【摘要】重大錯報風險導向審計是對原風險導向審計的繼承與發展,它帶來的不僅僅是審計風險模型的變化,更重要的是審計理念變化和審計策略的戰略調整,以及審計與內部控制關系的變化。本文從考察內部控制與現代審計的歷史淵源入手,分析重大錯報風險導向審計與內部控制的關系,并提出對被審計單位內部控制的評審策略。
【關鍵詞】重大錯報風險導向審計 內部控制 評審
國際審計組織于2003年頒布了三個審計準則,即ISA315、ISA330和ISA500,這標志著重大錯報風險導向審計模型正式啟用。順應審計發展的國際趨勢,我國也從2007年起啟用了這一模型。審計風險模型的變化,必然導致審計策略的變化和工作重心的轉移。本文從考察內部控制與現代審計的歷史淵源入手,分析重大錯報風險導向審計與內部控制評審策略的關系,希冀對該審計模型的推廣應用有所裨益。
一、內部控制與現代審計的歷史淵源
內部控制的思想和實踐由來已久,其產生和發展先后經歷了內部牽制、內部控制制度、內部控制結構、內部控制整體框架、風險管理框架等五個階段。然而,內部控制概念的提出及其演進與現代審計的發展密不可分,其發展的每一階段都被審計烙上了深深的印記。
從內部控制產生到20世紀30年代末,內部控制的發展一直停留在內部牽制階段。這一階段,內部控制主要是通過職責分工、業務流程及記錄的交叉檢查等措施,防止錯弊的發生,保護財產的安全,保障組織的有效運轉。盡管當時對內部控制的評審沒有專門要求,但賬項審計中不乏對內部牽制原理的應用。美國注冊會計師協會(AICPA)在1929年就明確指出,審計人員對財務報表的檢查范圍可依情況而定,若內部牽制健全,抽查就可以了。這是審計職業界第一次將內部控制與審計相聯系。隨后AICPA又發布了《獨立公共會計師對財務報表的審查》(1936)和第1號《審計程序公告》(1939),對內部牽制的審查和評價進行了規范。
20世紀40年代起,審計人員對內部控制的研究日趨深入,他們把內部控制從企業管理活動中抽象出來,由實踐上升為理論,標志著內部控制制度階段的到來。該階段主要從財務審計角度定義內部控制,并區分內部會計控制和內部管理控制。該階段內部控制評價在財務報表審計中的應用也日益廣泛并漸趨成熟,這主要表現在AICPA等職業組織對內部控制的完善和規范,并以此為基礎發布相關的準則,要求審計師加強對內部控制的研究,實現了由審計中對內部控制評價作用的關注向將內部控制評價正式納入審計準則的轉變,使內部控制評審成為財務報表審計的關鍵程序。制度基礎審計作為一種全新的審計方法體系,由此發展起來。
20世紀80年代起,內部控制的發展進入內部控制結構階段。美國審計準則公告第55號(AICPA,1988)的發布,標志著內部控制結構階段的到來。該階段開始把控制環境視為內部控制的一項重要內容,取消了會計控制和管理控制的劃分,確立了一種控制結構,并強調內部控制的建立和運行應由公司的董事會負責。這既使董事會和管理層開始意識到內部控制及其評價的重要性,也拓寬了內部控制的評價范圍,評價的目標也由最初單純提高審計師的職業判斷,轉向適應管理層的需要,從而使內部控制的評價更具綜合性和廣泛性。該階段人們不僅將內部控制視為從企業管理中抽象出來的服務于財務審計的一種工具,而且提出了單獨審核內部控制的要求。不過,這種要求并沒有制度化。
1992年美國COSO研究報告《內部控制——整體框架》的發布,標志著內部控制的發展步入了內部控制整體框架階段。該報告既為理解內部控制提供了一個普遍的基礎,也為評價和改善內部控制提供了適用的標準,極大地促進了現代審計的發展。1993年AICPA發布了《報告公司財務報告內部控制》。該公告不僅明確地將內部控制審核作為一項獨立服務,對內部控制的評審提出了法定要求,而且也為審計人員評估內部控制提供了詳細的指南。同時,該公告還拓展了內部控制評審的內容與范圍以及驗證業務范圍,實現了財務報表審計中內部控制評價向內部控制審核的轉變。
