风险导向下的财务报告内部控制审计研究
■胡继荣
徐
飞
管小敏
加强企业财务报告内部控制审计,对提供更为可靠和真实的会计信息,具有十分重要的意义。企业经营环境日益复杂,所面临的风险也难以预测,本文依据财务报告内部控制审计准则的发展及现状,提出了开展风险导向下财务报告内部控制审计的必然性,以及在风险导向下财务报告内部控制审计的具体运用。
[关键词]风险导向;审计准则;财务报告;内部控制审计[中图分类号]F239.220
[文献标识码]A
[文章编号]1004-518X(2011)12-0216-05
飞(1987—),男,福
胡继荣(1956—),男,福州大学管理学院教授,主要研究方向为审计、公司理财;徐研究方向为内部审计。(福建福州
350108)
男,福州大学监察审计处审计师,主要州大学管理学院硕士研究生,主要研究方向为审计;管小敏(1979—),
财务报告内部控制审计经历了内部控制评价、内部控制审核和内部控制审计三个阶段,内部控制直接影响着企业对外披露的各种财务和非财务信息的真实可靠性,间接影响着外部利益相关者依据内部信息做出的经济决策。
一、财务报告内部控制审计准则的发展
由于美国爆发了一系列上市公司财务丑闻,2002年《萨班斯-奥克斯利法案》美国国会通过了,建立了上市并授权美国证券委员会公司会计监管委员会(PCAOB),
(SEC)对PCAOB进行监督,加大外部监管力度。萨班斯法案规定上市公司的高管应对近年度财务报告内部控制的有效性进行评估、披露,财务报告内部控制信息已经是美国上市公司强制披露的范围。为了完善财务报告内部控制审计,2004年PCAOB发布了第2号审计准则,该审计准则就审计人员对内部控制有效性的评估报告进行审计做出了具体、详细的规定,明确要求上市公司审计人员在财务报表审计时对与财务报告相关的内部控制实施审计。
萨班斯法案的颁布,促进了美国财务报告内部控制
审计的发展,同时萨班斯法案也是国际社会开展财务报告内部控制审计借鉴的依据。萨班斯法案包括会计职业证券市场监管等方面,所有在美国上市的公司,都监管、
必须遵守该法案,萨班斯法案有助于提高企业内部控制并取代审计。PCAOB于2007年发布了第5号审计准则,第2号审计准则。该准则要求注册会计师坚持风险导向审计,采用自上而下的审计方法,进一步完善财务报告内部控制审计准则。PCAOB新制定的第5号审计准则,存在以下几点变化。与被替代的第2号审计准则相比,
(一)财务报告内部控制审计中更加强调风险导向审计
第5号审计准则要求注册会计师坚持风险导向审计效基本原则,采用自上而下的审计方法,提高审计效果、风险导向下,注率,降低审计成本,提高风险防范能力。册会计师要对企业各项活动进行风险识别、评估,要求注册会计师在实施审计程序过程中,根据持续获得的被审计单位信息,不断修正审计程序性质、时间、范围。第5号审计准则也指出,注册会计师确定的审计程序的性时间和范围必须与既定内部控制风险水平相适应。质、
216
(二)合理使用以前年度或其他人的审计工作第2号审计准则要求注册会计师每年必须依靠当年自己的审计工作,第5号审计准则取消了这项规定,允许注册会计师利用以前年度的审计工作,从而降低审计成本、减少不必要的重复审计。注册会计师在确定对以前年度审计结果利用程度时,要考虑以前年度审计程序的性质、时间、范围和结果以及上一次审计至本次审计测试期间内部控制环境的变化。第5号审计准则还提出根据被审计单位的性质、执行审计人员的胜任能力及客观性作为利用其他人员工作的基础标准,如果执行审计工作的其他人员具有胜任能力和客观性,就可利用该审计人员的工作结果,此过程中需要注册会计师进行职业判断。
(三)修订重大缺陷和重要缺陷含义
第5号审计准则重新修订了重大缺陷和重要缺陷含义。重大缺陷是指财务报告内部控制中的一个或若干个缺陷组合,使得可能或很可能无法及时预防和发现财务报告重大错报。重要缺陷是指财务报告内部控制中的一个或若干个缺陷组合,其严重性小于重大缺陷,但仍可能无法及时预防和发现财务报告重大错报。第5号审计准则要求审计人员判断确定重大缺陷和重要缺陷的显著特征。第2号审计准则要求注册会计师对管理层每年的内部控制自我评估程序进行评价,如果注册会计师认为管理层没有充分的内部控制自我评估程序,那么注册会计师就应拒绝对公司的内部控制发表审计意见。第5号审计准则取消了该项规定,但注册会计师还是需要了解管理层的自我评估程序,此时,审计委员会协调公司管理层、内部审计人员以及注册会计师工作就显得尤为重要。
