安然、世通等一系列公司财务舞弊事件使各国政府监管机构、企业界、学术界以及广大投资者对内部控制的重视程度进一步提升,政府监管机构也将监管的重点从单纯注重财务报告本身的可靠性转向同时注重保证财务报告可靠性机制建设,要求企业披露内部控制相关信息,并要求聘请注册会计师对内部控制有效性进行审计。美国的《萨班斯——奥克斯利法案》和日本的《金融商品交易法》都要求注册会计师对企业财务报告内部控制进行审计。
2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
2 上市公司内部控制审计概述
2.1 内部控制审计的基本概念及范围内部控制审计是指会计师事务所接受业务委托,对上市公司特定基准日内部控制设计与运行有效性进行审计。注册会计师基于基准日内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间发表意见。
目前,实行内部控制审计的国家均将审计范围限定在财务报告内部控制。我国《企业内部控制审计指引》规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对财务报告内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计中增加“非财务报告内部控制重大缺陷描述段”予以披露。财务报告内部控制是指为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
2.2 财务报告内部控制审计与财务报表审计的关系财务报表审计要求注册会计师在实施进一步审计程序之前,了解企业内部控制,实施风险评估程序。注册会计师会根据在风险评估阶段评估的重大错报风险程度决定实施进一步的审计程序类型。如果被审单位的内部控制本身的设计是合理的,且得到执行,则注册会计师就要测试内部控制运行的有效性,并据此决定实质性程序的性质、时间和范围,否则注册会计师会直接实施实质性程序。由此可知,对内部控制的了解和评价是财务报表审计的一个必要阶段。然而,在财务报告内部控制审计中,也要求注册会计师对企业控制设计和运行的有效性进行测试。可见,内部控制审计中获取的证据可以用于财务报表审计,同样财务报表审计中发现的问题可以为内部控制审计提供审计证据的线索,同一审计证据可以在两种审计中加以利用。
3 上司公司内部控制审计基本思路3.1 计划审计工作注册会计师应当恰当的计划内部控制审计工作,制定总体审计策略和具体审计计划。在计划整合审计工作时,注册会计师需要评价相关事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项如何影响审计工作。在计划审计工作的同时,注册会计师应当使用与财务报表审计相同的重要性水平。
3.2 识别企业层面控制注册会计师应当测试对评价内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试。企业层面的控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;集中化的处理和控制;监控经营成果的控制;监督其他控制的控制;对期末财务报告流程的控制;针对重大经营控制及风险管理实务的政策。
3.3 识别重要账户、列报及相关认定注册会计师应当识别重要账户、列报及相关认定。如果某账户或列报具有合理可能包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响,则该账户或列报为重要账户或列报。判断某账户是否重要,应当依据其固有风险,而不是考虑相关控制的影响。
3.4 了解错报的可能来源注册会计师通常应用穿行测试来了解潜在错报的可能来源以选择拟测试的控制。在执行穿行测试的,注册会计师使用的文件和信息技术应当与企业员工使用的相同。同时,注册会计师还需要综合运用询问、观察、检查相关文件及重新执行控制等程序。
3.5 选择拟测试的控制,并测试内部控制设计和运行的有效性注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师应当测试控制运行的有效性。如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。
3.6 评价控制缺陷
注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。同时,在确定一项或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。
3.7 完成审计工作,出具审计报告注册会计师在出具审计报告前,应当取得经企业签署的书面证明。同时,还应当与企业沟通审计过程中识别的所有控制缺陷。在形成审计意见时,注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷。在评价审计证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。此外,只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。
4 结语健全有效的内部控制对保证上市公司的财务报表的可靠性至关重要,而内部控制审计是内部控制最有效的监督手段,也是监管内部控制外部性的必然要求。因而,内控审计对注册会计师的专业判断能力提出了更高的要求,也加大了会计师事务所和注册会计师的风险责任。然而,我国上市公司财务报表审计发展相对较早,注册会计师大都具有丰富的专业知识和经验,而对于上市公司内控审计这一新生的鉴证业务,我国注册会计师大都缺乏实战经验,我们有很多制度和方法都是借鉴美国内部控制审计理论和实践。因此,注册会计师应当不断加深理论学习,借鉴国外审计实践经验,不断总结规律,深化上市公司内部控制审计理论,优化上市公司内部控制审计方法。