时间:2023-07-11 16:19:59
导言:作为写作爱好者,不可错过为您精心挑选的10篇财务报表审计概念,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
财务报表审计是指注册会计师接受委托,在实施审阅程序的基础之上,通过执行审计工作,对企业对外提供的财务报告是否按照适用的财务报告编制基础编制,财务报表是否在所有重大方面按照适用的会计准则和相关会计制度的规定编制,真实公允地反映被审计单位的财务状况、经营成果和现金流量发表审计意见的鉴证业务。
财务报表审计最早起源于19世纪以前,目前在世界各国范围内已发展成熟,美国、日本等国家很早就颁布实施了财务报表审计准则,我国也早在 1996 年就了国家审计基本准则,相关学者对财务报表审计的研究成果不计其数。
2、内部控制审计相关概论
内部控制审计是指注册会计师接受审计委托,对被审计单位特定基准日的财务报告内部控制设计和运行的有效性进行审计,并在此基础上发表审计意见。
在研究美国 COSO 的《内部控制整体框架》和我国《企业内部控制基本规范》中有关内部控制概论的基础上,将内部控制进一步细分为:广义内部控制和狭义内部控制,广义内部控制采用 COSO《内部控制整体框架》和我国《企业内部控制基本规范》中内部控制的概念;狭义内部控制概念借鉴美国 PCAOB 的 AS2 中的财务报告内部控制概念,是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制审计目标的过程,其目标主要是为了合理保证企业财务报告及其相关信息的真实公允完整。
3、整合审计基本理论
整合审计是指会计师事务所接受审计单位委托,依照相关法律法规,通过利用两次审计工作的相似性来制定实施双向审计的流程,在整合审计的实施过程中,对被审计单位的财务报表和内部控制制度由同一家会计师事务所的同一项目组来执行,实施审计的整合计划,合理运用他人的审计成果,以求实现两种审计共同的审计目标。
财务报表审计和内部控制审计的整合审计研究已经成为国际执业界最新的发展趋势。在近十年的发展过程当中,理论界和实务界一直在孜孜不倦的对整合审计的效率和方案进行探索和研究。
二、财务报表审计和内部控制审计的区别、联系
企业的内部控制审计和财务报表审计的最终目标相同,整合趋势明显,但是财务报表审计和内部控制审计是两种不同的审计模式,二者在实施审计程序的过程中也有着明显的区别,笔者通过下表分析二者的区别和联系:
1、审计业务范围
财务报表审计和内部控制审计都需要了解企业内部控制的设计和运行的有效性,必要时进行内部控制测试,但是二者在审计范围方面有着本质区别,财务报表审计的审计对象主要是对某一时点的或某一会计期间的财务报表、内部控制测试的必要性、并在必要时测试内部控制有效性,在非财务报告内部控制方面,除了了解与财务报表审计有关的非财务报告内部控制外,对于其他内部控制不需要进行了解和评价,内部控制审计主要是对特定基准日的内部控制制度进行审计,对于内部控制必须要进行测试,对注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
2、审计目标
财务报表审计和内部控制审计的具体目标不一致,但是二者的最终目标是一致的,共同目标都是向财务报表外部的信息使用者提供决策有用的高质量的财务信息,并对提供的财务信息的真实公允性提供合理保证;但是,财务报表审计的具体目标主要是对财务报表是否在所有重大方面都进行了真实公允反映,按照适用的财务报告编制基础编制发表审计意见,并在此基础上对财务报表是否不存在重大错报提供合理保证。而内部控制审计的具体目标:对内部控制设计和运行的有效性发表审计意见,并对企业财务报告内部控制是否不存在重大错报提供合理保证。
3、审计程序和承接业务范围
财务报表审计和内部控制审计审计程序都必须制定具体审计策略和总体审计方案,注册会计师在业务承接前都需要就审计工作事项与被审计单位进行商议,达成一致的审计意见。但是,财务报表审计的具体审计计划包括风险评估、实质性分析程序和控制测试等,在审计收费:“审计收费”不是财务报表审计必然要求,对财务报表进行审计时,注册会计师应该充分进行职业判断,只有在注册会计师认为需要时,才需要和被审计单位进行“审计收费”方面的商议,将审计收费事项登记在业务约定书上;财务报表审计的审计报告是在适用的财务报告编制基础上编制的,并且要求真实公允反映,并设计、执行必要的内部控制测试;在审计工作计划方面:内部控制审计的具体审计计划主要包括:内部控制设计有效性和运行有效性测试的具体程序,了解企业的内部控制的有效性,内部控制审计要求在和被审计单位的审计业务约定书约定“审计收费”事项;内部控制审计的审计报告编制的基础:按照适用的内部控制制度和准则,建立健全内部控制制度,对内部控制运行的有效性进行评价并在此基础之上编制内部控制评价报告。
三、财务报表审计和内部控制审计的整合趋势分析
1、整合审计的理论基础
(1)受托经济责任理论。企业经营者的受托经济责任,是指按照相关公司章程的要求或原则,受托者向外部信息使用者报告其受托管理企业财务状况和经营状况的义务,财务报表审计业务由此产生。在受托经济责任理论的下,内部控制审计与财务报表审计具有共同的委托方即投资者、债权人等利益相关者和相同的受托方即企业管理层,两种审计业务中有共同的受托经济责任关系,这是整合审计的理论前提。
(2)协同效应理论。将两种审计工作双向整合进行,产生的协同效体现为:内部控制审计与财务报表审计都强调对企业内部控制执行情况的关注,内部控制是指由公司的管理层和其他人员设计和执行的程序和政策。
(3)内部控制理论。内部控制审计即注册会计师对被审计单位内部控制的运行有效性进行评价的鉴证业务,审计对象是与企业财务报表有关的内部控制情况。无论是内部控制审计还是财务报表审计都是对企业内部控制执行情况的关注,为企业的整合审计研究提供了基本理论基础。
2、整合审计实施的流程
1972年美国会计学会(AAA)颁布的《基本审计概念公告》中,认为审计是“客观收集和评价与经济活动及事项有关的认定的证据,以确定其认定与既定标准的符合程度,并将结果传递给利害关系人的系统过程。”该定义涉及审计学的一系列关键概念,包括经济活动和经济现象的认定、收集和评估证据、客观性、所制定的标准、传递结果、系统过程等,能够涵盖各种审计类型。国际审计准则《ISA200:财务报表审计的目标和一般原则》认为审计的目标是审计师能够对财务报表在所有重大方面是否按照确定的财务报告框架编制发表意见,同时认定审计是一种合理保证的鉴证业务,这与我国审计准则规定基本相同。显然,前者是指一般的审计,属于属概念,后者是指财务报表审计,属于种概念。本文所说的审计就是指由独立注册会计师进行的财务报表审计,简称财务报表审计,根据《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》(2010年)财务报表审计要“对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,”现代财务报表审计是一种风险导向审计。财务报表审计的保证程度与可接受的审计风险互为补数:对财务报表审计的保证程度越高,可接受的审计风险越低。大多数会计师事务所的审计手册一般都把可承担的审计风险定为5%,保证程度定为95%。合理保证意味着审计风险始终存在。
(二)审计风险
通常认为,风险有结果不确定性和损失可能性两种观点。March&Shaplra认为风险是事物可能结果的不确定性,J.S.Rosenb(1972)将风险定义为损失的不确定性。审计风险当然也有结果的不确定性和损失的可能性两种概念,分别叫做“意见不当论”和“损失可能论”。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”中国注册会计师协会在2010年11月1日修订的《中国注册会计师审计准则第1101号――注册会计师的总体目标和审计工作的基本要求》第十三条认为:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”他们的共同点都指向发表不适当意见的可能性或者风险洇为注册会计师发表不恰当的审计意见尤其是对有重大错漏报的财务报表发表不恰当的意见会误导“报表使用者依据财务报表作出的经济决策”以致造成不应有的损失,所以审计风险实质上是指给财务报表使用者造成损失的可能性,同时也是注册会计师发表不恰当审计意见的可能性――前者针对报表使用者,后者针对注册会计师,前果后因,二者是一致的。审计风险是客观存在,也一直存在着,财务报表审计从来都是以风险为导向的审计。但是风险的承受者有不同的说法,有“供给导向”和“需求导向”之说,前者强调注册会计师的风险承担,后者强调报表使用者的风险承担。由于注册会计师审计准则和注册会计师“审计的目的是提高财务报表预期使用者对财务报表的信赖程度”,是为财务报表使用者提供合理保证服务的,本文认为国际审计准则和中国注册会计师审计准则所讲的审计风险是报表使用者承受损失的可能性,具体是指注册会计师发表不恰当审计意见的可能性。
(三)现代风险导向审计
现代风险导向审计是从传统风险导向审计演变而来。安然事件后,为了进一步应对审计风险,提高审计质量,2003年末,国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)陆续了一些新准则并被我国采用于《中国注册会计师执业准则(2006)》。新实行的国际审计准则被称为现代风险导向审计准则,以区别于在此之前的风险审计准则(传统风险导向审计准则)。与以前准则相比,新国际审计风险准则主要有以下八个方面的重大发展和实质性变化。
(1)引入“重大错报风险”概念,重建审计风险模型,将审计风险模型重构为:审计风险一重大错报风险×检查风险,抓住了关键;
(2)改进审计业务流程,增强实施审计程序的效果,新国际审计风险准则依据审计风险二要素模型,把审计业务流程和程序分为三大块:风险评估,(必要时)控制测试,实质性程序(目的是为了检查认定层次的重大错报风险);
(3)区分评估的重大错报风险为财务报表整体层次和认定层次,并分别采取不同应对措施,以将审计风险降至可接受的低水平;
(4)重新划分认定层次的构成类别,强调获取列报和披露认定的审计证据的重要性;
