cpa审计是提升内控有效性的制度安排(一)

CPA 审计是提升内控有效性的制度安排（一） 中国会计报 一、实施企业内控注册会计师审计的重要意义 2008 年 5 月和 2010 年 4 月，财政部会同证监会、审计署、银监会、保监会先后 发布了企业内部控制基本规范和 20 项企业内部控制配套指引 ，在基本建成我国企业 内控规范体系的同时，确立了企业内控有效性的自我评价制度和注册会计师审计制度，由此 推动我国企业内控体系贯彻实施步入了法制化、规范化发展的新阶段。实施企业内控注册会 计师审计，是立足我国国情、借鉴国际惯例推出的一项创新之策，也是确保企业内控有效实 施的重要标志和制度安排。 （一）实施企业内控注册会计师审计符合国际惯例，有助于揭示企业内控重大缺 陷，维护投资者利益和资本市场秩序。在企业尤其是金融企业和上市公司中推行内部控制注 册会计师审计制度由来已久。1991 年美国颁布联邦储蓄保险公司法案 ，要求资产高于 2 亿美元的金融机构管理层提供内部控制有效性评价报告，同时要求此类金融机构“聘请独立 审计师出于鉴证之目的而对其内部控制进行评估并报告结果” 。2002 年，美国颁布萨班斯 奥克斯利法案 ，通过其 302 和 404 条款将财务报告内部控制自我评价和注册会计师审计 制度扩大到公众公司。2006 年，日本颁布金融机构与交易法 ，借鉴美国模式建立了日本 公众公司的内控审计制度；同年，欧盟修订“欧洲议会和欧盟理事会指令” ，明确要求注册 会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、 分析、认定、报告内控缺陷尤其是重大缺陷，是注册会计师审计的重要职责。注册会计师根 据有关法律法规的规定和企业内部控制基本规范 、 企业内部控制审计指引的要求将认 定的内控重大缺陷报告给企业投资者和社会公众，有利于投资者、社会公众和其他利益相关 者全面、及时、准确地了解和掌握企业内控现状，提高决策的科学性和针对性，防止和降低 决策失误风险，从而有效维护投资者利益和资本市场健康稳定发展。 （二）实施企业内控注册会计师审计，有助于增强企业内部控制效能，促进企业 全面提升风险防范能力和经营管理水平。注册会计师的独立性和专业性，决定了其在实施内 控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中 存在的重大风险、薄弱环节和突出问题，较之企业内部控制自我评价在一定程度上难以完全 回避的“不识庐山真面目，只缘身在此山中”的固有约束，注册会计师提出的审计意见往往 更具针对性、深刻性和建设性；同时，注册会计师审计报告具有法律效力和威慑性，使得企 业管理层必须高度重视注册会计师的审计意见，围绕注册会计师提出的内控缺陷采取及时有 效的整改措施，从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性，为企业举一反三健 全管控、杜塞漏洞，实现又好又快可持续发展提供助推力。 （三）实施企业内控注册会计师审计，有助于促进注册会计师行业紧密适应市场 需求推动业务转型升级、实现加快发展。为了支持和促进我国注册会计师行业跨越式发展、 维护国家经济信息安全，2009 年 10 月，国务院办公厅转发财政部关于加快发展我国注册 会计师行业的若干意见 （简称“国办 56 号文件” ） ，明确提出“在巩固财务会计报告审计、 资本验证、涉税鉴证等业务的基础上，积极向企事业单位内部控制、管理咨询、并购重组、 资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸， 推动大型会计师事务所业务转变和升级，加速向高端型、高附加值、国际化业务发展” 。实 施企业内控审计，是落实国办 56 号文件精神的具体体现，是扩大会计师事务所执业领域、 扶持注册会计师行业加快发展的重大利好。 二、实施企业内控注册会计师审计中应当正确处理的几个关系 （一）企业内控责任与注册会计师审计责任的关系。 两者之间的关系和会计责任与审计责任的区分保持一致，即：建立健全和有效实 施内部控制是企业董事会（或类似决策机构，下同）的责任；按照企业内部控制审计指引 的要求，在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的 责任。换言之，内控本身有效与否是企业的内控责任，是否遵循内控审计指引开展内控审计 并发表恰当的审计意见是注册会计师的审计责任。