【摘要】隨著上市公司內部控制信息披露制度的完善和強化,內部控制審計也逐漸成為與財務報表審計地位相當的一項審計業務。然而,這項審計業務在發展之初即面臨諸多瓶頸。本文通過對上市公司內部控制審計現狀進行梳理,發現實務中存在審計標準不統一、內部控制缺陷的判斷含糊不清、審計對象不確定等問題。針對這些問題,本文提出了相應的對策。
【關鍵詞】內部控制 內部控制審計 缺陷
一、引言
內部控制審計,顧名思義就是通過對被審計單位的內部控制進行專門審查、測試,從而對內部控制是否有效做出評價和鑒定的一種現代審計方法。該審計方法由來已久,但一直未得到應有的重視,直至爆發一系列影響深遠的國際會計丑聞,內部控制審計的重要性才真正開始得到廣泛關注。美國2002年7月出臺的《SOX法案》明文規定,上市公司披露的內部控制信息必須包含對本公司內部控制有效性的自我評價,同時要求對管理層的評價進行鑒證并出具內部控制審計報告。
近年來,內部控制及其審計問題也愈來愈受到我國監管部門和學術界的重視。2006年5月證監會頒布了《首次公開發行股票并上市管理辦法》,該辦法規定“發行人的內部控制在所有重大方面是有效的,并由注冊會計師出具了無保留結論的內部控制鑒證報告”,這是我國首次對上市公司內部控制提出具體要求。隨后上交所、深交所和國資委分別出臺相應文件,旨在要求或鼓勵上市公司以及非上市國有企業按規定向公眾披露有關內部控制運行的評價,并需附有注冊會計師對本公司內部控制有效性的審計報告或意見。2008年6月由財政部等五部委頒布的《企業內部控制基本規范》(以下簡稱《基本規范》)進一步明確,執行本規范的上市公司除了對本公司內部控制的有效性進行自我評價,披露年度自我評價報告外,還應聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。該規范自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行。
內部控制審計作為一項信息披露制度確立以來,從其實施的效果來看,的確對上市公司及一些非上市國有企業的信息公開透明化做出了巨大的貢獻。一方面,公司內部的管理層透過內部控制設計、運行的評價報告,可以及時發現目前內部控制方面存在的問題,可起到很好的預警作用;另一方面,外部投資者在了解了被投資單位內部控制運行情況后,除了解企業會計信息外,還能掌握更多的有關內部管理層由上至下的運作程序,信息透明度的深化一定程度上可以緩解股東和管理者之間的代理沖突,更為重要的是,對降低企業的股權資本成本也能起到顯著的作用。
然而,任何一項制度帶來好處的同時,也會產生諸多問題,內部控制審計也不例外。本文擬對我國內部控制審計出現的幾個問題進行初步探討并提出相應的改進措施。
二、內部控制審計的標準不統一
在查閱上市公司內部控制評價報告時,筆者發現內部控制信息的披露缺乏統一的標準,因此內部控制審計在評價、審計內部控制的過程中就難免會因為方法、角度的不一致而產生矛盾,這也是其與傳統的財務報表審計相異之處。財務報表的編制在企業會計準則中已經給出了明確的標準和程序,除了少數項目包含會計人員的主觀判斷,大部分項目的列報都有相當規范的說明,編報者只需正確、客觀地記錄、列報即可,因此,對財務報表進行審計也就有章可循。那么,由于缺乏規范的標準體系,注冊會計師是不是就無法對內部控制進行審計呢?對于這個問題,美國公眾公司會計監督委員會(PCAOB)發布的審計準則第5號《與財務報表審計相整合的財務報告內部控制審計》(AS 5)給我們提供了一個很好的思路,其中規定,在進行財務報告內部控制審計時,注冊會計師應采用與管理層評價財務報告內部控制有效性時所采用的相同的、被認可的框架。但即便可以這樣做,我們仍需要找到一個被廣泛認可的框架。
