時間:2023-06-25 16:22:22
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇財務報表審計概念,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞] 財務報表審計;內部控制審計;整合
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 23. 008
[中圖分類號] F239 [文獻標識碼] A [文章編號] 1673 - 0194(2013)23- 0016- 02
我國內部控制理論的研究是在最近兩年展開的,主要是我國頒布了《企業內部控制基本規范》后,注冊會計師會增加一項新的審計業務——內部控制審計,因而許多學者從理論和實務操作方面開始探討內部控制審計。
《企業內部控制審計指引》第五條規定,注冊會計師可以單獨進行內部控制審計,也可以將內部控制審計與財務報表審計整合進行(下稱“整合審計”)。我國對內部控制審核和財務報表審計關系以及內部控制審計和財務報表審計關系的研究文獻主要觀點如下。
1 內部控制審核和財務報表審計關系
吳文軍[1](2001)對內部控制審核與傳統的會計報表審計之間的關系作出論述:獨立審計的業務范圍從會計報表鑒證拓展到內部控制報告鑒證的根本原因是經營管理責任的演化;內部控制審核是對過程的鑒證,而會計報表審計是對結果的鑒證,因此在報告理論上,內部控制審核必然會對會計報表審計產生一定的影響。
肖強[2](2003)論述了內部控制評審在審計中的作用在于:評審內部控制有助于確定合理的審計程序,提高審計效率;評審內部控制,可以幫助審計人員確定審計程序的實施程度,即確定審計人員的工作方法、抽點及審計范圍等;健全的內部控制,可以保證審計測試的質量。
張龍平、朱錦余[3](2002)認為,對企業內部控制有效性進行評價并出具審核報告是我國注冊會計師的一項新業務, 介紹了內部控制審核與會計報表審計中對內部控制研評的關系。
袁文龍[4](2007)認為,財務報告內部控制評價與會計報表審計中對內控測試,既有聯系,又有區別。兩者的聯系有5點:一是理論范圍相同,均是與會計報表相關的內部控制;二是實施的基本程序相同,均包括對相關內部控制的了解、測試和評價;三是所使用的方法相同,均可采用詢問、觀察、檢查、重新執行等方法了解和測試相關內部控制;四是兩者的執行者可以是同一會計師事務所的同一注冊會計師;五是兩者的結論可相互利用,即財務報告內部控制評價。兩者主要區別有4點:一是目的不同,財務報告內部控制評價的目的是對被評價單位與會計報告相關的內控有效性發表意見;會計報表審計中對內部控制測試的目的是在了解、測試與會計報表相關的內部控制的基礎上,評估其控制風險,再根據控制風險評估結果修訂審計計劃和確定實質性測試的性質、時間和范圍,進而對會計報表發表審計意見。二是實際范圍不同,財務報告內部控制評價的實際范圍是被評價單位與會計報告相關的所有內部控制的設計和執行情況;會計報表審計中對內部控制測試的范圍分為了解范圍和測試范圍,其了解范圍主要是所有與會計報表相關的內部控制,測試范圍是了解、初評后確定擬依賴的相關內部控制;后者的實際范圍可能比前者小得多。三是對內控有效性評價結論的準確程度要求不同,由于財務報告內部控制評價要對財務報告內部控制的有效性直接發表評價意見,因而要求評價結論有較高程度的保證水平;由于會計報表審計中對內部控制的測試只是規劃實質性測試的重要依據,因而對其有效性的評價可不要求很準確,如對其有效性可作保守評價,僅給予極低的信賴度,這樣只增加了實質性測試的工作量,會影響審計效率,一般不會影響審計效果,但要防止對其有效性作出過于樂觀的評價,否則會增加審計風險。四是測試數量不同,由于對內部控制有效性評價結論準確程度要求不同,因而要求的測試范圍和數量也不同,因為財務報告內部控制評價需要對內部控制有效性作出積極的、較高程度的保證,需要收集充分、適當的證據支持審核結論,因此需要實施較多的測試。
孫銀剛[5](2008)認為內部控制審計根據審計的范圍、重點及方法,既可以作為獨立的審計項目組織實施,也可以作為實施其他審計活動的一個程序或流程,以便提高審計工作效率和質量,減少審計風險。
2 內部控制審計和財務報表審計關系
毛敏[6](2006)通過對美國財務報告內部控制審計準則的借鑒,指出 PCAOB 的AS2 設計了綜合審計模式。綜合審計模式是財務報表審計與財務報告內部控制審計的結合,通過單獨并行的過程同時實現兩種審計目標,審計人員可通過財務報表審計的發現來檢查內部控制是否有效,也可以通過財務報告內部控制審計得到的發現和結論,幫助審計人員更好地計劃和實施審計程序,以確定財務報表是否公允地表達。
陳漢文、李榮[7](2007)認為 PCAOB 的 AS2 關注的是財務呈報內部控制的審計工作,以及這項工作與財務報表審計的關系問題。這項綜合的審計會產生兩份審計意見:一份針對財務呈報內部控制,另一份針對財務報表。對內部控制的審計涉及以下內容:評價管理當局就公司財務呈報內部控制有效性評估的過程;評價財務呈報內部控制設計和執行的有效性;形成對財務呈報內部控制是否有效的審計意見。
謝曉燕、張心靈[8](2009)從內部控制審計產生的背景、相關的概念確定及其與財務報表審計的關聯出發,采用比較研究的方法,通過對財務報告內部控制審計與財務報表審計二者關聯的比較分析,提出我國制定內部控制審計準則的選擇:對財務報表審計和企業內部控制審計進行整合。并提出明確開展內部控制審計業務的評價標準,制定內部控制審計指引和應用指南等完善我國內部控制審計制度的建議。
3 整合審計
文獻[9-11]研究認為,我國在上市公司中即將推行的內部控制審計在理論和實踐方面都具有可行性, 而且將內部控制審計和財務報表審計整合進行,必將對提高審計效率、發揮審計的協同效應以及最終提高財務信息質量起到根本性的推動作用。作者從審計目標、審計計劃、審計實施和審計報告4個大的方面進行整合的分析,歸納各個過程具體的整合點, 其中,審計目標的整合點是提高財務信息質量,審計計劃的整合點是使用相同的重要性水平,審計方法選擇的整合點是風險導向、自上而下,審計程序運用的整合點是控制測試,審計證據收集的整合點是獲得的證據相互利用,對舞弊的考慮的整合點是因內部控制漏洞而導致舞弊的控制缺陷,審計報告的整合點是出具合并報告或獨立進行報告。通過以上研究為我國注冊會計師開展整合審計業務提供切實可行的操作性建議。
裘宗舜、周潔[12] (2009)對財務報告內部控制審計與財務報表審計進行了比較,指出兩者的區別在于:審計內容及范圍不同;對內部控制有效性評價結論的準確程度要求不同;對外部審計師的職業判斷能力要求不同;對外部審計師的責任要求不同。兩者的聯系在于:目標相同;程序關聯;方法相同且有所改進。
李錦 [13](2010)從風險導向審計作為兩者的整合依據入手分析了整合審計的流程:從審計計劃、審計工作到審計報告的出具。王美英、鄭小榮[14](2010)就具體整合審計的程序和方法進行研究。
根據上述分析可以得到以下啟示:明確審計目標,整合審計概念;提高審計人員的素質,明確審計責任;統一評價標準,初步實施財務報告內部控制審計。從已執行內部控制審計的國家的經驗來看,內部控制審計和財務報表審計相互影響,為了節約審計成本和審計資源,二者的工作成果可以相互利用。鑒于二者的關聯性,將內部控制審計和財務報表審計進行整合,有助于提高審計效率,保證審計質量。在對內部控制審計與財務報表審計進行整合時,注冊會計師應當有效、協同地計劃和執行審計工作,以實現兩者的目標。在審計過程中既要考慮內部控制審計得出的結論對財務報表審計的影響,也要考慮財務報表審計得出的結論對內部控制審計的影響。經過文獻梳理發現,在我國研究內部控制審核和財務報表審計關系的文獻較多,而研究內部控制審計和財務報表審計關系包括整合審計的文獻較少,處于初步探討階段。
4 總 結
理解審計指引中有關審計整合的這一規定,要明確兩點:一是內部控制審計與財務報表審計是兩種不同的審計業務,兩種審計的目標不同;二是內部控制審計與財務報表審計可以整合起來進行。
4.1 內部控制審計與財務報表審計的異同
內部控制審計要求對企業內部控制設計和運行的有效性進行測試,在財務報表審計中,也要求了解企業的內部控制,并在需要時測試控制,這是兩種審計的相同之處,也是整合審計中應整合的部分。但由于兩種審計的目標不同,審計指引要求在整合審計中,注冊會計師對內部控制設計與運行的有效性進行測試,要同時實現兩個目的:
(1)獲取充分、適當的證據,支持在內部控制審計中對內部控制有效性發表的意見。
(2)獲取充分、適當的證據,支持在財務報表審計中對控制風險的評估結果。
4.2 兩種審計的整合
財務報告內部控制審計與財務報表審計通常使用相同的重要性(或重要性水平),在實務中兩者很難分開。因為注冊會計師在審計財務報表時需獲得的信息在很大程度上依賴注冊會計師對內部控制有效性得出的結論。注冊會計師可以利用在一種審計中獲得的結果為另一種審計中的判斷和擬實施的程序提供信息。
實施財務報表審計時,注冊會計師可以利用內部控制審計的結果來修改實質性程序的性質、時間安排和范圍,并且可以利用該結果來支持分析程序中所使用的信息的完整性和準確性。在確定實質性程序的性質、時間安排和范圍時,注冊會計師需要慎重考慮識別出的控制缺陷。
實施內部控制審計時,注冊會計師需要評估財務報表審計時實質性程序中發現問題的影響。最重要的是,注冊會計師需要重點考慮財務報表審計中發現的財務報表錯報,考慮這些錯報對評價內控有效性的影響。
研究是否具有將二者整合審計的必要性和可行性,財務報表審計目標是合理保證會計報表的公允性,而財務報告內部控制審計是合理保證內部控制的有效性,雖然兩者有所差別,但是,其最終目標都是為使報表使用者獲得可靠的財務信息,因此,兩者的整合才有意義。研究得出整合審計的實施思路和要點。其次,研究具體的應用過程,整合審計可從審計目標的整合、審計計劃的整合、審計實施過程的整合和審計報告的整合4個方面具體實施,其中,審計實施過程從審計方法的選擇、審計實施的運用、審計證據的收集和對舞弊的考慮4個方面進行整合考慮。最后,在實務中是否能夠采用理論上所提出的整合措施需要驗證,
主要參考文獻
[1]吳文軍.略論內部控制審核與會計報表審計的關系[J].中國注冊會計師,2001(12):32-33.
