内部控制审计报告方式的理论分析.pdf

内部控制审计报告方式的理论分析 谢少敏 上海财经大学 摘要 本文的目的是通过内部控制审计报告方式的理论分析 探讨我国内部控制审计的主题的界定 内部 控制审计的报告方式有直接报告方式和间接报告方式之分 直接报告方式的内部控制审计直接作用于公司 治理 但对审计人而言对行为过程提供合理保证具有较高的审计风险 间接报告方式的内部控制报告审计 具有促进企业建立健全内部控制文档建设和记录管理的效应 但其本身也存在着容易引发期望差距的局限 性 内部控制审计的报告方式需要考虑内部控制审计所要达到的政策目的来选择 关键字 内部控制审计报告方式 直接报告方式 间接报告方式 1 引言 2008 年 5 月 22 日 财政部会同证监会 审计署 银监会 保监会联合公布了 企业内 部控制基本规范 Basic Standard for Enterprise Internal Control BSEIC 根据财会 2008 7 号通知 BSEIC 自 2009 年 7 月 1 日起在上市公司范围内施行 鼓励非上市的大中型企业执 行 执行 BSEIC 的上市公司 应当对本公司内部控制的有效性进行自我评价 披露年度自 我评价报告 并可聘请具有证券 期货业务资格的会计师事务所对内部控制的有效性进行审 计 尽管我国还没有内部控制审计的强制性要求 从内部控制对公司治理的作用以及国际趋 势来看 内部控制审计的制度化也是早晚的事 内部控制审计的制度建设中 确定内部控制审计的报告方式是重要的一环 根据美国的 经验 内部控制审计的报告方式有 2 种 直接报告方式和间接报告方式 直接报告方式即审 计人以经营者的内部控制评价报告为审计认识的对象实施审计 直接对内部控制是否有效发 表审计意见 间接报告方式即审计人以经营者的内部控制评价报告为审计认识的对象实施审 计 对经营者关于内部控制的评价报告是否妥当发表审计意见 选择内部控制审计的报告方式实质上是选择审计的主题 审计的主题与具以形成使命的 理念和概念有关 取决于审计实务的政策目的 内部控制审计的报告方式需要考虑内部控制 审计所要达到的政策目的来选择 本文的目的是通过内部控制审计报告方式的理论分析 探 讨我国内部控制审计的主题的界定 2 直接报告方式和间接报告方式的变迁过程 2002 年 7 月 25 日美国国会通过了 上市公司会计改革和投资者保护法 简称 萨班 斯 奥克斯利法案 Sarbanes Oxley Act of 2002 SOX SOX 404 条款规定由美国证券交 易委员会 U S Securities and Exchange Commission SEC 制定规则 强制要求公众公司在 年度报告中包括内部控制报告 担任公司年报审计的会计公司应当对管理层对内部控制的评 价进行测试和评价 并出具评价报告 2004 年 3 月 9 日 美国公众公司会计监督委员会 The Public Company Accounting Oversight Board PCAOB 发布 审计准则第 2 号 与财务报表 审计结合实施的财务报告内部控制审计 Auditing Standard No 2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements AS2 为财务报告内部控制审计 Internal Control Over Financial Reporting ICFR 提供指南 AS2 规定 ICFR 审计是对经营者有关 ICFR 有效性评价的审计 AS2 para 1 其目的是对经营 者关于 ICFR 的评价发表意见 AS2 para 4 AS2 还要求 ICFR 审计报告除了对经营者的 ICFR 评价报告发表意见外还必须包括 ICFR 是否在所有重大方面保持有效的意见 AS2 para 167 自 AS2 生效后 PCAOB 就对审计人执行 AS2 过程中所取得的进步实施监控 并由此 得出 2 个结论 其一是 ICFR 审计产生了显著的效益 包括对公司治理和控制以及高质量财 务报告关注度的提高 其二是这些效益是以高昂的成本为代价的 PCAOB 2007 鉴此 PCAOB 提出了一项 4 点计划 a four point plan 包括修订 AS2 PCAOB 2006 根据 这个 4 点计划 2007 年 6 月 12 日 PCAOB 发布 审计准则第 5 号 与财务报表审计相结 合的财务报告内部控制审计 Auditing Standard No 5 An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements AS5 取代 AS2 AS5 规定 ICFR 审计是对有关 ICFR 有效性的经营者评价的审计 AS5 para 1 其目的是 对被审计单位的 ICFR 是否有效发表意见 AS5 para 3 从美国的内部控制审计制度变迁过程来看 SOX404 条款当初的构思要求审计人对内部 控制报告发表意见 是一种间接报告方式审计 而 AS2 所设计的 ICFR 审计既要求审计人对 经营者的 ICFR 报告发表意见 又要求审计人直接对 ICFR 报告发表意见 是一种间接报告 方式和直接报告方式相结合的综合审计 AS5 所设计的 ICFR 审计只要求审计人直接对 ICFR 发表意见 是一种直接报告方式审计 根据 PCAOB 的 2007 005A 公告 AS2 被 AS5 所取 代 其原因有成本的考虑 也是为了设计更合理的审计方法 以提高 ICFR 审计的效果和效 率 AS5 取消 AS2 所要求的间接报告方式是因为对内部控制本身来说 对内部控制报告的 意见和对内部控制的意见具有重复性 直接对内部控制有效性的意见可以更清楚地传递同样 的信息 APPENDIX 4 日本的内部控制审计采用了间接报告方式 2006 年 6 月 14 日 日本发布 金融商品交 易法 Financial Instruments and Exchange Act FIEA 要求基于 FIEA 提供有价证券报告 即 年报 的公司 与有价证券报告一起提供经营者关于本公司 ICFR 的评价报告 FIEA 第 24 条 该报告必须接受审计人的审计 FIEA 第 193 条 2007 年 2 月 15 日 日本企业 会计审议会 Business Accounting Council BAC 发布 关于财务报告内部控制评价与审计 准则以及财务报告内部控制评价与审计实施准则的制定 意见书 On the Setting of the Standards and Practice Standards for Management Assessment and Audit concerning Internal Control Over Financial Reporting Council Opinions CO 要求适用于自 2008 年 4 月 1 日以后 开始会计年度的 ICFR 评价与审计 CO 规定 ICFR 审计的目的是对经营者的 ICFR 报告是 否遵循一般公认的内部控制评价准则编制 有关 ICFR 有效性的评价是否在所有重大方面得 到公允反映 CO 1 CO 提到 考虑到审计所要达到的水准和成本负担 不采用美国 的间接报告方式和直接报告方式并用的做法 而是只采用间接报告方式 CO 三 4 从时间上可以看出 CO 是在 PCAOB 决定以 AS5 替代 AS2 以后公布的 PCAOB 2006 CO 没有紧跟 AS5 而采用间接报告方式 其理由也是出于成本负担的考虑 可见 内部控制审计采用间接报告方式还是直接报告方式是可选择的 3 直接报告方式和间接报告方式的理论意义 采用 中国注册会计师鉴证业务基本准则 Basic Standards of Assurance Services for CPAs of China BSASCC 关于鉴证对象和鉴证对象信息的概念划分 直接报告方式的审计 实质上是一种 对鉴证对象的审计 而直接报告方式的审计是一种 对鉴证对象信息的审 计 鉴证对象和鉴证对象信息之间 犹如物体和镜像 存在着一一对应的关系 一般被理解 为本质和现象的关系 从逻辑上来说 对鉴证对象的审计 和 对鉴证对象信息的审计 也 应该是 对本质的审计 和 对现象的审计 的关系 即对同一个审计对象 既可以采用直 接报告方式也可以采用间接报告方式 1 直接报告方式 直接报告方式要求审计人直接对鉴证对象发表意见 比如 财务状况良好 内部控 制有效 等等 对审计报告的预期使用者来说 这种审计意见直接明了 是审计需求产生 的初衷 但并不是所有的鉴证对象都适用这种结论方式 这里存在三个问题 第一 审计意见中的 良好 有效 是一种价值判断 谢少敏 2006 价值是一个 难以捉摸的 受制于公共讨论的概念 不同的人有不同的价值观念 从直接受影响者到间接 被影响者 人们对价值的理解各不相同 并且一直在变 在审计信息采用公众传递的方式下 如果人们对价值判断标准尚未达成共识 审计人直接对鉴证对象给出价值判断意味着巨大的 审计风险 第二 作为客观存在的 状况或业绩 事实只存在于过程中 需要通过会计等信息系统 转换成 鉴证对象信息 才能被观察到 比如经营过程中发生的会计业务等 