时间:2023-06-15 17:26:49
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇财务报表审计的核心,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
(一)理论研究综述 美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部 审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础。Michael S. Gold Stein(2004)在研究美国财务报告内部控制审计与财务报表审计整合框架之后提出了审计师实施审计时的基本步骤和关键业务操作。Colleen Layther(2009)认为美国公众公司会计监督委员会的整合审计是关于财务报表与财务报告内部控制审计予以合并的准则,其要求上市公司会计监管委员会审查审计人员的公正性受到公众的欢迎,并对目前审计准则要求审计人员发表两种审计意见提出质疑。
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果。程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序。陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见。裘宗舜、周洁 (2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持。谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合。张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量。
(二)内部控制审计与财务报表审计的关系 财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、现金流量状况的会计形式的表述。财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动。财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序。内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加。如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用。二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见。但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的。
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性 内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础。财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性。财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务。注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务。内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动。管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见。
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序。整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险。同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性。
(二)整合审计的可行性 内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性。内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见。财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成。
(2)审计业务内容的相关性。内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序。同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计。
(3)审计业务主体的一致性。 AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理。由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础。
(三)整合审计的实施关键 《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成。但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计。
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善。内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见。财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考。
(1)审计目标的整合。财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和现金流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见。我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率。企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告。内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的。财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都服务于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能。
(2)审计计划的整合。内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标。一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作。二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域。三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据。四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平。
(3)审计业务的整合。前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内。从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证服务的两种审计活动。在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件。
(4)审计程序的整合。内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点。需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性。内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试。
(5)审计方法的整合。财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法。财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试。财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上。因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢。
参考文献:
内容摘要:随着内部控制配套指引的出台,内部控制审计越来越被关注,内部报表审计与内部控制评价、财务报表审计内部控制评审之间的关系容易被混淆,论文重点分析以上几项之间的联系与区别,以便深入了解内部控制审计。
中图分类号:F270 文献标识码:A
内部控制在防范财务信息失真,预防重大的会计舞弊方面发挥着重要的作用。但是,任何一个好的制度都需要强有力的监督才能发挥积极有效的作用,才能对由此产生的财务信息的质量进行合理保证。所以利用注册会计师,对企业内部控制进行外部审计,出具合理保证的审计报告,已经成为全世界的共识。随着美国SOX法案(《萨班斯—奥克斯利法案》)的颁布,绝大部分国家都意识到了内部控制审计的重要性。我国在2008年5月由财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,2010年4月,上述5部门又颁布了《企业内部控制审计指引》。
《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。注册会计师在执行内部控制审计工作中,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系,又有本质区别。弄清它们之间的关系,对于充分认识内部控制审计的独特作用,切实推进内部控制审计工作的开展,具有重要意义。
内部控制审计与内部控制评价之间的关系
内部控制评价是指由企业董事会或类似权利机构对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。董事会或类似权利机构通常指定内部审计部门为内部控制评价部门,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素的设计与运行情况进行全面评价,并指出控制缺陷包括设计缺陷和运行缺陷,形成内部控制自我评价报告。
企业董事会对内部控制自我评价报告的真实性和合法性负责,内部控制自我评估报告的真实性,是指内部控制自我评估报告是否如实反映了企业内部控制设计和执行的有效性;内部控制自我评估报告的合法性,是指内部控制自我评估报告的编制是否符合国家有关法律、规章的要求(吴秋生,2010)。
(一)内部控制审计与内部控制评价的区别
1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。
按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
2.性质不同。内部控制审计是企业外部对企业的内部控制审计,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价,通常情况,授权内部审计机构对企业内部控制进行评价,是一种相对独立的服务业务。
3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价,一方面,在评价的过程中可以发现企业内部控制缺陷,及时改善企业内部控制情况,进而提高企业经济效益;另一方面,投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营能力,从而为投资决策和正确行使相关权利提供资料依据。
4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照该指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成,两者之间不能够相互替代和免除(金灵,2011)。
5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价,而内部控制审计依据《企业内部控制审计指引》进行审计。
(二)内部控制审计与内部控制评价的联系
1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。
2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。
