高新企业认证审计报告(收集3篇)
高新企业认证审计报告范文篇1
(一)历史争论--作用相斥
随着人们对报表审计中内部控制重要性认识的深入,是否对内部控制进行单独评价及报告作为难题之一逐渐浮出水面,成为历史上一个长期争论的话题。而争论的焦点在于:内部控制评价报告的出具是否会降低财务报表审计意见的可靠性。
20世纪60年代末70年代初,财务领域的学术研究逐渐表明,年度财务报告仅仅是债务和权益投资的部分决策因素,而对季度会计信息、内部控制、预测等信息的需求变得越来越明显。于是,一些学者开始对注册会计师进入这些领域的可能性进行了论证,并使用问卷表来调查公众对此的态度。美国注册会计师协会1953年出版的《注册会计师手册》中指出一个新建议:在审计人员对财务报表的意见中,应包括一个对内部控制系统的意见。这个建议立刻引起了激烈的争论,许多人指出:对内部控制在审计报告中加以评价容易引起误解。到60年代,《审计程序说明书第49号--内部控制的报告》把在审计报告中是否需要说明内部控制的权利交给了管理当局。这使得如何表达对内部控制评价的意见成为一个更加突出的问题。1980年,《审计准则公告第30号--内部会计控制的报告》取代了《审计程序说明书第49号》,《审计准则公告第30号》指出:为了表示意见,注册会计师必须审查企业的内部控制结构。审查既可独立进行,也可以结合财务报表审计进行。可见,《审计准则公告第30号》采取了折中的态度,这也反映了实际中人们对内部控制评价报告与审计报告二者关系认识上的转变。
在长期争论的基础上,人们对内部控制评价报告与审计报告关系的认识于80年代末出现了明显的改变。1988年,《审计准则公告第60号--审计师对关注到的内部控制结构相关事项的传达》被颁布,该公告要求注册会计师就控制环境、会计制度和控制程序中存在的重大不足与审计委员会进行沟通。1991年,美国国会通过了联邦储蓄保险公司利用法(FDICIA),这一法律规定:所有资产大于20亿美元的金融机构管理当局必须对内部控制结构的有效性进行声明。该法同时还要求注册会计师对管理当局的报告进行验证。21993年,美国注册会计师协会颁布了《鉴证业务准则第2号--财务报告外的内部控制报告》及《鉴证业务准则第3号--符合性鉴证》,对企业提供内部控制报告及注册会计师对其进行评价并表示意见提供指导。至此,对于内部控制评价与审计报告关系的争论,以职业规范对内部控制评价及出具报告的认可而告一段落。实践的发展告诉我们,对内部控制进行单独评价及报告是因实际需要而产生的,是经济健康发展的保证,是独立审计勇于承担社会责任的正确选择。
(二)关系重新定位
虽然对于内部控制报告与审计报告关系的争论已告一段落,但留给我们思考的问题是:内部控制评价报告是否影响审计报告的意见类型?内部控制评价报告到底是提高了还是降低了审计报告的可靠性?二者的关系到底如何定位?笔者试在以上论述的基础上,就此谈一些自己的看法。
审计报告是注册会计师对于被审计企业年度会计报表发表审计意见的书面文件。这里的会计报表是企业管理当局向外部信息使用者提供关于企业财务状况、经营成果及现金流量等方面财务信息的手段。一般地,会计报表主要包括资产负债表、损益表、现金流量表等。注册会计师以第三者身份,对企业管理当局提供的会计报表进行检查,并对会计报表的合法性、公允性和一贯性作出独立鉴证,以增加会计报表的可信性。内部控制评价报告是注册会计师对被评价企业内部控制声明书发表评价意见的书面文件。内部控制声明书是企业管理当局对其内部控制的完整性、合理性及有效性所作的认定。按最新理念,企业内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。注册会计师接受委托对企业管理当局的内部控制声明书中的认定进行鉴证,并发表评价意见,以满足利害关系人对此信息的需求。
高新企业认证审计报告范文篇2
