时间:2022-08-26 22:32:51
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇内部控制审计报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
2008年颁布的《内部控制基本规范》提出上市公司可聘请会计师事务所对内部控制的有效性进行审计。2010年4月《企业内部控制配套指引》指出企业“应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告”,同时给出内部控制审计报告的参考格式。在此背景下,本文将对我国上市公司内部控制审计报告的披露现状及问题进行研究。
一、我国上市公司内部控制审计报告披露现状
本文选取2010年沪市A股年报中自愿披露内部控制审计报告的上市公司为研究对象,共239家。其中有9家上市公司虽然声称披露了核实评价意见但找不到具体的意见报告,还有7家只在内部控制评价报告中简要说明了审计意见。因此,实际以报告形式披露内部控制审计意见的共有223家。在内部控制基本规范和配套指引之后,我国披露内部控制审计报告已经有很大的改善,具体表现在:
首先,数量上有所增加。沪深两市在2007年报中仅有175家披露了审计师对管理层自我评价报告的审核意见,筛选之后只有156家,而在基本规范和配套指引之后2010年仅沪市A股就有223家,数量上大幅增长。
其次,内容上逐渐规范。223份报告中只有1份没有管理层的责任、4份缺少内部控制固有缺陷的描述,其余都包括管理层或董事会对内部控制的责任、注册会计师的责任、内部控制的固有局限性和财务报告内部控制审计意见这四个部分,基本符合配套指引所给出的内部控制审计报告的参考格式。
二、我国上市公司内部控制审计报告存在的问题
第一,我国上市公司内部控制审计报告名称混乱。虽然沪市A股中有223家公司的年报声称披露了审计机构对公司内部控制报告的核实评价意见,但是报告名称却包括“内部控制制度报告”、“自我评估报告的核实(审核)评价意见报告”等多种。其中,真正以“内部控制审计报告”命名的报告只有15份,仅占6.73%,而最多的“内部控制(专项)鉴证报告”有110份,占比49.33%。然而,鉴证、审核、核实评价等词并不能与审计等同,主要体现在保证程度的不同。以审核为例,内部控制审核提供的是有限保证,内部控制审计提供的则是合理保证,审核不可随意替代审计。名称的不一致不仅会使内部控制审计报告难以在格式上形成统一规范,还会影响利益相关者对报告的查阅和理解。
第二,内部控制审计报告中披露的几乎都是标准审计意见。企业内部控制审计指引中给出了四种内部控制审计报告的参考格式:标准(无保留)、带强调事项段的无保留意见、否定意见和无法表示意见。然而,在样本数据中,除了1份没有表示具体意见的报告,其余全为无保留审计意见。这可能是由于上市公司不愿披露非标准审计意见的报告,但是更多的还是因为会计师事务所未保持独立性,多为附和被审公司的要求而出具无保留意见,使内部控制审计流于形式。
第三,内部控制审计报告中极少涉及非财务报告内部控制。企业内部控制审计指引指出,在内部控制审计报告中应增加“非财务报告内部控制重大缺陷描述段”,意味着企业内部控制审计的范围应包括非财务报告内部控制。然而,在223份中只有1份内部控制审计报告简单提及非财务报告内部控制,其余报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性,对非财务报告的内部控制并无涉及。这与内部控制配套指引尚未正式在上市公司实施有关,更是因为长久以来人们将内部控制片面理解为与财务报告有关,忽视了非财务报告的内部控制。
三、改进我国上市公司内部控制审计报告的建议
第一,加快制定专门的内部控制审计准则。目前,我国上市公司内部控制审计报告的披露有所改善,但是仍存在不少问题。主要是因为基本规范和配套指引只是对上市公司给出指导和建议,并不具有法律上的强制力,即使上市公司不遵循,也没有相应的处罚措施,上市公司的执行力度较低。所以,应当制定专门的内部控制审计准则,在准则中强制要求上市公司披露内部控制审计报告,并统一规定报告名称和格式。
第二,加强会计师事务所独立性。针对会计师事务所普遍出具无保留意见的情况,首先我国会计师事务所应加强对注册会计师的职业道德教育以保持形式和实质上的独立,其次承接内部控制审计的事务所应定期更换,最后注册会计师协会应加强对会计师事务所的监管。
第三,转变对内部控制审计的认识。无论是会计师事务所还是上市公司都应转变对内部控制审计的认识,要认识到非财务报告内部控制的重要性,在进行内部控制审计的时候,既应当对财务报告内部控制的有效性进行审计,还应当对非财务报告内部控制中存在的问题进行说明。
参考文献:
1、企业内部控制基本规范,企业内部控制配套指引[M].法律出版社,2010.
2、袁敏.上市公司内部控制审计问题与改进――来自2007年年报的证据[J].审计研究,2008(5).
【摘要】2011 年以来我国内部控制审计报告出具的数量逐年递增,与此同时,非标准的内部控制审计意见报告所占比例也有所上升。本文选取了2013 年度内部控制审计报告以及财务报表审计报告均为非标准意见的代表企业华锐风电,以及内部控制审计报告为非标准意见但财务报表审计报告为标准无保留意见的代表企业上海家化进行案例分析。对非标准内部控制审计意见与财务报表审计意见之间的关系进行了研究。
【关键词】审计意见 审计报告 内部控制审计 财务报表审计
一、引言
2007 年,美国公众公司会计监督委员会公开了第5 号审计准则,《与财务报表审计整合的财务报表内部控制审计》,准则规定了内部控制审计程序以及内部控制的方法,准则还表示要尽量在导致财务报表发生重大错报之前找出内部控制的重大缺陷。2008 年,财政部、审计署、证监会、银监会等联合了《企业内部控制基本规范》,该规范要求在深市和沪市上市的公司应对本公司的内部控制有效性进行自我评价,并且公开披露企业年度的内部控制自我评价报告,在进行审计业务时,需聘请具有专业资质的会计师事务所来进行企业内部控制有效性的审计活动。2014 年,财政部联合证监会了《公开发行证券的公司信息披露编报规则第21 号——年度内部控制评价报告的一般规定》,明确了内部控制评价报告构成要素,需要披露的主要内容及相关要求。
被出具非标准财务报表审计意见的上市公司数量自2011 年以来逐年递减,且所占百分比也在逐年降低,然而被出具非标准内部控制审计意见类型的上市公司数量自2011 年以来却逐年增加,且所占百分比也逐年增加。本文选取了2013 年度内部控制审计报告以及财务报表审计报告均为非标准意见的代表企业华锐风电,以及内部控制审计报告为非标准意见但财务报表审计报告为标准无保留意见的代表企业上海家化进行案例分析,旨在探究内部控制审计意见对财务报表审计意见的影响。
二、内部控制审计报告与财务报表审计报告披露现状分析
(一)2011—2013 年上市公司财务报表审计报告意见汇总
中国注册会计师协会公布数据,截止2014 年4月30 日,共有40 家证券资格的会计师事务所为来自深市与沪市的2 534 家上市公司出具了2013 年年度财务报表审计报告,在这些财务报表审计报告中,包含有2 450 份标准无保留的审计意见,57 份带强调事项段的无保留意见,22 份保留意见,以及5 份无法表示意见的审计报告。见表(1)。
与此同时,截至2014 年4 月30 日,共有40 证券资格的会计师事务所为来自深市与沪市的1 141家上市公司出具了2013 年年度内部控制审计报告。在这一千多份的内部控制审计报告中,有1 096 份是标准无保留意见内部控制审计报告,35 份是带强调事项段的无保留意见,9 份否定意见,以及1 份无法表示意见的内部控制审计报告。见表(2)。
(二)2011—2013 年上市公司内部控制审计报告意见汇总
(三)2011—2013 年被出具非标准内部控制审计报告的上市公司财务报表审计意见汇总
同时被出具非标准财务报表审计意见和非标准内部控制审计意见的上市公司2011 年没有,2012年只有6 家,在2013 年却达到了21 家。
(四)非标内部控制审计报告增加原因分析
(1)内部控制缺陷造成影响逐渐增大。近年来内部控制的相关法规细则不断颁布出来,从框架结构到具体内容不断细化。尤其是在2014 年最新的《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》,明确了内部控制评价报告构成要素,说明了需披露的内容及要求,并且还提供了可供注册会计师参考的内部控制审计报告模板。因此,内部控制评价向着更加规范化、标准化的方向发展。
(2)审计意见的客观性进一步提高。注册会计师在内部控制审计方面的专业性越来越高,经验越来越丰富,同时职业道德也有所提高,敢于披露被审计单位内部控制的缺陷。
(3)企业内部控制重视程度提高。认识到内部控制对于企业发展的重要性,积极接受注册会计师出具的内部控制审计意见,并在内部控制自我评价报告中披露,提出解决问题的可行性计划和方案。
三、内部审计报告与财务报表审计报表案例分析
(一)案例背景
华锐风电科技股份有限公司是一家以风电为主的新能源企业,主要进行不同风电机组的研发、制造和销售。华锐风电公司在2013 年度被同时出具了非标准的内部控制审计报告和财务报表审计报告。其中,内部控制审计意见为否定意见,财务报表审计意见为保留意见。上海家化联合股份有限公司是我国化妆品行业中第一家上市企业,产品覆盖化妆品、家居护理用品等,拥有国际水准研发以及广大的消费市场。上海家化2013 年年度审计报告中,内部控制审计意见为否定意见,但财务报表审计意见却为标准无保留意见。
(二)案例分析
1. 华锐风电
(1)华锐风电公司未能对实物资产实行有效控制,在对2013 年年末的存货进行了全面清查后,发现了账实不符的情况,实物相比较账面金额,存在126 853.54 万元的短缺。由于公司对于存货盘点结果尚未核对完成,因此,在尚未获得充分、适当的审计证据的情况下,注册会计师无法实施必要审计程序,从而对于盘点结果以及由此所影响的存货、资产减值损失、管理费用等会计科目无法确认。并且在对应付账款进行函证时,发现了较多往来不符的情形,在该情形下注册会计师认为无法实施替代程序以获取充分、适当的审计证据。
(2)华锐风电公司2013 年年末在其母公司财务报表上确认了递延所得税资产32 924.13 万元。但在此之前华锐风电已连续两年出现亏损。其中母公司在 2012 年与2013 年分别取得利润总额为-71 011.26万元和-331 244.50 万元。因对华锐风电公司未来的盈利情况不确定,注册会计师认为无法确定这一事项对公司财务报表的影响是否恰当。
(3)华锐风电公司于2013 年 5 月、 以及2014年 1 月分别收到来自中国证监会的两封《立案调查通知书》,证监会决定开始对华锐风电公司进行立案调查。截至到审计报告签发日,证监会的相关调查工作仍未结束,因此,注册会计师无法判断调查结论可能对华锐风电公司财务报表产生的影响。
2. 上海家化
(1)由于上海家化并没有披露与吴江市黎里沪江日用化学品厂的关联交易事项,并且于2013 年11 月收到了来自中国证监会的《行政监管措施决定书》,认定上海家化在2009 年至2013 年与沪江日化发生的关联交易违反了相关的法律法规。注册会计师认为,上海家化对关联交易未能进行有效控制,并且由于关联方交易的未能及时识别会影响财务报表中与关联方有关的数据的完整性以及准确性,导致内部控制设计的失效。虽然上海家化在2013 年12 月表示对上述缺陷已进行了整改,但因为运行时间不长,因此不能认定整改有效。
(2)注册会计师认为上海家化在2013 年以前及之后与代加工厂发生的委托加工交易在会计处理方法上不一致,由此认定部分上海家化子公司并未建立销售返利以及运输费等有关的内部控制。这一缺陷会导致财务报表中涉及销售费用和运输费用等相关交易的完整性、准确性以及截止性产生偏差,因此认定相关内部控制设计失效。
(3)注册会计师发现在2013 年12 月31 日的财务报表中,财务人员将本应计入其他应付款科目的费用计入了应付账款科目,影响到财务报表多个会计科目的准确性,因此认为上海家化的财务人员的专业素养不够,造成会计处理的差错。注册会计师说明在2013 年年度财务报表审计中,已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。因此,否定的内控审计意见并未对上海家化2013 年年度财务报表出具的审计报告意见产生影响。然而在华锐风电内部控制审计报告中看出,由于对存货等实物资产缺乏有效的内部控制,导致了财务报表审计报告中保留意见事项一、二对资产负债表中的“存货”“应收账款”“资产减值损失”“管理费用”“销售费用”等会计科目产生重大影响,这些重大缺陷都是属于财务报表层次产生的。因此可以看出,内部控制审计意见与财务报表审计意见关系紧密,内部控制财务报表层次的缺陷会对财务报表审计报告意见产生重大影响。
四、结论
华锐风电公司与上海家化公司2013 年度的内部控制审计报告均被出具了否定的意见,华锐风电被出具的财务报表审计报告是保留意见,上海家化被出具的财务报表审计报告却是标准无保留意见。本文分析,只有当内部控制出现财务报表层次缺陷时,才会对财务报表产生影响,从而引发财务报表审计非标准审计意见的出现。在关注非标准的内部控制审计意见时,应注意报告中所涉及的缺陷是否为财务报表层次的缺陷,如果是则对财务报表审计意见影响大;如果否则对财务报表审计意见影响较小。另外,即使企业当年被出具了非标准的内部控制审计意见,并且内部控制缺陷为非财务报表层次,但由于其所具有的滞后性,仍然有可能会影响到以后年度的财务报表审计报告的意见。
参考文献
[1] 蔡吉甫. 我国上市公司内部控制信息披露的实证研究[J]. 审计与经济研究,2005,(05).