[2]肖強.內部控制審計淺探[J].四川會計,2003(9):39-40.
[3]張龍平,朱錦余.關于注冊會計師對內部控制評價的理論思考[J].審計研究,2002(2):23-26.
[4]袁文龍.財務報告內部控制評價研究[D].天津:天津財經大學,2007.
[5]王展翔.加拿大 CoCo 委員會內部控制框架述評[J].商業研究,2005(1):168-171.
[6]毛敏.美國財務報告內部控制審計的最新發展及啟示[J].財會通訊:學術版,2006(1):70-73.
[7]張笠.美國內部控制審計準則最新發展與啟示[J].審計月刊,2007(8):10-11.
[8]謝曉燕,張心靈,陳秀芳.我國企業內部審計的現實選擇——基于內部控制審計與財務報表審計關聯的分析[J].財會通訊:綜合(下),2009(3):125-127.
[9]張龍平,陳作習.財務報告內部控制審計與財務報表審計的整合研究(上)[J]. 審計月刊,2009(5):10-12.
[10]張龍平,陳作習.財務報告內部控制審計與財務報表審計的整合研究(下)[J].審計月刊,2009(6):7-9.
[11]謝曉燕,張龍平,李曉紅.我國上市公司整合審計研究[J].會計研究,2009(9):88-94.
[12]裘宗舜,周潔.美國財務報告內部控制審計的發展與啟示——財務報告內部控制審計與財務報表審計的比較[J].財會月刊:上半月,2009(2):35-36.
關鍵詞:國際審計準則;總體目標;比較;啟示
國際審計準則第200號(ISA 200)――《獨立審計師的總體目標與按照國際審計準則執行審計》包含了對審計的總體觀點,有助于審計師理解審計目標和范圍。準則還定義了國際審計準則的要求和指南各自的權威性,并包含了對審計師的最基本要求,強調了審計師合理一致的專業判斷的重要性,以及為支持審計師觀點而提供充分審計證據的必要性。重新修訂和起草的ISA 200樹立了審計師的基本目標和責任,并對如何理解所有國際審計準則的目標、要求以及指南作出了解釋。
一、國際審計準則第200號準則修訂案的變化
1.通過結構調整提高準則整體的可讀性和可理解性
現行準則將目標和核心要求與舉例等解釋性說明資料混在一起表述,導致目標和核心要求等重點內容淹沒在冗長的準則中,沒有突出重點,不便于理解和執行。新修訂的審計準則《獨立審計師的總體目標與按照國際審計準則執行審計》構建了一個新體例結構,該新體例結構包括引言、審計師的總體目標、定義、要求、應用及其他解釋性資料五個部分。
引言部分包括制定該準則的目的、適用范圍以及財務報表審計的相關規定。制定該準則的目的是為了規范獨立審計師按照國際審計準則執行財務報表審計的總體責任,確立獨立審計師的總體目標,明確獨立審計師為實現審計總目標而執行審計的性質和范圍。
審計師的總體目標包括:對財務報表整體是否不存在由舞弊或錯誤導致的重大錯報獲取合理保證,使得注冊會計師能夠對財務報表是否在所有重大方面按照適用的會計準則和相關會計制度編制發表審計意見,按照審計準則的規定,根據審計發現對財務報表出具審計報告,并與管理層和治理層溝通。
定義部分對準則中包含適用的財務報告概念框架、審計證據、審計風險、審計師、檢查風險、財務報表、歷史財務信息、管理層、錯報、前提、專業判斷、職業懷疑態度、合理保證、重大錯報風險以及治理層等術語進行詳細的解釋。
審計師執行該準則應遵守的要求包括與財務報表審計相關的職業道德要求、職業懷疑態度、職業判斷、充分適當的審計證據和審計風險以及按照審計準則的規定執行審計工作等。
應用及其他解釋性資料提供了準則的背景信息以及執行準則的進一步說明和指引,但這一部分內容并不構成對審計師的要求,僅用于幫助恰當理解和運用準則。新修訂的準則將解釋性說明資料、舉例等內容放入應用資料中,避免了目標和核心要求淹沒在冗長的準則中,便于理解和執行,更能突出重點。
2.該準則進一步強調了審計師合理一致的專業判斷的重要性
準則中的要求部分規定審計師在計劃和執行財務報表審計過程中應運用職業判斷。職業判斷是審計準則不可缺少的部分,是財務報表審計的精髓部分。然而,由于審計師的職業能力、經驗水平以及風險偏好存在個體差異,在運用職業判斷時會導致較大的差異。為更好的規范和指導審計師運用職業判斷,ISA200在應用及其他解釋性資料部分對審計師運用職業判斷提出了具體要求和指南。
審計師執行審計過程中必須運用職業判斷,尤其是對以下情況的考慮:重要性和審計風險;為符合ISAs要求和收集審計證據執行審計程序的性質、時間和范圍,評價所獲取的審計證據是否充分、恰當以及是否仍需執行其他審計程序;評價管理層對采用財務報告框架的判斷,根據所獲取的審計證據形成審計意見。對職業判斷的評價依據是審計師所作的判斷是否反映了審計師正確運用審計和會計原則以及恰當反映審計師在審計報告日前所知悉的事實和環境(或與這些事實和環境一致)。審計師運用職業判斷要基于他們所了解的事實和環境,并要貫穿于審計過程的始終。
二、我國審計準則第1101號準則與ISA200修訂案的比較分析
中國注冊會計師審計準則第1101號一財務報表審計的目標和一般原則分為八章,具體包括:總則、財務報表審計的目標、與財務報表審計相關的職業道德要求、財務報表的審計范圍、職業懷疑態度、合理保證、審計風險和重要性、附則。我國審計準則第1101號準則與ISA修訂案在結構和具體規定都存在著較大的差異。
1.中國審計準則沒有確立注冊會計師的總體目標。中國審計準則第1101號――財務報表審計的目標和一般原則,僅提出了財務報表審計的目標,而沒有確立注冊會計師的總體目標。
2.中國注冊會計師審計準則缺少定義部分,對準則中包含的術語僅在相關的條例中進行相應的解釋。
3.中國審計準則第1101號將財務報表審計分為財務報表審計的目標、財務報表的審計范圍以及審計風險和重要性,而ISA200將這三部分統一在財務報表審計一章中表述。
4.我國審計準則將對注冊會計師的要求分為與財務報表相關的職業道德和職業懷疑態度,而ISA將對審計師的要求統一在一章體現。
5.對執行準則的進一步說明和指引沒有包括在準則中,而是通過應用指南來做出相關規定。
三、國際審計準則第200號準則修訂對我國審計準則制定的啟示
我國于2006年2月了新的審計準則體系,實現了與國際趨同的目標,與原來的獨立審計準則體系相比,不論是在審計理念還是在審計方法上都有了很大的進步。但同時,IAASB也加快了修訂更新國際審計準則的步伐,重新修訂和起草的ISA 200的對于IAASB按照清晰化規范所起草的準則的解釋而言,是明確相關原則的一個里程碑式的進步。這對我國審計準則的進一步完善有很強的借鑒意義。
1.確定注冊會計師的總體目標
ISA200提出的審計師總體目標是,對財務報表整體是否不存在由舞弊或錯誤導致的重大錯報獲取合理保證,使得注冊會計師能夠發表審計意見,根據審計發現對財務報表出具審計報告,并與管理層或治理層溝通。為了實現總體目標,注冊會計師在計劃和實施審計工作時應當使用相關審計準則規定的目標。在使用規定的目標時,注冊會計師應當認真考慮各項審計準則之間的相互關系,確定是否有必要實施除審計準則規定以外的其他審計程序,以實現審計準則規定的目標,并評價是否已獲取充分、適當的審計證據。注冊會計師的總體目標在審計準則中具有重大的指導作用,注冊會計師的總體目標的作用是統馭各項審計準則規定的目標,而各項審計準則規定的目標是聯系總體目標和準則要求之間的橋梁。因此,我們在制定審計準則過程中應確立注冊會計師的總體目標,統領各項審計準則規定的具體目標。
2.增加定義一章,對準則中包含的術語進行解釋
