前言:中文期刊网精心挑选了财务报告内部控制审计范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
财务报告内部控制审计范文1
中图分类号:F239 文献标志码:A
《企业内部控制基本规范》及其《企业内部控制配套指引》的,标志着我国企业内部控制规范体系的建设基本完成。但是,任何一个制度都需要强有力的监督才能发挥有效的作用,所以由第三方审计师对内部控制进行鉴证并进行披露已经被世界上大多数国家所共识。2002年7月,美国国会批准了《萨班斯――奥克斯利法案》(简称“《SOX》”),要求社会公众公司管理层对内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司对管理层的评价报告进行鉴证并出具审计报告。2004年3月,美国公众公司会计监管委员会(简称“PCAOB”),了《与财务报表审计同时进行的财务报告内部控制审计》(简称“AS2”); 2007年6月,PCAOB又了取代AS2的《与财务报表审计结合的针对财务报告内部控制的审计》(AS5);2010年4月,我国财政部等部门联合了《企业内部控制审计指引》要求会计师事务所接受委托,对上市公司内部控制设计与运行的有效性进行审计,并出具审计报告。但是,内部控制审计毕竟是一项新生事物,对其相关问题展开研究,对于正确指导会计和审计实务工作具有重要的意义。
一、关于内部控制审计的目标
世界公认的内部控制研究机构美国COSO委员会认为,如果公司的经营目标得到了某程度的实现、财务报告可以信赖、适用的法律法规得到了遵循,即可以认为内部控制是有效的。AS5指出,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见,财务报告内部控制的有效性包括设计和运行两个方面,任何一个方面存在重大漏洞,便可以被认定为无效的。我国《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。在内部控制审计业务中,注册会计师提供的保证水平要高于原来的内部控制审核业务提供的保证水平。内部控制审核在收集证据的性质、时间和范围方面是有意识的加以限制的,而内部控制审计则要收集充分的和适当的审计证据,以期为内部控制审计意见提供较高程度的保证。
二、关于内部控制审计的对象
(一)内部控制审计对象的类型。
AS5把财务报告内部控制审计的目标界定为“审计师就公司财务报告内部控制的有效性发表意见”,我国《企业内部控制审计指引》也指出,内部控制审计的目的是对财务报告内部控制的有效性发表意见,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应当在内部控制审计报告中增加“说明段”予以披露。由此可见,财务报告内部控制审计指向的对象都是内部控制而不是公司管理层对内部控制的自评报告。
(二)内部控制审计对象的时空范围。
内部控制的目标包括合规性目标、经营目标、财务目标和战略目标,财务目标只是内部控制目标之一。AS5仅要求注册会计师对与财务报告相关的内部控制进行审计。《SOX》要求,公众公司财务年报中应当包括内部控制报告,其内容包括对公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任的强调,管理层最近财政年度末对内部控制体系及控制程序有效性的评估,担任公司年报审计的会计公司应当对管理层对内部控制的评估进行测试和评价,并出具评价报告。我国《企业内部控制审计指引》强调会计师事务所对企业特定基准日内部控制设计与运行的有效性进行审计。PCAOB也认为财务报告内部控制有效性是针对具体某一时点的。由于财务报告内部控制是一个连续的和动态的过程,有些控制政策和程序运行后不会留下审计轨迹,因此审计师在财务报告内部控制审计过程中只能获取某一时点的充分而有效的审计证据,从而也只能对该时点控制的有效性提供合理的保证。
三、关于内部控制审计的依据
AS5指出,审计师在财务报告内部控制审计过程中,应当采用与公司管理层评价财务报告内部控制同样的标准,即共同认可的控制框架。美国证券交易委员会(简称“SEC”)要求管理层采用一个适当的、被认可的、包括向公众广泛征求意见的团体制定的控制框架作为评价公司财务报告内部控制有效性的基础,COSO的内部控制整体框架即是这样的一个框架。COSO 报告是由美国注册会计师协会、美国会计协会、内部审计协会、管理会计师协会和财务经理人协会共同制定,其专业导向性,决定了其关注的重点是会计和财务问题,普华永道会计师事务所承担了大量的工作,可以作为财务报告内部控制的评价标准。而且COSO报告的权威性在世界上得到了广泛的认可。
四、内部控制有效性的认定问题
(一)内部控制缺陷的概念。
内部控制缺陷指的是内部控制设计和运行中存在的漏洞,会影响内部控制目标的实现。内部控制是允许存在瑕疵的,AS5指出:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”但是,内部控制的缺陷不应当为控制目标的实现提供合理保证。因而内部控制缺陷是与控制目标相联系的。
(二)内部控制缺陷的分类。
对内部控制缺陷进行分类是十分重要的,因为审计师是缺陷的类型来确定审计意见的类型的。AS5根据将控制缺陷划分为一般缺陷、重大缺陷和实质性漏洞三个层次,并列举了实质性漏洞的信号。重大缺陷也称实质性漏洞,是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,例如管理层风险意识薄弱,或者的风险偏好与企业的经营特征不匹配等;重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大。例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。是指除重要缺陷、重大缺陷外的其他缺陷。