[2] 潘芹. 内部控制审计对审计意见的影响研究——基于2009 年我国A 股公司数据[J]. 财会月刊,2011,(09).
[3] 李颖琦,陈春华,俞俊利. 我国上市公司内部评价信息披露:问题与改进——来自2011 年内部控制评价报告的证据[J]. 会计研究,2013(08).
[4] 吴寿元. 我国企业内部控制审计现状及相关建议[J].中国注册会计师,2013,(10).
[5] 张龙平,陈作习. 财务报告内部控制审计与财务报表审计的整合研究(上)[J]. 审计月刊,2009,(05).
[6] 张龙平,陈作习. 财务报告内部控制审计与财务报表审计的整合研究(下)[J]. 审计月刊,2009,(06) .
[7] 李晓红. 2012 年度上市公司非标准内部控制审计报告分析[J]. 中国总会计师,2013,(09).
[8] 王美英. 上市公司内部控制审计报告分析[J]. 会计之友,2013,(02).
[9] 刘玉廷,王宏. 提升企业内部控制有效性的重要制度安排[J]. 会计研究,2010,(07).
[10] Songtao Mo. The information content of audit opinions in the post-SOX [D]. Department of Accountancy of Case Western Reserve University. 2009 .
【关键词】内部控制信息披露;内部控制审计报告;盈余质量
一、引言
内部控制信息披露是指管理当局将公司与内部控制相关的信息,包括内部控制的设计、实施、运行、监督、评价等相关信息以一定的报告形式向外部信息使用者公开,从而有助于使用者做出正确的决策。2000年,证监会颁布了《公开发行证券公司信息披露编报规则第1-6号》,该规定要求金融企业在招股说明书中专设一部分对其内部控制制度的有效性进行说明,且会计师事务所应以内部控制评价报告的形式对上述情况作出报告,并呈报证监会。上交所和深交所分别于2006年和2006年了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,要求上市公司披露内部控制鉴证报告,标志着我国上市公司内部控制信息披露进入了强制披露阶段。2008年,五部委联合制定了《企业内部控制基本规范》,鼓励有条件的公司聘请审计机构出具财务报告内部控制鉴证报告。2010年,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制配套指引》,强制要求在境内外同时上市的公司以单独报告的形式披露内部控制审计报告。本文基于沪市A股公司披露的内部控制信息,探讨随着内部控制信息披露的改善是否伴随着高质量的盈余质量。
二、研究设计
1.样本选取与数据来源。本文所选样本均来自沪市A股上市公司,样本筛选中剔除金融保险类上市公司;根据证监会2013年行业分类,剔除每年上市公司不足20家的行业。经过筛选,共选取2979个样本。本文所用的财务报告和财务数据来自巨潮资讯网和国泰安数据库,对样本中内部控制信息披露的查阅和统计由作者手工翻阅上市公司年报完成。
2.研究假设。高质量的内部控制能够限制对外报告信息的故意操纵,降低会计处理和财务报告中无意的程序和估计差错风险,减轻可能影响财务报告信息质量的企业经营和战略的内在风险。由此提出假设1:
H1:公司内部控制披露质量与盈余质量正相关。
内部控制内嵌于企业管理,是一个需要持续调整的过程,随着企业自身的发展与外界环境的变化,原本有效的内部控制可能变得不合理。因此,当企业对内部控制持续关注、持续评估时,这类企业的盈余质量可能更高。由此提出假设2:
H2:持续进行内部控制信息披露的公司盈余质量更高。
3.变量定义。
1)被解释变量。本文将盈余质量作为被解释变量。采用可操控性应计作为盈余质量的替代变量。用基于年度、行业的修正琼斯模型,来预计上市公司的可操纵利润额DA,即下述模型中的残差项ξi,t,
TAi,t,第t年第i家公司的应计利润总额;TA,经营利润减经营现金净流量;Ai,t-1,第i家公司第t-1年总资产;ΔREVi,t,第t期销售收入和t-1期销售收入的差额;ΔRECi,t,第t期应收账款和第t-1期应收账款的差额;PPEi,t,第t期末的厂房,设备等固定资产。TA、(ΔREV-ΔREC)、PPE都除以上期期末总资产为公分母,以减轻异方差的影响。通过计算上述模型的残差,取绝对值即得到盈余质量的度量指标EQ(DA)。其中,EQ值越大,盈余质量越低。
2)解释变量。为支持研究假设,本文共设立个两解释变量,“是否同时披露内部控制自我评价报告和内部控制审计报告”,是则赋值为1,否则为0,用ICID表示;“是否连续三年披露内部控制审计报告”是则为1,否则为0,用CD表示。
3)控制变量。公司某些经营特征对盈余质量也产生影响,主要包括业务经营发展、财务状况、会计谨慎性、审计质量和公司治理等。本文将公司规模、总资产净利润率、资产负债率、营业收入增长率、ABC(总应计利润的绝对值占总资产的比重)、实质控制人性质是否为国有、董事长与总经理是否“二职合一”等作为控制变量。其中总资产净利润率为净利润与资产总额之,用ROA表示;资产负债率为总负债与资产总额之比,用LEVERAGE表示;公司规模取公司资产总额自然对数,用SIZE表示;实质控制人若为国有则赋值为1,否则为0,用OWNER表示;董事长与总经理是否“二职合一”,是则为1,否则为0用TOGETHER表示。
三、模型设定
内部控制信息披露质量对盈余质量影响的回归模型
为检验假设1,本文构建模型:
为检验假设2,本文构建模型:
四、实证分析
1.内部控制信息披露对盈余质量影响的描述性统计与相关性分析,各变量的描述性统计结果见表4.1。
从表4.1可以看出,被解释变量盈余质量的均值为0.07560056,极小值为0.00004036,极大值为2.03064113,盈余质量的变化区间较大,说明我国上市公司普遍存在非正常应计利润,即有调高利润的动机,同时也说明现阶段我国上市公司的盈余质量分布不均,存在较大差异。同时披露内部控制自我评价报告与内部控制审计报告的均值为0.21,说明现阶段我国上市公司同时披露两份报告的比例较低,连续三年披露内部控制审计报告的均值为0.11,说明现阶段我国内部控制审计报告的连续性披露较差。
限于篇幅限制,相关性检验表格不予列示。同时披露自评报告与内部控制审计报告、连续三年披露内部控制审计报告与盈余质量在0.01的水平(双侧)上显著负相关,相关分析结果支持假设1、假设2。在多元回归分析中,计算了各个自变量的方差膨胀因子(VIF),所有的VIF都小于2,不存在严重的多重共线性问题。
2.内部控制信息披露对盈余质量影响的回归分析。本文对模型(1)、模型(2)进行了多元回归分析,回归结果见表4.2。
由表4.2可以看出,ICID系数为负,与假设相符,说明公司同时披露内部控制自我评价报告与内部控制审计报告,能够有效降低应计盈余项目,使公司的盈余质量得到改善。CD的系数显著为负,说明连续三年披露内部控制审计报告的公司,能够改善公司的盈余质量,与假设一致。控制变量中,公司规模与假设不一致。可能由于公司规模大,其公司治理越完善,其可操纵盈余的空间越小。
五、研究结论
本文以我国2008 年至2011年上市公司内部控制披露的信息为研究对象,从盈余质量的角度对内部控制信息披露的效果进行了验证。检验发现:公司当年度同时披露内控自评报告与内控审计报告,可以有效降低应计盈余操纵,使盈余质量得到提升;连续三年披露内控审计报告的公司其盈余质量得到显著提升。
参考文献:
[1]董望,陈汉文.内部控制、应计质量与盈余反应——基于中国2009年A股上市公司的经验证据[J].审计研究,2011(4):68-77.
[2]张国清,赵景文.资产负债项目可靠性、盈余持续性及其市场反应[J].会计研究,2008(03):
51-57.
[3]孙文娟.内部控制信息披露与盈余质量的关系研究[J].财会月刊,2011(15):3-7.
[4]张龙平,王军只等.内部控制鉴证对会计盈余质量的影响研究——基于沪市A股公司的经验证据[J].审计研究,2010(2):83-89.