二、我国财务报告内部控制审计现状
2011年10月11日,中国注册会计师协会印发了《企业内部控制审计指引实施意见》(简称“会协[2011]),为我国注册会计师内部控制审计提出了更具66号”
体、明确的指引,为深化财务报告内部控制审计在我国的研究发展奠定了坚实的制度基础,但面对纷繁复杂的经济技术环境发展变化,我国内部控制审计还存在一些缺陷和不足。
(一)企业内部控制报告框架体系有待完善
审计署、银监会、保2008年5月财政部会同证监会、
《企业内部控制基本规范》监会制定了,2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执
行。财政部、证监会、审计署、银监会、2010年4月26日,保监会联合发布了《企业内部控制配套指引》,该配套指,明确要求建立我国企引连同《企业内部控制基本规范》
业内部控制审计制度,执行内部控制规范体系的企业,必须聘请注册会计师对其财务报告内部控制有效性进行审计,这标志着我国企业内部控制规范体系基本建成。为了进一步规范注册会计师执行内部控制审计业明确工作要求、提高执业质量、维护公众利益,务、2011年10月中国注册会计师协会制定了《企业内部控制审,自2012年1月1日起施行。我国不断计指引实施意见》
建立和规范相关内部控制审计法律法规,但随着国内外内部控制审计理论研究和实践的变化,要进一步研究符合我国国情的内部控制报告框架体系,进一步完善相关理论和法律建设。
(二)内部控制审计技术方法发展相对滞后
当前我国企业内部控制审计方法主要是制度基础审计,随着技术进步以及企业经济环境、规模性质的不断变化,这种审计方法的不足日益显现,难以适应当今复杂的经营环境。制度基础审计主要是对被审计单位内部控制制度进行测试,由于一部分管理层对内部控制审计的认识比较落后,片面地认为内部控制审计就是对企业经济进行检查,另一部分管理层可能认为内部控制审计是对自己经营管理权限的挑战,进而削弱内部控制审计机构和部门的权限,使其形同虚设,缺乏独立性和权威性,从而导致内部控制审计机构和人员无法有效开展内部控制审计。
(三)风险导向审计理念有待加强
美国颁布的第5号审计准则明确指出财务报告内部控制审计要在风险导向审计理念基础上,采用自上而效率,降低审计成本,提下的审计方法,提高审计效果、《企业内部控制基高风险防范能力。我国2008年颁布的
本规范》没有明确风险导向审计在内部控制审计中的重要性,指出内部控制审计阶段主要为“审计计划阶段-实施审计阶段-评价内部控制缺陷阶段-完成内部控制审计阶段-审计报告阶段”,没有强调“风险识别-风险评估-风险应对”的风险导向审计理念,因此降低了内部控制审计效率和风险防范水平。
(四)内部控制审计成本和效益匹配问题
事物都存在两面性,人们对于内部控制审计的态度也是双重的,有支持内部控制审计的,也有持反对态度的。内部控制审计支持者们指出,内部控制审计有助于
217
位内部控制是否一贯有效执行,但要防止对内部控制的有效性做出过于乐观的评价,否则会增加审计风险。
(三)审计对象差异
财务报告内部控制涉及一系列公司具体业务和活动,并非大量实实在在的财务数据,因此对其进行审计并提供合理保证的难度很大。因此,财务报告内部控制审计需要注册会计师具备较高的职业判断能力和专业编制审计计划复杂性大,由于不同规模胜任能力。首先,
和经营性质的公司财务报告内部控制的复杂程度存在巨大差异,注册会计师在编制审计计划时要具体问题具体分析,标准化的审计计划格式难以直接应用,否则可能无法识别出财务报告重大内部控制薄弱点。其次,在控制测试完成后,注册会计师需要评价内部控制是否存在重大缺陷,并根据内部控制存在的缺陷程度确定审计范围和审计意见类型。其中内部控制缺陷评价需要注册会计师进行大量的职业判断。
