资源描述
新时期我国企业内部控制审计探析
内 容 摘 要
进入20世纪后出现的巴林、安然等重大财务舞弊案例,使内部控制及其审计更受关注。因此,对内部控制进行评价和审计就具有非常重要的意义。继2008 年我国五部委颁布的《 内部控制基本规范 》以来,又于2010年4月26日联合发布了《企业内部控制配套指引》,该配套指引包括 18 项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,基本建成企业内部控制规范体系。那么内部控制审计的对象和内容是什么?如何改进内部控制审计落后的审计方法?如何节约审计成本,提高内部控制的有效性,使内部控制审计不再流于形式?基于此,本文将在前人研究的基础上,对内部控制审计的内容进行明确,通过中国与国际审计领域发达的美国进行比较,对其审计目标进行探讨,并在总结的基础上探索减少审计成本的整合审计思想。这正是本文的立意所在。
关键词:内部控制 内部控制审计 财务报告 财务报表 整合审计
Research on Audit of Internal Control
Abstract
During the 20th century appeared after the Bahrain, Enron other major financial fraud cases Make the internal control and audit more concern. Therefore, of internal control evaluation and audit has the extremely vital significance. The 2008 China five ministries promulgated "internal control basic standard", have on April 26, 2010 issued jointly by the enterprise internal control supporting guidelines ", this form a complete set of 18 guide including the enterprise internal control application guide "and" enterprise internal control evaluation guide "and" the enterprise internal control audit guidelines ", basically completed enterprise internal control standard system. So the internal control audit the object and content? What? How to improve the internal control audit backward audit methods? How to save the audit costs, improve the effectiveness of internal control, internal control audit no longer form now? Based on this, this paper will be based on the former research, the internal control audit content clearly, through the China and international auditing of the United States is developed, the audit goal are discussed, and based on the review of the integration of audit costs explore reduce audit thought. This is what this article in conception.
Key word: Internal control Internal control auditing Financial reports Financial statements
目录
序 言 1
一、内部控制审计的产生和发展 1
