前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的财务报表审计责任主题范文,仅供参考,欢迎阅读并收藏。
鉴证业务和相关服务是注册会计师开展的两种业务类型,而对于鉴证业务而言,其又细分为直接报告和基于责任方认定。这主要是因为:第一,财务报表审计和内部控制审计从整体上可以划分为鉴证业务,也可以细分为基于责任方认定的业务,因此这两种业务类型都是基于责任方认定的保证业务。第二,财务报表审计和内部控制审计的根本目的都是为了把真实、准确的财务信息提供给报表使用者,而且二者都非常重视风险的导向,基于这样的内在联系,为了降低会计师事务所的审计成本,在最大程度上减轻被审计单位的各种负担,应整合审计内部控制和财务报表,这样不仅能够大大提高审计效率,降低审计中的风险,而且能够有效提高上市公司的财务信息质量。因此整合审计兼顾被审计单位、相关利益者和注册会计师行业利益的一项切实可行的制度安排。
二、整合审计可行性的分析
在审计实务中整合审计是可行的,主要是因为:第一,财务报表审计和内部控制审计这两种审计业务的目标都是为了使会计信息质量得到提高,从而使整合这两种审计业务在根本上存在可行性。第二,这两种审计业务都需要对内部控制进行了解和测试,有很多工作内容比较相近,可以相互利用工作成果,提高审计效率。第三,整合审计对注册会计师而言不仅能够有效控制审计风险,而且能够降低审计成本、最终实现审计目标。
三、在整合审计中需要实施的程序和方法
(一)审计计划阶段
在这个阶段注册会计师应把重要性的可接受程度确定下来,而在审计实务中财务报表审计和财务报告内部控制审计对重要性的可接受水平是一致的,注册会计师判断内部控制是否存在重大缺陷是通过测试内部控制是否能够对财务报表的重大错报行为提早防止和发现来进行。如果同一公司的财务报表审计和内部控制审计业务委托给同一注册会计师时,那么注册会计师就要结合这两种审计业务来制订相应的审计计划,同时应当评价对财务报表和内部控制产生重要影响的因素有哪些,及其对审计工作的影响程度,此外审计计划还应考虑风险评估、舞弊风险、公司规模、利用他人的工作等因素。
(二)风险评估
财务报表审计根据风险导向理念要求必须对被审计单位及其所处环境进行详细的了解,而这也是内部控制审计需要执行的程序,因此只需执行一次整合审计业务,对被审计单位内部环境了解的要求程度上,内部控制审计要高于财务报表审计,因此内部控制审计对内部控制的了解成果完全可以财务报表审计所利用。风险评估是注册会计师进行整合审计的基础,是注册会计师在财务报表审计时要充分识别和评估财务报表存在的重大错报风险,并以此设计和实施必要的审计程序来应对。风险导向、自上而下的审计方法应贯穿于内部控制审计的整个过程,源于企业层面的内部控制和对业务流程层面的内部控制统称称为内部控制,而源于企业层面的内部控制在其中起着决定性的作用,将对财务报表审计中实质性测试和内部控制审计中业务层面控制测试产生影响。
(三)舞弊的特殊考虑
第一,注册会计师在整合审计中可能会借助内部控制的一个或几个要素而发现存在的舞弊风险。第二,制订具体的措施来应对管理层舞弊的高风险领域,从而降低审计失败的风险。第三,因为无论是财务报表审计还是内部控制审计对舞弊的评估结果都是相关的,因此当注册会计师在内部控制审计过程中发现存在舞弊,就意味着内部控制需要完善,将对财务报表审计实施的实质性测试的范围、时间安排等产生影响。而如果财务报表审计种存在重大错报,也将对内部控制审计实施的控制测试的范围、时间安排产生影响。
(四)出具审计报告
注册会计师在最终形成审计意见并出具审计报告时应对识别的内部控制缺陷和发现的重大错报进行综合评价,并要考虑获得的审计证据是否适当、充分。整合审计的各个部分审计结论都是相互关联、互相支撑,内部控制包括财务报表审计的控制测试和内部控制审计的结果,注册会计师实施控制测试并对内部控制的有效性得出结论。因为这种控制既对财务报告内控的有效性产生影响,也对报表审计中的风险控制评估产生影响。目前我国仍然要求对两种审计要单独出具审计报告,而以后在这方面我们可以借鉴美国的审计准则,允许注册会计师在审计实务中选择单独或合并出具财务报表审计报告和内部控制审计报告。
关键词:内部控制 内部控制审计 财务报表审计 整合审计
一、内部控制审计产生的背景
(一)美国财务报告内部控制审计准则制定背景 2001年安然事件及其随后的世通等一系列公司经营失败事件严重地损害了公司相关利益者的利益,使人们对对美国资本市场的稳定性和公允性产生了怀疑。为了应对这一严重后果,美国国会于2002年7月颁布了由其总统签署的《萨班斯一奥克利法案》。其中,法案404(a)条款要求上市公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的注册会计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。为贯彻执行404条款,美国PCAOB(公众公司会计监管委员会)于2004年3月了第2号审计准则:《与财务报表审计相整合的财务报告内部控制审计》(以下简称ASNO.2),就审计人员根据上市公司管理当局对内部控制有效性的评估报告进行审计做出了具体、详尽的指导。AS No.2成为审计师审计财务报告内部控制,鉴证管理层评估内部控制有效性的标准和依据,从而导致了审计实务的重大变化。PCAOB于2007年5月颁布第5号审计准则《与财务报表审计一体化的财务报告内部控制审计》(以下简称AS NO.5)。AS NO.5在保持了AS NO.2揭示内部控制重大薄弱环节、降低财务报表出现重大错报可能性的基础上更加强调对重要控制的关注,并通过删除不必要的审计程序、修订小规模企业审计准则和简化审计准则来提高揭示重大控制缺陷的效率和准则的可阅读性。
(二)我国企业内部控制审计的发展 内部控制鉴证是注册会计师的重要业务,我国相关证券和金融监管法规中都要求聘请会计师事务所对内部控制进行独立鉴证或评价。为满足注册会计师从事上市公司首发和再融资业务的需要,中国注册会计师协会于2009-年了《内部控制审核指导意见》(以下简称《意见》),从而正式确立了我国的内部控制鉴证规范。《意见》第二条说明内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。随着证券市场的发展,我国内部控制鉴证规范已难以适应推动公司管理层切实履行经营管理和受托责任、保护投资者利益和提高审计效率、效果的需要,且不能实现与国际惯例接轨。2008年5月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年魔胄我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由此引出注册会计师需要对企业内部控制进行评价并出具审计报告。《企业内部控制基本规范》为我国企业内部控制制度建设提供了基本标准,在此基础上正在制定与内部控制相关的一系列操作指引。我国为了完善内部控制鉴证规范,在2008年了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。