3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻(王晓丽,2011)。
内部控制审计与财务报表审计中的内部控制评审之间的关系
财务报表审计中的内部控制评审,是指为编制审计计划能够准确确定审计重点和抽样规模提供可靠依据,进而进一步确定实施实质性程序的范围、性质,注册会计师在进行财务报表审计时应当首先了解审计单位内部控制,且出现下列两种情况时注册会计师应当对内部控制实施控制测试:
在评估认定层次重大错报风险时,预期控制的运行是有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。
(一)内部控制审计与财务报表审计中的内部控制评审的区别
1.直接目的不同。内部控制审计是出于管理方面的需求,从公司层面对企业整个内部控制系统尤其是财务报告内部控制进行全面的评价,以促进企业经营管理措施的实施及目标的实现,表现形式为对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见。而财务报表审计中的内部控制评审是为了满足审计方面的需要,评价那些可能对财务报表可靠性有重要影响的内部控制,判断其可依赖程度,从而合理确定审计程序,保证审计质量,提高审计效率。
2.性质不同。内部控制审计是一项独立的鉴证业务。而财务报表审计中的内部控制评审是财务报表审计工作中的一部分,一个重要的环节,而非单独的一项业务。
(二)内部控制审计与财务报表审计中的内部控制评审的联系
1.审计对象相同。内部控制审计与财务报表审计中的内部控制评审都要对与财务报告相关的内部控制进行审查,审查财务报告相关的内部控制设计的合理性,执行的有效性。
2.审计方法相似。针对相同的审计对象,内部控制审计与财务报表审计中的内部控制评审在审计方法上相似,都需要运用检查书面文件和记录、询问有关人员、穿行测试等方法。
正因为两者的相似点,现阶段内部控制审计与财务报表审计就内部控制的有效性的评价可以开展整合审计,即由同一会计师事务所的不同项目组执行同一委托单位的内部控制审计和财务报表审计,整合有利于注册会计师之间的沟通,方便协调各自的工作进度,互相借助对方的工作成果,可以大大加速审计时间,节约审计费用,降低审计成本,有利于促进内部控制审计顺利开展。当然在整合审计过程中,应同时实现如下的目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
一方面,注册会计师在进行财务报表审计中的内部控制评审时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。
另一方面,注册会计师提出内部控制有效性审计结论时,应考虑财务报表审计控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。注册会计师要充分利用财务报表审计中的内部控制评审结论,再进行补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价。
关键词:审计报告相关准则 关键审计事项 持续经营
中图分类号:F239
文献标识码:A
文章编号:1004-4914(2016)11-130-02
早期的审计报告,是没有统一规范的,其内容和格式由审计师自定。为了提高审计报告的规范性和可比性,20世纪40年代,准则对其内容和格式做出了规范。该审计报告模板以审计意见段为核心,位于审计报告的最后,其他内容如管理层责任段、注册会计师责任段均为格式化内容。标准审计报告基本就是格式化的报告,报告使用人只浏览意见段即可。虽然该模式重点突出、简单明了,但是信息量太少,而财务信息使用者希望从中了解更多的信息,为了满足财务信息使用者的要求,国际审计报告相关准则进行了修订。
一、国际审计报告相关准则的修订背景
国际审计与鉴证准则理事会(IAASB)的调查结果表明很多财务信息使用者认为他们做出决策所需要的信息与它们能从审计报告和其他公开渠道获取的信息存在很大的差距。随着企业经营的复杂化,财务报表编制过程中融入了的大量的职业判断和估计,财务信息使用者很难从现有的审计报告模式中知悉审计师是如何应对这一复杂的形势的,是否在具有高风险的领域分配了更多的审计资源。
为了满足财务信息使用者的要求,IAASB于2015年1月15日了新制定(修订)的相关审计准则文本,包括修订《ISA-700对财务报表形成审计意见和出具审计报告》、制定《ISA-701关键审计事项》、修订《ISA570―持续经营》、修订《国际审计准则第720号―审计师与其他信息相关的责任》等,适用于会计期间截至2016年12月15日及之后的财务报表审计。改革内容包括但不限于以下几点:要求在审计报告中增加关键审计事项;持续经营能力存在重大不确定性时,要求在审计报告中单设段落单独反映;要求在审计报告中增加“其他信息”段,单独反映注册会计师对年报中包含的“其他信息”的责任。
本次准则修订的目的在于,增强审计师执行国际审计准则的行为一致性,促使审计师更加关注审计过程及财务报表披露,提升审计服务质量。IAASB主席Arnold Schilder指出,财务报表披露对财务报表使用者做出恰当决策非常重要,因此审计师应当更加关注财务报表披露中信息的质量,这是符合公众利益的。IAASB认为,国际审计报告相关准则的变化可以适用于各种规模的审计业务,以及任何司法管辖区和行业,并将提高审计质量。
二、我国修订审计报告相关准则
根据国际审计报告准则的变化,按照审计准则国际趋同的要求,2016年1月7日,中国注册会计师协会了“会协〔2016〕1号”文件――《关于印发等7项审计准则征求意见稿的通知》。?文件附件列示了此次修订涉及的7项审计准则,分别是《中国注册会计师审计准则第1504号――在审计报告中沟通关键审计事项》《中国注册会计师审计准则第1501号――对财务报表形成审计意见和出具审计报告》《中国注册会计师审计准则第1324号――持续经营》《中国注册会计师审计准则第1151号――与治理层的沟通》《中国注册会计师审计准则第1503号――在审计报告中增加强调事项段和其他事项段》《中国注册会计师审计准则第1502号――在审计报告中发表非无保留意见》及《中国注册会计师审计准则第1521号――注册会计师对其他信息的责任》。
本次审计报告相关准则的修订,标志着审计报告模式迎来新的时代。本次修订的目的在于增加审计报告信息含量、增强审计工作透明度,并强化注册会计师在审计工作中的相关责任。
审计报告相关准则修订的主要内容:
(一)《中国注册会计师审计准则第1504号――在审计报告中沟通关键审计事项》要求在上市实体审计报告中单独描述关键审计事项
沟通关键审计事项,能够提高已执行审计工作的透明度,增加审计报告的沟通价值。关键审计事项,是指注册会计师根据职业判断认为对当期财务报表审计最为重要的事项。关键审计事项选自与治理层沟通的事项。判断是否构成关键审计事项,通常要考虑以下几个方面:
1.从“与治理层沟通的事项”中选择关键审计事项。例如,注册会计师在审计过程中的重大发现;对被审计单位会计实务重大方面的质量的看法;审计工作中遇到的重大困难等。
2.从“与治理层沟通的事项”中确定在执行审计工作过程时重点关注过的事项。在确定时,应当考虑以下方面:评估的重大错报风险较高的领域或识别出的特别风险;与财务报表中涉及重大管理层判断(包括被认为具有高度不确定性的会计估计)的领域相关的重大审计判断;当期重大交易或事项对审计的影响。
3.注册会计师在执行审计工作时重点关注过的事项中,确定哪些事项对当期财务报表审计最为重要,从而构成关键审计事项。值得说明的是,关键审计事项虽然是“最为重要的事项”,但这并不意味着只能有一项关键审计事项。关键审计事项的数量取决于被审计单位规模、复杂程度、业务和经营环境的性质,以及审计业务具体事实和情况的影响。
注册会计师应当在审计报告中单独列示“关键审计事项段”描述这些事项,除非法律法规不允许公开披露这些事项,或在极其罕见的情况下,注册会计师合理预期在审计报告中沟通某些事项造成的负面影响将超过产生的公众利益方面的益处,因而确定不应在审计报告中沟通该事项。
对于导致非无保留意见的事项或者导致对被审计单位持续经营能力产生重大疑虑的事项,虽然从其性质看属于关键审计事项,但是不得在审计报告的关键审计事项部分进行描述,应当按照《中国注册会计师审计准则第1502号――在审计报告中发表非无保留意见》《中国注册会计师审计准则第1324号――持续经营》的规定报告这些事项。
(二)在审计报告中增加以“与持续经营相关的重大不确定性”为标题的单独部分
《中国注册会计师审计准则第1324号――持续经营》规定如果运用持续经营假设是适当的,但存在重大不确定性,且财务报表对重大不确定性已作出充分披露,应当发表无保留意见,同时在审计报告中增加“与持续经营相关的重大不确定性”为标题的单独部分,以提醒报表使用人关注可能导致对持续经营能力产生重大疑虑的事项和情况及其重大不确定性,并说明该事项不影响已发表的审计意见。如果运用持续经营假设是适当的,但存在重大不确定性,且财务报表对重大不确定性未作出充分披露,注册会计师不应以该段落替代非无保留意见,应恰当地发表保留意见或否定意见。
(三)调整审计报告要素排列
新版审计报告将审计意见段置前,突出了审计意见的核心地位,读者可以开门见山地了解最为关键的信息。
注册会计师责任段的表述更加细化,向报告使用人阐明,“合理保证”“重大错报风险”的含义,并告知公众注册会计师对财务报表整体不存在由于错误或舞弊导致的重大错报风险只能做出合理保证并不能100%绝对保证。阐释了风险导向审计的核心:识别和评估由于错误和舞弊导致的重大错报风险,并针对这些风险采取应对措施(设计和实施审计程序)。除此以外,还增加了注册会计师与持续经营、治理层沟通、沟通关键审计事项、运用职业判断、保持职业怀疑等相关的责任。这些改进使得报告使用人对注册会计师的工作过程和责任有了更多的了解,有助于报告使用人更深入地理解审计意见。
(四)其他变化
在无保留意见中增加“形成审计意见的基础”“对其他法律和监管要求的报告”。要求在审计报告的末尾列示负责审计并出具审计报告的合伙人的姓名。
三、对审计报告相关准则修订的几点建议
1.《中国注册会计师审计准则第1504号――在审计报告中沟通关键审计事项》适用于对上市实体整套通用目的财务报表进行审计,以及注册会计师决定在审计报告中沟通关键审计事项的其他情形。为了提高审计报告的统一性、可比性,建议扩展至上市实体以外的财务报表审计。
2.准则对判断关键审计事项给予了具体的指引,但仍需依赖注册会计师的职业判断,因此不同的审计师确定的关键审计事项可能有所不同。首先应确保审计项目组内部对关键审计事项的判断合理一致,行业监管机构应当在本准则执行过程中密切关注判断关键审计事项的合理性和一致性,在实践中总结经验教训,以便完善修改这些判断指引。
3.《中国注册会计师审计准则第1503号――在审计报告中增加强调事项段和其他事项段》力求使得注册会计师能够理解和把握关键事项段、强调事项段和其他事项段之间的关系。笔者认为,其他事项段比较好理解,该段落提及未在财务报表中列报或披露的事项,这些事项有助于财务报表使用者理解审计工作、审计报告和注册会计师的责任。关键事项和强调事项有时则难以区分。实务中可能有部分强调事项也可以作为关键审计事项之一,那么在实务中有可能存在把强调事项列作关键审计事项的情况。
总之,此次审计报告相关准则的修订,增加了审计报告的信息含量,引导注册会计师更加关注审计过程,强化了注册会计师的责任。同时,社会公众也可以通过修订后的审计报告理解注册会计师的工作和责任,注册会计师提供的具有个性化的审计报告或将成为选聘会计师事务所的重要参考之一。
参考文献:
[1] 中国注册会计师协会.《关于印发等7项审计准则征求意见稿的通知》.会协〔2016〕1号,2016年1月7日
[2] 唐建华,张革.增加报告信息含量提升报告沟通价值――国际审计报告改革评述.中国注册会计师,2015(04)
[3] 王凯.审计报告模式将迎重大改变.中国会计报,2016.01.15
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
中国证券市场已经走过了十多年的风雨历程。在这十多年里,证券市场取得了有目共睹的巨大成就。但与此同时,假账和审计失败也困扰着我国证券市场。为此,人们在完善法制、加强监管力度、健全公司治理等方面做出努力。
造成独立审计失败,除审计信息不对称、对独立审计监管力度不够、注册会计师职业道德有待提高之外,现行审计委托模式的弊端也不容忽视。现行审计委托模式由于管理层越位、公司治理结构缺陷和审计市场过度竞争等原因,使注册会计师与公司管理层之间存在着利益关联,损害了注册会计师审计的独立性。
注册会计师审计起源于财产所有权和经营权的分离,在两权分离的情况下,财产所有者为了解和考核经营者的管理责任,委托独立的注册会计师对经营者的经营情况进行审查,受托的注册会计师将审查结果报告给委托人,委托人支付相应的报酬,这就是独立审计的基本委托关系。我国现行的审计委托模式也是基于上述原理设计的,具体而言,上市公司的所有者——全体股东组成的股东大会(委托人)聘请注册会计师对公司财务报表的合法公允性进行审计,审计的内容是反映经营者履行受托责任和公司实际财务状况及经营成果的财务报表及相关资料,完成审计后,注册会计师将审计报告送交委托人,并由其支付审计报酬。在这种审计委托模式中,最核心的问题是注册会计师必须独立于委托者和被审计者,即上市公司所有者(股东大会)和经营者(管理层)。而在实际操作中,恰恰就难以保证注册会计师对上市公司管理层的真正独立,造成“独立审计不独立”的尴尬局面。