鉴证对象 只有在责任方按照一定的标准进行确认 计量和列报而形成 鉴证对象信息 后才能被认识 为财务业绩或状况 即 会计事实因会计的反映而产生 永野 1989 比如用会计语言表 达 巨额坏账 可以得到如下会计记录 借 坏账准备 XXX 贷 应收账款 XXX 因为上述记录 才有关于 坏账准备和应收账款的减少以及由此而发生损失 认定这样 一种会计事实 如果没有上述会计记录 巨额坏账 可以是一种行为事实 也可能是一种 法律事实 其本身并不天然构成会计事实 第三 对鉴证对象的审计 通常需要审计人直接对鉴证对象进行评价或计量 或者获 取责任方对鉴证对象评价或计量的认定 重新组织成审计认定体系 据以形成审计证据 由 于不存在责任方认定的体系 审计人只能采用 事实发现型方法 即在确定的范围内 比 如财务收支 实施审计程序 如果发现了与审计命题相反的事实 则在审计报告中记载该事 实 如果没有发现 则记载 在已实施的审计程序的范围内没有发现所查事实 的方法 鸟羽 1995 即一般只能以 消极方式 提供 有限保证 因此 直接报告方式符合审计利害相关者通过审计专家对被审计对象作出价值判断的要 求 但其固有的局限性 审计人面临着直接对 鉴证对象 作出价值判断的风险和以消极方 式提供审计意见 影响了它的普及和整体审计质量的稳定 在内部控制审计出现之前 对 鉴证对象的审计 如德国和日本的监事审计 我国的经济责任审计等 只在少数国家得到 制度化 而且其作用一直受到质疑1 2 间接报告方式 间接报告方式是审计人只对 鉴证对象信息 的真伪发表意见 而把对 鉴证对象 的 价值判断留给 鉴证对象信息 的预期使用者 虽然 真伪 仍然是价值判断 但信息的 真 伪 可以通过对照比较 鉴证对象 和 鉴证对象信息 的符合程度进行判断 财务报表审 计就是 对鉴证对象信息的审计 这种结论方式解决了审计人需要直接对 鉴证对象 作出价值判断的困难 但与第一种 结论方式一样 并不是所有的鉴证对象都适用这种结论方式 特别是行为 行为是一种复杂 性系统 对行为的确认和计量 比如对绩效 performance 的确认和计量 因为绩效的含 义不可能被完整地定义 其评价标准也很难最终确定 Stewart and Walsh 1994 用语言表 现行为非常困难 同时 将某种人类现象看作行为 也就是把它作为 规则 价值 责 任 等等概念的规范对象 比如 从 巨额坏账 这一现象中抽取行为要素 可以形成以下 声明 某月某日 因业务员 A 的顾客 B 倒产 对 B 的巨额应收账款 XXX 无法回收 其 1采用双轨制公司治理结构国家的公司治理改革可以证明这一点 参见谢少敏 2006 pp 154 158 中含有 责任方 业务员 A 或者其上司 对该结果负有责任 的意思 因此 要求被审计 人就自己的责任行为给出认定 审计人就该认定发表审计意见非常困难 需要审计当事人之 间就价值判断标准达成共识 或者强制审计的授权机制等一系列的条件才有可能得以实行 对鉴证对象信息的审计 解决了 对鉴证对象的审计 的固有局限性 使得审计得以 普及和制度化 但是 对鉴证对象信息的审计 对于鉴证对象的间接报告方式又会引发审计 期望差距 在证券市场的背景下 对鉴证对象信息的审计 财务报表审计 自产生后很快 地得到普及 但基于其内在局限性的期望差距问题也不断发生 因此 尽管在逻辑上 对同一个审计对象既可以采用对 鉴证对象 发表意见的直接结 论方式 也可以采用对 鉴证对象信息 发表意见的间接结论方式 但在实务中 直接结论 方式适合于对行为的审计 如财务收支审计 经济责任审计等 间接结论方式适合于对状况 或业绩的审计 如财务报表审计 4 间接报告方式还是直接报告方式的选择 审计的报告方式取决于 审计的主题 和 审计认识的对象 Power 1997 使用程 序 programme 和技术 technology 的概念说明审计的本质 其中 程序性要素与具以形成使 命的理念和概念有关 它赋予审计实务存在于政治性领域的广泛的政策目的 技术性要素是 具体的任务和例行公事 构成实务世界 审计即可看作是测试 证据收集活动的集合 也可 看作是要求审计的公式化程序所反映的价值观以及目标的系统 Power 1997 1 基于 审计认识的对象 的分析 从美国的 AS5 和日本的 CO 来看 直接报告方式也好间接报告方式也好 内部控制审 计都是以内部控制报告为审计认识的对象 审计认识的对象是审计人据以形成关于审计结论 的心证的事实 审计认识的对象是否以责任方认定的形式为审计人获取 与审计的方法和审 计的硬度有很大关系 表表 1 审计认识的对象和审计的硬度审计认识的对象和审计的硬度 