二、内部控制审计相关概念界定
(一)广义内部控制 20世纪90年代,美国“发起组织委员会(cOSO)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制(缪艳娟,2007)。我国2008年制定的《企业内部控制基本规范》中的内部控制,是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由定义可以看出,我国基本采用了美国COSO中内部控制的定义,笔者认为这应是广义的内部控制,这一定义为我国内部控制制度建设提供了基本标准,也是本文所采用的内部控制的涵义。
(二)狭义内部控制笔者认为,狭义内部控制的定义应借鉴PCAOBASNO.5审计准则所定义的“财务报告内部控制”。我国的狭义内部控制应定义为,由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。狭义内部控制包括以下方面的政策和程序:保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况;合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权;合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。这一狭义内部控制概念的提出主要是为注册会计师对企业内部控制进行审计时,专门针对财务报告领域的内部控制有效性发表审计意见。
(三)内部控制审计在借鉴美国ASNO.5"财务报告内部控制审计”概念的基础上,结合我国具体情况,笔者认为我国内部控制审计可定义为:注册会计师接受委托,对企业在特定时点(以下称审计基准日)管理层针对与财务报告相关的内部控制有效性做出的自我评价进行审计,并发表审计意见。需要说明的是此时的内部控制是前文述及的狭义内部控制,如果注册会计师对内部控制的所有方面进行评价,即对广义内部控制进行评价,其可行性受到一定制约,超出了其专业胜任能力,因此评价范围应具体有所指,才真正具有实际意义和可行性。
三、内部控制审计与财务报表审计的关联分析
(一)业务类型相同 注册会计师的业务类型包括鉴证业务和相关服务。根据鉴证对象信息是否能被预期使用者获取,鉴证业务分为基于责任方认定的业务和直接报告业务;根据保证程度,鉴证业务可以分为合理保证业务和有限保证业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价和计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在内部控制审计中,被审计单位管理层(责任方)对与财务报告相关的内部控制的有效性(鉴证对象)进行评价而形成评估报告(鉴证对象信息),即为责任方的认定,该评估报告可为预期使用者获取,注册会计师针对评估报告出具审计报告。在财务报表审计中,被审计单位管理层(责任方),对财务状况、经营成果和现金流量(鉴证对象)进行确认、计量和报告而形成财务报表(鉴证对象信息),即为责任方的认定,该财务报表
可为预期使用者获取,注册会计师针对财务报表出具审计报告。通过上述分析可知,内部控制审计与财务报表审计都属于基于责任方认定的,合理保证的鉴证业务,两者业务类型相同。但实务中注册会计师对与财务报告相关的内部控制的评价是主观的、定性的,能否真正做到合理保证还存在疑问。
(二)审计目标的共同性 虽然对内部控制审计和财务报表审计的目标各有所侧重,但两者的共同目标都是为了向企业外部信息使用者提供决策有用的高质量的会计信息提供合理保证,提高对外公布的财务报表信息的质量。
(三)控制测试对实质性程序的影响 如果在内部控制审计中识别出某项控制缺陷,注册会计师应当确定该项缺陷对为将财务报表的审计风险降至适当的低水平,拟实施的实质性程序的性质、时间和范围的影响(如有任何影响)。无论与财务报表审计相关的控制风险评估水平或评估的重大错报风险如何,注册会计师都应当对所有相关认定实施实质性程序。为对内部控制发表意见而实施的程序并不减弱该项要求。
(四)实质性程序对注册会计师就控制运行有效性结论的影响 在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对内部控制有效性的影响。评价内容主要包括:注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;发现的违反法规行为和关联方交易情况;表明管理层在作出会计估计和选择会计原则时存在偏见的情况;实质性程序发现的错报。该项错报的严重程度可能使注册会计师改变对控制有效性的判断。为了获取有关选择拟测试的控制是否有效的证据,注册会计师应当直接测试该项控制,而不能根据实质性程序没有发现错报,推断该项控制的有效性。然而,注册会计师实施实质性程序没有发现错报,也有助于注册会计师在确定针对某项控制的有效性得出结论所必需的测试时作出风险评估。
(五)工作成果可以互为所用 由于财务报告内部控制审计和财务报表审计相互影响,为了节约审计成本和审计资源,二者的工作成果可以互为所用而且不会降低审计质量。具体来讲:当注册会计师接受委托,对企业财务报表进行审计的同时,又受托对该企业内部控制进行审计。此时注册会计师需要对内部控制进行审计并提出审计报告,在其进行财务报表审计时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。当注册会计师已对内部控制进行了审计并已提供审计报告,之后又接受委托对该企业财务报表进行审计,这样在进行财务报表审计时不需进行内部控制评价。可以直接利用内部控制审计报告中的结论。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任.关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。当注册会计师先接受委托对企业财务报表进行审计,并提供了财务报表审计报告,此后才接受委托对该企业的内部控制进行审计。在这种情况下,注册会计师在财务报表审计时一般已进行了内部控制评价,并且可能提供了管理建议书,因此注册会计师在内部控制审计中可以利用财务报表审计中的内部控制评价结论,但这一结论的准确度一般不高,注册会计师不能直接利用,而要在其基础上,补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价,并出具审计报告。