(5)强调保持职业怀疑态度,切实提高发现重大错报的概率;
(6)强调对特别风险的识别及评估,并警惕仅实施实质性程序无法获取充分、适当审计证据的风险;
(7)强调项目组内讨论的积极作用,共享审计经验和资源;
(8)强调与治理层沟通和与管理层沟通并重,优化审计环境。
2010年11月修订后的审计准则充分借鉴了国际审计与鉴证理事会明晰项目的成果,进一步明晰了现代风险导向审计理念,吸收传统风险模型的合理之处,完善了现代审计风险模型,细化了认定层次重大错报风险的构成(报表层和认定层2个层次,固有风险和控制风险2个因素),修订了风险评估和应对准则,并对关联方、会计估计、公允价值、对被审计单位使用服务机构的考虑、函证、分析程序等审计准则也作出修改,将风险导向审计的理念充分体现到整套审计准则体系中的每项审计准则中。新准则还对识别、评价和防范舞弊导致的重大错报风险提出了明确的要求。
二、现代风险导向审计内在逻辑
以上概念构成了一个现代风险导向审计的有关概念框架,风险导向的报表审计应该以报表使用者可接受的审计风险为导向,风险导向报表审计应该以报表使用者的需求为逻辑起点构造概念框架。本文主要通过以上概念抽象出现代风险导向审计的内在逻辑,以期为审计实践和理论研究服务。
(1)现代风险导向审计首先是财务报表审计,其产生和发展伴随着所有权与经营权的分离,现代风险导向审计也是站在所有权与经营权分离的大环境基础上的,所有权与经营权的分离也是审计委托人和被审计人的分离。这是注册会计师报表审计的总前提,当然也是现代风险导向审计的前提。
(2)在两权分离状况下,所有者为了自己的经济决策付费委托注册会计师对管理者提供的财务报告进行审计,注册会计师当然首先要满足委托人的要求,只有在此基础上才能进行风险导向审计。现代风险导向审计的基本原理就是以评估重大错报风险为导向,进而通过控制检查风险来控制审计风险,
目的都是为了满足所有者或者委托人的要求,这样审计委托人的要求实际上就成为了现代风险导向审计的逻辑起点。
(3)那么,审计委托人的要求是什么呢?审计委托人委托审计的目的是为了经济决策,经济决策当然以高质量的信息为前提。财务报表具有决策相关性,审计委托人往往也是报表使用者,所以,审计委托人作出经济决策的依据是财务报表。因此,委托人的要求就是要看到高质量的财务报表以进行投资、信贷等经济决策,高质量的财务报表必须符合报表的“编制基础”。对于大多数通用目的财务报表而言(以下以通用目的财务报表为例),高质量的财务报表必须“在所有重大方面按照财务报告编制基础编制并实现公允反映”,“通用目的编制基础,主要是指会计准则和会计制度”。也就是说高质量的通用目的财务报表必须“合法(符合相关会计准则和会计制度)”、“公允”。换句话说,即使有不合法、不公允的事项,委托人也要求他们看到的这些不合法、不公允的事项整体上不影响委托人利用该财务报表作出的经济决策――所以,不合法、不公允的报表信息叫做错(漏)报,影响报表使用者依据报表作出经济决策的错报就叫做重大错报。错报和重大错报都是由报表使用者或者委托人(或者站在委托人和报表使用者立场上)定义的――这就要求注册会计师保证经营管理者的财务报表不存在影响委托人依据该报表作出的经济决策的不合法、不公允的事项即重大错报事项。由于审计本身的局限性、人的认识的局限性和被审计单位情况的限制,注册会计师无法做到绝对保证,又不能提供有限的保证(违背委托人的委托意图),这就产生了合理保证。有限保证的保证程度
(4)委托人的要求就是注册会计师审计的目标――在这里,重要性、错报、合理保证都是由审计业务委托人定义或者站在委托人立场上定义的。合理保证决定了可接受的审计风险(如果保证程度是95%,则可接受的审计风险程度为5%)――显然所谓“可接受的审计风险”实际上也是由委托人定义的,本质上是委托人“可接受”的审计风险或者说是委托人对财务报表、审计报告的信赖过度风险,不是注册会计师基于自己的损失或可能的不当意见可接受的审计风险,所以可接受的审计风险来自于风险导向审计循环的外部,是委托人既定的,该风险无需评估,需要评估的是重大错报风险。
(5)接受委托或者接受了委托人的要求后,注册会计师要做的工作一是评估重大错报风险,二是降低检查风险。重大错报是由委托人定义的,现代风险导向审计要求注册会计师按照重大错报的定义全方位地了解被审计单位及其环境并评估重大错报风险,注册会计师执业准则规定了风险评估的方法和内容,要求运用询问、观察、检查、分析程序等方法获取有助于评估重大错报风险的信息。在风险评估基础上,注册会计师通过总体应对措施和进一步审计程序来分别应对财务报表层次与交易、账户余额与列报和披露认定层次的重大错报风险。在针对评估的由于舞弊导致的财务报表层次重大错报风险确定总体应对措施时,注册会计师应当:“在分派和督导项目组成员时,考虑承担重要业务职责的项目组成员所具备的知识、技能和能力,并考虑由于舞弊导致的重大错报风险的评估结果;评价被审计单位对会计政策(特别是涉及主观计量和复杂交易的会计政策)的选择和运用,是否可能表明管理层通过操纵利润对财务信息作出虚假报告;在选择审计程序的性质、时间安排和范围时,增加审计程序的不可预见性”。进一步审计程序包括控制测试和实质性程序,是否实施控制测试取决于内部控制是否值得信赖和控制测试的重要性,无论是否实施控制测试都应该执行实质性程序。在实施控制测试时,注册会计师仍然要确定控制风险大小及风险可能存在的领域并随时调整对重大错报风险的评估结论以及修改审计计划和审计程序;重大错报风险的评估结论以及控制测试的结果决定了实质性程序的性质、时间安排和范围,科学准确的评估结论和测试结果可以减少实质性程序的性质、时间安排和范围,从而提高审计效率和审计效果。风险导向审计准则还要求把风险评估和修改贯穿于审计工作全过程。注册会计师最终通过实质性程序把重大错报查找出来并提请被审计单位调整,按照重大错报的定义来衡量未更正错报汇总数情况并发表恰当的审计意见,实现合理保证报表整体不存在由于错弊而产生的重大错报的审计目标。
风险导向审计并不是注册会计师根据自己的承受能力确定可接受的审计风险,并围绕此审计风险来评估重大错报风险,从而确定可接受的检查风险形成的封闭循环。也就是说,可接受的审计风险、重大错报及重大错报风险大小不是注册会计师自行决定的,而是由委托人决定的,不是注册会计师想用多少程序就用多少程序,这一切都是在接受业务委托时就已经决定了的。决定每一步程序都须把委托人的需求考虑进去并以此为前提和基础,这样就形成了一个较大的开放的审计循环,如图1所示。与其说这是风险导向审计不如说是委托人需求导向审计更合适,这应该是风险导向审计的精神实质。
尽管财务报表使用者的需求也是财务会计准则概念框架的逻辑起点,但是,财务会计的目的是为之提供其所需要的财务会计报表,而注册会计师是为之(合理)保证财务会计人员提供报表的合法(编制基础)性和公允性,二者在合法(编制基础)公允的报表后面就分道扬镳了,这也正说明财务会计与财务会计报表审计的区别与联系,并且不能因之否定现代风险导向审计以报表使用者的需要为逻辑起点的科学性,因为这种需要不仅仅是接受委托时的出发点,而且是执行审计业务时考虑各个方面问题的出发点和归宿。
三、现代风险导向审计的前提条件
现代风险导向审计综合吸收了数理统计、概率论、财务分析、系统论、战略管理、波特五力分析、平衡计分卡、coso报告等方法、工具或其思想,进一步在审计模型基础上把以上方法和工具统合起来,在风险评估时考虑到了环境、交流、沟通、职业怀疑等社会和行为因素,做到了理论上严谨、实践上有效,既科学又实用。但是作为一种抽象的理论模型其不可避免地也忽略了一些因素,预设了一些前提。笔者认为风险导向审计的成功实施必须至少具备以下一些前提:
(1)审计人≠被审计人,其内在含义是注册会计师应该超然独立于被审计单位,包括形式上的独立和实质上的独立;
(2)委托人≠被审计人,该前提避免了由于被审计人付费带来的不独立;
(3)委托人一报表使用者,对于通用目的财务报表,委托人与其他报表使用者的目标函数可能不一致,该前提避免了由于报表使用者之间目标函数不一致带来额外的法律风险;
【关键词】
内部整合;审计;有效性
1 内部控制概念的引入
美国发生的安然、世通等系列财务舞弊案件,导致世界最大会计师事务所安达信倒闭,也促使美国出台的内部控制制度得到发展。近30年来,西方学者在内部控制的有效性及内部控制信息披露方面取得了大量的理论和实证研究成果。
1992年9月,COSO委员会提出了《内部控制——整合框架》。1994年又进行了增补,简称《内部控制框架》,即COSO内部控制框架。COSO委员会对内部控制的定义是:“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。”
美国上市公司会计监督委员会(PCAOB)的“审计准则第5号”规定,注册会计师对企业财务报告进行审计必须关注财务报告内部控制,同时管理层应对企业内部控制做出评估。所谓财务报告内部控制,是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程,并由公司的董事会、管理层和其他人员批准生效,该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证,它包括如下政策和程序:(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录;(2)为按照公认会计原则编制财务报表记录交易,以及企业的收入和支出仅是按照管理和公司董事会的授权执行,提供合理的保证;(3)为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理,提供合理保证。
2008年6月28日,我国财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》,并自2009年7月1日起适用中华人民共和国境内设立的大中型企业(包括上市公司)执行,同时鼓励小企业和其他单位参照其内容建立与实施内部控制。在颁布了《企业内部控制基本规范》之后,财政部、证监会、审计署、银监会及保监会于2010年4月26日联合了《企业内部控制配套指引》,其中包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。
