时间:2022-10-29 13:05:18
引言:寻求写作上的突破?我们特意为您精选了4篇内控审计论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
我国《独立审计具体准则第七号———审计报告》规定了四种审计意见类型。注册会计师出具审计报告必须实施必要的审计程序,在充分的审计证据支持下发表审计意见,审计意见的对象是被审计单位的会计报表。而根据《中华人民共和国会计法》的要求,企业提供的会计资料要做到真实、完整,所谓真实就是会计报表反映的经济内容真实,会计处理符合企业会计准则和相关的会计制度规定;完整就是企业所有的经济业务必须纳入会计报表体系,而完整的前提条件是企业必须有健全的内部控制制度并得到良好执行。由此可见,企业内控制度建立及执行情况对注册会计师正确发表审计意见具有举足轻重的作用。尤其在小规模企业普遍存在内控制度不健全,有的根本没有内控制度的情况下,更要重视内控制度对审计意见的影响,以规避审计风险。不少注册会计师在审计实务中采用回避方式,不对内控制度作深入地研究与评价,只是做一些形式上的工作底稿,以应付复核和检查,在对企业内控制度根本没有实质测试的前提下发表审计意见,意见类型主要是无保留意见及保留意见,很少有否定意见和无法表示意见。本文就此提出一些看法。
一、建立健全内控制度并得到良好执行是提供真实完整的会计报表的前提条件
一般认为构成财务报告公允、准确呈报的三道重要防线分别为:公司内部控制制度、公司治理结构和独立审计师的审计。其中内部控制是一组程序,受到公司董事会、管理层以及其他人员的影响,合理保证了经营活动的效率效果、财务报告的可靠性和合规性目标的实现。有效的内控制度能防止舞弊形为的发生,保证资产安全和完整。内控制度是企业董事会和经理阶层为确保企业财产安全和完整、提高会计信息质量、实现经营管理目标而建立和实施的一系列具有控制职能的措施和程序。内控制度是企业内部管理的事,因此,法律往往不作具体的规定,而只是原则性的规定企业必须建立健全内部控制制度,建立内部控制制度并保障其顺利运行是管理当局的责任,对于具体的控制方式和程序只制定相应的规范。内控制度的目标是实现企业的目标,根本作用在于衡量和纠正下属人员的活动,以保证事态的发展符合计划的要求,它要求按照目标和计划对工作人员的业绩进行评价,找出消极偏差,采取措施得以改进,提高企业的经济效益,防止资产的损失,保证企业预定目标的实现。
有效的内控制度可以规范会计行为,保证会计资料真实、完整,堵塞漏洞,防止并及时发现、纠正错误和舞弊行为,保护资产的安全、完整,确保国家有关法律、法规和单位内部规章制度的贯彻执行。
虽然《中华人民共和国会计法》有明确要求:各单位应建立内部会计监督制度。企业经营的目标为追求利益最大化,从这点上看,健全内控制度必然是企业的内在要求。但不同的企业的价值取向或实现方式存在较大差异,国有企业及其他大中型企业管理当局对企业价值实现方式的理解不局限于经济效益的增长,较多地考虑国家法律、法规及企业未来的发展,所以,对企业内控制度的建立健全相对重视。而小规模企业的管理当局对企业价值的实现方式的理解更多地局限于经济效益的增长,甚至个人财富的扩大,偏重于纳税影响,有的甚至认为会计报表的编制仅为纳税而异,从而对内控制度的建立缺少内在动力,有的甚至没有基本的内控制度,把一些经济业务不纳入会计报表体系。因此,在没有内控制度这个前提条件下提供的会计报表完整性是得不到保证的。
二、注册会计师在小规模企业审计中遇到的企业内控制度的主要问题
1.内部控制环境弱化,控制体系不完善,使注册会计师对被审计单位内控制度的信任度大打折扣
目前我国很大一部分小规模企业不重视内控制度的建立,习惯于行政指挥、家长制管理的现象还普遍存在。企业普遍存在没有成文的内控制度,即使有制度也是为了应付有关部门的检查,具体的内部控制更无从谈起。相关的内控关键点失控,不履行相应的书面手续,注册会计师收集内部控制的证据犹如大海捞针、费时费力,难以保证审计效率和执业质量基本目标的实现,还有很多小规模企业内控制度尚未建立,更谈不上内控制度的履行。具体表现形式如:一是货币资金收付没有履行相关手续,无专职出纳管理现金,以致出现账面现金结存不符实际,同时有的企业银行账和企业账长期不符;二是材料收发没有相关手续,带来成本核算不实;三是销售结算环节失控,形成账外收入等等。
2.会计系统设计未考虑内控制度,会计凭证依赖的原始凭证履行形式上的手续,使注册会计师难以把握内部控制的实质
