内部控制审计研究

-内部控制审计研究 引言 健全有效的内部控制可以合理保证企业经营效率与效果、财务报表的可靠性以及对相关法律法规的遵循。但是在二十一世纪初，美国等国家爆发安然、世通等一系列数额惊人的财务舞弊案件，对资本市场产生极大震动，其根本原因之一是内部控制失效导致的。美国为整顿资本市场秩序，重树社会公众对资本市场的信心，于2002年颁布了萨班斯奥克斯利法案，该法案要求管理层对财务报告内部控制的评价报告随定期报告一同对外披露，同时要求公司内部控制必须经注册会计师审计。内部控制审计这一新型业务的开展将会对提高财务报告信息质量产生深远影响，这也正是本文研究内部控制审计问题的价值所在。 一、内部控制审计的对象范围 以法律形式规定的注册会计师审计内部控制并出具审计报告当然伴随着法律责任问题。因此，内部控制审计的制度化首先必须解决“应该审计的内部控制的范围”问题。COSO报告问世之后，人们对内部控制有了比较统一的看法，“应该审计的内部控制的范围”的问题也就成为“应该披露什么样目的的内部控制审计报告”的问题。企业内部使用的内部控制报告，所报告的内部控制的范围可以是前述内部控制目标中的任何一项，也可以是关于所有目标的内部控制。但是内部控制审计的范围基本上是限定在财务报告目标。其原因主要是：第一，内部控制审计报告，是为了满足投资者以及其他利害关系人要求经营者所编制的财务报表的编制过程由注册会计师审计后通过报告的形式加以说明这一要求而提供的。第二，如果注册会计师对内部控制的所有方面进行评价，即采用广义内部控制所扩大的监管内部控制的外延也是注册会计师不能胜任的，会使其暴露在高风险的境地，同时难以落实和界定注册会计师的审计责任。其可行性受到一定的制约，超出了其专业胜任能力，因此评价范围应具体有所指，才真正具有实际意义和可行性。在注册会计师审计过程中使用狭义的内部控制突破了广义的内部控制面面俱到实际却流于形式的缺陷，强调突出财务报告层面内部控制的重要性、责任及范围，直接指向资本市场上越来越严重的上市公司经营失败、公司舞弊现象，具有明显的针对性和可操作性，对于提高资本市场信息质量、加强独立审计的有效性具有重要意义。第三，将内部控制审计的范围扩大到经营目的和守法目的等，审计工作和企业付出的费用也会大幅度增加，还可能面临其他问题，比如，如何定义重要性问题。 二、内部控制审计目标 审计目标是审计行为活动意欲达到的理想境地或状态。例如，财务报表审计就是要达到确认财务报表表达公允性和提高财务信息可信性这一理想状态。内部控制审计是一种新型的审计制度安排，这种制度安排能否取得以及如何取得预期的效果，这就是审计目标的实现问题。注册会计师通过收集充分适当的证据，以实现合理保证的目标。财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见。其终极目标是为了向企业利益相关者提供决策有用的高质量的财务信息提供合理保证。 1.与财务报告有关内部控制的有效性 COSO认为，如果董事会和管理层能够合理保证下述事项，那么就可以认为内部控制是有效的：他们了解公司的经营目标在何种程度上得到了实现；公布的财务报表是可信赖的；适用的法律和规章得到了遵循。内部控制的有效性也可以根据其目标来定义，即如果公司的内部控制为财务报告的可靠性和对外财务报表的编制符合公认会计原则提供了合理保证，就可认为是有效的。一般来说，内部控制的有效性包括设计有效性和运行有效性两个方面。设计有效性是指公司是否适当地设计了能够防止或发现财务报表中存在重大错报的有关控制政策和程序。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行和监督，能够实现保证财务报表公允性的控制目标，从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊，则表明控制的设计是有效的。当缺乏实现控制目标的必要控制或即使按照设计的控制运行仍无法实现控制目标时，财务报告内部控制的设计就存在缺陷。运行有效性是指有关的控制政策和程序是否能够如其设计的一样发挥机能，它涉及到公司是如何运用这些控制政策和程序以及谁来执行这些政策和程序等。如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，则表明控制的运行是有效的。当设计合理的控制没有按照设计要求运行，或者执行控制者没有必要的授权或资格，财务报告内部控制的运行就存在缺陷。 2.强调在某个时点的有效性 内部控制是一个过程。从理论和财务信息使用者的角度上来看，内部控制审计报告应该披露某个时期，比如一个财务年度内的内部控制运行状态。