领域 A B C D 审计的主题 财务收支 财务报表 CSR 报告 财务报告内部控制 审计认识的对 象 责任方认 定 基于财务法规的暗示 性认定 真实性 合法性 效益性 基于 GAAP 的认定 列报与披露 账户余额 交易与事项 例 基于 GRI 标准 的认定 关键性 相关性 完整性 基于 COSO 等合法框 架的有效性认定 审计证据的 形成单位 真实性 B 的认定体 系 合法性 效益性 业务 责任方认定体系中的 认定 内部控制目标 关键控制 审计的硬度 有限保证 合理保证 合理保证 有限保证或无保证 极个别合理保证 如表 1 所示 在 A B C D 领域的审计类型中 财务报表审计和内部控制审计属于 合理保证的审计类型 其中财务报表审计被公认为审计硬度最高 比较表 1 的审计类型可知 这两种审计类型都具有基于一般公认标准的 具有逻辑结构的责任方认定体系 在存在 收 敛于一个基本命题的责任方认定体系 的情况下 审计人从责任方获取对鉴证对象评价或计 量的认定体系 根据责任方认定体系的逻辑结构以 认定 为单位形成证据 审计人可以采 用 命题论证型方法 即从基本命题中引出一组可观察命题 通过证明可观察命题进而证 明基本命题的方法 鸟羽 1995 基于命题论证型方法 审计人只要能够获得充分适当的 证据证明 认定 成立 就能以积极方式对 鉴证对象信息 给出合理保证 而不必检查所 有的证据资料 比如 在现行财务报表审计制度框架下 审计人根据财务信息的形成过程 将基本命题 翻译为对应于各个财务报表项目的列报和披露认定 账户余额认定以及交易和事项认定 运 用各类交易 账户余额 列报认定 作为评估重大错报风险以及设计与实施进一步审计程序 的基础 如图 1 所示 这里的各类交易 账户余额 列报认定形成了收敛于 合法性和公允 性 审计结论的责任方认定体系 审计人以此为审计认识的对象 运用命题论证型方法获取 充分 适当的审计证据 得出合理保证 图 1 财务报表审计认识的对象 图 1 财务报表审计认识的对象 ICFR 审计也是以有关内部控制有效性的责任方认定为 审计认识的对象 的审计 其 在审计原理上和财务报表审计非常相似 如图 2 所示 内部控制的有效性认定 是一个可以 展开为对应于企业层面内部控制各要素和流程层面控制目标的责任方认定体系 这里的企业 层面内部控制各要素和流程层面控制目标的有效性认定形成了收敛于 内部控制有效 审计 结论的责任方认定体系 审计人以此为审计认识的对象 同样可以运用命题论证型方法获取 充分 适当的审计证据 得出合理保证 图 2 内部控制审计认识的对象 图 2 内部控制审计认识的对象 因此 就审计方法而言 内部控制审计以内部控制报告为审计认识的对象 以内部控制 是否存在重大缺陷作为 内部控制有效 的评价标准 有效地解决了直接报告方式下审计人 进行价值判断时的标准问题和以积极方式提供审计意见的问题 无论是采用直接报告方式还 是采用间接报告方式 在审计的成本效益和保证水准方面 不会有很大的差异 2 基于 审计的主题 的分析 审计的主题 是要求审计人给出审计结论的要证明对象 属于 Power 1997 所识 别的程序性要素 从程序性要素的角度来看 审计通常因某个目标 可能没有明确的定义 而存在 为目标的实现而作用 日常的审计业务活动因此具有意义或被赋予价值 Power 1997 从 审计的主题 角度来看 间接报告方式和直接报告方式各有各的目标和作用 第一 间接报告方式的目标和作用 内部控制报告是经营者用非会计语言就内部控制的有效性所作的一种声明 是非会计信 息 所以 内部控制报告审计是一种 对信息的审计 其实质是通过鉴证责任方认定 内 部控制有效 的真伪 为信息使用者确认鉴证对象 内部控制 的状态提供保证 这是以证 明为内涵的审计类型 其本质是鉴证 同财务报表审计一样 以内部控制报告为审计结论对象的间接报告方式审计 其目标是 对经营者的内部控制有效性评价报告是否合法 公允进行评价 为了实现这一目标 审计业 务活动的重点必然集中于支撑经营者内部控制评价的文档和记录管理 比如 日本的 CO 要 求 审计人在审计中只实施针对经营者评价结果的审计程序据以形成审计证据 三 4 审计重点所引起的审计效应将促进经营者建立健全内部控制文档和记录管理活动 第二 直接报告方式的目标和作用 根据全国虚假财务报告委员会发起人委员会 The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting COSO 的定义 内部控制是 董 事会 经营者和其他成员所实施的过程 内部控制实质上是一种行为过程 