前言:中文期刊网精心挑选了内控审计报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内控审计报告范文1
关键词:内部控制审计 运营能力 市场反应
一、引言
证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》中要求中央和地方国有控股上市公司、非国有控股主板上市公司,并且于2011年12月31日公司总市值(证监会算法)在50亿元以上,同时2009年至2011年平均净利润在3 000万元以上的,应在披露2013年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。其他主板上市公司,应在披露2014年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。
截至2013年4月15日,沪深两市A股主板已有1 053家出具已审计的财务报告,其中有662家出具内部控制审计报告。从证监会对于内部控制审计报告的强制披露要求可以看出内部控制建设对一个企业的重要程度。一个完善的内部控制制度可以有效提高公司的运行效率,降低经营风险,减少公司出现违规操作的风险,保护投资者利益。被出具无保留意见的标准审计报告能够说明公司运行情况良好,提高投资者的信任。由此可见出具内部控制审计报告对于上市公司本身和投资者、监管者都是十分有必要的规定。
二、文献综述与提出假设
(一)内部控制审计对上市公司的市场影响
池国华等(2012)在研究内控缺陷信息对个人投资者风险认知的影响中发现,内控缺陷严重程度对个人投资者风险认知有显著影响。内控审计报告对投资者的风险认知程度影响较大,对内控审计报告利用程度越高,投资者风险认知水平与内控审计报告存在缺陷的关联程度越大。张然等(2012)在研究中国A股上市公司2007-2010年年度报告中发现,上市公司公布内部控制自我评价报告后,公司筹资资本成本会降低,若进一步提供内部控制鉴证报告,其资本成本会更加降低。这是由于企业管理者通过对内部控制的制度完善和自我评价会提高企业内部控制有效性的信息,有助于投资者进行投资决策。方红星、刘丹(2013)以2010年上市公司变更会计师事务所与其内部控制质量的研究中发现,上市公司内部控制质量越差,越倾向于变更会计师事务所;变更审计师的上市公司对高质量审计需求概率与内部控制质量的变化显示出倒U型关系:先上升后下降。并得出当内部控制足够有效时,高质量审计与内部控制存在替代关系。胡娜(2010)论述上市公司变更会计师事务所对审计质量的影响中强调,内部控制存在缺陷的上市公司会增大审计风险,审计师易与上市公司发生意见不一致,进而导致会计师事务所的变更;同时,接任的会计师事务所由于不了解内控环境,会导致审计成本上升和审计质量下降。为此,政府应加强对上市公司内部控制建设的要求,同时充分披露会计师事务所变更的原因。沈菊琴(2013)通过分析2010年中小板上市公司自愿披露内控自评报告的市场反应中发现,上市公司披露内控自评报告信息量越大,投资者获得的超额收益越多;并且公司财务状况越好、经营能力越强、内部审计越完善的公司越倾向于选择披露内控自评报告。
综上所述,内部控制在公司运营和审计过程中的作用越来越重大,内控较好的公司能有效地降低成本和提高公司的透明度和真实性,投资者对于内控完善的公司更加青睐。但是,加强内控建设对上市公司的影响在具体指标上体现的研究较少,公司出具内控审计报告后对公司的整体效果有提高,但是具体环节上的有效验证研究较少。为此,笔者将针对2012年出具内控审计报告对上市公司的影响进行数据量化分析。
(二)提出假设
由于上市公司要出具内部控制审计报告,公司为达到审计师的要求会加强内部控制建设,完善的内部控制建设会提高公司的运营效果,会导致公司的经营效果大幅提高。为此提出假设1。
H1:出具内部控制审计报告的上市公司,2012年的经营效果比2011年显著提高。
出具标准无保留意见的内控审计报告后会使上市公司的透明度增强,并且显示出公司的管理运行机制良好,根据信号传递理论,投资者会对上市公司的信任度增强,公司的财务报告真实性会显著增强,投资者会倾向于选择出具内控审计报告的公司,进而为投资者带来超额收益,故出具内控审计报告会产生一定的市场反应。
H2:上市公司出具内部控制审计报告日后市场反应会出现显著变化。
三、实证研究
(一)样本选择来源及处理
本文选择了沪深A股主板出具2012年内控审计报告的50家公司的经营业绩和市场反应分别作为研究对象来验证H1和H2。在选取样本时,对年报公布后有重大事项发生的公司、发生合并或新设立公司、ST公司、金融保险行业公司进行剔除,最后符合标准的沪深两市各选25家上市公司。数据来源有国泰安数据库、巨潮资讯网、中注协以及证监会网站。所有数据均使用SPSS软件进行处理。
(二)Logistic 多元回归分析
1.模型设定。H1的因变量选取为“是否出具内控审计报告”作为虚拟因变量。H1的自变量共有7个:营运能力指标中选择存货周转率、应收账款周转率和应付账款周转率作为自变量,盈利能力选择市盈率和资产收益率作为自变量,财务能力选择现金比率作为偿债指标保证,发展能力选择资本积累率作为自变量。见表1。
H1假设通过构建Logistic多元回归模型分析是否出具内控审计报告对各因素的拟合分析,建立如下模型:
Internal control=β0+β1 ×inventory+β2 ×AR+β3×AP+β4×PE+β5×ROE+β6×cashratio+β7 ×capaccumu+ε
其中,β0为常数项,β1、β2、β3、β4、β5、β6、β7为自变量系数,ε为误差项。
2.样本处理。由于50家公司所处行业和规模有差异,在对H1进行logistic回归时,将样本处理为相对规模,其中2012年指标为2012年期末规模/2011年年末规模,2011年指标为2011年期末规模/2010年年末规模。鉴于文章的篇幅,本文未列出所有样本处理后原始数据。
3.logistic回归结果。见表2。
4.结果分析。根据logistic回归分析,结果表明:
(1)出具内控审计报告对上市公司的运营能力影响显著,上市公司内部控制建设完善后会提高存货周转率和应收账款周转率,这是由于内控完善会减少库存并及时催收客户欠款,使公司的运营能力大幅提高。但是内控完善后对公司的应付账款周转率有反向作用且影响不显著,这是由于内控制度建设会使公司最大程度利用商业信用,最大限度利用公司自有现金流。
(2)出具内控审计报告对上市公司的盈利能力有正向影响。上市公司内控制度越完善,上市公司市盈率会越高,且影响显著,这是由于内控完善后会使成本降低,投资者会倾向于选择内控制度完善的公司,引起公司股价上升,市盈率上升。但是对净资产收益率会产生一定抑制作用且作用不显著。原因在于内部控制制度的完善需要一定的成本,为此会带来一定的净利润降低。
(3)内控制度完善后对偿债能力和发展能力影响为正向促进作用,但影响效果不显著。这表明内控制度完善后可以提高上市公司的整体状况,并对公司的发展带来一定的积极作用。
(三)事件分析法
1.研究过程。
(1)定义事件。本文针对H2假设定义上市公司出具内控审计报告为研究事件,定义内控审计报告披露日为t=0。
(2)定义窗口期。2012年内控审计报告基本于2013年4月披露,本文选取截至4月15日之前出具内控审计报告的上市公司为研究对象,将窗口长度确定为10天,事件窗定义为(-10,10),清洁期定义为(-60,-11)。
(3)确定超额收益率ARit。超额收益率是实际收益率与正常收益率的差额。本文事件窗的实际收益率由样本公司的实际股价确定Rir;正常收益率由CAPM确定――通过线性回归模型以沪深两股指数为基准确立的正常收益率Rim。ARit=Rir-Rim。
(4)计算所有样本在t时刻平均资本收益率 AARit=(1/N)ARit,计算单个样本在某时间区间的累计超额收益率CARi(t1,t2)=ARit和整个样本的累计平均超额收益率CAR=AARt。