CSR报告的概念最早出现在20世纪40年代,在70年代有过一段短暂的发展,但直到20世纪90年代后期,随着相关利益者越来越关注企业可持续发展方面的做法和绩效,加之企业社会责任思想的流行,越来越多的公司才开始披露社会责任报告。英国BP公司的石油泄漏(2010)、日本福岛第一核电站核泄漏(2011)更是在全球掀起了对社会与环境影响的关注高潮。目前社会与政府组织普遍对企业社会责任和环境活动及其影响予以关注,CSR审计报告鉴证研究应运而生(Hopwood,2009),有效的CSR报告和审计鉴证都将帮助企业建立良好的声誉(沈洪涛,2010)。在过去的二十多年里,会计师事务所不仅在财务信息审计鉴证上能给CSR审计报告鉴证的开展提供技能支持,而且诸如电子商务审计鉴证、环境审计鉴证等新市场方面的审计鉴证业务的开展更能给CSR审计报告鉴证提供更直接的经验支撑。一项最新的研究表明,“四大”关于CSR报告的审计鉴证业务市场正在不断扩大,CSR审计报告鉴证业务被鉴证组织、专门的咨询公司以及“四大”专业服务公司所分享。全球范围内第一份CSR审计报告鉴证出现于1992年,毕马威(KPMG,2011)进行了全世界范围的调查,反映有70%以上的G250企业和近65%的N100企业聘请专业的会计机构进行了CSR报告的审计鉴证,这充分表明CSR审计报告鉴证业务已经在全球范围内得到了价值肯定和市场需求。与国际上由注册会计师主导CSR审计报告鉴证行为的状况相反,目前我国注册会计师在这一领域中的市场份额较低(沈洪涛,2010),CSR审计报告鉴证工作在我国的开展较为迟缓。我国第一份经审计鉴证的CSR报告是中远集团《2005年度可持续发展报告》,由挪威船级社(DNV)和中国企业联合会全球契约推进办公室共同为其出具审计鉴证报告(2006),这也拉开了我国CSR审计报告鉴证的序幕。2009年上交所、深交所指引,自此企业社会责任报告出现井喷式增长,企业社会责任中国网数据统计显示,2013年前十个月了1525份CSR报告,比2012年同期增加了188份,增幅为14.1%,但仅有171家企业进行了CSR审计报告鉴证,说明进行报告鉴证的企业并没有同趋势地增长。2010~2013年,我国虽然经第三方独立审验的报告数量连续递增,但相对于报告整体数量增幅,经审计鉴证的报告数量增幅则略显缓慢(商道纵横《2012-2013年中国企业社会责任报告研究》,2013),2013年CSR报告虽然在第三方审验方面有较大提升,但仍处在较低水平(《金蜜蜂中国企业社会责任报告研究2013》,2013)。
二、企业社会责任审计报告鉴证标准
目前在国际上,CSR审计报告鉴证多采用自愿选择的方式,在国家层面上强制要求企业对CSR报告进行审计鉴证的只有三个欧洲国家。其一是法国,自2001年起法国要求公众公司将环境信息纳入年报,并要对这些环境信息提供第三方鉴证。其二是瑞典,从2008年起瑞典所有国有企业要公布经过第三方鉴证的社会责任报告。其三是丹麦,从2009年起规模较大的约1100家国有控股公众公司要将可持续发展信息纳入年报或者出具独立报告,且这些披露的信息必须经过第三方鉴证。但是值得注意的是,无论是自愿披露还是强制披露模式,国际上并没有形成统一的CSR审计报告鉴证标准,这极大地增加了CSR审计报告鉴证业务开展的难度。考虑到专业会计人员对CSR审计报告鉴证的职业素质与能力的增长要求,许多国际组织或国家机构都开始或正在制定相应的标准,例如社会和伦理责任协会(ISEA)是全球最早颁布关于CSR审计报告鉴证标准(AA1000AS,2003)的组织,其制定的AA1000AS(2008)和国际审计与鉴证标准委员会(IAASB)制定的ISAE3000(2005)是国际上G250、N100企业最常用的CSR审计报告鉴证标准。IS?EA颁布的《AA1000审验标准2003》以及修订版《AA1000审验标准(2008)》将审验标准中的AA1000原则独立为一个单独的标准,包含三项原则,即:包容性原则、实质性原则和回应性原则,它是与利益相关者视角最为贴近的国际标准;IAASB的ISAE3000则旨在为专业会计师提供非财务鉴证业务应遵循的原则和重要的程序。