四、我国企业内部控制审计的现实选择
(一)内部控制审计与财务报表审计的整合 通过对内部控制审计和财务报表审计的比较可以看出.两者业务类型相同.都属于基于责任方认定的合理保证业务;工作的最终目的都是为外部信息使用者提供高质量的会计信息;两者都强调风险导向思路,即评估、识别和应对风险;且两者的工作成果相互影响,互为所用。鉴于二者的关联性,将内控制审计和财务报表审计进行整合,将有助于提高审计效率,保证审计质量。美国AS NO.2也明确指出,上市公司的审计人员需要在财务报表审计的同时进行财务报告内部控制审计,并提出了整合审计的理念(Integrated Audit)。在对内部控制审计与财务报表审计整合进行时,注册会计师应有效、协同地计划和执行审计工作,以实现两者的目标。在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
一、研究背景及研究意义
内控审计和财务报表审计息息相关,二者都是鉴证类业务。内部控制审计是指注册会计师接受委托,对特定基准日内部控制设计与运行有效性进行的审计,更加关注控制活动和过程,关注管理活动的有效性;财务报表审计是对被审计单位财务报表的合法性和公允性的审计,更加关注控制结果,关注具体定量数据的公允性。因此,二者作为不同的鉴定业务,需要各自分别进行审计测试,出具不同的审计报告。需要指出的是,财务报表审计意见与内控审计意见可以相互印证,然而并不一定完全一致。内控的否定意见报告并非对财务报表真实性及公允性的否定。上市企业应正确面对内控审计发现的问题,不断加强完善和整改,促进企业管理水平的提升。
2002年7月,美国政府和国会通过了SOX法案,该法案于2003 年6月正式实施。其中法案第404条款(a)要求管理层对公司财务报告内部控制结构和程序有效性进行评估,第404 条款(b)要求编制或出具审计报告的会计师事务所应该对管理层内部控制有效性的评估进行鉴证并出具报告。我国财政部于2010年4月出台了《企业内部控制基本规范》的配套指引,该指引自2012年1 月1日起在上海证券交易所施行。深圳证券交易所主板上市的公司施行“执行企业内控规范体系的企业,必须聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。”这对我国之前所的现行规定进行了整合,改变了不同层次之间要求不同,同一层次的规定也存在差异的混乱局面,对于内部控制审计的要求由非强制性改为强制性。这就意味着,我国的A股上市公司必须对财务报表和内部控制进行双重审计,增加了企业的审计成本。在如今的经济背景下,整合审计已经在我国有了一定的应用,但是在实施整合审计的过程中,会遇到什么样的问题及企业与事务所是如何应对的,值得研究。
二、整合审计文献综述
1.国内文献。我国内部控制审计最早始于对内部控制的审核,这为我国学者研究财务报表审计与内部控制审计的关系打开了思路。目前学术界有不少学者均是通过内部控制审核来研究财务报表与内部控制整合审计的。孙银刚指出,根据审计的范围、重点及方法,内部控制审计既可以作为独立的审计业务,又可以作为财务报表审计业务中一个程序或环节,以提高审计工作效率和质量,降低审计成本和审计风险。王军只配对分析了2007年上交所上市公司首次内控审计对盈余质量的影响,实证结果显示,无论是分行业还是以全样本,首次实施内控审计的公司盈余质量得到了明显改善。整合审计将产生范围经济,降低内控审计成本。安永的调查结果显示,执行 AS 5 第二年的审计成本下降 46%,其中两项审计工作更好地整合是一个主要原因。但整合审计是否会影响审计独立性,从而影响审计结果,降低财务信息质量?对此,美国审计质量中心指出,不同于审计业务与咨询服务之间存在独立性的冲突,会计师事务所需要分别对年报审计报告和内控审计报告的意见类型承担责任,不存在为了获得一项业务而牺牲另一项业务的审计独立性问题。我国内部控制审计指引对于整合审计并未作出强制规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。
2.国外文献。安永通过一项调查发现,注册会计师与上市公司管理人员均认同执行AS5 第二年的审计成本将下降 46%,其中两项审计工作将更好地整合是一个主要原因。
CAQ指出财务报表审计与内部控制审计由同一家会计师事务所整合进行会提高审计效果和效率,降低审计成本,减少重复劳动,避免审计判断出现不一致。与此同时,两项审计工作由同一家会计师事务所整合进行并不会影响审计独立性,因为会计师事务所需同时对两个审计意见都承担责任,不存在为了确保得到一项业务而牺牲另一项业务的审计独立性问题,这一点与管理咨询业务和审计业务之间存在独立性冲突的情况不同。
三、实施整合审计的必要性与可行性
注册会计师的业务类型包括鉴证业务和相关服务。鉴证业务又分为基于责任方认定的业务和直接报告业务。首先,内部控制审计和财务报表审计都属于鉴证业务,也都属于基于责任方认定的业务。可见,二者业务类型都属于基于责任方认定的合理保证业务。其次,二者工作的最终目的都是为利益相关者提供高质量的财务信息,同时二者都强调风险导向审计思路。正是由于二者存在上述关联关系,所以,应当将内部控制审计和财务报表审计整合进行,否则会加大会计师事务所制度运行成本,并增加被审计单位的经济负担和工作负担;整合审计既可以提高审计效率,降低审计风险,又可实现提高上市公司财务信息质量的最终目的。可见,整合审计是一种经济可行、切实兼顾了社会公众、被审计单位和注册会计师行业三者利益的制度安排。美国PCAOB及加拿大等国家均采用整合审计这种制度模式,效果很好。
将内部控制审计和财务报表审计整合进行在实践中具有可行性。原因有三:第一,两种审计服务的最终目标一致,都是为提高财务信息质量。目标的一致性从根本上决定了将二者进行整合的可行性。第二,在两种审计中有大量工作内容相近,而且在某一类审计中发现的问题还可以为另一类审计提供线索和思路,使工作成果能够互相利用,充分发挥审计作用。比如,如果在财务报表审计中发现了重大错报,则说明财务报告内部控制肯定存在重大缺陷,可以为内部控制审计提供线索。第三,财务报表审计和内部控制审计必须由同一家会计师事务所实施,这为内部控制审计和财务报表审计整合提供了外部条件和实施基础。由同一事务所负责同时审计同一上市公司的相关内部控制和财务报表,更有利于注册会计师适当节省审计成本、控制审计风险和实现二者的审计目标。而且目前从世界范围看,没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标。
四、上市公司应如何更好地实施整合审计