可见,我国已形成“应用+评价+审计”三者紧密结合的内部控制制度模式,这是融合国际先进经验、立足本国国情的成果。该内部控制制度模式对全面提高企业管理水平及增强风险防范意识具有重要的理论意义和现实价值,对内部控制有效性进行自我评价是管理层的责任;为了增强披露的内部控制信息的可信度,对内部控制有效性进行审计是注册会计师的责任。虽然内部控制审计与财务报表审计是两种不同类型的鉴证业务,各自具有特殊性,但是从审计流程来看,二者存在许多共性。美国在继SOX法案提出后,率先开展了内部控制审计业务,在实践探索中提出了整合审计这一创造性概念,通过资源共享、审计流程再造,执行整合审计流程时满足两种审计目的。我国《企业内部控制审计指引》中提出注册会计师可以分别执行两种审计,也可以整合审计,会计师事务所在提供审计业务的方式与方法上有一定自主选择的空间。但是,虽然目前很多会计师事务所都提倡整合审计,但是并没有明确提出如何开展整合审计,甚至尚未意识到内控审计与财务报表审计之间相辅相成的重要作用。基于上述背景,笔者希望以自己的实践经验为例,浅析会计师事务所整合审计的有效性。
2 整合审计的意义
从了解企业的内部控制作为财务报表审计的一个过程和关键审计程序,到今天会计师事务所要对企业的内部控制进行审计,并发表独立的审计意见,足见企业的内部控制对企业财务报表以及企业整体发展水平和未来发展前景的重要性。有效的内部控制在减少舞弊、加强企业管理水平甚至提升业绩方面能够发挥较大的作用,这也是内部控制审计产生的原因。
内部控制审计是保证企业内部控制有效性的关键环节;内部控制审计是与财务报表审计平行的均属于基于责任方认定的合理保证的鉴证业务。对于企业而言,年末要接受双重审计,考虑到成本效益原则,整合审计是符合其利益的最佳选择。而对于会计师事务所而言,内控审计通过恰当的资源整合及了解与评价企业内部控制,从而实现风险评估的目的,突出风险控制点,提高财务报表审计工作的效率和效果。
总之,二者终极目标均是提高财务报告信息的可信性,有效的内部控制可以合理保证财务报表不存在重大错报。内控审计与财务报表审计可以利用彼此的工作,注册会计师在审计财务报表时需获得的信息很大程度上依赖对内部控制有效性的结论,利用内部控制审计结果来修改实质性程序的性质、时间及范围,并利用该结果来支持分析性程序中所使用的信息的完整性与准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需慎重考虑识别出的控制缺陷。实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序发现问题的影响,最重要的是,需要考虑发现的财务报表重大错报对应的关键控制点的控制有效性。
因此,在整合审计过程中获取的审计证据可以相互印证和利用,对两种审计进行整合,可以有效的利用审计资源实现审计目标,提高审计质量。
3 会计师事务所整合审计的有效性
3.1 对于之前会计师事务所单纯实施财务报表审计而言,整合审计则是加入了内控审计的内容,而整合审计所起到的“1+1>2”的效果也因此产生。内控审计通过恰当的资源整合及了解与评价企业内部控制,从而实现风险评估的目的,突出风险控制点,提高财务报表审计工作的效率和效果。笔者认为,整合审计确实可以起到节约审计成本的作用,但是,在内控审计过程中,通过对企业内部控制,包括企业层面的组织结构、企业战略、企业文化、社会责任等及具体业务层面流程的了解,从而识别出内部控制缺陷。通过对内部控制缺陷的分析和评价,识别重要风险点,并评估其对财务报表的影响,从而指导财务报表审计的审计计划和策略,这是整合审计相对于财务报表审计而言最重要的贡献和作用。
为突出表现整合审计的优越性和有效性,笔者将以不同业务流程为例,具体说明整合审计过程中,内控审计对财务报表审计所起到的风险导向作用。
3.2 从工程项目流程看在建工程核算与企业经营风险
A公司作为化工企业,工程项目较多,且具有规模大、投资时间长的特点。针对不同类型的工程项目,又进一步分为基建项目、技改项目和大修项目。在对其工程项目进行内控了解时发现,A公司出现个别技改项目最终按基建项目进行验收和管理;个别小型基建项目最终竣工验收时总投资金额翻番,变为中型基建项目。出现上述情况的原因多种,如:个别项目由于初步设计不到位,导致在后续施工过程中发现基建工程不能达到预期目的,从而进行二次设计,增加、删除或修改某项设计,以至于基建成本增加;个别项目由于时间紧迫,出现“三边工程”,即存在边勘测边设计边施工的现象,由于缺乏严格的初步设计和概预算管理,导致工程成本难以有效控制。当然,针对初步设计不到位情况产生的原因,审计人员进一步追查,则可能发现初设评审工作或施工图会审会议流于形式、设计单位的选择未履行相关程序、设计变更审批程序不到位等控制缺陷,甚至要考虑在工程项目管理过程中是否存在舞弊嫌疑。因此,在对A公司工程项目流程的内部控制进行了解和评价后可知,其财务报表审计中,在建工程科目核算的准确性认定将作为重点关注项目,在建工程科目是否存在高估资产的可能,是否存在费用化项目资本化处理的可能,是否应对某项在建工程计提减值准备等等,都是财务报表审计中必须要考虑的风险点。同时,A公司存在大额贷款,现金流紧张;而工程项目投资大,项目周期长、项目管理不规范,使得部分投资资金未能得到有效利用,无疑反应出公司资产管理及运营存在风险。
3.3 从生产管理流程看成本核算
B公司主要生产焦炭、甲醇、粗苯等化工产品。在对其生产流程进行了解后得知,B公司生产部门每天编制生产日报,每月编制生产月报,并向财务部门报送。财务人员根据生产月报反映的生产数量,确认产成品的产量并结转生产成本。生产日报中,各产品的日产量由生产班组人员根据计量仪器统计得出;而为避免产品由于挥发等正常性损耗对月产量的影响,B公司生产部在编制生产月报时,根据月初结存量、本月发出量与盘点的期末结存量,倒挤得出该类产品的月产量。因此,B公司生产部门存货管理表现一贯优秀,即盘点的产成品结存量与生产月报反映的结存数始终相符。如果未关注生产部门日报表中的产量月累计数、计量仪器显示的月产量数与生产月报倒扎的月产量之间的差异,并进行对比分析;直接根据生产月报反映的生产数量,确认产成品的产量,那么B公司的资产管理堪忧。生产过程中的非正常损失及产成品管理过程中的非正常损耗将在企业看似规范的管理中被隐藏。
笔者认为,在目前各公司财务基本实现电算化核算的大背景下,会计师事务所对生产成本的审计,依旧重点依靠对其成本的重新计算,已不容易发现成本核算的问题所在。然而,在内控审计过程中,公司关键控制点的缺失,生产管理流程中存在的重大缺陷,无疑为同时进行的财务报表审计提供了审计指引方向。
3.4 从企业战略变化看财务报表层面风险评估
公司层面的内部控制一般情况下不易发生较大规模的调整和改变,然而,公司层面的内部控制一旦发生调整和改变,大多将会对公司业务流程层面造成重大影响。因此,公司层面内部控制的变化,直接影响注册会计师进行的财务报表整体风险评估,包括考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当等等,从而进一步影响财务核算以及财务报表的质量。
C公司主要以生产和销售电子产品、软件开发及提供技术服务及技术咨询等业务。上年底,该公司对其业务流程进行了梳理,并对内部控制进行重新设计,主要表现为组织架构和企业发展战略的转变。C公司以前年度销售电子产品的收入占其总收入的比重较大,由于近年来IT产业的迅猛发展,市场上电子产品更新换代较快,产品差异化程度逐渐降低,利润空间逐步缩小,因此,为发展新的利润增长点,C公司在上年进行的业务流程进梳理中,对组织架构进行了调整,尤其对公司发展战略进行了进一步规划,即C公司将缩小电子产品的销售规模,而将主要的利润增长点放在软件开发及技术咨询服务业务。在新的企业战略规划指引下,今年公司销售收入的构成发生了变化。经营战略的变化直接影响到经营重心的转移,公司的各职能部门各业务体系是否得到有效的整合以及公司是否存在因组织架构和战略的转移而带来的经营风险,这些都将对注册会计师调险评估程序具有重大影响。更进一步,通过对C公司经营环境的了解,注册会计师在财务报表审计时,需要重点考虑该变化对财务报表整体风险评估的影响,包括考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当;是否存在需要特别考虑的领域等等,从而识别并评估影响财务报表的重大错报风险,进而调整后续的审计策略,以提高财务报表审计的整体质量。
4 会计师事务所整合审计实施过程中可能存在不足之处
与其他发达国家相比,我国对内部控制研究起步较晚,在立足本国国情、借鉴先进国家的成功经验的基础上,我国在2010年出台的《企业内部控制审计指引》中,提出了整合审计的概念,提倡整合审计,但在选择单独审计还是整合审计问题上给予注册会计师和委托方一定的自由选择空间,并且,指引中并没有提出如何进行整合。
2013年5月14日,中注协2012年年报审计情况快报(第十三期),其中,一、年报审计报告总体情况中提出:
一、内部控制审计产生的背景
(一)美国财务报告内部控制审计准则制定背景 2001年安然事件及其随后的世通等一系列公司经营失败事件严重地损害了公司相关利益者的利益,使人们对对美国资本市场的稳定性和公允性产生了怀疑。为了应对这一严重后果,美国国会于2002年7月颁布了由其总统签署的《萨班斯一奥克利法案》。其中,法案404(a)条款要求上市公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的注册会计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。为贯彻执行404条款,美国PCAOB(公众公司会计监管委员会)于2004年3月了第2号审计准则:《与财务报表审计相整合的财务报告内部控制审计》(以下简称ASNO.2),就审计人员根据上市公司管理当局对内部控制有效性的评估报告进行审计做出了具体、详尽的指导。AS No.2成为审计师审计财务报告内部控制,鉴证管理层评估内部控制有效性的标准和依据,从而导致了审计实务的重大变化。PCAOB于2007年5月颁布第5号审计准则《与财务报表审计一体化的财务报告内部控制审计》(以下简称AS NO.5)。AS NO.5在保持了AS NO.2揭示内部控制重大薄弱环节、降低财务报表出现重大错报可能性的基础上更加强调对重要控制的关注,并通过删除不必要的审计程序、修订小规模企业审计准则和简化审计准则来提高揭示重大控制缺陷的效率和准则的可阅读性。