隨著美國COSO內部控制整合框架在世界范圍內的廣泛傳播,以及英國《內部控制——董事關于“聯合規則”的指南》(Turnbull 報告)的發布,在我國建立一套具有中國特色的內部控制標準體系的呼吁愈來愈強烈。《基本規范》及相關指南、指引的出臺,標志著我國內部控制標準體系在逐步形成,并為管理層自我評價和審計師審計提供了依據。不過,我國上市公司管理層的內部控制自我評價報告并不一定要按照我國企業內部控制規范來編制,如前所述,只要是遵循被廣泛認可的框架即可。筆者在翻閱上市公司內部控制自我評價報告時發現,有相當數量的報告是按照COSO報告的五要素來編排的,在我國內部控制規范建立起來以后,這些公司仍可結合實際情況使用原先被認可的框架,如COSO 報告、Turnbull報告、巴塞爾銀行監管委員會內部控制指引以及其他權威的內部控制標準。而注冊會計師在審計這些企業的內部控制時只需采用與管理層相同的標準并在出具的審計報告中說明即可。另外,注冊會計師在采用與管理層一致的標準對上市公司內部控制設計與運行的有效性進行測試時,不可盲目依據標準來判斷,而需要與公司的具體環境相結合,并獲取充分、適當的證據。
三、內部控制缺陷定性模糊
由于目前我國注冊會計師對內部控制的審計意見大都是根據內部控制缺陷作出的,因此內部控制缺陷的定性模糊在很大程度上會造成最終的審計意見缺乏說服力。如果解決了內部控制缺陷認定標準的問題,內部控制的審計工作也將變得更加規范有序。
關于內部控制缺陷定性的問題,AS 5從內部控制的目標角度出發將內部控制缺陷定義為:如果一個企業的內部控制措施不能預防或及時發現企業編制財務報告時存在的錯報問題,則可以判定該企業的財務報告控制存在缺陷。該項規定還將內部控制缺陷進一步劃分為缺陷、重大缺陷和實質性缺陷。我國出臺的《基本規范》和《企業內部控制審計指引》(以下簡稱《審計指引》)對內部控制缺陷的認定也做了原則性的規定,如《基本規范》第四十五條要求“企業應當制定內部控制缺陷認定標準,對監督過程中發現的內部控制缺陷,應當分析缺陷的性質和產生的原因,提出整改方案,采取適當的形式及時向董事會、監事會或者經理層報告”;《審計指引》第二十一條將內部控制缺陷按成因和影響程度分別劃分為“設計缺陷和運行缺陷”以及“重大缺陷、重要缺陷和一般缺陷”,同時要求注冊會計師“評價其識別的各項內部控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成重大缺陷”。
從上述AS 5的規定及我國頒布的內部控制相關政策的對比中可以發現,AS 5更多的是采用目標導向來認定內部控制缺陷,也就是說,只要內部控制的缺點或不足阻礙了控制目標(預防或及時發現錯報)的實現,就可以判斷其存在缺陷,而不是一味地把所有的缺點或不足都當做內部控制缺陷。《基本規范》則將內部控制缺陷的認定權交給了企業,由企業自行判斷。在此,筆者比較贊同目標導向的做法,畢竟由企業自己制定內部控制缺陷的認定標準難以被人們所認可。另外,采用目標導向還有一個好處是,注冊會計師可以依據目標的偏離程度和可能性來衡量缺陷的嚴重程度。在具體評估缺陷的嚴重程度時,評估方法既可以是使用文字說明的定性分析,也可以運用數理統計的方法進行定量分析。
雖然在內部控制缺陷的認定上,我們可以采用PCAOB目標導向的做法,但在實施的過程中,仍會遇到一些亟待詳細說明的細節問題。例如:如何具體區別對待識別出來的內部控制缺陷,如何根據缺陷評價內部控制的有效性,如何確定缺陷組合的疊加效應以及補償性控制的影響,等等。這些操作性的問題不解決,勢必會加重內部控制審計工作的負擔,因此,今后還應出臺更多更為詳細的指南或指引以指導實踐。
四、內部控制審計對象不確定
確定內部控制的審計對象,需要解決的關鍵問題是,內部控制的哪些環節是審計的范疇。這一問題在學術界被進一步細化為:到底是審計企業所有的內部控制還是僅對與財務報告相關的內部控制進行審計?對此,PCAOB審計準則第2號《財務報告內部控制審計與財務報告審計聯合執行》(AS 2)為了貫徹《SOX法案》的要求提出了整合審計的理念,該理念規定注冊會計師在審計與財務報告有關的內部控制的同時進行內部控制審計,也就是說,注冊會計師對財務報告相關的內部控制進行審計即可。