中國注冊會計師審計準則第1101號對準則中涉及的術語的解釋分散的各準則條例中,導致了準則規定的核心內容淹沒在各種解釋中,重點不突出,不便于理解和執行,而將對各術語的解釋作為獨立的一部分列示,既能突出準則規定的核心內容,也將有利于注冊會計師的理解,從而提高準則的明晰度。
將準則的應用指南納入到準則中,提高應用指南的權威性。
3.對注冊會計師的要求應增加職業判斷
審計作為一個多因素的行為過程,判斷在其中起到顯著的作用,審計判斷貫穿于從接受委托到發表意見的整個審計過程。然而,注冊會計師的職業判斷也存在缺陷,例如他們的判斷往往存在著各種主觀偏見、錯誤以及的個體差異。審計職業判斷如此重要,又容易受判斷個體的影響,而我國新審計準則中并沒有對“職業判斷”這一術語給出定義。因此,可以考慮在我國未來的審計準則中新增一章來定義職業判斷,并闡明職業判斷在審計中的作用及相關服務的基礎概念(如重要性和審計風險)中的應用,來指導注冊會計師更好地運用職業判斷。
一、內部控制審計的目標
與財務報表審計主要評價結果不同,內部控制審計主要是對過程進行評價。如果不進行整合審計,審計內部控制無需對賬戶余額進行實質性測試。即使進行整合審計,控制測試主要是測試內部控制,實質性測試雖然可能使審計人員發現內部控制的缺陷,但其目的主要是為了鑒證企業財務狀況、經營成果和現金流量的合法性與公允性,而不是測試內部控制的有效性,因而旨在幫助審計人員確定控制性測試和實質性測試范圍的審計風險模型,并不適用于內部控制審計。與審計風險模型為審計人員提供了有助于其確定財務報表審計測試范圍的概念框架類似,構建適當的內部控制審計風險模型也將為其提供相關的概念框架,以幫助審計人員確定內部控制審計的測試范圍,以及影響測試程度的關鍵因素等。
內部控制審計的目的不是為了發現重大錯報,而是對內部控制的有效性發表意見。如果內部控制存在一個或更多的重大缺陷,審計人員就不能認為它有效,而應當計劃并實施適當的審計程序,搜集充分證據對鑒證期間的內部控制是否存在重大缺陷獲得合理保證。需要說明的是,即使財務報表不存在重大錯報,其內部控制也可能存在重大缺陷,從而決定了內部控制審計的目標是為內部控制的設計、實施和維護不存在重大缺陷尋找高水平的合理保證。
二、內部控制審計風險
狹義的內部控制審計風險是指“一種對內部控制有效性發表不恰當意見的風險”。根據內部控制審計的目標,如果審計人員認為發現的重大缺陷風險并未降到一個足夠低的水平,就不應發表無保留意見,因而內部控制審計風險的定義應是“某一組織擁有重大缺陷但審計人員沒有發現或發現但卻出具不恰當審計意見的風險”,旨在幫助審計人員確定需要實施多少測試來保證未發現的重大缺陷風險控制在足夠低的水平。重大缺陷可能來自以下兩個方面:內部控制設計或維護的重大缺陷;雖然內部控制具有充分的設計或維護,但在實施過程中存在重大缺陷。為了發現設計或維護方面的重大缺陷,審計人員應適當評價內部控制的設計(如發現控制的不完善)、對內部控制是否改進進行適當測試。典型的評價和測試程序包括:檢查(往往在問卷調查或其他方法的基礎上進行)、分析控制流程圖、閱讀文件、觀察、穿行測試和檢查其他書面資料。通過適當測試控制運行的效率,審計人員可以發現其中的重大缺陷,從而將內部控制缺乏效率的風險降至低水平,而適當的內部控制審計風險模型則有助于審計人員確定運行效率測試的數量和程度。
三、內部控制審計風險模型的構建
內部控制審計風險的定義表明以下情形可能出現重大缺陷:(1)用以防范固有風險的內部控制設計不充分;(2)內部控制設計不完善;(3)設計充分和完善的內部控制未有效運行。為避免內部控制審計風險模型與審計風險模型混淆,將其定義為不正確的控制意見風險,即ICOR。這三種缺陷都可能導致重大缺陷,審計人員要發表內部控制的無保留意見就必須確定這三種情況都不存在,即內部控制審計風險是在固有風險不變的情況下,內部控制固有風險與內部控制實施風險的函數,由此得到內部控制審計風險模型如下:
ICOR=f(CDIR/?給定IR;COER 若CDIR有效) (1)
式(1)表示內部控制審計風險模型。左邊是審計人員出具不恰當控制意見的風險,它等于審計人員實施一系列測試后未發現實際存在重大缺陷的風險,是內部控制設計不充分或不完善的風險,以及雖然內部控制設計充分、完善但未有效實施的風險的函數。其中,ICOR為不恰當控制意見的風險,即當某一組織內部控制存在重大缺陷但審計人員并未發現或雖發現卻出具不恰當意見的風險。IR為固有風險,即假設不存在內部控制,審計人員認為某一組織存在一項或與其他錯報匯總后為重大錯報的風險;CDIR為內部控制的設計和改進風險,即審計人員認為某一組織存在內部控制設計不充分或不完善的風險,假定固有風險可以防止或發現并糾正總的重大錯報;COER為控制實施有效性風險,即審計人員認為設計充分、完善的內部控制沒有被嚴格實施,從而未能防止或發現并糾正重大錯報的風險(見圖1)。
(1)內部控制的設計與完善風險CDIR。固有風險是某一組織沒有內部控制的情況下存在重大錯報的風險,它既包括財務報表中存在的所有風險隱患,也包括某一具體賬戶本身的風險,注重的是重大錯報而非重大缺陷。如果固有風險很低,無論控制怎樣無效,重大缺陷風險也很低,存在重大錯報的可能性也不大。因為決定某一缺陷能否構成重大缺陷的標準是內部控制存在未能阻止或發現并糾正錯報,導致財務報表存在重大錯報的數量多少和發生概率大小。然而,除了一些不重要的賬戶外,固有風險通常不低。審計人員在分析固有風險時經常假設客戶的員工能力較高,客戶的管理有方或控制環境和諧,但大量研究表明,這往往是錯誤的。因此,在分析控制風險時應當考慮這些因素,而不能直接斷定其固有風險很低。假定固有風險的性質和大小,審計人員在分析內部控制的設計和完善情況時,需要確定二者是否充分和是否需要改進,即要根據沒有充分的內部控制時可能出現的錯誤來決定現有內部控制的恰當性。如果固有風險高,就需要加強控制來防止或發現并糾正錯報。反之,如果固有風險較低,需要控制的程度也較輕。如,一個企業的業務量很小也很簡單(固有風險低),則可以簡化內部控制;相反,另一企業的業務量很大且復雜(固有風險高),還需要復雜的計算機編輯,則審計人員除了檢查報告、復核資料外,還要確保這些報告是在內部控制設計有效的前提下完成的。因此,固有風險在內部控制審計時是指內部控制設計和需要完善的風險,即給定固有風險下的內部控制固有風險。審計人員通過考慮、評估內部控制的設計是否充分和完善確保它所引發的風險。
(2)控制運行效率風險(COER)。審計人員使用控制運行效率風險COER確定控制測試的范圍,COER類似于財務報表審計中的檢查風險。審計人員會用1-COER確定控制測試所需要的保證水平。只有當內部控制設計充分和完善時才需要進行控制測試。如果審計人員確定控制設計不充分并需要改進,則斷定內部控制存在缺陷,然后評估該缺陷是否重大,即控制運行效率風險是以內部控制設計的充分與完善為條件的。
四、擴展的內部控制風險審計模型構建
鑒于內部控制有效性的重要性,審計人員應評估組織的控制環境,尤其是管理層的理念和經營方式是否有利于促進有效的內部控制,如是否建立和推廣講求誠信和道德的價值觀,特別是高管層;治理層是否理解并履行對監督財務報告及內部控制有效實施的責任。這些都需要單獨評估內部控制環境的設計、實施和維護的有效性。如果審計人員發現控制環境存在重大缺陷,就可能發現內部控制存在其他重大缺陷。因此,基于上述模型構成的內部控制審計概念框架,按照COSO關于內部控制的概念框架,內部控制由控制環境、風險評估程序,信息溝通、控制活動和監督組成,筆者將這五部分分別按照設計、完善和實施三個方面對上述模型進行了擴展(見圖1下半部分)。