(一)美国财务报告内部控制审计的产生和发展 1
1.内部控制的评价阶段 1
2.内部控制审核阶段 2
3.内部控制审计阶段 3
(二)我国财务报告内部控制审计的产生和发展 3
(三)开展内部控制审计的必要性和可行性 4
1.内部控制审计 4
2.开展内部控制审计的必要性 4
3. 开展内部控制审计的可行性 5
二、内部控制审计的对象、目标及方法 5
(一)内部控制审计的对象 5
(二)内部控制审计的目标 7
1.努力整合财务报告内部控制审计与财务报表审计 7
2.正确处理企业内部控制自我评价与注册会计师审计之间的关系 8
3.实行自上而下的审计方法 8
4.提高注册会计师的职业判断能力 9
5.建立健全内部控制审计质量控制制度 9
三、内部控制审计结果的评价与报告 10
(一)内部控制审计结果评价的中美比较 10
(二)内部控制审计的评价 10
(三)内部控制审计的结果报告 11
(四)内部控制审计结果评价的问题及改进 12
结 论 15
参 考 文 献 16
序 言
进入20世纪后出现的巴林、安然等重大财务舞弊案例,使内部控制及其审计更受关注。因此,对内部控制进行评价和审计就具有非常重要的意义。继2008 年我国五部委颁布的《 内部控制基本规范 》以来,又于2010年4月26日联合发布了《企业内部控制配套指引》,该配套指引包括 18 项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,基本建成企业内部控制规范体系。那么内部控制审计的对象和内容是什么?如何改进内部控制审计落后的审计方法?如何节约审计成本,提高内部控制的有效性,使内部控制审计不再流于形式?基于此,本文将在前人研究的基础上,对内部控制审计的内容进行明确,通过中国与国际审计领域发达的美国进行比较,对其审计目标进行探讨,并在总结的基础上探索减少审计成本的整合审计思想。这正是本文的立意所在。
一、内部控制审计的产生和发展
财务报告内部控制审计经历了内部控制评价、内部控制审核和内部控制审计三个阶段,内部控制直接影响着企业对外披露的各种财务和非财务信息的真实可靠性,间接影响着外部利益相关者依据内部信息做出的经济决策。
(一)美国财务报告内部控制审计的产生和发展
1.内部控制的评价阶段
早在20世纪,内部控制评价进入审计视野。1912年,罗伯特.蒙哥马利在《审计--理论与实践》一书中,就认识到内部控制对审计的重要性。美国会计师协会1929年10月发布第一号《审计程序公告》,第一次涉及了对内部控制审计评价的内容。1940年10月,SEC正式要求审计人员在审计报告中增加关于内部控制审查的内容。从这个时期,制度基础审计逐步取代了帐项基础审计,而内部控制评价也成为财务报表审计的组成部分。20世纪40年代后,美国会计师协会于1949年的《内部控制—协会体系的要素及其对于管理层和独立公共会计师的重要性》(Internal Control: Elements of Coordinated System and its Importance to Management and the Independent Public Accountant)书中第一次对内部控制制度做出了明确定义。这标志着内部控制评价在财务报表审计中的应用日臻成熟。
2.内部控制审核阶段
自制度基础审计产生以来,内部控制评价成为审计程序中的一项重要部分,并且逐渐得到人们重视,演变成为一项单独的业务,即审核并报告内部控制。
(1)1977年《反国外贿赂行为法案》应运而生20世纪60年代,美国经济逐渐摆脱了萧条,开始走向繁荣,周期性膨胀也出现了,这在当时引发了很多财务丑闻,而国际市场上日本在汽车、电子等领域的超前令美国不安,因此美国为了获得订单而贿赂有关官员。著名的“水门事件”调查中便揭露了美国一些著名公司为了完成交易而对国外政府官员进行非法支付和政治援助的现象。这时,美国拟定了《反国外贿赂行为法案》。
除了对反贿赂的规定,《反国外贿赂行为法案》还要求公司保存合理详细程度的账册、记录和凭证,可以正确、公允的反映公司的交易和资产状况。这直接影响到公司内部控制的设置和执行。