(四)注册会计师承担的责任不同
当前财务报表审计发展到风险导向审计模式,审计人员应当评估财务报表层次的重大错报风险,并根据风险评估结果确定总体应对措施。财务报告内部控制审计要求注册会计师坚持风险导向审计,使用自上而下的审计方法,在这种方法下注册会计师从关注公司层面的控制到重要会计账户,最后是具体交易业务层面的控制。财务报表审计的目标,是就被审计单位的财务报表是否在所有重大方面得到公允反映发表审计意见,注册会计师对财务报表的可靠性提供合理保证。而财务报告内部控制审计的目标,是获得公司管理当局特定日期的评估结论中不存在实质性漏洞的合理保证,所以,注册会计师不仅需要对内部控制提供合理保证,还要对公司管理当局内部控制报告提供合理保证。
四、开展风险导向审计的必然性
财务报告内部控制审计要求注册会计师坚持风险导向审计,使用自上而下的审计方法,在这种审计思路下,注册会计师从内部控制制度合理有效性出发,发现被审计内部控制存在的缺陷,进而提出改进建议。当前开展风险导向审计有其必然性。
(一)制度基础审计存在内在缺陷
随着现代企业规模的不断扩大,经济业务的增加,针对简单员工舞弊的实质性测试程序可能会是有效的,但是对于管理层串通舞弊,制度基础审计也会部分失灵。因为,由公司最高管理层凌驾于内部控制之上或者
加强企业内部监督有效性,降低高管舞弊的发生,进而提高财务报告的合法公允性,因此必须进一步促进内部内部控制审计反对者们认为,内控制审计的发展。相反,
部控制审计必然会增加企业内部控制审计成本,对内部控制审计的结果在提高公司财务报告可靠性方面持有怀疑态度,认为当前开展内部控制审计的成本和所带来的效益不匹配。在我国,企业出示的内部控制报告以及注册会计师依据《内部控制审计指导意见》发表的内部控制审计报告缺乏完善的理论和法律法规指导,迫切需要公司管理当局正视企业内部控制评价,客观、公正开展内部控制建设和评价。
三、财务报告内部控制审计与财务报表审计的区别在注册会计师对财务报表进行审计过程中,要对被审计单位的内部控制进行了解,进而对财务报表层次和认定层次的重大错报风险进行识别评估,如果注册会计师拟信赖被审计单位的内部控制就必须进行控制测试,财务报表审计与财务报告内部控制审计在内容上存在着财务报告内部控制审计是为财务报告内部控制不重合。
存在重大缺陷提供合理保证,财务报表审计是为财务报表不存在重大错报提供合理保证,二者主要区别如下:
(一)审计侧重点及范围差异
财务报表审计的目标是对财务报表是否在所有重大方面遵循了公认会计原则而搜集充分适当的审计证据并发表审计意见。财务报表审计也需要了解被审计单位的内部控制情况,并进行风险评价,但都是为了确定进一步的财务报表审计程序的性质、时间和范围,注册会计师无需单独对财务报告内部控制的有效性发表审计意见。而财务报告内部控制审计的目标是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表审计意见。此时,注册会计师不仅需要对被审计单位财务报告内部控制进行了解,还要对其设计和执行的有效性进行测试,注册会计师必须对财务报告程序中每个重要控制的有效性进行评价。
(二)注册会计师对内部控制有效性保证水平不同在财务报告内部控制审计时,需要注册会计师对被审单位财务报告内部控制的有效性发表独立审计意见,要求提供合理的保证水平。财务报表审计中对内部控制的测试只是为了进一步确定实质性程序的性质、时间、范围,因而对财务报告内部控制评价结论无需提供高水平保证,如果在财务报表审计中,注册会计师拟信赖被审计单位的内部控制,就必须进行控制测试,以确定被审计单
218
串通舞弊的行为往往是可以轻易地绕过企业内部控制监督的。在这种情况下,如果内审人员只关注企业的内部控制评价,而忽视企业的政策、经营环境、市场状况,不进行所面临的审计风险的识别和评估,就有可能错误地确定重点审计领域,这将不利于审计质量,增加审计风险。