在國內外內部控制規范實施之際,筆者從設計、實施與維護三方面構建了內部控制審計風險模型并初步形成了內部控制審計風險的概念框架,這不僅可以明確重大錯報風險、重大缺陷風險的含義,樹立審計風險模型只適用于財務報表審計,不適用于內部控制審計的理念;還可以運用內部控制審計風險模型,降低內部控制重大缺陷風險,進而降低財務報表審計的重大錯報風險,提高整合審計的效率、效果,最終提升會計信息的決策有用性。
參考文獻:
[1]袁敏:《上市公司內部控制審計:問題與改進――來自2007年年報的證據》,《審計研究》2008年第5期。
一、績效審計的主要特征
績效審計與財務報表審計,均為審計的兩種業務類型,雖然在審計的基本原理和程序方面與其他審計是相同的,但其差別是明顯的,與財務報表審計相比,不同之處主要表現在:
(一)審計目標不同
一般來說,財務報表審計的目標是對財務報表的真實性、公允性發表審計意見,而績效審計是對被審計單位資源管理和使用情況發表審計意見。
(二)審計方向不同
一般情況下,財務報表審計是對歷史的財務信息進行的審查和評價,而績效審計有可能是對未來情況進行的分析和預測,多數情況下,績效審計要對未來提出改進建議。
(三)所依據的評價標準不同
財務報表審計所依據的評價標準基本上是相同的,即一般公認會計原則及相關具體的會計制度,績效審計由于每個項目的具體目標不同,所依據的評價標準也各不相同。
(四)審計方法不同
財務報表審計目標的相對固定,審計所運用的方法相對比較固化。績效審計項目的目標是多樣的,審計對象范圍也十分廣泛,審計項目中為實現審計目標所采用的方法也是無法固定的,幾乎社會科學研究的方法,在績效審計中都有可能用到。
二、如何選擇績效審計項目
績效審計的過程主要包括審計立項、審計準備、設計實施、審計報告和后續跟蹤四個階段。鑒于績效審計目標的多樣性和靈活性,其審計過程各個階段的工作內容,與常規的財務報表審計相比,具有很大的不同,選擇績效審計項目應考慮的因素包括:
(一)預計的審計效果
這個因素主要考慮的是開展該績效審計項目的收益。這些預計的可能的審計效果包括:是否促進審計事項提高經濟性、效率性或效果性;是否改進了被審計單位的或項目的服務質量;是否促進了被審計單位或項目更有效地計劃、控制和管理;是否進一步明確了經濟責任,提高了績效信息的透明性、準確性;等等。預計的審計效果越大,越應被選擇作為績效審計項目。
(二)資金規模
這里的資金規模主要是指被審計單位或項目的資金的規模,比如資產數額、總收入或總支出、投資額等。一般來說,資金規模越大,財務的重要性越大,越應被選擇作為績效審計項目。
(三)管理風險
主要是指被審計單位或項目在管理方面缺乏經濟性、效率性和效果性的風險。有下列現象時,表明被審計單位或項目存在的管理風險較大:管理部門沒有針對以往審計后提出的控制薄弱環節進行改進;公眾或媒體的批評意見;預計的目標沒有實現,包括未實現預計的收益,沒有滿足需求等;頻繁的人動;大量的資金不足或虧空;項目的變更,比如更改投資規模,變更經營的目標等;單位或項目經營人員責任重疊或職責分工不清楚,導致管理上的混亂;單位或項目本身的高度復雜性或不穩定性,比如管理工作分散,多元化的利害關系方,所用的技術尖端、變化快,經營環境競爭激烈;社會各界對單位或項目的某些看法不一;一段時間沒有接受過監督檢查。管理風險越大,開展績效審計后能夠給被審計單位或項目帶來的改進越大,則應優先選擇作為績效審計項目。
(四)影響力
主要是指體現它所具有的重大組織影響,對于社會、經濟和環境的影響,公眾關注的程度。如果審計事項對所在的行業或組織具有典型意義,波及面廣,或著對組織或單位實現經營目標具有重要影響,則該審計項目影響力很大。審計組織對于影響力強的審計項目進行審計,審計結果容易受到有關方面的關注。因此,影響力強的審計項目應優先考慮作為績效審計項目。
(五)審計成本和可操作性
主要是指對該項目或領域進行審計的復雜程度和可能存在的風險。確定績效審計項目的成本和可操作性,主要是通過對備選績效審計項目進行成本效益分析進行的。如果選擇復雜或存在較高風險的領域或項目進行審計,如有關審計事項的信息或數據不易獲得、責任可能被推諉或混淆、過于敏感、存在安全保密問題、沒有統一明確的評價指標或評價標準的項目、審計人員的知識結構不能滿足要求等,會導致審計成本增大,使審計項目缺乏成本有效性。成本和可操作性強的績效審計項目,容易被選中。
2008年教材與2007年教材相比沒有本質的變化,但對個別章節進行了增減和修改。主要變化如下:(1)在第5章注冊會計師的法律責任中,增加了2007年6月頒布的《關于審理涉及會計師事務所在審計活動中民事侵權賠償案件的若干規定》的內容。(2)將第6章第六節“審計業務約定書”的內容調整到第8章“計劃審計工作”的第一節初步業務活動的內容中。(3)對第7章第二節“審計工作底稿”的內容重新進行了梳理。(4)對第12章“審計抽樣”的內容進行了重新編寫。(5)第13章至第17章中個別實質性程序有所修改。
二、《審計》章節重點、難點分析
根據2007年考試情況及考試大綱的要求,2008年審計考試仍應注重審計理論結合實務,以實務為主的考查方式。為此,建議考生關注以下重點內容。
(一)注冊會計師職業道德規范職業道德的是經常考查簡答題的內容。2007年的考試中職業道德的內容僅在業務質量控制的簡答題中有所涉及,并沒有直接命題。因此,在2008年的考試中考生對中國注冊會計師職業道德規范的內容既要把握好客觀題,也要掌握好簡答題。應做到根據題目所描述的具體情況,分析判斷會計師事務所和注冊會計師是否違反職業道德。對職業道德規范的掌握,應特別關注獨立性、收費與傭金、與執行鑒證業務不相容的工作和接任前任注冊會計師的審計業務等具體內容。
(二)會計師事務所業務質量控制業務質量控制準則是中國注冊會計師執業準則體系中的管理標準,是會計師事務所為了保證相關人員在執業過程中遵守相關技術準則(審計準則、審閱準則、其他鑒證業務準則和相關服務準則)和職業道德規范,所制定的控制政策和程序。盡管在2007年的考試中,對該內容考查了簡答題。但對于業務質量控制要素及其內容考生仍應掌握;特別是職業道德規范、客戶關系和具體業務的接受和保持、業務執行和監控等內容。
(三)財務報表審計的責任劃分及注冊會計師的法律責任2008年的審計考試大綱中要求考生明確注冊會計師的審計責任。由于注冊會計師執行的會計報表審計最終是對被審計單位的會計報表發表意見,這也就注定了區分管理層、治理層對財務報表的責任和注冊會計師對財務報表審計的責任的重要性。應該說,注冊會計師只是被審計單位會計報表的鑒證人,并不是保證人,被審計單位管理層才是會計報表的保證人。考生應特別注意將財務報表審計的責任劃分與具體審計案例結合進行分析,并能夠正確運用相關的司法解釋。在這里考生應明確:第一,注冊會計師只有按照審計準則的要求實施審計,保持合理的懷疑,才能履行好審計責任;第二,注冊會計師無論怎樣努力也難以做到絕對保證,只能做到合理保證。
(四)審計具體目標一是管理層對會計報表的認定。財務報表審計業務屬于基于責任方認定的業務,管理層批準報出財務報表,就意味著對財務報表作出了認定。認定包括對交易和事項的認定;對期末賬戶余額的認定和對列報的認定。這部分內容屬于重要的審計理論。考試題型也多樣化,既可以考查客觀題,也可以考查簡答題甚至綜合題。但近年的考試中,單獨考理論的內容比較少,對這部分知識的考查主要是理論結合實務,也就是要求考生應做到將認定目標理論與重要項目的實質性測試程序相結合,融會貫通。近年考查的簡答題經常針對所列示的各項認定,要求列示出注冊會計師為實現各認定的審計目標應實施的最常用的實質性程序。二是審計具體目標。對認定、目標和審計程序的三者的關系可簡單描述如下:
[字體:大 中 小]
審計目標是基于審計總目標和管理當局的認定推論得出的。要實現審計目標,必須實施具體的審計程序,最終才能對會計報表發表審計意見。考生應將審計目標理論與財務報表各業務循環的具體審計實務(13-17章)相結合,融會貫通。這部分知識可以考查各種題型。如在近幾年的客觀題中經常針對注冊會計師要實現的審計目標,列示若干審計程序,要求考生指出其中恰當或不恰當的審計程序等。
(五)審計重要性審計重要性,屬于審計理論中的重點、難點和考點,各種題型均可能涉及。考生應掌握:第一,審計重要性的含義;第二,審計重要性的運用。對于重要性的運用應重點把握兩個方面,首先,在計劃審計工作時在財務報表層重要性水平和賬戶交易認定層確定重要性水平;其次,在評價錯報影響時,如何考慮重要性。
(六)風險導向審計的基本思路根據有關風險導向的審計準,可以將風險導向審計的基本思路歸納如下:第一,注冊會計師應當了解被審計單位及其環境,以足夠識別和評估財務報表重大錯報風險,而該過程中注冊會計師通過實施的詢問、分析程序以及觀察和檢查程序來識別和評估財務報表的重大錯報風險就是風險評估程序。第二,注冊會計師應當針對評估的財務報表的重大錯報風險設計和實施進一步審計程序,以將審計風險降至可接受的低水平b(這里的進一步審計程序包括控制測試和實質性程序)
(七)財務報表審計中了解和測試被審計單位的內部控制內部控制理論知識屬于重要的知識。考生應將內部控制理論與各業務循環內部控制的實務結合起來,融會貫通。考生還應把握好對內部控制的了解和測試。例如2005年的第二個綜合題,資料中描述了注冊會計師所了解的被審計單位的內部控制情況,要求考生能夠指出其是否存在重大缺陷,提出改進意見,進而確定控制測試程序,指出涉及的相關認定等。被審計單位內部控制設計有重大缺陷和執行失效的地方,就是會計報表存在或很可能存在重大錯報漏報的領域。
注冊會計師在財務報表審計的風險評估程序中應當了解被審計單位的內部控制,以評價其設計的合理性及是否得到執行,最終確定是否準備信賴被審計單位的內部控制(確定是否實施控制測試程序以確定控制運行的有效性)。控制測試是注冊會計師在設計實施進一步程序可以執行的程序。通過控制測試以確定注冊會計師預期信賴的內部控制是否得到有效的運行,最終確定通過實質性程序應獲取的保證程度。
(八)審計抽樣2008年考試大綱要求考生掌握審計抽樣。而且在近幾年的考試中客觀題和綜合題均涉及了審計抽樣的知識。考生應在掌握好審計抽樣基本概念的前提下,掌握注冊會計師如何在控制測試和實質性測試中設計樣本,選取樣本,以及對樣本結果的評價。
(九)各業務循環主要賬戶的重要實質性測試屬于重點、難點和考點,各種題型均可能涉及,近幾年所占分數較多,充分體現了突出實務的命題原則。考生應注意:第一,將主要賬戶的認定目標理論與實質性測試程序結合;第二,掌握好函證、監盤、截止測試、分析程序等;第三,還要特別注意掌握好有關的會計知識。
(十)完成審計工作這部分內容主要體現在今年教材的第18章,屬于非常重要的內容,不僅涉及審計準則,還涉及到一些會計準則,在考試中,各種題型均可涉及。考生應從以下方面掌握完成審計工作的內容:(1)期初余額。注冊會計師首次接受委托的情況下,由于期初已存在的余額是財務報表的組成部分,而且可能對本期報表具有重大影響,因此,注冊會計師應關注期初余額,實施適當的審計程序,以合理確信其不存在對本期財務報表產生重大影響的錯報。為此,考生應明確期初余額的性質、審計程序及其對審計報告的影響。(2)期后事項。注冊會計師在對財務報表進行審計時,不僅要審會計年度內的交易事項,還要考慮所審會計年度之后發生和發現的對財務報表和審計報告產生影響的事項,即期后事項。考生應明確期后事項的含義和種類;各時段期后事項注冊會計師的責任及其所采取的措施。(3)差異調整表和試算平衡表的編制。考生應掌握好調整分錄的編制。
關鍵詞:教材 教學 編寫 編排 順序
一、審計學教材中的主要順序問題
本文以中國注冊會計師協會編寫,并由經濟科學出版社出版的2006年度注冊會計師全國統一考試輔導教材《審計》(以下簡稱“教材”)為例,指出“教材”中的幾個主要順序問題(其它教材也或多或少地存在類似的問題)。
(一)注冊會計師審計概論首先就提出注冊會計師審計的起源與發展問題,而這時初學者還不知道什么是注冊會計師審計,以及它與政府審計、內部審計有何區別,因此無法理解注冊會計師審計是如何起源并發展的。筆者建議,先介紹審計的分類,在“注冊會計師審計的發展”部分到“審計的范圍已擴大到測試相關的內部控制,并以內部控制測試(‘教材’有的地方稱之為符合性測試。應統一稱為控制測試,以免給讀者帶來理解上的困難)為基礎使用抽樣審計”,而這時初學者還不清楚什么是內部控制和內部控制測試,也不清楚什么是抽樣審計,根本不明白注冊會計師審計是如何發展的。事實上會計發展史和審計發展史是高級會計的內容,對于初學者很難理解。筆者建議,“注冊會計師審計的起源”部分的內容應放在前面講,“注冊會計師審計的發展”部分的內容應該放在后面講。在“審計方法”部分也講到內部控制、內部控制測試和抽樣審計,還講到內部控制風險、審計風險。建議將“注冊會計師審計的發展”部分與“注冊會計師審計的發展”部分合并。而內部控制、內部控制測試、抽樣審計都是審計學中非常重要的概念,在很多章節都會出現,應該先講。
(二)注冊會計師職業規范體系 “美國審計準則”部分講到“應當對內部控制進行充分的了解,以便制定審計計劃,并確定將要執行的測試的性質、時間安排及范圍。”此時,初學者還不清楚為何要了解內部控制,也不知道什么是“測試的性質”。該部分還講到“應通過檢查、觀察、詢問和函證等方法,獲取充分、適當的審計證據,以便為對被審計會計報表發表意見提供合理的基礎。”此時,初學者還沒學過審計證據的獲取方法,也不清楚審計證據的充分性和適當性。筆者認為,審計準則的概念應該先講,但審計準則的內容應該在后面講。其實“職業道德準則”部分的內容(特別是獨立性的內容)應該優先講,其他內容可以放在后面講。
(三)注冊會計師的法律責任這部分內容中提到了審計程序、審計風險、內部控制、重要性等名詞。其中重要性、審計風險是審計上非常重要的概念,在很多章節中都會出現,因此應該先講。除此之外,對于這部分中出現的“注冊會計師對會計報表項目的實質性測試,是以內部控制的研究與評價為基礎的。如果內部控制不健全,注冊會計師應當調整實質性測試程序的性質、時間和范圍”的語句,對初學者來講也是難以理解的,不清楚為什么實質性測試要以內部控制的研究與評價為基礎。而教材在“審計范圍”部分才講到實質性測試的概念。另外,在這部分內容中,多處提到了審計意見,“如果違法行為對會計報表有嚴重影響而未做適當的會計處理和披露,注冊會計師應發表保留意見或否定意見”。而這時初學者還不清楚有哪些類型的審計意見,分別在什么情況下出具何種審計意見。教材“審計計劃、重要性與審計風險”部分中也出現了類似的情況。而教材卻將審計意見的有關內容放在了“終結審計與審計報告”中講。
(四)審計目標與審計范圍 “審計過程與審計目標的實現”部分的內容是綜合性的,不宜放在前面講;“審計范圍”部分講到了控制測試和實質性測試,但沒有闡述清楚,而是放到了“審計程序的分類”部分講,這無疑會加大學習的難度。“審計證據與審計工作底稿”中講到審計證據與固有風險、控制風險的關系。事實上,這一內容難度較大,應該放在稍后再講。“審計證據的獲取”部分并沒有把分析性復核闡述清楚,而是留到“審計計劃、重要性與審計風險”再講一次分析性復核,這無疑會加大學習的難度。另外,審計風險、固有風險、控制風險、檢查風險與審計重要性水平、審計證據的關系分散在教材上的不同章節,給人們的理解帶來很大的困難。