近年来,财政部对会计要素的确认和计量,对财务会计报告的信息提供和披露都制定出具体的准则和制度,对内控制度的建立已出台相应的规范,但对不建立内控制度的企业缺少相应的制约措施和处罚力度。具体到每一单位的会计系统设计形成了五花八门的局面,使注册会计师对内控制度的评价难以形成一般性认识。
由于会计系统的设计承袭了计划经济时代的陋习,会计凭证依赖的原始凭证过于简化,因此注册会计师从会计资料中往往找不出内控制度运行的有效证据,在财务会计报表中,只重视会计报表的提供,忽视财务情况分析和会计报表附注编制,只研究如何满足有关行政管理部门的需要,少研究利用财务会计信息加强内部管理。
3.小规模企业普遍缺乏成文的内控制度,对同一被审计单位,不同注册会计师所作的评价有时大相径庭
不同的经济单位应具有不同的内部控制模式。大中型企业人员分工较为细致,内部控制程序也严密,而小规模企业为了有效利用人力资源,内控制度显得粗略一些。《独立审计准则第九号———内部控制和审计风险》要求注册会计师应当审查企业的内部控制情况,注册会计师对不同的经济单位,如果企业没有建成内控制度,就缺乏评价的具体标准和尺度,就不能进行量化处理,仅凭抽象的专业性判断难以使人信服,一旦判断失误,将导致审计报告失真。
三、相关法律、法规对企业内控制度的建立及审计的要求
首先,《会计法》第27条规定:“各单位应当建立、健全单位内部会计监督制度”,《会计基础工作规范》明确要求各单位应当建立内部牵制制度,这是对单位建立内控制度提出的原则性要求。财政部于2001年6月至今相继出台了内部会计控制基本规范和具体规范,这些规范的出台,为企业提出了内部会计控制的一般标准,使企业具备了建立适合本单位特点的内部会计控制制度的条件。
另外,《内部控制和审计风险准则》《审计重要性准则》《错误与舞弊准则》《管理建议书准则》《小规模企业审计特殊考虑实务公告》等都对内部控制的测试、评价和报告做出了规定。在财政部《内部会计控制规范》不久,中国注册会计师协会也了《内部控制审核指导意见》,对注册会计师签定内部控制审核业务约定书、制定审核计划、履行审核程序、出具审核报告等做出了详细规定,为注册会计师开展内部控制评审提供了依据和准则。
因此,企业内控制度特别是内部会计控制的建立,测试评价制度体系已基本形成,要得到良好的贯彻执行,并实现注册会计师审计的操作性,关键在于企业管理当局的自我意识以及相关行政部门的监管。同时,注册会计师在审计实务中要严格执行内控制度的审计程序,切忌走形式,只有对企业内控制度的建立、健全情况有正确的评价,才能为发表正确审计意见打下基础。
四、小规模企业内控制度评价结果对审计报告意见类型具有决定性影响
小规模企业固有风险和控制风险通常很高,因其业务比较简单,审计收费低,注册会计师实施审计的外勤时间往往较短,实施审计的程序可适当简化,对账面情况的审计难度不大。如果注册会计师没有把握对企业内控制度的正确评价,将导致审计意见错误,使审计报告失真,带来致命的审计风险。
《独立审计准则第七号—审计报告》规定了四种审计意见类型。注册会计师必须对被审计单位的内控制度进行测试和评价的基础上,确认企业的内控制度有效性后,才具备会计报表反映的经济内容达到完整性这一些要求。会计资料具备了完整性,所有经济业务内容都纳入了会计报表体系,注册会计师才能按照《独立审计准则》的要求,发表相应的审计意见。实务中,注册会计师对小规模企业内控制度的评价多流于形式,在没有作深入细致的测试的情况下,简单信赖,仅根据账面审计的情况发表无保留意见和保留意见,很少出具否定意见和无法表示意见的审计报告。
内部控制是随着企业对内加强管理和对外满足社会需要而逐渐产生并发展起来的自我检查、自我调整和自我制约的系统,是社会发展的必然产物。内部控制可以合理保证单位有效进行经营管理,提供可靠的财务报告和其他信息,保护企业财产的安全完整,保证有关政策、法律法规的贯彻执行,实现企业整体目标。目前我国内部控制的主要问题是由于内部控制环境不完善而导致的企业监督执行不力,内部审计不能有效地发挥作用,内部控制对外信息披露不足。
一、内部审计和内部控制监督的关系
内部审计是内部控制的组成部分及前提,是企业内部影响控制制度正常运作的环境因素,也是内部控制的宏观因素[1]。会计系统和控制程序则是内部控制系统中的微观因素,他们同时受制于宏观因素的影响。一个企业即使有好的会计制度,科学的控制程序,但若没有先进的企业管理文化理念作引导、缺乏健全的管理体制和组织结构铺垫、或者没有运用或实施科学的人力资源政策都会造成内部控制的执行系统失效,也就是说在内部控制这个体系中如果宏观环境失效,那么将直接影响微观因素的发挥,进而影响企业的整体效率。单位内部控制监督作为内部控制的执行元素,主要是通过各单位建立完善的内部控制制度并保证发挥有效作用来实现,单位控制监督应当突出内部控制和内部约束机制的健全,强化单位负责人的会计责任,会计人员在对单位负责人负责的同时,受职业道德和财经法规约束。