為遏止公司財務造假,美國國會頒布了SOX法案(2002)。該法案對公眾公司財務報告內部控制的審計提出了法定要求。為此,美國公眾公司會計監督委員會(PCAOB)于2004年發布了第2號審計準則。該準則借鑒了SEC對財務報告內部控制的定義,要求審計人員在執行財務報表審計的同時進行財務報告內部控制的審計,這種審計應采用風險導向的方法,評估財務報告內部控制的有效性。為加強風險管控和財務報告內部控制的審計,COSO于2004年發布了《企業風險管理框架》,將內部控制置于企業風險管理整體框架之下,以強調風險管理與內部控制的內在聯系與有機統一。該報告的發布,標志著內部控制的發展步入了風險管理框架階段。
總之,作為一項獨立的經濟鑒證活動,審計經歷了一個不斷演進的過程。該過程雖受諸多方面的影響,但內部控制無疑是一個關鍵因素。從詳細審計到抽樣審計,從賬項基礎審計到制度基礎審計,再到風險導向審計,每一個階段都涉及內部控制,只是對其應用的方式、深度和廣度不同而已。可以說,抽樣審計的推廣應用得益于企業內部控制的存在及其評審;對內部控制評價的關注又導致了制度基礎審計的形成;內部控制結構則把審計的目光吸引到審計環境的分析上來,孕育了風險導向審計;重大錯報風險導向審計模式的提出,使內部控制的測試在財務報表審計中的作用更為突出;而SOX法案的頒布,最終使財務報告內部控制審計成為一項法定的鑒證業務。因此,從某種意義上可以說,審計的演進過程也就是內部控制評審發展的過程。內部控制與現代審計相互交織,相輔相成,互動發展。
二、內部控制防范財務報表重大錯報的有效性
發現并及時糾正錯弊,防止財務報表的重大錯報,保證財務信息的真實完整,是內部控制的重要目標。這也是內部控制與現代審計聯系的基礎。那么,內部控制到底能在多大程度上防錯糾弊、提高財務報表的可靠性呢?這與財務報表重大錯報的類型及原因、內部控制防止重大錯報的有效邊界、設計或運行的缺陷及其固有局限性等密切相關。
財務報表的重大錯報源于企業管理當局舞弊、員工舞弊或者錯誤,而舞弊尤其是管理層舞弊又是重大錯報的主要原因。誘使管理層舞弊的因素包括情形、動機和心態。情形是管理層舞弊的環境條件,它包括所在行業的環境條件和企業自身的環境條件。這些情形誘使管理層采取不正常甚至不合法的手段,粉飾會計報表以減少不利影響。動機是管理層舞弊的誘因,如消除負面影響、獲得業績獎勵等。心態是促使管理層舞弊由可能轉變為現實的決定因素,如管理層過分強調完成預期的利潤或公司股價的上漲目標等。沒有情形和動機,舞弊通常不會發生;只有情形和動機,但沒有舞弊的心態,舞弊一般也不會發生;情形和動機并存,再加上作弊的心態,舞弊就會發生。員工舞弊也有情形、動機和心態三個因素。
一般的,內部控制只要設計嚴密合理,得以忠實履行,且運行高度有效,不僅能及時有效地防止、發現并糾正各種重大差錯,而且能為防范重大舞弊行為提供必要的保證。其一,嚴密、合理、有效的內部控制能成功避免可能導致舞弊的情形出現,切斷舞弊的源頭;其二,即使存在舞弊的情形、動機和心態,嚴密、合理、有效的內部控制也能夠為防止、發現和糾正可能發生的舞弊行為。畢馬威會計公司(1998)對5 000家美國公司和組織的欺詐調查顯示,超過半數的舞弊行為是由單位的內部控制發現的。這是因為:
首先,從契約經濟學的角度看,內部控制的建立和運行實際上源于企業這一系列契約組合的不完備性。從這層意義上看,內部控制是一個廣義的概念,兼具制度、系統和控制機制等多重含義,包括傳統意義上的管理控制、公司治理層面的控制以及企業文化等內容。它以企業為有效邊界,防止企業內部的重大錯弊。同時,它也是為解決分權管理產生的不同層次管理者之間的委托代理問題的一種制度安排,主要關注董事會、經理層和次級執行層的關系,這種制度安排對于防止中下層管理者和普通員工的錯弊通常是有效的。