(一)管理层越位,成为实际上的委托人。从理论上讲,财务报表审计是由公司的所有者委托注册会计师对管理层的经营情况进行审计,而在实际操作中,却具体化为上市公司的管理层在委托、雇佣注册会计师。尽管形式上要经过股东大会投票决定注册会计师的聘请和报酬,但注册会计师是由管理层事先推荐,股东们是不大可能亲自去寻找注册会计师的,这也是现代公司制度的固有限制,因而委托注册会计师审计的决策权实际上是被公司管理层掌握着。管理层不仅决定着财务报表审计的注册会计师聘请、审计报酬的多少及其支付,而且还决定着注册会计师为上市公司提供的其他审计鉴证业务(如验资、盈利预测等)。因此,注册会计师与上市公司的管理层之间存在着实质上的利益关系,上市公司的管理层才是注册会计师真正的“衣食父母”,二者之间并不独立。
(二)公司治理结构不完善,注册会计师仅听命于大股东。我国证券市场中,国有企业改制上市的公司占相当大的比例。“一股独大”的现象很多,这些公司的大股东在股东大会、董事会和管理层都拥有不可置疑的绝对权威。我国上市公司董事长与总经理“两职合一”的比例高达60%以上。而中小股东由于股份份额、参与程度等原因在公司的决策机构和管理机构中声音很小,甚至没有发言权。在这种情况下,大股东取代全体股东,成为既是所有者又是经营者的上市公司真正的主人。就大股东而言,所有者和经营者之间的委托关系已不存在了,对中小股东而言,在大股东“一言堂”的情况下,要么听命于大股东,要么“用脚投票”,整个上市公司实际上是在大股东的一方领导下运营,权利的监督制衡机制流于形式。在这种不完善的公司治理结构下,只要审计委托权还由上市公司行使,就等于完全由大股东决定注册会计师的聘请、审计报酬及支付情况,而由于大股东既是所有者(委托人)又是经营者(被审人),就形成了大股东花钱请注册会计师来审计自己的局面。虽然这种审计受法律约束必须进行,但具体请谁来审计,支付多少和如何支付审计报酬却由大股东决定。这样,接受委托的注册会计师在经济利益的驱动下,当然得看大股东的脸色行事了,注册会计师的独立性自然就受到了极大的破坏。
(三)引进财务报表保险制度,改革现行审计委托模式。现行审计委托模式的缺陷动摇了注册会计师在独立审计关系中应有的独立性,成为影响审计意见客观性的根本原因之一。解决这个问题的关键就在于割裂上市公司管理层与注册会计师的直接联系,寻找一个独立的第四方(相对于委托人、受托的注册会计师和被审计的管理层),由其来行使审计委托权,并由其直接支付注册会计师的审计报酬。
财务报表保险制度是由美国会计学家罗恩教授率先提出的,旨在提高审计独立性的一套完整的市场制度。罗恩教授提出建立财务报表保险制度,从源头上增强注册会计师的独立性,消除可能导致审计意见失实的制度基础。具体操作方式为上市公司不再直接聘请会计师事务所对财务报表进行审计,而是向保险公司投保财务报表保险,保险公司聘请会计师事务所对投保的上市公司进行审计,根据风险评估结果决定承保金额和保险费率。对因为财务报表重大错报和漏报给投资者造成的损失,由保险公司负责向投资者进行赔偿。聘用注册会计师的决策权从被审计单位转移到承保人手中,与证券交易所招投标制度一样,财务报表保险制度切断了公司管理层与注册会计师之间的委托关系,更加确保了审计人的独立性。保险公司的利益与上市公司、投资者和社会公众的利益趋于一致,由利益相容的保险公司代表上市公司股东行使对财务报表的监督职责。审计关系中的各方以及保险关系中的各方均被置于市场机制之内,有做假劣迹或经营风险较高的上市公司将缴纳更高的保险费,加大了上市公司的造假成本。注册会计师的直接客户是保险公司,具有较强执业能力和较高职业道德的注册会计师受到欢迎,而出具不实审计意见将失信于保险公司,进而失去一大批投保于该保险公司的上市公司审计业务,公正审计意见的利益和不实审计意见的损失充分内化。财务报表保险制度将恢复注册会计师真实的独立地位,并借助市声机制的力量赋予公司管理层自觉改善财务报表质量的内在动机,不失一种针对审计失败和财务舞弊的综合解决方案。
然而,财务报表保险制度的有效运行至少需要三个传导机制:保险公司与所有者利益一致、审计者与保险公司利益一致,以及证券市场有效。而我国目前却缺乏确保这些传导机制有效的市场条件,这将导致审计独立性问题转变成为保险公司的独立性问题。若要实施该制度,我们应首先健全证券市场、保险市场和相关民事责任法律法规,并设计出一套利益分配的技术标准。同时,对现行审计制度进行一些改革仍然是必要的,这些改革措施将有利于增强财务报表保险制度下保险公司的独立性。作为一种纯市场行为,财务报表保险制度缺乏强性,也可能受到上市公司的抵制。但长远来看,以保险公司作为“第四方”的财务报表保险制度应成为我国市场经济体制下独立审计委托模式的最佳选择。随着我国市场经济的进一步完善,我们期待这些问题逐渐得到解决,从而使财务报表保险制度能够在我国推行。
关键词:绩效审计经验借鉴
政府绩效审计发生于20世纪40年代,发展于70年代。世界上各个国家对绩效审计的称谓不尽相同,在1986年第12届国际会议上,最高审计机关国际组织建议以“绩效审计”(PerformanceAuditing)统一名称。在这届国际会议发表的《关于绩效审计、公营企业审计和审计质量的总声明》一文中,指出:“除了合规性审计,还有另一种类型的审计,它涉及对公营部门管理的经济性、效率性和效果性的评价,这就是绩效审计。”
20世纪80年代初,随着中华人民共和国审计署的诞生,绩效审计开始走入中国。上世纪80年代初,我国审计理论界侧重于引进和介绍国外绩效审计的理论与实务。此后,逐步转向探讨如何建立有中国特色的绩效审计,对绩效审计的定义、职能、范围、方法和程序等基本理论进行了较为广泛的研究,并把绩效审计理论研究列为重点研究课题,取得了一些初步的成果。2003年7月1日,审计署颁布实施《2003至2007年审计工作发展规划》,对今后五年的审计工作进行了部署,提出了今后五年在审计内容和审计方式上坚持财政财务收支的真实合法审计与效益审计并重。这一目标符合国际审计发展潮流和趋势,符合我国审计事业的发展实际。
近年来经济、政治和社会的发展已经推动了绩效审计的发展,然而在自身发展的同时我国绩效审计还必须借鉴其他国家的成功经验,结合我国国情研究并制定规范。众所周知,澳大利亚是世界上开展现代审计的主流国家之一,因此学习借鉴澳大利亚绩效审计的主要做法和经验,对于加强我国绩效审计理论研究和实践具有重要的现实意义。
一、澳大利亚绩效审计的特点
1.法律定位明确
澳大利亚在1997年颁布实施的《审计长法1997》对澳大利亚审计署开展的财务报表审计和绩效审计做出了明确规定。它将绩效审计定义为对一个单位或个人管理活动的任何方面进行的检查活动;审计长可以在任何时间组织对联邦政府部门、事业单位和联邦所属公司及其下属单位进行绩效审计,根据有关部长、财政部长和议会公共会计与审计联合委员会的要求可对政府企业及其下属单位进行绩效审计;审计长可在任何时间组织对所有或部分联邦政府部门、事业单位和联邦所属公司及其下属单位的内部管理的特定方面进行绩效审计,而不仅仅局限于一个部门、单位。这些条款中同时还规定绩效审计报告在审计完成后需及时提交议会。澳大利亚审计长法将审计划分为财务报表审计和绩效审计两种类型,并对绩效审计做出了明确规定,这些都有力地促进了澳大利亚审计署全面履行财务报表审计和绩效审计职责,促进了澳大利亚绩效审计的发展,也使绩效审计在澳大利亚的公共管理过程中发挥了积极的作用。
2.内涵明确
根据《审计长法1997》和公认审计实务准则,澳大利亚审计署将绩效审计定义为:“独立、公正、系统地对一个单位管理运行情况的检查,以评价管理活动是否做到经济、效率、效果,内部管理程序是否有利于促进提高经济、效率和效果,并提出管理建议”。经济性、效率性和效果性构成了绩效审计的三个要素(3E),这就是绩效审计的核心内涵。
根据《世界审计组织绩效审计指南》和《亚洲审计组织绩效审计指南》,所谓经济性是指,“从事一项活动并使其达到合格质量的条件下耗费资源的最小化”,它主要关注的是投入和整个过程中的成本。效率性是指,“投入资源和产出的产品、服务或其他成果之间的关系”。就是指以一定的投入取得最大的产出或以最小的投入取得一定的产出,即支出是否讲究效率。值得注意的是在澳大利亚政府绩效审计的内涵中,经济性和效率性审计除了针对机构还针对个人。效果性是指,“目标实现的程度和从事一项活动时期望取得的成果和实际取得的成果之间的关系”。所以,绩效审计中“三E”的关系是辩证的,可以有所侧重,但不应机械地割裂。
3.审计项目涉及范围广泛
选择合适的审计项目是使绩效审计充分发挥促进和提高公共部门管理水平作用的前提。澳大利亚审计署年度工作计划是在征求议会公共会议、审计联合委员会、议会其他专门委员会意见和其他政府部门意见以后确定的。在实际的绩效审计工作中,澳大利亚政府根据不同年度的社会经济发展重点和政府管理的情况,确定了不同的年度绩效审计项目。从审计内容的侧重来看,或关于一个政府部门或单位管理活动的某个方面,或对多个政府部门的同一或相似的管理活动进行审计,即一般绩效审计和综合绩效审计。
4.完备的审计信息公布制度
根据相关法律的要求,澳大利亚审计署和澳大利亚其他政府部门、单位一样,在每一个财政年度结束后,要按统一格式要求编制年度报告,报告的内容包括审计长意见、审计长及审计署的职责、作用、组织机构、工作任务、年度任务完成情况、内部管理情况和财务收支情况等,并于每年10月末之前提交议会审议并向社会公布(其中涉及国家秘密的内容除外)。充分利用审计署网站的作用,向社会公众审计信息——各项审计报告,审计发展规划,年度审计计划、审计准则等内部管理文件和审计长讲话等,因此社会公众可在网站上找到十分丰富的审计信息。
二、对我国开展绩效审计的建议
1.从立法角度看,我国审计法中仅在第二条规定了审计机关依法对财政、财务收支的真实、合法和效益进行审计监督,但是并没有把审计明确的划分为财务报表审计和绩效审计,对具体如何实施绩效审计,绩效审计的具体对象、范围等也没有作明确的规定。这种绩效审计法律定位不清、进展缓慢、成效不明显等状况与我国现时的经济发展水平和需求不相适应。因此,借鉴澳大利亚等国家在审计法律中对财务报表审计和绩效审计明确定位的经验,我国应从立法的高度,将我国国家审计明确的划分为财务报表审计和绩效审计两类,并明确规定财务报表审计应对部门单位整体财务状况发表审计意见,为绩效审计提供真实、合法的条件,从而为我国国家审计机关开展绩效审计提供明确的法律依据,同时应明确规定绩效审计目标、内容、范围、标准、方法。
2.在我国的实际审计工作中,许多审计人员从绩效审计的字面理解,片面地认为绩效审计就是对被审计单位的经济效益进行的检查评价活动,没有能认识到绩效审计还包括对效率和效果的评价,因此在绩效审计实践中,审计人员一般着重于对经济效益的评价,而没有能从“三E”的角度全面地开展绩效审计。我们可以借鉴澳大利亚等国家开展绩效审计的经验,在诸如审计法等审计法律法规中对绩效审计的内涵做出明确规定,从而明确绩效审计应包括经济性、效率性、效果性三个要素,这是全面进行绩效审计探索和实践的基础。
3.在实践中,许多审计人员在绩效审计的内容方面存在两种模糊的认识,一是认为绩效审计就是评价一个单位的经济效益,进而带来没有统一的评价指标等问题;二是认为绩效审计需对政府的绩效情况进行全面评价,进而带来全面绩效评价很难进行等问题。实际上,从澳大利亚等国家绩效审计的内容来看,绩效审计的内容是十分丰富的,并不仅仅局限于一个单位的经济效益的评价,而是对一个部门或单位某一方面职责的履行情况进行评价或对多个部门或单位的相同或相似职责的履行情况的评价。我们应该在绩效审计实践中开阔思路,增强信心,选好项目,然后根据工作重点和物质、人力资源,确定目标、范围、方法,有条不紊地进行效益审计工作。
4.以我国审计工作发展现状结合国外审计经验,我国应加快落实“五年规划”提出的审计结果公告制度,将所有审计结果,除内容和不宜对外披露内容外全部对社会公告。例如:可采取在报刊上公布内容摘要、在网站公布全文等方式,大力加强审计部门网站建设,将其建成审计信息资源库,成为审计部门联系其他相关单位和社会公众的桥梁,在这方面,我国深圳市审计局的工作已经初见成效。
当今,绩效审计已成为各国审计的主流,也是我国国家审计今后的工作重点。《审计署2003至2007年审计工作发展规划》是我国审计事业发展的指南,它以我国审计现状为基础,借鉴了国际审计经验,为中国审计逐步与世界审计接轨奠定了坚实的基础。规划提出了许多有效、可行的计划和措施,如:开展绩效审计、建立审计质量控制体系、推行审计结果公告制度等。我们目前最关键的是要学习与实践,借鉴国外的成功经验,结合实际进行研究并制定规范,加强绩效审计理论方面的研究,培训审计人员,积极探索,大胆实践,努力创造中国特色的绩效审计模式。
参考文献
[1]《审计署2003至2007年审计工作发展规划》.2003年7月1日.