作者简介:
摘 要:以《企业内部控制基本规范》的颁布为契机,考察在法规约束前提下我国上市公司内部控制审计现状。2009年和2010年的年报数据表明,上交所有多于半数的企业并未遵循《企业内部控制基本规范》的要求,我国内部控制审计的披露程度较低。一方面,这和我国相关法规的强制力不足有关;另一方面,也和我国内部控制审计规范体系的不完善有关。由此,我国应制定详细的内部控制审计准则并完善审计报告的标题、类型、内容和格式,以促进我国内部控制审计实践的健康发展。
关键词:内部控制审计;财务报告内部控制;内部控制;内部控制基本规范
On the Present Internal Control Audit and the Improvement of Audit Standard System in China
- Based on the Research of Annual Reports Data in 2009 and 2010 from Shanghai Stock Exchange
TAO Lijuan
(International Business School, Qingdao University, Qingdao Shandong, 266071, China)
Abstract:
Taking the opportunity of the issuance of Companies’ Internal Control Basic Norms, this paper studies the present internal control audit of listed companies restrained by laws and regulations in China. Annual reports data of the listed companies in 2009 and 2010 show that more than half of the companies in Shanghai Stock Exchange failed to follow Companies’ Internal Control Basic Norms. Internal control disclosure in China is left too much to be desired, which is resulted from the insufficient mandatory force of laws and regulations and the incomplete internal control audit standard system. Therefore, the government should establish specific internal control audit standards and revise the audit report title, types, content and format to improve the internal control audit practice in China.
Key words:
internal control audit; internal control over financial reporting; internal control; internal control basic norms
一、制度背景
1999年修订的《会计法》,第一次以法律的形式对企业建立健全内部控制提出了原则要求。随后,为加强内部控制建设,保证财务报告可靠,财政部规定从2001年6月起所有公司均应建立和维护有效的内部会计控制,并制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。中国人民银行、中国证监会、国务院国资委等部门也先后颁布了多个关于内部控制的文件。2006年,上海证券交易所和深圳证券交易所先后颁布了《上市公司内部控制指引》,强制要求上市公司的董事会在披露年报的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。为了适应国际内部控制发展的大趋势,同时解决“政出多门、要求不一”的问题,2006年,由财政部牵头的六部委成立了“企业内部控制标准委员会”,并于2008年6月28日联合了《企业内部控制基本规范》(以下简称《基本规范》)。《基本规范》要求企业建立并实施内部控制,上市公司应当对本公司内部控制的有效性进行自我评估,披露年度自我评估报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。《基本规范》的颁布在我国内部控制监管史上具有划时代的意义,业界通常称之为“中国版的萨班斯法案”。 2010年4月26日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制配套指引》。该配套指引包括《企业内部控制评价指引》、《企业内部控制审计指引》和18项《企业内部控制应用指引》,连同此前的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
然而自《基本规范》颁布之日起,就面临诸多尴尬。首先,相对美国的萨班斯来讲,其法律约束力不足。萨班斯法案是由美国国会通过,对在美国上市的所有公司都有约束力的“法律”,而《基本规范》只是一个“部门法规”,约束力远不及萨班斯法案。萨班斯法案号称自20世纪30年代以来,美国监管最严苛的法律,对于违背萨班斯法案的处罚也极其严厉,而财政部《基本规范》没有规定具体处罚内容,很可能造成有法不依、执法不严、违法不究的情况。其次,面临其“先天不足”,《基本规范》似乎也有后天不严肃之嫌。[1]加之相关规定和配套指引在2010年之前并未出台,很多合规企业恐将无所适从。因此,本文认定,2009年和2010年,我国的内部控制披露介于强制披露和自愿披露之间,并倾向于自愿披露。本文将以《基本规范》的颁布为契机,在考察我国上市公司内部控制审计披露现状的基础上,探讨我国审计规范存在的问题并提出相关建议。
二、内部控制自我评估报告及审计报告披露状况
通过上海证券交易所的网站,笔者手工收集了2009年和2010年沪市上市公司的年报数据,调查了内部控制管理层自我评估报告和内部控制审计报告的披露情况,并阅读了自我评估报告和内部控制审计报告。具体来看,我国沪市上市公司内部控制审计的披露状况如下。
(一)仅有不到一半的企业遵循了《基本规范》的要求
2009年上交所868家上市公司中,有376家披露了内部控制自我评估报告,占上市公司总数的4332%,未披露内部控制自我评估报告的有492家,占上市公司总数的5668%;376家披露自评报告的企业中,有190家同时提供了内部控制的审计师报告,占上市公司总数的2189%,占披露自评报告企业总数的5053%。2010年上交所895家上市公司中,有400家披露了内部控制自我评估报告,占上市公司总数的4469%,未披露内部控制自我评估报告的有495家,占上市公司总数的5531%;400家披露自评报告的企业中,有203家同时提供了内部控制的审计师报告,占上司公司总数的2268%,占披露自评报告企业总数的5075%。具体比较信息见表1。
(二)多数审计师报告并不符合《基本规范》的要求
《基本规范》第十条指出,“接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。”由此可见,我国的内部控制审计属于直接报告的鉴证业务,注册会计师应直接对内部控制的有效性(鉴证对象)进行评价并出具鉴证报告,并且该鉴证报告应为信息使用者所获取并使用。但在阅读2010年年报时,笔者发现,虽有202家企业出具了审计师对内部控制的某种形式的报告,但并非全部满足内部控制审计的定义,这点可以从报告的标题以及报告中的部分措辞看出。
202家企业中,有些没有将审计师报告作为单独报告进行披露,因此这部分内容没有标题(也没有审计师签字)。作为单独报告进行披露的企业中,报告标题也五花八门:有的称为内部控制审核报告,有的称为内部控制审核评价意见,还有的称为鉴证报告、内部控制鉴证报告、××公司××年度内部控制评价报告、内部控制制度报告、××公司内部控制专项审核报告、××公司内部控制专项鉴证报告、××公司内部控制自我评估报告的核实评价意见、对××公司董事会关于公司内部控制自我评估报告的评价意见报告、关于××公司××年度内部控制自我评估报告的说明、对《××公司内部控制的自我评估报告》的专项说明等各种标题形式。
从这些标题可以看出,有些企业提供的是审计师对内部控制的鉴证意见(审计意见也即鉴证意见的一种),但有的是对内部控制的核实意见,有的是对管理当局自评报告的评价意见(这其实是基于责任方认定的业务,也即注册会计师对管理层对内部控制有效性的认定出具审计报告),有的仅仅是一项对管理当局自评报告的“说明”,并且部分报告的措辞也显示出:就我国法规对内部控制审计业务的要求来看,许多审计师报告并未恰当反映内部控制审计业务的实质内容。(比如,某份“说明”报告指出:“在审计过程中,我们研究与评价了我们所信赖的贵行与会计报表编制相关的内部控制,以确定我们实施会计报表审计程序的性质、时间及范围……我们的研究与评价是按照……以会计报表审计为目的而进行的,不是对内部控制的专门审核,也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。在研究与评价过程中,我们结合贵行的实际情况,实施了包括询问、检查、观察及抽查测试等我们认为必要的研究与评价程序……(内部控制固有局限段)……(意见段)……本说明仅作为贵行向中国证监会和上交易所提交2010年度报告之用,未经书面许可,不得用于其他任何目的。”)
此外,我们还发现,与传统财务报表审计报告不同,企业与企业之间提供的内部控制审计报告的内容和格式没有统一性。同时,审计师在执行内部控制审计业务时依据的执业准则也不统一,具体情况如表2所示。
内部控制审核指导意见713737%643168%中国注册会计师其他鉴证业务准则第3101号593105%864257%企业内部控制鉴证指引(征求意见稿)4211%4198%中国注册会计师准则第1211号201053%18891%上述条目的某种组合16842%8396%PCAOB AS NO53158%2099%其他11579%9446%未明确提及执业准则6316%11545%合计19010000%20210000%
从表2可以看出,审计师在执业过程中,遵循了不同的执业准则。其中遵循最多的是《内部控制审核指导意见》和《中国注册会计师其他鉴证业务准则第3101号》,再次是《中国注册会计师准则第1211号》。值得注意的是,有几家中美同时上市的公司,其内部控制审计并未依据国内的任何准则,而是遵循了美国公众公司会计监管委员会(PCAOB)制定的审计准则5号。
(三)审计基准日和参照的内部控制框架不统一[2]
虽然内部控制的设计和执行是个连续的过程,但如果对整个年度的内部控制有效性发表意见,那么审计重点是内部控制在整个年度内是否一直有效,这种审核成本相对较高。考虑到注册会计师的时间和精力、与会计报表审计的整合等因素,我国《审计指引》要求注册会计师对特定基准日内部控制的设计和运行的有效性发表意见。在2010年披露内部控制审计师报告的202家企业中,有196份是对截至12月31日企业内部控制的有效性发表意见(有19份报告没有明确说明基准日,177份在引言段或意见段明确指出了12月31的基准日),有两家是对2010年年度内部控制的有效性发表意见。(另有4家在年报中指出出具了内部控制审核报告,但笔者在上交所网站并未找到相关数据。)
另外,审计师对内部控制的有效性发表意见,必须参照一个适当、公认的控制框架,并且在报告中做出明确说明。但笔者发现,在2010年的202份审计师报告中,有37份报告未明确说明审计师所参照的内部控制框架,120份报告参照了《基本规范》,27份报告参照了《内部会计控制规范――基本规范》,5份参照了《上海证券交易所内部控制指引》,3份指出遵循萨班斯法案的要求,参照了COSO框架,6份同时参照了《基本规范》和《上海证券交易所内部控制指引》,4份未找到数据。并且,这种框架的差异和事务所有关,同一家事务所给不同企业出具的审计报告,往往参考相同的内部控制框架。
三、内部控制审计规范存在的问题讨论及建议
总体来看,我国关于内部控制审计方面的披露程度较低,上交所有多于半数的企业并未按照《基本规范》的要求披露相关信息。一方面,这源于前述的特殊“半强制性”制度背景,法力约束力不足导致了企业违规成本较低,而主动披露内部控制评价和审计报告则毋庸置疑会引致成本。在有确定性证据表明内部控制审计报告的披露给企业带来的收益大于其成本之前,企业披露内部控制审计报告的动机必将受限。当然,内部控制审计报告的信息含量极其对各方的影响,也是未来值得研究的一个重要方向。另一方面,信息披露程度较低也和相关准则和配套指引的不完善有关,毕竟直到2010年4月各项配套指引才最终出台。但在内部控制审计领域,相关准则和规范仍有待改进。
(一)我国目前现存准则并非内部控制审计的恰当执业标准
在笔者查阅的内部控制审计师报告中,事务所主要提及了以下执业准则:中国注册会计师协会(以下简称中注协)于2002 年2 月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》(2008至2010年间为《内部控制鉴证指引(征求意见稿)》)。
《内部控制审核指导意见》第二条规定:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审核意见。”第二十九条规定:“注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用,被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”,“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前,内部控制审计已经从财务报表审计中独立出来,成为一项单独的审计鉴证业务,显然《指导意见》已不适合作为恰当的执业准则。
《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则,内部控制审计属于鉴证业务的一种特定类别,审计师以此为执业准则,具有原则指导性,但针对性明显不足。
《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务,注册会计师在编制审计计划时,应当了解被审计单位及其环境(包括被审单位的内部控制),对拟信赖的内部控制进行控制测试,据以确定实质性测试的性质、时间和范围。显然,该准则定位于财务报表审计业务,对内部控制的了解和测试,是作为财务报表审计业务的辅助部分展开的,而非为了对内部控制的有效性发表意见而进行的全面指引,显然,该准则也不完全适合于独立的鉴证业务――内部控制审计。
而美国在内部控制审计领域的法规演进,值得我们思考和借鉴[3]。2002年,美国出台了《公众公司会计改革和投资者保护法案2002》(萨班斯法案),该法案要求管理层设计有效的财务报告内部控制,报告财务报告内部控制的有效性,并要求外部审计师证实管理层报告的准确性,也即要求外部审计师对财务报告内部控制进行审计。
萨班斯法案要求成立独立的公众公司会计监管委员会(PCAOB),并授权美国证券交易委员会(SEC)对PCAOB实施监督。PCAOB负责监管执行公众公司审计业务的会计师事务所及其注册会计师,并有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等。作为对萨班斯法案的回应,2004年3月9日,PCAOB了《审计准则第2号――与财务报表审计相关的针对财务报告内部控制的审计》(AS No2),并于6月18日经SEC批准。AS No2关注对财务报告内部控制的审计工作以及这项工作与财务报表审计的关系等问题。考虑到法案的执行成本过高,PCAOB于2007年5月24日颁布了《审计准则第5号――与财务报表审计相整合的财务报告内部控制审计》(AS No5)。AS No5从审计计划、审计方法(由上而下、风险导向)、控制测试、评估缺陷、形成意见、内控报告、对他人工作的使用、获得他人的直接帮助等方面为内部控制审计提供了详细的指引。此外,AS No5还以附录的形式对重要概念和术语以及特殊情形作了说明,从而进一步完善了财务报告内部控制审计准则。2007年7月25日,SEC批准了该准则,并明确表示会计年度在2007年11月15日及其之后结束的上市公司审计工作都将用第5号审计准则来代替原来指导404条款执行的第2号审计准则。
(二)对我国内部控制审计法规的建议
针对目前我国现存准则存在的不足,并结合美国的做法,笔者就我国的内部控制相关法规建设提出如下建议。
1制定详细的内部控制审计准则
在本文第二部分,笔者发现审计师在执行内部控制审计过程中,参考了不同的执业准则,而根据前文的分析,有些准则的目标定位和目前已成为独立常规业务的内部控制审计并不相符。2010年最终颁布的《内部控制审计指引》,也未明确指出审计师执行内部控制审计时应参考的具体准则,而是在其后附的“内部控制审计报告”参考格式引言段中指出:“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了……”
首先,《审计指引》仅对内部控制审计提供了原则上的指导,涉及审计计划、审计方法、控制测试、缺陷认定及缺陷评价、形成结论并出具报告等具体内容时,指导性明显不足。这也是为什么很多事务所不得不参照《内部控制审核指导意见》、《中国注册会计师其他鉴证业务准则第3101号》、《中国注册会计师准则第1211 号》等准则的原因之一。
其次,对内部控制的测试和评价业务已从传统的财务报表审计业务中独立出来,并由原来的一次性业务或面向特定企业的业务(原来仅要求A 股企业在首次公开发行时提供、赴美国和日本等地上市的企业和金融证券保险等高风险行业提供)变成了与财务报表审计并列的经常性业务,与传统的财务报表审计相同,财务报告内部控制审计也是注册会计师的法定业务。
基于以上两点原因,借鉴美国的做法以及我国的财务报表审计准则,笔者认为,应在中国注册会计师执业准则体系鉴证业务准则中新增详细的内部控制审计准则,与目前的中国注册会计师审计准则、中国注册会计师审阅准则和中国注册会计师其他鉴证业务准则(分别简称审计准则、审阅准则和其他鉴证业务准则)并列,可命名为《中国注册会计师内部控制审计准则》,也可根据实际需要,制定详细的序列准则:《中国注册会计师内部控制审计准则XX号――审计计划/审计方法/控制测试/缺陷评估/审计意见/审计报告/特殊事项考虑/……》,原有的《中国注册会计师审计准则》更名为《中国注册会计师财务报表审计准则》。当然,考虑到财务报告内部控制审计和财务报表审计之间的关联性以及审计成本,也可参照美国的AS No5制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。新增内部控制审计准则之后的中国注册会计师执业准则体系如图1所示。
由中注协制定详细的内部控制审计准则,可以加强对内部控制审计工作的指导,维护注册会计师执业准则体系的系统性和完整性。参照PCAOB AS No5对财务报告内部控制审计报告的要求以及我国的财务报表审计报告的格式,在制定了新的内部控制审计准则之后,笔者建议将《审计指引》引言段中的“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了……”,改为“按照中国注册会计师内部控制审计准则,我们审计了……”。目前,对于在中美同时上市的公司,出于披露成本的考虑,注册会计师可遵循美国PCAOB制定的审计准则;随着审计准则体系的国际趋同,对于跨国上市的公司,注册会计师也可遵循国际审计准则或其他国家的相关准则。
2完善审计报告的标题、类型、内容和格式
我国《基本规范》要求企业提供注册会计师的内部控制审计报告。如前所述,从2010年披露的报告标题和内容可以看出,大多数企业有违《基本规范》的初衷,事务所并未严格按照《基本规范》和《配套指引》的要求出具对内部控制有效性的鉴证意见。
《审计指引》明确将报告标题命名为“内部控制审计报告”, 并且分标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告、无法表示意见内部控制审计报告四种类型,统一了报告的内容和格式。但该指引仍存有待商榷之处。
首先,《审计指引》指出“注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”由于注册会计师最终仅对财务报告内部控制的有效性发表意见,非财务报告内部控制重大缺陷是注册会计师在执行财务报告内部控制审计过程中“附带”注意到的内容,并非注册会计师的核心关注对象。因此,将审计师报告统一命名为“内部控制审计报告”仍有不妥,审计师的鉴证对象其实是“财务报告内部控制”,而非更宽泛意义的“企业内部控制”,笔者建议将该报告统一命名为“财务报告内部控制审计报告”。
其次,在财务报表审计中,报告类型包括标准无保留意见、带强调事项段的无保留意见、保留意见、否定意见和无法表示意见,而在内部控制审计业务中,则去掉了保留意见。当注册会计师在审计过程中(无论是财务报表审计还是财务报告内部控制审计)发现与被审单位存在对内部控制和内部控制缺陷的不同认识,两方无法达成一致意见,或者发现内部控制存在重要缺陷,但其严重性不足以发表否定意见时,审计师是否可以出具保留意见?
再次,前已述及,虽然内部控制的设计和执行是个连续的过程,但我国《审计指引》要求注册会计师对特定基准日内部控制设计和运行的有效性发表意见。因此,在内部控制报告的意见段中,有必要对此基准日做出明确说明,以免误导信息使用者,而《审计指引》并未强调该日期。参照传统的财务报表审计报告和美国PCAOB AS No5的规定,笔者认为,审计报告中应该规范对基准日期的说明,意见段修改为:“我们认为,根据《企业内部控制基本规范》(或其他公认的有效内部控制框架),截至201X年12月31日,XX公司在所有重大方面保持了有效的财务报告内部控制。”需要注意的是,这并不意味着注册会计师只测试基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况。按照指引的规定,注册会计师在对特定基准日内部控制的有效性发表意见前,需要获取内部控制在一段足够长的时间有效运行的证据,这段时间可能比企业财务报表涵盖的整个期间(通常为一年)短些,但必须足够长。因此,虽然是对企业12 月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是考虑了内部控制在此前的有效性,以及向前的延续性[4]。
最后,内部控制审计是一项独立的鉴证业务。《中国注册会计师鉴证业务基本准则》指出,鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果。具体到内部控制审计,注册会计师要对内部控制的有效性(鉴证对象)进行评价并出具鉴证报告,而对其进行评价必须参考一个适当、公认的标准(控制框架)。因此,内部控制报告中,应该明确说明注册会计师所参考的框架。前文我们发现,不同的注册会计师参考的框架并不完全相同,甚至同一份报告里面出现了两个不同的框架。
《审计指引》在意见段中明确标明“我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”但笔者认为,有关内部控制框架的选取,应该持开放的态度,而不仅限于我国的《基本规范》。关于框架的选取标准,可以借鉴美国SEC的做法。SEC最终规则33-8238要求管理层的评价必须依据由某一机构或团体依正当程序(包括要广泛征求公众对框架的评论)而建立的合适、可识别的框架,并且自评报告应披露该框架。SEC认为,一个合适的框架必须:(1)没有偏见;(2)对企业内部控制能形成合理一致的定性和定量评价;(3)充分完整,没有忽略那些会改变公司内部控制有效性结论的相关要素;(4)与评价财务报告内部控制相关。SEC指出,COSO框架满足它们的标准,但最终规则并不强制要求使用某一特定框架(如COSO框架),因为SEC认识到这样一个事实:在美国之外可能存在其他评价标准(比如加拿大的COCO框架),并且将来在美国可能也会发展出COSO以外的框架,它们符合法令的意图而不会减少投资者的利益[5]。
使用公开可获得的评价标准将会提高内部控制报告的质量,促进不同公司内部控制报告的可比性。因此,本文认为,《审计指引》应明确要求将注册会计师参考的评价标准列作审计报告的必要组成部分,该标准可以是《基本规范》,也可以是满足条件的其他适当、公允的框架。只要控制框架满足特定的条件(比如SEC最终规则列出的条款),那么都可以用作审计师的评价标准。《基本规范》满足前述要求,但这并不排斥事务所选取其他公认的适当框架。事实上,2010年的数据已向我们表明,事务所选取了不同的框架,除《基本规范》之外,还有《上海证券交易所内部控制指引》、《内部会计控制基本规范》和COSO框架等。
四、结语
对财务报告内部控制的关注,实质上是对财务报告可靠性要求的延伸。为了保证财务报告的可靠性,世界上许多国家都对保证财务报告可靠性的内部控制评价及其审计提出了要求。目前,内部控制系统已成为国家监管的一部分,不只是我国,许多国家的公司治理报告和改革法案都包含了对内部控制和内部控制报告的建议,世界各国对内部控制的重视达到了前所未有的高度。本文就以我国《基本规范》的颁布为契机,研究我国内部控制审计的现状,讨论我国内部控制审计规范体系存在的问题,并提出了自己的建议。由于本文数据均是手工收集,因此可能会存在疏漏和不准确之处;另外,本文仅选取了沪市的上市公司为调查对象,因此,有关我国目前内部控制审计披露的整体认识可能存在偏颇。
参考文献:
[1]陶黎娟.有关我国企业内部控制规范体系的几点探讨[A].见中国会计学会2010年学术年会论文集[C].北京:中国会计学会,2010:415-422.
[2]杨有红,陈凌云.2007年沪市公司内部控制自我评价研究――数据分析与政策建议[J].会计研究,2009(6):58-64.
[3]杨玉凤.内部控制信息披露国内外文献综述[J].审计研究,2007(4):74-78.
[4]杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].财务与会计,2010(10): 14-17.
[5]SEC. Final Rule: INTERNAL CONTROL OVER FINANCIAL REPORTING IN EXCHANGE ACT PERIODIC REPORTS[EB/OL].sec.gov/rules/final/33-8238.htm,2003.
收稿日期:2012-03-10
【关键词】 内部控制 审计 有效性
一、明确责任,签订业务约定书
为保证内部控制审计的有效性,企业应注意不能聘请为企业内部控制提供咨询的会计师事务所为其进行内部控制审计。注册会计师在实施内控审计之前,会在业务约定书中明确双方的责任。建立健全和有效实施内部控制、评价内部控制的有效性是企业董事会的责任。在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
二、计划审计工作
1、分析企业存在的风险,确定所需收集的证据。在计划审计工作时,注册会计师需要评价与企业相关的风险、与确定内部控制重大缺陷相关的因素等事项对内部控制的影响,选择拟测试的控制,确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注应越多。
2、利用其他相关人员的工作。在计划审计工作时,注册会计师应评估是否需要利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。通常企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。但是,注册会计师对发表的审计意见独立承担责任,其责任不因利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
三、实施审计
1、测试控制设计和运行的有效性。《审计指引》第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
2、测试企业层面控制。注册会计师应当关注:与内部环境相关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。
3、测试业务层面控制。注册会计师应当重点关注企业生产经营活动的重要业务和事项的控制,并进行测试。
4、测试与舞弊风险相关的控制。与舞弊风险相关的控制包括:针对重大非常规交易的控制;针对关联方交易的控制;与管理层的重大会计政策和会计估计相关的控制;针对期末财务报告中编制的分录和做出的调整的控制;能够减弱管理层伪造或不恰当操纵财务结果的动机和压力的控制等。
四、评价控制缺陷
注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来是否构成重大缺陷。下列迹象可能表明企业的内部控制存在重大缺陷:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
五、完成审计工作
1、获取管理层书面声明。注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容:企业董事会认可其对建立健全和有效实施内部控制负责;企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的重大缺陷和重要缺陷;对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺陷和重要缺陷,企业是否已经采取措施予以解决;在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。此外,书面声明中还包括导致财务报表重大错报的所有舞弊,以及不会导致财务报表重大错报,但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊。如果企业拒绝提供或以其他不当理由回避书面声明,注册会计师需要将其视为审计范围受到限制,可解除业务约定或出具无法表示意见的内部控制审计报告。同时,注册会计师需要评价企业拒绝提供书面声明对其他声明(包括在财务报表审计中获取的声明)的可靠性产生的影响。
2、沟通相关事项。注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,需要以书面形式与董事会和经理层沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。
3、形成审计意见。注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,以形成对内部控制有效性的意见。在评价证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。
相比而言,日本作为亚洲经济发达国家,其内部控制制度相对完善;而且日本作为我们的邻国,在文化上与我们有许多相似性,因此,他们的实施效果和推动过程中的困难,对我国内部控制制度的建立和健全有一定的参考价值。
一、中日企业内部控制审计的共同点
美国在1994 年和2004 年分别了《内部控制整体框架》和《企业风险管理框架》,这两部准则一直被国际上的很多国家采用为自己内部控制体系的模板,其中包括中国和日本。这样不仅可以与国际接轨,而且为公司境外上市提供便利。在规范方面,两国审计准则的设计目的是相同的,都是为了规范注册会计师执行业务,提高审计质量;在审计方法上,两国也都强调自上而下的审计方法,注册会计师都需要先识别风险,然后选择拟测试控制的基本思路。在执行方面,我国首次执行《审计指引》并出具审计报告的941 家企业,只有5 家被出具了非标准内部控制审计意见,占总样本的0.5%;在日本首次执行《准则》及《实施准则》的2670 家公司中,只有10 家被出具了非标准内部控制审计意见,占总样本的0.4%。该数据显示,中日两国企业的内部控制审计非标意见的比例都很低。相比较的是,美国在2004 年初次内部控制审计时该比例就要高出中日两国。其原因有三,一是由于亚洲与欧美文化、社会背景不同造成的;二是我国与日本都是指导性质的内部控制准则,而美国是详细性质的审计准则
二、中日企业内部控制审计的差异
1. 内部控制审计规范差异中日两国在借鉴美国COSO 框架的基础上,也都分别根据自己的国情进行相应修改,这就使得中日两国在规范的很多方面有不同的规定。下面笔者就两国在审计范围、审计主体、审计意见以及编制报告形式等四方面的差异进行对比分析。
(1) 审计范围:我国内部控制审计范围不局限于财务报告范围内,如果审计过程中发现了非财务报告内部控制重大缺陷,需要增加非财务报告内部控制重大缺陷描述段而日方则不同,审计范围只限定在财务报告范围内。
(2) 审计主体:我国注册会计师可以单独进行内部控制审计,亦可以与财务报表进行整合审计。而日方则要求内部控制和财务报表审计必须由同一事务所的同一合伙人完成。
(3) 审计意见:首先,形式上,我国注册会计师是直接针对被审公司内部控制情况发表审计意见,而日方则是间接对管理层出具的内部控制自我评价报告发表审计意见;在内容上,日本的内部控制审计意见类型有5 种,我国则为4 种,区别在当审计范围受到限制的时候,我国的《审计指引》要求注册会计师解除业务约定或出具无法表示意见的审计报告,而日方则需要注册会计师进行判断,当判断其重要性影响未达到对内部控制报告无法表示意见的程度时,要出具附有除外事项的有限定合理意见,并在审计实施概要中记载未能实施的审计手续,在内部控制审计报告中记载该事项对财务报表审计的影响。
(4) 编制报告形式:《企业内部控制审计指引》规定注册会计师独立发表内部控制审计意见,并编制单独报告;而日方则规定原则上内部控制审计报告与财务报表审计报告合并编制。
三、内部控制审计的执行情况差异
在执行效果上,由于我国内部控制审计指引要求比较严格,所以效果较好;而日方出于节省审计成本的考虑,导致内部控制审计效果不是很好。数据显示,我国首次执行新的《审计指引》时,只有3 家公司管理者出具非标准内部控制自我评价报告,但是有5 家被注册会计师给出了非标准内部控制审计意见;而日方首次执行《准则》及《实施准则》时,有65 家管理者出具非标准内部控制自我评价报告,却只有10 家企业被注册会计师给出了非标内部控制审计意见。可见,日方虽然节省了审计成本,但审计效果不佳。
( 三) 完善我国规范的建议内部控制制度是公司管理及公司文化的体现,好的内部控制制度可以保证财务信息真实,是预防财务舞弊的天然屏障。日本作为我们的邻国,他们在实施内部控制审计过程中的创新点以及遇到的问题,对我国内部控制审计的发展都有参考价值。因此笔者试图通过对日本内部控制审计的研究,总结出它的特色和不足之处,最后给出几点完善我国规范的建议以供参考。
1. 强调对IT 技术的运用与完善当前大型企业基本都有自己的ERP 或SAP 等管理系统,通过这些管理系统,企业管理者可以足不出户就了解到每个部门的运作情况及每名职员的工作完成情况。因此,在我国《审计指引》中,也应强调企业在内部控制上对IT 技术的使用与完善,一方面可以加强企业内部监管,另一方面也为外部内部控制审计提供便捷的获取信息的渠道。
鉴证业务和相关服务是注册会计师开展的两种业务类型,而对于鉴证业务而言,其又细分为直接报告和基于责任方认定。这主要是因为:第一,财务报表审计和内部控制审计从整体上可以划分为鉴证业务,也可以细分为基于责任方认定的业务,因此这两种业务类型都是基于责任方认定的保证业务。第二,财务报表审计和内部控制审计的根本目的都是为了把真实、准确的财务信息提供给报表使用者,而且二者都非常重视风险的导向,基于这样的内在联系,为了降低会计师事务所的审计成本,在最大程度上减轻被审计单位的各种负担,应整合审计内部控制和财务报表,这样不仅能够大大提高审计效率,降低审计中的风险,而且能够有效提高上市公司的财务信息质量。因此整合审计兼顾被审计单位、相关利益者和注册会计师行业利益的一项切实可行的制度安排。
二、整合审计可行性的分析
在审计实务中整合审计是可行的,主要是因为:第一,财务报表审计和内部控制审计这两种审计业务的目标都是为了使会计信息质量得到提高,从而使整合这两种审计业务在根本上存在可行性。第二,这两种审计业务都需要对内部控制进行了解和测试,有很多工作内容比较相近,可以相互利用工作成果,提高审计效率。第三,整合审计对注册会计师而言不仅能够有效控制审计风险,而且能够降低审计成本、最终实现审计目标。
三、在整合审计中需要实施的程序和方法
(一)审计计划阶段
在这个阶段注册会计师应把重要性的可接受程度确定下来,而在审计实务中财务报表审计和财务报告内部控制审计对重要性的可接受水平是一致的,注册会计师判断内部控制是否存在重大缺陷是通过测试内部控制是否能够对财务报表的重大错报行为提早防止和发现来进行。如果同一公司的财务报表审计和内部控制审计业务委托给同一注册会计师时,那么注册会计师就要结合这两种审计业务来制订相应的审计计划,同时应当评价对财务报表和内部控制产生重要影响的因素有哪些,及其对审计工作的影响程度,此外审计计划还应考虑风险评估、舞弊风险、公司规模、利用他人的工作等因素。
(二)风险评估
财务报表审计根据风险导向理念要求必须对被审计单位及其所处环境进行详细的了解,而这也是内部控制审计需要执行的程序,因此只需执行一次整合审计业务,对被审计单位内部环境了解的要求程度上,内部控制审计要高于财务报表审计,因此内部控制审计对内部控制的了解成果完全可以财务报表审计所利用。风险评估是注册会计师进行整合审计的基础,是注册会计师在财务报表审计时要充分识别和评估财务报表存在的重大错报风险,并以此设计和实施必要的审计程序来应对。风险导向、自上而下的审计方法应贯穿于内部控制审计的整个过程,源于企业层面的内部控制和对业务流程层面的内部控制统称称为内部控制,而源于企业层面的内部控制在其中起着决定性的作用,将对财务报表审计中实质性测试和内部控制审计中业务层面控制测试产生影响。
(三)舞弊的特殊考虑
第一,注册会计师在整合审计中可能会借助内部控制的一个或几个要素而发现存在的舞弊风险。第二,制订具体的措施来应对管理层舞弊的高风险领域,从而降低审计失败的风险。第三,因为无论是财务报表审计还是内部控制审计对舞弊的评估结果都是相关的,因此当注册会计师在内部控制审计过程中发现存在舞弊,就意味着内部控制需要完善,将对财务报表审计实施的实质性测试的范围、时间安排等产生影响。而如果财务报表审计种存在重大错报,也将对内部控制审计实施的控制测试的范围、时间安排产生影响。
(四)出具审计报告
注册会计师在最终形成审计意见并出具审计报告时应对识别的内部控制缺陷和发现的重大错报进行综合评价,并要考虑获得的审计证据是否适当、充分。整合审计的各个部分审计结论都是相互关联、互相支撑,内部控制包括财务报表审计的控制测试和内部控制审计的结果,注册会计师实施控制测试并对内部控制的有效性得出结论。因为这种控制既对财务报告内控的有效性产生影响,也对报表审计中的风险控制评估产生影响。目前我国仍然要求对两种审计要单独出具审计报告,而以后在这方面我们可以借鉴美国的审计准则,允许注册会计师在审计实务中选择单独或合并出具财务报表审计报告和内部控制审计报告。
摘要:国内外企业逐渐重视内部控制制度的建设,内部控制审计的重要性也显得日渐突出,部分公众公司的内部控制审计报告同财务报表审计报告均为必须披露的年度报告,然而两种审计项目之间既有联系也有本质区别,审计意见类型也未必一一对应。
关键词:内部控制审计;财务报告审计;审计意见类型
一、研究背景
内部控制制度建设及对其有效运行的审计逐步受到重视,基于成本效益原则,整合审计也是目前大多数企业以及会计师事务所的选择,然而2012年信永中和事务所对新华制药同时出具否定意见的内部控制审计报告和无保留意见的财务报告审计意见,同时也是我国第一份被出具内部控制审计否定意见的案例,这便引发了社会公众的议论。基于此背景,笔者将对财务报告审计和内部控制审计进行比较,并浅析两者审计及其意见的联系。
二、财务报告审计和内部控制审计的概念
企业财务报告审计,是指企业聘请专业人员对公司财务报告所反映的财务状况、经营成果和资金变动情况的合法性、公允性,以及会计处理方法的一贯性进行审计验证,并以此基础做出客观公正的审计意见,以便财报使用者进行正确的决策、监督和控制。企业内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计,并发表审计意见。
三、财务报告审计和内部控制审计的联系与区别
(一)联系
虽然财务报告审计是对该审计期间的经营成果、财务状况及资金变动情况进行审计,内部控制审计是针对某一基准日进行审计,但两项审计工作都与企业的连续经营密不可分,所以也都需要参考审计年度以及以前年度的企业状况。
1、两者最终目的一致。内控审计与财报审计其最终目的都是为了提高被审计单位相关的财务信息质量,让财务信息使用者及利益相关者得到相关可靠的公告,减少信息不对称带来的不利影响,进而帮助其作出相应的规划和决策。2、两者均采取风险导向审计模式。审计人员首先对被审计单位实施风险评估程序,然后识别并评估被审计单位可能存在的风险,根据此在按照相关的流程开展对应的工作。3、两者均需识别重点账户、重要交易类别等重点审计领域。该项工作在财务报告审计中进行的目的是判别是否可能存在重大错报,在执行内部控制审计工作的时候需要重点注意的是:内控需要让评价账户和相关交易得到覆盖。4、两者在重要性水平的确定上相同。在实际工作中,两项审计工作内容都存在相似甚至相同之处,整合审计之下,则可以避免这部分工作的重复,同时一项审计也可以为另一项审计提供发现问题的突破口,两者相辅相成。
(二)区别
财务报告审计旨在保证被审计单位三大财务报表以及报表附注的真实、合法、公允,是以数据为中心展开的审计工作,而内部控制审计旨在确保被审计单位日常运行的规范性,以及对披露财务信息和非财务信息可靠性的保障。尽管内部控制审计仍然以财务信息为主,但尽可能地关注被审计单位的非财务信息,并且如果发现非财务信息存在重大缺陷同样影响内部控制审计意见类型,是财务报告审计缺陷的补充。
1、业务类型不同。财务报表审计是基于责任方认定的业务,内部控制审计是直接报告业务。2、两者对内部控制了解和测试的目的不同,测试范围也不同。财务报告审计测试内部控制是为了减少实质性程序的工作量,注册会计师并非必须对内部控制进行测试,只有在两种特定情况下才有要求,最终都服务于对财务报表的真实、合法、公允发表审计意见。3、两者内部控制测试结果需要达成的可靠程度不同。由于在财务报告审计中,对控制测试的可靠性取决于减少实质性程序工作量的程度,所以对于选取测试的样本量,弹性相对较大。然而在内部控制审计中,注册会计师最终出具的报告直接与被审计单位的内部控制有效性相关,因而对控制测试结果的要求也就更高,样本量也就更大。
一般情况下,除内部控制已经影响到财报审计意见类型以外,注册会计师不会在财务报告审计报告中对外披露被审计单位的内部控制的情况。然而内部控制审计的目的则是评价企业内部控制设计的完整性和运行的有效性,必然会披露被审计单位的内部控制状况。此外,财务报告共有五种审计意见类型,而内部控制只有四种审计意见类型,不包括保留意见。
四、财务报告审计意见与内部控制审计意见
由此可以看出,企业相关的内控审计意见类型与财务报告审计意见类型不是相互对应的,在执行相关的内控制度的过程中,注会发现企业财务报告中内控制度如果存在重大缺陷,就会出具否定意见;如果此重大缺陷还未引发企业财务报告的重大错报,注会则出具标准意见的财务报告审计报告。内部控制制度的有效是确保财务报告可靠的一方面,而非必要条件,并且被审计单位可以根据注册会计师的意见进行调整,对调整后的财务报告发表合理的审计意见。而如果财务报告被出具否定意见,说明被审计单位财务报表的编制反映不真实、合法或公允,可以说其内部控制的设计或运行极有可能存在重大缺陷,所以通常情况下也不会出具标准无保留意见。
五、结语
我国对于企业内部控制治理仍然处于探索阶段,相对于财务报告审计还存在许多不足,但同时整合审计也为财务报告审计提供了辅助和补充,更全面地为信息使用者、利益相关者等提供企业财务及非财务信息,然而内部控制审计意见与财务报告审计意见之间并不存在直接关联的关系。(作者单位:西南财经大学会计学院)
参考文献:
【关键词】内部控制;自我评价;报告重述
一、引言
一个企业内部控制机制的好坏直接影响着一个公司的发展,美国率先出台了《公众公司会计改革和投资者保护法案》(简称SOX法案),开始了上市公司内部控制信息强制性披露的序幕,加上后续一系列法案的颁布极大地促进了世界范围内内部控制信息披露的普及。企业内部控制信息披露是企业外界各利益相关者了解企业治理与规范化管理,风险应对能力的途径,对企业管理层而言,内部控制自我评价的过程也是公司检测和改善内部控制的重要途径。我国2008年财政部等五部委联合《企业内部控制基本规范》,也要求公司应对内部控制的有效性进行自我评价,披露自我评价报告,并可聘请会计师事务所对内部控制的有效性进行审计。2011年是《基本规范》正式实施的第一年。根据证监会的统一安排,上交所上市的“上证公司治理板块”样本公司、境内外同时上市的公司及金融类公司,作为第一批公司在2011年实施基本规范。
二、2011年沪市内控自评报告披露分析
(一)总体披露情况
根据沪市披露的数据,2011年沪市共有933家公司在年报“公司治理结构”章节中填报了公司内部控制建设的基本情况。933家公司中,427家披露了董事会内控报告,较之2010年的417家在绝对数上增加了10家,但在比例上减少了约1.5个百分点,与2009年的披露比例大体相当;其中,131家公司为自愿披露,绝对数与2010年(130家)和2009年(127家)基本持平,占比亦略有下降。427家公司中,258家公司聘请审计机构进行了内控审计(其中审计153家、审核105家),较之2010年的229家略有上升,其中自愿披露审计(审核)报告的公司为195家。以上数据表明,内控报告披露数量基本保持稳定,而且自愿披露内控报告的公司数量和自愿聘请审计机构对公司内控进行了核实评价的公司数量也都基本保持稳定,显示出上市公司对内控报告的披露越发谨慎。
(二)内部控制报告与公司经营业绩的关系
有效的内部控制应能合理保证企业经营活动的合法合规性,财务信息披露的真实可靠以及为经营生产的正常运行提供合理的保障。Hermanson(2005)通过调查得出良好的内部控制能为公司的长远发展提供更好的保障。因为建立完善的内部控制,可以在企业运行的各个环节建立良好的控制机制和监督机制,进行不相容职务分离从而到减少舞弊,提高经营效率,最终将有利于公司经营业绩的提高。公司经营业绩提高以及有效的内部控制能提高投资者对该公司投资的信心,公司就会有更充足的资金来建设完善内部控制使其更有效合理完整,而达成内部控制与企业经营业绩的良性互动关系。由此可见,内部控制与公司经营业绩存在良性互动关系,进行自愿性内部控制信息披露的上市公司内部控制有效性水平高,其经营业绩水平也就较高。
在沪市2011年的内部控制评价报告及审计报告中可以分析出披露内部控制及内部控制审计报告的公司的业绩水平比整体水平明显高。首先,披露内控报告公司的2011年年报非标准无保留意见比例显著低于全部沪市公司:在披露内控报告的427家公司中,421家的2011年年报被出具标准无保留意见,非标准无保留意见比例为1.4%,大大低于全部公司的6.3%。其中,宁波富邦、ST祥龙、吉恩镍业、太工天成、中国中冶被出具带强调事项段的无保留意见,仅莲花味精被出具保留意见。非标意见中,多数为持续经营能力存在疑问,仅莲花味精是因为前期涉嫌会计造假而被证监会调查,并已对其2009年年报进行差错更正。其次,披露内控报告公司的年报业绩水平高于全部沪市公司,披露内控报告的公司普遍业绩较好。其中亏损公司7家,占全部公司比例的1.6%左右,大大低于全部沪市公司8.3%的亏损比例。(2010年披露内控报告公司的亏损比例0.7%,低于全部沪市公司的6.1%)再者,分红水平高于总体水平,在自愿披露内控报告的131家公司中,进行现金分红的公司数为85家,占比为64.9%,高于2011年全部沪市公司的57.5%。(2010年自愿披露内控报告公司的现金分红比例为60.1%,高于全部沪市公司的54.9%)。
(三)内部控制自我评价报告与公司年报重述的关系
从图表中可以看出,在2011年的沪市933家上市公司中70家进行了报表重述,占总比7.5%,在进行报表重述的公司中披露内部控制报告的数量的占总的报告重述的数量比为13.11%且其中披露内部控制审计报告的公司有17家占70家报表重述的比例为24.3%,在56家做自我评估的公司中,明确表明自己存在缺陷的公司为6家占总报表重述公司的8.57%,且在披露的内部控制审计报告中只有一家的审计报告是加说明事项段的非标准审计意见,其他都为标准审计意见。
三、政策建议
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。应该更加明确上市公司内部控制自我评价的合理有效的方法,及内部控制自我评价的信息含量。相关部门应加强内部控制报告中有用信息的强制性披露,及内部控制信息的责任追究机制,适当的对一些重点企业可以进行内部控制报告及相应公司制度建设的检查,怎么样让内部控制报告反映企业真正的内部控制情况是内部控制信息披露的下一步攻关。
参考文献
[1]上海证券交易所资本市场研究所年报专题小组.沪市上市公司2011年内控自我评估报告披露情况分析[R].2012.
[2]杨有红,陈凌云.2007年沪市公司内部控制自我评价研究——数据分析与政策建议[J].会计研究,2009(6):58-64.
[3]周勤业,王啸.美国内部控制信息披露的发展及其借鉴[J].2005(2):24-31.
2010年4月26日财政部会同证监会、审计署、银监会、保监会联合制定了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(简称《企业内部控制配套指引》),以财会字〔2010〕11号文,连同2008年5月的《企业内部控制基本规范》(财会〔2008〕7号),共同构建了我国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行。
对于会计师事务所和上市公司而言,内部控制审计是一个新型事物,注册会计师按照《企业内部控制审计指引》对委托单位进行内部控制审计,收集充分、适当的审计证据对上市公司内部控制的设计与运行有效性发表审计意见,并出具内部控制审计报告,这种新型审计服务的审计收费如何定价将成为一个值得关注的新问题。从相关文献来看,我国关于内部控制审计费用的研究无论在理论上还是在实务界都处于探索阶段。本文从我国2011年沪、深两市A股共1 418家上市公司中,选取按照《企业内部控制基本规范》及其配套指引的要求聘请会计师事务所进行年度财务报告审计,同时进行内部控制审计,并披露了内部控制自我评价报告和内部控制审计报告的上市公司共205家为总样本,分析影响我国内部控制审计费用的因素,并通过实证研究的方法确定这些可能的影响因素的影响方式。
二、研究假设与模型
(一)研究假设
上市公司规模越大、相应的人员配备越多、岗位设置越多,上市公司的经济业务处理和业务流程也越多,对应的企业控制风险水平也就越高,注册会计师对其内部控制的有效性进行测试并发表审计意见,需要测试的控制活动越多、测试的范围越广,需要获取更充分、适当的证据,为发表内部控制审计意见提供合理保证,则实施内部控制审计需要的时间越多,相应的审计成本越高,从而收取的审计费用就越高。因此,提出假设1:
H1:上市公司规模与内部控制审计费用正相关。
上市公司内部控制的复杂程度越高,对参与内部控制审计的审计人员的要求越高,也就需要更高的专业判断,则会计师事务所需配备更具有专业胜任能力的项目组,并对助理人员进行更多适当的督导,实施内部控制审计的审计成本就越高,从而收取的审计费用就越高。因此,提出假设2:
H2:公司内部控制的复杂程度与内部控制审计费用正相关。
上市公司内部控制若存在失效的风险,说明该公司内部控制的某特定领域存在重大缺陷的风险越高,那么注册会计师在实施内部控制审计时需要给予该领域的审计关注就越多,注册会计师需要更多地对该项内部控制亲自实施测试,注册会计师的工作量增大,从而收取的审计费用就也高。因此,提出假设3:
H3:公司内部控制失效的风险与内部控制审计费用正相关。
《企业内部控制基本规范》要求公司设立监事会、审计委员会、内部审计机构监督内部控制的有效实施和内部控制自我评价情况,目的在于通过这些机构监督公司内部控制的设计和执行情况,防止舞弊行为的发生,并不断完善公司的内部控制。因此,如果公司设立有内部控制监督机构,注册会计师会认为该公司内部控制的设计和执行有着内部监督效应,则可以更多地利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,从而相应减少可能本应由注册会计师执行的工作,审计收费也就相应较低。为此,提出假设4:
H4:设有内部控制监督机构与内部控制审计费用负相关。
上市公司所在地经济越发达,其消费水平也就越高。根据以往的研究,上市公司所在地是影响我国上市公司审计费用的一个重要因素。本文也猜测经济发达地区的上市公司支付的内部控制审计费用高。因此,提出假设5:
H5:上市公司所在地的经济发达水平与内部控制审计费用正相关。
有着良好声誉的会计师事务所不仅能够满足内部控制审计委托者对高质量审计的需求,还可以向社会公众传递企业内控较完善的“信号”,会弥补提供高质量的内部控制审计服务的成本和维护声誉或品牌的成本,具有良好声誉的事务所会提高内部控制审计费用。因此,提出假设6:
H6:会计师事务所的声誉与内部控制审计费用正相关。
(二)变量设定
1.内部控制审计费用
根据《企业内部控制审计指引》的要求,同一会计师事务所同时为一家上市公司提供财务报告审计和内部控制审计服务,可将内部控制审计与财务报表审计整合进行,所以很多情况下无法直接获得内部控制审计费用,且目前几乎没有上市公司将内部控制审计费用单独进行披露,2011年年报各上市公司披露的审计费用是年报审计费用和内部控制审计费用的总和。借鉴Eldridge and Kealey(2005)的研究方法,本文对内部控制审计费用(Internal Control Audit Fees,ICAF)的确定方法为:
首先,确定上市公司首次进行内部控制审计的年度。由于《企业内部控制审计指引》的颁布时间为2010年4月15日,其要求2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司开始施行,所以2011年披露内部控制审计报告的上市公司的审计费用就是首次,同时包括财务报告审计费用和内部控制审计费用,即2011年是这个首次年度,则2011年报告中披露的审计费用(Fees2)减去上一年度(2010年)的审计费用(Fees1)的数额表示ICAF。
其次,由于大量的文献表明公司规模是影响审计费用最重要的因素,为了降低公司规模对内部控制审计费用的影响,更加准确地估计ICAF,在上述基础上,用公司规模进行修正,公式如下:
ICAF=Fees2-Fees1×SIZE2/SIZE1 (1)
本文用Ln(ICAF)表示内部控制审计费用。
2.上市公司规模
本文选用与大多数学者相同的处理方式,以上市公司总资产数额来衡量上市公司规模,对上市公司总资产取自然对数,用Ln(Asset)表示。
3.公司内部控制的复杂程度
已有的研究表明与内部控制复杂程度相关的因素包括:子公司数量、公司经营所涉及的行业数量、子公司分布是否广泛、公司业务的复杂性等。从内部控制审计的角度,子公司数量、公司经营所涉及的行业数量、子公司分布是否广泛这些因素都体现在公司规模中。因此,本文选择公司业务的复杂性这个因素,以存货和应收账款占总资产的比重INVREC来衡量。
4.公司内部控制失效的风险
上市公司内部控制失效的风险(Risk)用本年度内部控制审计报告的意见类型来衡量,若2011年度内部控制审计报告意见为标准无保留意见,则Risk为0;为带强调事项段的无保留意见或否定意见或无法表示意见,Risk为1。
5.内部控制监督机构
由于监事会、审计委员会、内部审计机构这些内部监督机构(Supervise)在内部控制设计和运行中都能有效地发挥监督作用,本文选择以打分情况对其进行赋值。上市公司设立了其中一个内部控制监督机构,赋1分,共3分。
6.上市公司所在地
本文选用上市公司所在地人均GDP的自然对数来表示上市公司所在地的经济发达水平Ln(GDP),以衡量地域因素对内部控制审计费用的影响。
7.会计师事务所的声誉
本文采用会计师事务所是否是“四大”来衡量会计师事务所的声誉,用Big4表示。“四大”会计师事务所指德勤华永、普华永道中天、毕马威华振和安永华明。如果上市公司内部控制是由“四大”审计,则赋值为1,否则为0。
(三)样本的选取
选取2011年沪深A股市场上披露了内部控制审计报告的205家上市公司作为样本,并按照以下原则剔除样本:(1)剔除金融保险类上市公司(18家),因为金融保险类公司与非金融保险类公司差异较大,不具有可比性;(2)剔除未披露2011年审计费用的上市公司(14家);(3)剔除未披露2010年审计费用的上市公司(29家);(4)剔除数据不可得的上市公司(1家);(5)剔除按照公式(1)计算得出数据无效的上市公司(78家),最终得到样本共65家上市公司,其中沪市A股44家,深市A股21家。
本文所涉及的财务数据主要来源于巨潮资讯网(cninfo.com.cn)、中国注册会计师协会的《2011年年报审计情况快报》和《2010年年报审计情况快报》,涉及的内部控制审计信息的相关数据由笔者根据内部控制审计报告和内部控制自我评价报告进行手工整理。本文利用Excel和SPSS16.0软件完成计算和回归分析。
(四)模型建立
基于上述的分析和假设,根据Simunic模型,本文构建如下模型,运用OLS回归分析方法分析内部控制审计费用的影响因素及关系。
三、实证分析
(一)描述性统计分析
模型各变量的描述性统计情况见表1。Ln(CIAF)的最小值为6.988,最大值为15.3415,均值为12.1620,中位数为12.1878,标准差为1.5980,样本中各上市公司所支付的内部控制审计费用存在较为明显的差异。内部控制的复杂程度和上市公司资产规模(总资产取对数)的最小值、最大值和均值显示出样本公司内部控制的复杂程度和公司规模存在较大的差距,这样便于对其进行实证研究分析。在65个样本中上市公司聘请“四大”会计师事务所进行内部控制审计的只有14家,占21.54%,比例较小。
(二)相关性分析
运用皮尔逊(Pearson)双尾检验对各变量间的相关性进行检验,表2说明各变量间的相关系数。从相关性矩阵看到,Ln(CIAF)与Ln(Asset)、INVREC、
Ln(GDP)以及Big4的相关系数分别为0.332、0.049、0.320和0.390,并且在1%的水平上显著,说明内部控制审计费用与上市公司规模、内部控制的复杂程度、地域因素、会计师事务所是否是“四大”程度显著。
Ln(CIAF)与Risk虽不显著但相关系数较小,为0.033,与Supervise不显著,但相关系数较小,因此被解释变量与各个自变量间不存在多重共线性问题。其他变量间的相关系数均未超过0.5,说明各变量间不存在明显的多重共线性问题,不需要特别关注,可以对其进行多元回归分析。
(三)回归分析与检验
从表3可以看出,模型的显著性水平Sig为0.0052
一是上市公司规模Ln(Asset)的回归系数为0.2852,P值为0.0470,在5%的水平上显著,与预期符号一致,上市公司规模与内部控制审计费用显著正相关,上市公司规模越大,会计师事务所对其进行内部控制审计收费就越多,假设1得到验证。
二是上市公司内部控制的复杂程度(INVREC)的回归系数为0.5187,P值为0.321,回归系数为负,与预期符号一致,但其结果不显著,上市公司内部控制的复杂程度与内部控制审计费用存在非显著的正相关关系。得出该实证结果可能的原因在于:该变量是选用业务的复杂性这个因素来表示内部控制的复杂程度,采用(存货+应收账款)/总资产来衡量的,说明会计师事务所在确定内部控制审计价格时并不认为存货和应收账款审计具有特殊性和复杂性;其次,在于本文用(存货+应收账款)/总资产简单地来衡量内部控制的复杂程度可能不够恰当。
三是上市公司内部控制失效的风险(Risk)的回归系数为-0.8022,P值为0.5923,回归系数为负,与预期符号相反,但其结果不显著,上市公司内部控制失效的风险与内部控制审计费用存在非显著的负相关关系。这一结果可能有两种解释:第一,本文采用2011年度内部控制审计报告意见类型来衡量上市公司内部控制失效的风险,但可以看到,2011年注册会计师对上市公司出具的“标准”内部控制审计报告的比例高达98.05%,则其意见类型可能对内部控制审计定价影响很小;第二,五部委联合的《企业内部控制基本规范》要求上海证券交易所、深圳证券交易所主板上市的公司自2012年1月1日起施行,则在2011年对内部控制进行审计,披露内部控制审计报告还处于自愿性阶段,进行内部控制审计的上市公司多为内部控制设计和运行较好的公司,而注册会计师对重大缺陷、重要缺陷和一般缺陷的理解还不够深入,对《企业内部控制审计指引》的具体运用还处于非强制的探索阶段,较小可能出现会计师事务所因发表错误的内部控制审计意见而被诉讼要求赔偿,则其对出具“标准”内部控制审计报告较为偏好。
四是设有内部控制监督机构(Supervise)的回归系数为0.1811,P值为0.6050,回归系数为正,与预期符号相反,且不显著,即设置内部控制监督机构与内部控制审计费用存在非显著的正相关关系。从实证结果看,出现这种与研究假设截然相悖的结果,可能的原因在于:一方面,《企业内部控制基本规范》刚开始实施,上市公司的内部控制制度目前还不够完善,内部控制的执行还存在效率低下的问题,则注册会计师在对内部控制审计收费时并没有考虑内部控制监督机构的存在对内部控制审计工作量的影响;另一方面,注册会计师可能认为每增加一个内部控制机构,其在审计的过程中须关注该内部控制监督机构是否定期执行监督工作,监督是否有效,这反而会加大注册会计师进行内部控制审计的工作量。
五是上市公司所在地的经济发达水平Ln(GDP)的回归系数为0.7554,P值为0.0503,在5%的水平上显著,回归系数为正,与预期符号相同,上市公司所在地的经济发达水平与内部控制审计费用显著正相关。上市公司所在地经济越发达,其支付的内部控制审计费用越高,假设5得到验证。
六是会计师事务所的声誉(Big4)的回归系数为1.0149,P值为0.0426,在5%的水平上显著,回归系数为正,与预期符号相同,会计师事务所的声誉与内部控制审计费用显著正相关。这表明上市公司会支付高额的内部控制审计费用来购买企业内控较完善的“信号”。会计师事务所声誉越好,越具有“品牌”效应,内部控制审计费用就越高,假设6得到验证。
四、结语与建议
信息系统审计,是指结合国家审计的现状和特点,紧紧围绕国家审计内容、范围和目标,对被审计单位用于经营决策、财务核算、业务管理的各类信息系统、系统内部控制系统以及信息系统产生的电子数据开展审计,以保证被审计单位财政财务收支的真实性、完整性和效益性,是常规审计方式的一种延伸,是信息化环境下审计方式方法的进一步精细化。
在我国国家审计融入世界审计主流,实现与国际接轨的大环境下,信息系统审计已经成为我国国家审计的一项重要工作内容,这是信息化发展到一定程度的必然结果。但是,我国的信息系统审计仍处于不断探索、逐步完善的阶段。目前,专门立项对某被审计单位信息系统开展独立式审计尚不成熟,信息系统审计只能是以常规审计为载体,分别开展数据式审计、系统审计和系统内部控制审计。在这种情况下,如何既能保证圆满完成既定审计目标,又能适时合理有成效地开展信息系统审计,就成为摆在所有审计机关面前的一大难题。本文将从审计项目实施流程的角度指出信息系统审计中的一些注意事项,以期能为广大审计人员提供参考。
项目准备阶段。调查了解被审计单位基本情况阶段,要紧紧围绕审计署制定的审计目标及审计重点,在了解被审计单位财政财务收支的同时,对被审计单位信息系统及其产生的电子数据进行全面系统的了解,主要包括被审计单位的信息系统、系统内部控制以及电子数据结构与数据字典。在此基础上,要完成被审计单位电子数据的采集与转换、信息系统模拟测试环境的搭建,系统内部控制点的分解,系统一般控制测评等。
制定方案阶段。首先要将信息系统审计实施方案包含于审计项目的总体方案之中,确定信息系统审计的实施目标和审计方式方法,在方案中要明确以下几个关系:明确信息系统审计重点事项以及常规审计重点事项之间的关系,明确信息系统审计阶段性结果与常规审计阶段性性结果间的关系,明确实施信息系统人员与常规审计实施人员间的相互配合关系,明确信息系统内部控制点的设置与被审计单位内部控制间的关系、明确各个控制点所对应的电子数据间变化以及电子数据所体现的业务逻辑对应关系。具体来说,信息系统审计目标是围绕署定项目目标制定,紧扣而不脱离;信息系统审计重点事项是署定项目重点事项的细化、补充和延伸;信息系统审计阶段性结果与署定项目常规审计阶段性结果是相互补充、相互完善、相互促进关系;实施信息系统人员与常规审计实施人员间相互配合,处于一种矩阵式方阵之中,相互互补、相互配合、及时交流;信息系统内部控制点与被审计单位内部控制点是一一对应关系(尽管其不会非常完备,只是控制方式、具体控制对象、表现形式不同),每个控制点的变动均会引起后台多张表的电子数据发生一系列变化,这种变化应该完全由系统控制,且逻辑严密,如果掺入了人为因素,数据将表现为异样。
项目实施阶段。信息系统审计实施与常规审计实施是一种相互协同、相互启发、相互印证关系,二者就每个重点事项、控制点进行测评和验证,审计所发现的阶段性结果,也需要有计划的及时沟通,做到相互促进。另外,信息系统审计取证与常规审计取证不同,其证据的表现形式灵活多样,可以通过填写表格、面谈笔录、与被审计单位技术人员一起验证某些具体操作让其出具书面证明、将电子数据及测评所表现的现象抓图或拍照、通过特定软件记录验证过程等方式形成的书面材料或电子数据为附件的证明材料。实施信息系统审计方法可以灵活多样,可以采用现场查看法、软件代码测试法、平行模拟法等,也可以和常规审计方法相互结合,从另一方面去验证,发现审计线索。
项目报告与总结阶段。信息系统审计可以单独出具审计报告,也可以将审计结论融入常规审计报告之中。一般做法是将信息系统审计结论融入常规审计报告之中的同时,再就信息系统审计单独出具一份全面的信息系统审计报告,因为常规审计报告往往不可能完全包括信息系统审计报告的全部内容。在做好审计报告后,及时就开展信息系统审计以及如何与常规审计相结合做好项目总结工作,总结经验,发现不足。
【关键词】内部控制 信息披露 问题 建议
随着资本市场的不断发展,投资者对资本市场上信息的真实性、客观性和可靠性的需求越来越强烈,这也是内部控制信息披露的根本动力。有效的内部控制可以帮助企业控制经营风险、保证财产安全并实现经营目标,而内部控制信息披露就是要将内部控制置于公众的监督之下,督促管理当局完善企业的内部控制,同时也为投资者提供决策支持。因此,无论是对管理者还是投资者,内部控制信息披露都是具有重要的作用和意义的。
一、存在的问题分析
(一)内部控制信息披露的内容的信息含量不高
内部控制信息的核心是管理有效和风险提示。但是从目前的上市公司披露的内部控制信息来看,大部分上市公司的内部控制信息披露简单,未出具内部控制自我评价报告和审计报告,仅在年度报告中提到“公司已经建立了有效的内部控制制度”。即使出具了自我评价报告或审计报告的公司,也是形式主义严重,内容空泛,甚至是罗列法规条例和制度,很少根据公司的实际情况进行分析,尤其是关于内部控制制度缺陷等较为敏感的问题,许多公司选择模糊披露甚至避而不谈,使得使用者很难在其中找到对投资决策有用的信息。
(二)内部控制信息披露的动机不足、积极性不高
上市公司披露信息的动力来源于降低融资成本。现阶段资本市场的发展程度是阻碍上市公司积极披露内部控制信息披露的原因之一。在现阶段的情况下,资本市场环境、监管机制和投资者的素质都阻碍了内部控制好的公司在资本市场上获得“溢价”的机会,甚至诚信披露还有可能带来负面影响,因此,便出现了上市公司内部控制信息披露动机不足的现象。成本问题也是阻碍内部控制信息披露的原因之一。进行内部控制自我评价和聘请注册会计师进行审计都是费时费力费钱的行为,越是详尽而全面的披露所需要的代价就越高,因此,在没有强制进行披露的前提下,许多公司选择能省就省,不愿意积极披露。
(三)内部控制信息披露的形式和格式不统一
首先,根据《企业内部控制基本规范》及配套指引的规定:“执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。”从当前的执行情况来看,2011年只有27.5%的公司按照要求出具了这两种报告,大部分公司并没有采用合规的披露形式。其次,《企业内部控制评价指引》和《企业内部控制审计指引》都对内部控制评价报告和内部控制审计报告的格式做出了规定,但是只有不到60%的内部控制评价报告符合格式的要求。
二、建议
(一)完善内部控制信息披露的准则和规范
我国的内部控制信息披露起步比较晚,尽管在内部控制信息披露方面了一些准则和规范,但是与国外相比仍然存在着较大的差距。因此,需要监管机构完善内部控制信息披露的准则和规范。具体来说,首先与时俱进,调查分析内部控制信息使用者们对内部控制信息披露的要求,了解他们需要哪些方面的内容以及他们的建议,并根据实际情况和可操作性不断更新和完善有关的准则和规范。其次,要明确内部控制信息披露的方式。强制要求所有的上市公司披露内部控制自我评价报告和注册会计师出具的内部控制自我评价报告的意见。最后,还要明确规定内部控制信息披露的具体的内容和统一的格式。这样一方面可以使上市公司有章可循,更好地披露内部控制信息,另一方面也便于报告使用者理解和比较公司披露的内部控制信息。
(二)加强对内部控制信息披露的监督和违规的处罚
监督是执行的有效保证。内部监督就是要充分发挥企业的审计委员会等监督部门的作用,对内部控制信息披露的真实性和完整性进行把关,保证内部控制信息披露是真实有效的。由于公司的管理层与投资者的利益并不是完全一致的,管理层有提供虚假信息的可能性,因此还需要对内部控制信息的披露进行外部监督,这就要发挥注册会计师和市场监管机构的作用,由注册会计师出具审计报告来在合理的范围内保证所披露的内部控制信息真实有效。对于市场监管机构,应当加强对内部控制信息披露的审核和监管,并且处罚措施也是必不可少的。对于不披露或者披露虚假的内部控制信息的上市公司或者出具虚假的审计意见的会计师事务所都要进行严厉的处罚,并且提高披露违规的惩处力度。
(三)健全上市公司的治理结构
完善的公司治理结构是良好的内部控制信息披露的制度基础和组织保证。只有在完善的公司治理结构下,内部控制系统才能真正发挥它的作用,提高企业的经营业绩,保证信息披露的真实性和有效性。由于我国大部分的上市公司都存在着一股独大,公司治理结构不完善的情况,因此,要想完善信息披露首先要完善上市公司的治理结构。上市公司应当按照《公司法》和《上市公司治理指引》等的规定,明确产权关系,避免内部人控制的情况出现,保证公司与控股股东的独立性。同时,还要强化监事会的审查作用,使其能真正的负担起监督作用和约束作用,来确保公司治理结构的有效性,从而是公司能够真实、及时和准确地披露内部控制信息。
参考文献
[1] 李明辉,何海,马夕奎. 我国上市公司内部控制信息披露状况的分析[J]. 审计研究,2003(1):44-46.
[2] 李亨. 我国内部控制信息披露政策演进评析[J]. 财会月刊,2007(12):66-88.
[3] 蔡吉甫. 我国上市公司内部控制信息披露的实证研究[J]. 审计与经济研究,2005(3):85-88.