(三)内部控制缺陷的认定。
内控缺陷和内控局限性都会影响内控目标的实现,但二者是不同的。内部控制局限性指的是内部控制能够为控制目标的实现提供合理保证,但是却不能提供绝对保证。COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;控制成本与收益的权衡等。
五、内部控制审计与财务报表审计的整合问题
财务报告内部控制审计的目标是对财务报告内部控制有效性发表意见,财务报告审计的目标是对财务报表的公允性发表意见,二者都是对企业管理层对财务信息的认定提供合理保证。鉴于此,将二者进行整合将有助于提高审计效率,降低审计风险。《SOX》规定,内部控制审计应当由为公司出具审计报告的会计师事务所来进行;AS2和AS5均明确提出,财务报告相关内部控制审计应当与财务报告审计结合进行。我国《企业内部控制审计指引》规定:“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行”。在对财务报告内部控制审计与财务报表审计整合进行时,注册会计师应有效地、协同地计划和执行审计工作以实现两者的目标,在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
六、内部控制审计的导向性问题
AS5为财务报告内部控制审计设计了一种自上而下的风险导向审计方法。风险导向的意思是注册会计师将审计资源集中于高风险领域,以提高审计效率,降低审计风险。自上而下的意思是指,注册会计师首先要关注公司层面的内部控制,即控制的顶层设计;然后是重要的报表项目和重要账户余额和发生额的控制,最后才是业务层面的控制,即具体业务流程的具体控制。由于企业层面的内部控制主要涉及到的是控制环境因素,如公司组织架构、企业文化、人力资源政策和程序、职责分工等,这些因素决定了内部控制的基调,是内部控制的基础,同时也是内部控制的短板。控制环境出现问题,也就意味着其他层面的内部控制都可能会出现问题。如公司治理存在缺陷、不相容职务没有进行分离这些企业层面的设计缺陷,既容易导致管理层舞弊,不可避免地会导致财务报表层面和业务层面的内部控制出现问题。换而言之,企业层面的控制决定了财务报表层面的控制,进而决定了业务层面的内部控制,其风险也是逐级下移和扩散的,控制了企业层面的风险,也就等于控制住了其他层面的风险。所以,自上而下的内部控制审计方法就是以风险为导向的审计理念的具体体现。这种自上而下的,以风险为导向的审计方法将引导注册会计师将审计工作的重点指向下一步的高风险领域,为注册会计师制定审计策略、安排审计计划提供了路线图。
(作者单位:中国平煤神马集团财务资产部)
参考文献:
财务报告内部控制审计范文2
关键词:上市公司;财务报告;控制审计
中图分类号:F239.4 文献标识码:A 文章编号:1006-8937(2014)3-0117-02
1 我国上市公司财务报告内部控制审计的现状与问
题
1.1 我国上市公司财务报告内部控制审计的现状
1.1.1 财务报告内部控制审计环境困境
自发生全球性经济危机以来,我国仍然处在经济结构调整的阶段,近年来,A股上市公司整体表现不佳,利润减少,或大幅度下滑的企业不在少数。当然,原因是多方面的,不容回避的是上市公司在上市过程中操纵财务造假,粉墨登场,然后就是一系列的违规运作,无所顾及。尤其是在资产重组和控制权变更等重大资本运作中,操纵股东大会及董监事会,占用和挪用大量资金,并编造和篡改财务报表的内容,使财报内控审计工作难以有效地展开。
1.1.2 财务报告内部控制审计面临更多的挑战
一是上市公司业务发展迅速,跨行业经营渠道有增无减,业务多元化的发展造成财务处理的多样化和复杂化,内部审计水平要求升高。二是部分公司会计制度不完善、有缺陷,信息系统不规范、不严肃。三是公司内部的财务管理薄弱,基础较差,跟不上新金融工具的使用和推广。
1.2 财务报告内部控制审计中的问题剖析
1.2.1 监管机构没有形成统一的政策
这有历史的原因和现实的滞后,与美国相对成熟的内部控制审计制度相比有着不小的差距,主要是缺乏科学、统一的评价标准和规范的操作程序。具体表现是:实施范围有限,基本还是针对金融系统和发行新股的上市公司。政策性不强,审计师的执行方式、报告内容、文本格式也不一致,造成师出多门。基础性工作薄弱,审计主体职业性欠缺,惩戒力度不够。
1.2.2 上市公司对财报内控建设重视不够
企业未能随着形势的变化推进审计工作,有的仍然沿袭着旧有的运行模式。国外著名学者德勤对中国企业内部控制状况调查分析后得出结论,中国企业还没有充分认识到内部审核的重要意义,“内部控制审计存在一些误区”,执行的目的仅仅“为了满足监管要求”。
所以,导致一些企业建立内控建设的积极性不高,已建设的也是问题多多。其内控审计机构还是隶属于董事会或监事会,或者直接接受总经理领导,审计结果的可信度和独立性受到质疑。
1.2.3 社会审计机构存在一定的问题
一是社会审计机构的审计准则一般是原则性的,没有具体的实施细则,操作起来难度增加。二是负责审计工作的会计事务所对新准则的宣传、解读、培训缺乏新意,执行起来照猫画虎,不严谨、不到位。三是注册会计师在执行过程中缺乏独立性。企业一般依赖于管理层推荐的、熟悉的审计公司,轻易不肯变更,难以对审计水平和质量进行横向比较,选取更加优秀的审计单位。四是缺乏职业怀疑精神。这与客观的审计环境有关,也与审计师的职业精神有关。由于水平不高,经验不足看不到被审计单位存在的问题是一方面,因为外在压力和内部制约不敢彻查赢私舞弊的违法行为和相互矛盾的造假行为是另一方面。
1.3 社会公众对财务报告内控审计报告的有效需求不足
内控审计报告的需求主要来自管理部门,一般股市投资者兴趣有限,更不会就财务报告进行细致的解读,他们的信息来源主要依靠证券公司的专业机构和金融专家的研究报告来确定自己的投资方向。