二、審計學教材中不同的編排順序形式
前面提到的審計學教材中的順序問題,在其他很多教材中也會出現類似的情況。但有一些教材在個別地方有不同的編排順序,值得我們借鑒。本文以舉例的形式,說明某些教材的不同之處。這些教材見(表1)。
首先,由于審計學這門學科理論性較強,很多概念不好理解,致使學生們不清楚究竟應該從什么地方開始學。審計學學科的應用性也很強。審計學是一門較實用的學科,其與政府工商企業活動、資本市場以及日常生活均密切相關(吳琮,2005)。可以結合實際案例或舉例的形式,以達到更加深入的理解。在這方面,“教材一”和“教材七”做得比較好。“教材一”的作者在前言部分講到:“該教材擺脫了以往的傳統格式,即一開始先介紹概念、定義或性質等做法,而是以審計案例作為每章的開頭。而每章案例的選擇,往往是與該章的內容緊密相關的。”“教材七”則更是隨處可見案例,令初學者感覺審計學很實用。其次,在審計學這門課程中,最早應該學習的知識點應該是:為何需要審計,特別是為何需要注冊會計師審計,審計能起到什么作用。在這方面,“教材一”、“教材四”、“教材六”、“教材七”做得比較好。“教材一”的第一章(審計與審計環境)首先以案例的形式引入問題:注冊會計師究竟是干什么的;審計又是什么,接著分析了審計與市場經濟,主要內容包括:市場經濟是一個經濟權利與責任的網絡,會計是傳遞權利與責任信息的工具;審計是保證權利與責任信息可靠傳遞的工具;審計對現代市場經濟的作用。
第二,“教材四”首先就分析了為何需要審計,以及對審計的界定。“認識財務報表與財務報表審計”部分主要包括以下內容:認識企業財務報表;業務循環;財務報表的使用;財務報表是管理階層的聲明;財務報表聲明與查核目標;財務報表常見錯誤及未充分披露事項;非法行為、員工舞弊、管理舞弊、關聯方交易、非常規交易;查核委任風險管理及風險導向審計。事實上,這一部分外多數講的都是基礎性知識。在對這些知識有了一定的了解后就基本能明白審計的作用。筆者認為,“教材四”的第一章和第二章應該調換一下順序比較好。“教材六”第一章講到了對審計的經濟需求,解釋信息風險產生的原因以及審計在降低信息風險方面的重要作用,這有助于人們對審計的理解。“教材七”第一章以信息假說和理論解釋為什么需要審計師,并介紹了真實、公允概念。第二章講了審計假設。
第三,根據前面的分析,注冊會計師審計的產生與發展應該分開來講,在這方面,“教材五”做得比較好。而且“教材五”在第二章講了“審計關系”,而很多教材都沒做到這一點。
第四,在講述審計的定義時,如果能進行比較深入的分析,同時引入一些非常重要的概念,不但能讓讀者更好地理解審計的概念,也會有助于后面的學習。這一點上,“教材二”安排得比較合適。“教材二”第一章對審計的定義進行了深入分析。在闡釋“以查明這
些認定與既定的標準之間的相符合的程度”時,編者引入了“管理當局認定”這一概念。筆者認為,這一概念有助于人們對審計的理解,而這一概念不需要以其他知識點為基礎。編者接下來解釋了“既定標準”和“審計證據”,并指出:“審計人員的主要工作是遵循公認審計準則的要求實施審計程序和收集評價審計證據。審計證據是用來證實或證偽被審計組織提出的認定的,審計人員必須收集用以支持或否定管理當局認定的證據,以確定管理當局認定與既定標準之間的一致性程度”,“審計人員形成任何審計結論和意見都必須以合理的證據作為基礎”,“在形成審計意見前,審計人員還必須對審計證據的充分性和適當性進行分析評價,以確保審計意見的質量”。這樣,就有助于人們對審計的理解,同時也對后面的學習有幫助。
第五,除了按審計主體分類外,還可以按其他方式對審計進行分類。但在實際中,絕大部分審計學教材都是重點講述財務報表審計。由于財務報表審計的目的是對被審計單位的財務報表發表審計意見,應該早講審計報告和審計意見。這兩個概念在后面的章節經常會出現。但審計報告的責任段和范圍段涉及到的很多內容還未講述。“教材四”和“教材六”都將審計報告放在比較靠前的位置,說明這幾位作者已經考慮到應該早些講審計報告的概念和審計意見的類型,但初學者暫時還理解不了審計報告中的部分內容。“教材六”第三章(審計報告)在“偏離無保留意見審計報告的情況”部分講了重要性概念,因為應該具體分析被審計會計信息中的錯報是否重要。
第六,除了前面提到的一些概念外,審計學中還有些非常重要的概念,如內部控制、審計風險、審計重要性水平、審計抽樣、審計獨立性等。這些概念在很多章節都會出現,但很少教材會將這些重要概念放在比較靠前的位置。在這方面,“教材七”做得很好。“教材七”第二章講了基本概念,包括勝任能力、獨立性、風險、證據、重要性、審計判斷等。“教材三”、“教材四”、“教材六”也將個別概念放在比較靠前的位置,如“教材三”將審計抽樣的內容放在第二章,“教材四”的第三章講重大性與查核風險,“教材六”將重要性概念放在第二章。
三、審計學教材的改進設想
【關鍵詞】 信息系統; 審計; 審計目標
2007年2月國務院國有資產監督管理委員會和國務院信息化工作辦聯合印發了《關于加強中央企業信息化工作的指導意見》,加快了國有企業信息化建設的步伐。國有企業審計是中國特色社會主義國家審計的重要組成部分。由于企業與公共部門在內部控制、管理和治理方面的差異,導致了企業信息系統審計與公共部門信息系統審計的不同特點。
一、增強國有企業信息系統的可信性
審計機關的審計目標取決于法定要求。根據《中華人民共和國審計法》的規定,審計機關對國有企業財務收支的真實、合法、效益,依法進行審計監督。顯然,真實性是國有企業審計的目標之一。信息系統審計是國有企業審計的重要組成部分。國有企業審計的總體目標,決定了國有企業信息系統審計的目標。國有企業審計的真實性目標,必然要求國有企業信息系統提供真實性的信息,這意味著,審計機關的國有企業信息系統審計必須把真實性作為審計目標之一。
根據相關法律的規定,注冊會計師也可以對國有企業進行審計。根據我國公司法第165條的規定,“公司應當在每一會計年度終了時編制財務會計報告,并依法經會計師事務所審計。”而且,2008年10月通過的《中華人民共和國企業國有資產法》第六十七條明確規定,“履行出資人職責的機構根據需要,可以委托會計師事務所對國有獨資企業、國有獨資公司的年度財務會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計,維護出資人權益。”大家知道,依據注冊會計師執業審計準則的規定,會計師事務所對企業財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度。”①這說明,注冊會計師國有企業審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業財務報表中的信息是由國有企業的信息系統產生形成的,因而必須對信息系統進行審計。注冊會計師對國有企業財務報表審計的可信性目標,決定了注冊會計師對國有企業信息系統審計的可信性目標。
同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業信息系統審計目標。從上述分析不難發現,無論是審計機關還是注冊會計師對國有企業進行審計,其中對企業信息系統的審計都是不可或缺的重要組成部分。根據審計法的規定,審計機關對國有企業信息系統審計的目標是真實性。而根據注冊會計師執業審計準則,對國有企業信息系統審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯系和區別?為什么說審計機關應當把增強國有企業信息系統可信性作為審計目標呢?
