《企业内部控制审计指引》之内部控制审计概述
(一)实施内部控制审计的必要性
内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循。
与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效来保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《企业内部控制审计指引》规范内部控 制审计工作。
(二)各国对内部控制审计的要求
1.其他国家对内部控制审计的要求。
我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明:
(1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层做出的内部控制声明进行形式上的审阅。
(2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。其中,美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行;而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。
2.我国对内部控制审计的要求。《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部 控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。
对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。
(三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表 意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。
2.财务报告内部控制与非财务报告内部控制。审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;
(2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。
非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制。
3.企业内控责任与注册会计师审计责任的关系。
审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(四)整合审计
审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(下称“整合审计”)。
理解这一规定,要明确两点:一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试,在财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。