[2]《世界审计史》,文硕编著.中国审计出版社1990年出版.
[关键词]审计风险;程序;了解环境
审计师在审计时应当考虑的风险包括三种,即企业的经营风险,审计风险,特别风险。经营风险是对实现企业目标或执行企业战略产生不利影响的各种不确定因素,企业所具有的经营性质、所处行业、外部监管环境、企业的规模和复杂程度等因素都对财务报表发生重大错报有密切的关系,许多经营风险最终都会造成财务后果,比如经营风险中竞争者开始延长产品保证期,这样会给企业带来增加预提保证费用的风险,还有如果原材料发生短缺,就会产生标准成本的损耗率上升,竞争者在市场技术上开始领先,这样就会造成投资需要增加计提减值准备。审计风险则是现代风险导向审计的核心概念,它由重大错报风险和检查风险组成,重大错报风险是指财务报表在审计前存在重大错报的可能性,它有固有风险和控制风险组成,重大错报风险和检查风险互为反向关系。特别风险是,在审计实务中需要特别考虑的重大错报风险,即是否是舞弊风险、是否是近期经济环境、会计处理方法和其他方面的重大变化、是不是复杂的交易、是不是重大的关联方交易、是不是对重大事项存在不确定计量空间,是不是设计异常或超出正常经营过程的重大交易,由此看到,特别风险与非常规重大交易和判断事项有关,即金额和性质异常并且不是经常发生的。
在审计实务中对各种风险的评价是风险导向审计的开始,审计师了解被审计单位及其环境,目的是为了识别和评估财务报表重大错报风险,为了了解被审计单位的重大错报风险,审计师首先要了解被审计单位极其环境(不包括内部控制),这其中包括,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质,对会计政策的选择和运用,目标、战略以及相关经营风险,财务业绩的衡量和评价;其次要了解内部控制,这主要了解控制环境、被审计单位的风险评估过程、信息系统与沟通、控制活动、对控制的监督;第三是对风险评估及其审计计划的讨论,主要是被审计单位面临的经营风险、财务报表容易发生错报的领域、错报的方式、特别是由于舞弊导致重大错报的可能性,第四评估重大错报风险,主要包括财务报表层次、认定层次(各类交易、帐户余额、列报、披露)。
为达到以上目的所要执行的具体审计程序有:
首先,询问。询问被审计单位管理层和内部其他相关人员,询问的主要问题有新的竞争对手、主要客户和供应商的流失、新的税收法规的实施、以及经营目标或战略的变化、财务状况和最近的经营成果、现金流量、可能影响财务报告的交易和事项、或者目前发生的重大会计处理问题等,审计师还应当考虑询问内部审计师、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工以获取对识别重大错报风险的不同需要,即询问治理层、有助于审计师了解其针对被审计单位财务报表的编制环境;询问内部审计师有助于审计师了解其针对被审计单位内部控制设计和运行有效性的情况,以及管理层对内部审计发现的问题是否采取适当的行动;询问参与生成、处理或记录复杂或异常交易的员工,有助于审计师评估被审计单位选择和运用某项会计政策的适当性;询问内部法律顾问,有助于审计师了解被审计单位的有关诉讼、法律法规的遵循情况、影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任、与业务伙伴的安排、以及合同条款的含义;询问销售人员,有助于审计师了解营销策略及其变化、销售趋势或与其客户的合同安排;询问营销或销售人员,有助于审计师了解被审计单位的原材料采购和产品生产等情况等情况。
其次,执行分析程序。分析程序是指审计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价,分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系,审计师实施分析程序有助于发现识别异常的交易或事项,即特别风险,审计师还可以对财务报表的审计产生影响的金额、比率和趋势进行预测。在实施分析程序时,审计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较,如果发现异常或未预期到的关系,审计师应当在识别重大错报风险时考虑这些比较结果。新晨
第三,进行观察和检查。观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可以提供有关审计单位及其环境的信息,审计师应当实施下列观察程序,观察被审计单位的生产经营活动,如观察被审计单位人员正从事的生产活动和内部控制活动等;检查文件、记录和内部控制手册,如检查被审计单位的章程,与其他单位签订的合同、协议、股东大会、董事会议、高级管理层会议的会议记录,各业务流程操作指引和内部控制手册,各种会计资料、内部凭证和单据;阅读由管理层和治理层编制的报告,如阅读被审计单位年度和中期财务报告、管理层的讨论和分析资料、经营计划和战略、对重要经营环节和外部因素的评价、被审计单位内部管理报告,以及其他特殊目的的报告(新投资项目的可行性分析报告);实地察看被审计单位的生产经营场所和设备;追踪交易在财务报告信息系统中的处理过程(穿行测试),这是审计师了解被审计单位业务流程及其内部控制时经常使用的程序。通过追踪某笔交易在业务流程中如何生成、记录处理和报告,以及相关内部控制如何执行,审计师可以确定被审计单位的交易和内部控制是否与之前通过其他程序所获的了解一致,并确定内部控制是否得到执行。
基于对企业风险管理的考虑,风险评估程序应当贯穿于企业财务报表审计的整个过程,并运用大量的专业判断识别、计量风险因素,为防止主观和片面的判断影响审计结果,要进行讨论和研究,形成对被审计单位的总体情况报告、总结上年的工作情况、被审计单位的环境变化情况、财报的易错领域、重要审计事项和审计领域、可能发生的重大舞弊和重大错报风险、重要性水平的设定、最后制订总体审计策略。
参考文献:
一、审计理念的变化
老审计准则遵循的是“把审计程序执行到位”的简单的审计理念。在此理念下,注册会计师往往不注重了解被审计单位及其环境,如不注重对行业状况、监管环境、内部控制、企业性质以及目标、战略和相关经营风险等情况的了解,而直接进行控制测试或实质性测试,注册会计师审计最主要的任务就是完成审计程序,不考虑或很少考虑审计风险,而且财政部门对注册会计师执业质量的行政监管检查(包括行业监管检查)关注的也是审计程序的履行情况,由此造成注册会计师只注重审计程序的履行,而忽视了对审计风险的识别、评估和应对,容易犯只见树木不见森林的错误。如果被审计单位管理当局串通舞弊或凌驾于内部控制之上,则内部控制将无法发挥作用,注册会计师也很容易受到蒙蔽和欺骗,不能发现由于内控失效而导致的财务报表重大错报风险,控制测试也将失去作用。因此,迫切需要改革审计理念,研究出更能有效识别、评估和应对财务报表重大错报风险的新的审计方法和审计流程,为此,新的审计理念应运而生。
新审计准则的最大特点就是注册会计师带来了风险导向的新的综合审计理念,该理念强调在“把审计风险控制到位”的前提下再“把审计程序执行到位”,可见,这是新准则相对于老准则最重要、最根本的变化。
为了实现“把审计风险控制到位”的审计目标,新准则明确规定了风险评估是注册会计师必须履行的审计程序,注册会计师应当针对评估的报表层的重大错报风险确定总体应对措施,针对评估的认定层的重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。在新准则下,注册会计师不可以不评估重大错报风险,也不可以简单设定固有和控制风险为最高水平就假定重大错报风险为百分之百而直接盲目实施实质性程序。因为不弄清重大错报风险可能发生在哪个方面或那些领域就实施审计程序,往往发现不了重大错报。由此可见,新准则的审计理念更为完善、科学和先进。
因此,注册会计师学习和执行新准则首要的关键问题就是树立风险导向的审计理念,在今后的每一项审计实务中都要以防范审计风险为基本职责,强化风险意识,保持职业怀疑态度,不断提高自身的职业分析和判断能力,以对重大错报风险的识别、评估和应对为审计工作的主线流程,同时还必须把应该履行的风险评估和实质性程序执行到位,只有这样才能真正理解和把握风险导向的审计理念。
但是,新审计理念的推行必须有新的审计风险模型予以支撑,为了顺利推行风险导向的新理念,新准则下的审计风险模型也随之发生了相应的变化。
二、审计风险模型的变化
从老准则的审计风险模型:“审计风险=固有风险×控制风险×检查风险”来看,老准则虽然也要求对风险进行评估,但由于该风险模型的制约及老准则本身的缺陷使得对风险的评估不是很狭隘,就是难以规范履行。如老准则要求编制审计计划时,注册会计师应评估固有风险或直接假定其为高水平,这使得很多注册会计师不评估固有风险而直接假定其为高水平,从而使得对固有风险的评估流于形式。另外,尽管老准则要求对固有风险和控制风险进行综合评估以作为评估检查风险的基础,但由于实务中对两者的内在联系往往无法把握,如果只依赖对控制风险所作的简单评估或直接假定控制风险为百分之百来大致确定检查风险再据此计划实质性程序,这样就很难合理保证财务报表不存在重大错报。正是由于这些问题,使得注册会计师在运用老审计风险模型时出现只执行准则明确规定必需履行的审计程序,特别是只把实质性测试中的细节测试执行到位即可的错误认识和片面做法。实际上,在老准则实施多年的审计实务中,注册会计师主要关心的也正是对财务报表各组成项目的细节测试,而不关心审计后能否合理保证财务报表不存在重大错报,以及控制审计风险到可接受的低水平。由此可见,尽管老准则考虑了对审计风险进行评估的问题,但注册会计师在日常审计并没有能够以对风险的评估为导向,问题就在于老准则下审计风险模型的局限性,不能有效地识别、评估和应对重大错报风险,所以老准则不能称之为风险导向审计。
新准则体系中最核心的准则是以下四个:第1101号《财务报表审计的目标和一般原则》准则、第1211号《了解被审计单位及其环境并评估重大错报风险》准则、第1231号《针对评估的重大错报风险实施的程序》准则和第1301号《审计证据》准则。这四个准则最重要的内容就是贯彻了新的审计理念,启用了“审计风险=重大错报风险×检查风险”的新的审计风险模型。新准则要求注册会计师在今后的审计实务中根据该模型来计划和执行审计程序,强调提高注册会计师发现财务报表重大错报风险的能力,强调对财务报表重大错报风险的识别、评估和应对,强调把审计风险控制到位。只有这样,才能更有利于对财务报表重大错报风险的识别、评估和应对以及对重大错报的审计效果,才能更好地实现财务报表的审计目标,更好地遵循财务报表审计的一般原则要求,为审计后的财务报表不存在重大错报提供合理保证。由此达到全面推行风险导向审计目标,实现将原审计风险模型下的“审计程序执行到位”的简单审计理念更新为新审计风险模型下的“审计风险控制到位”的综合审计理念。
