总第 659 期
【作 者】
吴一能
【作者单位】
(暨南大学管理学院 广州 510632)
【摘 要】
【摘要】随着上市公司内部控制信息披露制度的完善和强化,内部控制审计也逐渐成为与财务报表审计地位相当的一项审计业务。然而,这项审计业务在发展之初即面临诸多瓶颈。本文通过对上市公司内部控制审计现状进行梳理,发现实务中存在审计标准不统一、内部控制缺陷的判断含糊不清、审计对象不确定等问题。针对这些问题,本文提出了相应的对策。
【关键词】内部控制 内部控制审计 缺陷
一、引言
内部控制审计,顾名思义就是通过对被审计单位的内部控制进行专门审查、测试,从而对内部控制是否有效做出评价和鉴定的一种现代审计方法。该审计方法由来已久,但一直未得到应有的重视,直至爆发一系列影响深远的国际会计丑闻,内部控制审计的重要性才真正开始得到广泛关注。美国2002年7月出台的《SOX法案》明文规定,上市公司披露的内部控制信息必须包含对本公司内部控制有效性的自我评价,同时要求对管理层的评价进行鉴证并出具内部控制审计报告。
近年来,内部控制及其审计问题也愈来愈受到我国监管部门和学术界的重视。2006年5月证监会颁布了《首次公开发行股票并上市管理办法》,该办法规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”,这是我国首次对上市公司内部控制提出具体要求。随后上交所、深交所和国资委分别出台相应文件,旨在要求或鼓励上市公司以及非上市国有企业按规定向公众披露有关内部控制运行的评价,并需附有注册会计师对本公司内部控制有效性的审计报告或意见。2008年6月由财政部等五部委颁布的《企业内部控制基本规范》(以下简称《基本规范》)进一步明确,执行本规范的上市公司除了对本公司内部控制的有效性进行自我评价,披露年度自我评价报告外,还应聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。该规范自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。
内部控制审计作为一项信息披露制度确立以来,从其实施的效果来看,的确对上市公司及一些非上市国有企业的信息公开透明化做出了巨大的贡献。一方面,公司内部的管理层透过内部控制设计、运行的评价报告,可以及时发现目前内部控制方面存在的问题,可起到很好的预警作用;另一方面,外部投资者在了解了被投资单位内部控制运行情况后,除了解企业会计信息外,还能掌握更多的有关内部管理层由上至下的运作程序,信息透明度的深化一定程度上可以缓解股东和管理者之间的代理冲突,更为重要的是,对降低企业的股权资本成本也能起到显著的作用。
然而,任何一项制度带来好处的同时,也会产生诸多问题,内部控制审计也不例外。本文拟对我国内部控制审计出现的几个问题进行初步探讨并提出相应的改进措施。
二、内部控制审计的标准不统一
在查阅上市公司内部控制评价报告时,笔者发现内部控制信息的披露缺乏统一的标准,因此内部控制审计在评价、审计内部控制的过程中就难免会因为方法、角度的不一致而产生矛盾,这也是其与传统的财务报表审计相异之处。财务报表的编制在企业会计准则中已经给出了明确的标准和程序,除了少数项目包含会计人员的主观判断,大部分项目的列报都有相当规范的说明,编报者只需正确、客观地记录、列报即可,因此,对财务报表进行审计也就有章可循。那么,由于缺乏规范的标准体系,注册会计师是不是就无法对内部控制进行审计呢?对于这个问题,美国公众公司会计监督委员会(PCAOB)发布的审计准则第5号《与财务报表审计相整合的财务报告内部控制审计》(AS 5)给我们提供了一个很好的思路,其中规定,在进行财务报告内部控制审计时,注册会计师应采用与管理层评价财务报告内部控制有效性时所采用的相同的、被认可的框架。但即便可以这样做,我们仍需要找到一个被广泛认可的框架。
随着美国COSO内部控制整合框架在世界范围内的广泛传播,以及英国《内部控制——董事关于“联合规则”的指南》(Turnbull 报告)的发布,在我国建立一套具有中国特色的内部控制标准体系的呼吁愈来愈强烈。《基本规范》及相关指南、指引的出台,标志着我国内部控制标准体系在逐步形成,并为管理层自我评价和审计师审计提供了依据。不过,我国上市公司管理层的内部控制自我评价报告并不一定要按照我国企业内部控制规范来编制,如前所述,只要是遵循被广泛认可的框架即可。笔者在翻阅上市公司内部控制自我评价报告时发现,有相当数量的报告是按照COSO报告的五要素来编排的,在我国内部控制规范建立起来以后,这些公司仍可结合实际情况使用原先被认可的框架,如COSO 报告、Turnbull报告、巴塞尔银行监管委员会内部控制指引以及其他权威的内部控制标准。而注册会计师在审计这些企业的内部控制时只需采用与管理层相同的标准并在出具的审计报告中说明即可。另外,注册会计师在采用与管理层一致的标准对上市公司内部控制设计与运行的有效性进行测试时,不可盲目依据标准来判断,而需要与公司的具体环境相结合,并获取充分、适当的证据。
三、内部控制缺陷定性模糊
由于目前我国注册会计师对内部控制的审计意见大都是根据内部控制缺陷作出的,因此内部控制缺陷的定性模糊在很大程度上会造成最终的审计意见缺乏说服力。如果解决了内部控制缺陷认定标准的问题,内部控制的审计工作也将变得更加规范有序。
关于内部控制缺陷定性的问题,AS 5从内部控制的目标角度出发将内部控制缺陷定义为:如果一个企业的内部控制措施不能预防或及时发现企业编制财务报告时存在的错报问题,则可以判定该企业的财务报告控制存在缺陷。该项规定还将内部控制缺陷进一步划分为缺陷、重大缺陷和实质性缺陷。我国出台的《基本规范》和《企业内部控制审计指引》(以下简称《审计指引》)对内部控制缺陷的认定也做了原则性的规定,如《基本规范》第四十五条要求“企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告”;《审计指引》第二十一条将内部控制缺陷按成因和影响程度分别划分为“设计缺陷和运行缺陷”以及“重大缺陷、重要缺陷和一般缺陷”,同时要求注册会计师“评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷”。
从上述AS 5的规定及我国颁布的内部控制相关政策的对比中可以发现,AS 5更多的是采用目标导向来认定内部控制缺陷,也就是说,只要内部控制的缺点或不足阻碍了控制目标(预防或及时发现错报)的实现,就可以判断其存在缺陷,而不是一味地把所有的缺点或不足都当做内部控制缺陷。《基本规范》则将内部控制缺陷的认定权交给了企业,由企业自行判断。在此,笔者比较赞同目标导向的做法,毕竟由企业自己制定内部控制缺陷的认定标准难以被人们所认可。另外,采用目标导向还有一个好处是,注册会计师可以依据目标的偏离程度和可能性来衡量缺陷的严重程度。在具体评估缺陷的严重程度时,评估方法既可以是使用文字说明的定性分析,也可以运用数理统计的方法进行定量分析。
虽然在内部控制缺陷的认定上,我们可以采用PCAOB目标导向的做法,但在实施的过程中,仍会遇到一些亟待详细说明的细节问题。例如:如何具体区别对待识别出来的内部控制缺陷,如何根据缺陷评价内部控制的有效性,如何确定缺陷组合的叠加效应以及补偿性控制的影响,等等。这些操作性的问题不解决,势必会加重内部控制审计工作的负担,因此,今后还应出台更多更为详细的指南或指引以指导实践。
四、内部控制审计对象不确定
确定内部控制的审计对象,需要解决的关键问题是,内部控制的哪些环节是审计的范畴。这一问题在学术界被进一步细化为:到底是审计企业所有的内部控制还是仅对与财务报告相关的内部控制进行审计?对此,PCAOB审计准则第2号《财务报告内部控制审计与财务报告审计联合执行》(AS 2)为了贯彻《SOX法案》的要求提出了整合审计的理念,该理念规定注册会计师在审计与财务报告有关的内部控制的同时进行内部控制审计,也就是说,注册会计师对财务报告相关的内部控制进行审计即可。