此外还有全球报告倡议组织(GRI)制定的G4可持续发展报告指南、欧洲会计师联合会(FEE)有关可持续发展鉴证的系列讨论稿、必维国际检验集团(BV)和挪威船级社(DNV)的各鉴证标准。GRI指引第一版于1999年,2006年的第三版也就是G3指南中就提出了可持续发展报告鉴证的建议,2013年的G4指南中对鉴证提出了更深层次与更具体的要求,建议企业选择外部鉴证。FEE(2002,2006)在其系列讨论稿中认为在可持续发展标准传播的早期阶段,应通过独立鉴证提高可持续发展报告的可信度,增强股东的信心。我国目前对于CSR审计报告鉴证采用自愿披露模式,同时也没有专门的、统一的CSR审计报告鉴证标准,但是在审计报告鉴证的过程中除参考国际上整理的CSR审计报告鉴证标准外,还是应用了诸如《中国纺织服装企业社会责任报告验证准则》、《中国企业社会责任报告编写指南》等呈现本土化特色的审计报告鉴证条款。
三、企业社会责任审计报告鉴证基础理论
1.从国外CSR审计报告鉴证基础理论研究情况来看,主要有:(1)对CSR审计报告鉴证概念的初步界定。Owen等将社会责任审计定义为“一个组织决定其对社会的影响以及衡量和向公众报告这些影响的全部过程”;CSR报告鉴证可以看做是为缩小报告提供者和使用者之间的“信任差距”,从而由报告编制者以外的独立第三方对企业所编制的CSR报告进行鉴证的一种社会责任审计活动;AA1000AS中“验审”被定义为审验机构通过采取一定的方法和流程,根据适用的规范和标准,对组织公开披露的绩效信息及其管理体系、数据和流程作出评估,以提高组织公开披露信息的可信度。(2)CSR审计报告鉴证框架的研究,例如主体研究。在目前更多企业倾向于选择第三方独立机构如会计师事务所进行CSR审计报告鉴证(Simnett,Vanstraelen&C.W.Fong,2009)的大流下,另有两种观点:一是认为企业内部管理机构是CSR审计报告鉴证主要提供者,因此CSR审计报告鉴证应当由内部审计人员进行(Allegrinietal,2011;Ridleyetal,2011);二是发现存在管理者控制CSR审计报告鉴证的迹象,导致审计鉴证缺乏独立性,认为必要时应当让利益相关者参与到审计鉴证的过程中(Brendano’Dwyer&DavidL.Owen,2005)。(3)从不同角度分析报告鉴证的影响因素。PeregoP.和A.Kolk(2012)探讨了跨国公司如何采取保证措施来维持和发展企业问责制的可持续性,发现外部制度的压力和内部资源、能力是推动企业进行报告鉴证的基本因素;GaryF.Peters和AndreaM.Romi(2013)研究了可持续性治理特征对CSR报告自愿鉴证的影响,认为环境管理委员会的存在促使企业进行自愿的报告鉴证,并且多选择内部审计师进行审计,而首席可持续发展官对企业是否进行自愿报告鉴证并无影响。
2.国内关于CSR审计报告鉴证的研究刚刚起步,研究较少,主要集中于以下三个方面:(1)对CSR审计报告鉴证概念的界定。《中国纺织服装企业社会责任报告验证准则》中阐述了验证、保证和鉴证的不同定义,验证和鉴证都是保证的具体形式。在CSR报告—GATEs体系内,CSR报告鉴证是指中国纺织工业协会就报告符合《中国纺织服装企业社会责任报告纲要》的程度做出评价,就报告验证的基本过程和结果做出的公开声明,以证明报告披露的信息的基本质量和报告验证的真实性、独立性和公正性。张和平(2012)给第三方审验下了定义,认为CSR报告第三方审验是指由与企业不存在利益关系的第三方审验机构通过一定的方法和流程,根据使用的规范和标准,评价企业社会责任报告披露的信息,管理体系、数据和流程,以及报告遵循实质性、可靠性、准确性、完整性、平衡性等原则的具体情况。(2)CSR审计报告鉴证框架的研究,包括动因(刘钧,2013)、主体(周晓惠、许永池,2011)、模式(赵哲,2011)等。袁蕴(2011)、严培蓓(2011)、张庆龙等(2012)从第三方审验的目标、审验标准、审验的内容、执行主体、程序和技术、验审时限和审验报告等七个方面来构建上市公司CSR审计报告鉴证的框架。