解抓《企业内部控制审计指引》的三大技术亮点
2010年4月26日,《企业内部控制审计指引》等内部控制基本规范配套指引发布,并自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行。《企业内部控制审计指引》(以下简称《指引》)生效后,2001年发布的《内部控制审核指导意见》将废止。本文旨在从技术角度解析新旧规范的重大变化,供注册会计师执业时参考。
一、强调风险导向审计思路,重视风险评估的基础作用
风险导向审计是风险管理思想在审计上的运用,风险的识别、评估和应对是风险管理思想的核心内容。将这一思想具体运用到财务报告内部控制审计中,就要求注册会计师以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作的主线,在风险评估的基础上,将审计资源投放在高风险领域,以提高审计的效率和效果。
原有的《内部控制审核指导意见》更多是一些具体审计程序方面的规定,没有从审计方法论的高度进行规范。《指引》特别强调了风险导向审计思想,突出了风险评估的基础作用和对审计资源配置的导向作用。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多,具体体现为以下几点:
首先,风险评估结果是确定重要账户(列报)和相关认定的依据。对于重要账户(列报)及相关认定,注册会计师需要将其纳入审计考虑的范围;对于不重要账户(列报)及不相关认定,注册会计师在审计时可将其剔除。如果某账户或列报具有合理可能性包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响(需要同时考虑多报和少报的风险),则该账户或列报为重要账户或列报。如果某财务报表认定具有合理可能性包含了一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定。是否具有合理可能性,与财务报表项目及附注的错报风险因素相关。这些因素包括该账户的规模和构成;易于发生错报的程度;账户中处理的或列报中反映的交易的业务量、复杂性及同质性;账户或列报的性质;与账户或列报相关的会计处理及报告的复杂程度;账户发生损失的风险;由账户或列报中反映的活动引起重大或有负债的可能性;账户记录中是否涉及关联方交易;账户或列报的特征与前期相比发生的变化;等等。
其次,风险评估是选择拟测试的控制的依据。《指引》第八条要求,注册会计师应当以风险评估为基础,选择拟测试的控制。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷也不可能导致财务报表重大错报的控制。
再者,风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。《指引》第十五条要求,注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。审计程序的性质具体是指询问、观察、检查和重新执行等;审计程序的时间安排既包括测试内部控制所针对的期间(时间),也包括何时实施控制测试;审计程序的范围主要指测试的样本量。与内部控制相关的风险越高,注册会计师需要获取的证据应越多,可靠性要求越高。
第四,风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。为避免重复劳动,《指引》鼓励注册会计师利用被审计单位的自我评价工作。但是《指引》第九条特别指出,与某项控制相关的风险越高,被审计单位内部审计人员、内部控制评价人员和其他相关人员工作的可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
最后,当被审计单位具有多个经营场所或业务单元时,风险评估结果还是确定测试范围的依据。如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报,注册会计师无需进一步考虑这些经营场所或业务单元。对风险较低的经营场所或业务单元,注册会计师可以首先评价,测试企业层面控制能否为注册会计师提供充分、适当的证据。如果能提供充分、适当的证据,注册会计师对这些经营场所或业务单元可以仅测试企业层面控制。如果某项风险具有合理可能性导致企业合并财务报表发生重大错报,注册会计师应当测试针对该项风险而实施的控制。
二、强调“自上而下”的审计思路
企业内部控制包括整体和业务流程两个层面。业务流程层面的控制为应对交易和账户余额认定的重大错报风险而设计,通常在业务流程内的交易或账户余额层面上运行,其作用通常能够对应到具体某类交易和账户余额的具体认定。企业整体层面的控制通常为应对企业财务报表整体层面的风险而设计,或作为其他控制运行的“基础设施”,通常在比业务流程更高的层面上乃至整个企业范围内运行,其作用比较广泛,通常不局限于某个具体认定。企业整体层面控制包括:(1)与控制环境相关的控制;(2)针对管理层凌驾于控制之上的风险而设计的控制;(3)企业的风险评估过程;(4)集中化的处理和控制,包括共享的服务中心;(5)监控经营成果的控制;(6)监督其他控制的控制,包括内部审计职能、审计委员会的活动及内部控制自我评价;(7)对期末财务报告流程的控制;(8)针对重大经营控制及风险管理实务的政策。业务流程层面的控制主要针对交易的生成、记录、处理和报告等环节,内部控制要素中的“控制活动”要素中,除业绩评价控制外的绝大部分可归于业务流程层面的控制。
原有的《内部控制审核指导意见》没有区别这两个层面的内部控制。《指引》将这两个层面的内部控制予以区分,要求注册会计师采取“自上而下”的审计思路,以提高审计效果和效率。通俗地讲,这里的“上”为企业整体层面的控制,“下”为业务流程层面的控制。“自上而下”按照下列工作步骤展开:(1)识别、了解和评价企业整体层面控制的设计有效性;(2)从财务报表层次识别重大账户;(3)识别与每个重大账户相关的认定;(4)识别重要的业务流程和主要的交易类别;(5)识别流程中错报可能发生的环节;(6)识别和测试预防或及时发现错报发生的控制(业务流程层面的控制)。
采用“自上而下”的审计思路能够优先考虑并充分利用企业整体层面控制的作用,确定合理的测试范围和策略,提高审计效果和效率。某些企业整体层面控制,如与控制环境相关的控制,对及时防止或发现相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。某些企业整体层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。某些企业整体层面控制本身能够精确到足以及时防止或发现相关认定的错报。如果一项企业整体层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。由于企业整体层面控制影响的广泛性,注册会计师应当优先予以测试,因为其测试结果将影响注册会计师对业务流程层面控制的测试策略。
采用“自上而下”的审计思路要求注册会计师从财务报表整体层面出发,然后下潜到重要账户和相关认定,这样层层深入的方式能够将一些不重要的账户、披露和不相关认定予以剔除,进而防止注册会计师花费不必要的时间和精力了解和测试不重要的业务流程或控制。所谓“不重要”是指包含能够引起财务报表产生重大错报的可能性很小。如果注册会计师首先测试业务流程层面的控制,就可能导致在测试结束后,发现所测试的控制针对的是不重要的账户、披露和不相关认定,或者针对的是不能导致财务报表产生重大错报的风险,从而浪费了审计资源。
可见,“自上而下”的方法不仅用于识别重要账户、列报及其相关认定和拟测试的控制,还用于评估风险以及分配审计资源。当然,“自上而下”的方法是注册会计师识别风险及选择拟测试的控制的思路,并不一定是实施审计工作的顺序。
三、强调财务报告内部控制审计与财务报表审计的有机整合
《内部控制审核指导意见》发布于2001年。当时聘请会计师事务所进行内部控制外部评价、审核或鉴证有两个主要目的:一是满足金融保险等特殊行业的监管部门出于加强所辖企业内部控制和风险管理的需要而提出的特殊要求;二是满足证券监督管理部门针对发行新股企业提出的特殊要求。可以说,当时的内部控制审核业务更多的是一次性的或者说非经常性的业务。基于这样的背景,《内部控制审核指导意见》没有考虑财务报告内部控制审计与财务报表审计的关系,将其视为独立进行的两项业务。
从发布背景看,《指引》不同于《内部控制审核指导意见》。关于印发企业内部控制配套指引的通知》(财会[2010]11号)指出,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。可以说,对于执行内部控制规范体系的企业而言,财务报告内部控制审计将成为一项每年都将发生的经常性业务。因此,《指引》考虑了财务报告内部审计与财务报表审计之间的固有联系,提倡将两者予以有机整合。整合主要体现在以下方面:
(一)要求合理计划和实施审计工作,以同时实现两种审计的目标
财务报告内部控制审计与财务报表审计是联系紧密而又相互区别的两项业务,一个是对过程进行鉴证,一个是对结果进行鉴证。由于两种审计的目标不同,在设计和实施整合审计工作时,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。鉴于这两项审计工作在测试范围、涵盖期间和样本量等方面存在区别,有必要改变财务报表审计中采取的审计策略,尽可能对更多认定采取综合性方案,这样可以兼顾两种审计目标的同时实现,做到一箭双雕。采用综合性方案,可通过节省财务报表审计中实质性测试的成本来部分抵销财务报告内部控制审计增加的成本。长期以来,我国会计师事务所更擅长于运用实质性方案,采用绕过内部控制的方式进行审计。在新形势下,需要及时更新审计技能,学会运用综合性方案。
(二)两种审计识别的重要账户及相关认定相同
在计划财务报表审计和财务报告内部控制审计工作中,都需要确定重要账户(列报)及相关认定。《指引》指出,在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。
(三)两种审计确定的重要性水平相同
在财务报表审计中,注册会计师旨在检查财务报表中是否存在重大错报。本着这个目的,注册会计师需要确定重要性水平。而在财务报告内部控制审计中,注册会计师旨在检查财务报告内部控制是否存在重大缺陷。所谓重大缺陷是指内部控制中存在的、具有合理可能性导致不能及时防止或发现财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。因此,《指引》指出,财务报告内部控制审计与财务报表审计中确定的审计重要性水平相同。
(四)两种审计都基于同样的风险评估结果
在财务报表审计中,注册会计师采用风险导向审计模式,需要首先实施风险评估程序,识别和评估财务报表层次和认定层次的重大错报风险,在此基础上分别予以应对。而在财务报告内部控制审计中,采用的也是风险导向审计的模式,注册会计师需要首先识别内部控制存在重大缺陷的风险,然后有针对性地应对。内部控制是否存在重大缺陷,是指财务报告内部控制是否足以应对财务报表层次和认定层次的重大错报风险,包括舞弊引起的重大错报风险。因此,可以说两者对固有风险的评估方法和结果应当相同。
(五)两种审计的结果应当相互印证、相互利用
根据整合审计的要求,在财务报告内部控制审计与财务报表审计中获取的审计证据应当相互印证,相互利用。具体体现在:
在财务报告内部控制审计中,注册会计师在对内部控制有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。
在财务报告内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括:(1)注册会计师作出的、与选择和实施实质性程序相关的风险评估,尤其是与舞弊相关的风险评估;(2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况;(4)实施实质性程序发现的错报。
只有在厘清两者的内在逻辑关系的基础上,并将其进行有机整合,真正实现“2合1”审计,才能达到证据相互利用、结果相互印证的效果,同时提高审计效率,也可减少对客户的干扰。 来源:中国社会科学网 《财务与会计》 2011年第9期 作者:唐建华