财政部门通过指导各单位建立健全内控制度,培养单位负责人和会计人员综合素质和必要的检查验收来督促各单位加强内部控制监督,规范会计行为。而这些措施实际上是通过优化内部控制环境中的组织结构设置这一环节来实现的。随着现代企业制度的不断发展,各国企业对会计系统及控制程序的设计也日趋完善,会计程序中的漏洞越来越少。但我们也发现如安然、世通、银广厦这样的因内部控制监督失效而造成的经济案件仍层出不穷。究其深层原因,是企业领导者及其管理者的决策性失误,而这种决策性失误则是在一种错误的企业价值观,偏激的企业管理理念及高层管理者本身素质等原因造成的。由此可见,内部审计的各要素都影响着内部控制监督目标及方法的实现。
二、健全内部审计的制度安排
目前企业中关于内部审计机构的设置情况不一,有些上市公司同时设立审计委员会和审计部,大部分只设立审计部。只设立审计部的企业审计部的定位有以下几种情况:第一,由监事会领导;第二,由董事会领导;第二,接受总会计师或主管财务副总经理领导。
这样,有关内部审计的制度问题目前需解决以下两点:内部审计机构的设置与内部审计机构的定位。关于前者,单是设置审计部还是同时设立审计委员会和审计部,如果只设置审计部并将其置于总经理的领导之下,董事会对总经理的领导就缺乏监控措施,产生的问题是加剧内部人控制。至于内部审计机构的定位问题,对于上市公司,由于其规模一般较大,业务也较复杂,所以应同时设置审计委员会和审计部。从机构隶属上来看,监事会、审计委员会、审计部分别对股东大会、董事会和总经理负责,同时二者存在着业务指导关系。
之所以选择这种制度安排,原因在于:内部审计的一个重要目标是实现所有者对受托经营的经理层的监督。因此,审计委员会只有直接对代表所有者利益又由参与企业主要经营决策的董事会负责,才能保证这种监督的效果。同时,内部审计又要满足经理层的各种需要,若内部审计的一切活动都需直接由审计委员会决定,既无必要也影响效率,这就需要在董事会和经理层间就内部审计范围进行权限的划分。其中,以经理层为监督对象的内部审计活动,如对经理层执行董事会决议的监督、对经营业绩的鉴证和评价、经理离任审计等,均应由审计专门委员会组织开展;而以分权单位为监督对象的内部审计活动,如对公司其他职能部门、下属分支机构的监督、考评,以管理咨询为目的的专题审计活动,都可由经理层组织实施,但审计结果应报审计委员会备案,且审计委员会有权对审计情况进行检查。另外,对于监事会而言,它代表的是全体股东,其机构隶属自然是股东大会,因而其定位应是内部监督评价体系的最高领导者,在必要时可检查审计专门委员会组织的内部审计事宜,并对内部监督评价中发生的争议作最终裁决。
三、建立有效的激励约束机制
无论是内部控制还是公司治理都非常重视激励与约束机制,二者在实施的方式手段上可以相互借鉴。具体来说:约束方面,一是合理的授权控制,内部控制实质上是对企业经营过程中员工行为的控制,要把岗位的责权利严格确定下来,使员工的工作在制度的约束中进行。二是要建立适时的监控系统,让不称职的员工离开其岗位。二是严格的责任追究和惩罚制度,这是企业内控制度贯彻执行的根本保证。激励方面,应借鉴公司治理中的激励机制,引入相应的激励措施进入业务执行层,提高基层人员参与内部控制的主动性和积极性。具体来说:一是科学的目标管理。要组织员工参加有关工作目标的制定,并将企业目标层层分解,落实到每个员工,这样有利十激发员工的积极性,并使其主动维护企业的各项制度。二是制定科学的业绩评价体系。业绩考评机制由董事会或薪酬委员会对公司高级管理人员,以及人力资源部门对普通员工的业绩和履职情况进行考评,并据考评结果决定下一年度的薪酬、岗位安排等事宜。业绩考评机制应具备以下特点。第一,激励性。以报酬作为激励是公司治理中不可缺少的管理手段,设计考核制度时,必须保证业绩考核制度对员工的激励性。第二,客观性。在评价业绩时,可借助十定量评分方法或中介机构,以客观的立场和判断加以评估,使业绩评价工作尽量不受主观、片面等人为因素影响。第二,责任性。在业绩考核前必须先明确考核项目的责任归属,明确员工的权责范围,排除外在因索影响,使业绩考核工作更公平合理。第四,绝对指标和相对指标相结合。因为有时候企业业绩的好坏受很多外部因素的影响,比如行业的影响,相对指标与绝对指标相结合的方法使得评价更加客观。第五,长期性。引入公司治理中用来激励经营者的股票期权,希一望员工通过一定形式的股票持有或是将收入与股票价值变化挂钩使自己的利益尽可能地与股东的利益相一致。
四、加强对内部控制的信息披露