实际情况是,财务报告内部控制审计本身具有相当的政策性和专业性,对审计单位和审计师都具有挑战意义,对中小投资者来说,更难掌握和解读,对于股市的交易操作参考价值不大,不受重视也就在所难免了。
1.4 财务报告内控审计本身存在诸多问题
1.4.1 财务报告内部控制审计的一般特点是时效性和针
对性
其一,如果不是身在其中,我们只能对企业内控机制的有效性做出判断,却不能监察到执行的全貌和最终结果。其二,在执行的过程中,内控活动随着生产的各个流程、阶段、时间进行,呈现出流动性、推进性、段落性,不可能付出巨大的成本来跟踪。
1.4.2 财务报告内部控制审计的效果有待提高
审计质量的优劣,决定了审计效率的高低。如果因为审计报告的缺陷导致IPO被拒,甚至遭到证监会的谴责和调查,只能说明内控审计的质量不高,急需进一步地提高。
1.4.3 增加了企业成本
上市公司通过种种努力,最终因审计问题上市失败,前期的审计努力和为此付出的成本都会付之东流。这就从某个角度体现了审计质量的重要性,质量就是效率,质量就是金钱在这里得到了验证。
财务报告内部控制审计一定会耗费大量的人力、物力和财力,还在某些方面影响到企业的正常经营。一方面财务报告内部控制审计制度加大了上市公司通过证券市场筹集资金的成本,无形中摊薄了利润水平;另一方面公司必须耗费时间和精力详细记录和测试内部控制程序,弥补控制缺陷,正常生产秩序势必受到影响,上市失败又无法补充和调整,无疑雪上加霜。
2 完善上市公司财务报告内部控制审计相关建议
2.1 政府监管部门要规范监管政策,转变方式
政府主管部门要肩负其政策责任,进一步强化实施内部审计管理,推动其顺利、规范、有效地实施和落实。
一要在证监会审核企业首次公开发行股票或有融资需求时,以及企业公开发行债券时,必须要求企业无条件地提供内部控制的报告和实施方案,并引入审计部门对财务内部控制情况进行审计。同时,政府相关部门也可创新性地对企业内部控制情况进行验收,并对该方面对企业信用的评级影响做出判断。
二要与政府相关的审计部门也要转变工作模式,从源头上寻找彻底避免出现问题的办法。学习、探讨、研究、借鉴国外先进的审计理念和最新的研究成果,以政策法令的形式强化企业实施的自觉性。
三要监管部门要在此项工作中处于主导和指导地位,进一步加强对会计师事务所审计过程地监管,组织和协调注册会计师在财务审核理念及审核标准等问题上的讨论论证,提高其执业能力和水平。要下沉工作落脚点,积极地与企业沟通交流,有针对性地对企业财务部门进行业务指导,了解和掌握第一手资料,监督和推进执行进展,考察执行效果。
2.2 上市公司需重视财务报告内部控制审计
《企业内部控制审计指引实施意见》施行以来,对企业内控制度建立的要求由主板公司逐渐向中小板、创业板全面过渡。企业高层管理人员要依法履行职务,尽职尽责,责无旁贷地健全财务报告内部控制体系,不打折扣地模范执行。
目前的上市公司多数是以企业集团的形式存在的,呈现出组织结构庞大而复杂,经营业务包罗万象的特点,建立健全有效的内部控制制度是一项具有挑战性的工程。然而,财务报告内部控制正是其向一个更高层次跃进的保证,可以有效地提高企业管理水平和提高抵御风险的能力,夯实在市场竞争中生存和发展的基础,对企业不断地发展壮大有着重大意义。
企业实行内部控制的目的在于降低运行成本,提高公司效益,追求效益的最大化。构建不能只是形式主义的虚构,要和企业的业务运转、机制运行、市场经营相结合,还要建立考查和评价的监督机构予以保证。同时,该系统还要接受相关部门对该系统进行监察,对是否运行有效进行评估,对运行状况提出意见,督促其不断地调整和改进。
社会审计机构的审计报告、监管机构的评估报告是上市公司公开的重要文件之一,也是上市公司展现自身管理水平的标的,重视与否,报告是否靓丽,直接关系到上市公司的形象,应该引起高管们足够的重视。
2.3 加强注册会计师队伍建设
首先,执业人员要自觉地参加培训,与时俱进,不断更新自己的知识结构,不断提高新形势下理论结合实际的能力,在实务操作中正确把握和运用文件精神,学以致用。
其次,组织有关部门,调动社会资源对执业人员进行业务指导和测试,完善财务报告内部控制审计的质量监控体系,尤其要对内部控制审计工作底稿的质量进行复核。
最后,会计师事务所在从事审计工作中要注意积累资料,有针对性地对典型案例进行搜集和研究。
2.4 改进财务报告内部控制审计
美国POAOB的AS5制定的相关审计准则还是具有相当指导性的,我们应该实行拿来主义,并根据国情和企业的实际状况予以参考,对我们现行的制度予以改进,和国际社会的审计标准接轨,探索出适应我国现实发展阶段的,带有自己特色的财务报告内部控制审计制度。
改进和提高主要还是要依靠注册会计师执业水平的提升,要求他们在开展财务报告内部控制审计工作中要站在相对的高度,具有大视野、全局观,在整个审计过程中尤其注重风险评估和风险控制。审计过程中和专业项目组要加强合作,经常沟通,信息共享,协同运作。对于关系到最终结论确定不一致的问题,要按照相应的审计程序,秉公办理,公平公正,使审计报告更具权威性和正确性,提高审计效率,降低审计成本。
3 总 结
财务报告内部控制审计是一项提高财务信息质量和审计理念创新的制度完善,具有明显的针对性和时效性,内控审计就是把监管的时间提前,防范于未然。这样,就可以披露企业财务报表背后的误区,曝光利用会计准则理解差异的违规操作,在国家和企业的利益遭到损害之前及时介入,将监管范围由事后提前到事前,可谓意义深远。
参考文献:
[1] 张海梅.我国上市公司财务报告内部控制审计的理论基础及对策[J].商业会计,2012,(02).
[2] 朱荣恩.内部控制评价[M].北京:中国时代经济出版社,2002.
[3] 李军宇.上市公司财务报告内部控制审计研究[D].长沙:湖南农业大学,2012.