制度基础审计并不完全依赖于实质性测试程序,它开始关注有效的内部控制对财务报告可靠性的作用,引入了内部控制及控制测试,并针对内部控制薄弱环节相关业务进行实质性测试,这就使得一些利用内部控制的漏洞进行舞弊的行为无处遁形。但是,它也使得内审人员容易将审计重点偏向于企业的内部控制系统,而忽视企业本身的目标。如果对企业目标和所处风险了解不够,也就无从直接评估控制程序,因为内审人员无法判断哪些内部控制是最重要的。
(二)风险导向内部审计以实现企业目标为基础由于企业经营活动存在着各类风险,如果对所有控制点都进行内部控制评估,是不符合内部审计成本效益原则的。在风险导向内部审计中,项目组首先进行企业风险评估,确定高风险的领域作为关注重点。在开展内部控制评估时,以风险评估为基础,在对企业所有风险进行综合了解、分析、评价后,内部审计人员对风险进行评分排序,根据风险评估结果来确定审计范围,有重点地开展内部控制审计工作,把主要审计资源分配至高风险控制点和环节,这样有助于合理确保内部控制目标的实现。
(三)风险导向内部审计提高了内部控制评价的效果传统内部审计从实际的内部控制出发,再评估其风险大小,考虑控制目标是否得以实现,然后再针对控制薄弱环节提出改进建议,并在后续的审计过程中考察问题是否得到纠正,属于一种事后的反馈机制,对风险的评估主要依赖内部控制的检查与评价,因此评估易流于形式。风险导向内部审计与传统内部控制评估的区别在—风险———控制”,同时于其遵循的逻辑顺序是“目标——
根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层需求的确证信息。
(四)风险导向内部审计属于事前控制
内部控制一般是针对经常而重复发生的业务,而且具有相对的稳定性,因此,如果偶发性或未预计到的经济业务出现,原有的控制措施就可能不适用。传统内部
审计对内部控制属于一种事后的反馈机制,内部控制的变化不能及时得到反馈,从而造成内部审计所反映的控制信息存在一定的滞后性,降低对内部控制的促进作用。现代公司治理中,要求加强事前控制,防患于未然,内部控制也逐渐强调由事后的反馈控制变为更贴合内部控制目标的前馈以及同期控制,风险导向内部审计则将内部控制评估的关口前移,由事后监督评价转向事前的预警防范,更关注环境变化的影响,体现了动态性和灵活性。
(五)风险导向内部控制审计扩大了审计范围传统的财务报告内部控制审计经历了内部控制评价阶段、内部控制审核阶段和内部控制审计阶段,内部控制审计对象的范围也在不断扩大。在此过程中,内部控制审计已由对具体业务内部控制的评价发展到对实现企业管理目标各项控制活动的审计监督,风险导向审计方法在内部控制审计中的应用,进一步扩大了内部控制审计范围,它要求注册会计师首先了解被审计单位的经营环境,发现、识别并评估各种财务报告内部控制风险,进而利用各种审计程序应对所发现的风险,帮助企业完善内部管理。
(六)风险导向更加重视对企业风险的识别应对与制度内部控制审计相比,风险导向内部控制审计将财务报表风险导向审计方法和内部控制审计融合在一起,更加关注企业生产经营、公司治理结构一级内部控制制度各环节中可能存在的风险,并采取适当的措施应对所发现的内部控制漏洞和缺陷。制度内部控制审计往往是在企业生产经营完工后开展的事后评价监督行为,这种事后监督的重要缺陷是相关的风险已经出现、损失已经发生。而风险导向内部控制审计是一项持续评价监督审计工作,事先对内部控制各环节中可能存在的漏洞缺陷以及危害损失进行预测,评估各类风险的发生可能对企业整体目标实现产生的负面影响,进而采取应对措施,防患于未然。
五、风险导向财务报告内部控制审计的具体运用注册会计师坚持风险导向审计,使用自上而下的审计方法,在这种审计方法下注册会计师重点关注内部控制风险较大的领域,避免花费过多的时间和精力在其他风险低或损失金额小的内部控制活动,降低注册会计师审计失败的风险。
(一)风险导向内部控制审计具体程序
在承接审计业务和制定审计计划之前,注册会计师
219