现阶段,整合审计实施的必要性已毋庸置疑。为实现更好的整合审计,企业需要理清内控和财报审计的联系和区别:财报审计要求企业评价其重大财务风险,内控审计同时要求企业披露重大缺陷,区别在于前者强调结果,后者注重过程。对于大多数企业来说,操作的误区往往在于不能从整合的操作体系出发,吸收不同专业领域的人员构建团队,有效的整合可以遵循一个流程、一套工作底稿和参照样本,实现一箭双雕的目的。内部控制建设的一个目标是让企业在没有外部审计的情况下实现审计的正确性,合乎会计准则。从企业配合的角度讲,内部控制要涉及整个业务流程,发现问题及时整改。从企业在选择事务所角度来说,企业的财务状况,经济实力,未来发展战略以及企业高管的权利集中程度,董事会的选择等等,都会影响企业事务所的选择。企业应做好配合的工作,加强内部控制的建设与实施,力争有良好的内部控制系统更好的应对整合审计的审计目标与程序。上市公司和事务所配合方面,监管部门要求公司结合自身特点进行披露,基于对自身业务的了解,切不可借鉴专业机构的审核底稿。对于披露中存在的缺陷要正确认识,并进一步分析是否可以通过持续的评价弥补缺陷,给投资者信心。
五、事务所在实施整合审计的过程中应注意的问题
随着内控建设地位的加强,整合审计作为国际社会普遍采用的内控审计受到越来越多的青睐。财务报告整合审计是结合财务报告审计和财务报告内部控制审计的专业工作方法。同时,信息技术审计是财务报告审计和财务报告内部控制审计的一个关键审计工作。与非整合审计相比,整合审计具有:节约社会成本和审计成本,内控审计与报表审计人员的系统安排和无间距衔接,两项审计结论可以充分及时地相互印证,提升被审计单位在公众中的公信度,保证和提升审计质量及效率等优势特点。
【关键词】内部控制鉴证;财务报表审计;供求关系
近年来,随着我国资本市场的发展,企业规模和业务日趋复杂,相关利益各方更加关注企业经营和盈利状况,内部控制作为企业经营效率和效果的有力保证也越来越受到关注,对企业内部控制鉴证也提出了更高的要求。为了促进我国资本市场的发展,近年来,国家相关部门制定了一系列相应的法律法规来规范企业内控鉴证业务。但是,已经的指引、公告中对内控鉴证的一些概念问题仍然界定不清,主要包括:内控鉴证是合理保证业务还是有限保证业务;内控鉴证是基于责任方认定的业务还是直接报告业务。而这些争论的问题关系到内控鉴证制度能否达到预期的效率和效果。同时,内部控制审计与财务报表审计的关系也是一直受到关注的问题。2010年4月26日,财政部会同证监会,审计署,银监会和保监会共同了《企业内部控制审计指引》。该指引是在已经的指引、公告的基础上,对尚处于模糊,理论界和实务界仍存在争议的一些问题进行了重新界定,对注册会计师在实务操作中提出了更加详细、严格的要求。《企业内部控制审计指引》的实施对于推动企业内部控制建设,拓展注册会计师的业务范围,以及促进资本市场的健康发展都具有十分重要的现实意义。
一、内部控制鉴证问题的定位分析
1.内部控制鉴证业务应为合理保证业务。内部控制鉴证应该确定为何种保证程度的业务一直存在着两种争议。一些学者认为我国现阶段应将内控鉴证确定为有限保证业务,即内部控制审核。他们认为,和西方成熟的资本市场,完善的内部控制制度相比,我国资本市场还只是处于发展阶段,对内控的鉴证程序、方法等还不成熟,难以收集到合适的证据。因此,只能提供有限保证。同时,如果将内控鉴证定位为合理保证业务,需要注册会计师收集更多的证据,实施更复杂的审计程序。这样不仅导致成本增加,而且也可能超过注册会计师的能力范围。有些学者认为应将内控鉴证定位为合理保证业务。他们指出,从内控鉴证的需求方预期使用者考虑,他们需要注册会计师对内控鉴证提供一个较高质量的保证,因此,内控鉴证应定位为合理保证业务。同时,准则规定,财务报表审计是提供合理保证,内部控制作为财务报表审计中的必要审计程序,如果将其定位为有限保证,可能会对财务报表审计的合法性和公允性产生不利影响。除此之外,美国、日本等国家已经将内控鉴证定位为合理保证业务。这些国家的内控发展比我国成熟,其内控鉴证由有限保证发展为合理保证,是理论和实践检验的结果。我国也应该顺应这种发展趋势。从内控鉴证报告的供求双方考虑,应将其确定为合理保证业务。对需求方预期使用者而言,由于内部控制设计和运行的有效性直接关系到企业经营的效率和效果。投资者为了避免经济损失,需要注册会计师为企业内部控制的有效性进行鉴证,并提供合理保证。对供给方而言,注册会计师进行财务报表审计时,已经收集了大量的审计证据,他们已经具备为内部控制提供更高水平保证的能力。同时,由于内部控制审计和财务报表审计两者之间在最终目标,业务类型上也有相同性,内控审计可以利用财务报表审计的成果。这样注册会计师在提供高水平保证的同时也可以节约审计资源,降低成本。因此,将内控鉴证确定为合理保证业务有利于预期使用者、注册会计师各方。目前,我国的《企业内部控制审计指引》第四条规定,“注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证”也支持了笔者的观点:应将内控鉴证确定为合理保证业务。
2.内部控制鉴证应为直接报告业务。按照提出结论的对象不同,内控鉴证业务有两种不同的选择:基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,注册会计师对管理层内部控制评价报告进行审计,其责任在于确定管理层内控评价报告的恰当性,关注的重点是内控评价报告是否符合要求。而在直接报告业务中,注册会计师直接对企业内部控制进行审计并对内部控制的有效性发表意见,其责任在于确定内部控制是否有效,关注的重点是内部控制设计与运行的有效性。一些学者认为应将内控鉴证定位为基于责任方认定的业务,他们指出,内部控制最初目标就是为了加强预期使用者对基于责任方内控认定的信任程度,从而要求注册会计师对其责任方认定发表意见,本质上,这就是基于责任方认定的业务。同时,如果将内控鉴证定位为直接报告业务,将不利于管理层了解和管理、规范企业的内部控制,预期使用者也无法了解管理层对内控的态度。有些学者认为应将内控鉴证定位为直接报告业务。其理由是,在直接报告业务中,注册会计师不仅仅局限于了解管理层对内部控制评价报告中的内容,而且能够了解企业内部控制中的其他问题。而这些问题有时是影响内部控制设计和运行有效性的关键因素。将内部控制鉴证定位为直接报告业务更为合适。内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部控制。在直接报告业务中,审计意见的类型直接取决于内部控制的有效性。这与目的正好相符。而在基于责任方认定的业务中,注册会计师是对基于管理层的内控评价报告进行审计并提出意见,如果被审计单位的内部控制存在缺陷而管理层在内控评价报告中已经作出披露,注册会计师仍可以出具无保留意见的审计报告。只有当被审计单位内部控制存在缺陷而管理层未发现或未作出适当披露,注册会计师才能出具其他意见的审计报告。因此,这将可能误导预期使用者对企业内部控制有效性的理解。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。”此规定正好说明了是对内部控制设计与运行的有效性发表审计意见,即直接报告业务。