2.检验思路。H2 因变量为累计资产回报率CAR,检验累计超额收益率CAR(t1,t2)是否显著异于0:利用单样本t检验进行检验,如果显著异于零,则表明出具内控审计报告会在披露日产生一定的市场影响,引起股票价格的显著变化。
3.实证数据检验结果。见表3。
(1)检验结果。根据表3样本公司CAR的t值检验结果来看,出具内控审计报告对市场会产生影响,除出具当日的一组数据影响为相反,出具内控审计报告的市场反应总体上呈促进作用。图1为样本公司在披露内控审计报告后的平均超额收益率AAR的变化趋势;图2为累计平均超额收益变化图。从CAR整体变化趋势上来看,出具内控审计报告这一事件在一定期间内会产生正向的导向作用,会为投资者带来短期内的超额收益。由于t=10时CAR趋于0,说明该事件的影响期间较短。
(2) 结果分析。根据图中所示具体变化趋势可以看出,在出具内控审计报告之前会出现超额收益趋势,在内控报告出具前阶段t=-6开始,在t=-2时会达到峰值,这说明投资者对于内控审计报告的预期较高,投资者此时会存在一定的套利行为。出具内控审计报告之后,t=-2到t=1阶段,CAR出现了一定程度的下落,并于t=1时停止下降,次阶段的下降可能原因是由于不同的投资者对于内控审计报告的期望值过高,认为公司的价值被高估,进而转手。但在出具内控审计报告之后超额收益会出现波动,但在t=10时CAR趋于0,说明出具内控审计报告的超额收益于10天后基本消失。
四、小结
本文针对2012年上市公司出具内控审计报告这一披露规范的影响进行实证分析论证。通过对样本上市公司进行研究,得到以下结论:一是上市公司应证监会要求披露内控审计报告,为了取得无保留的标准审计报告,在加大了对内部控制的建设的同时自身获益,表现为运营能力的显著提高。完善内控建设对盈利能力、发展能力和财务状况上虽然没有显著改善,但会带来正面的积极影响;二是上市公司出具内控审计报告后,投资者对内控报告和内控建设存在利好预期,由于不同投资者对于内控预期值不同,故公司在披露内控审计报告会产生一定市场反应,并在较短时期内为投资者带来超额收益。出具报告一定时期后,超额收益消失,投资者只能获取正常收益。
总体来说,证监会的相关要求对于上市公司披露内控审计报告的影响比较积极,并且收效良好。尽管会使上市公司加大披露成本,但上市公司会因自身制度建设的完善获得显化和未显化的制度红利;对于投资者来说,上市公司披露制度的完善,增加了公司的透明度,有效降低了成本,故披露内控审计报告会产生一定的积极市场反应。J
参考文献:
1.池国华,张传财,韩洪灵.内部控制缺陷信息披露对个人投资者风险认知的影响:一项实验研究[J].审计研究,2012,(2).
2.张然,王会娟,许超.披露内部控制自我评价与鉴证报告会降低资本成本吗?[J].审计研究,2012,(1).
3.方红星,刘丹.内部控制质量与审计师变更―――来自我国上市公司的经验证据[J].审计与经济研究,2013,(2).
内控审计报告范文2
一、自愿性内部控制信息披露制度的定义及重要性
1.自愿性内部控制信息披露的定义
自愿性内部控制信息披露是指除强制性信息披露外其他信息的披露,包括企业形象、财务状况、管理方式以及市场占有率等[1]。内部控制信息披露制度分为自愿和强制两种:强制性披露需要按照相关规定和法律法规的要求,将企业内部控制信息公开;自愿性披露是企业强制性披露的相关规定和法律法规的其他信息部分予以公开的企业内部信息。自愿性内部控制信息披露的内容包括两方面:①对强制性信息披露内容的细化和深入,加深强制性信息披露的权威性;②对强制性信息披露的补充,以提升企业核心能力和竞争优势为目的,向社会披露公司的盈利能力来保证投资者的投资回报。
2.内部控制信息披露的重要性
上市公司的利益相关者众多,提供真实有效的内部控制信息能够成为利益相关者的投资判断标准,也能够保护利益相关者的合法权益。企业内部控制信息披露能够规范企业内部的控制制度、加强控制力度,也能够为投资者提供企业的真实信息,这是企业内部控制信息披露行为的重要作用[2]。
二、企业内部控制审计报告披露制度的发展
我国企业内部控制审计报告披露制度始于上世纪末,近20年的发展,该行为已经逐渐成熟。内部控制信息披露制度的发展可划分为以下三个阶段:
1.初始阶段
我国首次提出内部控制披露工作是财政部下发的《独立审计准则第9号――内部控制和审计风险》,此文件中指出内部控制的三要素:控制环境、会计制度和控制程序,披露的内容根据为这三点。在审计过程中需要判断内部控制的真实性来保证审计工作的范围和时间。1997年的《加强金融机构内部控制的指导原则》中规范了金融机构内部控制的目标、原则和要素等基本要求。2000年的《公开发行证券公司信息披露编报规则》提出了证券公司公开发行的内部控制制度,并明确制定了内部控制制度的完整、合理和有效标准。
2001年颁布的《证券公司内部控制指引》中提出,市场中所有的证券公司需要建立完善的内部控制制度;2001年颁布的《内部控制审核指导意见》提出注册会计师需要在被审核企业中的固定日期内对企业的内部控制进行审核,并发表真实的审核意见,这使我国的内部控制审计制度初步定位[3]。在此之前我国的内部控制审核制度还属于调整阶段,不断出台新的政策,但规范的行业也仅是金融企业,对于一般的企业公司还没有制定完善的内部控制审核制度。
2.发展阶段
通过不同政策指导方针的实施,针对于金融企业中的内部控制审计工作很好的规范了金融市场,也经过美国安然事件爆发影响后,使我国的内部控制信息披露制度的重视程度逐渐加深[4]。
2006年我国先后了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,说明我国上市公司急需建立起完善的内部控制机制,并加强内部控制审计报告的披露。自从证交所的两个内部控制指引后,我国上市企业的内部控制审计报告便需要按照制定的标准进行强行披露。
3.完善阶段
2008年政府部门联合银监会、证监会、财政部等部门共同颁布了多项规范文件,其中包括20余种应用指引,在上市公司中实施,并提出其他大型非上市公司也一并执行,这使我国企业内部控制审计报告披露工作愈加完善[5]。
三、企业内部控制审计鉴证报告
企业内部控制信息披露是管理机构按照相关法律法规相外部投资者和直接受益人披露本公司的运行状况,信息披露的结果需要具有完整性、合理性及有效性。这种信息披露行为需要企业管理机构以第三方的立场客观的反应企业情况,企业内部控制鉴证的载体是企业内部控制鉴证报告[6]。注册会计师披露的企业内部控制信息包括对内部控制制度设计和运行有效性(企业内部控制的自我评估报告)的鉴证报告,不仅为外部直接受益人和竞争对手提供相关信息,同时也对本企业的管理者展示当前企业内部控制情况。
四、自愿性内部控制审计报告披露行为的影响因素
1.公司规模
就公司规模而言,大多数学者认为公司规模越大,越倾向自愿性信息披露,并且披露的内容越多。1986年便有学者指出公司规模与自愿性信息披露成正比。这是由于大型企业更注重企业的社会知名度及政治成本,并且外界直接受益人或利益相关人对大型企业的内部控制信息的需求量较大。因此,上市公司所披露的内部信息越多,吸引投资者目光的机会就越大,但是需要保证企业内部控制信息披露的质量。另外,由于大型企业的内部控制信息较为全面,媒体更加乐于关注大型企业的信息披露,并且大型企业的信息成本相比小企业要低。因此可以看出,公司规模的大小是影响自愿性信息披露的因素之一[7]。
另外,有研究指出,多元化经营的企业更愿意对外界进行信息披露。上市公司的股权呈分散性,分散程度越高,企业越乐于自愿披露信息,并且信息披露较为完整、细致、频繁。
2.公司上市年限
在我国证券市场中,对于上市公司的内部控制信息的需求较低,也因此引发了一系列徇私舞弊事件,使市场逐渐注重企业的内部控制信息的披露。我国在内部控制信息制度下发前上市的企业,对于内部控制制度和信息披露的概念较为模糊,因此,早期上市公司的内部控制工作较差。随着政府对内部控制工作的重视度加深,内部控制监管制度也逐渐完善,新上市的公司受到了较多市场政策的约束,企业会在上市前便建立健全的内部控制制度,来满足市场政策的监管要求,这是新上市公司与早前上市公司抗衡的一种优势。如果上市公司的内部控制制度完善,公司会倾向和自愿披露审计信息[8]。