因为开展内部控制审计业务是希望被审计单位能建立健全其内部控制，从而提高财务报告的可靠性。但是我们评价的内部控制有效性却是在某个时点上的一种状态或情况。也就是说当注册会计师对内部控制的有效性发表无保留意见时，只能意味着该时点是有效的，其他时段的有效性却不得而知。因为内部控制是一个连续动态的过程，虽然部分控制运行后能够留下控制轨迹，如批准销售、发货等，但也有很多控制在运行后是无迹可查的，如具体的业务活动过程。注册会计师在审计内部控制时所使用的审计程序往往只能获取审计时点的证据，当然也就只能针对该时点的控制有效性发表审计意见。而且对整个年度的内部控制做出评价，其成本是极其高昂的，也是无法实现的。同时，考虑到企业内部控制制度具有一定的持续性，并不是经常变化，从会计期末的内部控制也可以大概了解企业整个期间的内部控制情况。可见，财务报告内部控制审计服务的目标和功能是有限的，财务报告的可靠性并不能过分依赖于内部控制的外部审计来完成，更多的责任仍在于企业经营者建立健全内部控制并努力实现其有效执行。 三、内部控制审计结论：评估重大缺陷与重要缺陷 对控制缺陷的评估是内部控制审计的难题之一。鉴于不同公司、不同缺陷有其自身特征，任何用来评估缺陷的方法都需要高度的职业判断。审计人员要使用与审计年度财务报表同样的重要性分析。一项控制缺陷是重大漏洞还是重要缺陷，将影响到注册会计师对公司财务报告内部控制有效性的判断。如果发现公司存在一个或多个重要缺陷，只要这些重要缺陷或组合尚未构成重大缺陷，可认为公司的财务报告内部控制是有效的。但是，如果公司存在一个或多个重大缺陷，就不能认为公司的财务报告内部控制是有效的。判断某一项控制缺陷的重要性，需要综合考虑企业的规模、缺陷对财务报表错报的影响（定性）以及影响程度（定量）。所以，可以从两个方面来判断控制缺陷的严重程度。一方面，是一个控制缺陷单独或连同其他控制缺陷，导致账户金额或列报产生错报的可能性；另一方面，是导致财务报表产生错报的金额大小。影响控制缺陷导致账户金额或列报产生错报可能性的因素包括：财务报表账户、列报和有关认定的性质；影响控制缺陷导致账户金额错报大小的因素包括：暴露于控制缺陷的财务报表账户或交易类别；本期已经发生或将来预期发生的、暴露于控制缺陷的账户金额或交易类别的业务量。比如，评价被审计单位的信用状况这一控制程序不存在，这说明是一项设计上的控制缺陷，在相关交易的数量以及应收账款余额对企业来说很重要的情况下，这项重要缺陷发展为重大缺陷的可能性就比较大。 四、构建内部控制审计目标实现的机制 注册会计师要合理保证内部控制审计目标的实现，必须构建一个合理运行机制，其核心和基本问题包括：依据什么评价制定评价标准、如何评价设计审计流程以及具体操作策略的选择整合审计。可见，优化评价标准，设计审计流程，确定整合审计的实施策略是实现内部控制审计目标的重要机制。 1.制定适当的评价标准 前文已经分析过，标准的适当与否直接影响着最终的目标实现问题。在财务报表审计中，除了一些非常特殊的业务，一般都有非常明确的会计准则对其进行计量和确认，这时利用会计准则去评价会计报表是否存在重大错报是很适当的。但是，内部控制具有其特殊性，其鉴证对象是非财务数据，对其进行评价是非常困难的，要制定一个适当的标准自然要难很多，目前内部控制的评价标准在各个国家各有不同，在美国是COSO内部控制整体框架，在加拿大是COSO指南，在英国是Turnbull指南，在日本是金融商品交易法，虽然很多国家在制定内部控制标准时都参考了COSO报告，但有较大的差异，世界各国并没有一个统一或者非常接近的内部控制标准。因此，要实现合理保证的目标，首要任务就是合理借鉴已执行内部控制的国家的标准并结合本国实际情况，制订适当的评价标准。 2.设计审计流程 财务报表审计经过近三个世纪，从账项基础审计演变到现在的风险导向审计，仍在不断地发展。内部控制审计还是一个新生事物，即使借鉴这些成熟的理论和实践，要想取得类似于财务报表审计的效果也是有一定困难的。美国PCAOB在2003年颁布AS2审计准则，三年后又颁布了AS5代替AS2，就是由于原有审计准则审计流程的可操作性及其操作成本等严重问题的爆发。所以，如果执行内部控制审计必须要研究如何进行审计，也就是采用什么样的流程，按什么步骤，用什么方法进行审计，审计人员必须计划和执行什么审计程序，以获取充分适当的证据，才能合理保证内部控制有效性。这是一项审计业务的核心和灵魂，也是审计人员最为关注的问题。 3.确定实施策略整合审计 研究具体实施内部控制审计时，应该选择什么样的策略既实现审计目标又可以提高审计效率，降低审计风险。如果注册会计师对于同一被审计单位既进行内部控制审计又进行财务报表审计，此时二者有很多的共同点，所获取的证据可以相互印证或利用。财务