其次,內部控制的設計或運行可能存在漏洞和缺陷,其中的重大漏洞和重要缺陷會影響財務報告的可靠性。重大漏洞、重要缺陷是內部控制的一個或多個控制漏洞或缺陷的聯合,它很可能導致公司財務報表中的重大錯報無法被及時防止或發現。當然,重要缺陷的嚴重程度要輕于重大漏洞,但足以引起負責監督公司財務報告者的重視。一般的,內部控制設計或運行中存在重大漏洞,意味著財務報表很可能存在重大錯報;內部控制重要缺陷的存在,則意味著企業財務報表存在重大錯報的可能性較大,應當引起管理層和審計人員的關注;內部控制不存在漏洞或缺陷或存在的漏洞或缺陷不重要,則財務報表重大錯報發生的可能性比較小。
第三,內部控制的固有局限性使其對財務報表的可靠性只能提供合理的保證。這種固有局限性既可能存在于內部控制的設計,也可能存在于內部控制的運行過程,如決策中人為判斷的錯誤或基于成本效益的考慮所產生的設計缺陷,人為失誤或者執行者的串通、管理層凌駕于內部控制之上所導致的控制失效等。這些固有缺陷提醒管理者和審計人員在任何情況下,都不能將財務報表重大錯報的風險視為零。
可見,內部控制對于防范財務報表的重大錯報雖然具有重要作用,但由于它對重大錯報的防范具有不同的路徑,加之其設計或運行中存在缺陷,因而它在防范不同類型重大錯報上的有效性存在差異,也不能防范所有的重大錯報,僅能為財務報表的可靠性提供合理而非絕對的保證。這必然會對以內部控制評審為基礎的現代審計產生深刻的影響,要求審計人員必須就審計中對內部控制了解的廣度和深度、報表層和認定層重大錯報風險的評估、控制測試的必要性及其范圍和程序、實質性測試的實施等做出合理判斷和選擇。
三、內部控制對重大錯報風險導向審計的影響
作為與當代審計環境相適應的重大錯報風險導向審計,要求審計人員關注財務報表的重大錯報風險,并將其控制在合理的范圍,保證信息披露的準確性和可靠性。它是對傳統風險導向審計的繼承與發展,它以識別和評估財務報表重大錯報風險(財務報表在審計前存在重大錯報的可能性)為起點和導向,針對評估的重大錯報風險設計并實施必要的審計程序,為查出被審財務報表中存在的重大錯報提供合理保證,將審計風險控制在可接受的水平。其業務流程和程序一般包括:①通過了解被審計單位及其環境,尤其是與審計相關的內部控制,識別和評估報表層的重大錯報風險和認定層的重大錯報風險(“風險評估程序”)。②對報表層的重大錯報風險進行評估,設計和實施總體應對措施。③對認定層的重大錯報風險進行評估,設計和實施進一步審計程序,包括進行控制測試和實質性測試。根據控制測試的結果,審計人員應對認定層的重大錯報風險進行再評估,并依可接受的檢查風險水平,設計和實施對各類交易、賬戶余額和披露的實質性檢查程序,以合理的保證發現認定層的重大錯報。
為保證審計目標的達成,審計人員在整個審計過程中,必須關注報表層和認定層的重大錯報風險,并將風險評估作為整個審計工作的先導,將風險控制作為整個審計工作的最終歸宿。這是重大錯報風險導向審計的根本特征與要求。因此,正確識別可能導致財務報表重大錯報的因素,準確判斷內部控制對于防范報表層和認定層重大錯報的有效性,關注內部控制對審計的影響并據以制定和實施合理的內部控制評審策略,是重大錯報風險導向審計取得成效的關鍵所在。
四、重大錯報風險導向審計中的內部控制評審策略
重大錯報風險導向審計對重大錯報風險尤其是管理當局舞弊的關注,客觀上要求對審計策略進行戰略調整,主要包括:①以風險源為導向,實施由整體到局部再由局部到整體的審計戰略;②由“以證實性為主”向“以偵察性為先導、以證實性為補充”轉變;③將主要精力轉向關注和控制管理當局舞弊風險上。而審計策略的戰略調整也要求對內部控制評審策略進行調整,具體有以下三個方面:
第一,將內部控制評審作為重大錯報風險評估程序的有機組成部分,與對被審計單位及其環境的了解相結合,并貫穿于審計的整個過程。這是由重大錯報風險因素構成特點及其相互關系以及內部控制對防止管理當局舞弊的局限性等所決定的。如前所述,財務報表重大錯報可能源于管理當局舞弊、員工舞弊或錯誤,管理當局舞弊是主因,而導致管理當局舞弊的因素又包括情形、動機和心態,這既涉及內部控制范圍之外的環境,又包括內部控制自身,舞弊往往是上述因素共同作用的結果。因此,內部控制了解程序本身無法使審計人員就財務報表重大錯報風險做出客觀的評價,而必須與對被審計單位及其所處環境的了解相結合。ISA315要求,審計人員應對被審計單位及其環境包括內部控制獲得足夠的了解,以能夠對源于舞弊或錯誤的財務報表重大錯報風險進行識別與評價,并據以設計和實施進一步的審計程序。在審計過程中,審計人員應同時注意捕捉、獲取新的信息,判斷重大錯報風險評估結果的合理性,以及時做出相應的調整。所以,對被審計單位內部控制的了解是一個貫穿整個審計過程的持續的、動態的信息收集、更新和分析過程。
第二,內部控制的評審應緊緊圍繞財務報表重大錯報的識別與風險評估這一中心,了解與評價同重大錯報風險評估相關的內部控制,注意甄別內部控制設計或運行中的重大漏洞與重要缺陷,注重重大錯報風險的評估與控制。審計人員應當了解和評價與重大錯報風險相關的內部控制,以識別潛在錯報的類型,考慮導致重大錯報風險的因素,以及進一步審計程序的性質、時間和范圍。需要了解的相關內部控制應以被審計單位的財務報告內部控制為重點,重點關注其設計和運行中的重大漏洞與重要缺陷。對于旨在保證經營效率、效果的控制以及對法律法規遵循的控制,如果其與實施審計程序時評價或使用的數據相關,也應注意了解。對于旨在保護資產的內部控制,包括與實現財務報告可靠性和經營效率、效果目標相關的控制,在了解其控制各要素時,可僅考慮其中與財務報告可靠性目標相關的控制。對內部控制的了解應采用調查、觀察及檢查等審計程序。這些審計程序的實施也應以識別重大錯報的類型并評估其可能性為核心。如對內部控制的調查,應重點以公司治理和管理人員、內部審計人員、法律顧問、復雜或非正常交易的經辦與記錄人員、營銷人員等對象,以幫助審計人員了解編制財務報表的環境、內部控制的設計與執行情況、復雜或非常規交易會計政策選擇與應用的適當性、法律訴訟案件、法律法規遵循情況、擔保事項、營銷戰略、銷售趨勢等已導致重大錯報的事項。
第三,對內部控制的了解和評價,應區別報表層和認定層,以報表層為中心,分別確定其重點內容。這是因為,財務報表的重大錯報風險可能主要源于薄弱的控制環境及其對財務報表可靠性的廣泛影響,這種影響通常并不限于某類交易、賬戶余額、列報與披露等具體認定層,在某種程度上,報表層的控制可能更為重要。與原風險導向審計不同,重大錯報風險導向審計要求分別識別與評估報表層和認定層的重大錯報風險,分別根據評估結果采取相應的對策。與之相適應,對被審計單位內部控制的了解與評價,也應區別進行,有所側重。針對報表層重大錯報風險的識別和評估,應側重于管理當局舞弊情形、動機和心態是否存在、是否重要等,具體到內部控制,應著重于公司治理結構、組織結構、授權與責任區分、董事會及經理人員誠實性與道德觀、管理哲學與經營方式、人事政策及實施、內部審計等內部控制環境。針對認定層的重大錯報風險的識別與評估,應根據報表層重大錯報風險的評估結果,確定應重點了解與評價的內部控制,重點考慮某項控制是否能夠以及如何防止或發現并糾正各類交易、賬戶余額、列報與披露存在的重大錯報,主要了解和評價內部控制的設計是否健全、合理,是否得到落實,是否有效,執行人員串通規避相關內部控制的可能性等。
主要參考文獻
1. 中國注冊會計協會.中國注冊會計師執業準則2010,http://www.cicpa.org.cn/ Professional_standards
2. IAASB, Handbook of International Quality Control, Auditing Review, Other Assurance, and Related Services Pronouncements,2012 Edition
【作 者】
郭詩勇1 曹恒萍1 邵天營2
【作者單位】
(1. 湖北省注冊會計師協會 武漢 430071 2. 湖北經濟學院會計學院 武漢 430205)