企业的内部控制制度不仅是为审计机构所建立,更重要的是可以自身衡量和评价企业的发展。但是也有观点认为,企业发展速度越快,与内部控制制度的距离越大。这是由于企业的高速发展,内部组织结构和管理方式在不断的更新换代,并且很可能受到资金的约束在需要建立和完善内部控制体系时没有及时建立,待企业发展进入稳定期后,才会重新建立内部控制体系[9]。因此,在一定程度上会影响企业的信息披露。
由于早期的上市公司内部控制制度的不完善,监督、审核机构也没有建立,对于内部控制制度的成熟程度较落后于后上市公司。因此,可以认为越早上市的公司自愿披露内部控制审计报告的可能性越低。
3.公司内部控制资源
企业在发展中需要维护内部控制制度,对于大企业而言,完善的内部控制制度能够为企业赢得更多利益,这也是大企业的一种优势,虽然维护的成本较高,但大企业相对更乐于对此投资。而对于小企业而言,经营发展需要以自身的稳定性及市场性的角度出发,小企业的资金成本较低,投资于维护内部控制将使小企业的部分资金流出,而这部分流出资金在短时间内不会产生回报率。因此小企业对于内部控制的需求较小[10]。
大企业之所以愿意披露企业的内部控制审计、支付更多的审计费用,是因为所披露的信息能够体现出企业本身的优越性,是一种提升自身价值的权威信息。内部控制中最为实际的一项工作是董事会的召开,召开次数与企业的盈余管理程度呈正比。董事会的召开,能够很大程度上对公司董事、管理层的日常工作作出客观的监督和评价。因此,企业的独立董事越多,内部控制资源越为丰富。
公司内审部门归属于公司治理结构,公司治理结构能够体现公司的管理者与经营者之间的关系。当公司治理结构合理并且具有科学性时,能够降低经营者的内部控制资金投入,也因此会影响到企业的自愿性信息披露[11]。公司内审部门的合理设置,能够有效提升公司信息披露的质量。以香港上市公司为例,设置了内审部门的上市公司中,企业管理者更愿意向外界进行信息披露。可以看出,公司内审部门的设置能够影响自愿性信息披露。
当公司制定了内部控制制度后,需要花费大量的维护费用进行维护,这是企业经营过程中的一个固定支出。但是小公司的资金有限,财务管理能力较低,即使清楚内部控制系统能够为企业带来有利影响,也不会选择投资复杂的控制系统。大企业则不同,随着内部控制系统的成熟,大企业的生产规模、盈利能力也有所提高,也因为大企业的内部控制系统关乎于投资者的投资决策,大企业在建立内部控制体系后进行披露,可以规避企业经营风险、增加融资几率。由此可以看出,大公司的内部控制系统较为完善,将会乐于自愿披露内部控制审计报告。
4.企业盈利能力
如果采用评分形式为公司的自愿性信息披露进行分级,可以看出,企业的业绩越好,信息披露的等级越高。当上市公司预计将会有更高的盈利能力时,信息披露将愈加频繁、内容愈加细致。上市公司中根据自身的经济收益能够体现出公司发展前景,在证明公司具有广阔发展前景时,将企业内部控制信息披露将会获得更多的市场效应[12]。因此,上市公司的盈利能力是影响自愿性信息披露的因素,且盈利能力能够体现信息披露的质量。
内部控制能够保障上市公司的经营、收益合乎法规,收益率作为直接体现公司经营、收益的信息,必然会与内部控制发生联系。如果企业的内部控制质量高,收益率便会提高。在收益率有所保障的情况下,企业披露内部控制信息的意愿会增加。因此可以看出,自愿披露内部控制审计报告的企业多数属于收益率高的企业。
5.资产负债率
资产负债率是企业财务的一种杠杆原理,在一定程度上是影响公司经营情况的一种计算方式。企业中的资产负债率越高,企业承担的风险将会越大。因此,企业管理者和外部投资者更需要企业披露内部控制信息来掌握企业的运营情况和运营风险。但是,如果站在企业管理者的角度来看,在企业的资产负债率高的情况下披露内控信息,将会严重影响投资者决策及企业发展。因此可以认为资产负债率高的企业将不会自愿披露内部控制信息,并且有动机不披露[13]。
6.公司财务状况
上市公司的财务状况是企业经营、发展的最重要因素。财务状况良好的企业更乐于投资在内部控制建设中,但是对于财务状况较差的企业,缺乏对内部控制建设的投资资金,这使企业内部控制制度不完善,披露时也不积极。另外也是由于内部控制制度存有缺陷才会产生财务状况较差的现象。因此可以看出,财务状况较差的企业不会积极披露内部控制信息。
企业财务状况体现的两个因素是收益率和资产负债率:①收益率,直接反应企业的盈利能力,企业盈利是企业发展的有力保障;②资产负债率是企业的一种财务杠杆表现[14]。企业的内部控制制度完善,可以保证企业的生产经营的稳定,也就会提高企业的收益率。收益率越高,企业越想对外披露企业信息,相反,企业资产负债率高,则不愿披露内部控制信息。
7.公司发展前景
公司的发展前景受到内部控制质量的影响,这是公司发展的必然规律。早期上市公司的内部控制质量不高,对内部控制的概念较为模糊,是通过政府的一再调整、颁布相关制度条例,才将上市公司的内部控制质量提升。而新上市企业在创业初期,一方面为了迎合市场中的制度,另一方面也由于新上市企业的管理意识先进,因此会积极建立企业内部控制制度[15]。在信息披露方面,新上市公司需要一定的市场知名度来得到市场的认可,所以大力投资于内部控制建设,通过强制或自愿的信息披露,向市场输送更多的自身优势信息,也是为企业打开市场的一把钥匙。
内控审计报告范文3
(一)历史争论--作用相斥
随着人们对报表审计中内部控制重要性认识的深入,是否对内部控制进行单独评价及报告作为难题之一逐渐浮出水面,成为历史上一个长期争论的话题。而争论的焦点在于:内部控制评价报告的出具是否会降低财务报表审计意见的可靠性。
20世纪60年代末70年代初,财务领域的学术研究逐渐表明,年度财务报告仅仅是债务和权益投资的部分决策因素,而对季度会计信息、内部控制、预测等信息的需求变得越来越明显。于是,一些学者开始对注册会计师进入这些领域的可能性进行了论证,并使用问卷表来调查公众对此的态度。美国注册会计师协会1953年出版的《注册会计师手册》中指出一个新建议:在审计人员对财务报表的意见中,应包括一个对内部控制系统的意见。这个建议立刻引起了激烈的争论,许多人指出:对内部控制在审计报告中加以评价容易引起误解。到60年代,《审计程序说明书第49号--内部控制的报告》把在审计报告中是否需要说明内部控制的权利交给了管理当局。这使得如何表达对内部控制评价的意见成为一个更加突出的问题。1980年,《审计准则公告第30号--内部会计控制的报告》取代了《审计程序说明书第49号》,《审计准则公告第30号》指出:为了表示意见,注册会计师必须审查企业的内部控制结构。审查既可独立进行,也可以结合财务报表审计进行。可见,《审计准则公告第30号》采取了折中的态度,这也反映了实际中人们对内部控制评价报告与审计报告二者关系认识上的转变。
在长期争论的基础上,人们对内部控制评价报告与审计报告关系的认识于80年代末出现了明显的改变。1988年,《审计准则公告第60号--审计师对关注到的内部控制结构相关事项的传达》被颁布,该公告要求注册会计师就控制环境、会计制度和控制程序中存在的重大不足与审计委员会进行沟通。1991年,美国国会通过了联邦储蓄保险公司利用法(FDICIA),这一法律规定:所有资产大于20亿美元的金融机构管理当局必须对内部控制结构的有效性进行声明。该法同时还要求注册会计师对管理当局的报告进行验证。21993年,美国注册会计师协会颁布了《鉴证业务准则第2号--财务报告外的内部控制报告》及《鉴证业务准则第3号--符合性鉴证》,对企业提供内部控制报告及注册会计师对其进行评价并表示意见提供指导。至此,对于内部控制评价与审计报告关系的争论,以职业规范对内部控制评价及出具报告的认可而告一段落。实践的发展告诉我们,对内部控制进行单独评价及报告是因实际需要而产生的,是经济健康发展的保证,是独立审计勇于承担社会责任的正确选择。
(二)关系重新定位
虽然对于内部控制报告与审计报告关系的争论已告一段落,但留给我们思考的问题是:内部控制评价报告是否影响审计报告的意见类型?内部控制评价报告到底是提高了还是降低了审计报告的可靠性?二者的关系到底如何定位?笔者试在以上论述的基础上,就此谈一些自己的看法。