《萨班斯一奥克斯利法案》规定公司首席执行官、首席财务官或类似职务人士必须书面声明对内部控制的设计和执行的有效性负责,并且要求随定期报告一同对外披露管理当局对有关财务报告内部控制的评价报告,内部报告还必须经过负责公司定期报告审计的注册会计师的审核。美国安然、我国的中航油巨额亏损等案例充分暴露了公司关键人物凌驾于内部控制之上,缺乏内部控制信息披露的问题[4]。内部抓控制信息披露能够有效减少高管人员串通舞弊的机会,有效遏制凌驾于内部控制之上的行为。鉴于我国上市公司及许多国有企业存在的诸多问题,我国政府应该加强对上市公司内部控制信息披露的要求,制订有关规章制度,通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。具体措施如下:
1、确定信息披露的内容
因为内部控制设计范围非常广泛,如果要求上市公司对所有内容进行披露,从目前情况看不太现实。我国最新公布的审计准则将内部控制目标划分为财务报告可靠性、经营效率效果、经营合规合法性,如果将所有目标全部要求进行披露,管理当局及公司等会大大地增加成本,而且目前许多制度尚不完备,即使全部披露不一定会收到很好成效,处于内部控制效益成本原则考虑,可以参考美国的做法只实行财务报告内部控制,即管理当局只要求公司就财务报告可靠性的内部控制出具评价报告。
2、确定信息披露的责任主体
要保证内部控制信息披露的准确性,保证内部控制责任落到实处,必须确定信息披露责任主体,即内部控制由谁负责。萨班斯法案的302条款被认为是对上市公司最有实际影响的条款,条款要求首席执行官和首席财务官必须承诺财务报告的真实性和公允性,并在对外提供经审核的内部控制财务报告上签字认可。我国法律法规没有明确规定内部控制的责任主体,所有相关文件都仅仅强调监事会、审计委员会对公司内部控制的监督\审查责任,没有直接明确内部控制的制定和执行由谁负责的问题。我国上市公司多数由国有企业改制而来,董事会受到管理层和大股东控制控制现象较严重,在公司治理机制不健全情况下,内部控制环境薄弱,关键人凌驾于内部控制之上,监管部门对于屡见不鲜的公司管理层舞弊作案感到束手无策。针对我国公司内部控制环境的特点,应该把内部控制的责任主体确定为掌有实权的关键人物和实际负责公司资产安全和财务可靠性的高级管理人员。
3、统一财务报告内部控制评价和审核的标准。
为提高财务报告内部控制报告的可操作性和可比性,对财务报告内部控制的评价应当遵循比较统一的标准。建议审计准则委员会研究有关指导意见,在我国公司治理环境下,对管理当局内部控制报告的验证提供指导。
五、结论
内部审计与内部控制都是当前比较热门的话题,将两者结合起来更是有其特殊的意义。本文从内部审计与内部控制的关系入手,从内部审计的角度得出完善内部控制的对策。内部控制框架与内部审计的关系是内部管理监控系统与制度环境的关系。完善的内部审计有利于内部控制制度的建立和执行;健全的内部控制机制也将促进内部审计的完善和现代企业制度的建立。
参考文献:
[1]刘金文,“三要素”内部控制理论框架的最佳组合[J],审计研究,2004.2
中国相关政策变迁中国内部控制审计鉴证政策变迁与美国较为相似,由最初的财务报表审计中的内部控制评价发展到财务报告内部控制审核,再发展到财务报告内部控制审计。具体如表3所示。从表3可以看出,财政部等部委制定的内部控制规范主要针对主板上市公司,目前并没有强制要求中小板和创业板遵循,而是择机实施。但是深交所的《中小板指引》和《创业板指引》则对中小板和创业板内部控制审计鉴证作出了强制要求,三个板块《运作指引》的具体要求如表4。
(二)文献回顾
以SOX法案的颁布实施为分界点,美国内部控制相关研究可以分为2002年之前和2002年之后两个阶段。2002年之前,相关文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究,只有少数研究关注内部控制审计,主要研究结论认为内部控制审计将提高审计的成本却无助于财务报告可靠性的提高(Hermanson,2000);2002年以后,随着SOX法案的实施,更多的研究开始关注内部控制审计,出现了大量的实证研究,其研究内容主要基于内部控制缺陷,具体包括内部控制缺陷发现和报告(Ashbaugh等,2007;Rice和David,2012)、内部控制缺陷对审计成本的影响(Raghunandan和Rama,2006)及对信息质量的影响等(AshBaugh-Skaifeetal.,2008)。中国内部控制的研究则可以分为2006年之前和2006年之后两个阶段。