上市公司内部控制审计相关问题的探讨

《上市公司内部控制审计相关问题的探讨》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

上市公司内部控制审计相关问题的探讨内部控制审计在我国目前来说还是一项新兴业务，无论是在理论界还是在实务界均存许多问题需要研究。本文鉴于在去施内部控制审计过程中一些有争议的问题提出一些个人的见解，，供学习和研宄使用，己的信息，关键词内部控制内部控制审计内部控制基本规范内部控制配套指引C931.2A2008年5月，财政部会等五部委联合发布了《企业内部控制基本规范》（以下简称《规范》），标志着我国内部控制审计业务即将展幵。2010年4月，五部委又联合发布了《企业内部控制配套指引》（以下简称《指引》），虽然正式的准则在我国还未出台，但是指引的发布无疑是确定Y注册会计师内部控制审计的标准。这个标准的确立标志着在我国保证财务报告可靠性机制建设也被键到了同等秉要的地位。同年底，深交所在《关于做好上市公司2010年度报告披露工作的通知》也明确要求中小企业板和创业板公司应当至少每两年要求独立的第三方，即会计师事务所对公司与财务报告相关的内部控制有效性出具一次内部控制审计报告。内部控制审计的定义是会计师事务所接受企业委托，对企业特定基准日（下文会对基准日进行讨论）内部控制设计与运行的有效性进行 审计，并对其有效性发表审计意见。与传统的审计业务相比，内部控制审计业务在我国还处于起步阶段，尚存在很多理论和实务问题亟待进一步解决，本文利用现有的《规范》、《指引》，对企业内部控制审计相关问题展开讨论。1关于内部控制审计业务的类型和目的从我国这些年发布的相关规定来看，早期对于内部控制审计业务的类别或是目的是不太明确的。我们从2002年国家发布的《内部控制审核指导意见》可以注意到，从内部控制审计的定义和后面所述的审计报告的引言段的相关规定来看，审计业务的类引是注册会计师对管理层的对内控的评估进行审核并就此发表审计意见：但该指导意见在审计报告的意见段里又说明审计结果应当说明被审计单位于某一基准日在所有重大方面是否保持了与财务报表相关的、有效的内部控制，这其实又表明内部控制审计的目的是对公司内部控制的有效性进行评价并出具鉴证报告。时至2008年5月22日发布的《企业内部控制基本规范》对于审计业务的类别采用的是后者观点，即对有效性进行评价：“指引征求意见稿”对鉴证报告的引言段的规定及示例又明显的偏向前者。内部控制审计究竟属于哪一种业务，它的0的到底是提高管理层自我评估的可信性还是由第三方进行的、与管理层的自我评估并行的内部控制评价?如果是后者的话，那么管理层对内部控制进行自我评估并公开报告的意义又在哪里?实际上，内部控制评价与注册会计师是两 种不同的责任。真正在执业的过程中必须得理清这两者之间的关系，管理层的责任是建立、健全内部控制，并有效的实施内部控制，最后评价其有效性；而注册会计师的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。基于成本与效益原则，两者的工作是可以相互利用的。在对企业内部控制自我评价工作的评估上，注册会计师可以判断或是决定是否利用内部人员的工作，当然不管是否利用他人的工作，会计师事务所都应对发表的审计意见承担全部责任。综上所述，内部控制审计到底是哪一种类型实际上是不重要的，只要在审计的过程中我们能明确为什么耍进行这样的审计，怎么来权衡审计成本与效益就可以了。2关于内部控制审计的方法一项新的业务，我们了解审计的目的后，接着需要知道如何来进行审计，也就是按什么方法按什么步骤来进行审计。是依托传统财务报表审计，还是借鉴现代风险导向审计的理念?sox颁布后，众多专家学者及一些专业机构都对如何对内部控制进行审计提出了自己的方法，经过研究国外现行的做法，发现其中有一共同点就是基本上都使用了自上而下的方式实施内部控制审计。结合实施风险导向审计的思路，《指引》也规定采用自上而下的审计方法实施审计工作。自上而下的方式第一层是从财务报表层次初步了解内部控制整体风险。第二层是识别企业的内部控制，第三层是识别重要账户、列报及其相关的认定，第四层是了解错报的可能来源及选择将要进行测试 的财务报告相关控制，最后一层是执行控制测试。这种方法始于报表层次，结束于控制测试，注册会计师通过初步了解与财务报表相关的风险，可以从整体上识别或是Y解为保证财务报告合法公允的内部控制而必需具备的公司层面的内部控制。注册会计通过对企业层面内部控制的评价结果，并以这个结果来重新调整测试其他控制的性质、时间、范围及人员安排等。有鉴于此，注册会计师也可以直接在审计业务的初期阶段就对企业层面的内控进行评价，在一定程度上节约审计成本。