财务报告内部控制审计范文3
企业整体的内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,可分为财务报告内部控制和非财务报告内部控制。财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制;非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。
为规范对企业内部控制的审计工作,财政部等五部委于2010年联合了《企业内部控制审计指引》(以下简称《指引》)。《指引》在总则第四条指出:注册会计师应当对财务报告内部控制有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。在《指引》所附的各类型审计报告参考格式中,非财务报告内部控制重大缺陷描述段有如下阐述:我们并不对××公司的非财务报告内部控制发表意见或提供保证,本段内容不影响对财务报告内部控制有效性发表的审计意见。从以上规定可以看出,注册会计师在内部控制审计中对非财务报告内部控制不承担任何责任,注册会计师的实际审计范围仅限于财务报告内部控制。
二、内部控制审计范围扩展的必要性
《指引》属于2008年颁布的《企业内部控制基本规范》(以下简称《规范》)的配套指引。《规范》在总则第一条中提到:为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,制定本规范。可见,《规范》的制定和实施要实现一系列的目标:国家层面,促进我国经济健康运行,走可持续发展道路;市场层面,规范资本市场秩序,保护投资者合法权益;企业层面,防范企业经营风险,提高企业管理水平和经营效益。在这三个层面的目标中,与财务报告内部控制联系最紧密的是市场层面,有效的财务报告内部控制有利于提高财务信息的质量,从而向资本市场提供更可靠的信息,满足信息使用者的需求。对于其他两个层面,非财务报告内部控制发挥的作用更大一些。《指引》只将审计范围限定在财务报告内部控制,只能促进企业财务报告内部控制的完善和发展,忽略了《规范》其它两个层面目标的实现。片面的审计范围也只能发挥片面的作用,将内部控制的审计范围扩展到企业整体的内部控制势在必行。
三、内部控制审计范围扩展面临的困难
将内部控制审计的范围扩展到企业整体的内部控制,所面临的困难也是非常多的。首先,企业整体的内部控制,涉及到企业的生产、经营、组织结构、人力资源、财务、信息系统等多个方面的控制管理,注册会计师进行内部控制审计要对其进行全面的了解和分析才能出具审计意见,仅凭会计、审计的专业知识将难以胜任此项业务,这对注册会计师的审计能力提出了更高的要求。其次,较之已比较成熟的财务报告内部控制审计,非财务报告内部控制审计还处于探索和研究阶段,目前国际国内都还未形成对非财务报告内部控制有效性进行评价的标准,注册会计师缺少发表审计意见的依据。第三,由于企业整体内部控制远超过财务报告内部控制,而且审计难度更大,进行审计需要投入更多的人力、物力、财力,审计范围的扩展必将大大增加审计成本。
四、解决建议
第一,提高会计师事务所的胜任能力。
首先,会计师事务所要加强对注册会计师的培训。注册会计师不仅要学习国内外开展内部控制审计业务的先进经验,而且还要充实企业管理、资产评估、数理统计等方面的专业知识,熟悉各类企业的业务流程,为提供更全面的内部控制审计业务打好基础。其次,会计师事务所应有计划、有步骤地培养和吸收企业管理、法律、金融、信息技术等方面的专业人才加入执业队伍,努力使内部控制审计人员的专业构成更加合理,提升整体内部控制审计业务的胜任能力。
第二,建立企业整体内部控制的评价标准。
制定企业整体内部控制的评价标准难度很大,但我们也并非毫无基础。2010年与《指引》一同颁布的“组织架构”等18项企业内部控制应用指引已经详细架构了企业整体的内部控制,对这18个方面分别建立相应的评价标准将构成企业整体的内部控制评价标准。而且,每一项内部控制应用指引都详细规定了在某方面如何建立有效的内部控制和应当关注的风险,这些完全可以成为制定评价标准的重要参考。有了这些基础工作,之后就是对具体的内部控制标准进行确认和量化的过程。财政部等单位应加快步伐,加大投入,在现有基础上加快建立完善的企业内部控制评价标准并以法规的形式颁布,为内部控制审计范围的全面扩展提供支持。
第三,实施整合审计,利用内部审计,降低审计成本。
财务报告内部控制审计范文4
「关键词财务报告;内部控制;有效性
上市公司经营失败、公司舞弊的指控以及财务报表的重新编报(Financial statement Restatements)(2),都将注意力集中在财务报告内部控制(Internal Control over Financial Reporting)的充分性上来。如何建立健全有效的财务报告内部控制制度,管理层如何对财务报告的内部控制有效性进行评价,以及外部审计师在财务报告的内部控制有效性审核中的作用就成了最紧迫的之一。本文从《萨班斯—奥克斯利法案》的最新规定出发,对我国财务报告内部控制评价提出自己的看法。
一、美国财务报告内部控制的新概念
内部控制概念的演变大致可划分为内部牵制、内部控制、内部控制结构和内部控制整体框架四个阶段。最初的内部控制定义可以追溯到美国注册会计师协会审计程序委员会1958年的《第29号审计程序公告》,其中,将内部控制分为内部会计控制和内部管理控制两个部分,并将内部会计控制与保护资产的安全完整和财务记录的可靠性直接联系在一起,具体的措施有交易授权与批准制度、资产的实物控制、从事财务记录和审核与从事经营或财产保管职务分离的控制。1972年,《第54号审计程序公告》对内部会计控制进行了重新定义,认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:交易经过合理的授权进行;公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;资产的使用和处置经过管理层的适当授权;在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。
1992年,COSO委员会对内部控制进行了深入的研究。根据COSO委员会1992年提出的《内部控制-整体框架》报告中的定义,内部控制是受公司董事会、管理层和其他人员的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法规等目标提供合理保证而设计的过程。1995年,美国注册会计师协会审计准则委员会在其的《第78号审计准则公告》中,接受了COSO报告对内部控制的定义。
美国证券交易委员(SEC)在2002年的33-8138号提案中首次对财务报告内部控制进行了诠释,该提案认为,财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证:公司的业务活动经过合理的授权;保护公司的资产避免未经授权或不恰当的使用;公司的业务活动被恰当的记录并报告,从而保证上市公司的财务报表符合公认会计原则的编报要求。该定义符合美国注册会计师协会审计准则公告319条款的规定,并与《萨班斯——奥克斯利法案》103条款中的内部控制定义保持一致。