而在主体研究方面,我国不同于国际上百花齐放的观点,国内大部分学者都认为注册会计师应当成为CSR审计报告鉴证的主要提供者(黄彤,2012;张和平,2012),主要在于注册会计师可以提高鉴证质量,增强我国CSR报告的可信度和有效性(沈洪涛等,2010)。(3)对CSR审计报告鉴证影响因素的探讨。其中具有代表性的沈洪涛(2011)的研究显示,企业社会责任表现能提升企业声誉;CSR报告能有效传递社会责任表现的信息,增强社会责任表现与企业声誉之间的正向关系;CSR报告鉴证并没有显著促进社会责任表现对企业声誉的作用。李正、李增泉(2012)运用事件研究法研究发现,CSR报告鉴证意见具有正向的市场反应,而董事会承诺不具有市场反应。
四、企业社会责任审计报告鉴证风险控制
20世纪60年代,在研究以内部控制为基础的审计的过程中,美国学者首次发现了控制风险的问题,并建立了评估控制风险的措施(Brown,1962)。
1.审计风险及其控制。目前,对于审计风险的涵义各执一词,国际审计准则第25号《重要性和审计风险》将审计风险定义为,审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险;国际会计师联合会(2004)则认为审计风险应为“当财务报表存在重大错报而审计师发表不恰当审计意见的可能性”;美国注册会计师协会(AICPA)认为审计风险是指审计人员针对含有实质性错误陈述或重大错误陈述的财务报表不恰当审计意义的风险,由固有风险、控制风险与检查风险组成。而就审计模式来说,目前国际上采用的审计模式是风险导向审计模式,因为能够在越来越复杂的业务和审计环境下发现企业资产缺失的问题(Knechel,2001)。近几年来,学者也对审计风险进行了长足的研究,包括审计风险的定义(谢晓燕、黎菁,2013)、成因(岳向黎,2013)、对策(李露璐,2013)等。与此同时,审计业务约定书不规范、风险评估程序未得到有效实施和进一步审计程序选择不合理(王海燕,2013)等原因造成了很大的审计风险,我们不能单一地看“发表不恰当意见论”和“带来的损失论”(谢晓燕、黎菁,2013),应当通过提高审计人员综合素质、强化风险意识和谨慎、客观发表审计意见来防范审计风险(李述有,2012)。马春英和周允征(2011)以我国环境审计风险现状和面临的问题为基础,首次构建了我国环境审计风险模型,认为环境审计风险=外部风险(概念风险、准则风险、政治风险、环境风险)×执行风险(可接受的环境审计风险条件下的重大错报风险、环境检查风险)。美国注册会计师协会制定的审计风险模式为:审计风险=固有风险×控制风险×检查风险。而国际会计师联合会(IFAC)下属的国际审计和鉴证准则理事会(IAASB)推行的审计风险模式(2003)为:审计风险=重大错报风险×风险检查。
2.社会责任审计风险及其控制。社会责任审计风险即审计人员通过实施社会责任审计未能发现被审计单位所披露的社会责任信心中存在的重大错误而发表无保留意见审计报告的可能性(宋娜,2012)。关于社会责任审计风险的研究文献屈指可数,韩晓梅(2006)基于社会责任观探讨了审计风险的演变,即:审计风险=企业社会责任风险×企业经营风险×企业控制风险×财务检查风险×非财务检查风险×委托人满意度风险;郑晓青(2014)在审计风险基本模型的基础上,加入了行业环境、内部控制结构、社会责任审计内容、社会责任审计标准、会计师事务所等五个社会责任审计的风险因子,构建了社会责任审计风险模型。范妮娜等(2011)认为应该从审计评价标准、内部控制、审计人员素质及审计方法等方面加强社会责任审计风险控制。梁飞媛等(2011)从企业内外部考察社会责任风险的控制路径,认为一方面企业应将社会责任风险控制纳入企业风险管理和控制之中,另一方面企业外部利益相关者应做好监管工作。王清刚(2012)基于智能风险管理理念,分析了企业社会责任管理中的主要风险,主要从企业内部四个方面构建了风险导向的企业社会责任管理框架。
五、研究述评与展望