(一)真實性與可信性的基本涵義
我國審計法強調真實性,根據2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規定,“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調了財務報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制,“公允”還意味著超出財務報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架,主要是指適用的會計法律法規、會計準則、會計制度等。大家知道,我國會計法強調“保證會計資料真實、完整”。根據會計法的要求,我國的財務報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內涵更加豐富,真實性是對財務信息質量的最低要求,可信性反映了對財務信息質量更高的要求。
(二)可信性目標反映了注冊會計師審計發展的新階段
一般認為,受社會需求變化、自身技術手段及審計風險等因素的影響,注冊會計師審計目標的發展演變至今經歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發展,是更高級發展階段的目標。
(三)可信性目標比“真實公允”具有更加廣泛的適用性
20世紀90年代后期,傳統的財務報表審計成為更為廣義的概念――“保證業務”(Assurance Service)的一個組成部分。我國注冊會計師協會譯為“鑒證業務”②。2004年國際會計師聯合會了《國際保證業務框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業務基本準則》,2007年1月1日起施行。鑒證業務是指注冊會計師對鑒證對象信息提出結論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務業績或狀況時(如歷史或預測的財務狀況、經營成果和現金流量),鑒證對象信息是財務報表;當鑒證對象為非財務業績或狀況時(如企業的運營情況),鑒證對象信息可能是反映效率或效果的關鍵指標;當鑒證對象為物理特征時(如設備的生產能力),鑒證對象信息可能是有關鑒證對象物理特征的說明文件;當鑒證對象為某種系統和過程時(如企業的內部控制或信息技術系統),鑒證對象信息可能是關于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規的情況),鑒證對象信息可能是對法律法規遵守情況或執行效果的聲明。不難看出,傳統的財務報表審計只是鑒證業務中的一種。鑒證標準隨著鑒證對象的不同,也從財務報表審計中按照適用的財務報表編制框架,如編制財務報表所使用的會計準則和相關會計制度,擴展到單位內部制定的行為準則、績效水平等方面。從其定義看,鑒證業務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性,而且還適用于非財務信息(績效信息)的可信性。對財務報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業內部的信息系統,現在已不僅僅是財務信息系統,還包括各種業務和管理信息系統。與此同時,為滿足企業的業務需求,信息系統所提供的信息也不局限于財務信息,而且還包括許多非財務信息。所以,在國有企業信息系統審計中,把可信性作為國有企業信息系統審計的目標比真實性目標更加符合企業信息化發展的客觀要求。
(四)可信性目標反映了審計理論的深化和發展
可信性不是一個孤立的術語,它是新審計理論(或一組新的相互聯系的審計概念)中的一個關鍵性概念。隨著注冊會計師的業務從傳統的財務報表審計發展到鑒證業務,傳統的審計理論也得到了深化和發展。大家知道,審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統的受托責任論,即審計動因論,是建立在傳統的審計三方關系之上的。然而,在我國現行的《注冊會計師鑒證業務基本準則》中給出了一種新的審計三方關系,即注冊會計師、責任方和預期使用者。在新的審計三方關系中,被審計人與審計授權或委托人之間責任關系的含義更加豐富,除傳統的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中,預期使用者應包括企業所有的利益相關者,除了傳統受托責任關系中的股東外,還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執行一定的業務程序。審計師在收集證據的基礎上,依據一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當的標準后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業務的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務信息和非財務信息,其中財務信息被進一步細分為歷史財務信息和預測性財務信息。可信性概念是這些新審計理論中的關鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。
(五)可信性目標反映了國家審計的發展趨勢
在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發的《審計署關于深化經濟責任審計工作的指導意見》中提出,要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分。孔子曰:“足食,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現了國家審計在國家治理中的作用。
經過上述真實性和可信性兩種審計目標含義的對比,不難發現,雖然真實性目標是國有企業審計的傳統目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統提供更高質量的信息。兩種目標都對信息系統提供的信息質量提出了要求,國家審計對信息質量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現行的審計法規定了國有企業信息系統審計的真實性目標,但是,從理論上講以及從未來發展趨勢看,審計機關應當選擇可信性作為國有企業信息系統審計的目標,即國有企業信息系統審計應當促進企業信息系統提供可信的信息。
二、促進國有企業信息系統的遵循性
最高審計機關國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業務分為兩大類,即合規審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執行指南,即財務審計執行指南(Implementation Guidelines on Financial Audit)、遵循審計執行指南(implementation guidelines on compliance audit)和績效審計執行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規責任或者違反法律法規的犯罪,故意地或者非故意地,與執行的法律或法規對立的行為。在COSO內部控制框架中,遵循性(compliance)作為內部控制的目標之一,是指符合適用的法律法規。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業信息系統審計的目標之一,遵循性與合法性不同。
為滿足業務需求,對信息系統提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業務流程與所需遵守的法律、法規及合同約定之間的符合程度的屬性,即外部的強制要求和內部政策的遵循性。”⑤在本文中,遵循性作為國有企業信息系統審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業信息系統的設計、建設、運行和監控不僅要符合來自企業外部的強制性要求(合法性),而且還應符合國有企業內部制定的各種規定的要求。
我國審計機關對國有企業的財務收支的真實、合法和效益,依法進行審計監督。合法性是國有企業審計的審計目標之一。作為國有企業審計的重要內容,信息系統審計應當促進國有企業信息系統的合法性。那么,為什么我們要把國有企業內部制定的各種規定同時也納入國有企業信息系統審計的目標呢?企業內部如何制定關于其信息系統的規定是企業自己的事情,似乎審計機關不應干預,但是,效益性也是國有企業審計的審計目標之一。當信息系統不符合國有企業某些內部規定的要求時就會影響到企業效益,這些內部規定,如內部控制、管理和治理等,也應納入國有企業信息系統審計的遵循性目標范圍。
三、改善國有企業信息系統的績效性
績效性目標是企業信息化不斷發展的產物。我國企業信息化建設已經發展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務,為開展信息系統績效審計提供了審計標準。
(一)企業信息系統績效性的概念
當企業信息化發展水平達到一定程度后,信息系統的績效問題逐漸引起了人們的關注。在企業信息化的早期階段,信息系統主要應用于企業的財務會計領域,這時人們對信息系統關注的焦點主要是信息系統的可信性和遵循性問題,相應的措施主要集中在內部控制方面,強調信息系統的一般控制和應用控制。隨著企業信息化水平的不斷提高,信息系統在企業中的應用范圍逐漸從財務會計領域擴展到整個業務領域和管理領域,與此同時,信息系統的建設投入和運行成本顯著提高。這時人們發現,大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業甚至因高投入造成利潤下降或財務危機,有的企業因業務流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統關注的焦點,逐漸從“投入”轉向“產出”,從技術和內部控制問題轉向管理和治理問題,在企業內部出現了專門的IT管理部門,IT管理和IT治理逐漸從企業的一般管理和治理中獨立出來,而“績效”是描述信息系統投入產出、管理和治理的核心概念。
信息系統的績效性是指利用IT資源提供企業信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業存在的基本前提。企業信息系統的目的在于利用IT資源,通過IT流程,提供企業信息服務,以滿足業務需求。信息系統要實現的績效目標必須與企業的業務需求或業務目標相一致。
(二)績效性目標的可行性
從我國企業信息化發展階段看,目前信息系統的績效問題已經成為關注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯合了《2010年中國企業信息化指數調研報告》。該報告將中國企業的信息技術應用分為四個階段,分別為基礎應用階段、關鍵應用階段、擴展整合及優化升級應用階段以及戰略應用階段,如圖1所示。
該報告認為,目前我國企業信息化總體上處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段。報告的主要結論之一是,2010年“信息技術應用范圍的變化主要體現在應用廣度和深度兩方面,企業基本完成了信息技術在各業務領域的應用覆蓋,已逐漸開始深度關注企業業務發展需求,著力提升信息技術的應用價值。”提高信息系統的績效,也已經成為我國企業信息化深度發展的方向。把績效性作為國有企業信息系統審計的目標,符合我國企業信息化發展的現狀,在現實中具有可行性。
(三)績效性是IT管理和IT治理的重要內容
IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內外部顧客提供高質量的IT服務,提供顧客的滿意度。IT管理的目標就是要追求信息系統的績效性,即經濟性、效率性和效果性。
信息系統的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術治理)中規定了“績效”原則,即IT應適合于支持組織的目的并提供服務,服務等級和服務質量應滿足當前和將來的業務要求。IT治理框架COBIT4.1有四個基本特征:以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中,績效測評是IT治理的關鍵,并且指出,“多項調研已經表明,IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域,提高透明度主要通過績效測評來實現。”⑥
(四)績效審計的參照標準
IT管理和IT治理從企業管理和治理中獨立出來,為開展單獨立項的信息系統績效審計創造了條件。就像企業審計要關注被審計單位的管理和治理那樣,企業信息系統審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務,則為開展信息系統績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術――服務管理)、ITIL(信息技術基礎庫)、ISO/IEC38500(組織的信息技術治理)、COBIT4.1(信息及其相關技術控制目標)等。
四、維護國有企業信息系統的安全性
維護國有企業信息系統的安全,對于維護國家經濟安全至關重要。隨著信息技術的發展和應用,人們對信息系統安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統安全性審計具有重要的意義。
(一)安全性目標的重要性
根據1994年我國頒布的《中華人民共和國計算機信息系統安全保護條例》,維護計算機信息系統的安全性,就是要保障計算機及其相關的和配套的設備、設施(含網絡)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行⑦。從這里可以看出,信息系統的安全包括:信息本身的安全、系統設施設備的安全和系統運行環境的安全三個層面。就三個層面的關系而言,信息是核心,系統設施設備及其運行環境是保障,信息本身的安全是目的,系統設施設備的安全及其運行環境的安全是手段。
國有企業信息系統安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業信息系統的安全穩定運行,2010年12月,公安部和國務院國有資產監督管理委員會聯合頒布了《關于進一步推進中央企業信息安全等級保護工作的通知》。據統計,截至2010年5月,已有89.6%的中央企業開展了信息安全等級保護工作,中央企業總計建成投入使用的信息系統有16 092個,已定級14 539個,占比90.3%;應向公安機關備案的系統(二級及以上)有11 370個,已備案8 113個,占應備案系統的71.4%;列入2010年定級計劃的有1 598個。中央企業在公安機關備案的信息系統總數約占全國信息系統備案總數的21%,第三、四級重要系統約占全國重要信息系統備案總數的30%⑧。這些數據表明,國有企業信息系統已成為國家信息安全的重要組成部分。《中華人民共和國企業國有資產法》第七條規定,“國家采取措施,推動國有資本向關系國民經濟命脈和國家安全的重要行業和關鍵領域集中,優化國有經濟布局和結構,推進國有企業的改革和發展,提高國有經濟的整體素質,增強國有經濟的控制力、影響力。”由于國有企業集中在國民經濟命脈和國家安全的重要行業和關鍵領域,如電信、電力、石油、石化等重要行業,其重要信息系統已成為國家關鍵基礎設施,是國民經濟命脈之命脈,保護國有企業信息系統的安全穩定運行,對于維護國家經濟安全和社會穩定具有重要的意義。
(二)信息安全概念的演變
根據我國計算機信息系統安全保護條例中的定義,計算機信息系統的安全性,包括信息本身的安全、系統設施設備的安全和支撐環境的安全。其中,信息本身的安全,即信息安全,是信息系統安全的核心和目的。那么,究竟什么是信息安全呢?
