新审计准则中内部控制规定诠释
2006年2月25日颁布的《中国注册会计师执业准则》(以下简称“新审计准则”)中,对内部控制进行了相关规定,与旧准则中的相关规定相比发生了较大变化。这些规定既适应了被审计单位在激烈的市场经济竞争中不断的发展变化对审计实务提出的新要求,同时也充分体现了新审计准则所倡导的风险导向审计的理念,将对我国的审计实务与注册会计师产生深远的影响,笔者拟对其予以诠释和归纳。
为了规范注册会计师在会计报表审计中对被审计单位的内部控制的研究与评价,中注协曾颁布《独立审计具体准则第9号——内部控制与审计风险》对内部控制的概念、固有局限性、了解评价的程序、测试的条件及程序等作了具体的规定,对内部控制的特殊考虑则在《独立审计实务公告第3号——小规模企业的特殊考虑》的第三章“对内部控制的特殊考虑”进行了规范。但在新审计准则中涉及到内部控制的有关规定却涵盖在《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》(以下简称1211号准则)的第四章“了解被审计单位的内部控制”和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》(以下简称1231号准则)的第四章“控制测试”中,对内部控制的特殊考虑在《中国注册会计师审计准则第1621号——对小型被审计单位审计的特殊考虑》第四章“风险评估程序”和第五章“进一步审计程序”的部分条款进行规范。这些与内部控制相关的新规定具有以下几个方面的特点:
一、反映内部控制概念与COSO报告中内部控制整体框架的趋同
中国注册会计师协会在2006年颁布的1211号准则的第46条、47条中,对内部控制的概念及要素重新进行了界定,提出“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序”以及“内部控制包括控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五大要素”。内部控制的新概念基本是参照1992年COSO委员会发布的《内部控制-整体框架》报告提出的由“三个目标”和“五个要素”组成的内部控制的整体框架理论,这表明中注协为实现审计准则的国际化趋同,采纳了目前世界最为权威的且被公司董事会、管理当局、投资者、债权人、审计人员及专家学者普遍认可的“内部控制-整体框架”观点,相对于《独立审计具体准则第9号——内部控制与审计风险》中的内部控制三要素理论是一个重大的突破。内部控制的新概念引入了风险评估、信息系统与沟通等新要素,更强调对企业进行动态控制,并突出强调了控制环境的重要性,更加适合处于瞬息万变的市场经济中各类企业的应用。、
二、确立了解被审计单位内部控制框架及控制环境的核心地位
内部控制要素的分类为注册会计师提供了了解被审计单位内部控制的框架。在1211号准则的第66条至第95条中分别指出了被审计单位的控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五要素的涵义、组成要素、作用及各要素间的关系,同时规范了注册会计师对五要素了解的具体内容与执行的风险评估程序。由于控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施,具体由对诚信和道德价值观念的沟通与落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构、职权与责任的分配以及人力资源政策与实务七个要素构成。这充分说明控制环境实质是被审计单位管理层和治理层对内部控制的整体态度、认识以及所采取的措施的综合反映,即:控制环境设定了被审计单位的内部控制基调,可影响员工对内部控制的认识和态度,既可增强也可削弱特定控制的有效性,进而影响到企业内部控制的贯彻、执行以及企业经营目标与整体战略目标的实现。因此,在1211号准则第70条中提出“控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱”,在第100条中指出“财务报表层次的重大错报风险很可能源于薄弱的控制环境”,从而明确了控制环境在五要素中的核心地位。良好的控制环境是实施有效内部控制的基础,无论控制环境的哪个构成要素存在重大缺陷,都会影响其他要素的有效性;而且薄弱的控制环境带来的风险可能对财务报表产生广泛影响,不仅会导致某类交易、账户余额、列报的错报,往往还会影响到报表整体的合法性与公允性,导致财务报表层次的重大错报风险。
三、强调仅需关注与审计相关的控制
1211号准则第50条提出了“与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。”这表明注册会计师在了解评价与测试被审计单位的内部控制时,仅需要关注那些与财务报表审计相关的内部控制,而不需要关注被审计单位所有的内部控制。因此,注册会计师是否需对某一项控制进行了解、评价以及测试,取决于该项控制单独或连同其他控制是否与评估的重大错报风险有关,是否与针对评估的风险设计和实施进一步审计程序有关。一般情况下,与审计相关的控制包括:被审计单位为实现财务报告可靠性目标设计和实施的控制;注册会计师在设计和实施进一步审计程序时如果拟利用被审计单位内部生成的信息,则保证信息完整性和准确性的控制可能与审计相关;用以保证经营效率、效果的控制以及对法律法规遵守的控制如果与实施审计程序时评价或使用的数据相关,则这些控制可能与审计相关。
四、确定审计程序必须考虑内部控制的人工和自动化特征及影响