我國《基本規范》僅是規定對內部控制的有效性進行審計,而沒有具體規定該有效性的范圍是指財務報告還是所有的內部控制。《審計指引》則認為“注冊會計師可以單獨進行內部控制審計,也可將內部控制審計與財務報表審計整合進行”(第五條),但該指引還要求“注冊會計師應當按照自上而下的方法實施審計工作”(第十條),也即采用審計所有內部控制的做法。對于這一矛盾之處,《審計指引》也沒有規定哪一種做法更為合理,相反,審計師會認為“自上而下”是評價內部控制有效性時正確的做法。
有學者認為,雖然內部控制的任何一個環節(風險點)都有可能使企業陷入危機,但從節約審計成本的角度來考慮,對所有的內部控制都進行審計的做法顯然會使企業負擔沉重的審計成本,因此,僅對與財務報告相關的內部控制進行審計可能是一種更為合理的做法,注冊會計師可以在對財務報告內部控制進行審計的同時實現內部控制審計的目標。采用這種做法還考慮到了我國資本市場的實際情況,因為目前我國的監管部門更多的是關注會計信息的質量,對內部控制的其他方面則少有涉及,而且投資者在進行投資決策時主要關注的也是財務信息。但這種做法是存在一定問題的,如果將審計對象僅局限于與財務報告有關的內部控制,則會使企業弱化全面加強內部控制的觀念,并且很容易造成這樣一種錯覺,只要與財務報告相關的內部控制做好了,企業在內部控制方面的工作就完成了,這種思想在普遍要求完善企業內部控制的今天是很不可取的。因此筆者認為,不應強制規定注冊會計師只審計與財務報告相關的內部控制,而應根據管理層在進行內部控制自我評估時的選擇來決定審計對象。如果管理層對所有的內部控制進行評價,則注冊會計師也應對所有的內部控制進行審計,審計時的口徑應盡量與自我評價一致。
在內部控制的審計對象問題上,審計時點還是時期的內部控制也存在很大的爭議。筆者認為,《審計指引》第十七條的做法更為恰當一些:“(一)盡量在接近企業內部控制自我評價基準日實施測試。(二)實施的測試需要涵蓋足夠長的期間。”理由是,內部控制是一個動態持續的過程,前后可能具有高度的相關性,如果認識不到這一點,只對自我評價基準日的內部控制實施測試,則可能會漏掉一些重要的環節或看不到內部控制的整體效果,最終影響審計意見的出具。
五、結語
盡管內部控制的設計、運行和審計對企業的發展異常重要,但我們必須清醒地認識到其中的問題,如:內部控制滲透在企業的各個角落,一一識別出來存在很大的困難,而且每個企業的環境不同,相同的內部控制措施可能產生不一樣的效果,等等。這些都給內部控制審計帶來了很大的困難,有些問題還需要注冊會計師根據自己的從業經驗進行主觀判斷,使得審計意見的發表帶有或輕微或濃厚的主觀色彩。
在內部控制的評價指數量化上,筆者在查閱文獻的過程中發現,不同學者有著不同的評價方法,有的通過尋找COSO報告五要素的替代指標去衡量內部控制有效性的程度,有的則選用一些比較權威的內部控制要素進行手工打分來比較,還有的用可以定量的比率來度量內部控制目標的實現程度。總之,各有各的依據,得出的結論也可能并不一致。如果學術界能很好地解決內部控制的評價指數問題,則管理層就可以依據該指數進行內部控制的自我評價,注冊會計師進行內部控制審計時也可以通過測試該指數是否被如實披露來評價被審計單位的內部控制有效性。
另外,筆者還觀察到,在信息化程度高度發達的今天,有不少咨詢服務公司開發設計出可以識別、提示風險以及進行內部控制自我評價的系統軟件,管理層在按操作步驟導入企業的實際信息后,系統會自動生成一張詳細的內部控制評價報告,并附有一些改進意見。在內部控制審計過程中引入信息系統無疑在大幅度提升審計工作效率的同時降低了審計成本,但這種做法不是一勞永逸的,某些需要人為評價的控制點仍需注冊會計師結合自身專業知識進行判斷。
主要參考文獻
1. 李明輝,張艷.上市公司內部控制審計若干問題之探討.審計與經濟研究,2010;3
2. 楊有紅,李宇立.內部控制缺陷的識別、認定與報告.會計研究,2011;3
3. 張先治,戴文濤.中國企業內部控制評價系統研究.審計研究,2011;1
4. 陳漢文,李榮.財務呈報內部控制審計準則的國際發展.審計與經濟研究,2007;3
【作 者】
吳一能
【作者單位】
(暨南大學管理學院 廣州 510632)