2006年以前,由于中国监管部门对内部控制审计鉴证尚无强制性规定,大量研究集中于内部控制信息披露,专门研究内部控制审计鉴证报告的文献较少,但是很多文献都提出上市公司内部控制审计或审核的必要性(陈关亭和张少华,2003;张立民等,2003)。2006年以后,随着上交所和深交所《上市公司内部控制指引》的颁布,尤其是2008年《基本规范》的颁布,大量研究开始关注内部控制审计报告,且均发现上市公司内部控制审计报告存在较多的问题,如审计意见表述方式不一致、审核依据不统一等(袁敏,2008;何芹,2012)。与国外研究相似,实证研究方面主要关注内部控制缺陷对审计成本及其信息质量的影响等(张宜霞,2011;田高良等,2011)。同时较多的研究开始关注内部控制鉴证的理论问题,内容包括鉴证目标、鉴证范围、鉴证标准等诸多方面(刘明辉,2010;李明辉和张艳,2010)。但是这些研究都是将内部控制鉴证报告与内部控制审计报告同等看待,并没有考虑二者之间存在的差异,未就内部控制审计与内部控制鉴证实施情况进行实证分析。
(三)比较分析
由此可见,美中内部控制审计鉴证政策的发展具有较强的相似性,都经历了内部控制评价、审核和审计等不同阶段,但是在具体执行过程中,又存在较多的差异,美国仅要求大型公司和中型公司实施内部控制审计,而对小型公司则没有内部控制审计的要求,也没有要求实施内部控制鉴证或评价。然而,中国对主板和中小板上市公司的要求是实施内部控制审计,而对创业板的要求则是内部控制鉴证。那么,内部控制审计与内部控制鉴证的差异是什么?内部控制审计与内部控制鉴证执行情况又是如何呢?这些问题还有待进一步探讨。同时,通过国内外文献回顾可以发现,虽然大量研究关注内部控制审计及其鉴证,但是均将内部控制鉴证报告与内部控制审计报告同等看待,二者之间的差异还有待进一步考察,且有关内部控制鉴证与内部控制审计实施现状的研究较少。因此,本文将在比较内部控制鉴证与内部控制审计政策要求差异的基础上,对内部控制审计与内部控制鉴证的实施现状进行实证分析。
二、内部控制鉴证与内部控制审计政策要求之比较分析
(一)内部控制鉴证与内部控制
审计概念范畴的比较根据《中国注册会计师鉴证业务基本准则》中的规定,鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证业务包括审计业务、审阅业务和其他鉴证业务。具体到内部控制审计与内部控制鉴证业务,根据中国《企业内部控制审计指引》的规定,内部控制审计是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。因此,内部控制审计属于审计业务的范畴。然而,根据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》(下文简称《其他鉴证业务准则》),注册会计师执行历史财务信息审计或审阅以外的鉴证业务属于其它鉴证业务,因此,内部控制鉴证属于其他鉴证业务范畴。具体关系可以通过图1予以说明。
(二)内部控制鉴证与内部控制
审计所适用行为规范的比较从所适用的行为规范来看,内部控制鉴证和内部控制审计应该遵循的行为规范既有相同之处,也存在差异。从图1可以看出,内部控制鉴证和内部控制审计都属于鉴证业务,因此二者都应当遵循《中国注册会计师鉴证业务基本准则》。同时,注册会计师在执行鉴证业务时,还应当遵守中国注册会计师职业道德规范和会计师事务所质量控制准则,因此,内部控制审计和内部控制鉴证应当共同遵循的准则是《中国注册会计师鉴证业务基本准则》、《中国注册会计师职业道德规范》和《质量控制准则第5101号——会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》(下文简称《质量控制准则》)。但是,与内部控制鉴证业务不同的是,内部控制审计业务还必须遵循《企业内部控制审计指引》(下文简称《审计指引》)的规定,而内部控制鉴证业务则遵循《其他鉴证业务准则》的规定,并参照《指导意见》的规定执行,同时根据《基本规范》和《配套指引》的要求,可以选择性遵循《审计指引》的要求执行。内部控制审计与内部控制鉴证所适用的行为规范如表5所示。
(三)内部控制鉴证与内部控制
