审计视角下内部控制相关概念的探讨
【摘要】 我国对内部控制的问题日益重视。国家财政部2008年制定了《企业内部控制基本规范》,引起了理论界和实务界对内部控制的更加关注。明确界定内部控制相关概念是进行内部控制审计理论研究和实务操作的基础,本文在基于审计视角下对内部控制所涉及各种不同术语的含义及相关概念进行界定和探讨。以期对我国制定内部控制相关指引提供支持。
【关键词】审计视角;广义内部控制;狭义内部控制;内部会计控制;内部控制审计
内部控制的理论渊源可以从两方面考察,即审计与管理。在国外存在着两个比较明显的研究倾向:其一是从管理学的视角研究内部控制问题。其二是从审计学的角度研究内部控制问题。尤其在20世纪70年代从审计学立场研究内部控制者日盛,并且也取得了比较丰硕的研究成果。现有的内部控制理论与实务,基本内容大多是作为独立审计的客观基础而存在的,这正是内部控制迄今为止所以在审计研究领域特别受重视的一大原因。
从审计角度看内部控制面临着许多问题。国家审计署、中国内部控制标准委员会分别关注相关的问题,二OO八年五月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由此引出注册会计师需要对企业内部控制进行评价并出具审计报告,那么对基于审计视角的内部控制的一系列概念进行界定就是非常必要和有意义的,是进行理论研究和实务操作的基石,以防止使用术语的混乱和冲突。希望我们的研究为企业内部控制的各项指引的制定提供理论基础支持。这对改善我国内部控制现状,完善上市公司信息披露制度,保护投资者的合法权益和证券市场的规范运作具有深远意义。
一、内部控制
(一)广义内部控制
人们普遍认为,内部控制概念最早是由审计师提出来的。我国阎金得、陈关亭(1998 )认为“内部控制’第一次作为一个专业术语使用,是在1936年美国会计师协会文告中出现的。20世纪90年代,由美国“发起组织委员会 (COSO)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应该是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制(缪艳娟,2007)。我国2008年制定的《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。可见基本采用了美国COSO中内部控制的定义,我们认为这应是广义的内部控制,为我国内部控制制度建设提供了基本标准。
(二)狭义内部控制
狭义内部控制的定义笔者认为应借鉴美国上市公司监管委员会(PCAOB)发布的第五号审计准则(ASNO.5)《与财务报表审计协同进行的对财务报告内部控制审计》所定义的“财务报告内部控制”。狭义的企业内部控制定义是由企业董事会、监事会、经理层和全体员工实施的,旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。与财务报告相关的内部控制包括下列方面的政策和程序:一是保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况。二是合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权。三是合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置的企业资产。这一狭义内部控制概念的提出主要是为了在注册会计师对企业内部控制进行审计时专门针对财务报告领域的内部控制有效性发表审计意见。
(三)二者关系
狭义内部控制与广义内部控制的定义相比, 前者仅包含了与财务报告可靠性目标相关的部分, 而省略了经营活动的效率效果的目标, 遵循相关法律法规目标中也仅保留了按照会计准则和相关会计制度对财务报告的要求这类与财务报表编制直接相关的法律法规。广义内部控制是对狭义内部控制概念的扩展,明确内部控制不应仅局限于公司治理的财务方面。可以这样理解,广义的内部控制上升到了公司治理的高度,而狭义的内部控制可以和美国PCAOB所提出的“财务报告内部控制”具有相同的涵义,主要用于注册会计师在对企业内部控制进行审计时定义其所涵盖的范围。
二 、内部会计控制
(一)内部会计控制
“内部会计控制”最早在美国注册会计师协会审计程序委员会 1958 年《第 29 号审计程序公告》提出,1972 年的《第 54 号审计程序公告》将“内部会计控制”定义为:“组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:一是交易经过合理的授权; 二是公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;三是资产的使用和处置经过管理层的适当授权;四是 在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。” 2001年我国财政部颁布实施的《内部会计控制规范》对“内部会计控制”定义为:“是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”内部会计控制的基本目标包括:规范单位会计行为,保证会计资料真实、完整;堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;确保国家有关法律法规和单位内部规章制度的贯彻执行。
(二)狭义内部控制与内部会计控制的关系