国外对于CSR审计报告鉴证的研究很早就开始了,一些欧洲国家甚至强制性要求企业进行报告鉴证,鉴证发展较为迅速,而我国的研究才刚刚起步,目前也才停留在自愿鉴证的阶段,进行报告鉴证的数量还比较少。国内外CSR审计报告鉴证的相关研究虽然取得了一定的成果,但是仍然存在着问题,CSR审计报告鉴证研究仍是一个较新的、机会与挑战并存的领域。
1.CSR审计报告鉴证现状研究组织与学者齐头并进,研究成果丰硕。关于CSR审计报告鉴证研究现状方面,各组织的力量占据绝对地位,其中商道纵横和金蜜蜂等在这方面做出了巨大的贡献,时刻关注我国的CSR报告动态,可以成为各学者研究我国CSR审计报告鉴证的重要数据来源。重要的学者诸如沈洪涛教授,在企业社会责任的研究方面成果丰硕,尤其是在CSR报告鉴证研究方面,居于我国该方面研究的领头羊位置,沈教授对我国CSR审计报告鉴证的情况开展了深入的研究,为该方面的研究奠定了坚实基础。
2.CSR审计报告鉴证标准未统一,研究较为表面。国内有关CSR审计报告鉴证标准的研究较少,且较少从实证的角度来分析CSR报告鉴证标准,几乎都是对国际上的CSR审计报告鉴证各标准的比较研究,并且没有考量我国国情,研究较为表面化。同时,各类国际和国内组织都相继出台了CSR审计报告鉴证标准,标准繁多也就意味着会促使各鉴证机构的鉴证依据选择自主性大且不统一,容易导致CSR审计报告鉴证结果缺乏可比性。可见,制定统一的鉴证标准亟待解决,未来应当加大对CSR审计报告鉴证标准的研究与制定强度,以期更加有效地引导CSR报告内外部审计鉴证业务的开展。
3.对CSR审计报告鉴证基础理论研究不成系统,概念界定不严谨。CSR审计报告鉴证、CSR审计报告鉴证风险的概念界定是CSR审计报告鉴证框架和CSR审计报告鉴证风险控制体系构建的基础,如果对这两项概念内涵定义得不严谨或不清晰,必然会影响框架和风险控制体系的科学性、可靠性。但是,目前不仅是学术界对该定义呈现百花齐放的局面,而且各国际机构对其的定义也没有统一。虽然国内对CSR审计报告鉴证框架诸如目标、动因、主体、标准及程序等方面都有涉及,但大多浅尝辄止,或仅就其中的某个方面进行重点探讨,没有形成较为完善、系统的理论框架,突出表现为:CSR审计报告鉴证框架内容方面零散而不成系统、CSR审计报告鉴证观点统一化(如主体)、偏向于从外部因素来探讨CSR审计报告鉴证等。未来可以加强对理论的整体系统研究,观点应当考虑实际情况,并且可以适当地内外部结合来探讨CSR审计报告鉴证的影响因素,如公司治理、内部控制等。
高新企业认证审计报告范文篇3
关键词:注册会计师;内部控制;审计风险
中图分类号:F239.4文献标识码:A文章编号:1003-3890(2011)10-0067-03
内部控制是基于公司管理的需要而产生的。建立内部控制制度的目的是为了保证会计记录的可靠性,因为内部控制制度可以约束管理层或职员随机错报的可能性,进而对财务报告内容的真实性提供合理保证,成为确保财务报告可靠性的另一项重要制度安排。然而,由于内部控制的局限性以及公司管理层面临的压力、机会和借口,管理层披露的内部控制自我评估报告的可信性仍然不够高,因此需要注册会计师对管理层披露的内部控制自我评估报告进行审计,以增强公司内部控制信息的可信度,内部控制审计业务应运而生,随之而来的内部控制审计风险也就产生了。
一、内部控制审计业务的产生
内部控制审计业务源于20世纪70至80年代的美国,起因是上市公司出现的舞弊财务报告、公司管理层和破产倒闭等事件。1987年美国Treadway委员会提交的报告指出,大约一半的欺诈性财务舞弊案例是因为内部控制失效而产生的。随后Treadway委员会发表研究报告,建议所有上市公司应当在年度财务报告中附列有管理层签名的内部控制报告,切实履行最高管理层建立并维持适当内部控制的承诺。但这一建议并不具有强制性。1992年的COSO框架确定了内部控制的五个核心要素:控制环境,风险评估,控制活动,信息与沟通,监控。1994年美国注册会计师协会主席建议,公司管理层应当对内部控制的有效性发表报告,且注册会计师对管理层报告提供评估。2004年,COSO框架又增加了三个要素,即目标设定、事项识别和风险应对,以强化该框架的风险管理部分。从此内部控制审计业务开始走上规范化的轨道。