因此,如果说新准则要求注册会计师树立风险导向审计理念并遵循新的审计风险模型是客观要求,那么,注册会计师就要从主观上强化防范审计风险的意识,努力提高自身对财务报表重大错报风险的识别、评估和应对能力,全面、规范履行应该履行的审计程序,并将审计风险降低至可接受的低水平。只有这样,才能真正把新的风险导向审计理念贯彻到位,把新的审计风险模型落实到位。
三、审计流程的变化
由于新准则审计风险模型的变化,又导致了对注册会计师审计流程的具体要求也发生了重要变化。
老准则下的审计风险模型把审计流程分为四部分,分别为:(1)了解被审计单位情况;(2)了解内控;(3)控制测试;(4)实质性测试。而新准则下的审计风险模型把审计流程分为三部分,分别为:(1)了解被审计单位情况及其环境(包括内部控制);(2)控制测试;(3)实质性程序。从表面上看,新准则的审计流程较旧准则少了一个,但实际上并没有减少,新准则仅是将老准则下的第(1)和第2个流程进行了合并,并统称为“风险评估程序”。另外,新准则把其第(2)和第(3)两个流程统称为“进一步审计程序”,并指出仅靠风险评估程序不足以为发表审计意见提供充分、适当的审计证据,注册会计师还应当根据对认定层次重大错报风险的评估结果,恰当选用以实质性程序为主的实质性方案或选择以控制测试与实质性程序结合使用的综合性方案。但新准则特别强调,无论选择何种方案,注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。由于新准则将控制测试和实质性程序统称为“进一步审计程序”,因此,新准则的审计程序从总体上也可以简单分为两大块,即“风险评估程序”和“进一步审计程序”。
另外,由于新准则将“了解被审计单位情况及其环境(包括内部控制)”和“评估重大错报风险”制定为一个准则,从而使得注册会计师更加明确了了解被审计单位情况及其环境(包括内部控制)的目的是为了对重大错报风险进行评估,而且将对被审计单位情况及其环境的了解(包括内部控制)和对重大错报风险的评估进行了有机结合。由此可见,新准则在此问题上更为科学合理,更有利于注册会计师对风险导向审计理念和新审计风险模型的理解、把握和执行。
必须注意的是,尽管新准则对审计流程的数量没有发生变化,但是,新准则对各流程的具体要求,特别是对风险评估和风险应对提出了新的更高的要求。
新准则特别强调了审计流程的重心必须前移,注册会计师必须重视计划审计工作,重视对被审计单位及其环境的了解(包括内部控制),重视对重大错报风险的识别和评估,重视针对评估出的重大错报风险实施相应和必要的审计程序。风险评估程序的主要目的是针对财务报表层次和认定层次重大错报风险的评估,是一个连续、动态地收集、更新与分析信息的过程。由此可见,风险评估不仅针对整个财务报表各层次、全方位,而且也是贯穿于整个审计过程始终的审计程序。新准则还明确规定了风险评估程序为必须履行的审计程序。
与风险评估程序不同的是,“控制测试”和“实质性程序”均是仅针对认定层次的重大错报风险,仅是在进一步审计程序中履行,但目的各有不同。“控制测试”目的在于测试内控在防止、发现和纠正认定层次重大错报方面的有效性,并据此重新评估认定层次重大错报风险,而“实质性程序”的目的在于发现认定层次重大错报风险,降低检查风险。同时,新准则还规定了“实质性程序”同样为必须履行的审计程序。但必须注意的是,如果注册会计师在审计中认为出现符合准则规定必须进行控制测试的条件或认为可以进行控制测试时,则应该进行控制测试,否则可以不履行控制测试程序。
值得注意的是,从“风险评估程序”对报表层和认定层次重大错报风险的评估,到“控制测试”测试内控在防止、发现和纠正认定层次重大错报方面的有效性,据此重新评估认定层次重大错报风险,再到“实质性程序”以发现认定层次重大错报风险降低检查风险为最终审计目的,新准则下的各大审计程序最终都将审计重点指向了“重大错报风险”,由此可见,注册会计师在今后的审计实务中一定要将对“重大错报风险”的识别、评估和应对作为审计工作的核心,只有发现认定层次重大错报风险,才能达到降低检查风险的最终审计目标,从而实现风险导向审计的初衷。
鉴于以上分析,注册会计师在今后的审计实务中务必抛弃老准则下对审计风险的狭隘和片面认识,一定要把对重大错报风险的识别、评估和应对作为审计工作的主要流程、重中之重,一定要全面、规范履行风险评估和风险应对程序。只有这样,才能切实把风险导向的审计理念落到实处,才能使新的审计风险模型在审计实务中得到充分体现,才能合理保证财务报表整体不存在重大错报。
总之,尽管新准则改进了审计理念、审计风险模型和审计流程,但新准则并没有改变对财务报表的审计目标,没有改变对注册会计师审计责任的基本定位,仅是改进了审计工作方法、工作流程和工作重心,使得新准则下的审计程序更为科学、合理和规范,更能识别、评估和应对重大错报风险,从而使得新准则在更好地指导注册会计师实现审计目标履行审计责任并服务于、服务好社会公众的同时,也能更好地保护好注册会计师自身的合法权益。但是,所有这些都给注册会计师提出了新的更高的要求,因此,注册会计师在今后的审计实务中,一定要努力提高自身的执业能力和职业素质,保持职业怀疑态度,强化对重大错报风险的防范意识,全面和规范执行新准则,认真对待每一个审计项目,认真履行好每一个审计程序,将审计风险真正降低至可接受的低水平。
《企业内部控制基本规范》及其配套指引已于2011年1月1日起首先在境内外同时上市的公司施行,并于2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。按照规定,执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告;同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。因此,在2011年年度报告披露期间(2012年1—4月),我们将可以看到那些境内外同时上市的公司向境内投资者披露的内部控制自我评价报告,以及内部控制审计报告。
如何认定内部控制重大缺陷并进行披露,是我国上市公司执行《企业内部控制基本规范》面临的一个前所未有的挑战。内部控制重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。如果认定内部控制存在重大缺陷,将直接导致上市公司得出内部控制无效的结论。因此,如何认定内部控制重大缺陷的认定并进行披露至关重要。本文从上市公司角度,研究了《萨班斯—奥克斯利法案》实施初期在美上市公司财务报告内部控制重大缺陷的认定及披露情况,希望能对我国上市公司实施《企业内部控制基本规范》及其配套指引起到借鉴作用。
二、内部控制评价相关文献综述
朱荣恩等(2003)从美国《萨班斯—奥克斯利法案》404条款的要求出发,对财务报告内部控制有效性评价做了相关的解读,并在研究SEC提案和AICPA征求意见稿的基础上,结合两个会计师事务所提供的报告,提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。王立勇(2004)运用可靠性理论和数理统计知识构建了一个内部控制系统评价的数学分析模型,利用该模型可计算程序的可靠度和系统可靠度,判断内部控制的效果。王煜宇等(2005)构建了五大类(内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制)、35个具体指标组成的企业内部控制评价指标体系。于增彪等(2007)采用实地研究方法,详细探讨了亚新科安徽子公司如何设计和应用内控评价体系。陈汉文等(2008)分析了内部控制的有效性以及有效内部控制的内涵,认为评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率。张先治等(2011)基于我国企业的环境和企业内部控制基本规范配套指引的实施,结合国内外企业内部控制评价理论研究和实践状况,构建了我国企业内部控制评价系统,包括内部控制评价内涵、评价目的、评价模式、评价主体、评价客体、评价模型等。
以上学术界对内部控制评价的研究,采用的方法基本上是建立由多个评价指标体系构成、分别打分并设置一定权重、最后计算得出总的内部控制评价得分的方法。这和美国《萨班斯—奥克斯利法案》404条款要求进行的内部控制评估有很大的不同。按照后者的规定,要评估内部控制是否有重要缺陷、重大缺陷,如果发现一个重大缺陷,就不能认定内部控制有效。
国外关于内部控制重大缺陷的研究,主要集中于内部控制重大缺陷的分类、内部控制重大缺陷的影响因素,以及披露内部控制重大缺陷后的市场反应,等等。关于内部控制重大缺陷的分类,具有代表性的包括Doss(2004)、Ge等(2005)、Hammersley等(2008)等。关于内部控制重大缺陷的影响因素,具有代表性的为Doyle等(2007a,b),Ashbaugh-Skaife等(2007)等。关于内部控制重大缺陷披露后的市场反应,具有代表性的包括DeFranco等(2005)、Hammersley等(2008)等。上述研究为了解内部控制重大缺陷的认定和披露提供了有用的经验证据,对我国上市公司也有较强的借鉴意义。
三、样本选择与内部控制重大缺陷披露总体情况
(一)样本选择
本文的样本来自美国《Compliance Week》为跟踪《萨班斯—奥克斯利法案》302条款、404条款实施而的内部控制月度报告,这与DeFranco等(2005)、Doyle等(2007a,b)、Ge等(2005)、Ashbaugh-Skaife等(2007)的样本来源一致。《Compliance Week》月度报告整理、摘录了月度报告前一个月披露内部控制重大缺陷或重要缺陷的上市公司披露的内容。与前述其他研究文献不同的是,本文选择的期间为2003年11月至2005年7月,共873个样本公司。一些公司在此期间披露的季度报告中不止一次披露了内部控制缺陷,因此在上述873个样本出现的次数也就不止一次,我们只保留了这部分公司第一次披露的信息,因此剔除了107个样本。在剩下的样本中,一些公司披露的并非内部控制重大缺陷,而是重要缺陷或一般缺陷,或者所披露的重大缺陷在比较会计报表期间而非报告期间存在,本文把这部分184个样本也予以剔除。经过上述过程,共剩下582个样本。