审计报告是注册会计师对于被审计企业年度会计报表发表审计意见的书面文件。这里的会计报表是企业管理当局向外部信息使用者提供关于企业财务状况、经营成果及现金流量等方面财务信息的手段。一般地,会计报表主要包括资产负债表、损益表、现金流量表等。注册会计师以第三者身份,对企业管理当局提供的会计报表进行检查,并对会计报表的合法性、公允性和一贯性作出独立鉴证,以增加会计报表的可信性。内部控制评价报告是注册会计师对被评价企业内部控制声明书发表评价意见的书面文件。内部控制声明书是企业管理当局对其内部控制的完整性、合理性及有效性所作的认定。按最新理念,企业内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。注册会计师接受委托对企业管理当局的内部控制声明书中的认定进行鉴证,并发表评价意见,以满足利害关系人对此信息的需求。
从审计报告与内部控制评价报告的比较中可以看到:审计报告仅仅是对企业年度财务信息的鉴证,范围较小,时效也较短;内部控制评价报告则是对"……为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程"的鉴证,范围广,时效也较长。正因为内部控制评价报告是对过程的鉴证,审计报告是对结果的鉴证,所以内部控制评价报告会对注册会计师的报表审计产生影响。但这种影响不是表面上的意见类型的一一对应,即不能认为内部控制评价报告是无保留意见,则审计报告也应该是无保留意见。由于内部控制评价报告是对整个企业范围内的、某个时期的全过程的鉴证,而审计报告是当年度财务信息发表意见,故财务报表所示财务信息的合法、公允及会计处理方法保持一贯并不表示整个企业的内部控制也一定是完整、合理及有效的;同理,企业内部控制在完整性、合理性或有效性上存在重大缺失也不等于企业当年财务报表一定不可信。内部控制对财务信息的影响是一种基础性的影响,是一种过程性的影响。
审计报告侧重于向信息使用者传递被审计企业当年度或短期的信息,而内部控制评价报告反映出来的信息则具有长期性的影响。内部控制评价报告是对审计报告所提供信息不足的补充,二者相辅相成,共同为增加证券市场及其他资本市场的透明度及有效性发挥着应有的作用。
参考文献:
1. [美]道格拉斯·R·卡迈克尔 约翰·J·威林翰 卡罗·A·沙勒 著 刘明辉 胡英坤 主译. 《审计概念与方法--现行理论与实务指南》. 东北财经大学出版社. 1999
2. 中国注册会计师协会 香港会计师公会. 《高级审计实务》. 经济科学出版社. 1998
3. 超越企管出版研发组. 《内部控制制度作业要点及实务--公开发行公司自我评估规范》.超越企管顾问股份有限公司新闻局局版. 1999
4. 文硕. 《世界审计史》. 企业管理出版社. 1996. 第二版
5. 王光远等编著. 《会计大典第十卷--审计学》. 中国财政经济出版社. 1999
6. 阎金锷 陈关亭. 《内部控制评价应用》. 中国人民大学出版社. 1998
内控审计报告范文4
【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。
一、PCAOB财务报告内部控制审计准则的颁布
2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益,极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果,美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》(下称“法案”)。内部控制的失败,特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题,因此法案404(a)条款要求公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会(PCAOB),并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。
法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此,自PCAOB成立起,就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月,PCAOB采用原有的职业准则作为该委员会的临时准则,包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则,PCAOB在2003年7月29日召开了公开讨论会,讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点,与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果,综合各方代表的意见与建议,PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求,PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此,PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿,在准则征求意见期间,PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后,PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。)因此,受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。
二、PCAOB财务报告内部控制审计准则实施中要注意的问题
自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来,历时虽不久,但是所反映出来的问题却很多,以下只是从审计师遵守该准则执行具体业务的视角,简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。
(一)努力整合财务报告内部控制审计与财务报表审计
法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告, PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点,审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的,检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见,财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表,内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置;内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证;内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之,如果公司管理当局能够证明他们运用充分的内部控制簿记,为编制准确的财务报表准备了充分的簿记和记录,坚持了关于使用公司资产的规则等,则投资者对公司的财务报表将会有更大的信心。正因为这样,法案404条款才要求公司管理当局评估和报告其财务报告内部控制,并要求公司独立审计师对管理当局的评估表示鉴证意见,也就是说,为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见,无论是财务报表审计,还是财务报告内部控制审计,其终极目标是一样的。为此,404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。