所以 内部控 制审计是一种 对行为的审计 其实质是把责任方的内部控制行为作为 规范 规则 责任 价值 等概念的适用对象予以评价 为利益相关者提供内部控制是否有效的信息 内部控告审计和其他的以行为为审计的主题的审计类型一样 是以问责为内涵的审计类型 其本质是监督 以内部控制为审计结论对象的间接报告方式审计 其目标是对企业的内部控制是否有效 进行评价 为了实现这一目标 审计人必须直接就内部控制是否有效收集证据 尽管内部控 制并不直接评价公司高管的经管责任行为优劣 但从内容来看 内部控制的目标和经管责任 的内容在很大程度上是重复的 因此 内部控制审计也可以说是合理确认经管责任是否得到 了诚实 认真地履行的审计行为 而通过检验内部控制目标是否达成的方法确认经济责任的 履行质量 实质上是以 过程 取代 行为 定位 审计的主题 而 系统成为检查员和 审计人的主焦点之后 行为测量的技术性困难就变得不显眼了 Power 1997 与经济责 任审计相比 内部控制审计的主题不在责任方行为的优劣判断 而是控制活动的有效与否 极大地减轻了经济责任审计中审计人 对人格的评价 的负担 同时 以内部控制是否存在 重大缺陷作为 有效性 的判断标准 也解决了行为审计固有的价值判断标准难以确定的问 题 5 结论和建议 本文全面地讨论了内部控制审计的报告方式 从本文的讨论可以得出以下结论 1 以内部控制报告为 审计认识的对象 使得内部控制审计获得财务报表审计的 技术特征 2 在 审计的主题 上 采用直接对内部控制发表审计意见的直接报告方式还是对 内部控制报告发表意见的间接报告方式 具有不同的审计效应 3 在间接报告方式的内部控制报告审计中 内部控制实质上是一种质量保证系统 如 ICFR 的目的是保证财务信息的可靠性 ICFR 审计的逻辑原理是 以检验系统代替收集 数据的方法确认信息的真实性 Bowerman 1995 间接报告方式的内部控制报告审计具 有促进企业建立健全内部控制文档建设和记录管理的效应 但其本身也存在着容易引发期望 差距的局限性 4 在直接报告方式的内部控制审计中 内部控制实质上是保证经管责任得到有效履 行的机制 从 SOX 的制定背景可知 SOX 的最终意图是要求公司高管诚实地履行经管责任 404 条款所要求的内部控制审计是实现这一意图的手段 直接报告方式的内部控制审计直接 作用于公司治理 但对审计人而言对行为过程提供合理保证具有较高的审计风险 参考上述结论 笔者认为 在我国的内部控制审计制度建设中 考虑到我国企业内部控 制建立健全的程度还有限 应该首先将内部控制审计的范围限定于 ICFR 并采用间接报告 方式 以促进企业内部控制建设 待一定的过渡期后 扩大内部控制审计的范围并采用直接 报告方式 考虑以内部控制审计代替经济责任审计 参考文献 1 谢少敏 2006 审计学导论 上海 上海财经大学出版社 2 鸟羽至英 1995 行为审计理论序说 会计 148 卷第 6 号 12 月 3 永野则雄 1989 会计事实的构筑 经营志林 法政大学经营学会 pp 109 123 4 日本企业会计审议会 2007 关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计 实施准则的制定 意见书 5 Bowerman M 1995 Auditing Performance Indicator The Role of The Audit Commission in The Citizen s Charter Initiative Financial Accountability and Management 11 2 6 COSO Committee of Sponsoring Organizations of the National Commission of Fraudulent Financial Reporting 1992 Internal Control Integrated Framework Jersey City NJ American Institute of Certified Public Accountants 7 PCAOB 2004 Auditing Standard No 2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements The Public Company Accounting Oversight Board 8 PCAOB 2006 Press Release Board Announces Four Poin