(二)《萨班斯—奥克斯利法案》执行初期在美上市公司内部控制重大缺陷披露总体情况
针对选定的样本公司,本文逐一分析了其披露的内部控制重大缺陷,并进行了分类、整理①。
本文对样本公司披露的内部控制重大缺陷按照公司层面、账户或交易层面来分类,并将无法根据所提供的信息进行分类的重大缺陷单独作为一类。如Doss(2004)所述,穆迪评级公司将内部控制重大缺陷划分为公司层面的重大缺陷,以及账户或交易层面的重大缺陷。如果一个公司披露了公司层面的内部控制重大缺陷,则穆迪会召开评级会议,讨论该公司现行评级是否已经反映了刚刚披露的重大缺陷,如果已有评级未反映新近披露的重大缺陷,且公司没有积极的整改措施,则穆迪会考虑降低其评级。对于账户或交易层面的内部控制重大缺陷,穆迪一般不会采取降低评级的行动。这说明,相比账户或交易层面的重大缺陷,公司层面的重大缺陷要更严重一些。我国《企业内部控制审计指引》第10条也规定,注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
公司层面内部控制重大缺陷涉及到COSO《内部控制——整合框架》中控制环境、风险评估、控制系统、信息和沟通、监督等要素的几乎所有内容,而账户或交易层面内部控制重大缺陷则涉及资产负债表和利润表的几乎所有项目。在控制层面内部控制重大缺陷中,人力资源、财务报告流程、监督出现的频率较高;而账户或交易层面,收入确认、所得税会计、存货、租赁等项目出现的频率较高。
需要说明的是,内部控制重大缺陷数量与其他研究的统计结果存在差异。例如,Ha mmersley等(2008)以《Compliance Week》2003年11月到2005年1月披露内部控制缺陷的613家样本公司为基础,经过调整后共358家公司,这些公司披露的内部控制缺陷共815个。如果研究同一期间样本,本文统计的内部控制重大缺陷共340家公司、内部控制缺陷数量879个。本文认为,产生差异的主要原因,如下文所论述的那样,是本文将样本公司披露的内部控制重大缺陷中提及的、产生内部控制重大缺陷的公司层面内部控制缺陷,以及相互联系的内部控制缺陷,均视为重大缺陷。这些差异不影响本文的研究结论。
四、在美上市公司内部控制重大缺陷认定及披露分析
内部控制重大缺陷认定是内部控制评估的核心,也是难点所在。许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。
(一)根据表明公司内部控制可能存在重大缺陷的重要迹象来认定、披露
美国公众公司会计监督委员会(PCAOB)《第2号审计准则——与财务报表审计相结合的财务报告内部控制审计》第140段,以及取而代之的《第5号审计准则——与财务报表审计相结合的财务报告内部控制审计》第69段都提到了如下四种迹象:为反映对一个重大错报的更正而重述以前的财务报表,未审财务报表中的重大错报由审计师而非公司发现,发现与高级管理层有关的舞弊,审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。上述前两种迹象,在认定内部控制是否存在重大缺陷时非常重要。只要存在这两种迹象,通常即可认定公司存在内部控制重大缺陷。其他两种迹象则较难用来直接认定。
1.为反映对一个重大错报的更正而重述以前的财务报表
之所以重述以前的财务报表,是因为前期财务报表中存在重大错报,而内部控制并未发现并及时更正。因此,会计报表重述成为判断财务报告内部控制存在重大缺陷的重要迹象之一。需要明确的是,财务报表重述本身不应构成一个内部控制重大缺陷,导致发生会计报表重述的事项才是内部控制重大缺陷。故本文的分类中并无该项。有86家样本公司发生了财务报表重述。一些公司披露了导致发生报表重述的事项。一些公司则并未说明导致发生报表重述的事项,只是笼统地进行说明。
由于财务报表使用者可以观察到公司是否发生了财务报表重述,因此,公司在内部控制评估中需要认真评估导致财务报表重述的、应被认定为重大缺陷的内部控制并予以披露。
2.未审财务报表中的重大错报由审计师而非公司发现
如果审计师在审计中发现当期财务报表中存在重大错报,而公司财务报告内部控制没有发现该项错报,则说明公司财务报告内部控制存在重大缺陷。
在《萨班斯—奥克斯利法案》实施前、上市公司无须披露财务报告内部控制评价报告时,如果财务报表中存在重大错报,无论是由审计师还是公司发现的,只要公司能在最终披露的财务报表中进行了调整,就不会影响审计师对财务报表的审计意见。而在《萨班斯—奥克斯利法案》实施后、上市公司须同时披露财务报表审计意见及内部控制评价和审计意见时,如果未审财务报表中的重大错报由审计师而非公司发现,虽然公司的财务报表在按照审计师的建议调整后可能被出具无保留意见,但公司的财务报告内部控制则因无法防范重大错报而应被认定为无效并被审计师出具否定意见。在此需要明确的是,未审财务报表中的重大错报由审计师而非公司发现本身不构成一个内部控制重大缺陷,无法发现错报的内部控制如关账程序等才是内部控制重大缺陷。因此,本文的分类对该项未作考虑。
有55家样本公司提到了审计师提出的审计调整。虽然财务报表使用者无法观察到公司是否发生了审计调整,但由于审计调整记录于审计师的工作底稿中,因此,那些发生了审计调整的公司应该评估与审计调整事项相联系的内部控制是否存在重大缺陷并予以说明。
3.发现与高级管理层有关的舞弊
美国《审计准则公告第99号——财务报表审计中对舞弊的考虑》将舞弊定义为,被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,包括对财务信息作出虚假报告导致的错报,以及侵占资产导致的错报。由于舞弊是一种故意行为,其产生的错报的危害可能非常大,因此,舞弊是财务报表内部控制存在重大缺陷的重要迹象。
样本公司中,披露舞弊信息的仅有6家:有4家公司披露其存在舞弊行为,有1家公司披露其违反了《反海外贿赂法》(FCPA),有2家公司披露其反舞弊机制不能有效运行,如舞弊举报热线不能有效运行。与前述两个迹象相比,披露的公司明显要少。一方面,这可能是舞弊一般比较隐蔽,较难识别;另一方面则可能是因为舞弊的后果非常严重,上市公司高层管理人员不会轻易冒险,舞弊现象确实比较少。此外,与前面两个迹象不同的是,舞弊既是内部控制存在重大缺陷的重要迹象,本身也构成内部控制重大缺陷。
4.审计委员会对公司的对外财务报告和财务报告内部控制的监督无效
有效的监督能够及时、有效地识别出控制失败或控制缺陷,并报告给那些对控制负责的员工或高层管理人员,以及时实施纠正措施。如果监督无效,就难以保证内部控制有效运行。正因为如此,COSO专门了《内部控制体系监督指南》。
如果监督是有效的,就应该能够及时识别出内部控制重大缺陷并督促整改。因此,严格地讲,除非监督职能有效地发挥作用并及时识别出了重大缺陷且督促整改,否则,所有披露了内部控制重大缺陷的公司的监督职能都是无效的。在此意义上,样本公司的披露并不严格。
财务报表的使用者无法直接观察到公司的监督职能是否有效。对于公司及其审计师而言,监督有效与否依赖于审计委员会、内部审计部门的自我评估,以及对其他监督手段存在和运行效果的评估。由于监督是内部控制的五要素之一,因此,监督无效既是内部控制存在重大缺陷的迹象之一,同时也构成内部控制重大缺陷。
(二)根据内部控制重大缺陷定义来认定、披露
无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。以下将根据《Compliance Week》月度报告摘录的上市公司内部控制披露内容来进行分析。
1.企业层面内部控制重大缺陷的认定
账户或交易层面内部控制重大缺陷,在很大程度上是与之相关的 企业层面内部控制存在重大缺陷导致的。我们发现,只有部分公司在披露其账户或交易层面内部控制重大缺陷时,也同时披露了导致该重大缺陷的企业层面内部控制重大缺陷,许多公司则没有披露。以下是几种具有代表性的企业层面内部控制重大缺陷。
(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足。存在该问题将导致:无法做到不相容职务相互分离;无法及时进行财务关账;无法处理非常规、复杂交易;无法及时复核相关账户;无法处理所得税等复杂会计问题,等。披露此重大缺陷的样本公司达111家。
(2)不相容职务相互分离存在重大缺陷。不相容职务是指那些如果由一个人担任,可能发生错误和舞弊行为,且可能掩盖其错误和弊端行为的职务。不相容职务相互分离原则要求每项经济业务都要经过两个或两个以上的部门或人员的处理,并受其监督和制约。否则,将直接导致一些账户或交易层面的内部控制出现重大缺陷。披露此重大缺陷的样本公司达42家。
(3)缺乏有效的监督。监督是内部控制五要素的重要组成部分。从某种意义上讲,无论是账户层面或交易层面的内部控制存在重大缺陷,还是企业层面的内部控制存在重大缺陷,都说明监督存在重大缺陷。也就是说,监督是无效的。披露此类重大缺陷的样本公司达59家。
2.相互联系的账户或交易层面内部控制重大缺陷及其披露
按照审计循环观点,任何重大差错一定涉及相互联系的两个或两个以上的账户。控制活动通常是按照业务循环来设计的。如果一个业务循环相关的内部控制存在重大缺陷,影响到的就不只是与该循环相关的某一个账户,而是两个或两个以上的账户。这样,在披露账户或交易层面内部控制重大缺陷时,除了披露导致该账户或交易重大缺陷的公司层面内部控制重大缺陷外,还应披露受该重大缺陷影响的所有账户或报表项目为宜。本文发现,相当数量的公司并未按此原则认定并披露,只披露了其中的一个账户,仅有部分公司披露了受账户或交易层面内部控制重大缺陷影响的所有账户。
3.几个一般或重要缺陷构成重大缺陷
两个以上的内部控制缺陷可能构成重大缺陷。从财务报表使用者的角度,我们无法判断构成重大缺陷的几个一般或重要缺陷的严重程度。而从披露的情况看,此类情形不是很多。样本中有14家公司披露若干缺陷构成了重大缺陷。
4.在披露内部控制重大缺陷时同时披露整改行动