中国上市公司内部控制审计制度始于2002年。2002年2月,中国注册会计师协会《内部控制审核指导意见》,该意见规定,注册会计师接受委托,就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见,从而正式确立了中国的内部控制审计制度。
二、内部控制审计业务的性质
从国内外内部控制审计业务的产生来看,内部控制审计业务属于一种鉴证业务,是由注册会计师接受委托进行的鉴证业务。在中国,从《内部控制审核指导意见》(2002)到《企业内部控制鉴证指引(征求意见稿)》(2008),再到《企业内部控制审计指引》(2010),内部控制审计业务的性质始终围绕鉴证业务来定性。
2002年3月,中国注册会计师协会制定了《内部控制审核指导意见》,该意见明确规定了内部控制审核的定义,内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核并发表审核意见。该意见还规定按照国家有关法规的要求,建立健全内部控制并保持其有效性,是被审核单位管理当局的责任;注册会计师的责任是了解、测试和评价内部控制,出具审核报告。从此,中国的内部控制鉴证业务开始走上规范化的道路。
2006年以后,中国上市公司内部控制审计制度发生了很大的变化,监管部门通过上市公司年度财务报表披露等途径,鼓励上市公司自愿披露内部控制鉴证报告。2008年7月1日,由中国注册会计师协会并施行企业内部控制鉴证指引(征求意见稿)》明确规定了企业内部控制鉴证的含义:会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。还明确规定注册会计师的责任是在实施鉴证工作的基础上,对内部控制有效性发表鉴证意见;在对内部控制有效性形成意见后,注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。
为了更加有效地促进上市公司建立、实施和评价内部控制,进一步深化内部控制鉴证业务,规范会计师事务所内部控制审计行为,2010年4月26日,中国财政部会同证监会、审计署、银监会、保监会联合制定并了《企业内部控制评价指引》和《企业内部控制审计指引》。其中,《企业内部控制审计指引》规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这一制度的施行对防范企业风险、规范企业管理、指导注册会计师进行内部控制审计业务具有重大的历史意义。
三、中国内部控制审计业务发展中存在的问题
(一)内部控制审计业务的相关规范缺乏强制性
在2006年以前,中国相关监管部门对内部控制审计缺乏强制性的规定,这就导致部分上市公司管理层不愿意主动对外披露内部控制信息。例如,为了规范上市公司内部控制的建立、运行和信息披露,中国深圳证券交易所(简称:深交所)于2006年9月了《深圳证券交易所上市公司内部控制指引》(简称:《深交所指引》),《深交所指引》规定,注册会计师应当直接对公司内部控制的有效性进行评价,并出具鉴证报告;《深交所指引》的颁布,旨在通过提高上市公司内部控制建立和运行的透明度以及内部控制信息披露的充分性,来改善上市公司内部控制的运行效果。证监会公告[2008]48号《关于做好上市公司2008年度报告相关工作安排的公告》规定:上市公司应当在2008年年报中全面披露公司内部控制机制建立健全的情况。从上述规定我们看到,相关规范只是引导上市公司应当出具鉴证报告,并没有强制要求必须出具鉴证报告,这就直接导致绝大多数上市公司不愿意披露自身存在的内部控制缺陷,也不愿意聘请会计师事务所鉴证其内部控制。相关研究成果也证实了这一点。杨有红、汪薇(2008)通过描述性统计对2006年沪市年报内部控制信息披露的现状进行了分析,认为2006年沪市公司内部控制信息披露存在内部控制信息披露的强制规定未得到有效执行、内部控制信息自愿性披露动机不足、内部控制自我评估和会计师事务所的核实评价缺少统一的标准等问题。杨德明、王春丽、王兵(2009)利用A股上市公司2007年度相关数据进行的实证检验分析发现:上市公司内部控制环境越好,越容易收到清洁的审计意见;上市公司在披露内部控制鉴证意见时,明显存在"报喜不报忧"的披露管理行为。