审计主体及对象的比较首先,从内部控制鉴证与内部控制审计主体上看,二者主体相同。与《配套指引》鼓励上市公司实施财务报表与内部控制整合审计的要求相一致,三个板块《运作指引》中也均要求上市公司聘请会计师事务所在进行年度审计的同时,要求会计师事务所对上市公司内部控制实施审计或者鉴证,并出具内部控制审计报告或鉴证报告。可以看出,无论是内部控制审计还是内部控制鉴证,均鼓励上市公司聘请与财务报表审计相同的会计师事务所实施内部控制鉴证与审计。然而,从内部控制鉴证与内部控制审计对象上看,二者存在差异。根据《中国注册会计师鉴证业务基本准则》的规定,鉴证业务分为基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。具体到内部控制鉴证和内部控制审计业务中,从理论上来说,内部控制鉴证和内部控制审计可以是基于责任方认定的鉴证或审计业务,也可以是直接报告业务。在实务中,内部控制鉴证业务按照《其他鉴证业务准则》执行的同时,参照《指导意见》的规定执行。根据《指导意见》的规定,在内部控制鉴证业务中,注册会计师应当就企业管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。因此,从政策要求及注册会计师实务来看,内部控制鉴证是对管理层有关内部控制有效性的认定发表意见,而内部控制审计是直接对内部控制设计和运行的有效性进行审计并发表意见。但是从最终目的上看,都是对内部控制的有效性发表意见。同时,与《配套指引》一致,《主板指引》和《中小板指引》均要求注册会计师对财务报告内部控制有效性发表审计意见,并披露注意到的非财务报告内部控制重大缺陷,但是《创业板指引》只要求注册会计师对财务报告内部控制有效性发表鉴证意见,并没有提及对非财务报告内部控制的关注。内部控制鉴证与内部控制审计主体及对象的比较如表6所示。
(四)内部控制鉴证与内部控制审计保证程度和风险的比较
鉴证业务的保证程度分为合理保证和有限保证。合理保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的低水平,以此作为以积极方式提出结论的基础。有限保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的水平,以此作为以消极方式提出结论的基础。根据《审计指引》的规定,内部控制审计业务属于合理保证的鉴证业务,要求注册会计师将审计风险降至可接受的低水平,对内部控制提供高水平保证,在审计报告中对内部控制采用积极方式提出结论。根据《其他鉴证业务准则》的规定,内部控制鉴证业务的保证程度根据具体情况确定,可能是有限保证也可能是合理保证。在有限保证的内部控制鉴证业务中,要求注册会计师将鉴证风险降至该业务环境下可接受的水平,对鉴证后的内部控制提供低于高水平的保证,在鉴证报告中对内部控制采用消极方式提出结论。而进一步根据《指导意见》第四条的规定“注册会计师应当保持应有的职业谨慎,关注内部控制的固有限制,获取充分、适当的证据,将审核风险降低至可接受的水平”,从这里看,内部控制鉴证要求提供有限保证,业务风险较低。内部控制审计与内部控制鉴证保证程度及风险的比较如表7所示。
(五)内部控制鉴证与内部控制
审计实施频率和报告的比较首先,从内部控制鉴证与内部控制审计目前政策规定的实施频率上看,《主板指引》对上市公司的要求与配套指引一致,上市公司每年都要聘请会计师事务所对内部控制有效性实施审计;《中小板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次审计;《创业板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次鉴证。其次,从内部控制鉴证与内部控制审计报告的内容上看,其差异主要体现在以下几个方面:首先,报告标题不同。根据《审计指引》的要求,内部控制审计报告的标题是“内部控制审计报告”,根据《指导意见》的要求,审核报告的标题应当统一规范为“内部控制审核报告”,而再根据《创业板指引》的要求,内部控制鉴证报告的标题是“内部控制鉴证报告”。其次,报告意见存在差异。从意见类型上看,《审计指引》指出内部控制审计意见包括无保留意见、带强调事项段意见、否定意见和无法表示意见;《指导意见》则指出内部控制鉴证意见包括无保留意见、保留意见、否定意见和无法表示意见。同时,报告段落不同。在内部控制审计业务中,如果审计师在审计过程中注意到被审计单位非财务报告内部控制重大缺陷,还需要对其注意到的非财务报告内部控制重大缺陷进行说明;而内部控制鉴证业务则无此要求。内部控制鉴证与内部控制审计实施频率与报告的比较如表8所示。
(六)其他方面的比较
由于内部控制鉴证与内部控制审计概念范畴、适用行为规范等方面的差异,尤其是因为内部控制鉴证保证程度与风险低于内部控制审计风险,内部控制鉴证与内部控制审计还存在其他方面的差异:(1)证据收集程序要求不同。由于鉴证业务对业务风险降低的要求比审计业务低,因此,与审计业务相比,鉴证业务在证据收集程序的性质、时间、范围等方面是有意识地加以限制的。(2)证据数量要求不同。审计业务所需证据的数量较多,鉴证业务所需证据的数量较少。(3)审计师的责任不同。内部控制审计业务中,审计师所需承担的责任也更高。(4)业务收费不同。根据《会计师事务所服务收费管理办法》(2010)的规定,会计师事务所主要是根据业务性质、风险大小、繁简程度等确定服务收费高低,因此审计业务收费比鉴证业务收费更高。