如果在评估时发现了重大缺陷,但及时采取了有效的整改行动,且在披露时已经产生了明显的效果,则可以在很大程度上缓解投资者的顾虑,也不会对公司评级产生严重的负面影响(Doss,2004)。本文发现,大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
五、在美上市公司内部控制重大缺陷认定及披露对我国上市公司的借鉴
(一)重大缺陷的认定
我国《企业内部控制评价指引》并未规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定②,这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。参照在美上市公司内部控制重大缺陷的认定,我们认为,我国上市公司可以借鉴我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。相比根据重大缺陷定义认定,根据表明内部控制可能存在重大缺陷的迹象认定,比较容易判断,操作性较强。如果监管部门能够根据国内外上市公司披露内部控制重大缺陷的情况提供更多表明存在内部控制重大缺陷的迹象,无疑有助于公司执行《企业内部控制基本规范》及其配套指引。以下对我国准则规定的几个重要迹象进行分析。
1.根据表明公司内部控制可能存在重大缺陷的重要迹象来认定
我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(1)注册会计师发现董事、监事和高级管理人员舞弊。如果注册会计师在财务报表审计中执行《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》,或在内部控制审计中发现董事、监事和高级管理人员舞弊,则内部控制极有可能被认定存在重大缺陷。然而,正如该审计准则第六条所述的那样,“舞弊是一个宽泛的法律概念,本准则并不要求注册会计师对舞弊是否已经发生作出法律意义上的判定,只要求关注导致财务报表发生重大错报的舞弊”,注册会计师对舞弊的认定并非易事,只有当有确凿的证据表明董事、监事和高级管理人员舞弊时,注册会计师方可由此认定公司内部控制存在重大缺陷。本文认为,如果一家公司被证监会立案调查或行政处罚,或被司法机构认定存在违法犯罪,则通常表明公司存在舞弊行为。在此情形下,注册会计师应该认定该公司内部控制存在重大缺陷。
(2)企业更正已经公布的财务报表。近年来,我国上市公司重述前期的财务报表的情形频繁发生。根据我国《企业会计准则第28号——会计政策、会计估计变更和差错更正》,企业在当期发现、属于以前期间的会计差错,如果是重大会计差错,调整发现当期期初留存收益以及有关项目;对于比较会计报表期间的重大差错,则应当调整发生当期的净损益和相关项目。本文认为,参照样本公司的做法,我国上市公司因重大会计差错而更正已经公布的财务报表,应认定导致发生该重大差错的内部控制存在重大缺陷。
(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。发生这种情形,以致注册会计师提出了审计调整建议且公司为了获得无保留意见只能接受该建议,是内部控制存在重大缺陷的最直接的迹象之一。按照此标准,一些公司财务关账之后被注册会计师发现具有重大错报,其内部控制应该被认定存在重大缺陷;而一些公司因财务人员缺乏必要的会计准则知识,一直依赖审计师代为编制财务关账流程中的重要会计分录,甚至代为编制合并财务报表,其内部控制也应该被认定存在重大缺陷。
(4)企业审计委员会和内部审计机构对内部控制的监督无效。由于我国《企业内部控 制应用指引》并未包括审计委员会和内部审计相关内容,因此,无论审计师还是公司,在评价审计委员会和内部审计机构对内部控制的监督是否有效时都面临较大的困难。
关于我国上市公司审计委员会监督有效性,虽不乏实证研究证据(王跃堂等,2006),但应评价哪些具体要素却缺乏客观的依据。可以参照一些在美国上市的中国公司执行《萨班斯—奥克斯利》法案404条款的做法,从如下十个方面进行评估:是否设立了审计委员会;审计委员会的成员构成是否具有独立性;审计委员会成员具有相应的学识和经验来履行其监督职责;审计委员会与财务主管、内外部审计师等相关方的沟通与联系;审计委员会是否能及时充分获取必要的信息来监督管理层的战略、经营、财务状况和经营成果,以及其他重大交易合同等;审计委员会评估敏感的信息、调查结果及不当或违法活动(例如:重大诉讼、政府机关的调查、侵吞公司资产、违反内部交易规定、违法支付等);是否就发现的问题,采取必要的行动,包括进行专项调查等;对定期财务报告的监督;对证监会、交易所规定的其他职责的履行情况;审计委员会的自我评估等。
关于内部审计监督的有效性,可以参考证券交易所制订的上市公司规范运作指引③中的相关规定来进行,但需要注意的是,这些规定中对内部审计的要求与国际内部审计师协会的要求还有较大的差距。参考陈武朝(2010)对美国《萨班斯—奥克斯利法案》404条款实施初期内部审计无效案例的研究结果,以及我国《企业内部控制基本规范》的相关规定,在实施《企业内部控制基本规范》时,应从独立性、胜任能力、任务和职责等三个方面评价内部审计是否有效。
如果认定审计委员会对内部控制的监督无效,或认定内部审计机构对内部控制的监督无效,则都应认定内部控制存在重大缺陷。
2.根据内部控制重大缺陷定义来认定、披露
参照在美上市公司的做法,无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。由于该方法在很大程度上依赖内部控制评估人员的专业判断,因此不同公司对同一事项可能会得到完全不同的结论。借鉴在美上市公司重大缺陷认定,以下情形应考虑认定为内部控制重大缺陷:(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足;(2)不相容职务相互分离存在重大缺陷;(3)缺乏及时、充分的复核及监督。此外,如果认定某个账户或交易层面内部控制存在重大缺陷,就应该考虑与之相关的企业层面内部控制是否存在重大缺陷,以及与之相联系的其他账户或交易层面内部控制是否存在重大缺陷;无论存在企业层面的内部控制重大缺陷,还是账户或交易层面的内部控制重大缺陷,都应考虑审计委员会及内部控制监督职能是否存在重大缺陷。
(二)重大缺陷的披露
我国上市公司在年度报告中如何披露内部控制评价信息,预计到2011年年报编制时才会有正式的规定出台。本文认为,重大缺陷披露应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷:有表明内部控制可能存在重大缺陷的重大迹象,还是满足内部控制重大缺陷的定义?在披露某个账户或交易层面内部控制的重大缺陷时,应披露审计委员会及内部审计监督可能存在的重大缺陷,与该账户或交易层面内部控制的重大缺陷相关的企业层面内部控制可能存在的重大缺陷,以及与之相联系的其他账户或交易层面内部控制可能存在的重大缺陷。应借鉴Hammersley等(2008)等的研究发现,披露内部控制重大缺陷的细节。特别需要注意的是,在披露内部控制重大缺陷同时应披露整改行动。
六、结论
本文研究了《萨班斯—奥克斯利法案》执行初期在美上市公司披露的财务报告内部控制重大缺陷的认定及披露,并结合我国的相关规定,分析了对我国上市公司执行《企业内部控制基本规范》及其配套指引的借鉴作用。
本文发现,在美上市公司的许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。披露的内部控制重大缺陷涉及COSO《内部控制—整合框架》五要素的几乎所有内容,以及资产负债表和利润表的几乎所有项目。仅有部分公司披露导致交易或账户层面重大缺陷的企业层面内部控制重大缺陷。同时,仅有部分公司披露受账户或交易层面内部控制重大缺陷影响的所有账户;相当数量的公司只披露其中的一个账户;绝大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。本文认为,我国上市公司可以借鉴我国《企业内部控制审计指引》列出的、表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。在披露时,应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷,以及与之相联系的其他内部控制可能存在的重大缺陷。此外,应注意披露内部控制重大缺陷的细节,且应同时披露整改行动。最后,对于监管机构而言,应总结实施中的经验和问题,尽早出台相关的规范,以规范《企业内部控制基本规范》及其配套指引的实施。
注释:
①限于篇幅,本文不再列示;如需索取请与作者联系。
一、风险导向审计在我国运用的现状
1.审计理论方面
首先,在对审计风险的认识上,学者们各抒己见:秦荣生(2003)将“风险”理解为控制风险;谢荣、吴建友(2004)认为,会计报表风险说到底实际上是企业经营风险的副产品;胡春元(2002)指出审计风险为诉讼风险。
其次,还有许多学者对风险导向审计在我国的应用方面做了深入研究,如:吴向阳(2005)、王会金(2006)等都对其运用的可行性及存在的困难做了全面分析,并就此提出实施的具体措施。
此外,北京国家会计学院正在同世界银行合作开发风险导向审计的课题;上海国家会计学院也专门成了一个实验室研究风险导向审计问题。
2.审计实践方面
目前,我国的审计模式仍处于制度基础审计的阶段,多数审计人员将主要精力放在具体交易事项或期末余额的细节测试上,这也是导致目前审计市场舞弊事件频发的主要原因。而对于风险导向审计模式,我国尚处于了解和认识阶段,但已有少部分事务所在对大型企业或上市公司进行审计时,尝试着运用这种模式。相信随着我国审计环境的改善和注册会计师(CPA)执业水平的提高,会有更多的事务所选择风险导向审计模式。
3.审计准则方面
自1994年至1999年,中注协先后制定和颁布了三批共35个准则项目,其中有些条款已经体现了风险导向审计的要求,如:独立审计准则第8号《错误与舞弊》、第9号《内部控制与审计风险》、第17号《持续经营》等。
2006年2月15日,财政部了48项CPA审计准则,新准则充分体现了风险导向审计的要求,为CPA的实务操作提供了依据。
以上可以看出,风险导向审计在我国审计实务中运用还很少,但在理论上和准则制定方面都有了较好的基础,尤其新准则的更将推动风险导向审计的运用。
