财务报告内部控制审计目标分析
一、财务报告内部控制
内部控制涉及到企业的方方面面,针对财务报告的可靠性而设计和实施的财务报告内部控制只是其中的一个方面,有别于传统的内部会计控制。
为了贯彻SOX 404条款关于财务报告内部控制的管理层评估和注册会计师审计的要求,美国SEC于2003年9月发布了《最终规则》,正式提出了财务报告内部控制(Internal Control over Financial Reporting)的概念 ,强调了财务报告内部控制的目标在于合理保证财务报告的真实和完整。SEC选择了一个目标比较单一的财务报告内部控制的概念,这是由于:第一,将内部控制的目标集中在财务报告可靠性上,更有利于保护广大投资者利益;第二,SEC认为404条款中内部控制的核心是针对财务报告的;第三,即使是这样一个比较狭窄的概念,也会给上市公司增加大量的报告义务和成本负担;第四,历史上注册会计师对管理层内部控制评估的检查、评价或鉴证的范围从来就是针对财务报告内部控制。
根据SEC的定义,财务报告内部控制具体包括以下控制政策和程序:第一,保持合理详细程度的会计记录,准确公允地反映资产的交易和处置过程;第二,为下列事项提供合理的保证:公司对发生的交易都进行了必要的记录,从而使财务报表的编制符合公认会计原则的要求;公司所有的收支活动都经过了管理层和董事会的合理授权;第三,为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对公司的财务报表产生重大影响。
财务报告内部控制的各项控制政策和程序,目的在于防止或发现财务报告可能的错误和舞弊。根据防止或发现错误弊端的层次,财务报告内部控制可以分为预防性控制和发现性控制,前者在于防止导致财务报表错报的错误和舞弊的发生,比如对录入的数据进行检验、限制对资产和文件的接触等;后者在于发现已经发生的导致财务报表错报的错误和舞弊,比如每月与银行对账、内部审计人员对财务记录的检查等。
财务报告内部控制是内部控制概念的发展,它与内部控制的传统理解既有区别又有联系。根据COSO报告对内部控制的定义,内部控制包含三个方面的目标,而财务报告内部控制只包含了与财务报告可靠性目标相关的部分;不包括与公司经营活动的效率效果方面的目标;对于遵循性方面,也只保留了如何遵循SEC关于财务报告要求这类与财务报告编制直接相关的法律法规。
二、财务报告内部控制审计目标
AS5第3段规定,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见。如果存在重大缺陷,则被审计单位的财务报告内部控制是无效的。因此,注册会计师必须计划并执行审计,以取得在管理层评估日被审计单位内部控制是否存在重大缺陷的证据。
1.财务报告内部控制的有效性
COSO认为,如果董事会和管理层能够合理保证下述事项,那么就可以认为内部控制是有效的:他们了解公司的经营目标在何种程度上得到了实现;公布的财务报表是可信赖的;适用的法律和规章得到了遵循。
根据PCAOB的解释,财务报告内部控制有效性是针对具体某一时点而言,更为明确地讲,就是管理层评估日或者管理层签署管理层评估报告的日期。做出这一规定是由财务报告内部控制的特性决定的,因为财务报告内部控制是一个连续动态的过程,虽然部分控制运行后能够留下控制轨迹,如批准销售、发货等,但也有很多控制在运行后是无迹可查的,如具体的业务活动过程。注册会计师在审计财务报告内部控制时所使用的审计程序往往只能获取审计时点的证据,当然也就只能针对该时点的控制有效性发表审计意见。
做出此规定显然背离了财务报表内部控制审计的初衷,因为开展财务报表内部控制审计业务是希望被审计单位能建立健全其内部控制,从而提高财务报告的可靠性。当注册会计师对财务报告内部控制的有效性发表无保留意见时,只能意味着该时点是有效的,其他时段的有效性却不得而知。实际上,整个时段的财务报告内部控制都会影响到财务报告的可靠性。因此,并不能根据财务报告内部控制有效性的结论来推断财务报告的可靠性。
必须看到,财务报告内部控制审计服务的目标和功能是有限的,财务报告的可靠性并不能过分依赖于内部控制的外部审计来完成,更多的责任仍在于企业管理层建立健全内部控制并努力实现其有效执行;而且对整个年度的内部控制做出评价,其成本是极其高昂的,也是无法实现的。同时,考虑到企业内部控制制度具有一定的持续性,并不是经常变化,从会计期末的内部控制也可以大概了解企业整个期间的内部控制情况。除此之外,财务报表审计中还要对企业其他期间的内部控制进行了解和评估。综合以上分析,也许为了均衡起见,对某个时点的内部控制发表意见是不错的选择。
2.重要不足与重大缺陷
AS5在判断财务报告内部控制的有效性时,严格区分了重要不足(significant deficiency)和重大缺陷(material weakness)。
(1)重要不足与重大缺陷的定义
如果财务报告内部控制的设计或执行不能合理保证管理层或员工在履行其职责的过程中防止或及时发现财务报表中可能存在的错报,则认为财务报告内部控制存在缺陷,可分为设计缺陷和运行缺陷。
根据重要性的原则,财务报告内部控制缺陷的严重程度是有差别的。如果一个控制缺陷可能导致的错报或漏报对财务报表没有明显的实质性影响,不足以改变使用者的决策,这种控制缺陷就不具有重要性。从管理层评估和披露财务报告内部控制有效性的角度,控制缺陷可进一步划分为重大缺陷和重要不足,AICPA在2003年对此进行了定义。但是,AICPA的定义只是考虑了控制缺陷导致的财务报表错报的重要性,而忽视了产生这种错报的可能性的大小。
(2)重大缺陷和重要不足的判断
一项控制缺陷是重大缺陷还是重要不足,将影响到管理层对公司财务报告内部控制有效性的判断。管理层在评估过程中,发现公司存在一个或多个重要不足,只要这些重要不足或组合尚未构成重大缺陷,管理层仍可认为公司的财务报告内部控制是有效的。但是,如果公司存在一个或多个重大缺陷,管理层就不能认为公司的财务报告内部控制是有效的。所以,合理判断一个控制缺陷是否构成了重大缺陷还是重要不足非常重要。
公司管理层可以从两个方面来判断控制缺陷的严重程度。一方面,是一个控制缺陷或单独或连同其他控制缺陷,导致财务报表产生错报的金额大小;另一方面,是导致账户金额或列报产生错报的可能性。
影响控制缺陷导致账户金额或列报产生错报可能性的因素包括:财务报表账户、列报和有关认定的性质,比如关联方交易包含较大的风险;有关资产或负债导致损失或舞弊的敏感性,高敏感性增加了风险;决定有关金额大小所需判断的主观性、复杂性或范围;已知或被发现的越过一项控制的原因或频率;一项控制与其他控制的相互影响或关系;控制缺陷的相互影响;控制缺陷可能的未来结果。
影响控制缺陷导致账户金额错报大小的因素包括:暴露于控制缺陷的财务报表账户或交易类别;本期已经发生或将来预期发生的、暴露于控制缺陷的账户金额或交易类别的业务量。