实施财务报告内部控制审计的基本思路
安然事件之后,美国萨班斯法案规定公众公司必须以书面形式对外披露首席执行官、首席财务官或类似职务人员对有关内部控制的评价报告,该份报告还必须经过负责公司定期财务报表审计的注册会计师的审计,出具内部控制审计报告。2008年5月,我国财政部会同证监会、审计署、银监会、保监会出台了《企业内部控制基本规范》,规定了“执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。”
开展财务报告内部控制审计已经成为注册会计师审计的重要业务内容,然而《企业内部控制基本规范》配套文件迟迟未正式发布,其中就包括《企业内部控制鉴证指引》,造成内控审计有点无所适从,审计质量得不到保证。《企业内部控制鉴证指引》(征求意见稿)基本借鉴了美国公众公司会计监督委员会(PCAOB)2007年7月发布的《与财务报表审计相结合的财务报告内部控制审计》(AS5),笔者结合征求意见稿与AS 5,尝试对我国注册会计师实施财务报告内部控制审计的基本思路作出初步探索,希望能起到抛砖引玉的作用。
一、财务报告内部控制的界定
《企业内部控制鉴证指引》(征求意见稿)中指出,“本指引所称企业内部控制鉴证,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。”对企业与财务报告相关的内部控制并没有很明确的定义与界定。
此处,不妨可以借鉴美国证券交易委员会(SEC)的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序,具体包括以下控制政策和程序:
1.保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;
2.为下列事项提供合理的保证:公司对发生的交易进行必要的纪录,从而使财务报表的编制满足公认会计原则的要求,公司所有的收支活动经过公司管理层和董事的合理授权;
3.为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。
二、财务报告内部控制审计与财务报告审计风险评估程序的联系与区别
当前,财务报告审计方法是风险导向审计,要求注册会计师在实施进一步审计程序之前,实施风险评估程序,其中包括了解被审计单位的内部控制与实施控制测试。财务报告内部控制审计的基本范围、审计方法大体一致,但是由于相关法规还要求注册会计师对管理层就公司财务报告内部控制有效性的评价单独发表意见,因此在审计程序上应比控制测试力度有所强化。一般来说,上市公司都是聘请同一家会计师事务所进行内控审计与财务报告审计,所以注册会计师应充分利用职业判断,可以考虑将内控审计与财务报告审计加以整合,以达到节约审计资源、降低审计成本、提高审计效率和质量的目的。
三、实施财务报告内部控制审计的基本思路
(一)了解被审计单位的控制环境注册会计师应关注:
1.影响企业所在行业的事项,包括财务报告实务、经济状况、法律法规和技术革新;
2.企业组织结构、经营特征和资本结构;
3.企业的规模和业务复杂程度;
4.企业经营活动或内部控制最近发生变化的程度。
注册会计师的着眼点应重视被审计单位管理高层对内部控制的态度,比如公司的道德规范、管理层的经营风格、角色和职责划分的清晰程度,以及是否拥有一个强有力的审计委员会等。
(二)制定审计计划
根据所掌握的控制环境及其对行为和财务报告完整性的影响,制定审计计划,确定项目负责人和项目团队成员,界定角色、责任和资源;制定项目计划、方法和报告要求。对风险的考虑应贯穿整个计划过程。
以往控制测试往往流于形式,空有其表,其原因之一就是审计人员并不具备判断企业内控是否有效的能力。企业的内控制度,往往是管理层经过长期摸索逐步建立起来的,作为审计师,仅仅花几天或几周的时间,就要搞清楚企业内控在设计和运转上可能的漏洞,谈何容易,没有足够的经验以及对企业管理的理解,是无法形成正确的对内控的理解的。因此,在制定审计计划,必须分配好合适的项目人员,对项目助理人员做好具有针对性的审前培训与督导,并且根据需要,制定利用专家的计划。
(三)识别公司层面的内部控制。并完成公司层面的评估公司层面的内部控制,主要是指公司治理层面的内部控制,属于控制环境。AS 5允许减少业务流程层次的测试,尤其是在公司整体层面的控制较强,并且和业务流程层次的控制紧密相连时;或者公司整体层面的控制足以防止或发现相关认定的重大错报。这就需要注册会计师识别公司层面的重大风险并作出恰当的评估。
公司层面的内部控制,包括对公司部门、人员的权责利划分、重大政策决策流程与重大风险管理政策、管理层的风险测评流程、反舞弊控制、公司内控自我评测流程等,注册会计师应评估公司层面控制对流程层面的控制评估有何影响。
注册会计师还应识别各流程的责任人,并与其沟通,掌握其是否明确责任。其中,需重点对审计委员会的人员构成、工作方式、在公司监管中的实际地位、行使职能是否受到制约等进行全面的评估。
评估的焦点应放在风险上,如果某一事项从财务报告内部控制风险的角度来看是重要的,就必须重点关注。风险评估理念应贯穿审计的全过程。
(四)测试各相关财务报告目标的关键控制
选择那些针对最关键财务报告目标的流程控制,并对这些控制的设计有效性进行评估。应重点识别那些用来管理会对财务报告产生影响的重要流程的流程层面监督性控制,实务中的审计办法是从公司的财务报表着手,识别对财务报表有重大影响的相关业务活动和流程目标,选择关键会计科目和会计报表事项。
在对公司层面评估的基础上,应考虑重要性水平,以及财务报表和其他支持性会计科目余额、交易或其他支持性信息出现重大错报的可能性,分析财务报告中的关键风险防范事项,并从数量和性质两方面考虑会计科目和披露事项的重要性。
与重大错报风险相关的风险因素包括但不限于:相关会计科目余额或交易的大小和种类;因错误或舞弊而产生错报的可能性t该会计科目反映的交易的数量、会计科目的复杂程度;披露事项或相关会计科目的性质;会计科目反映的交易类型导致公司承担或有负债的风险;是否包含关联交易等。
注册会计师应确定重要交易事项和业务流程的关键控制点,明确识别每一重要会计科目或披露事项是否都有管理层签字、声明等法律手续方面的认定。
测试方法可采取穿行测试,通常综合运用询问、观察、检查相关凭证以及重新执行控制等程序。在针对重要处理程序执行穿行测试时,注册会计师可以询问企业员工对企业规定程序及控制所要求内容的了解程威对于特定的相关认定,可能有多项控制应对评估的错报风险注册会计师没有必要测试与某个相关认定有关的所有控制。
(五)评价内部控制设计的有效性和内部控制执行的有效性
在作出评价之前,应首先对财务报告内部控制风险作出评估。财务报告内部控制风险包括两个要素:错报风险与控制失效风险。影响某项控制相关风险的因素包括:1.该项控制拟防止或发现的错报的性质和重要性;2.相关账户和认定的固有风险;3.交易的数量和性质是否发生变动,进而可能对该项控制设计或运行的有效性产生不利影响;4.账户是否曾经出现错报;5.企业层面的控制对其他控制的监督的有效性;6.该项控制的性质及其运行频率;7.该项控制对其他控制有效性的依赖程度;8.执行或监督该项控制的人员的专业胜任能力,以及是否发生变动;9.该项控制是人工操作还是自动完成;10.该项控制的复杂性,以及运行过程中需作出的判断的重要性。
内部控制设计是否有效的判断标准,是内部控制能否防止和发现导致财务报告不当披露的重要事项。评价内部控制设计的有效性的依据:被审计单位是否针对每一个控制目标都制定了适当的控制措施;是否能够防止或检查出可能造成财务报告重大错漏的错误或舞弊。
评价内部控制执行有效性,指设计有效的控制措施是否得到了正确执行。控制未按照设计运行、执行人员未拥有执行控制所需的授权和不具备必要的专业胜任能力,发生上述情况之一,即说明内部控制存在执行上的缺陷。
(六)评价控制缺陷
对发现的内部控制存在的不足,注册会计师应按其严重程度,评价其是否属于缺陷、应关注缺陷还是重大缺陷。如果控制的设计或运行不能及时防止或发现错报,表明内部控制存在缺陷。应关注缺陷是指内部控制存在的、其严重性不如重大缺陷但却足以值得负责监督企业财务报告的人员关注的某项缺陷或几项缺陷的组合。重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。
控制缺陷的严重性取决于:1.企业控制是否存在无法防止或发现账户余额或列报错报的合理可能性,2.因一项或多项缺陷导致的潜在错报的重要程度。在评价一项或多项控制缺陷可能导致的错报的重要程度时,注册会计师应当考虑受控制缺陷影响的财务报表金额或交易总额,以及受本期已发生或预计未来期间可能发生的控制缺陷影响的账户余额或某类交易所涉及的活动数量。
审计过程中,发现以下迹象,就应判断被审计单位内部控制存在重大缺陷:1.发现高级管理人员舞弊;2.重述财务报表,以反映重大错报的更正情况;3.注册会计师识别出当期财务报表存在重大错报,而该错报不可能由企业内部控制发现;4.审计委员会对企业财务报告和内部控制的监督无效。
(七)形成审计报告
注册会计师应当评价根据鉴证证据得出的结论,以作为对内部控制形成鉴证意见的基础。如果被审计单位内部控制存在应关注缺陷与重大缺陷,审计师就需要对被审计单位的财务报告内部控制发表保留意见或者反对意见。