(二)内部控制审计主体单一
从《内部控制审核指导意见》(2002)到《企业内部控制鉴证指引(征求意见稿)》(2008),再到《企业内部控制审计指引》(2010),这三项法规规定的内部控制审计主体都是注册会计师所在的会计师事务所。最新法规《企业内部控制审计指引》规定:会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。而这个“特定基准日”在《企业内部控制评价指引》(2010)中规定为12月31日,并且要求企业内部控制评价报告应于基准日后4个月内报出。这个时间刚好与财务报告审计报告报出的时间重合。在审计时间有限、具有上市公司审计资格的会计师事务所数量有限、会计师事务所从业人员知识结构不太合理、企业内部控制不够健全且执行不够有效等情况下,作为内部控制审计主体的注册会计师则感觉到心有余而力不足。
(三)对内部控制审计风险的研究较少
在中国注册会计师审计准则中,内部控制测试结果一直是注册会计师确定实质性程序的重要依据。因为注册会计师在执行财务报告审计程序时,已经对同一被审计单位的内部控制风险进行了测试。然而,随着企业经营环境的变化,企业的经营业务日趋复杂,企业的内部控制难以做到健全。而且,企业内部控制审计业务在中国还尚属新业务,这一新业务的开展还处于探索阶段;加之,中国注册会计师审计职业还比较年轻,现有执业人员中,能够胜任内部控制审计业务的人才占较少的比例。
另外,从内部控制审计业务的性质分析中我们也看到,内部控制审计业务的内容在发生变化,审计范围在扩大。《内部控制审核指导意见》中规定的内部控制审计内容是被审核单位管理当局对特定日期与会计报表相关的内部控制有效性;《企业内部控制鉴证指引(征求意见稿)》中规定的内部控制审计内容是被鉴证企业与财务报告相关的内部控制的有效性;《企业内部控制审计指引》中规定的内部控制审计内容是被审计单位特定基准日内部控制设计与运行的有效性。这一细微的变化,不仅增加了注册会计师的审计成本,而且也增加了注册会计师的审计风险。
四、内部控制审计风险的控制路径
作为内部控制审计主体的注册会计师,如何在有限的时间内,对企业特定基准日内部控制设计与运行的有效性获取充分、适当的审计证据,合理控制内部控制审计风险,已经成为注册会计师必须要面对的现实问题。笔者认为,在当前企业经营环境比较复杂、内部控制信息披露不充分、不主动等情况下,注册会计师可以先从严格律己开始做起,首先培养内部控制审计复合型人才,其次是加强与企业内部审计部门的联系,第三是有效整合内部控制审计业务与财务报告审计业务。
(一)尽快培养内部控制审计复合型人才
内部控制审计是否能够帮助企业防范风险,归根到底还得依赖内部控制审计人员高水平的业务素质。《企业内部控制审计指引》第六条规定,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,但并没有对内部控制审计人员应当具备哪些具体方面的专业胜任能力作出具体规定。企业经营环境的多变性,经济业务的复杂性,审计时间的局限性,都在一定程度上影响着内部控制审计风险。笔者认为,内部控制审计人员至少应当具有敏锐的观察能力、缜密的思维能力、过硬的专业知识、合理的知识结构等能力,只有拥有一批高素质的内部控制审计从业人员,才能胜任内部控制审计工作;而建立内部控制从业人员后续教育体制是培养高素质的内部控制审计人才的制度保证。
(二)切实加强与企业内部审计部门的联系