(二)我国企业内部控制审计的发展 内部控制鉴证是注册会计师的重要业务,我国相关证券和金融监管法规中都要求聘请会计师事务所对内部控制进行独立鉴证或评价。为满足注册会计师从事上市公司首发和再融资业务的需要,中国注册会计师协会于2009-年了《内部控制审核指导意见》(以下简称《意见》),从而正式确立了我国的内部控制鉴证规范。《意见》第二条说明内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。随着证券市场的发展,我国内部控制鉴证规范已难以适应推动公司管理层切实履行经营管理和受托责任、保护投资者利益和提高审计效率、效果的需要,且不能实现与国际惯例接轨。2008年5月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年魔胄我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由此引出注册会计师需要对企业内部控制进行评价并出具审计报告。《企业内部控制基本规范》为我国企业内部控制制度建设提供了基本标准,在此基础上正在制定与内部控制相关的一系列操作指引。我国为了完善内部控制鉴证规范,在2008年了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。
二、内部控制审计相关概念界定
(一)广义内部控制 20世纪90年代,美国“发起组织委员会(cOSO)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制(缪艳娟,2007)。我国2008年制定的《企业内部控制基本规范》中的内部控制,是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由定义可以看出,我国基本采用了美国COSO中内部控制的定义,笔者认为这应是广义的内部控制,这一定义为我国内部控制制度建设提供了基本标准,也是本文所采用的内部控制的涵义。
(二)狭义内部控制笔者认为,狭义内部控制的定义应借鉴PCAOBASNO.5审计准则所定义的“财务报告内部控制”。我国的狭义内部控制应定义为,由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。狭义内部控制包括以下方面的政策和程序:保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况;合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权;合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。这一狭义内部控制概念的提出主要是为注册会计师对企业内部控制进行审计时,专门针对财务报告领域的内部控制有效性发表审计意见。
(三)内部控制审计在借鉴美国ASNO.5"财务报告内部控制审计”概念的基础上,结合我国具体情况,笔者认为我国内部控制审计可定义为:注册会计师接受委托,对企业在特定时点(以下称审计基准日)管理层针对与财务报告相关的内部控制有效性做出的自我评价进行审计,并发表审计意见。需要说明的是此时的内部控制是前文述及的狭义内部控制,如果注册会计师对内部控制的所有方面进行评价,即对广义内部控制进行评价,其可行性受到一定制约,超出了其专业胜任能力,因此评价范围应具体有所指,才真正具有实际意义和可行性。
三、内部控制审计与财务报表审计的关联分析
(一)业务类型相同 注册会计师的业务类型包括鉴证业务和相关服务。根据鉴证对象信息是否能被预期使用者获取,鉴证业务分为基于责任方认定的业务和直接报告业务;根据保证程度,鉴证业务可以分为合理保证业务和有限保证业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价和计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在内部控制审计中,被审计单位管理层(责任方)对与财务报告相关的内部控制的有效性(鉴证对象)进行评价而形成评估报告(鉴证对象信息),即为责任方的认定,该评估报告可为预期使用者获取,注册会计师针对评估报告出具审计报告。在财务报表审计中,被审计单位管理层(责任方),对财务状况、经营成果和现金流量(鉴证对象)进行确认、计量和报告而形成财务报表(鉴证对象信息),即为责任方的认定,该财务报表
可为预期使用者获取,注册会计师针对财务报表出具审计报告。通过上述分析可知,内部控制审计与财务报表审计都属于基于责任方认定的,合理保证的鉴证业务,两者业务类型相同。但实务中注册会计师对与财务报告相关的内部控制的评价是主观的、定性的,能否真正做到合理保证还存在疑问。
(二)审计目标的共同性 虽然对内部控制审计和财务报表审计的目标各有所侧重,但两者的共同目标都是为了向企业外部信息使用者提供决策有用的高质量的会计信息提供合理保证,提高对外公布的财务报表信息的质量。
(三)控制测试对实质性程序的影响 如果在内部控制审计中识别出某项控制缺陷,注册会计师应当确定该项缺陷对为将财务报表的审计风险降至适当的低水平,拟实施的实质性程序的性质、时间和范围的影响(如有任何影响)。无论与财务报表审计相关的控制风险评估水平或评估的重大错报风险如何,注册会计师都应当对所有相关认定实施实质性程序。为对内部控制发表意见而实施的程序并不减弱该项要求。
(四)实质性程序对注册会计师就控制运行有效性结论的影响 在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对内部控制有效性的影响。评价内容主要包括:注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;发现的违反法规行为和关联方交易情况;表明管理层在作出会计估计和选择会计原则时存在偏见的情况;实质性程序发现的错报。该项错报的严重程度可能使注册会计师改变对控制有效性的判断。为了获取有关选择拟测试的控制是否有效的证据,注册会计师应当直接测试该项控制,而不能根据实质性程序没有发现错报,推断该项控制的有效性。然而,注册会计师实施实质性程序没有发现错报,也有助于注册会计师在确定针对某项控制的有效性得出结论所必需的测试时作出风险评估。
(五)工作成果可以互为所用 由于财务报告内部控制审计和财务报表审计相互影响,为了节约审计成本和审计资源,二者的工作成果可以互为所用而且不会降低审计质量。具体来讲:当注册会计师接受委托,对企业财务报表进行审计的同时,又受托对该企业内部控制进行审计。此时注册会计师需要对内部控制进行审计并提出审计报告,在其进行财务报表审计时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。当注册会计师已对内部控制进行了审计并已提供审计报告,之后又接受委托对该企业财务报表进行审计,这样在进行财务报表审计时不需进行内部控制评价。可以直接利用内部控制审计报告中的结论。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任.关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。当注册会计师先接受委托对企业财务报表进行审计,并提供了财务报表审计报告,此后才接受委托对该企业的内部控制进行审计。在这种情况下,注册会计师在财务报表审计时一般已进行了内部控制评价,并且可能提供了管理建议书,因此注册会计师在内部控制审计中可以利用财务报表审计中的内部控制评价结论,但这一结论的准确度一般不高,注册会计师不能直接利用,而要在其基础上,补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价,并出具审计报告。
四、我国企业内部控制审计的现实选择
一、问题的提出
2008年5月,财政部、证监会、审计署、银监会及保监会(五部委)联合了《企业内部控制基本规范》,受到各界关注,它也被称为“中国的萨奥法案”,该规范在2009年7月1日起生效。2010年4月,五部委又了内部控制应用指引、评价指引及审计指引,它们分阶段施行:自2011年1月1日起在境内外同时上市的公司施行;自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;并择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。为了规范注册会计师执行财务报告内部控制审计业务,提高执业质量,中国注册会计师协会制定了《企业内部控制审计指引实施意见》,自2012年1月1日起施行。这些法规的实施,表明我国企业内部控制审计工作开始启程。重要性是审计学的一个基本概念,注册会计师在计划和执行财务报表审计工作时需要运用重要性概念。内部控制审计的实施促使注册会计师重新审视和思考在财务报表审计中已经很熟悉的重要性理念。如何正确理解内部控制审计中的重要性成为注册会计师关注的话题。
二、内部控制审计规范中重要性理念的发展
我国《内部控制审计指引》明确指出,注册会计师应当对企业是否在所有重大方面保持了有效的内部控制发表审计意见。在计划审计工作时,注册会计师应当评价重要性、风险等与确定内部控制重大缺陷相关的因素对审计工作的影响。无论是测试企业层面控制,还是测试业务层面控制,注册会计师都应当把握重要性原则。可见,重要性理念在内部控制审计中被赋予了新的内容,不再是财务报表审计中的重大错报,而是内部控制的重大缺陷。内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。表明内部控制可能存在重大缺陷的迹象包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。注册会计师应当以书面形式与董事会和经理层沟通重大缺陷。此外,注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。