“狭义的内部控制”和“内部会计控制”二者的目标都是为了保证财务报告的可靠性以及财务报表的编制与公认会计原则保持一致。在内容上,二者都包含了所有交易和收支活动的会计记录控制和授权批准控制以及对资产的保护。但是,狭义内部控制是从现实生活中投资者需求的角度来关注内部控制,并吸收了COSO报告及其它内部控制理论的发展,它不是对内部会计控制的简单重复,而是有了巨大的发展和超越。从上面定义可以了解到狭义内部控制包含了控制环境这一非常重要的内部控制组成要素。其成功地吸收了COSO报告关于控制环境及其重要性的研究,明确了公司的董事长和其他管理层作为控制环境的重要组成部分对财务报告层面的内部控制所承担的责任,这相对于内部会计控制概念而言是一个大的发展。内部会计控制是注册会计师站在会计信息最终结果的角度上进行的分析,是一种专业化的、适用范围具有严格规定的、防护色彩很重的概念。而狭义内部控制强调了控制环境对财务报告可靠性及其过程的作用,不仅仅是关注结果更重要的是过程。也就是说,直接影响财务报告的控制不应该只包括内部会计控制,内部会计控制与公司控制环节的所有其他要素一起构成了防止财务报告出现问题的内部控制。
三、内部控制审计
内部控制与审计理念和审计程序的发展密不可分。内部控制受到关注并得到极大发展,只是因为审计人员发现其可以降低财务报表审计的成本,于是不遗余力地去推动它,以便更好地利用它。
2002年安然事件后,美国国会颁布了SOX,要求管理层评价内部控制,并经过注册会计师审计;2003年美国SEC发布《最终规则》,同意贯彻SOX的要求;2004年美国PCAOB发布AS NO.2,为注册会计师审计财务报告内部控制提供指导。2007年PCAOB发布AS5,取代AS2,更清晰地指导注册会计师审计财务报告内部控制。根据AS NO.5第3段:财务报告内部控制审计,是指注册会计师接受委托,就被审计单位管理层对特定日期财务报告内部控制的有效性的评估报告进行审计,并发表审计意见。为了形成审计意见的基础,审计人员必须计划和执行审计程序,获得合理保证,确定公司财务报告内部控制是否在管理当局评估的特定日期存在重大缺陷。我国颁布的《企业内部控制基本规范》为中国企业内部控制制度建设提供了基本标准,在此基础上正在制定与内部控制相关的一系列操作指引,《企业内部控制审计指引》中“企业内部控制审计”的定义,我们认为在借鉴美国ASNO.5中有关财务报告内部控制审计的概念基础上结合我国的具体情况,定义为注册会计师接受委托,对企业在特定时点(以下称审计基准日)管理层针对与财务报告相关的内部控制有效性做出的自我评价进行审计,并发表审计意见。需要做出说明的是此时的内部控制是前文谈到的狭义的内部控制,如果注册会计师对内部控制的所有方面进行评价, 其可行性受到一定的制约,即超出了其专业胜任能力,因此评价范围应具体有所指, 才真正具有实际意义和可行性。
如果我国制定《企业内部控制审计指引》采用广义内部控制会被认为我国指引甚至比SOX法还严,而且所扩大的监管内部控制的外延也是注册会计师不能胜任的,会使其暴露在高风险的境地,同时难以落实和界定注册会计师的审计责任。在注册会计师审计过程中使用狭义的内部控制突破了广义的内部控制面面俱到实际却流于形式的缺陷,强调突出财务报告层面内部控制的重要性、责任及范围,直接指向资本市场上越来越严重的上市公司经营失败、公司舞弊现象,具有明显的针对性和可操作性,对于提高资本市场信息质量、加强独立审计的有效性具有重要意义。
四、结论
为了便于不同层次的法律、法规或监管规定对内部控制有不同的要求,以明确各责任主体及评价主体的责任,本文从学术角度对内部控制不同术语的含义进行了规范界定。文中所谈的广义内部控制是宏观地把握内部控制,运用于公司治理层次,管理层对内部控制的评价分为定期评价和专项评价,定期评价的对象应该是针对广义内部控制。内部会计控制是微观的、片面的、静止地看待内部控制和财务报表有关的结果。狭义内部控制是介于宏观和微观之间,是企业董事会、监事会、经理层和全体员工实施的实现与财务报告相关的控制目标的过程,强调是一个过程。注册会计师接受委托对广义内部控制不能进行审计,由于其可行性受到制约,只能对狭义内部控制的特定时点进行审计,但这并不等于注册会计师不能对广义内部控制做鉴证业务,可以做审核、审阅等业务。●
【主要参考文献】
[1] 缪艳娟.英美上市公司内控信息披露制度对我国的启示.会计研究,2007,(9).
[2] 潘秀丽. 对内部控制若干问题的研究.会计研究,2001,(6).
[3] 张龙平,朱锦余. 关于注册会计师内部控制评价理论思考.审计研究,2002,(1).
[4] 中国注册会计师协会:《内部控制审核指导意见》.
[5] 中国注册会计师协会.中国注册会计师执业准则. 北京:中国财政经济出版社, 2006.
[6] COSO. Internal Control-Integrated Fra-
mework.1992.
[7] PCAOB.Auditing Standard No.2-An Audit of Internal Control over Financial ReportingPerformed in Conjunction with An Audit of Financial Statements.2004.
[8] PCAOB.Auditing Standard No.5-An Audit of Internal Control over Financial Reporting Performed That Is Integrated with An Audit of Financial Statements.2007.