险导向内部审计与传统内部控制评估的区别在于其遵循的逻辑顺序是“目标一风险一控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层需求的确证信息。在风险导向内部审计理念下,在开展内部控制评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内部控制实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内部控制实施细则进行补充和完善,以确保及时防范重大内部控制风险,使内部控制评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。
(四)对风险评估结果进行量化排序
以风险为导向的内部审计始终把审计的焦点放在对企业实现目标影响大的事项上。因此,在那些风险大、
开展内部控制评估前,审计人员可在对企业的风险进行识别、分析的基础上进行分类。风险导向内部审计的起点是:评估组织是否已设定了一个适当的目标,以及企业是否具有一套充分的程序用以识别、评估和管理那些对实现组织整体目标有影响的风险。因此,在风险导向内部审计观念下,内部审计人员可通过对企业内、外部环境以及当前的风险进行综合分析并量化排序后确定年度内部控制评估计划并与企业经营计划相一致,及时发现并有效控制和防范企业显现和潜在的各类风险。
要对被审计单位内部的控制情况进行了解,主要目的是实施必要的审计程序,了解被审计单位是否已经建立内部控制制度及其执行情况。如果内部控制缺陷严重、风险大,注册会计师可以拒绝承接该项审计业务,从源头上降低审计风险。承接审计业务后,注册会计师要对被审计单位内部控制进行风险评估,确定内部控制是否可依赖。开展内部控制风险评估时,在对企业所有风险进评价、了解后,内部审计人员要对风险进行行综合分析、
排序,根据风险大小来确定审计范围,有重点地开展评注册会计师实施进一步审计程序,对被审计估。再接着,
单位内部控制的设计和执行效果进行测试,注册会计师应将主要审计资源分配给高风险的控制环节,使得更多与风险管理相关的控制活动得到关注,降低审计失败的风险。在完成审计测试工作后,注册会计师应在前述审计工作基础上,重新对被审计单位内部控制风险进行评价,以确定实施的审计测试程序、收集的审计证据是否充分适当,审计风险是否可接受。最后,综合前述审计工作结果,根据收集的审计证据,发表审计意见,出具内部控制审计报告。
(二)风险导向内部控制审计以实现内部控制目标为出发点
根据风险导向内部审计的含义及其与内部控制评估结合的相关原理,企业在开展内部控制评估时可从内部控制的目标出发。根据风险原则,找出对实现这些目标有重要影响的活动和部门,从而进行重点评估,之后分析这些活动中可能隐含的风险和能够管理这些风险的控制措施,最后测试实际控制措施是否切实有效。由于风险遍布企业的各个领域。在开展内部控制评估时对所有控制点都进行评估,是内部审计资源和成本效益原则所不允许的。在风险导向内部审计中,企业风险成为选择审计项目及确定特定项目中重点关注领域的首要依据,高风险的领域优先列入年度审计计划,因此审计项目的选择与企业目标紧紧相连。
(三)评估企业内部控制各环节风险
传统内部审计对内部控制的评估所遵循的顺序是“控制———风险———评价控制目的是否实现”。传统内部审计首先着眼于实际的内部控制,其次评估其风险,考虑控制目标是否实现,然后再针对控制薄弱环节提出加强控制的建议,并在后续的审计中考察问题是否得到纠对风险的评估主要正,属于一种事后的反馈机制。并且,依赖内部控制的检查与评价,因此评估易流于形式。风
[参考文献]
[1]S·拉奥·瓦莱布哈内尼,王立彦.内部审计在治理、风险和控制中的作用(第3版)[M].李海风,译.北京:电子工业出版社,2004.
[2]许平彩,叶陈毅,唐雪翠.基于价值链视角下的(3).内部控制研究[J].企业经济,2011,
[3]朱荣恩,贺欣.内部控制框架的新发展———企业(6).风险管理框架[J].审计研究,2007,
[4]中国内部审计协会.内部审计具体准则第5号———内部控制审计.2003.
[5]王杏芬.反腐败审计治理机制创新策略探讨[J].(7).企业经济,2011,
[6]中国内部审计协会.内部审计具体准则第16号———风险管理审计.2005.
【责任编辑:高平】
220