美国萨奥法案(SOX)要求上市公司建立关键控制程序这一要求引起对重要性概念新的关注。SOX要求上市公司的管理者及时发现和防止重要的控制薄弱环节。当管理者发现一项关键控制没有满足最低的质量标准,它必须把这个结果作为关键控制例外事项。注册会计师需要能够确认关键控制例外事项并且应用重要性来确定它们的财务影响。2010年8月,美国公众公司会计监督委员会(PCAOB)通过了八项新的审计准则,于2010年12月15日及其后财政期间的审计开始生效。PCAOB主席丹尼尔·高泽说:“这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确的审计计划和开展审计活动来应对风险,对于提升投资者对经过审计的财务报表的信心是至关重要的。”其中《审计准则第11号——计划及实施审计时对重要性的考虑》阐述了审计人员在计划及实施审计时对重要性进行考虑的责任,并再次强调了PCAOB在2007年颁布的审计准则第5号“与财务报表审计相结合的财务报告内部控制审计”所指出的内容,即审计师在计划财务报告内部控制审计时对于重要性的考虑,与在计划年度财务报表审计时对于重要性的考虑是一样的。
三、内部控制审计实务中重要性理念的应用
可以看出,中美两国的审计规范对于重要性的规定予以了充分关注。相比美国内部控制审计的发展,我国内部控制审计业务刚刚起步,而重要性又是审计师根据职业判断,考虑用以指导项目组工作方向的重要因素,因此,借鉴国外经验,深化对重要性的认识,进而在实务中正确地应用重要性理念至关重要。笔者认为应关注以下内容:
(一)整合审计框架下确定的重要性水平相同
内部控制审计和财务报告审计存在着多方面联系:最终目的都是为提高财务信息质量;都采取风险导向审计模式,即先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险,然后有针对性地采取应对措施,实施相应的审计程序;都要了解和测试内部控制;都要识别重点账户、重要交易类别等重点审计领域。在财务报告审计中,注册会计师评价重点账户和重要交易类别是否存在重大错报,而在内部控制审计中,注册会计师需要评价这些账户和交易是否被内部控制所覆盖。但由于审计对象、判断标准相同,因此,在整合审计框架下,二者在审计中确定的重要性水平相同。
一、XBRL的出现给财务报表审计工作带来的积极影响
(一)更便捷地获取被审计单位财务信息、取得审计证据
我国会计电算化进程起步较晚,由于商品化财务软件成本低、维护有保障的特点,大部分企业都通过购买商品化财务软件来适应会计信息化的发展。不同企业使用的不同的财务软件、同一软件不同的版本之间的由于数据格式、结构等的差异很难进行数据的分享和交换。企业信息系统数据标准的不统一给审计人员获取财务信息也带来了很大的困难。而XBRL在分类账层面的分类标准可以通过与财务软件的嵌套将被审计单位的财务信息转化为XBRL格式,从而使审计人员能更便捷地获取格式统一的电子化财务信息,为财务报表审计工作节省了不少时间。
(二)提高了审计人员进行分析程序的效率,缩短审计流程
分析程序通过分析不同财务数据之间以及财务数据与非财务数据之间的内在关系对财务信息做出评价。在风险评估阶段,通过分析程序来判断可能存在重大错报风险的领域;在进一步审计程序中,分析程序可以作为实质性程序来测试数据之间的趋势、比率等是否符合预期,以此使细节测试更有针对性;在总体复核阶段,运用分析程序来判断是否依然存在未识别出的重大错报风险。XBRLGL对企业分类账中各种财务信息与非财务信息进行唯一的标记,使得审计人员在分析程序中可以快速精准地获得数据,而对数据的分析也可以通过设计好的计算机程序来完成,从而使分析程序效率提高,缩短了财务报表审计的周期。
(三)可以使审计抽样工作减少
审计抽样用于控制测试中对被审计单位内部控制是否有效进行测试,在细节测试中用于测试与各类交易、账户余额和披露相关的认定是否存在错报。在传统财务报表审计过程中,由于被审计单位财务信息不易于直接检索,注册会计师只能根据所获得的有限的帐表来抽取一部分样本进行测试。有了XBRL之后,审计人员就可以通过直接筛选所有电子原始凭证定项目直接获取某控制是否得到良好执行,而不必因为审计资源和时间的限制而只能选取少量的业务进行测试。这样就节省了审计人员花费在审计抽样中的部分时间,提高了审计效率,由于对整体进行测试成为可能,也同时提高了审计质量。
(四)为审计工作底稿的编制提供了新的思路
财务报表审计作为近代企业受托责任发展的产物,本身也是财务工作的一种延伸。传统审计工作底稿的编制很大程度上是由审计人员人工完成的。在未来的审计工作中,如果在XBRL的基础上发展出针对财务报表审计工作底稿编制的一套分类标准,对底稿中的各个项目进行定义和分类,那么在传统审计工作底稿需要人工录入的部分,都可以根据相应的标记从已有的数据源中链接过来,这将会大大提高审计工作的效率,降低人工成本。审计人员将有更多的时间对工作底稿中的数据分析结果、各种已获取的审计证据进行考虑,从更全面的角度考虑是否已经对有潜在重大错报风险的领域进行了充分的审计程序,更好地利用审计底稿得出审计意见,完成财务报表审计。
(五)数据准确度与可信度提高,提高了审计工作质量
XBRL技术从两个层面上规范企业财务信息:一是XBRLGL,即从分类账的层面对企业信息系统中日常交易的信息进行统一规范和反映,例如对会计分录中的摘要、科目编码、记账金额、借贷方向等分别赋予相应的标记,使企业信息系统内部可以实现数据的无缝对接;二是XBRLFR,即从财务报告层面对更概括性的信息进行定义,例如期末资产负债表、利润表、现金流量表、所有者权益变动表这些会计报表以及财务报表附注中的各种项目和数据。由于XBRL的一次输出、多次录用的特点,很大程度上避免了人工输入出错的风险,提高了财务信息的质量,也间接提高了审计人员获取审计证据的质量,从而提高了财务报表审计工作的质量。
(六)XBRL的发展促使新型审计软件的开发
XBRL技术的出现、发展、应用对于现有财务信息处理、交换、输出等都是一场巨大的冲击。虽然XBRL目前在世界各国都没有开始大规模广泛应用,但前进的浪潮是不会停止的,终有一天XBRL会成为主流。而面对被审计对象的巨大变化,实施审计工作所利用的审计软件也必然会发生变化。在未来XBRL被广泛应用的时候,可能越来越多的新的审计技术比如自动化、协同工具等会被设计组成适合XBRL环境的新型审计软件。
二、XBRL的出现给财务报表审计工作带来的挑战
(一)扩大了财务报表审计范围
在进行传统的财务报表审计工作时,注册会计师在内的审计人员主要任务是通过一系列审计程序获取充分适当的审计证据,以对被审计单位的财务报表是否合法、公允来发表审计意见。而在XBRL应用的背景下,增加了对XBRL格式实例文档的审计,以XBRL格式存在的数据信息在企业会计信息系统中生成、传递、处理的过程是否准确无误地进行也需要审计人员来进行确认。这无疑增加了审计人员的工作内容,扩大了财务报表审计的范围,一定程度上增加了审计人员的工作量。
(二)需要审计人员在实施财务报表审计时有更强的业务和操作能力
审计从业人员熟练掌握有关财会、审计方面的知识是理所应当的,这是进行实际工作必要的知识储备。而XBRL得到广泛应用之后,审计人员不只是要有扎实的专业知识,还必须要对有关计算机、网络、信息技术等有更多更深的了解,否则就无法适应XBRL环境下的审计工作。因此XBRL的应用对审计人员的工作能力的综合素质有了更高要求,这必然会导致要想成为一名合格的审计人员需要付出更多的成本和精力。
(三)XBRL应用增加了审计风险
在XBRL环境下,审计人员要增加对XBRL系统的审查工作。因为这样才能对XBRL系统的固有风险进行有效的控制,才能使审计工作更加全面、严谨。审计人员在XBRL环境下还需要审查被审企业编制财务报表使用的XBRL分类标准是否适当、XBRL系统中财务数据的处理过程是否正确并合乎制度以减少它们带来的错误风险。除此之外,财务信息的安全性也可能会增加审计工作的风险。网络环境中可能随时会有计算机病毒入侵,XBRL格式的财务数据极容易在未经允许的情况下被修改,这样同样增加了财务数据的错误风险,进而增加了审计风险。
三、XBRL环境下财务报表审计对策
以上已经对XBRL的应用会给财务报表审计工作带来哪些积极或有挑战性的影响进行了一系列介绍和分析,下面就来具体地探讨一下应该采用怎样的审计对策才能使财务报表审计工作能更好的适应XBRL环境。
(一)促进XBRLGL在企业中的应用
XBRL技术分为XBRLFR(财务报告)和XBRLGL(分类账)层面。目前XBRLFR在我国的应用已得到初步发展,但XBRLFR仅仅是应用于企业业务信息流程中的最后一个阶段,仅仅是对财务报告层面中的概念及其相互之间的关系进行定义和规范。XBRLFR虽然对现有财务报告中信息的使用、传播提供了很大的便利,但对于整个企业管理信息系统、对于现有财务报表审计工作的影响都是很有限的。XBRLGL从分类账层面对企业日常交易事项的各种细节进行定义,使形成财务报表的数据源更加标准化。XBRLGL也是基于XML发展起来的,它独立于企业管理信息系统而存在。XBRLGL有很好的兼容性,可以以嵌套的形式与各种财务系统实现无缝对接。XBRLGL标准将企业信息系统中的各种财务信息与非财务信息进行统一的定义和标记,使其具有相同的格式与结构,从而提高了信息的集成度和共享度。XBRLGL如果在企业中得到良好的推广和使用,对财务报表审计工作将会带来很大的好处。例如可以使审计人员从更加结构化的信息中更有效率地获得更高质的审计证据,节省审计时间。企业对于XBRLGL的优势还没有很好地认识,鉴于XBRLGL的应用给财务报表审计工作能够带来很大的好处,审计人员也应当适当宣传XBRLGL,促进其在各企业中的应用。
(二)将风险导向审计模式与数据式审计模式结合起来
风险导向审计模式是随着现代企业的不断发展,企业规模、日常经营业务量不断扩大,经营模式变得多样化,而一步步从制度基础审计发展而来的。本质上来说,风险导向审计还带有非常多手工审计的色彩。数据式审计模式是随着信息技术在财务领域的应用而逐渐从账套式审计模式中发展而来的比较现代化的审计模式。顺应企业中信息技术应用的发展潮流,审计工作也应该随着被审计对象形式的改变做出相应的改变。XBRL技术在企业中的应用使得许多更先进更便利的技术可以应用到财务报表审计工作中去,例如数据挖掘技术等。XBRL的出现和使用改变了财务信息的格式,使其变得更加结构化、更加统一和标准。审计工作可以通过利用计算机程序来快速处理分析数据,向更现代化的方向发展。在目前以风险导向审计为主导的阶段下,无论是XBRL的广泛应用,还是数据式审计的最终实现,都有很长的一段路要走。现在审计人员能做的,就是做好心理准备,在现有审计模式下不断增加数据式审计的色彩,促进财务报表审计工作的发展。
(三)将XBRL技术应用于审计工作底稿的编制
在XBRL环境下,企业应用XBRL技术可以使企业内部信息格式得到规范和统一,实现集团内部数据的无缝对接。审计人员不仅应充分利用被审计单位应用XBRL带来的技术优势,还应该意识到XBRL技术用来规范审计工作中的各种文件、数据可能给审计工作带来的另一种便利。审计人员在实施财务报表审计工作时,通常要将审计工作计划、流程、实施的审计程序及结果、相关数据等等记录编制成审计工作底稿。在获取被审计单位有关数据时,利用XBRL对审计底稿中的对应部分做出标记,就可以直接从XBRL格式的被审计单位数据库中提取出来,而避免了审计人员人工寻找正确数据进行复制粘贴,这也减少了手工输入发生错误的可能性。此外当审计人员对被审计单位提出账项调整的建议时,可以将审计底稿中的调整分录以XBRL的格式同步到企业的账簿中、报表中,这将节省双方的工作时间,实现双赢。
(四)开发新型审计软件
在XBRL环境下,财务信息将有更加统一的标准,更便于使用者采集。在这样的情况下,审计工作将需要开发更利于凸显XBRL技术优势的审计软件来为审计工作提供更大的便利。关于新型审计软件的开发,可以将数据挖掘、联机分析、人工智能等加入到审计软件的功能中去。通过建立更完善的审计模型,可以同时将定性与定量分析功能嵌入审计软件中,使审计人员更方便地分析繁多数据之间的规律。结合XBRL的优势与劣势开发出功能更全面和通用的审计软件,可以使审计工作更加自动化,使审计人员能更轻松高效高质地完成工作。在有优秀的审计软件先进的技术支持下,结合XBRL环境下基础数据获取的便利性,审计人员可以将更多地精力放在分析工作上,使审计发挥更有效的作用。
四、结束语
XBRL以其强大的优势预示着它未来发展的巨大潜力,不仅对企业财务领域,更是对审计领域特别是财务报表审计工作有着巨大的影响。针对XBRL环境给财务报表审计工作带来的各种影响,审计人员应当及时采取应对措施,如促进XBRLGL在企业中的应用、将风险导向审计模式与数据式审计模式结合起来、将XBRL技术应用于审计工作底稿的编制、开发新型审计软件等,以便适应未来的发展。
参考文献:
[1]陈维良.XBRL网络财务报告审计鉴证研究综述:一个研究框架[J].财会月刊,2011(35):61-63.
随着近年来我国公司的发展,我国内部控制审计及其规范问题也引起了监管部门和学术界的高度关注。继2008年5月财政部会同证监会、审计署、银监会、保监会(以下简称五部委)《企业内部控制基本规范>后,2010年4月五部委又联合了企业内部控制配套指引(包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》),标志着具有中国特色的内部控制规范体系基本形成。
一、财务报告内部控制审计相关概念界定
(一)内部控制及内部控制审计
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。我国内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
(二)财务报告内部控制
财务报告内部控制是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括的政策和程序有:保存充分、适当的记录,准确、公允地反映企业的交易或事项;合理保证按照企业会计准则的规定编制财务报表;合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易或事项。
二、财务报告内部控制审计的理论基础
(一)受托经济责任理论
受托经济责任就是指资源所有者将其资源委托给受托者(人)并赋予受托者以资源的保管权和运用权,同时通过有关组织规则(如公司章程和法规制度等约束机制)明确规定委托者和受托者之间的权利义务关系。受托经济责任,其实质就是委托人与受托人的一种契约关系。随着经济的发展和社会的进步,受托经济责任的内涵在不断拓展,受托的责任范围也相应在不断扩大,同时受托经济责任关系不断发展又促使了审计业务种类的不断丰富。内部控制审计这项新业务正是在这种情况下产生的。
(二)信号传递理论
信号传递理论认为,公司所有者与管理层之间存在着严重的信息不对称现象:管理层公司所有者制订财务决策和经营决策、制订公司的内部控制,并评价公司的内部控制的有效性,拥有绝对的信息优势;公司所有者作为委托方只能通过管理层提供的内部控制报告间接获得相关信息,处于信息劣势。这样就使拥有内部控制信息的优势者(管理层)对信息的劣势者(公司所有者)有欺骗的机会,这也是许多公司出现管理层舞弊导致经营失败的重要原因。
三、公司财务报告内部控制审计的对策
(一)努力整合财务报告内部控制审计与财务报表审计
《企业内部控制审计指引》第五条明确指出:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。但在实务中,由于内部控制审计和财务报表审计的关联性,注册会计师更适合于进行整合审计。将财务报告内部控制审计与财务报表审计进行整合,由执行财务报表审计的会计师事务所并由同一项目小组执行内部控制审计,可以避免重复审计,有助于提高审计效率,降低审计成本,保证审计质量。
(二)正确处理好企业内部控制自我评价与注册会计师审计之间的关系
内部控制评价和注册会计师审计是两种不同的责任,但两者的工作可以互相利用。一方面,在执行内部控制审计时,注册会计师通过评估企业内部控制自我评价工作,可以判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作。如果决定利用其工作,则可以相应减少本应由注册会计师执行的工作。但无论是否利用企业的自我评价工作,会计师事务所均应对发表的审计意见承担全部责任。另一方面,注册会计师在执行内部控制审计时,从独立的第三方角度可能会发现企业自我评价没有发现的控制缺陷,提请企业予以整顿。此时,企业需要正确认识注册会计师的内部控制审计工作,正确对待注册会计师的工作结果,认真审视企业的内部控制,通过整改落实,使内部控制更加完善合理。
(三)实行自上而下的审计方法
在财务报告审计中,注册会计师应当运用自上而下的方法实施审计工作,它是注册会计师识别风险、选择拟测试控制的基本思路。这种方法要求财务报告审计始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始。自上而下法能够将注册会计师的审计资源集中于风险最高的领域,通过对重要账户、重要认定、相关的控制等层层推进,有助于发现被审计单位的重大缺陷。
(四)提高注册会计师的职业判断能力
由于财务报告内部控制是非财务数据,更多表现为业务活动,对其进行鉴证并希望实现合理保证的目标是很困难的。因此,财务报告内部控制审计对注册会计师的职业判断能力和专业胜任能力都有更高的要求。如,在财务报告内部控制审计完成控制测试后,注册会计师需要评价内部控制存在的缺陷,并根据内部控制缺陷程度确定审计范围和审计意见类型。其中缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。
参考文献:
指引第一章总则第一条规定,指引根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则制定。因此,指引的效力等级低于《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,指引不属于准则。然而,财务报表审计与内部控制审计地位相当,都是注册会计师的高水平保证鉴证业务。规范内部控制审计的指引法律效力等级低于规范财务报表审计的系列准则,既降低了指引的威信,又使我国会计审计准则体系缺乏完整性。为强化指引的技术规范地位,笔者建议将指引纳入审计准则体系,提高指引的法律地位。
二、审计目标的界定
指引总则第二条规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师审计的范围应当覆盖企业内部控制整体而不应仅限于财务报告内部控制,注册会计师要对企业所有的内部控制的有效性发表意见,承担责任。而第四条规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这又将注册会计师的报告责任缩小到财务报告内部控制和“注意到的非财务报告内部控制”。在指引最后所附的审计报告参考格式中,指引又对引言段、审计意见段和针对非财务报告内部控制的强调事项段的内容作出如下规定:
引言段:我们审计了××股份有限公司(下称“××公司”)××年×月×日的财务报告内部控制的有效性。
审计意见段:我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
针对非财务报告内部控制的强调事项段:需要指出的是,我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。
可以看出,这三段报告内容将注册会计师的审计目标和审计责任进一步缩小到仅仅对财务报告内部控制进行审计、发表意见承担责任,注册会计师对非财务报告内部控制不承担任何责任。
纵观上述内容,指引在对注册会计师的审计目标的规定上显得较为混乱。总则部分要求注册会计师对“注意到的非财务报告内部控制”重大缺陷承担披露责任,而报告的措辞不要求注册会计师对非财务报告内部控制承担任何责任。这令读者感到无所适从,也会使司法部门在可能发生的审计失败案件的裁判中无法明确注册会计师的责任,有关部门亟需对该部分内容予以修订,明确注册会计师的审计目标和审计责任。