二、内部控制审计与财务报表审计的关系
从近年来的一系列关于内控鉴证业务的规定中可以看出,对内控鉴证业务的规定越来越趋向于财务报表审计的规定。这说明对内控鉴证业务要求越来越高。虽然两者审计对象不同,各自发表独立的审计意见。但是,通过对财务报表审计与内部控制审计的比较可以看出,两者审计的最终目的相同,都是为外部信息使用者提供高质量的审计信息。同时,审计程序也有相同之处。因此,两者可以相互利用其工作成果。这就意味着,内部控制审计和财务报表审计可以进行整合。在保证审计质量,提高审计效率的同时,节约审计资源和降低成本。基于以上理由,《内部控制审计指引》第五条规定,“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。”
随着我国资本市场的发展,内部控制在企业发展中将起到越来越重要的作用。因此,企业利益各方对内部控制的要求越来越高。五部委联合的《企业内部控制审计指引》中对一些争议概念的清晰界定,将有助于注册会计师更加规范、高质量地完成内部控制鉴证业务。同时,该指引的对于推动我国内部控制建设,发展注册会计师业务的理论创新具有十分重要的现实意义。
参考文献
[1]财政部等五部委.企业内部控制规范[J].北京:中国财政经济出版社,2010
[2]中国注册会计师协会.审计[J].北京:经济科学出版社,2011
[3]刘明辉.内部控制鉴证:争论与选择[J].会计研究.2010(9)
[4]孙文刚.内部控制鉴证的对象与内容兼评《企业内部控制指引(征求意见稿)》[J].会计之友.2009(9)
内部控制鉴证应当界定为何种性质的业务,是合理保证的鉴证业务(内部控制审计),还是有限保证的鉴证业务(内部控制审核),一直是学术界和职业界争议的话题。张龙平、刘光忠(2010)认为,财务报告内部控制审计作为一种新的制度安排,在美国经历了三个阶段:财务报表审计中的内部控制评价阶段、内部控制审核阶段和内部控制审计阶段。美国公众公司会计监督委员会(PCAOB)的AS No.2及其后的AS No.5要求注册会计师对企业内部控制进行审计,而之前美国注册会计师协会(AICPA)的SSAE No.2仅要求注册会计师对企业内部控制进行审核。在我国,中国注册会计师协会印发的《内部控制审核指导意见》认为,内部控制审核是指注册会计师接受委托,就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。显然,指导意见将内部控制鉴证业务的性质定位于有限保证,而财政部等五部委的《企业内部控制审计指引》却把内部控制鉴证业务的性质界定为合理保证。日本企业会计审议会的《内部控制评价与审计准则》也是把内部控制鉴证作为合理保证的鉴证业务。这表明职业界和监管层对内部控制鉴证业务性质的认识经历了一个由有限保证到合理保证的演变。
目前,各国倾向于把内部控制鉴证业务界定为合理保证的鉴证业务(内部控制审计),我们认为主要是基于以下原因:第一,鉴证业务环境决定了鉴证业务的需求和供给。首先,本世纪初安然、世通等公司的财务舞弊事件发生后,人们逐步认识到健全有效的企业内部控制对于预防财务舞弊、保护投资者利益的重要性。政府监管机构、投资者甚至社会公众要求企业对外披露其内部控制信息,并要求注册会计师提高对企业内部控制有效性的保证程度以增强企业披露的内部控制信息的可靠性和可信度。注册会计师职业作为一种依附型职业,要想继续生存和获得长远发展,必须满足预期使用者对内部控制鉴证业务的需求。再者,尽管将内部控制鉴证业务界定为合理保证的业务,注册会计师所承担的鉴证业务的风险相对更大些,但是所获取的审计证据却更为充分和适当,可以为内部控制鉴证提供更高程度的保证。这样,注册会计师不可避免地要提高内部控制鉴证业务的保证程度,促使内部控制审核向内部控制审计转变。第二,内部控制鉴证的保证程度要与财务报表审计的保证程度相一致。目前,各国允许内部控制审计与财务报表审计整合进行。在内部控制审计过程中所取得的审计证据可以作为财务报表审计中的内部控制评价的审计证据使用,财务报表审计过程中所取得的审计证据也可以作为内部控制审计的证据使用。这样,在内部控制审计与财务报表审计的整合进行中,注册会计师为财务报表审计提供合理保证,相应地也要为内部控制审计提供合理保证;否则,分别在内部控制审计和财务报表审计中所获取的审计证据的充分性以及适当性会存在差异,导致审计证据的交叉运用价值降低。将内部控制鉴证业务的性质定位于合理保证,要求注册会计师对企业内部控制的设计和运行实施更为详尽的审计程序,获取更为充分适当的审计证据,从而为财务报表审计提供更为可靠的依赖基础。更为重要的是,这样有助于督促企业更加重视内部控制的健全和完善。
二、内部控制鉴证业务的类别
内部控制鉴证业务应当划分为基于责任方认定的业务还是直接报告业务,也是学术界和职业界一直在探讨的问题。美国AS No.5认为,在财务报告内部控制审计中,注册会计师的目标是对公司财务报告内部控制的有效性发表意见”,但是其又指出本准则为注册会计师审计管理层针对财务报告内部控制有效性作出的评估设立要求和提供指导。可见,PCAOB虽然倾向于将内部控制鉴证业务划分为直接报告业务,但在AS No.5中却未作出清晰、明确的界定,仍然留有将内部控制鉴证业务归类为基于责任方认定的业务的“痕迹”。日本《内部控制评价与审计准则》规定,承担财务报表审计的审计人员,对管理层进行的财务报告内部控制有效性的评价结论进行审计的目的,在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则,在所有要点上是否适当表明内部控制有效性的评价结论,将基于审计人员自身取得的审计证据进行判断的结果作为意见,予以表明。显然,日本企业会计审议会对内部控制审计的类别归属采用了基于责任方认定的业务的观点。在我国,从《内部控制审核指导意见》到《企业内部控制审计指引》,内部控制鉴证业务的类别归属经历了由基于责任方认定的业务向直接报告业务演变的过程。
我们倾向于将内部控制鉴证业务划分为直接报告业务,主要是基于以下缘由:第一,降低审计成本的考虑。基于责任方认定的业务的逻辑顺序是:首先,责任方按照标准对鉴证对象进行评价和计量,形成责任方认定,注册会计师获取该认定;然后,注册会计师根据适当的标准对鉴证对象再次进行评价和计量,并将结果与责任方认定进行比较;最后,注册会计师针对责任方认定提出鉴证结论,或直接对鉴证对象提出结论。而在直接报告业务中,无论责任方认定是否存在、注册会计师能否获取该认定,注册会计师在鉴证报告中都将直接对鉴证对象提出结论。可以看出,如果将内部控制鉴证业务定位为基于责任方认定的业务,那么,注册会计师在内部控制鉴证业务中需要实施更为复杂的审计程序,需要消耗更多的审计资源,审计成本相应增加。第二,将内部控制鉴证业务归为基于责任方认定的业务,可能会引起预期使用者的误解。如果企业的内部控制设计和运行存在缺陷,而责任方在企业内部控制评价报告中对其内部控制的缺陷进行了如实披露,那么注册会计师就要对企业的内部控制评价报告发表无保留的审计意见。并非所有的预期使用者都具有完备的内部控制知识结构,而且预期使用者更倾向于关注注册会计师的内部控制鉴证报告,而不是企业管理层的内部控制评价报告,这样就有可能引起少数预期使用者的误解,认为注册会计师出具了无保留意见的内部控制鉴证报告,则企业内部控制设计和运行就不会存在缺陷,而事实上却存在缺陷。