(2)科恩委员会的建议受到质疑1978年,科恩委员会提交报告建议:公司管理层应出具与财务报告相一致的报告,披露公司内部控制状况,注册会计师对报告进行评价并对外报告。1979年4月,SEC发布《管理层对内部会计控制的公告》(Statement of Management on Internal Accounting Control)征求意见稿,提议公司管理层在向股东提交的年报中应包括披露公司内部控制系统状况的报告。但是该提议一出现就遭到了上市公司、会计师、律师乃至其他相关人士的普遍质疑,原因是其实施成本高,报告信息相关性低,内部控制标准的不明确性等,SEC在1980年不得不宣布暂缓该提议的执行。
(3)Treadway委员会的建议20世纪80年代,美国发生一系列公司破产和审计失败的案例,使公众对公司内部控制及注册会计师审计的有效性产生怀疑。1987年Treadway委员会提交的《欺诈性财务报告全国委员会报告》中指出:有半数纳入研究范围的欺诈性财务报告案例是由于内部控制失效导致,投资者有权利了解公司财务和内部控制状况,因此公司管理层有责任对内部控制有效性进行报告。因此,SEC在1988年7月19日发布了34-25925号提案《报告管理层的责任》(No.34-25925Report of Managements Responsibilities),要求公司管理层对财务报表和内部控制进行报告。但是依然由于运行成本过高,SEC的提议仍然没能付诸实践。
(4)1991年《联邦储蓄保险公司改善法》的出台20世纪90年代初,商业银行接连破产,引发美国民众对联邦存款保险公司(Federal Deposit Insurance Corporation,FDIC)命运的担忧。为此《联邦储蓄保险公司改善法》(Federal Deposit Insurance Corporation Improvement Act of 1991,FDICIA)在1991年应运而生,它致力于帮助银行业规避或减轻由储蓄危机引起的清偿困难。FDICIA创立了强制要求银行管理层报告内部控制有效性的先例。它传达给社会的信息是:内部控制的情况确实可由管理层提供,并可以起到明确管理责任、改善内部控制的效果。因此社会上很多曾经反对内部控制信息报告的团体转而赞同上市公司管理层披露内部控制情况。财务报告内部控制情况的披露和审核又向前发展了一步。
3.内部控制审计阶段
受安然、世通等财务舞弊案件的影响,2002年7月,美国国会发布SOX法案(《萨班斯—奥克斯利法案》),上市公司内部控制报告由以前的自愿性披露演变成了强制性披露。SOX法案404条款规定公司首席执行官、首席财务官评估和报告公司的财务报告内部控制,并将其经过负责公司定期报告审计的注册会计师的审计。为了贯彻SOX法案的要求,PCAOB在2004年3月9日发布第2号审计准则《与财务报表相关的财务报告内部控制审计》。就注册会计师对公司管理层提供的关于公司内部控制有效性的评估报告进行审计做出了具体、详细的规定。通过以上法案和准则,财务报告内部控制审计作为一种新型的审计体系建立起来。监管机构、中介机构乃至社会公众都开始关注公司管理层对内部控制的评价;与此同时,各会计师事务所也纷纷行动起来,为财务报告内部控制评价进行操作指引。现代审计从这时起进入了财务报表审计和财务报告内部控制审计并重的时代。
(二)我国财务报告内部控制审计的产生和发展
我国内部控制审计的产生比较晚,对于内部控制审计的各方面概念也比较模糊。国内相当一部分企业尚未意识到内部控制的重要性,一般企业中的内部审计,从内容上讲主要是围绕信息的可靠性与完整性,政策、计划、程序、法律和规定的遵循,保护资本的安全,资源的节约和有效使用,经营目标的完成等方面来展开的。内部审计从机构的设置、工作重点、审计内容的深度和广度、审计方式和规范管理等方面,还远未发挥出应有的支持内部管理的作用,更无法适应现代企业建立健全内部控制制度的要求。
以下是我国有关内部控制审计发展具有实质性意义的重大事件:
(1) 2002年中注协发布《内部控制审核指导意见》界定了内部控制的内涵,从业务约定书、审核计划、审计程序和审核报告对注册会计师提出指导。
(2) 证监会《首次公开发行股票并上市管理办法》(2006年)“财务与会计”一节规定,发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告,是发行条件之一。
(3) 《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》(2006) 规定,发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的,应予披露并说明改进措施。