笔者认为,对非财务报告内部控制发表意见超过了注册会计师的专业胜任能力,要求注册会计师对非财务报告内部控制的重大缺陷进行披露会加大注册会计师的审计责任和审计风险。即使指引仅要求注册会计师披露“注意到的”非财务报告内部控制的重大缺陷,但因为国内目前尚未形成对非财务报告内部控制缺陷进行评价的依据或标准,“非财务报告内部控制重大缺陷”的判定无章可循,注册会计师也无法对非财务报告内部控制的合理性及有效性发表意见。基于以上原因,对注册会计师披露注意到的非财务报告内部控制重大缺陷的要求很难得到实施,建议指引删去这一要求,并适当修改总则部分对审计目标的界定,使总则部分与报告内容规定一致。
三、单独审计与整合审计的选择
指引规定,企业可以聘请两家会计师事务所分别对其内部控制和财务报表进行审计,也可以聘请一家会计师事务所同时对其内部控制和财务报表进行审计。注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(即整合审计)。
但内部控制审计与财务报表审计两者很难分开。对内部控制进行了解和评价是年报审计中风险评估的重要内容,注册会计师需要评估实施实质性程序发现的问题,利用内部控制审计的结果修改财务报表审计计划;在内部控制审计中,注册会计师要考虑识别出的财务报表错报对评价内部控制有效性的影响。所以,实务中实施单独审计几乎没有可能。
此外,内部控制审计和财务报表审计要在规定的相同的时间内完成,有些证据两种审计程序均需要收集,如果两种审计分开执行,会产生许多重复的审计工作,浪费审计资源,致使审计成本大幅度提高。因此,基于成本效益原则,企业也不会主张对内部控制单独审计。
同时,指引从计划审计工作到完成审计工作都立足于整合审计,实施单独审计的审计规范以及审计方法没有指导依据,单独审计也无从谈起。因此,从多个方面看,指引允许财务报表审计与内部控制审计分开执行的规范意义不大,建议修改指引该部分内容,强制要求企业将两种审计整合进行,降低审计成本,提高审计效率。
在整合审计之下,注册会计师就内部控制审计与财务报表审计同时开展诸多可以合并的工作,如:与被审计单位签署审计业务约定书,与治理层沟通,获取管理层声明等。对上述工作,中国会计审计准则体系中相应的准则给予了明确的规范,具体有中国注册会计师审计准则第1111号――审计业务约定书;中国注册会计师审计准则第1151号――与治理层的沟通;中国注册会计师审计准则第1341号――管理层声明等。然而,这些准则都明确规定,准则的适用范围仅限于财务报表审计。于是,针对内部控制审计的上述工作无准则规范。笔者建议,鉴于两种审计整合进行,有关部门应当修改用于规范这些整合进行的工作的准则,使准则的适用范围扩大到整合审计,发挥准则体系的规范合力。
四、审计基准日的确定
为简化报告内容,增强审计报告有用性的同时降低注册会计师的责任,指引要求注册会计师应当对截至某基准日内部控制的有效性发表意见,而不是对企业整个期间内部控制的有效性发表意见。但为了实现审计目标,对截至某基准日内部控制的有效性发表意见,注册会计师不能仅测试基准日这一天的内部控制,而是需要评价在足够长的时间中内部控制设计和运行的情况。而对于“足够长的时间”,指引却没有给出具体的规范,注册会计师在测试控制时,对测试涵盖的时间范围的选取只能根据职业判断进行估计,选取时间范围的随意性较大。企业很可能利用在时间范围选择上的随意性,在审计基准日很短的时间前为应付审计故意粉饰内部控制系统,审计结束后又恢复原状,从而蒙混过关,获得无保留意见的审计报告。因此,笔者建议指引规定一个测试应涵盖的最短运行期间,保证企业的内部控制系统在特定基准日前一段时间的稳定性。
五、工作底稿的整理
由于指引允许企业聘请两家会计师事务所分别对其内部控制和财务报表进行审计,在内部控制审计工作底稿的形成方面,指引要求注册会计师对内部审计工作底稿单独归档,形成独立的工作底稿,内部控制审计工作底稿不与财务报表审计工作底稿合并。然而,由于财务报表审计与内部控制审计联系密切,单独进行审计的可行性不大。对内部控制审计的工作底稿单独归档容易打断两种审计之间的内在联系,使阅读底稿的人员难以把握注册会计师在整合审计中的整体思路,也给注册会计师整理工作底稿带来不便。相反,如果注册会计师将内部控制审计与财务报表审计的工作底稿合并成一套底稿,既能减轻整理工作底稿的工作量,又可以一目了然地呈现出审计中整合审计的思路和两种审计的良好衔接,提高工作底稿的信息质量。因此笔者建议指引禁止单独审计的同时,要求注册会计师将内部控制审计工作底稿嵌入财务报表审计工作底稿,制成一套工作底稿。
六、审计指引与基本规范及应用指引的配合
审计指引第十条要求注册会计师在审计过程中使用自上而下的方法。自上而下的方法要求注册会计师在实施审计过程中从财务报表层次开始,向下将重点推进到企业层次的控制上,最终将工作逐渐下移至重大账户、 列报及相关的认定等业务层次的控制上。由此可见,指引要求注册会计师在审计时采用纵向深入的审计思路。
然而,一方面,指引对“财务报表层次”、“企业层面”与“业务层面”内部控制中没有给出明确界定或列举,概念本身的抽象性使得实务中注册会计师与企业管理人员对三个层次内部控制的理解和界定具有很大的主观性。另一方面,我国企业应当按照《内部控制基本规范》(以下简称“基本规范”)和《企业内部控制应用指引》(以下简称“应用指引”)建立和实施包括财务报告内部控制在内的内部控制体系。基本规范大量借鉴COSO框架,将内部控制分为控制环境、风险评估、控制活动、信息和沟通、内部监督五个要素。已的应用指引基于内部控制原则和内部控制“五要素”,对企业建立内部控制系统做出指引,可以分为“内部环境类”、“控制活动类”、和“控制手段类”三类。无论是“五要素”还是“三类指引”均是对企业内部控制的横向解剖,基本规范和应用指南都是从横向、平面的角度指导内部控制的建立。基于横向思路建立起来的内部控制系统,加大了注册会计师理解各单个内控系统在整体内控系统中地位的难度,不便于注册会计师采用纵向审计思路对企业内部控制系统进行分类和选择需要测试的控制。因此基本规范、应用指南与审计指引的思路不一致带来横向建立内部控制与纵向评价审计内部控制的矛盾。
为解决上述两个问题,笔者认为,相关部门首先应当对“财务报表层次”、“企业层面”与“业务层面”三类内部控制给出明确统一的定义或者说明。其次要把现行的应用指引针对的内部控制系统按照“财务报表层次”、“企业层面”与“业务层面”三类内部控制分类汇总,这样既划分了“财务报表层次”、“企业层面”与“业务层面”内部控制的界限,避免了不同主体理解的分歧,又方便企业建立内部控制时兼顾横向和纵向两种思路,提高内部控制系统的设计水平,也提高注册会计师审计时运用自上而下的审计思路理解、测试三个层次内部控制的效率,从而降低审计风险。
[本文系中南财经政法大学基本科研业务费青年教师资助项目“后金融危机时代下的会计准则等效研究”阶段性研究成果]
参考文献:
[1]李明辉、张艳: 《上市公司内部控制审计若干问题之探讨
――兼论我国内部控制鉴证指引的制定》,《审计与经济研究》2010年第3期。
[2]刘玉廷:《全面提升企业经营管理水平的重要举措――解读〈企业内部控制配套指引〉》(节选), 《中国总会计师》2010年第5期。
[3]杨志国:《关于〈企业内部控制审计指引〉制定和实施中的几个问题》,《中国注册会计师》2010年第9期。
1 引言
安然、世通等一系列公司财务舞弊事件使各国政府监管机构、企业界、学术界以及广大投资者对内部控制的重视程度进一步提升,政府监管机构也将监管的重点从单纯注重财务报告本身的可靠性转向同时注重保证财务报告可靠性机制建设,要求企业披露内部控制相关信息,并要求聘请注册会计师对内部控制有效性进行审计。美国的《萨班斯——奥克斯利法案》和日本的《金融商品交易法》都要求注册会计师对企业财务报告内部控制进行审计。
2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合会,隆重了《企业内部控制配套指引》(以下简称配套指引)。该配套指引连同2008年5月的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
2 上市公司内部控制审计概述
2.1 内部控制审计的基本概念及范围
内部控制审计是指会计师事务所接受业务委托,对上市公司特定基准日内部控制设计与运行有效性进行审计。注册会计师基于基准日内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间发表意见。
目前,实行内部控制审计的国家均将审计范围限定在财务报告内部控制。我国《企业内部控制审计指引》规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对财务报告内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计中增加“非财务报告内部控制重大缺陷描述段”予以披露。财务报告内部控制是指为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
2.2 财务报告内部控制审计与财务报表审计的关系
财务报表审计要求注册会计师在实施进一步审计程序之前,了解企业内部控制,实施风险评估程序。注册会计师会根据在风险评估阶段评估的重大错报风险程度决定实施进一步的审计程序类型。如果被审单位的内部控制本身的设计是合理的,且得到执行,则注册会计师就要测试内部控制运行的有效性,并据此决定实质性程序的性质、时间和范围,否则注册会计师会直接实施实质性程序。由此可知,对内部控制的了解和评价是财务报表审计的一个必要阶段。然而,在财务报告内部控制审计中,也要求注册会计师对企业控制设计和运行的有效性进行测试。可见,内部控制审计中获取的证据可以用于财务报表审计,同样财务报表审计中发现的问题可以为内部控制审计提供审计证据的线索,同一审计证据可以在两种审计中加以利用。
3 上司公司内部控制审计基本思路
3.1 计划审计工作
注册会计师应当恰当的计划内部控制审计工作,制定总体审计策略和具体审计计划。在计划整合审计工作时,注册会计师需要评价相关事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项如何影响审计工作。在计划审计工作的同时,注册会计师应当使用与财务报表审计相同的重要性水平。
3.2 识别企业层面控制