根据SEC2003年6月正式的最终规则中的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序,具体包括以下控制政策和程序:
1.保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;
2.为下列事项提供合理的保证:公司对发生的交易进行必要的纪录,从而使财务报表的编制满足公认会计原则的要求;公司所有的收支活动经过公司管理层和董事的合理授权;
3.为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。
定义中的1、2两点与《萨班斯—奥克斯利法案》103条款中要求注册会计师事务所在审计或鉴证报告中进行内部控制评价的保持一致,第3点则是针对公司资产的使用和处置提出的,表明保护资产的安全完整是财务报告内部控制的有机组成部分。
与COS0报告中对内部控制的定义相比,SEC在最终规则中对财务报告内部控制的定义仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率效果的目标,遵循相关法律法规目标中也仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规。这个定义与《证券交易法》第13(b)(2)(B)款对内部会计控制的描述保持一致。
二、美国财务报告内部控制评价的最新进展
20世纪70年代以来,管理层对内部控制有效性是否进行报告曾引起广泛的争论,但直到《萨班斯—奥克斯利法案》颁布之前,还没有形成统一的规范。实务中仅有美国联合存款保险局(Federal Deposit Insurance Corporation)对加入保险的总资产超过5亿美元的机构要求提供管理层内部控制有效性的报告。2002年7月,国会通过的《萨班斯—奥克斯利法案》第一次对财务报告内部控制的有效性提出了明确的要求。该法案涉及内部控制的条款主要有:
1.第103款规定,对管理层财务报告内部控制评估的审计师报告,需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录,以准确公允地反映公司的资产交易和处置情况;内部控制是否合理保证公司对发生的交易活动进行了必要的纪录,以满足财务报告编制符合公认会计原则的要求;是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。
2.第302款规定,公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明,证明中涉及内部控制的内容包括:签字人员有责任建立和维护一套内部控制程序,并且这套内部控制程序的设计应当确保内部其他管理人员都能够知道公司及其纳入合并范围的子公司的所有重大信息,尤其在定期报告编制期间;保证在财务报告编制之前90天内已经对公司内部控制的有效性进行了评价;将关于内部控制有效性的结论反映在报告中;向外部审计师和公司董事会下的审计委员会报告了在内部控制设计或运行中对公司财务信息的记录、加工、汇总和报告产生不利影响的所有重大控制缺陷以及重要控制弱点。
3.第404款规定,根据1934年证券交易法中13(a)或15(d)款要求递交年报的公司,管理层需要对财务报告的内部控制进行报告。同时,该条款要求这些公司的审计师对管理层的评估进行认证和报告。
404条款的规定引起了法律界和职业界的广泛关注,SEC和AICPA积极行动起来,分别提出了自己的提案和征求意见稿
1.2002年10月22日,SEC第33-8138号提案,并于2003年6月5日颁布最终的规则,寻求为遵循404条款所需的过渡时间做法。主要内容有:(1)修订1934年证券交易法的相关内容,要求上市投资公司之外的公司在年报中包括一份管理层对公司财务报告内部控制的报告。该内部控制报告的内容必须包括:管理层签署申明,由其负责建立和维护充分的公司财务报告内部控制;公司在最近财政年度终了之时对财务报告内部控制的有效性进行评估;说明管理层进行公司财务报告内部控制有效性评估时采用的框架;提供一份申明,表明对公司财务报表进行审计的注册会计师事务所已经对公司管理层的财务报告内部控制评估报告提供了鉴证报告。(2)要求公司填报“注册会计师事务所鉴证报告(Registered Public Accounting Firm‘s Attestation Report)”,并作为年报的一部分予以公布。(3)要求管理层对公司季度内出现的、对公司财务报告内部控制具有重要影响或可能具有重要影响的任何财务报告内部控制变更进行评价。(4)对1934年的《证券交易法》和1940年的《投资公司法》的相关规则和表格进行了修订,以满足302条款的书面证明要求,并根据《萨班斯—奥克斯利法案》302条款和906条款的要求提供该书面证明。(5)自2003年8月14日起生效。对第一个财政年度在2004年6月15日或以后结束的所谓“加速编报”(Accelerated Filer)公司(3),必须在该财政年度的年报中根据相关的披露要求提供管理层对财务报告内部控制的报告。对第一个财政年度在2004年6月15日或之后结束的非加速编报公司,包括外国私人发行公司(Foreign Private Issuer),必须在2005年4月15日或之后结束的财政年度年报中遵循内部控制报告的要求。(6)上市投资公司必须在2003年8月14日或以后遵循针对他们修订的规则和表格要求。特别是财政年度在2004年6月15日或之后结束的上市投资公司,必须遵循《证券交易法》规则13a-15(a)和15d-15(a)和《投资公司法》规则30a-3(a)的修订内容,维护财务报告的内部控制。
2.2003年3月18日,美国注册会计师协会(AICPA)财务报告内部控制审计的征求意见稿,作为对《萨班斯—奥克斯利法案》404条款的响应,主要内容包括:(1)对一些审计准则公报(SASs)和鉴征事务准则公报(SSAE)进行了修订,使之在财务报告内部控制有效性审计中更好地发挥作用。(2)作为一项完整的活动,公众公司(Public Company)审计包括财务报表审计和财务报告内部控制有效性审计两个部分。(3)独立审计师需要对审计工作进行计划,对公司的内部控制进行了解,对控制的设计有效性和执行有效性进行评价,进而发表审计意见。(4)对内部控制缺陷进行了定义。征求意见稿中将内部控制缺陷分为设计缺陷和执行缺陷,前者主要是指公司的控制结构和程序不完整,遗漏了一些必要的控制;或者现存的控制设计不合理,从而导致即使控制按照设计执行了,但无法达到控制的目标。后者则是指一项控制虽然设计合理,但没有得到有效的执行,或者执行控制的员工没有得到合理的授权或资质,从而导致控制不能得到有效的执行。征求意见稿中根据内部缺陷的严重程度将其分为重大控制缺陷(Significant Deficiency)和重要控制弱点(Material Weakness)两类。重大控制缺陷是指可能对公司管理层发表的申明中关于保证交易的发生、记账、过账、报告财务数据和财务报表保持一致的能力产生不利影响的内部控制缺陷。重要控制弱点是指在内部控制的组成部分的一个或多个方面存在重大控制缺陷,造成公司的内部控制不能将及时地防止或发现财务报表中实质性的错误表述的风险降低到一个较低的水平。(5)对财务报告内部控制评价发表无保留审计报告的限制条件做了规定。如公司内部控制中存在未更正的重要控制弱点,独立审计师不能发表财务报告内部控制有效的无保留意见,而应该根据重要控制弱点的性质,发表保留意见或仅对意见。根据征求意见稿的观点,财务报表中存在实质性错误表述,公司没有发现,而外部审计师发现了,则表明公司的内部控制中存在重要控制弱点。