1211号准则的第57条至第63条既明确指出了内部控制包括人工成分与自动化成分,界定了信息技术与人工控制的适用范围及其对内部控制产生的特定风险;同时又明确了对注册会计师的要求,即:由于信息技术与人工控制的适用范围及其产生的相关内部控制风险存在很大差异,注册会计师必须根据被审计单位内部控制的人工与自动化成分,在风险评估以及设计和实施进一步审计程序时,采取不同的审计程序类型、不同的审计时间与不同的审计范围,以恰当评价被审计单位的内部控制,保证控制测试的效果,获取充分、适当的审计证据。
五、强调必须了解评价小型被审计单位的内部控制
与独立审计准则不同的是,新审计准则要求必须了解和评价小型被审计单位的内部控制,在1211号准则的第65条明确指出“小型被审计单位拥有的员工通常较少,限制了其职责分离的程度,业主凌驾于内部控制之上的可能性较大,注册会计师应当考虑一些关键领域是否存在有效的内部控制”。而后在1211号准则的第72条、76条、82条、9l条、95条中又分别作了具体的规定,在了解、评价小型被审计单位内部控制时,注册会计师可以根据小型被审计单位内部控制的特殊性适当减少一些程序,但必须从控制环境、风险评估过程、信息系统与沟通、控制活动与对控制的监督五个方面去了解、评价小型被审计单位内部控制,获取其是否在某些关键领域存在有效的内部控制,而不管其实施的形式,从而恰当地评估小型被审计单位的重大错报风险。如在小型被审计单位可能无法获取以文件形式存在的有关控制环境要素的审计证据时,注册会计师应重点了解管理层对内部控制设计的态度、认识和措施;在小型被审计单位可能没有正式的风险评估过程时,注册会计师应与管理层讨论其如何识别经营风险以及如何应对这些风险等。
六、明确区分“了解与评价内部控制”与“控制测试”的性质及目的
通过比较1211号准则中的第4、19、54、56条准则与1231号准则第8、11、26、29、37条准则,不难发现新准则对“了解与评价内部控制”与“控制测试”在性质、目的、实施要求及所需获取的证据等方面进行了明确的区分,并且明确指出“除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。”“了解与评价内部控制”属于风险评估程序的内容,是必要程序,是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。其目的是评价被审计单位内部控制的设计,并确定其是否得到执行,以识别和评估由于内部控制设计的缺陷或内控未得到执行而产生的重大错报风险,因此在了解控制是否得以执行时,注册会计师只需抽取少量的交易进行检查或观察某几个时点,关注其形式是否存在,就可获取其是否执行的证据。而“控制测试”是进一步审计程序的主要内容,在审计实施阶段执行,其目的是测试内部控制运行的有效性,以确定实质性程序的审计重点和审计范围。控制运行有效性强调的是控制是否能够在各个不同时点按照既定设计得以一贯执行,注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察,关注执行的效果及执行的一贯性,获取证据的成本与难度较大,所需证据量也较大。但“控制测试”却不是必要程序,作为进一步审计程序的类型之一,控制测试并非在任何情况下都需要实施,执行与否是由注册会计师根据评估的重大错报风险水平与职业判断决定的。
七、提出“确定控制测试时间”的依据与谨慎考虑
在1231号准则的第39条至第49条中对控制测试的时间确定的依据与对利用以前审计证据的特殊考虑都提出了明确的规定,归纳如下:
一是控制测试时间确定的依据。因为如果测试特定时点的控制,注册会计师仅得到该时点控制运行有效性的审计证据;如果测试某一期间的控制,注册会计师可获取控制在该期间有效运行的审计证据。所以,注册会计师应当根据控制测试的目的确定控制测试的时间,并确定拟信赖的相关控制的时点或期间。
二是对利用以前审计证据的谨慎考虑。注册会计师对是否利用以前审计获取的有关控制运行有效性的审计证据,要考虑拟信赖的以前审计中测试的控制在本期是否发生变化。注册会计师可以通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。如果控制在本期发生变化,注册会计师应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关,若与本期审计相关,应当在本期审计中测试这些控制运行的有效性。如果控制在本期未发生变化,在确定是否在本期审计中测试控制运行的有效性,准则虽然允许注册会计师有一定的选择权,但对注册会计师如何行使选择权规定了很多考虑因素。一方面,如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断,确定是否在本期审计中测试控制运行的有效性,确定本次测试与上次测试的时间间隔,但要注意两次测试的时间间隔不得超过两年。另一方面又设定了每次测试的下限,严格限制注册会计师无限期或过长时间内不实施测试的做法,以及集中在某一次审计中实施测试的做法。因此,注册会计师应当在每次审计时从中选取足够数量的控制,测试其运行有效性,不能将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。此外,对于旨在减轻特别风险的控制,准则明确规定不允许依赖任何以前审计获取的有关控制运行有效性的审计证据,则每次审计时必须进行测试。
八、提供“确定控制测试范围”具体的参考依据
在1231号准则的第50条至第53条准则中,提出在确定某项控制的测试范围时,既要考虑控制执行的频率、拟信赖控制运行有效性的时间长度、审计证据的相关性和可靠性、测试其他控制获取的审计证据、对控制的拟信赖程度、控制的预期偏差等因素的影响,也要考虑控制的人工与自动化特征的影响。这些规定为注册会计师确定控制测试范围提供了较具体的参考依据,以避免抽取样本量的随意性,使所抽取的样本量更具科学性、更能反映被审计单位控制的真实情况。