三、内部控制鉴证的时间范围
内部控制鉴证业务的时间范围主要有时点观和时期观两种。美国AS No.5在附录B中指出,为了对截至某一时点的财务报告内部控制发表意见,注册会计师应当获取财务报告内部控制在一段足够长期间内有效运行的证据,这个期间可能短于公司财务报告涵盖的整个期间(通常为一年)。日本《内部控制评价与审计准则》要求,审计人员对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则,对财务报告内部控制的评价在所有的要点上是否合理列示,通过内部控制审计报告表明意见。这一意见,是对期末日的财务报告内部控制有效性的评价表明的意见。在我国,注册会计师协会的《内部控制审核指导意见》采用了时点观,财政部等五部委的《企业内部控制审计指引》也采用了相同的观点,但财政部会计司、中注协在解读《企业内部控制审计指引》时指出,注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。在学术界,吴水澎、陈汉文、邵贤弟(2000)认为应当对企业内部控制进行整个年度的审计与报告,理由是某一时点有效的内部控制不能保证年度财务报告的可靠性或企业在整个经营期间内守法经营;李爽、吴溪(2003)认为对整个年度的内部控制作出评价,其成本是极其高昂的,而且也是不可能的,因此,注册会计师应当对内部控制特定时点的有效性发表意见,但要对合理期间的内部控制进行测试;刘明辉、何敬(2009)运用管理学中的“有限理性”对注册会计师的内部控制鉴证行为进行分析,并从法的合理性角度探讨内部控制鉴证业务相关制度安排,认为注册会计师应当对企业特定期间的内部控制进行了解和有限测试,并对特定时点有效性发表意见。
关键词:内部控制;内部控制审计;内审;注册会计师审计
中图分类号:F239.45 文献识别码:A 文章编号:1001-828X(2017)001-000-01
有效的内部控制审计可以帮助企业防范风险,是企业运营的有力保障,对企业的发展有着不可估量的作用和影响。我国经济建设水平持续升高,特别是加入 WTO 之后,面R新的机遇与挑战,企业内部控制审计在有效控制企业风险,提高企业综合竞争力方面起着举足轻重的作用,笔者认为,应该结合内外审,在强化内审的同时加强注册会计师外部审计,双管齐下,互补长短,合力协作。
一、内部审计与内部控制审计的关系及其利弊
内部控制已经成为衡量企业综合竞争力的重要标准,而内部审计作为一种监督管理措施在一定程度上决定了内部控制是否有效。企业的经营管理更迭变化,因此内审也应当是一个动态发展过程。内部审计需要不间断地、动态地监督内部控制,让监督工作成为内部审计的一项主要日常工作。
内部审计具有其得天独厚的条件:内部审计对企业较为了解,熟悉企业内部控制,能较为及时准确的把控风险点。内部审人员是企业的内部成员,与企业的关系密切,很多企业的内部审计成果与绩效有关,因此内部审计人员责任心一般都较为强烈,其评价的目的主要是改善企业内部控制,其评价结果更具建设性和全面性。另一方面,注册会计师评价内部控制时,是受了委托,关于内部控制的资料是由组织提供的,研究的角度集中于审计工作的影响因素,评价时,其目的、范围大多数情况下有其本身的局限性。此外,企业管理层出于自身利益,以及企业出于维持投资者信心等多方面原因导致部分企业产生舞弊行为,对外审进行欺瞒甚至提供虚假审计资料,这对外审的有效性产生了极大的影响。
二、注册会计师审计与内部控制审计的关系及其利弊
注册会计师审计是外部审计也叫社会审计,是指注册会计师依法接受委托、独立执业、有偿为社会提供专业服务的活动。2010年4月26日,财政部等五部委联合了内部控制配套指引,同时提出了自2011年起逐步在上市公司中开展内部控制审计的要求,内部控制审计成为我国注册会计师的一项重要的独立鉴证业务(王美英、郑小荣,2010[1])。
注册会计师的财务审计是以风险为导向型的,因此注册会计师在进行职业判断之前必须了解企业的内部控制情况,笔者认为可以借鉴美国将注册会计师审计与内部控制审计整合。内部控制审计应用于注册会计师财务报表审计的具体体现为:1.内部控制的有效性决定控制测试的结果。控制测试目的是是为了获取审计证据证明已经设计并正在运行的某认定相关的内部控制运行是否有效,即是否防止或发现并纠正了财务报表重大错报,而了解内部控制的目的是为了获取审计证据证明针对某认定是否设计相关内部控制,如果已经设计相关控制,这些控制是否正在运行,并且已设计的内部控制如果运行的话是否能够防止或发现并纠正财务报表重大错报;2.财务报表审计过程中的实质性程序有利于对企业内部控制有效性做出评价。实质性程序是指用于发现认定层次重大错报的审计程序。其抽样的规模需根据内部控制的评价和符合性测试的结果来确定,同时实质性测试的结果也有助于注册会计师在确定针对某项控制的有效性得出结论所必需的测试时作出风险评估。
内部控制审计和财务报表审计是相互影响互为利用的,内部控制审计影响注册会计师对企业风险的认定,而财务报表审计过程在某种程度上影响注册会计师对企业内部控制的评价,也有利于企业发现内部控制的不足。通过以上分析笔者认为我国可以借鉴美国的做法由同一家会计师事务所承接财务报表审计与内部控制审计,这样可以大幅度降低审计成本。笔者曾任职于四大会计师事务所之一的德勤华永会计师事务所,以德勤为例,其设有审计部门及ERS部门(Enterprise Risk Service企业风险管理部门),这两个部门的工作成果是互为利用的,具体来说当审计部门接受委托对一家企业进行财务报表审计时,本着以风险为导向的审计原则,审计部门会进行内部控制评价,并一般会提供给企业管理建议书,在这种情况下ERS部门在出具内部控制审计报告时可以利用财务报表审计中的内部控制评价结论。当然由审计部门出具的内部控制评价精确性并不能完全达到要求,ERS部门需要在此基础上进行补充和扩大测试范围并最终出具内部控制审计报告。而当ERS部门先接受企业委托时,审计部门可以不再进行内部控制的评价,而是直接利用ERS部门出具的内部控制审计结论。若财务报表审计和内部控制审计由两家事务所承接,其在资料、信息交接以及信息依赖上均有不同程度的困难,造成了成本的提高资源的浪费。
