控制基本规范和加强货币资金会计控制的若干规定(征求意见稿) 2月14日发布。