我国《基本规范》仅是规定对内部控制的有效性进行审计,而没有具体规定该有效性的范围是指财务报告还是所有的内部控制。《审计指引》则认为“注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行”(第五条),但该指引还要求“注册会计师应当按照自上而下的方法实施审计工作”(第十条),也即采用审计所有内部控制的做法。对于这一矛盾之处,《审计指引》也没有规定哪一种做法更为合理,相反,审计师会认为“自上而下”是评价内部控制有效性时正确的做法。
有学者认为,虽然内部控制的任何一个环节(风险点)都有可能使企业陷入危机,但从节约审计成本的角度来考虑,对所有的内部控制都进行审计的做法显然会使企业负担沉重的审计成本,因此,仅对与财务报告相关的内部控制进行审计可能是一种更为合理的做法,注册会计师可以在对财务报告内部控制进行审计的同时实现内部控制审计的目标。采用这种做法还考虑到了我国资本市场的实际情况,因为目前我国的监管部门更多的是关注会计信息的质量,对内部控制的其他方面则少有涉及,而且投资者在进行投资决策时主要关注的也是财务信息。但这种做法是存在一定问题的,如果将审计对象仅局限于与财务报告有关的内部控制,则会使企业弱化全面加强内部控制的观念,并且很容易造成这样一种错觉,只要与财务报告相关的内部控制做好了,企业在内部控制方面的工作就完成了,这种思想在普遍要求完善企业内部控制的今天是很不可取的。因此笔者认为,不应强制规定注册会计师只审计与财务报告相关的内部控制,而应根据管理层在进行内部控制自我评估时的选择来决定审计对象。如果管理层对所有的内部控制进行评价,则注册会计师也应对所有的内部控制进行审计,审计时的口径应尽量与自我评价一致。
在内部控制的审计对象问题上,审计时点还是时期的内部控制也存在很大的争议。笔者认为,《审计指引》第十七条的做法更为恰当一些:“(一)尽量在接近企业内部控制自我评价基准日实施测试。(二)实施的测试需要涵盖足够长的期间。”理由是,内部控制是一个动态持续的过程,前后可能具有高度的相关性,如果认识不到这一点,只对自我评价基准日的内部控制实施测试,则可能会漏掉一些重要的环节或看不到内部控制的整体效果,最终影响审计意见的出具。
五、结语
尽管内部控制的设计、运行和审计对企业的发展异常重要,但我们必须清醒地认识到其中的问题,如:内部控制渗透在企业的各个角落,一一识别出来存在很大的困难,而且每个企业的环境不同,相同的内部控制措施可能产生不一样的效果,等等。这些都给内部控制审计带来了很大的困难,有些问题还需要注册会计师根据自己的从业经验进行主观判断,使得审计意见的发表带有或轻微或浓厚的主观色彩。
在内部控制的评价指数量化上,笔者在查阅文献的过程中发现,不同学者有着不同的评价方法,有的通过寻找COSO报告五要素的替代指标去衡量内部控制有效性的程度,有的则选用一些比较权威的内部控制要素进行手工打分来比较,还有的用可以定量的比率来度量内部控制目标的实现程度。总之,各有各的依据,得出的结论也可能并不一致。如果学术界能很好地解决内部控制的评价指数问题,则管理层就可以依据该指数进行内部控制的自我评价,注册会计师进行内部控制审计时也可以通过测试该指数是否被如实披露来评价被审计单位的内部控制有效性。
另外,笔者还观察到,在信息化程度高度发达的今天,有不少咨询服务公司开发设计出可以识别、提示风险以及进行内部控制自我评价的系统软件,管理层在按操作步骤导入企业的实际信息后,系统会自动生成一张详细的内部控制评价报告,并附有一些改进意见。在内部控制审计过程中引入信息系统无疑在大幅度提升审计工作效率的同时降低了审计成本,但这种做法不是一劳永逸的,某些需要人为评价的控制点仍需注册会计师结合自身专业知识进行判断。
主要参考文献
1. 李明辉,张艳.上市公司内部控制审计若干问题之探讨.审计与经济研究,2010;3
2. 杨有红,李宇立.内部控制缺陷的识别、认定与报告.会计研究,2011;3
3. 张先治,戴文涛.中国企业内部控制评价系统研究.审计研究,2011;1
4. 陈汉文,李荣.财务呈报内部控制审计准则的国际发展.审计与经济研究,2007;3