三、内部审计与注册会计师审计整合
通过以上分析我们可以看出,内审和注册会计师外审在内部控制审计的建设上各有优势。内部审计更为直接,对企业更为熟悉,可以获得企业的一手资料,更全面、系统、及时的对内部控制进行监督评价及反馈。但是内审普遍存在的问题是容易受平行部门限制,更偏向于财务相关的监督,以及成本较高。反观注册会计师外审,其优点是更为专业、成本较低,但其缺点则是很难得到企业的一手资料,对企业的了解度不高,容易受到舞弊欺瞒,而且在实际操作中会计师事务所处于对自身利益的考虑为了能与被审企业保持良好合作关系继续承接订单会存在刻意隐瞒事实以及粉饰报告的动机。综上,内审与注册会计师外审互为利弊,笔者认为将两者结合起来可以互相取长补短,达到最好的效果。
内审与外审整合是结合内力与外力共同发力内部控制,但在此块领域的经验我国尚有不足,在这种情况下,应该创造一切可以创造的条件,尽可能的提供较为有利的发展环境:1.企业应该不断加强对内部控制审计的重视程度,建立健全内部控制制度;2.建立有效的激励约束机制;3.提高审计人员的工作水平,审计不仅是书面上的核算规划,还需要懂得互联网使用技术,加强培训,学会建立数据库,学会利用电子技术解决问题,进而提高审计效率,促进企业的经营发展(吴健,2013[2])。
参考文献:
[1]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7):66-67.
关键词:财务报表审计;风险;防范对策
中图分类号:F239 文献标志码:A 文章编号:1673-291X(2013)31-0154-02
一、财务报表审计与原则
财务报表审计是指对企业资产负债表、损益表、现金流量表、会计报表附注及相关附表所进行的审计。财务报表审计的原则:应当遵守职业道德规范,恪守独立、客观、公正的原则,保持专业胜任能力和应有的关注,并对执业过程中获知的信息保密;应当按照独立审计准则的要求执行会计报表审计业务;应当以职业怀疑态度计划和实施审计工作,充分考虑可能存在导致会计报表发生重大错报的情形;应当在整个审计过程中运用职业判断;应当根据审计准则、相关法律法规以及业务约定书的要求,确定审计范围。
二、财务报表审计风险的成因
1.审计人员经验和能力的有限性。审计能力的相对有限,使审计所能完成任务的能力难以达到社会的全部期望,或者使社会与审计职业界对审计的内容和要求不一致,这种状况常常使人们卷入不愉快的责任诉讼纠纷。因此审计部门能满足社会需求是相对的,而不是绝对的,审计能力与社会公众的需求之间总存在一个“期望差”。美国注册会计师协会强调审计报告仅是一种意见而不是一种保证就是对审计能力有限性的一个认识。中国注册会计师协会颁布的《独立审计准则》也强调审计报告仅是一种意见。这种认识从另一方面表明,审计人员对审计结论承担一定的风险。
2.审计方法不科学。首先,由于审计程序和审计方法只是原则性的规定和提示,不可能对审计的每一个细节都作出具体说明,任何技术方法都是以一定假设为前提的,审计人员很难准确把握所有的审计技术应用的条件。现有审计采用抽样审计方式,由于不是全面和详细的审计,可能会形成审计漏洞或真空。这是审计方法自身缺陷造成的审计风险。其次,中国所采用的审计方法滞后,从国外经验来看,现代企业多采用注重于企业经营风险分析为特点的风险导向审计方法,新的审计方法有效地提高了审计风险的控制和防范能力。就中国情况来看,即使是制度基础审计方法的运用也不是很熟练,除了一些大型的事务所采用制度基础审计方法外,大多数中小城市事务所的审计方法仍停留在账项审计阶段。至于风险导向审计的原理和运用问题,大多还处于朦胧之中。这也是导致审计风险的重要原因。
3.计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据,寻找到审计线索突破口。随时根据被审计单位的数据接口特征,选择满足需要的数据采集软件类型,编制各种审计模块。针对采集的数据进行筛选、清理和分析,快速准确地找到并验证各种审计疑点。而现阶段,要使审计人员普遍具有较高的计算机审计能力,还需要一个过程。开展计算机审计,倘若人员没有足够的技能,将无从下手。仓促上机,无疑会带来检查风险的增加。
三、财务报表审计风险防范对策
1.充分重视对被审计单位的了解,扩展审计证据范围了解被审计单位是审计项目涉及的工作内容之一,风险基础审计的应用,要求将了解被审计单位情况看作是减少审计风险的重要组成部分,要求注册会计师通过了解,形成对被审计单位固有风险的评价。该评价包括环境风险、经营风险、管理风险、财务风险,这些风险的评估是注册会计师确定企业持续经营能力、确定发生重大错报可能的领域与方向的重要依据。其结果及相应的风险评估,应形成审计工作底稿,它是审计证据的重要组成部分。
2.有效利用内控评价结果,合理选择测试性质、时间与范围被审计单位内部控制评价的必要性已得到愈来愈多注册会计师的认可。然而,真正地做到利用内控评价提高审计效率并在审计程序、审计工作中予以体现的,在国内会计师事务所中却很少。可考虑根据内控风险水平的不同对有关的会计记录及相应的经济业务重点进行分析性测试;将细节测试的时间安排在年终前的某一时间;减少细节测试的样本数量和覆盖面。对内部控制的评价可以根据固有风险评估的结果,选择进行符合性测试或不进行符合性测试;对决定不进行符合性测试的,根据业务性质及数据转换特点,确定不同的内控风险水平。
3.运用科学审计的方法。充分运用现代审计技术和工具,提高审计质量。为有效地规避审计风险,每个审计人员都要牢固树立审计风险意识。而要真正防范和化解审计风险,关键是提高审计质量。审计人员要从思想上、观念上深入理解审计风险,改进审计方法,规范审计程序,监督评价并重,寓监督于服务之中。在审计方法上,可以引进目前最先进的以风险为导向的风险基础审计模式,以风险的分析与控制为出发点,以保证审计质量为前提,统筹运用各种测试方法,综合各种审计证据,以控制审计风险。
4.加强审计质量考评控制。要科学考评内部审计质量,应建立健全一个内部审计质量的指标体系。该体系是由很多具体指标所构成的,包括定量、定性两方面指标。定量指标包括审计覆盖率、审计计划完成率、被审计单位违纪问题重复发生率和审计处理落实率等。定性指标一般包括审计人员的素质和业务水平能否胜任审计监控工作,审计机构内部管理与控制制度是否健全有效,审计机构和审计人员是否及时、正确处理已查证的各种问题等。考评审计工作质量时,需将各类各项指标有机结合起来,作一整体予以运用,以得出正确结论。科学考评和评价内部审计工作效果是进行审计质量控制的重要内容。通过内部审计工作效果的考核和评价。可以从总体上了解内部审计的最终结果,才能了解过去、分析现在、预测未来,才能总结和掌握有用的内部信息,发挥内部审计提供信息的参谋作用。
参考文献:
[1] 财政部CPA考试委员会.审计[M].北京:经济科学出版社,2013.