在第三个层次上，注册会计师在考虑某账户或列报的重要性时要注意不要首先就考虑相关控制的影响，应把考虑的重点放在极可能发生错报的领域，放在发生这种错报的原因上，以此来确定潜在错报的可能来源。最后，注册会计师在前期工作的基础上，评价公司的内部控制是否足以应对相关认定的秉大错报风险，并选择对后续审计结论具存重要影响的控制来做测试。选择什么控制来进行测试，有个最低的标准，即看这项控制单独或累积起来是否足以应对相关认定的重大错报风险。采用这种方法，审计人员能够将人力物力放在风险较高的地方，即大的节约成本，并且通过对账户、认定、控制等一层一层推进的了解，更有助于注册会计师发现被审计单位内部控制的重大缺陷。但是,在实际执业的过程中，该方法的运用也可能存在一些不能解决的问题。实际工作中怎么来对公司层控制来进行评估是有闲难的，行业不同、公司体制不同，这个评估的标准难以归一，又比如什么才是有效的控制环境，也没有一个统一的标准，而且也难以统一。那如果公司层控制存在问题，注册会计师是否就可以判断为重大缺陷丫？如果不认定为 重大缺陷，那么问题的存在乂会导致财务报告内部控制在哪些方面会存在重大缺陷?通过评价公司层控制是不是一定能够减少做控制测试的工作，或是在多大程度上减少测试工作?历来的文献研究也表明，这种方法确实可以引导注册会计师更为有效发现重大缺陷，但是也不能否认这个方法的弊端。指引实际明确了，自上而下方式只是一种审计思路，与其它方法相比可以大大提高审计的效率和效果，它并不一定就是审计人员将要执行审计程序的顺序。3关于整合审计《指引》规定，注册会计师既可单独进行内部控制审计，也可将内部控制与财务报表结合起来进行审计（即我们所说的整合审计）。在实务中，由于两者之间存在相同之处，如两者都属于鉴证业务，都属于基于责任方的认定，两者工作的最终目的都是为利益相关者提供高质量的财务信息，注册会计师出于各方面的考虑更加倾向于将两者结合起来进行整合审计。《指引》从计划审计工作、实施审计工作到完成审计工作各个阶段，都立足于进行整合审计。进行整合审计，就要找出整合审计在实施过程中的关键整合点。为达到财务报表审计目标（合法性、公允性），注册会计师要执行风险评估程序、内部控制测试及实质性程序，其中风险评估程序就包含了解内部控制。内部控制审计要达审计目标也要执行相关的审计程序，同样也包括风险评估程序里的了解内部控制这个环节。如果预期控制 的运行是有效的，或仅通过实质性程序不能提供认定层次的充分适当的审计证据时，那就要进行内部控制测试了。由以上分析，将进行控制测试作为实施事例审计的关键整合点。如图1所示。4其他问题4.1审计基准日在内部控制审计中，注册会计师发表的审计意见究竟是时点的概念还是时优段的概念，历来也有争议。从以往学者所做的研究中可以看到，大部分学者对此是持时段的观点的，他们认为内部控制本身就是一个持续运行的过程，对某一个时点上的内部控制来作评价是没有任何意义的。伹从实务来看，美国和日本的审计师在进行内控审计时常常将会计报表期间资产负债表口作为内部控制的特定时点，也就是说他们是持一个时点观的。《规范》也只是笼统的规定了基准H，并没有明确的来说明是时点还是时段的内部控制。按照现行指引的规定，注册会计师是对特定基准日内部控制的有效性发表意见，那么在发表审计意见之前肯定是需要获得内部控制在一段时间内有效运行的证据的，这段时间有可能短于企业财务报表涵盖的期间，因此，虽然指引明确是对企业资产负债表日内部控制的设计和运行发表审计意见，但是我们在把握这个基准日时不能把它简单的理解为一个时点概念，而应该考虑内控在这个吋点之前是否有效，以及在此之后是否能延续。 4.2内控审计缺陷就内部控制审计而言，在实务中注册会计师依据什么样的标准来评价企业内控的有效性?财务报表的审计我们都知道是看财务报表是否合法、是否公允，看是否合国家的上行法及其他的相关法规；从实践来看，美国的内部控制审计的基本框架是依据的COSO发布的报告，在我国目前的实务中，许多上市公司和会计师事务所都是以基本规范作为基准的，当然也有一些上市公司采用《上海证券交易所上市公司内部控制制度指引》和《商业银行内部控制指引》等标准。注册会计师如何判定内部控制的缺陷程度存多大，直接关系到最后审计意见类型的确定。内部控制标准只是一个通用的没有细化的标准，不可能完全与企业的环境相适应，而且，内部控制标准也只是一个最低的要求，在这种情况下，符合内部控制的标准并不一定就达到了内部控制的目标。那么此时，注册会计师是否就应当认为内控是存在缺陷的呢?个人认为，在认定一个缺陷是否是缺陷、是l1?是重大缺陷时，还是应该以适用的内控标准作为基本的判定依据，如果内控标准达不到内控的目标，而能达到控制H标的内部控制而在当时符合企业成本效益原则前提条件下能做到的话。则能够认定为内控存在缺陷。反之，如果内控在功能上能达成有关的控制目标，但在形式上与内控标准不符的话，则不应该认定内控存在缺陷，作适当的披露即可。