(4) 《企业内部控制基本规范》(2008)规定,执行企业内部控制规范体系的企业,应当对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所依照相关审计标准对其财务报告内部控制的有效性进行审计,出具审计报告。
(5) 2010年4月26日,财政部发布《企业内部控制审计指引》等配套指引,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
(三)开展内部控制审计的必要性和可行性
1.内部控制审计
内部控制审计是对被审计单位内部控制的健全性、有效性及科学合理性进行调查、测试以及评价,以促进被审计单位加强内部控制系统建设,增强风险防范意识,提高经营管理水平和工作效率的审计监督活动。
开展内部控制审计,有助于及时、准确地发现企业内部控制各环节上的漏洞,找到导致这些漏洞的主观和客观原因,提出健全和完善内部控制系统、改善企业管理环境和水平的具体建议,帮助企业挖掘内部潜力,提高经济效益。
2.开展内部控制审计的必要性
我国企业内部控制审计虽然起步较晚,但是随着我国加入WTO融入世界经济的大潮之中,对内部控制的审计就日显重要。内部控制是社会经济发展到一定阶段的产物,是现代企业管理的重要手段。企业领导人要实现经营管理目标,不仅要对以往内部控制情况进行掌握,更重要的是要深入了解现在各种资料,包括经济数据、制度制定和执行等,这就有赖于健全和严格执行内部控制制度。有效的内部控制,一方面可以保证数据的真实性和正确性;另一方面,能促使单位上下配合一致,沟通协调,是做出正确决策的重要条件。
第一, 内部控制审计有利于促使企业建立并完善内部控制系统。健全完善内部控制制度,通过对企业内部控制进行的审计,对内部控制提出意见和建议,促使企业在以后的工作中对内部控制制度进行完善和严密;促使内部控制制度的落实工作,在内部控制审计的过程中可以监督企业的内部控制制度是否仅是一纸空文,有无得到切实的执行;将控制提至事前,提高企业经济效益。
第二, 内部控制审计有利于提高企业效率,促进经济收益。对企业内部控制审计,可以加强对企业的资金分配、管理、运转使用行为的监督力度,促使企业科学理财,好钢用在刀刃上,减少企业资金流失现象的发生。对涉及企业生产、投资、销售等各方面进行全过程、全方位的控制,对完善现代企业制度,提高工作效率、促进部门合作、保障经营目标的现实等,具有重要意义。
第三, 内部控制审计有利于促进廉政建设。没有任何制约的权力,会像一匹脱缰的野马不可控制,如果缺乏行之有效的内部控制监督机制,就有可能带来权力的滥用现象,成为滋生腐败的温床。企业建立健全内部控制制度,对于防止企业人员相互勾结、内外串通具有重要作用,加强对内部控制的审计,不仅能发现企业重点环节、薄弱环节的管理上存在的不足,还能及早发现贪污舞弊串通行为,对企业杜绝腐败、厉行节约、杜绝损失浪费有重要意义。
第四,内部控制本身具有一定局限性:(1)内部控制一般对正常且反复出现的事项具有控制作用,而对意外事项作用不大;(2)内部控制对于工作人员由于个人原因,例如:身体状况欠佳、粗心大意、误解上级发出的指令所造成的错误无能为力;(3)单位进行内部控制,必然要考虑成本问题,遵循成本效益原则;(4)如果单位内部出现了工作人员相互勾结合伙舞弊以及内外部人员串通的现象,内部控制不能发挥作用。总之,我国内部控制审计虽说起步晚,但是随着经济的迅猛发展,也展现出一系列的重大作用,管理层需要了解内部控制存在多大的漏洞以及在什么方面有控制缺陷,了解内部控制作用的发挥程度,以便采取相应的措施对内部控制加以完善,确保内部控制有效进行。由此看出,无论从内部控制在企业管理中的重要作用看,还是从内部控制本身的局限性看,还具有现实可行性。
3. 开展内部控制审计的可行性
第一,企业开展内部控制审计具有法律和技术上的可行性,表明我国内部控制审计的发展开始走向规范。2006年美国在ASNO2修订稿中修订了内部控制审计框架,包括了审计目标和审计方法,这份修订稿在审计实践中很有实用性,它详细描述了应当如何进行审计工作,可操作性很强。我国内部控制审计从无到有,虽然出现比较晚但是在国外内部控制审计理论的影响下,发展也是非常迅猛。虽然我国在内部控制审计方面的法律技术不算完善和统一,但是也制定了一些列的法律表现了我国对内部控制审计的重视程度。