3.针对上述提案和征求意见稿,各注册会计师事务所也积极行动起来,提出根据404条款进行财务报告内部控制评价的操作指引,典型的有McGladrey&Pullen会计师事务所和KPMG会计师事务所的两份报告。这两份报告都对会计报告内部控制有效性评价提出了具体的操作建议,报告中新的、有价值的观点有:
(1)对管理层评估财务报告内部控制的程序提供了建议。报告认为,管理层对内部控制的评估可以分四个步骤来完成,即:计划、设计有效性评价、执行有效性评价、评估和报告。首先是计划阶段,主要内容包括:对高级管理人员进行,内容涵盖404条款及管理当局对财务报告内部控制有效性进行评价的特殊要求;建立任务小组并明确责任,设定管理层对财务报告内部控制有效性评价的时间表,并选取COSO或其他适当的标准进行评价;确定需要重点关注的内部控制,并对内部控制体系中涉及多个分部或单位的情况进行处理,确定哪些分部或单位应该包括在评估内容中,同时对确定的内部控制环节及相关的分部或单位形成内部控制文件。其次是对财务报告内部控制的设计有效性进行评价,内容包括:根据确定的标准,对形成文件的重要控制进行设计有效性评价,内容涵盖内部控制的每个层面(控制环境、风险评价、控制活动、信息与沟通、监控)以及每一个重要控制;检查现存的内部控制文件,发现存在的缺陷并进行必要的改进工作。第三阶段是对财务报告内部控制的执行有效性进行评价,具体的行动步骤有:管理层将所设计的内部控制责任分配到具体的岗位,并组织内部审计人员或第三方人员实施监控程序和评价活动,对每个分部、单位或环节进行内部控制执行有效性评价;将经理层和内部审计得出的关于内部控制有效性的结论以及他们在评价过程中发现的内部控制的重大控制缺陷或重要控制弱点告知CEO和CFO;CEO和CFO对发现的内部控制缺陷的重要性进行评价,并就采取的对策达成一致意见;将执行的关于控制的执行有效性评价程序和评价的结果形成文件;将得出的结论向审计委员会和外部审计人员报告,并就所发现的重大控制缺陷和重要控制弱点采取的对策取得他们的赞同。最后阶段是评估和报告阶段,内容有:将财务报告内部控制有效性的评价与审计人员的审核程序协调起来,对发现的内部控制缺陷实施必要的内部控制变更;发表管理层关于财务报告内部控制的申明,并将其作为公司年报的一部分予以公布;复查发现的重大控制缺陷和重要控制弱点以及采取的对策,并向法律顾问、审计委员会和董事会报告。
(2)强调“人”的重要性。报告认为,财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、内部审计和外部审计等各个方面,明确了评估的每个行动步骤由哪些高级管理人员负主要责任,以确保按时完成内部控制评价工作。
(3)界定了管理当局的责任。报告认为,管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如C0SO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理层的评估结果,管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作,将其作为评价内部控制执行有效性的基础。相应地,管理当局可以雇佣外部审计师之外的注册师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。
(4)明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的初始证据,但审计师可以根据他人的工作来改变自身评估工作的测试性质、时间和程度,但这样做要求审计师重复他人的一部分测试工作,并对每个重要账户、交易类别和披露相关的控制执行独立性测试。
(5)界定了内部控制有效性评价与财务报告审计的关系。两者即有不同,又有联系。首先,两者的目标不同。财务报表审计的目的是对财务报表是否在所有重大方面符合公认会计原则的规定发表意见,因而关注的是财务报告程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解,并对控制风险进行评价,但这些工作主要是为了决定其它财务报表审计程序的属性、时间和程度,而并不需要单独对财务报告内部控制的有效性提供报告。而内部控制审计的目标却是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见,此时,独立审计师需要了解公司建立的财务报告内部控制,并对其设计有效性和执行有效性进行测试,要完成这项工作,审计师必须对财务报告程序(从交易的开始直到财务报告的编报完成)中的每一个重要控制的有效性进行评价。其次,两者也有联系,即都需要对财务报告内部控制的设计和执行有效性进行评价,审计师可以利用所取得的内部控制评价的证据来改变其它财务报告审计程序的属性、时间和程度。由于内部控制的内在局限性,审计师仍然需要执行实质性程序进行测试。此外,独立审计师可以根据内部控制有效性审计中发现的缺陷,来决定财务报表审计实质性测试过程的属性、时间和程度。
三、对我国财务报告内部控制评价的启示和借鉴
我国自20世纪90年代起开始加大政府对内部控制的推动作用。现有的法规和行政规范中多项涉及到内部控制的。可以看出,政府监管部门对单位内部控制的建立健全提出了一定的要求,但没有对管理层进行内部控制制度有效性评价提供实质性指导,从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。与此同时,我国的内部会计规范才刚刚开始,一套完整的内部会计控制规范体系的建立还有待时日,这也给内部控制有效性评价增加了难度。《萨班斯——奥克斯利法案》404条款、SEC的最终规则以及会计师事务所提供的报告,对我国财务报告内部控制有效性评价具有一定的启发和借鉴意义,具体如下:
1.通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。,仅有2001年10月证监会“关于做好证券公司内部控制评审工作的通知”中对内部控制评审提出了明确的规定,即要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,会计师事务所应当向证券公司提交内部控制评审报告。而在其他规范中,没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面对我国上市公司的经营失败和公司舞弊指控的增多,财务报告内部控制的重要性日益显现,这就对财务报告内部控制有效性进行评价提出了新的要求。我们应借鉴国外的经验,在相关法律法规中对内部控制评价提出明确的要求,以将财务报告错误表述的风险降低到一个恰当的水平。
2.建立统一的评价标准。美国的相关法律条款和实务都对在内部控制评价的早期确定科学的评级标准提出了要求,认为应采用诸如C0SO报告提出的内部控制完整框架的公认标准,作为财务报告内部控制有效性评价的标准。目前我国内部控制评价实务中,管理层建立健全有效的内部控制,一般是参照财政部的《内部会计控制规范——基本规范(试行)》进行的,内容主要是以单位的内部会计控制为主,同时兼顾与会计有关的控制;独立审计师内部控制审核业务则是根据注册会计师协会的《内部控制审核指导意见》进行的。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式,没有和财务报告审计中的内部控制评价明显区分开来。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
3.明确内部控制评价的内容。目前我国与实务界没有对内部控制评价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审计时,主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价,因此在确定内部控制评价的内容时,一方面应根据注册会计师与委托人达成的业务约定书内容,另一方面,还需要考虑审计师在审计初期确定的审核标准。
4.设计一套科学的行动指南,为管理层进行内部控制有效性评价提供指引。可以借鉴KPMG和McGladrey&Pullen会计师事务所报告中的做法,在单位内部组建由高级管理人员组成的专门小组,分步骤有计划地对内部控制的设计和执行情况进行检查和评价。单位可以聘请年报审计的注册会计师之外的中介机构或有关专业人员协助对本单位的内部控制的建立健全及有效性进行评价,并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进,保证财务报告的编报质量,降低财务风险。
5.明确内部控制评价的时间范围。尽管独立审计师发表的内部控制评价报告是针对特定时点进行的(一般是与所审计会计报表期间的期末资产负债表日相一致),但审计人员对内部控制有效性与否进行的测试工作则涵盖了一段时间。因此,KPMG会计师事务所提供的报告要求,管理层应该保证投入运行的内部控制必须运行了一段足够的时间,以便于审计师实行执行有效性测试工作。在确定我国内部控制有效性评价的时间范围时,应借鉴国外的有益经验,针对一段时间内的内部控制的有效性进行评价,并在管理层关于财务报告内部控制的申明中明确报告的期间范围,对超过一定期限的内部控制评价结果,还需要取得额外的证据来支持最终的评价结果。
6.管理层评价与外部审计师审核的协调一致性。管理层对内部控制有效性负责,必须选择适当的控制标准对公司的内部控制有效性进行评价,并获取足够的证据来支持最终的评价结果,同时需要签署一份关于公司内部控制有效性的书面申明。而审计师需要对管理层最终形成的内部控制评价报告意见提供足够的恰当证据。所以管理层应该加强与外部审计师的交流和沟通,例如所确定的重要的内部控制内容及原因;对重要内部控制形成的文件的完整性以及设计的合理性如何;在进行重要控制的执行有效性评价时采取的程序是否科学合理;发现的内部控制缺陷及其重要性如何,采用的改进措施是否有效等。管理层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员内部控制评价工作的一部分,但审计师还需要重复相关的测试工作,并进行执行有效性的独立测试,以保证审计结论的公允。
内部控制的建立健全和完善是一个长期的工作,我国的内部控制规范才刚刚开始,在此过程中,适当地借鉴美国等发达国家的有益经验和实际做法,可以为我国的会计服务市场的和内部控制评价的认识提供新的视角。目前,如何遵循404条款对财务报告内部控制有效性进行评价,美国的SEC已经形成了最终的规则,而AICPA还没有形成最终的审计准则,我们应进一步关注其进展,并结合我国的实际情况,建立健全符合我国国情的内部控制评价框架,以完善我国的内部控制评价工作。
主要
朱荣恩。2002.内部控制评价。中国出版社
中国人民银行关于印发《加强机构内部控制的指导原则》的通知,银发[1997]199号
证监会关于印发《关于加强期货经纪公司内部控制的指导原则》的通知,证监期货字[2000]12号
证监会关于印发《证券公司内部控制指引》的通知,证监发[2001]15号
证监会关于做好证券公司内部控制评审工作的通知,证监机构字[2001]202号
财政部关于印发《内部会计控制规范——基本规范(试行)》《内部会计控制规范——货币资金(试行)》的通知,财会[2001]41号
中国注册会计师协会关于印发《内部控制审核指导意见》的通知,会协[2002]41号
财政部关于印发《内部会计控制规范——采购与付款(试行)》和《内部会计控制规范——销售与收款(试行)》的通知,财会[2002]21号文
Sarbanes- Qxley section 404: management assessment of internal control and the proposed auditing standards, KPMG , March 2003
Assessing the effectiveness of internal control over financial reporting in accordance with section 404 of the Sarbanes - Oxiey Act of 2002,McGladrey&Pullen certified public accountants, Maruli 2003
Proposed rule: disclosure required by sections 404, 406 and 407 of the Sarbanes - Odey Act of 2002, SEC release No. 33 - 8138,October 22, 2002
Auditing an entity‘s internal control over financial reporting in conjunction with the financial statement audit and reporting on an entity’s internal control over financial reporting, AICPA, March 18, 2003