更重要的是,这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计,就是通过同一过程同时实现两种审计的目标。财务报表审计中,准则要求审计师必须获得对被审单位内部控制的了解,并对之进行风险评估,以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解,而且要检查内部控制设计和运行的有效性,并就其有效性表示意见。可见,这两种审计不仅终极目标是一致的,而且其间过程也是血肉相容的,努力整合它们可以降低审计成本,提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查,可以通过财务报表审计的结果得以证实;另外,在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化,更好地改善了公司财务报告内部控制以及财务报表的审计质量。
在现有的审计实务中,由于种种原因,一些审计师未能充分整合这两种审计,事实证明这不仅浪费审计资源,还将危及整体审计质量,甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。
(二)重视并努力提高职业判断能力
本质上说, PCAOB的审计准则No.2与其他审计准则并无多大差异,也在准则中规定了相对具体的审计方案。遵循这一准则,审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划,其前提就是审计师要充分运用自己的职业判断能力。但是,现有的审计相关实务所反映出来的是:有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式,最终的结果是导致审计费用增加,审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制;这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。
财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据,在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户,还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域;又如,要确定财务报告内部控制设计和运行的有效性,审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点,审计师在评价财务报告内部控制缺失时,必须以合理的方式运用其职业判断,这种评价可能要适当考虑质量和数量因素。特别是,质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。
一个新的工作领域,审计师不仅面临着一个学习的过程,而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融,但是财务报告内部控制审计对审计师职业判断的要求要高得多,且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责,审计师应该充分重视并尽可能地提升自己的专业判断能力。
(三)强调方法的适用性和风险评估的作用
审计向来不是一种机械核对活动,财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险,将审计资源科学地配置于最高风险领域,避免对重大账户和相关控制一视同仁而无视相对应的风险。因此,在财务报告内部控制审计中,要强调方法的适用性和风险评估的作用。为此,审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说,准则要求审计师首先将注意力集中于公司层面的控制;然后是重大账户,这将引导审计师关注重大处理过程;最后,关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。
审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法,要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域,然后,进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时,审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险,除了考虑质量因素以外,审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户,使得其对低风险领域予以更少的关注,进而能够进一步降低成本,同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。
作为其风险评估的一部分,审计师还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试,但公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。
(四)充分利用他人的工作
审计师自上而下地应用审计准则No.2,并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加,审计质量也没有得到相应的提高。
内控审计报告范文5
关键词:内部控制审计 财务报表审计 结合
中图分类号:F239
文献标识码:A
文章编号:1004-4914(2017)03-130-02
内部控制审计与财务报表审计的区别主要表现在:审计对象、审计目标、鉴证业务类型及标准、审计师的职业责任和审计报告类型等方面内容不同;在审计程序、审计取证方法和风险导向审计理念上又相互关联。基于二者之间的密切联系,将内部控制审计与财务报表审计进行整合,对于降低审计成本、提高审计效率和质量具有重要意义。
在实践中,内控审计与财务报表审计结合起来应用会取得相互促进、相得益彰的效果。但如何在实务中将内部控制审计与传统的财务报表审计尽可能融合,提高审计工作的效率,是本文试图解决的问题。
一、内部控制审计和财务报告审计存在着多方面联系
(一)两者的最终目的一致
虽然内控审计与财报审计二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
(二)两者都采取风险导向审计模式
注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
(三)两者都要了解和测试内部控制
根据对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
(四)两者均要识别重点账户、重要交易类别等重点审计领域
注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
(五)两者确定的重要性水平相同
注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
二、内控审计与财报审计结合的优点
内控审计与财报审计两者结合可降低审计成本。2008年,财政部、证监会等五部委联合《企业内部控制基本规范》。2010年,五部委再次联合了《内部控制配套指引》并对我国企业提出具体要求:自2011年开始,上市公司需要逐步M行内控审计,注册会计师可以进行独立的内控审计,也可以将内控审计与财报审计相结合。
财报审计在我国发展时间较长,体系已经比较成熟,而内控审计出现较晚,还处于刚刚起步阶段。
虽然从审计范围、使用方法和审计流程上来看,财报审计和内控审计存在很大的不同,但从注册会计师为两种审计所提供的审计服务来看,内控审计和财报审计的目标都是保证鉴证业务的合理性,确保财务报表具有参考价值。因此,两种审计具有很大的相似之处,可以互相借鉴,进行有效结合。