第二,企业开展内部控制审计符合成本效益原则内部控制审计符合成本效益原则,节约企业审计成本。内部控制审计与财务报表审计相结合进行,可以相互印证以便更好地发现重大问题,二者结合可以降低审计成本,为被审计单位节约审计费用;主张从事前和事中控制为主的现代审计,以风险为导向帮助企业规避可能遇到的风险,并评价企业现行的控制措施是否可以行之有效地减少或避免风险可能带来的影响,使企业少走弯路,无形中节约被审计单位大量的费用;内部控制审计可以为投资者进行决策提供更为有利的参考依据,便于投资者更为全面地了解企业各方面状况以及投资发展潜力,这也为企业发展带来了便利,促进企业效益的提高。
二、内部控制审计的对象、目标及方法
(一)内部控制审计的对象
控制环境与活动、风险评估、信息监督等内部控制的要素就是内部控制审计的主要对象。测试并评价内部控制的各个构成要素就是内部控制审计的主要内容:检查并对内部控制健全性做出评价;测试内部控制是否有效;对内部控制进行综合性评价判断其是否具有科学合理性;测试内部控制的实质性。
内部控制审计的对象,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的外部性,为财务报表使用者提供尽可能多的附加信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,由于内部控制是一个内容广泛的概念,至今没有一个明确的边界,因此,以整个内部控制作为内部控制审计的范围,既不明确,不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题。因此,国内外已颁布的内部控制审计相关规范普遍规定,内部控制审计范围应当限于与财务报告有关的内部控制。根据SEC的解释,与财务报告有关的内部控制是指“旨在合理保证财务报告的可靠性和财务编报符合公认会计原则的控制程序,该程序由公司首席执行官和首席财务官或类似职务的人员设计和监督,并受到公司董事会的影响,具体的政策和程序包括: (1)维持充分具体的会计记录以准确和公允地反映资产交易和处置; (2)合理保证所有交易得以完整记录,以保证财务报表的编报符合公认会计原则,以及公司一切收支活动均在管理层和董事会的授权下进行; (3)合理保证能够防止或及时发现未经授权的资产购买、使用和处置。”为了保证内部控制审计质量,提高审计效率,在我国拟制定的相关审计准则中,对与财务报告相关的内部控制应当有一个至少包括哪些内容的明确规定,以便注册会计师能够据此进行合理判断,保证审计范围的充分性。因此,我国新出台的《企业内部控制审计指引》中规定:注册会计师应当对财务报告内部控制发表审计意见,并对审计过程中注意到的非财务报告内部控制的重大缺陷,在审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
(二)内部控制审计的目标
内部控制审计目标决定着审计的范围、审计程序的选择与运用,审计意见的表达,审计质量的衡量和审计责任的界定。为了确保审计质量,防范审计风险,避免注册会计师承担过高的审计责任,审计准则应当明确内部控制审计的目标。但遗憾的是,目前国外相关审计准则尚未对内部控制审计的目标做出明确规定。笔者认为,内部控制审计应当对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。之所以用真实性替代公允性,是因为不可能存在公允的内部控制体系。不同企业、同一企业的不同时期,由于企业规模、业务性质与特征、治理结构、机构设置与权责分配、控制人员的理念与素质等不同,合理的内部控制也各不相同。即使政府或其他权威机构颁布有系统、完整的内部控制指南,也只能是对企业如何建设内部控制的具体指导,而不可能是公允的内部控制本身。之所以要求注册会计师内部控制审计报告提供合理保证,是因为内部控制审计报告要随财务报表审计报告一起对外公布,两者在作用上必须保持一致。为了让注册会计师能够提供合理保证,审计准则应当明确审计范围和应当实施的审计程序。因此,我国2010年新出台的《企业内部控制审计指引》也对这一方面做出了选择:“内部控制审计是对特定基准日内部控制设计与运行的有效性进行审计”。
(三)内部控制审计的方法
1.努力整合财务报告内部控制审计与财务报表审计