因此，注册会计师在实施内控审计之前， 应当在业务约定书中明确双方的责任；在发表内控审计意见之前，应当取得经企业签署的内 控书面声明。 （二）企业内控自我评价与注册会计师内控审计的关系。 第一，企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。企业 内控责任与注册会计师内控审计责任的划分，决定了企业实施内控自评和注册会计师实施内 控审计必须按照不同的规则独立完成，两者之间不能相互替代和免除。 第二，注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言， 企业内控自评工作应先于注册会计师内控审计进行，因此，适当利用企业内控自评工作及其 成果，可以相应减少注册会计师的工作量，提高内控审计效率。但是，注册会计师的内控审 计责任，不能因为利用了企业内控自评工作而减轻，这就要求注册会计师在利用企业内控自 评工作时，必须毫不放松风险意识，特别要在评估企业内控自评人员客观性和胜任能力等方 面保持应有的职业谨慎态度。下图揭示了注册会计师利用企业内控自评工作应当把握的方法 和尺度。 第三，在各负其责的基础上加强双方的沟通协调，是做好企业内控自评和注册会 计师内控审计不容忽视的重要方法。一方面，就注册会计师及其所在的会计师事务所而言， 一是要注重树立整体研判观念，善于在宏观层面把握大局、把握实质；二是要着重关注合规 目标、报告目标和资产安全目标，适当兼顾效率效果目标和战略目标；三是要配备经验丰富、 结构合理的内控审计项目负责人和经理人员；四是要注意项目具体执行人员与调查访谈对象 身份、权责的大体协调；五是要加强内控审计业务培训和经验交流；六是要重视以前年度审 计情况总结分析；七是要建立与同行的经验共享、技术合作机制；八是要加强信息技术等非 财会、审计人才的引进和培养。另一方面，就企业管理层而言，一是要自觉强化可持续发展 理念和借力“会诊”意识，主动配合支持注册会计师的审计工作；二是要建立并理顺与注册 会计师的沟通协调机制，在审前、审中和审后保持坦诚、深入的沟通；三是要针对注册会计 师的疑虑，提出有说服力的证据；四是要在第一时间整改注册会计师识别的控制缺陷，为获 得更为正面的审计意见赢得主动。 （三）财务报告内控和非财务报告内控的关系。 第一，财务报告内控与非财务报告内控是一个相对概念，恰如会计控制与管理控 制的界定一样。一般而言，与财务报告真实性、可靠性、完整性直接相关的控制称为财务报 告内控，比如，根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报 告的相关控制属于财务报告内控，除此之外的控制可以归类为非财务报告内控。 第二， 企业内部控制审计指引对财务报告内控和非财务报告内控提出了差异 化的审计要求，即：注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部 控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非 财务报告内部控制重大缺陷描述段”予以描述。必须强调，这一规定是实事求是的，既充分 考虑了注册会计师的专业特长和职业风险，将注册会计师的审计重心定位在财务报告内控领 域，同时又大胆破除了单纯财务报告内控观念的束缚，促使注册会计师的内控审计范围与企 业管理层的内控自评范围总体上趋于一致，增强了内控审计报告与自评报告的协调。 （四）内控审计和财务报表审计的关系。 企业内部控制审计指引规定，注册会计师可以将内部控制审计与财务报表审 计整合进行（即整合审计） ，也可以单独进行内部控制审计。 尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择，但从企业更 “经济”地委托审计分析，我们倡导内控审计和财务报表审计整合进行。事实上，审计准则 所要求的风险导向审计与内控规范体系所要求的风险评估，在理念和方法上是趋于一致的， 因此整合审计具有较好基础。整合审计的目的，就是在内控审计中获取充分、适当的证据， 支持注册会计师在财务报表审计中对内部控制的风险评估结果；同时，在财务报表审计中获 取充分、适当的证据，支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审 计的互动关系见下图。 从美国公共会计公司（会计师事务所）整合进行财务报表审计和财务报告内控审 计（404 审计）的通常做