在企业全面风险管理框架的指导下,企业内部审计部门的工作重点是协助企业建设内部控制。在现代企业管理过程中,内部审计作为企业内部控制的一个重要组成部分,具有监督内部控制其他环节的职责。内部审计应有的作用不仅在于监督企业的内部控制是否被执行,还应该帮助企业进行控制环境的营造,成为内部控制过程设计的顾问,在帮助管理层更有效地达到预期控制目标的过程中,发挥着较大的作用。因此,内部审计人员在了解、评估内部控制的风险水平方面,较会计师事务所的注册会计师更加深入与恰当。《企业内部控制审计指引》第九条明确规定,注册会计师利用企业内部审计人员的工作,可以相应减少可能本应注册会计师执行的工作。在内部控制审计时间有限、审计经验不足、审计业务复杂等情况下,只有加强与企业内部审计部门的联系,较为深入地了解内部控制,谨慎而合理地评估内部控制风险水平,才能合理控制内部控制审计风险。
(三)有效整合内部控制审计业务与财务报告审计业务
由于中国企业的内部控制报告都包含在企业财务报告之中,因此审计主体主要还是由注册会计师在对企业的财务报告进行审计的同时,整体地对报告中相应的内容进行评价,因此,实施内部控制审计的主体与实施财务报告审计的主体是一致的。当前主流的财务报告审计方法是风险导向审计,要求注册会计师在实施进一步审计程序之前,应当首先了解被审计单位及其环境(包括内部控制),并评估内部控制的风险水平,然后再根据内部控制的风险水平决定下一步的审计程序。既然对内部控制的了解和评估是企业财务报告审计的必要环节,我们不如把内部控制审计与财务报告审计整合进行。一方面可以避免重复审计,减少被审计单位的检查负担,节约审计成本;另一方面还有利于注册会计师统筹控制审计风险水平。因此笔者认为,同一家客户的内部控制审计与财务报告审计应当由同一家会计师事务所执行。
参考文献:
[1]WeiliGe,SarahMcvay.TheDisclosureofMaterialWeaknessesinInternalControlaftertheSarbanes-OxleyAct[J].AccountingHorizon,2005,(Sep):137-158.
[2]AndrewJ.,Leone.FactorsRelatedtoInternalControlDisclosure[J].JournalofAccountingandEconomics,2007,(Sep):224-237.
[3]OgnevaM.,RaghunandanK.,SubramanyamK.R..InternalControlWeaknessandCostofEquity:EvidenceFromSOXSection404Disclosures[J].TheAccountingReview,2007,(82):1255-1297.
[4]PattersonE.R.,SmithJ.R..TheEffectsofSarbanes-OxleyActonAuditingandInternalControlStrength[J].TheAccountingReview,2007,(82):427-455.
[5]饶盛华.加强企业内部控制是当务之急――ST郑百文的警示[J].中国注册会计师,2001,(6):52-54.
[6]张立民,钱华,李敏仪.内部控制信息披露的现状与改进――来自我国ST上市公司的数据分析[J].审计研究,2003,(5):10-15.
[7]陈关亭,张少华.论上市公司内部控制的披露及其审核[J].审计研究,2003,(6):34-38.
[8]张刚,周云鹏.内部控制审核报告分析[J].广东经济管理学院学报,2004,(6):67-69.
[9]杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008,(3):35-42.
[10]杨德明,王春丽,王兵.内部控制、审计鉴证与审计意见[J].财经理论与实践,2009,(3):60-66.
[11]邓美洁,吴国萍.美国内部控制审计制度及其对我国的启示[J].税务与经济,2011,(4):69-72.