《企业内部控制审计指引》第五条明确指出:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。但在实务中,由于内部控制审计和财务报表审计的关联性,注册会计师更适合于进行整合审计。整合审计又可分为以下三种情况:第一,当注册会计师接受委托对企业财务报表进行审计的同时,又受托对该企业内部控制进行审计。此时注册会计师需要对内部控制进行审计并提出审计报告,在其进行财务报表审计时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。第二,当注册会计师已对内部控制进行了审计并已提供审计报告,之后又接受委托对该企业财务报表进行审计,这样在进行财务报表审计时不需进行内部控制评价,可以直接利用内部控制审计报告中的结论。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计的报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。第三,当注册会计师先接受委托对企业财务报表进行审计,并提供了财务报表审计报告,此后才接受委托对该企业的内部控制进行审计。在这种情况下,注册会计师在财务报表审计时一般已进行了内部控制评价,并且可能提供了管理建议书,注册会计师在内部控制审计中可以利用财务报表审计中的内部控制评价结论,但这一结论的准确度一般不高,注册会计师不能直接利用,而应在其基础上,补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价,并出具审计报告。综上所述,将财务报告内部控制审计与财务报表审计进行整合,由执行财务报表审计的会计师事务所并由同一项目小组执行内部控制审计,可以避免重复审计,有助于提高审计效率,降低审计成本,保证审计质量。
2.正确处理好企业内部控制自我评价与注册会计师审计之间的关系
内部控制评价和注册会计师审计是两种不同的责任,但两者的工作可以互相利用。一方面,在执行内部控制审计时,注册会计师通过评估企业内部控制自我评价工作,可以判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作。如果决定利用其工作,则可以相应减少本应由注册会计师执行的工作。当然,在决定利用他人工作前,注册会计师需要对相关人员的专业胜任能力和客观性进行充分评价。但无论是否利用企业的自我评价工作,会计师事务所均应对发表的审计意见承担全部责任。另一方面,注册会计师在执行内部控制审计时,从独立的第三方角度可能会发现企业自我评价没有发现的控制缺陷,提请企业予以整顿。此时,企业需要正确认识注册会计师的内部控制审计工作,正确对待注册会计师的工作结果,认真审视企业的内部控制,通过整改落实,使内部控制更加完善合理。
3.实行自上而下的审计方法
在财务报告审计中,注册会计师应当运用自上而下的方法实施审计工作,它是注册会计师识别风险、选择拟测试控制的基本思路。这种方法要求财务报告审计始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始。然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在导致财务报表及相关的重大错报合理可能存在的账户、列报及认定上。自上而下的审计方法大致经历以下三个步骤:
一是了解并选择拟测试的内部控制。通过识别企业层次的控制、识别重大账户,了解错报的可能来源,最后选择拟测试的控制。二是控制测试。控制测试包括测试设计有效性和测试运行有效性,测试程序包括询问适当人员、观察公司操作、检查相关文件及重新执行内部控制的综合运用。三是评价控制缺陷。审计人员必须评估注意到的各项缺陷的严重性,以确定这些缺陷单独或合并起来是否构成管理层评估日的重大缺陷。自上而下法能够将注册会计师的审计资源集中于风险最高的领域,通过对重要账户、重要认定、相关的控制等层层推进,有助于发现被审计单位的重大缺陷。
4.提高注册会计师的职业判断能力
由于财务报告内部控制是非财务数据,更多表现为业务活动,对其进行鉴证并希望实现合理保证的目标是很困难的。因此,财务报告内部控制审计对注册会计师的职业判断能力和专业胜任能力都有更高的要求。如,在财务报告内部控制审计完成控制测试后,注册会计师需要评价内部控制存在的缺陷,并根据内部控制缺陷程度确定审计范围和审计意见类型。其中缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。注册会计师应积极参加职业培训和后续教育,有计划地参与那些与个人和事务所目标相一致的培训项目。其次要注重经验的积累和交流,注册会计师在执行审计业务时勤于动脑,多做笔录,多做比较,在实践中学会分析、判断、综合、总结,积累审计实践工作经验,不断提高分析判断能力。同时还应该有意识地多与其他审计人员交流执业经验,或向专家请教,不断丰富自己的经验,提高判断技巧。