三、内部控制鉴证与内部控制审计的实施现状
(一)主板上市公司强制内部控制审计具体分析
1.2012年和2013年内部控制审计报告的披露状况2012年主板上市公司中911家披露了内部控制审计报告,披露比例为64.38%;2013年主板上市公司中1090家披露了内部控制审计报告,披露比例为75.91%。2013年主板公司内部控制审计的比例明显高于2012年。如表9所示。可以看出,大部分公司能够满足一年出具一次内部控制审计报告的要求,且2013年相比2012年有较大幅度的提高,但是仍然有一定比例的公司难以满足“每年都要聘请会计师事务所对内部控制有效性实施审计”的规定。2.内部控制审计报告规范性分析2006年以后,有关内部控制审计报告规范性的研究大量涌现,并且发现内部控制审计报告规范性存在的问题包括审计依据不统一、审计报告名称不一致、业务类型有差别等方面(袁敏,2008);随着《基本规范》和《配套指引》的实施和完善,上市公司内部控制报告也在不断规范(何芹,2012)。我们对2012年至2013年度内部控制审计报告进行分析发现,这两年的内部控制审计报告规范性较好,但是仍然有个别公司内部控制审计报告规范性存在问题,包括报告名称、审核依据及语言表述等,如表10所示。
(二)创业板上市公司内部控制
鉴证具体分析1.2012年至2013年内部控制鉴证概况根据《创业板指引》的要求,创业板上市公司应当至少两年实施一次内部控制鉴证,至2012年12月31日,上市的创业板公司共355家,82家公司2012年和2013年连续两年披露内部控制鉴证报告,占比23.10%;328家公司能满足两年披露1次内部控制审计报告的要求,占比92.39%;27家公司连续两年均未披露内部控制鉴证报告,占比7.61%。可以看出,创业板公司披露内部控制鉴证报告大多数能够为了满足两年实施一次内部控制鉴证的监管需要,但是自愿每年实施内部控制鉴证的公司并不多,而且即使在监管层要求内部控制鉴证的背景下,仍有少数公司不能按照要求披露甚至不披露内部控制鉴证报告。2012年与2013年创业板公司内部控制鉴证概况如表11所示。2.内部控制鉴证报告信息规范性与主板公司相比较,创业板公司内部控制鉴证报告信息规范性较差,还存在较多的问题,具体如下:(1)鉴证依据。与内部控制审计归属审计业务不同,内部控制鉴证业务属于其它鉴证业务,其鉴证依据是《其他鉴证业务准则》,在实务中同时参照《指导意见》的规定执行。但是从创业板内部控制鉴证报告看,鉴证依据却存在非常大的差异,除了《其他鉴证业务准则》以外,还主要有:《企业内部控制鉴证指引》、《企业内部控制审计指引》、《中国注册会计师审计准则》。(2)鉴证报告名称。根据《其他鉴证业务准则》及《创业板指引》的要求,创业板上市公司内部控制鉴证报告的名称应统一为“内部控制鉴证报告”,但是从2009年至2013年创业板公司披露的内部控制鉴证报告看,大多数公司都符合规范的要求,但也存在其他的一些报告名称,具体有:内部控制审计报告、内部控制审核报告、内部控制专项报告、内部控制专项鉴证报告、内部控制制度报告。(3)鉴证业务类型。根据《其他鉴证业务准则》和《指导意见》的规定,内部控制鉴证业务是基于责任方认定的业务,但从实际情况看,创业板内部控制鉴证报告的引言段中既有将内部控制鉴证业务作为直接报告业务,又有将其作为基于责任方认定的业务;但是鉴证报告意见段又主要是针对内部控制发表鉴证意见,即将内部控制鉴证业务作为直接报告业务对待,但是具体范围却存在不同的界定,既有针对所有内部控制发表意见,又有仅针对财务报告内部控制发表意见。(4)鉴证保证程度。根据《指导意见》的规定,内部控制鉴证业务合理保证的要求并未明确,但是从实际情况看,创业板内部控制鉴证则主要提供的是合理保证。内部控制鉴证报告信息披露规范性归纳如表12所示。
(三)进一步分析
通过对主板公司内部控制审计和创业板公司内部控制鉴证实施现状的比较,我们可以发现,从内部控制审计与内部控制鉴证的实施意愿上看,大部分主板公司能够满足一年出具一次内部控制审计报告的要求,但是仍然有一定比例的公司难以满足每年审计一次内部控制的规定;虽然大部分创业板公司能够满足两年出具一次内部控制鉴证报告的要求,但是总体来说内部控制鉴证的意愿相对较低。同时,从内部控制审计报告和内部控制鉴证报告的规范性来看,内部控制审计报告较为规范,个别公司内部控制审计报告规范性存在问题;而内部控制鉴证报告存在的问题则明显较多,具体体现在鉴证依据、鉴证报告名称、鉴证业务类型及鉴证保证程度等方面。