注册会计师应当测试对评价内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试。企业层面的控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;集中化的处理和控制;监控经营成果的控制;监督其他控制的控制;对期末财务报告流程的控制;针对重大经营控制及风险管理实务的政策。
3.3 识别重要账户、列报及相关认定
注册会计师应当识别重要账户、列报及相关认定。如果某账户或列报具有合理可能包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响,则该账户或列报为重要账户或列报。判断某账户是否重要,应当依据其固有风险,而不是考虑相关控制的影响。
3.4 了解错报的可能来源
注册会计师通常应用穿行测试来了解潜在错报的可能来源以选择拟测试的控制。在执行穿行测试的,注册会计师使用的文件和信息技术应当与企业员工使用的相同。同时,注册会计师还需要综合运用询问、观察、检查相关文件及重新执行控制等程序。
3.5 选择拟测试的控制,并测试内部控制设计和运行的有效性
注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师应当测试控制运行的有效性。如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。
3.6 评价控制缺陷
注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。同时,在确定一项或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。
3.7 完成审计工作,出具审计报告
(一)内部控制审计规范工作的内容
内部控制,即内部控制制度的建立与实施,是为了实现企业的目标,如股东利益最大化、尽可能保护所有利害关系人的权利等。通过内部控制,达到兴利与防弊,特别是提高经营效益的目的。如果企业内部控制失效,提供的会计信息也就无法真实地反映企业财务状况和经营成果。
内部审计不仅仅只是一种保证活动,更多的是一种咨询活动,并且内部审计的目标与组织目标是一致的:都是为了增加组织价值。
(二)我国的内部控制审计规范研究工作现状
在借鉴西方内部控制审计规范的同时,我国的内部控制审计规范研究与实践工作也取得了相应的发展。从2006年起,内部控制审计规范的研究制定工作进入了快车道,我国力求在借鉴SOX法案的基础上形成自己的内部控制规范体系。2008年财政部等五部委出台了《内控基本规范》,这标志着中国版的SOX法案的诞生。由于这一基本规范是原则性的,还需要有进一步的指南性文件以使规范更具操作性,2009年,《内控基本规范》配套指引(征求意见稿)应运而生。2010年4月26日,在征求意见稿的基础上,财政部等五部委联合了《企业内部控制规范》配套指引。至此,我国的内部控制规范体系基本完善,为企业评价内部控制工作、注册会计师执行内控审计工作提供了具体指导。
二、我国审计规范工作存在的问题
(一)我国尚未形成完善的内部控制审计准则
内部控制审计准则制定问题一直是国内外学者密切关注的热点问题之一。调查研究发现,现阶段,国内部分审计师以多种不同的执业准则为依据开展内部控制审计活动。受诸多不稳定性因素的影响,部分执业准则在目标定位方面已严重脱离现行实际状况,无法满足内部控制审计的要求。2010年,我国政府部门出台《内部控制审计指引》,这一政策虽然对审计师能够更好的执行内部控制审计起到借鉴意义,但仍然未明确审计师在执行内部控制审计时所要依据的准则和规范,只是在后附中简单的提到“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”。
一方面,《内部控制审计指引》仅在部分方面对内部控制审计具有指导作用,而未对审计方法的选择、审计计划的审核及审计过程中的评价等方面做到明确指导,可想而知,其指导作用也就没有什么可期待的了。正因如此,使得国内多数事务所只能够依据《中国注册会计师其他鉴证业务准则第3101号》、《内部控制审计指导意见》及《中国注册会计师准则第1211号》等准则执行内部控制审计活动。另一方面,主动将内部控制的测试和评价业务从财务报表审计业务中脱离出来,这一举动打破了传统的一次性业务或面向特定企业的业务,实现了与财务报表审计并列的经常性业务。尤为注意的是在《内部控制审计指引》背景下,财务报告内部控制审计已成为注册会计师的法定业务。
(二)我国上市公司内部审计报告存在着问题
1.内部审计报告中缺乏非财务报告内部控制。内部审计报告由财务报告内部控制和非财务报告内部控制共同构成。研究调查显示,我国大多数上市公司在制定内部审计报告时,过于重视财务报告内部控制,而忽略了非财务报告内部控制的重要性,因此,一定程度上削弱了内部审计报告的高效性。
2.内部审计报告中披露的大都为标准审计意见。目前,我国上市公司内部审计报告中主要具有四种参考格式:标准格式、否定意见格式、带强调事项段的无保留意见格式以及无法表示意见格式。在样本数据中,我国上市公司均采取无保留审计意见格式,究其根本在于上市公司大都不愿意自主披露非标准审计意见的报告,同时,会计师事务所未能够保持独立性,多为附和被审计公司的要求而出具无保留意见,导致我国上市公司内部审计流于形式,无法充分发挥其职能。
(三)我国当前存在准则并非内部控制审计的恰当执业标准
在查阅的内部控制审计师报告中,事务所主要提及了以下执业准则:中国注册会计师协会(以下简称中注协)于2002年2月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》( 2008―2010年间为《内部控制鉴证指引(征求意见稿)》。
《内部控制审核指导意见》第二条规定:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审核意见。”第二十九条规定:“注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用,被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”,“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前,内部控制审计已经从财务报表审计中独立出来,成为一项单独的审计鉴证业务,显然《指导意见》已不适合作为恰当的执业准则。
《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则,内部控制审计属于鉴证业务的一种特定类别,审计师以此为执业准则,具有原则指导性,但针对性明显不足。
《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务,注册会计师在编制审计计划时,应当了解被审计单位及其环境(包括被审单位的内部控制),对拟信赖的内部控制进行控制测试,据以确定实质性测试的性质、时间和范围。显然,该准则定位于财务报表审计业务,对内部控制的了解和测试是作为财务报表审计业务的辅助部分展开的,而非为了对内部控制的有效性发表意见而进行的全面指引。显然,该准则也不完全适合于独立的鉴证业务――内部控制审计。
三、我国审计规范存在的问题及相关建议
(一)完善内部控制审计准则
综上所述,目前,我国尚未形成完善的内部控制审计准则,以至于内部控制审计的高效性职能无法充分发挥。针对于这一现状,笔者认为,我国相关部门需吸取发达国家的优秀作法,结合我国的市场特点和需求,在《中国注册会计师执业准则体系鉴证业务准则》中新增更为全面的内部控制审计准则,之后将其与《中国注册会计师审阅准则》、《中国注册会计师审计准则》及《中国注册会计师其他鉴证业务准则》相融合,最终将其确定为《中国注册会计师内部控制审计准则》。除此之外,相关部门可结合实际状况,将《中国注册会计师审计准则》更名为《中国注册师财务报表审计准则》。为满足财务报表内部控制审计和财务报表审计的需求,相关部门也可依据美国的PCAOB AS No.5,结合国内市场现状,制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。与此同时,相关部门可构建中国注册会计师执业准则体系,从而为完善和调整内部控制审计准则提供有力平台。
美国PCAOB AS No.5中对财务报告内部控制审计报告作出了规定,我国相关部门可依据这一规定,结合国内财务报表审计报告的格式,推进内部控制审计准则改革。在内部控制审计准则改革过程中,笔者认为,应将《内部控制审计指引》后附中的“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”改为“审计师已依据《中国注册会计师内部控制审计准则》执行了内部控制审计”。现阶段,对于跨国的上市公司而言,要求其注册会计师严格依据国际审计准则开展内部控制审计活动;对于在中美同时上市的公司而言,要求其注册会计师严格依据PCAOB AS No.5下的审计准则开展内部控制审计活动,以此才能够确保公司平稳而快速的发展。
(二)完善上市公司内部审计报告
1.增强会计师事务所的独立性。我国会计师事务所对于保持独立性多为附和被审计公司的要求而出具无保留意见,针对其现象,一方面,我国上市公司会计师事务所需进一步加强注册会计师的职业道德和相关专业技能知识培训和再教育,实现注册会计师思想和能力的独立性;另一方面,会计师事务所需定期接受注册会计师协会的监督和管理,保证会计师充分的独立性。
2.转变上市公司对内部控制审计的认识。无论是上市公司还是会计师事务所都应该树立其正确的内部控制审计观,在充分认识到非财务报告内部控制的重要性的条件下,确保上市公司能够立足于非财务报告内部控制和财务报告内部控制的基础之上开展内部审计报告制定工作,从而,全面调动上市公司内部审计报告的高效性。
3.完善上市公司内部控制审计准则。目前,我国上市公司内部审计报告仍存在一定的不足,大大削弱了内部审计报告职能。该环境下,完善上市公司内部控制审计准则不容忽视,即内部控制审计准则的完善需结合上市公司的实际情况,通过不断加大内部审计报告披露力度,推进上市公司内部审计报告名称和格式的统一性。
(三)防范内部控制审计风险措施