5.建立健全内部控制审计质量控制制度
针对内部控制审计这一新业务,会计师事务所首先应积极开展相关专业研究,加紧建立和完善内部控制审计的业务流程和质量控制体系,制定和运用审计质量控制政策与程序规范服务标准,建立与企业、行业专家的专业合作机制,以保障内部控制审计业务的顺利开展。其次要制定相关业务人才培养和储备方案,加强注册会计师核心能力的培养,加大培训投入,逐步改善注册会计师知识、能力结构不合理的现状,以适应内控审计这一新业务的需要。会计师事务所要建立健全一套严密、科学的内部质量控制制度,并把这套制度推行到每一个人、每一部门和每一项业务,迫使审计人员按照专业标准的要求执行,保证整个会计师事务所的审计质量。(六)实施同业互查制度同业互查制度是对注册会计师的审计业务和审计程序进行定期检查的一种相互监督机制。通过互查,审计师可以对同行的审计质量和遵循独立审计准则的情况相互表示意见,并提出改进措施,必要时还可向同业互查组织提出有关处罚的建议。这样,便可对注册会计师的审计质量提供适当保证,防范审计风险的发生。
三、内部控制审计结果的评价与报告
(一)内部控制审计结果评价的中美比较
我国内部控制指引第二十条对内部控制缺陷进行了分类,按成因分为设计缺陷和运行缺陷;按影响程度分为重大缺陷、重要缺陷、一般缺陷。美国PCAOBASNO.2根据控制缺陷的严重程度将其分为控制缺陷、重大控制缺陷(Significant Deficiency)和重要控制弱点(Material Weakness)三类〔3〕,在内部控制没有重要控制弱点时发表可无保留意见审计报告。对比情况见表1。需要说明的是,缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。
比较内容
美国
中国
评价
控制缺陷:是指某项控制的设计或运行未能及时防止或发现错报
一般缺陷:是指除重大缺陷、重要缺陷之外的其他缺陷
控制
重大控制缺陷:是指对公司遵循公认会计原则编制的财务资料的产生、授权、记录、处理、报告的可靠性产生不利影响的控制缺陷,或控制缺陷组合,致使存在于公司年度或中期财务报表的错报有可能未合理的防止或发现。
重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
缺陷
重要控制弱点:是指重大控制缺陷或重大控制缺陷的组合,造成有可能未防止或发现年度或中期财务报表的重大错报
重大缺陷:是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
(二)内部控制审计的评价
任何评价都需要一个评价的标准,为评价被审计单位内部控制的完善性和有效性,内部控制审计评价也需要评价的标准。这个标准应该是客观的,同时也应该是可行的可参照的。如果没有统一的评价标准,审计人员只是用经验来判断,但是由于每个审计人员的经验不尽相同,很容易出现误差,这会造成对内部控制审计评价缺乏客观性和可比性。这就需要建立一个客观可比可行的评价标准。国家和主管部门应制定方针、方案、政策、制度等规范性文件,为内部控制审计评价框定标准。审计人员在审计活动展开之前,应当在汇集以上方针政策法规的同时,结合被审计单位的规模和特点,构建审计工作的整体评价标准。检查被审计单位现状,主要是检查被审计单位内部控制的完善性和有效性。包括检查被审计单位的基础控制和应用控制。基础控制又包括组织机构的设置、人员分工、岗位职责规范等。检查时可以向被审单位管理层和具体负责人询问单位管理系统控制情况;可以审阅被审计单位关于内部控制的制度和规范;可以翻阅往年审计人员对单位内部控制的评价和结论。最后,应有专业的审计人员对检查的被审单位现状进行详细评价。