二、我国新审计准则的核心――现代风险导向审计
我国新审计准则体系在借鉴了IAASB 的新国际审计风险准则(2003) 的基础上,全面引入现代风险导向审计模式。其中最能体现这一核心的准则包括:中国注册会计师审计准则第1101号“财务报表审计的目标和一般原则”、1211号“了解被审计单位及其环境并评估重大错报风险”、1231号“针对评估的重大错报风险实施的程序”和1301号“审计证据”。这4项准则,全面列示了风险导向审计模式中风险的评估和风险的应对等内容,下面将通过新旧准则的对比,来分析新准则在推进风险导向审计方面的改进。
1.审计风险要素的变化导致审计风险模型的转变
旧准则第9号(1996)第三条:审计风险,是指会计报表存在重大错报或漏报,而CPA审计后发表不恰当审计意见的可能性。它包括固有风险、控制风险和检查风险。新准则第1101号“财务报表审计的目标和一般原则”第十七条:审计风险是指财务报表存在重大错报而CPA发表不恰当审计意见的可能性。第十八条:审计风险取决于重大错报风险和检查风险,CPA应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险。
审计风险模型要素的变化使得风险模型从:审计风险=固有风险×控制风险×检查风险,转变成:审计风险=重大错报风险×检查风险。
从风险模型的转变上可以看出,新准则引入了“重大错报风险”这一要素,但这并不是将固有和控制风险简单的合并,而是将战略管理理论引入其中,对风险的认识提升到一个新的层次。新准则要求以评估重大错报风险为导向、以“审计风险控制到位”为理念,来合理设计审计工作,履行审计责任,实现审计目标。
2.针对不同层次的重大错报风险采取不同应对措施
新审计风险模型中的“重大错报风险”包括财务报表整体层次和认定层次的重大错报风险。其中,前者是指财务报表整体不能反映企业经营实际状况的可能性;后者是指交易类别、账户余额、披露和相关的其它具体认定层次经济事项本身的性质和复杂程度与实际不符,企业管理当局由于本身的认识和技术水平,以及由于企业管理当局局部或个别人员舞弊或造假造成错报的可能性。
新的风险模型要求CPA区分财务报表层和认定层,评估重大错报风险,对于报表层重大错报风险确定总体应对措施,第1231号“针对评估的重大错报风险实施的程序”第五条详细列出了可采用的总体应对措施。而对于认定层次重大错报风险应设计和实施进一步审计程序。其中“进一步审计程序”是指CPA针对评估的各类交易、账户余额、列报(包括披露)认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。
原有的风险准则和模型尽管也提到要评估财务报表层的固有风险,但并没有明确指出要针对其采取总体应对措施,也没有强调评估的报表层错报风险对认定层总体审计方案的重大影响。这容易导致不重视对报表层错报风险的评估,忽视在报表层运用风险模型,割裂报表层和认定层错报风险间的联系,难以发挥风险模型的效用。
3.审计风险模型的转变促成审计业务流程的改进
旧准则依据“审计风险=固有风险×控制风险×检查风险”,把审计业务流程分为四部分:(1)了解被审计单位情况,评估固有风险;(2)了解内部控制;(3)(必要时)控制测试,评估控制风险;(4)实质性测试,降低检查风险。第1部分由原准则第21号“了解被审计单位情况”来规范,其他部分由第9号“内部控制及审计风险”来规范。
新准则依据“审计风险=重大错报风险×检查风险”,把审计业务流程分为三部分:(1)了解被审计单位及其环境,包括内控(为评估报表层、认定层重大错报风险);(2)(必要时)控制测试(为测试内控的有效性,并据此重新评估认定层重大错报风险);(3)实质性程序(为发现认定层重大错报,降低检查风险),其中2、3部分即前面提到的“进一步审计程序”。新准则第1211号“了解被审计单位及其环境并评估重大错报风险”对流程第1部分进行规范,第1231号“针对评估的重大错报风险实施的程序”和第1301号“审计证据”对第2、3部分进行规范。
流程改进后,要求CPA将风险评估作为整个审计工作的前提和基础,全程关注报表重大错报风险。可见,能否合理评估报表重大错报风险,将成为衡量事务所及CPA专业胜任能力、考验审计质量的关键因素,这将对我国不少事务所现行审计思路和整体胜任能力提出严峻挑战。
此外,新准则还特别强调了CPA应保持职业怀疑态度以提高发现重大错报的概率、强调审计项目组内讨论的积极作用以共享审计经验和资源等,这些以往都没有涉及。当然,新的准则和模型并没有改变审计目标和责任的基本定位,只是改进了审计理念和工作方法,以指导CPA更好地实现审计目标和履行职业责任,服务于社会公众。
三、新审计准则对推广风险导向审计的作用和要求
新审计准则在为CPA执业提供指导的同时,也强调了CPA的执业责任,因此在运用好新准则的基础上大力推广风险导向审计,应从以下几个方面入手:
1.全面树立风险审计理念
审计实务要遵循审计准则,首先要求CPA摒弃传统审计观念,全面树立风险导向审计理念,同时掌握相应的审计方法和程序。在审计实务中,CPA应将风险导向审计与制度基础审计、账项基础审计结合起来运用,即在风险导向审计观念下,客观评价被审计单位外部环境、内部控制制度,发现会计报表重大错报风险,对评价出的高风险领域,实施详细的账项审计,从而有效地控制风险,节约审计成本。
2.努力提高审计人员素质
审计人员素质是影响风险导向审计推广效果的关键因素。新准则要求CPA审计时要全面了解被审计单位的情况,即CPA应具备与客户所在行业与企业相关的知识结构。与此同时,会计师事务所也要实现队伍的优化组合,并对项目审计小组进行科学配备。新准则强调,审计执业中,CPA必须坚持职业怀疑态度,这对CPA的职业道德修养有了更高的要求,防止审计行为走向极端。另外,CPA协会应该加强培训,扩大及方便CPA对各行业政策、知识的学习,增强专业判断能力,以适应风险导向审计应用的要求。
3.建立健全企业内控机制
一、中国内部控制审计存在的主要问题
(一)审计工作缺乏相应的制度保障
目前中国出台了针对证券公司的内部控制有效性应当由独立审计人员进行评估并发表审计意见的相关政策法规,例如《企业内部控制基本规范》、《首次公开发行股票并上市管理办法》和《证券公司内部控制指引》等。但是如何审计目前还没有具体的操作规则。在财务舞弊、金融诈骗层出不穷的今天,政府制定一个能够帮助企业预防和发现内部控制重大缺陷或实质性漏洞的相关制度规定是必要的,准则的制定具有了制度的保障,一方面可以有效执行财务报告内部控制的审计标准,另一方面可以有效地遏制财务舞弊的发生。
(二)内部控制标准缺乏统一性和科学性
相关监管部门应该根据具体情况,制定统一的、科学的内部控制标准,以便更好提供和评估内部控制报告。由于中国企业的内部控制还缺乏经验,所以对相关监管部门颁布类似COSO报告框架的标准是非常有必要的,为中国的上市公司管理有效的设计和对财务报告体系的评价提供一个统一的标准,并能有效地实施内部控制。
(三)内部控制相关准则缺失
为了提高财务信息披露的质量,促进市场经济快速、健康发展,中国上市公司应加快企业内部控制自我评估报告,尽快建设对上市公司内部控制的编制制度,强制要求上市公司的内部控制必须进行审计,要尽快制定内部控制审计准则,提高审计质量,控制审计风险成本,充分发挥审计作用。
二、国外内部控制审计经验对中国的启示
(一)坚持成本效益原则
成本效益始终是影响内部控制审计实施的重要问题。从美国、日本等国的经验可以看出,最终会影响到中国企业内部控制审计发展的成本效益问题必须得到解决。中国内部控制审计的有效实施,在审计准则的制定时必须防范审计策略的成本过高问题;在实施审核时还必须控制审计成本的降低对策。降低成本是解决审计成本过高的根本对策,而降低成本的一个有效途径就是整合企业财务报表审计和内部控制审计。在实施审核时,可以实现同时满足内部控制测试和实质性测试的两个目标的审计程序,以降低成本,从而提高收益。
(二)制定内部控制审计的评价标准
内部控制属于一项鉴证业务,并且独立于审阅业务和历史财务信息审计业务。在执行后两项审计业务时,企业及其相关人员必须遵循企业会计制度规定和依据会计准则办事。同样,在进行企业内部控制审计时,CPA也需要有一定的评价标准去遵循,而该标准是否合理直接影响着整个审计意见的发表。对财务报告内部控制的审计和评价标准的制定比较困难,因为该项审计的对象属于非财务数据,本身又具有特殊性。
(三)制定内部控制审计的应用指南及相关审计准则
控制审计的应用指南及相关审计准则的推出非常必要,也很关键。中国相关监管部门的重点工作应该放在研究审计实践中出现的不同情况,并在学习实践中不断完善。目前,中国还没有统一完整的内部控制体系,尤其是以企业财务报表内部控制为核心的审计体系更是缺乏。据于财务报表内部控制审计的重要性,建立一套完整的内部控制审计指南和相应的审计准则尤为重要。如果对财务报告的编制过程中没有评估和审核,那么财务报告也就没有参考的意义。只有保证财务报告内部控制系统的设计和实施是有效的,才能在合理的范围内,通过审计进一步确定财务报告过程的有效性,从而为财务报告审计做好基础。我们应该借鉴美国、日本等发达国家的有益经验和实践做法,并结合中国企业内部控制的具体情况,制定行之有效的内部控制审计的应用指南及相关审计准则。
(四)重视信息技术在内部控制审计中的应用
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1 IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEM AUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.2 2001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2 IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5 IS审计信息化建设效益低
2.6 IS审计成本不断攀升
2.7 IS审计业务水平不满足信息化发展的的要求
2.8 IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。
运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急: