内部控制鉴证.docx
- 文档编号:3589058
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:18
- 大小:29.32KB
内部控制鉴证.docx
《内部控制鉴证.docx》由会员分享,可在线阅读,更多相关《内部控制鉴证.docx(18页珍藏版)》请在冰豆网上搜索。
内部控制鉴证
内部控制鉴证:
争论与选择
刘明辉
(东一m}经人学,}’国内部控制研究,i,心ii6ozs}
【摘要】本文回顾了内部控制鉴证的若干重人争论及我国((&业内部控制审计指引》所作出的选择,并目_认为,
只有立足国情,借鉴国际阻例,从鉴证业务三方关系人的现实基础及内部控制鉴证的特点出发才能刘一这此争论
作出合理的判断和选择。
【关键词】内部神制鉴证三方关系人
一、引言
2010年4月26日,则政部、证监会、审计署、银监会、保监会联合发布了((ili业内部控制配套指
引坎其中包括(((s}`L.业内部控制审计指引>o((}}.业内部控制审计指引》的发布实施对于推动企业内部
控制建设、推动注册会计师审计与鉴证业务的理论创新和进一步拓展注册会计师的执业范围和业务来
源具有十分重要的现实意义。
但是,关于内部控制鉴证,理论界和实务界一直存在争论。
争论的内容
涉及该业务的日标、性质、鉴证卞体、客体、标准、边界及其与则务报表审计的关系等。
这些争论
关系到内部控制鉴证这种制度安排能否达到预期的效率和效果。
回顾这些争论以及我国所作出的选
择,揭示其原因,这对于i1确理解((}}.业内部控制审计指引》以及开展内部控制审计工作具有重要
意义。
二、争论与选择
(一)鉴证日标:
是合理保证,还是有限保证?
究竞应将内部控制鉴证定位为何种保证程度的鉴证业务?
对此,理论界和实务界存在两种不同的观
点。
有人认为,内部控制鉴证应当定位为有限保证的鉴证业务,即内部控制审核(如张龙平、陈作习,
2009);有人认为,内部控制鉴证应当定位为合理保证的鉴证业务,即内部控制审计(如PCAOBASS
2002AS气2007)。
内部控制鉴证业务的保证程度不同,其鉴证日标、证据的收集过程、鉴证报告的要求以及注册会计师
承担的责任等均有很大的差异。
内部控制审计与内部控制审核的卞要区别如表1所示。
持有限保证论者认为:
(1)根据“变量相4.影响观”,确定某一业务的保证程度,需要运用职业判断,考虑鉴证对象、标
准、证据收集程序、可获取证据的数量和质量等4个变量的相匀_关系。
而内部控制鉴证对象特殊,缺
乏适当的审计轨迹和衡量标准,鉴证的程序和方法尚不成熟,难以收集适当的证据,因而只能提供有
限保证。
他们认为应先将其定位为有限保证业务待条件成熟后再将其定位为合理保证业务
表1
内部控制审计与内部控制审核的主要区别
(2)国际审计与鉴证准则、美国及中国的注册会计师执业准则过去也将其定位为有限保证业务;国
}SiJ、实务中,将近二分之一的事务所将其定位为有限保证叱因此,将内部控制鉴证定位为有限保证业务符
合传统的做法。
(3)如果将内部控制鉴证定位为合理保证业务,击要注册会计师实施更多的程序、收集更多的证据,
导致鉴证成本增加。
与此相适应,其审计收费就可能增加,这会加大被审计单位的成本,引起被审计单位
的抱怨。
(4)如果将内部控制鉴证定位为合理保证业务,可能超越注册会计师的能力,加贡注册会计师的责
千仁。
持合理保证论者认为:
(1)根据“工作努力观”,确定某一业务的保证程度,首先要考虑鉴证报告使用者的击求,注册会计
师据此确定为执行该业务付出的努力水平及保证程度。
而预期信息使用者击要注册会计师对内部控制鉴证
提供一个较高水平的保证,而非低水平的保证。
(2)目前,美国、日本和加拿大等国家也将则务报告内部控制鉴证定位为合理保证的鉴证业务,因
此,将内部控制鉴证定位为合理保证业务符合国际惯例。
(3)内部控制鉴证通常与则务报表审计整合进行。
则务报表审计是合理保证的业务,如果将内部控
制鉴证定位为有限保证的业务,两者提供的保证程度不一致,这将使得预期使用者尤所适从。
我们认为,确定一项鉴证业务的性质,必须综合考虑使用者的击求和注册会计师的供给能力。
从预期使用者的角度来看,近年来,世界范围内多次出现了则务舞弊和会计造假案件。
这些案件严贡
冲击了各国乃至国际资本市场的i1:
'常秩序,给投资者带来巨额损失。
它们之所以能够发生,贡要原因在于
企业内部控制设计和运行尤效。
由于内部控制是企业实现其经营目标、报告目标和遵循目标的贡要保证,
预期使用者越来越关心企业内部控制设计与运行的有效性,击要注册会计师为企业内部控制的有效性进行
④为了了解现行实务,},注lDJ会计师如何对合理保证和有限保证的鉴证业务进行Ix_分一IAPC(2003)挑选了12个国家一在每个国家吝
挑选5家“五人”和5家“非五人”_以此为样本_就事务)听在吝类鉴证业务,},提供的保证水平进行问卷调查lAl'C将保证水平分为二
类_分别是:
合理保证、有限保证以及介十合理保证和有限保证之问样本总量为120家事务)听_共收回有效问卷56份_有效回收率为
46.fG}c调查结果为:
提供内部控制鉴证服务的会计师事务)听共32家_提供有限保证的占64%.提供合理保证的占2"FIo_介十两者之问
的占}Yc
44
鉴证,并提供合理保证而不是有限保证。
从责任方的角度来看,随着经济全球化和资本市场的国际化企业与外部环境的联系日益紧密,经营
风险加大,加强风险竹理、改善治理结构和建立内部控制己成为时代的潮流。
内部控制的设计与运行的责
任方是公司竹理层。
在经历了“安然”等事件的洗礼后,竹理层越来越重视企业内部控制的设计与运行
情况,他们需要注册会计师对内部控制的设计与运行进行评价,找出存在的缺陷,提出改进意见。
从这个
意义上讲,竹理层也需要注册会计师对内部控制鉴证提供合理保证而不是有限保证。
从注册会计师的角度来看,注册会计师行业必须适应社会需求,如果不能满足社会需求,这个行业就
会失去生存发展的机会。
预期使用者的需求是确定鉴证业务保证程度的关键驱动因素。
其实,经过多年的
实践,注册会计师己具备为内部控制提供高水平保证的鉴证能力。
首先,从鉴证对象上看,内部控制鉴证
实质上是对行为或过程的鉴证,尽竹鉴证对象特殊,但注册会计师并非第一次面对特殊的鉴证对象。
从某
种意义上讲,审计一开始就是对行为或过程的鉴证,对内部控制有效性发表意见,其实是审计在高层次上
的回归;其次,就标准而言,经过不断探索,日前己经形成了以COSn框架为代表的相对完善的内部控制
标准,我国也制定了((ili业内部控制基本规范》和相应的配套指引,这些都是内部控制鉴证的恰当标准,
这就为将内部控制鉴证定位为合理保证的业务提供了条件;最后,就证据的收集而言,在我国,前有注册
会计师提供内部控制审核经验的积累,后有其他国家开展内部控制审计的做法可资借鉴,“自上而下、风
险导向”的审计程序为注册会计师获取充分适当的证据提供了保证。
将内部控制鉴证定位为合理保证的鉴证业务不仅有利于预期使用者,而目有利于责任方。
尽竹提供高
水平的保证会使鉴证服务的成本增大,但相对内部控制失效给社会造成的损失而言,这些成本的花费是值
得的。
“变量相匀_影响观”只强调了注册会计师提供内部控制鉴证服务的供给方面,而没有考虑对内部控制鉴
证服务的需求方面,低估了注册会计师对内部控制提供高水平保证程度鉴证服务的能力,因而是不足取的。
综上所述,应将内部控制鉴证定位为合理保证的鉴证业务。
我国((ili业内部控制审计指引》第四条
规定,“注册会计师执行内部控制审计工作,应当获取充分适当的审计证据,为发表内部控制审计意见提
供合理保证。
”
(一)业务性质:
是行为或过程审计,还是信息审计?
按提出结论的对象不同,内部控制鉴证业务具有两种不同的选择:
一是直接针对内部控制的有效性提
出结论,一是针对竹理层内部控制评价报告提出结论。
前者实际上是对行为或过程的审计,属于直接报告
业务;后者实质上是对信息的审计,属于基于责任方认定的业务。
如果定位为行为或过程审计,注册会计师直接对内部控制进行审计并对内部控制的有效性发表意见,
其责任在于确定内部控制是否有效,关注的重点在于内部控制设计与运行的有效性。
审计报告无须提及竹
理层内部控制评价报告,审计意见的类型直接取决于内部控制的有效性,与竹理层内部控制评价报告无
关。
如果定位为信息审计,注册会计师对竹理层内部控制评价报告进行审计,其责任在于确定竹理层内部
控制评价报告的恰当性,关注的重点是内部控制评价报告是否符合实际,内部控制是否有效只是注册会计
师判断内部控制评价报告是否恰当的基础。
审计报告要明确提及竹理层内部控制评价报告。
如果被审计单
位内部控制存在缺陷但竹理层在内部控制评价报告中己作充分披露,那么注册会计师仍然可以出具无保留
意见。
只有当被审计单位内部控制存在缺陷而竹理层未发现或未作适当披露,注册会计师才可能出具保留
意见或否定意见。
两者的卞要区别如表2所示:
45
表2
行为或过程审计与信息审计的主要区别
┌──────────────┬────────────────────┬────────────────────────┐
│卜二J)'}h'+.lx.}uJ│信息审计│过程或行为审计│
├──────────────┼────────────────────┼────────────────────────┤
│业务类型│基十责任方认定的业务│直接报告业务│
├──────────────┼────────────────────┼────────────────────────┤
│预期使{}J者获取鉴证对象信│预期使{}J者不通过阅读内部控制审计报告_│可能不存在责任方认定('}}理层内部控制评价报│
│息的方式│使可获取责任方认定_即肯理层内部控制评│告),或虽然存在一但该认定无法为预期使用者获取:
│
││估报告│预期使{}J者只能通过内部控制审计报告获取上述信息│
├──────────────┼────────────────────┼────────────────────────┤
│提出结论的对象│鉴证对象信息_即肯理层内部控制评估报│鉴证对象_即企业内部控制│
││月吮││
├──────────────┼────────────────────┼────────────────────────┤
│责任方的责任│责了「方既对鉴证对象负责_也对鉴证对象│责了「方对鉴证对象负责│
││信息负责││
├──────────────┼────────────────────┼────────────────────────┤
│审计报告│明确提及责任方认定│直接提及鉴证对象和标准_少邵贞提及责任方认定│
└──────────────┴────────────────────┴────────────────────────┘
应将内部控制鉴证业务定位为何种性质的审计业务?
对此,卞要存在两种观点。
c}}o
观点一:
应将内部控制鉴证定位为信息审计,仅针对内部控制评价报告发表意见。
理由如下:
(1)雌业内部控制评价指引》已经明确要求公司对内部控制的有效性进行自我评价,并披露年度自我
评价报告,具备将内部控制鉴证确定为信息审计的条件。
(2)历史上的注册会计师审计从来只是钊‘对信息进
行审计,而未对行为或过程进行审计。
(3)相对行为或过程审计而言,信息审计具有更多的审计轨迹。
观点一:
应定位于行为或过程审计。
理由是,内部控制审计的实质是对行为和过程进行审计,而不是
对信息进行审计。
我们认为,将内部控制鉴证定位为行为或过程审计是合适的。
首先,将内部控制鉴证确定为何种性质的业务应当考虑在能实现内部控制鉴证这种制度安排根本目的
的前提下使得制度的实施成本最低。
内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部
控制。
由于尤论是将内部控制鉴证确定为何种性质的业务,都应对内部控制设计与运行的有效性进行审
计,因而均能实现内部控制鉴证这种制度安排的目的。
问题的关键在于实施这种制度安排的成本。
如果定
位为信息审计,注册会计师除了要对内部控制的有效性进行审计外,还要对,r}理层内部控制评价报告过程
的合理性进行评价。
很明显,将内部控制鉴证定位为信息审计,其实施成本高于行为或过程审计。
如果注
册会计师既要对内部控制发表意见,又要对内部控制评价报告发表意见,其实施成本与将内部控制定位为
信息审计尤异。
i1,因为如此,在美国,已不再要求注册会计师同时对内部控制评价报告和内部控制发表意
见,只要求其对内部控制的有效性发表意见(PCAOBASS2007)0
其次,尽,r}注册会计师卞要是对信息进行审计,但对过程和行为的审计在审计出现时就存在。
从本质
上看,内部控制审计就是对过程或行为的审计,这是审计在更高层次上的回归。
第二,,r}理层内部控制评价报告针对的是内部控制整体,而注册会计师关于内部控制有效性的审计意
见卞要针对则务报告内部控制,两者在日径上存在差异。
将内部控制定位为信息审计,会加大注册会计师
的责任。
(u}}还有观{从认为_内部控制审计既是信息审计又是行为或过程审计例如_根据2002年7月通过和生效的萨班斯法第404条款及相
关51;(:
规则的规定_从2004年11月15口结束的会计年度开始_担任在51;(:
登记上市的公司年报审计的审计人必须在其审计报告,},发表以
下3种审计念见:
关十则务报表是否公允反日央的念见:
④关十经营者的则务报告内部控制报告是否可靠的念见:
(V4)关十则务报告内部
控制是否有效的念见
46
最后,如果将内部控制鉴证定位为信息审计,预期使用者有可能将注册会计师对内部控制报告发表的
意见误解为对内部控制有效性发表的意见;如果要求同时对内部控制评价报告和内部控制的有效性发表意
见,在注册会计师对竹理层内部控制评价报告发表无保留意见,而对内部控制发表否定意见的情形下,预
期使用者将产生迷惑。
因此,将内部控制鉴证定位为行为或过程审计是合适的。
((}}.业内部控制审计指引》第一条规定,
“内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
”在
审计报告意见段要求注册会计师对内部控制的有效性发表意见,并没有提及竹理层内部控制评价报告。
很
明显,((}}.业内部控制审计指引》己将企业内部控制审计定位为行为或过程审计。
(二)鉴证范围:
是内部控制整体,还是则务报告内部控制?
内部控制是由企业策事会、监事会、经理层和全体员工实施的、n在实现控制日标的过程。
从系统论
的观点看,内部控制是由多个子系统组成的有机整体,其中则务报告内部控制是其重要组成部分。
如何确
定内部控制审计的内容边界呢?
对此存在以下两种观点:
观点一:
内部控制审计的范围应涵盖内部控制整体(如孙文刚,2009)。
理由如下:
(1)利益相关者关注的不只是报告日标,除了报告日标外,他们还关注合规、安全、经营和战略日
标;}2)竹理层内部控制评价报告是针对内部控制整体而不是仅限于则务报告内部控制;}3)多数内部
控制的政策和程序并非仅针对报告日标而设计,很难明确划分则务报告内部控制。
观点一:
内部控制审计的范围应仅限于则务报告内部控制(如谢晓燕等,2009)。
理由如下:
}1)将内部控制的日标集中在则务报告可靠性上,更有利于保打‘广大投资者利益;}2)SE(7认为,
SOX法案404条款中内部控制的核心是钊‘对则务报告的;(3)即使将内部控制审计的边界定为“则务报
告内部控制”这一比较狭窄的范围,也会给上市公司增加大量的报告义务和成本负担;(4)从历史上看,
注册会计师对内部控制的检查或鉴证的范围从来只是针对则务报告内部控制。
(5)日前,美国、日本和
加拿大等国家均要求注册会计师就则务报告内部控制发表意见,尚无一例要求对内部控制整体发表意见。
因此,将内部控制鉴证定位为则务报告内部控制审计符合国际惯例。
我们认为,以上两种观点都有一定的合理性,也都存在一定的局限性。
从理论上说,既然称之为内部
控制审计,那么内部控制审计的日标就应当与内部控制的日标一致(不应仅局限于报告日标),其审计对
象应涵盖内部控制整体。
但内部控制审计这种制度安排,必须立足于国情,必须考虑企业的接受程度和承
受能力,必须考虑注册会计师的执业水平与能力,必须考虑制度的实施成本。
我国现阶段不具备对内部控
制整体进行审计的条件,如果操之过急,想一贼而就,可能事与愿违,}滔于被动。
将内部控制审计的内容
边界仅限于则务报告内部控制,尽竹能满足监竹机构的要求,但无法满足其他利益关系人的要求。
只有将两者结合起来,即以企业则务报告内部控制为卞体,同时兼顾非则务报告内部控制,才是我国
现阶段的现实选择。
理由如下:
从预期使用者的角度而言,内部控制审计的需求卞要源于监竹机构和投资者,则务信息的可靠性是其
关注的重点,而则务报告内部控制是保证则务信息可靠性的关键。
只有满足了则务报告内部控制的要求,
才能够合理保证企业则务信息披露的真实公允,才能够有效维打‘投资者的利益、促进资本市场健康稳定发
展。
因此,从政府监竹和资本市场监竹的角度看,内部控制审计的范围应以则务报告内部控制为卞体。
同
时,由于存在其他预期使用者,内部控制审计的内容应尽可能地兼顾这些预期使用者的要求。
从责任方的角度而言,保证则务报告真实可靠,是企业的法定责任,是维打‘社会公众利益的基础环
节,强化则务报告内部控制机制建设,是提升企业市场形象与诚信度、维护社会公众利益的基本要求;企业的经营竹理活动,归根结底要通过则务报告来反映,抓住了则务报告内部控制这条卞线,通过对则务报
告内部控制的有效性进行审计,并对审计过程中发现的非则务报告内部控制进行披露,在一定程度上抓住
了企业经营竹理与内部控制的重心和卞体,有利于企业强化则务报告内部控制,同时也有利于企业其他内
部控制的建设。
从注册会计师的角度而言,则务报告内部控制一直是注册会计师审计所关注的重点,己经形成了一整
套对则务报告内部控制进行检查和评价的方法。
内部控制审计以则务报告内部控制为卞体,同时兼顾非则
务报告内部控制,使得注册会计师审计重点突出,有利于降低制度的实施成本。
因此,((}}.业内部控制审计指引》第四条规定:
注册会计师应当对则务报告内部控制发表审计意见,
并对审计过程中注意到的非则务报告内部控制的重大缺陷,在审计报告中增加“非则务报告内部控制重
大缺陷描述段”予以披露。
这种安排遵循“立足国情,实行创新”的原则,既满足了现实需要,又为今
后鉴证范围的拓展留下了空间。
(四)时间界定:
是特定期间,还是特定日期?
关于内部控制鉴证时间的确定,理论界与实务界一直存在争议,卞要有以下二种观点:
观点一:
应对特定基准日内部控制的有效性进行审计,针对特定时点相关内部控制的有效性发表意见
(如李爽、吴溪,2003。
理由如下:
(1>内部控制是一个连续动态的过程,虽然部分控制运行后能够留下控制轨迹,如批准销售、发货
等,但也有很多控制在运行后是无迹可查的,如具体的业务活动过程。
注册会计师在审计内部控制时所使
用的审计程序往往只能获取时点的证据,当然也就只能钊‘对该时点内部控制的有效性发表意见。
(2>内部
控制审计的对象特殊,如对整个年度的内部控制做出测试和评价,其成本是极其高昂的,也是无法实现
的。
(3)内部控制审计相当于体检,只能对某一时点内部控制是否存在重大缺陷发表意见。
}4)与PCA-
OBASS的要求一致,符合国际惯例。
观点一:
应对特定时期内部控制的有效性进行审计,针对特定时期相关内部控制的有效性发表意见
(吴水澎等,200Q潘秀丽,2001)。
理由如下:
(1)虽然内部控制的有效性是就某一时点而言的,但某一时点有效的内部控制并不能说明它能保证
年度则务报告的可靠性,也不能保证企业在整个期间内守法经营。
(2)内部控制与则务报表审计整合进
行,应当与则务报告所覆盖的期间相一致。
因为整个时段的则务报告内部控制都会影响到则务报告的可靠
性。
(3)预期使用者希望内部控制鉴证是对特定期间内部控制的有效性发表意见。
观点二:
应对特定时期内部控制设计与运行的有效性进行审计,针对特定基准日的相关内部控制的有
效性发表意见(PainJ.W.,200刘明辉、何敬,2009。
其理由是,注册会计师要在一年的不同时点
对内部控制的有效性获取证据,并更新这些证据,以支持会计期末内部控制有效的结论。
我们认为,在确定内部控制鉴证的时间范围时,应考虑鉴证业务二方的相匀_作用。
从预期使用者的角度来看,由于内部控制是在“特定期间”中的客观存在和实施的,预期使用者具
有理性卞义和要求结果理性的倾向。
他们认为,注册会计师凭借理性应当能对特定期间内部控制的有效性
发表意见。
但他们对内部控制的鉴证程序并不十分了解和关注,也没有能力评价鉴证程序的合理性。
与预期使用者相对,注册会计师具有有限理性和程序理性的倾向。
他们深知,只能通过内部控制运行
的轨迹和表象来进行分析、推断作为“现象”的内部控制,而无法把握作为“物自体”的内部控制。
这
种有限理性中的测试和推断程序,从程序理性上讲还不足以保证特定期间内部控制的有效性,但却可以保
证特定时点上的有效性。
如果需要结果理性,那么注册会计师就必须在特定期间内对企业内部控制进行全程的同步了解和测试,这是不现实的。
内部控制审计中的审计轨迹、审计证据和审计成本都不允许注册会
计师对一个较长期间的内部控制的有效性发表意见。
从责任方来看,如果对特定期间的内部控制进行审计,并对特定期间的内部控制的有效性发表意见,
那么审计成本就会大大增加,这会增加公司的负担。
作为“游戏规则”的(((}}.业内部控制审计指引》应从二方的4_动中寻求平衡,平衡的结果是,从程
序上要求注册会计师应在特定期间对内部控制了解和有限测试,从结果上要求注册会计师针对特定时点的
内部控制的有效性发表意见。
(五)鉴证卞体:
内部控制审计和则务报表审计是否可由同一会计师事务所实施?
内部控制审计与则务报表审计是否可由同一会计师事务所实施?
内部控制审计业务是否应做为一项单
独的业务?
一种观点认为,内部控制审计与则务报表审计应当由同一会计师事务所实施,内部控制审计不能做为
一项单独的业务。
理由如下:
(1)则务报表审计中所获信息对于注册会计师形成则务报告内部控制有效性的结论所具有的潜在重
要性,注册会计师如果没有审计则务报表,就不能对则务报告内部控制是否有效发表意见。
(2)SOX法
案404(b)规定,注册会计师的鉴证和报告应当根据PCAOB发布或通过的鉴证业务准则进行,而A,这
个评价过程不应当作为一项单独的业务。
(3)整合审计有利于降低成本,减轻公司负担。
另一种观点认为,内部控制审计与则务报表审计不能由同一事务所实施,内部控制审计业务只能做为
一项单独的业务。
理由如下:
(1)两种审计的日标不同、发表意见的对象不一,整合审计难以保证审计质量,也无益于审计效率
的提高。
(2)由同一会计师事务所实施可能影响审计独立性。
我们认为,内部控制审计与则务报表审计是否应由同一会计师事务所实施,关键在于内部控制审计是
否能构成一项单独的业务。
内部控制审计是否构成一项单独的业务,卞要取决于它是否具有独立的鉴证日
标、鉴证对象、鉴证标准和鉴证报告。
内部控制审计是对内部控制的有效性发表意见,有着不同于则务报
表审计的日标;内部控制审计的对象是企业内部控制,鉴证对象独立;鉴证标准是己经颁布的企业内部控
制规范,鉴证标准独立;在我国,内部控制审计应出具单独的鉴证报
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内部 控制 鉴证