将内控审计和财报审计相结合,可以更加有效地完成审计工作,降低成本,提高效率,提升审计结果的准确性。
三、内控审计与财报审计在不同阶段的“结合”
内控审计与财报审计一样,都包括计划阶段、测试阶段、发现缺陷阶段和报告阶段。在不同的阶段,内控审计与财报审计相结合的侧重点也有所不同。
(一)计划阶段
内控审计工作主要涉及企业内部风险管理、企业审计工作所需时间等,财报审计工作主要包括制定详细的企业总体审计策划等。对企业而言,内控是否存在巨大风险或者漏洞,是以会计报告是否发生重大错报为依据的。因此,在内控审计过程中需要对财报审计予以高度重视,并对财报审计工作进行详细了解。而如果注册会计师可以通过内控审计发现财报方面存在的重大问题,将利于财报审计的下一步进行。在审计计划的初期采取内控审计和财报审计相结合的方式,可降低审计成本,增强审计的准确性。
对审计进行测试是财报审计和内控审计的关键步骤。财报审计大多采用实质性测试的方法,内控审计大多使用控制测试的方法。实质性测试可以对审计结果进行一定的支持。但是,当财报审计认为财报内容可能具有重大风险而财报审计过程中存在程序缺失时,就需要内控审计控制测试的配合。
进行内控审计控制测试的主要目的是获取更加充足的证据,以对内控审计有效性和财报审计风险分析结果提出佐证。因此,只有内控审计和财报审计的测试有效进行,才能保证内控审计和财报审计相结合的有效性,确保审计结果的合理性。任何制度都存在一定的缺陷,内控制度也不例外。
内控缺陷可以划分为设计上的缺陷和因为运行不畅造成的缺陷,而缺陷的严重程度也会对内控产生重要影响。有些内控制度的缺陷会对企业生产经营产生严重的影响,而某些缺陷可能对企业生产经营只产生很小的影响。
因此,评估内控缺陷对于审计报告的出具具有重要意义。注册会计师在进行审计时需要了解内控缺陷的严重性,并确定缺陷到底会对内控产生什么影响。内控缺陷影响程度可以通过相关性分析等方式来确定。
(二)报告阶段
注册会计师需要综合分析证据价值,对控制的测试结果、财报中的风险等问题,不可随意了事。而根据我国内控审计的相关规定,将内控审计和财报审计相结合的审计,需要同时出具两份审计报告。在出具内控审计报告和财报审计报告时,需要注明该注册会计师同时进行了内控审计和财报审计,并说明审计意见类型。
四、内控审计与财报审计结合的“关键点”
为了将内控审计与财报审计进行“完美结合”,注册会计师在审计过程中应注意如下几点:
(一)注重划分审计界限
虽然相关规定明确可以同时进行内控审计和财报审计,但是内控审计和财报审计仍然存在着较为明显的不同。因此,需要明确划分内控审计和财报审计的审计界限,以防内控审计和财报审计独立性的缺失,影响审计报告结果的准确性。注册会计师在进行内控审计时不可直接使用财报审计的结论数据,同样在进行财报审计时也不可以直接引用内控审计的结果数据。
(二)从财报审计中查找内控审计的突破口
《企业内部控制审计指引》明确指出,注册会计师需要使用自上而下的审计手段进行内控审计。这种审计手段最先出现在财报审计领域。注册会计师要先对财报的风险进行整体评估,之后再逐步深入,把握重要项目的重点问题。而由于财务报表是注册会计师可以较快获得的一手资料,因此注册会计师需要快速找到财报审计的关键点。财报反映出的问题,在某些时候也是内部控制失效所致。因此,通过财报中反映出的问题还可以寻找到内控审计的突破口。
(三)注重财报细节把控,查找内部控制缺陷
在进行财报审计分析时,注册会计师一般会关注财务报表的各项内容,并对其中的重点项目进行重点分析。只有对财务报表中某些关键细节进行把握,才能更好地将内控审计与财报审计相结合,减少审计工作量。同时,在识别财务报表的重要项目后,注册会计师还需要清楚确定财务报表中存在风险的这些项目的可能来源及发生原因。对财务报表寻根究底的分析态度,有助于注册会计师快速发现财报中隐含的风险,找到企业内控存在的问题,做出正确的财报审计和内控审计判断。
每个公司的瓤刂贫榷疾皇鞘全十美的,或多或少都存在着一定的缺陷,某些重大的内控缺陷将导致企业面临极大的经营风险。在进行内控审计时,一旦发现了内控制度的缺陷,注册会计师就要准确判断,要通过综合测评等方式全面了解内控缺陷的严重性,并确定该内控缺陷对企业进行内控造成了哪些方面的影响。
(四)把握企业整体风险,寻找有效的审计方式
内控审计和财报审计相结合的方式,可以促进注册会计师更快速、更准确地把握企业整体风险,寻找更加有效的审计方式。同时,有效的审计手段将会减少注册会计师的审计工作量,减少注册会计师审计“绕弯”情况的出现。另外,对企业整体风险的把握有利于审计的顺利进行。只有整体把握风险,才能集中力量寻找审计工作中的关键问题,最终出具合理有效的审计报告。
(五)加强学习培训,合理配置审计小组成员
内控审计在我国起步较晚,审计模式并没有完全成熟。这对于很多注册会计师而言也是一个全新的领域,需要对这方面的审计流程进行重新学习。而将内控审计和财报审计相结合,对注册会计师提出了更高的要求。如果没有把握内控审计或财报审计中的任何一个方面,将会造成整体审计分析结果存在偏差,为注册会计师行业带来较大风险。同时,审计小组的人员配置将直接影响审计结果的准确性。因此,会计师事务所需要合理挑选审计小组成员,并进行相应的培训,降低注册会计师的从业风险,提高审计报告质量。
参考文献:
[1] 陈昭新.浅谈整合审计的实务操作.现代商业,2012(10)
[2] 韩传兵.内部控制审计相关问题浅析.北方经贸,2012(4)
[3] 徐宝勤,原和平.审计基础理论与实务.北京理工大学出版社
内控审计报告范文6
实施企业内控注册会计师审计具有十分重要的意义。在实施企业内控审计中应当正确处理好企业内控责任与注册会计师审计责任的关系、企业内控自我评价与注册会计师内控审计的关系内控审计和财务报表审计的关系,财务报告内控和非财务报告内控的关系、企业层面控制测试与业务层面控制测试的关系、重大缺陷披露与其他缺陷沟通的关系。同时,应当深入研究非财务报告内控测试的范围界定和方法技术问题内控测试评价的样本选取问题、首次执行内控审计与连续实施内控审计的策略问题内控审计报告的披露形式问题内控审计信息系统的开发建设问题内控审计结果的利用问题,推动内控审计扎实有序开展。
一 实施企业内控注册会计师审计的重要意义
2008年5月和20lO年4月,财政部会同证监会、审计署、银监会、保监会先后了《企业内部控制基本规范》和20项企业内部控制配套指引,在基本建成我国企业内控规范体系的同时,确立了企业内控有效性的自我评价制度和注册会计师审计制度,由此推动我国企业内控体系贯彻实施步入了法制化、规范化发展的新阶段。实施企业内控注册会计师审计,是立足我国国情、借鉴国际惯例推出的一项创新之策,也是确保企业内控有效实施的重要标志和制度安排。
(一)实施企业内控注册会计师审计符合国惯例,有助于揭示企业内控重大缺陷维护投资者利益和资本市场秩序
在企业尤其是金融企业和上市公司中推行内部控制注册会计师审计制度由来已久。1991年美国颁布《联邦储蓄保险公司法案》,要求资产高于两亿美元的金融机构管理层提供内部控制有效性评价报告,同时要求此类金融机构“聘请独立审计师出于鉴证之目的而对其内部控制进行评估并报告结果”;2002年,美国颁布《萨班斯――奥克斯利法案》,通过其302和404条款将财务报告内部控制自我评价和注册会计师审计制度扩大到公众公司;2006年,日本颁布《金融机构与交易法》,借鉴美国模式建立了日本公众公司的内控审计制度;同年,欧盟修订“欧洲议会和欧盟理事会指令”,明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷,是注册会计师审计的重要职责。注册会计师根据有关法律法规的规定和《企业内部控制基本规范》、《企业内部控制审计指引》的要求将认定的内控重大缺陷报告给企业投资者和社会公众,有利于投资者,社会公众和其他利益相关者全面、及时、准确地了解和掌握企业内控现状,提高决策的科学性和针对性,防止和降低决策失误风险,从而有效维护投资者利益和资本市场健康稳定发展。
(二)实施企业内控注册会计师审计,有助于增强企业内部控制效能促进企业全面提升风险防范能力和经营管理水平
注册会计师的独立性和专业性,决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题,较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目,只缘身在此山中”的固有约束,注册会计师提出的审计意见往往更具针对性、深刻性和建设性;同时,由于注册会计师审计报告具有法律效力和威慑性,使得企业管理层必须高度重视注册会计师的审计意见。围绕注册会计师提出的内控缺陷采取及时有效的整改措施,从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性,为企业举一反三健全管控、杜塞漏洞,实现又好又快可持续发展提供助推力。
(三)实施企业内控注册会计师审计,有助于促进注册会计师行业紧密适应市场需求推动业务转型升级,实现加快发展
为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全,2009年10月,国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》(简称国办56号文件),明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上,积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸,推动大型会计师事务所业务转变和升级,加速向高端型、高附加值、国际化业务发展”。实施企业内控审计,是落实国办56号文件精神的具体体现,是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。
二 实施企业内控注册会计师审计中应当正确处理的几个关系
(一)企业内控责任与注册会计师审计责任的关系
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(二)企业内控自我评价与注册会计师内控审计的关系
第一,企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。企业内控责任与注册会计师内控审计责任的划分,决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规则独立完成,两者之间不能相互替代和免除。
第二,注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言,企业内控自评工作应先于注册会计师内控审计进行,因此,适当利用企业内控自评工作及其成果,可以相应减少注册会计师的工作,提高内控审计效率。但是,注册会计师的内控审计责任,不能因为利用了企业内控自评工作而减轻,这就要求注册会计师在利用企业内控自评工作时,必须毫不放松风险意识,特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。表1揭示了注册会计师利用企业内控自评工作应当把握的方法和尺度。
第三,在各负其责的基础上加强双方的沟通协调,是做好企业内控自评和注册会计师内控审计不容忽视的重要方法。一方面,就注册会计师及其所在的会计师事务所而言,一是要注重树立整体研判观念,善于在宏观层面把握大局、把握实质;二是要着重关注合规目标、报告目标和资产安全目标,适当兼顾效率效果目标和战略目标;三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员_四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调;五是要加强内控审计业务培训和经验交流;六是要重视以前年度审计情况总结分析;七是要建立与同行的经验共享、技术合作机制;八是要加强信息技术等非财会、审计人才的引进和培养。另一方面,就企业管理层而言,一是要自觉强化可持续发展理念和借力“会诊”意识,主动配合支持注册会计师的审
计工作;二是要建立并理顺与注册会计师的沟通协调机制,在审前、审中和审后保持坦诚、深入的沟通;三是要针对注册会计师的疑虑,提出有说服力的证据;四是要在第一时间整改注册会计师识别的控制缺陷,为获得更为正面的审计意见赢得主动。
(三)财务报告内控和非财务报告内控的关系
首先,财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与管理控制的界定一样。一般而言,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控。比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。
其次,《企业内部控制审计指引》对财务报告内控和非财务报告内控提出了差异化的审计要求,即:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。必须强调,这一规定是实事求是的,既充分考虑了注册会计师的专业特长和职业风险,将注册会计师的审计重心定位在财务报告内控领域,同时又大胆破除了单纯财务报告内控观念的束缚,促使注册会计师的内控审计范围与企业管理层的内控自评范围总体上趋于一致,增强了内控审计报告与自评报告的协调。
(四)内控审计和财务报表审计的关系
《企业内部控制审计指引》规定,注册会计师可以将内部控制审计与财务报表审计整合进行(即整合审计),也可以单独进行内部控制审计。尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择,但从企业更“经济”地委托审计分析,我们倡导内控审计和财务报表审计整合进行。事实上,审计准则所要求的风险导向审计与内控规范体系所要求的风险评估,在理念和方法上是趋同一致的,因此整合审计具有较好基础。整合审计的目的,就是在内控审计中获取充分、适当的证据,支持注册会计师在财务报表审计中对内部控制的风险评估结果,同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审计的互动关系见图1。
从美国公共会计公司(会计师事务所)整合进行财务报表审计和财务报告内控审计(404审计)的通常做法看,内控审计团队一般先于财务报表审计团队1~2个月的时间进入被审企业,在对财务报告内控有效性做出总体评估的基础上,对实施财务报表审计的性质、时间和范围做出适当调整和完善,之后,通过对财务报表的实质性程序,再来验证财务报告内控的有效性。由此可见,所谓整合审计,实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见,这是值得我国会计师事务所研究借鉴的。
(五)企业层面控制测试与业务层面控制测试的关系
无论是企业内控自评,还是注册会计师内控审计,都需要对企业层面控制和业务层面控制进行测试。一般认为,与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响的控制属于企业层面控制;与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上而下,是指测试控制应当从企业层面控制人手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。
需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖,该项控制应当认定为关键控制,除此之外,则被认定为一般控制。经验数据表明,在所有业务层面控制中,关键控制一般占到20%左右。表2为认定关键控制提供了一种可供参考的方法。
表2中,控制1可以涵盖可能出错事项1、2、3和5,即一项控制可以涵盖多个可能出错事项,因此控制1可被认定为关键控制;而对于可能出错事项4,只有控制2能够涵盖,即一个可能出错事项只有一项控制能够涵盖,因此控制2可被认定为关键控制。由此分析得出,控制3、4和5应为一般控制。
(六)重大缺陷披露与其他缺陷沟通的关系
内部控制缺陷按其影响程度分为重大缺陷(实质性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效,应当认定企业财务报告内控存在重大缺陷,对企业财务报告内控有效性发表否定意见,并通过内控审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷应当以书面形式与企业董事会和经理层沟通对于一般缺陷,应当以书面形式与企业有关职能部门沟通。
从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著(见表3)。这也提示我国注册会计师在实施企业内控审计时,应当着力把握易于出现错弊的关键领域和重要环节,切实揭示出企业财务报告内控重大缺陷。
三 进一步深化企业内控注册会计师审计应当研究解决的几个重要问题
《企业内部控制审计指引》的,为实施企业内控审计提供了执业准则和操作指南同时,随着企业内控审计的不断深入,也势必反映出这样或那样的各种具体问题。在当前和今后一段时间,应当着力研究解决以下几个重要问题。
(一)非财务报告内控测试的范围界定和方法技术问题
关于非财务报告内控测试的范围。相对而言,财务报告内控测试范围较为明确,而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制,要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此,我们倾向于紧密围绕内控目标,建立一套非财务报告内控测试的核心指标体系,这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点,其中:对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面,特别是董事会、监事会建设和审计委员会监督
职能的发挥情况;对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用;对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况;对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善,以及信息系统开发、建设和运行状况;对内部监督的测试聚焦于日常监督和持续性监控的落实情况,特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。
关于非财务报告内控测试的方法。总体而言,应与财务报告内控测试方法基本相同或相近,比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法,但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。表4以对企业文化的面询为例,为注册会计师提供了一个测试、审视企业文化的新视角。
在询问结束后,注册会计师要初步评估:与企业文化有关的控制政策看起来是何种程度的(标出相应的尺度,如图2),以此作为对企业文化的初步测试结论。
(二)内控测试评价的样本选取问题
基于净利润、资产总额等指标的计划重要性水平确定抽样规模,是财务报表审计的重要方法。但是,企业内控审计的外延和内涵大大超越财务报表审计,因此,如何确定内控测试评价的抽样规模,是一个亟待解决的突出问题。截至目前,尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据(见表5),值得研究思考并在此基础上予以完善。
(三)首次执行内控审计与连续实施内控审计的策略问题
根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署,包括《企业内部控制审计指引》在内的企业内部控制配套指引自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。因此,除按《萨班斯一奥克斯利法案》404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外,其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计,特别是同时也属首次执行财务报表审计,意味着注册会计师对某一特定企业(客户)的了解尚不全面、系统、深入,因此,首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地,在以后年度的内控连续审计中,由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解,因此可以突出审计重点、简化部分程序,更多地关注高风险领域企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化,对企业和会计师事务所是“双赢”之举应当予以重视。由此也启示会计师事务所,一定要未雨绸缪、早做准备、注重积累,不断建立健全不同行业、企业的风险案例库,为提升内控审计质量和内控咨询服务水平奠定扎实基础。
(四)内控审计报告的披露形式问题
《企业内部控制审计指引》明确了内控审计报告的格式和内容,但并未对如何公布、披露内控审计报告做出详细规定。从美国的情况看,企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告,一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看,既有在年度报告中单作一部分予以披露的,也有自成体系形成一个专门报告单独披露的。两种做法各有利弊,我们尊重企业的自主选择权。同时,考虑到内控自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联,我们倾向于建议企业在年度报告中一并披露内控审计报告,以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况内控状况的基础上做出正确决策。但是应当强调,在年度报告中一并披露的内控审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也易于弱化内控审计。
(五)内控审计信息系统的开发建设问题
会计师事务所及其注册会计师执行企业内控审计,必须开发建设审计软件,将内控审计程序固化在信息系统之中,形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看,其财务报告内控审计软件主要包括以下数据包:(1)审计项目概述。(2)审计项目计划,包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。(3)内控审计模型,包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。(4)审核相关备忘录(MRC),包括404缺陷备忘录等。(5)控制测试概览,包括:控制评估与记录;企业层面控制测试;承诺义务与或有事项;工薪循环控制测试;存货循环控制测试;现金收入(含销售业务)循环控制测试;现金支付(含采购业务)循环控制测试;财务报表结账程序控制测试,固定资产循环控制测试;负债循环控制测试;所得税控制测试;股东权益控制测试等。以对固定资产的控制测试为例,需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。(6)对内控缺陷的集合与评估。(7)就控制缺陷与企业管理层的沟通情况。(8)就控制缺陷与企业董事会审计委员会的沟通情况。(9)内控审计报告,包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异,但开发建设内控审计软件的基本思路和总体要求是一致的,应当迅速行动起来,通过联合开发、自主开发等多种形式,在利用信息技术实施内控审计中赢得先机。
(六)内控审计结果的利用问题