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
【关键词】AS5;内控审计指引;区别
一、两者的出台背景
(一)PCAOB审计准则第五号的出台背景
受2001年安然、世通等事件的影响,美国国会于2002年7月25日通过了SOX法案。为了保证其有效实施,SEC于2003年11月了《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》。为了贯彻SOX法案和SEC的要求,PCAOB(美国公众公司会计监督委员会)于2004年了《第2号审计准则――与财务报表审计相协同进行的财务报告内部控制审计》(以下简称AS2),用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。自AS2实施以来,PCAOB的监督结果显示,AS2的部分条款不清晰或者与SEC的要求有差别,也有部分条款规定过细,不利于注册会计师的职业判断,或不适合小企业审计的要求。因此,2007年PCAOB又了《第5号审计准则――与财务报表审计相结合的财务报告内部控制审计》(以下简称AS5),以取代2004年的AS2。
(二)我国2010年审计指引出台背景
美国SOX法案出台以前,中国注册会计师协会从行业自律视角于2002年2月15日单独了《内部控制审核指导意见》。2008年6月,为了配合《基本规范》的施行,中注协又了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制,虽未能正式出台,但对内部控制审计制度建设所起的推动作用毋庸置疑。2010年4月《企业内部控制配套指引》(以下简称《配套指引》)的出台,我国已基本建立起内部控制规范体系。其中《企业内部控制审计指引》(以下简称《审计指引》)第二条规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
二、AS5与我国2010年的内控审计指引的区别
(一)关于审计范围
基于注册会计师风险规避和成本效益原则,美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协,出于规范审计工作、规避审计风险的考虑,将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时,内部控制审计范围被扩展至广义的管理视角下的内部控制。《审计指引》第四条规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致,《审计指引》规定注册会计师审计的范围不限于财务报告内部控制,而是覆盖整个企业的内部控制体系。但是,考虑到注册会计师在内部控制审计过程中的风险责任承担能力,该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见,而对相关审计过程中注意到的非财务报告内部控制重大缺陷,则要求其增加描述段予以披露。
(二)关于审计流程
内控指引认为审计流程包括:计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作。而AS5则认为审计流程是计划审计工作、使用从上至下的方法、测试控制、评估识别的缺陷、总结、内控报告、通过对比,我们可以看出,我国内控指引将使用从上至下的方法和控制测试放在实施审计工作中,而AS5单独列出,并详细地将使用从上至下的方法分为:确定公司层面的控制、确定重大项目、确定相关论断、确定主要交易类型和重大流程、选择控制进行测试。将控制测试分为:测试设计有效性、测试执行有效性、确定风险和证据的关系、未来年份审计的特殊考虑。此外,内控指引所说的完成审计工作其实也就包括了AS5在总结中规定:获取书面申明、形成审计意见、通报某些事项。
(三)关于审计方法
1.AS5认为整合审计是一项强制性要求,AS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。准则明确规定:财务报告内部控制审计应与财务报表审计整合。两个审计的目标虽然不同,但审计师必须计划并执行审计工作,以实现两个审计的目标。而我国《审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。当然,此处所指的“整合”,不包括注册会计师对同一家企业既做咨询又做审计的情形。《内控指引》第十条明确规定,为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
2.AS5要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域。由于从上至下方法对审计的有效性具有积极的影响,第5号审计准则要求审计师在审计中,包括对重要的公司层面控制进行测试时使用该方法。并要求审计师在每一决策点的风险评估中采用从上至下的方法。对重要账目和相关论断的确定要求审计师应清楚存在的相关风险,以及风险如何影响其决策。指引要求注册会计师按照自上而下的方法实施审计工作,并将方法作为识别风险、选择拟测试控制的基本思路。同时,该指引强调,在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
(四)关于审计报告出具
1.标题。指引规定出具审计报告需要有标题、但是AS5强制规定必须包含“独立”一词的标题。
2.公司财务报表和财务报告内控报告是否合并。如何出具内部控制审计报告,是大多数注册会计师所关心的问题。与审计范围相对应,指引要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面。AS5审计师可以选择关于公司财务报表和财务报告内控的合并报告或单独报告。
3.报告类型。指引提供了四种内部控制审计报告参考格式,分别是:标准内部控制审计报告、带强调意见段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见审计报告。而AS5因为公司财务报表和财务报告内控报告是否合并而不同。
三、总结
本文通过比较了AS5和内控审计指引的区别,发现我国内控审计逐渐国际化,虽然有一些方面还不是完全与国际接轨,但是相比之前的规定,对进一步提升对我国上市公司的治理水平,同时也更好地保护投资者的利益,提高我国资本市场的国际竞争力具有进步意义。
参考文献
[1]邓美洁,吴国萍,美国内部控制审计制度及其对我国的启示[J].税务与经济,2011(4):69-72.
[2]刘玉廷.全面提升企业持续经营管理水平的重要举措――企业内部控制配套指引解读[J].会计研究,2010(5):5-18.
[3]《企业内部控制应用指引》.财政部,证监会,审计署,银监会,保监会联合,2010-4-15.