如果审计人员认为被审计单位内部控制制度和措施是健全的或基本健全的,并能达到内部控制的目标,审计人员可以对该单位内部控制给予信赖的评价,反之就进入实质性测试的阶段。审计人员选择适当数量的样本对被审计单位内部控制有效性进行测试。可以运用证据检查法、穿行测试法、实地观察法。这些方法都需要注意样本数量的选取。如果样本数量太少,抽样结果不集中,无法保证抽样结果的代表性;如果抽样数量太大,增加测试的工作量,浪费人力物力财力,降低测试内部控制的工作量。可见,审计人员应该谨慎周全地选择测试的样本数量,使既能保证抽样结果的代表性也不会无端地加大测试工作量。
以上所述对被审计单位内部控制的完善性健全性的评价和有效性测试,可以揭示被审计单位的内部控制缺陷,这些缺陷对内部控制的影响到底有多大,还需要审计人员进一步作出综合评价。首先,整理审计资料。审计人员应当将内部控制审计涉及的大量零散资料分类整理,这是综合评价的基础阶段。需要整理的资料大致包括:国家和主管部门发布的规章、制度、标准手册、被审计单位关于内部控制方面的规章和文件资料、对被审计单位内部控制现状所做的描述和评价、与单位管理层及相关负责人座谈和询问的笔录、对内部控制的缺陷,被审计单位做出的弥补和改正行动等。其次,根据审计资料,全面分析内部控制缺陷对整个内部控制的影响。第一是分析内部控制缺陷对相应控制点有何影响。第二是评价各控制点在总的内控系统中的影响。其中,对内部控制缺陷对控制点影响的分析,例如:“出纳同时兼任会计”这一缺陷对“审核”这一控制点的影响,审计人员应分析出这一控制缺陷对审核这一功能会产生多大影响。由此审计人员就可以对每个控制点是否能发挥作用做出准确评价。
(三)内部控制审计的结果报告
PCAOB AS2 要求注册会计师在执行一个公司的财务报告内部控制审计时必须遵照一般准则、外勤准则和报告准则。具体包括:(l)计划审计工作;(2)评价管理当局的评估程序;(3)测试和评价财务报告内部控制设计的有效性;(4)测试和评价财务报告内部控制运行的有效性;(5)对财务报告内部控制的有效性出具审计意见。注册会计师需根据执行的审计程序和所获取的证据对内部控制是否缺失以及缺失的程度做出判断,以便判断审计意见的类型。PCAOB AS2将内部控制缺陷划分成三类(PCAOB AS2第8-10节):一是控制缺陷;二是重要的缺陷(PCAOB AS2第8节);三是重大的缺陷。控制缺陷是指内部控制的设计和运行,无法让管理当局和员工在正常履行其功能的过程中,及时预防和侦查财务报表中的错报;重要的缺陷是指一个控制缺陷或若干个控制缺陷的集合,对公司依一般公认会计原则可靠地确认、授权、记录、处理和报告外部财务数据的能力,造成不利影响,使其年度或中期财务报告中的重要的错报无法被预防和侦查的可能性大于极小可能;重大的缺陷是指一个重要的控制缺陷或若干个重要的控制缺陷的集合,使年度或中期财务报告的重大误述无法被预防和侦查的可能性大于极小可能。当注册会计师没有识别内部控制中存在重大缺陷,且审计范围未受到限制时,发表无保留意见的内部控制审计报告。当内部控制中存在重大缺陷时,注册会计师应发表否定意见。当审计范围受到限制时,根据受到限制的程度发表保留或无法表示意见的内部控制审计报告。
(四)内部控制审计结果评价的问题及改进
我国对内部控制的建设虽然已有十几年的时间,但是仍然存在着许多问题,这主要体现在:(l)内部控制规范多版本,导致对内部控制制度的认识缺乏一致性;(2)内部控制目标片面、控制责任主体单一、忽视企业整体风险管理、轻视软性控制;(3)企业对内部控制的自我监督和评价虚化、流于形式,使内部控制建设停留在规范、制度和手册上,而没有真正有效运行;(4)外部审计师对被审计单位的内部控制评价还处在满足制度基础审计模式下财务报表审计的需求上,尚未建立强制性的独立的内部控制审计制度;(5)内部控制信息披露制度不完善。
从美国内部控制的新发展中,我们可以受到以下一些启示。
l、转变内部控制规范的导向:由会计、审计导向公司治理、管理导向变化我国内部控制规范仍停留在会计、审计需求导向上,对内部控制的定义仍停留在“方法论”阶段即内部控制是一系列控制方法、措施和程序,在实务操作上则被更多地限定在提高会计信息的质量和财产的安全、完整及法律法规和规章制度的贯彻执行。这套规范没有体现“控制环境”(内部环境)内容,也就无法实现内部控制首先要以体现公司治理的本质并实现其目标为起点,也没有强调风险管理的价值,内部控制很难作为公司治理的方法,应将我国的内部控制规范在理论与方法上从会计、审计范畴中解放出来,建设公司治理和管理导向的内部控制,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