Final Rule: Management‘s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, SEC, June 5, 2003
(1)本文系中国会计学会课题(2003)《财务报告内部控制研究》(批准号2001KJAO19)的阶段性研究成果。
财务报告内部控制审计范文5
关键词:上市公司;内部控制审计报告;披露
2008年颁布的《内部控制基本规范》提出上市公司可聘请会计师事务所对内部控制的有效性进行审计。2010年4月《企业内部控制配套指引》指出企业“应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告”,同时给出内部控制审计报告的参考格式。在此背景下,本文将对我国上市公司内部控制审计报告的披露现状及问题进行研究。
一、我国上市公司内部控制审计报告披露现状
本文选取2010年沪市A股年报中自愿披露内部控制审计报告的上市公司为研究对象,共239家。其中有9家上市公司虽然声称披露了核实评价意见但找不到具体的意见报告,还有7家只在内部控制评价报告中简要说明了审计意见。因此,实际以报告形式披露内部控制审计意见的共有223家。在内部控制基本规范和配套指引之后,我国披露内部控制审计报告已经有很大的改善,具体表现在:
首先,数量上有所增加。沪深两市在2007年报中仅有175家披露了审计师对管理层自我评价报告的审核意见,筛选之后只有156家,而在基本规范和配套指引之后2010年仅沪市A股就有223家,数量上大幅增长。
其次,内容上逐渐规范。223份报告中只有1份没有管理层的责任、4份缺少内部控制固有缺陷的描述,其余都包括管理层或董事会对内部控制的责任、注册会计师的责任、内部控制的固有局限性和财务报告内部控制审计意见这四个部分,基本符合配套指引所给出的内部控制审计报告的参考格式。
二、我国上市公司内部控制审计报告存在的问题
第一,我国上市公司内部控制审计报告名称混乱。虽然沪市A股中有223家公司的年报声称披露了审计机构对公司内部控制报告的核实评价意见,但是报告名称却包括“内部控制制度报告”、“自我评估报告的核实(审核)评价意见报告”等多种。其中,真正以“内部控制审计报告”命名的报告只有15份,仅占6.73%,而最多的“内部控制(专项)鉴证报告”有110份,占比49.33%。然而,鉴证、审核、核实评价等词并不能与审计等同,主要体现在保证程度的不同。以审核为例,内部控制审核提供的是有限保证,内部控制审计提供的则是合理保证,审核不可随意替代审计。名称的不一致不仅会使内部控制审计报告难以在格式上形成统一规范,还会影响利益相关者对报告的查阅和理解。
第二,内部控制审计报告中披露的几乎都是标准审计意见。企业内部控制审计指引中给出了四种内部控制审计报告的参考格式:标准(无保留)、带强调事项段的无保留意见、否定意见和无法表示意见。然而,在样本数据中,除了1份没有表示具体意见的报告,其余全为无保留审计意见。这可能是由于上市公司不愿披露非标准审计意见的报告,但是更多的还是因为会计师事务所未保持独立性,多为附和被审公司的要求而出具无保留意见,使内部控制审计流于形式。
第三,内部控制审计报告中极少涉及非财务报告内部控制。企业内部控制审计指引指出,在内部控制审计报告中应增加“非财务报告内部控制重大缺陷描述段”,意味着企业内部控制审计的范围应包括非财务报告内部控制。然而,在223份中只有1份内部控制审计报告简单提及非财务报告内部控制,其余报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性,对非财务报告的内部控制并无涉及。这与内部控制配套指引尚未正式在上市公司实施有关,更是因为长久以来人们将内部控制片面理解为与财务报告有关,忽视了非财务报告的内部控制。
三、改进我国上市公司内部控制审计报告的建议
第一,加快制定专门的内部控制审计准则。目前,我国上市公司内部控制审计报告的披露有所改善,但是仍存在不少问题。主要是因为基本规范和配套指引只是对上市公司给出指导和建议,并不具有法律上的强制力,即使上市公司不遵循,也没有相应的处罚措施,上市公司的执行力度较低。所以,应当制定专门的内部控制审计准则,在准则中强制要求上市公司披露内部控制审计报告,并统一规定报告名称和格式。
第二,加强会计师事务所独立性。针对会计师事务所普遍出具无保留意见的情况,首先我国会计师事务所应加强对注册会计师的职业道德教育以保持形式和实质上的独立,其次承接内部控制审计的事务所应定期更换,最后注册会计师协会应加强对会计师事务所的监管。
第三,转变对内部控制审计的认识。无论是会计师事务所还是上市公司都应转变对内部控制审计的认识,要认识到非财务报告内部控制的重要性,在进行内部控制审计的时候,既应当对财务报告内部控制的有效性进行审计,还应当对非财务报告内部控制中存在的问题进行说明。
参考文献:
1、企业内部控制基本规范,企业内部控制配套指引[M].法律出版社,2010.
2、袁敏.上市公司内部控制审计问题与改进――来自2007年年报的证据[J].审计研究,2008(5).
财务报告内部控制审计范文6
萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]
因此所有企业构建IT内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对IT的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开IT,即使业务控制也是在IT支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善IT内部控制,包括IT一般控制和IT应用控制。但我们的现状不容乐观。
1. IT专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明IT人员没有参与风险管理,但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官(CIO)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的SOX遵循计划;(3)专门针对IT控制拟定一个遵循执行计划;(4)把这个计划与总体的SOX遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些IT内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范,控制政策程序不太完善, IT控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
3.现有的IT内部控制不具有可审计性