2.内部控制审计风险模型的目标。关于内部控制有效性的意见的形成是审计师检查内部控制的主要目标,一旦企业的内部控制中具有一个或者多个严重的缺点,那么其就属于无效。所以要想将一个表达意见的基础形成,审计师就必须要针对检查进行计划和执行,从而能够收集到科学合理的证据,并且要认真的分析是否有严重的弱点存在于管理层认定表述的特定日期当中,就算没有严重错误存在于报表当中,内部控制的严重弱点仍然可能存在。所以,在内部控制审计当中审计师的主要目标就是要将没有及时发现的内部控制设计获得,最终能够保证内部控制的有效性。
3.内部控制审计风险模型的风险。在审计内部控制的过程当中,将是否有严重弱点存在于企业的内部控制系统当中确定下来是审计师的主要目标,审计师如果认为仍然存在没有下降到最低点的未被发现严重弱点的风险,那么审计师就不能将无保留意见在内部控制当中发表,所以在内部控制风险当中最为主要的风险就是有严重的弱点存在于企业内部控制当中然而设计师却没有发现的风险。
4.内部控制审计风险模型的内涵。
(1)固有风险:财务报表在假设没有控制的情况下出现的重大错报的风险就是所谓的固有风险,固有风险不仅包括与整个报表相适应的总体风险因素,同时也包括与单个账户余额特定认定相适应的固有风险。如果具有较低的固有风险,就算是存在无效的控制,那么也会具有较低的严重缺弱点的风险。这主要是因为在对某个是否构成严重弱点的缺陷进行判断的时候,需要针对不能够通过内部控制阻止或者发现的重大错报的程度和可能性进行整体判断。
(2)控制运作有效性风险:审计师需要以对控制设计与执行风险、固有风险以及总的内部控制审计风险的判断为根据,最终将控制运作有效性风险的高低确定下来,并且将控制测试的程度确定下来。
(3)控制设计和执行风险:审计师在对内部控制的设计和执行进行分析的时候需要以固有风险的情况为根据针对控制设计和执行的充分性进行判断,这种情况指的是审计师在对控制的充分性进行判断的时候,必须要对可能有哪些差错会在没有内控的情况下出现进行考虑。如果具有较高的固有风险,企业要想针对差错进行及时的改正就必须要加强自己的内控措施,如果固有风险不断的降低。那么就会具有越来越弱的对控制的需求。
二、如何在整合审计以及内部控制审计当中针对这一模型进行运用
在相关的规定当中,审计师在针对内部控制进行审计的时候可以单独来进行,同时也可以整合财务报表审计及内部控制审计一起进行。想对这一规定具有清晰的理解,就必须要清楚以下两点内容:首先,财务报表审计以及内部控制审计作为两种审计业务具有不同的目标;其次是可以有效地整合财务报表审计及内部控制审计一起进行。审计师在进行单独的内部控制审计当中能够对内部控制审计风险模型进行直接的运用。而如果审计师要想整合财务报表审计以及内部控制审计而同时进行,那么在整合审计的具体过程当中审计师应该要对两个风险模型进行相互使用。首先,审计师的决策框架必须要是内部控制审计风险模型,其能够对控制测试的程度起到决定性的作用;其次,在针对实质性测试的程度进行判断的时候,审计师的决策框架应该是是财务报表审计风险模型。在将内部控制审计测试执行完之后,如果审计师将具有较低的未发现严重弱点的风险的结论得出来,这时候就会具有较低的财务报表重大错报风险。导致这种情况发生的主要原因是有效的内部控制能够对固有风险产生很好的克服作用,其能够对重大的错报起到有效的预防以及更正的作用。如果审计师在整合审计的过程中没有发现具有较低的严重弱点的风险,这时候通常会对较低的重大错报风险进行假设,然后开展实质性测试。审计师如果以自身对内控设计以及执行的理解为根据开展整合审计,同时认为并非具有较低的重大错报风险,会有严重的弱点存在于预期当中,那么审计师判断的概念框架就是内部控制审计风险模型,这样就能够对足够的证据进行搜集,从而将内部控制的有效性鉴证意见发表出来。如果审计师在整合审计的过程中认为设计和执行内部控制具有较大的有效性,那么审计师就应该针对内部控制运作的有效性进行充分的测试。在将该测试完成之后,审计师如果认为控制运作仍然有效,那么通常也就会认为具有较低的未发现严重弱点的风险,所以设计师就完全可以将内部控制的有效性发表审计意见发表出来,同时针对财务报表审计的实质性程序进行进一步的计划。在改进内部控制审计准则的时候应该注意以下几点:首先要将只是在财务报表审计当中适用的财务报表审计的风险模型说明;其次在对准则进行制定的时候需要将讨论的风险种类具体说明;最后需要将对内部控制审计风险模型以及财务报表审计风险模型进行使用的说明提供出来。