人們對信息系統安全性的認識經歷了一個不斷深化的發展過程。20世紀80年代美國國防部制定的《可信計算機系統評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術――信息安全管理業務規范》中明確規定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經授權的用戶可以訪問到信息,如果需要的話,還能夠訪問相關資產。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規范與使用指南》)引用。在學術界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
隨著信息技術的發展與應用,信息安全的內涵越來越豐富,從最初的信息保密性發展到保密性、完整性和可用性,進而又發展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業信息安全的考慮,也從最初關注企業信息安全技術層面,發展到關注企業信息安全控制、管理和治理等層面。
(三)正確理解信息安全涵義需要注意的幾個問題
1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統的保密問題作出了規定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
2.微觀信息安全與宏觀信息安全的聯系。企業信息系統的安全離不開系統運行環境的支撐,系統環境包括物理環境和社會環境。從社會環境看,主要是指有關信息安全法律法規、安全意識、人才培養等。這就是說,微觀層面單個組織的信息系統安全,還離不開宏觀層面國家信息安全保障體系的構建。與此同時,微觀層面的信息安全是基礎,沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
3.授權管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權”。保密性意味著只有獲得授權才能訪問;完整性意味著沒有授權不得對信息進行刪除或修改;可用性意味著擁有授權者隨時可以使用。這表明,授權管理是信息安全管理的一項關鍵內容。信息系統是一種人機系統,授權管理主要涉及對人員行為的安全管理。
4.安全性目標與遵循性、績效性、可信性目標的聯系。從信息安全的涵義可以看出,信息系統的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯系的。首先,安全性必須滿足遵循性的要求,信息系統的設計、運行、使用和管理可能要置于法律規定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規、保密法,以及知識產權、個人隱私權方面的法律法規;其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權衡,即安全性與績效性的聯系;最后,在信息安全技術層面,可信計算技術是信息安全技術的一個重要研究領域,從而表明安全性與可信性之間也有內在的聯系。
筆者認為,目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務方面,對于我國審計機關開展信息系統審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準,同時也可以作為審計機關向被審計單位提出改進信息系統安全性建議的依據。同時,在對國有企業信息系統的安全性進行審計時,還要立足我國實際,由于我國國有企業信息系統是國民經濟命脈之命脈,事關國家經濟安全和社會穩定,在重視企業本身信息系統安全的同時,還應當從宏觀上揭示國有企業信息系統的安全風險,維護國家經濟安全。
最后應當指出的是,在審計實踐中,根據具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。
實施企業內控注冊會計師審計具有十分重要的意義。在實施企業內控審計中應當正確處理好企業內控責任與注冊會計師審計責任的關系、企業內控自我評價與注冊會計師內控審計的關系內控審計和財務報表審計的關系,財務報告內控和非財務報告內控的關系、企業層面控制測試與業務層面控制測試的關系、重大缺陷披露與其他缺陷溝通的關系。同時,應當深入研究非財務報告內控測試的范圍界定和方法技術問題內控測試評價的樣本選取問題、首次執行內控審計與連續實施內控審計的策略問題內控審計報告的披露形式問題內控審計信息系統的開發建設問題內控審計結果的利用問題,推動內控審計扎實有序開展。
一 實施企業內控注冊會計師審計的重要意義
2008年5月和20lO年4月,財政部會同證監會、審計署、銀監會、保監會先后了《企業內部控制基本規范》和20項企業內部控制配套指引,在基本建成我國企業內控規范體系的同時,確立了企業內控有效性的自我評價制度和注冊會計師審計制度,由此推動我國企業內控體系貫徹實施步入了法制化、規范化發展的新階段。實施企業內控注冊會計師審計,是立足我國國情、借鑒國際慣例推出的一項創新之策,也是確保企業內控有效實施的重要標志和制度安排。
(一)實施企業內控注冊會計師審計符合國慣例,有助于揭示企業內控重大缺陷維護投資者利益和資本市場秩序
在企業尤其是金融企業和上市公司中推行內部控制注冊會計師審計制度由來已久。1991年美國頒布《聯邦儲蓄保險公司法案》,要求資產高于兩億美元的金融機構管理層提供內部控制有效性評價報告,同時要求此類金融機構“聘請獨立審計師出于鑒證之目的而對其內部控制進行評估并報告結果”;2002年,美國頒布《薩班斯――奧克斯利法案》,通過其302和404條款將財務報告內部控制自我評價和注冊會計師審計制度擴大到公眾公司;2006年,日本頒布《金融機構與交易法》,借鑒美國模式建立了日本公眾公司的內控審計制度;同年,歐盟修訂“歐洲議會和歐盟理事會指令”,明確要求注冊會計師應向公司審計委員會報告財務報告內部控制重大缺陷。通過實施企業內控審計識別、分析、認定、報告內控缺陷尤其是重大缺陷,是注冊會計師審計的重要職責。注冊會計師根據有關法律法規的規定和《企業內部控制基本規范》、《企業內部控制審計指引》的要求將認定的內控重大缺陷報告給企業投資者和社會公眾,有利于投資者,社會公眾和其他利益相關者全面、及時、準確地了解和掌握企業內控現狀,提高決策的科學性和針對性,防止和降低決策失誤風險,從而有效維護投資者利益和資本市場健康穩定發展。
(二)實施企業內控注冊會計師審計,有助于增強企業內部控制效能促進企業全面提升風險防范能力和經營管理水平
注冊會計師的獨立性和專業性,決定了其在實施內控審計過程中可以更超脫、更全面、更深入、更客觀、更精準地查找、剖析企業內部控制中存在的重大風險、薄弱環節和突出問題,較之企業內部控制自我評價在一定程度上難以完全回避的“不識廬山真面目,只緣身在此山中”的固有約束,注冊會計師提出的審計意見往往更具針對性、深刻性和建設性;同時,由于注冊會計師審計報告具有法律效力和威懾性,使得企業管理層必須高度重視注冊會計師的審計意見。圍繞注冊會計師提出的內控缺陷采取及時有效的整改措施,從而促進企業強化缺陷整改的嚴肅性、自覺性和緊迫性,為企業舉一反三健全管控、杜塞漏洞,實現又好又快可持續發展提供助推力。
(三)實施企業內控注冊會計師審計,有助于促進注冊會計師行業緊密適應市場需求推動業務轉型升級,實現加快發展
為了支持和促進我國注冊會計師行業跨越式發展、維護國家經濟信息安全,2009年10月,國務院辦公廳轉發財政部《關于加快發展我國注冊會計師行業的若干意見》(簡稱國辦56號文件),明確提出“在鞏固財務會計報告審計、資本驗證、涉稅鑒證等業務的基礎上,積極向企事業單位內部控制、管理咨詢、并購重組、資信調查、專項審計、業績評價、司法鑒定、投資決策、政府購買服務等相關業務領域延伸,推動大型會計師事務所業務轉變和升級,加速向高端型、高附加值、國際化業務發展”。實施企業內控審計,是落實國辦56號文件精神的具體體現,是擴大會計師事務所執業領域、扶持注冊會計師行業加快發展的重大利好。
二 實施企業內控注冊會計師審計中應當正確處理的幾個關系
(一)企業內控責任與注冊會計師審計責任的關系
兩者之間的關系和會計責任與審計責任的區分保持一致,即:建立健全和有效實施內部控制是企業董事會(或類似決策機構,下同)的責任;按照《企業內部控制審計指引》的要求,在實施審計工作的基礎上對企業內部控制的有效性發表審計意見,是注冊會計師的責任。換言之,內控本身有效與否是企業的內控責任,是否遵循內控審計指引開展內控審計并發表恰當的審計意見是注冊會計師的審計責任。因此,注冊會計師在實施內控審計之前,應當在業務約定書中明確雙方的責任;在發表內控審計意見之前,應當取得經企業簽署的內控書面聲明。
(二)企業內控自我評價與注冊會計師內控審計的關系
第一,企業內控自我評價與注冊會計師內控審計是相互獨立、并行不悖的。企業內控責任與注冊會計師內控審計責任的劃分,決定了企業實施內控自評和注冊會計師實施內控審計必須按照不同的規則獨立完成,兩者之間不能相互替代和免除。
第二,注冊會計師在實施內控審計中可以適當利用企業內控自評工作。一般而言,企業內控自評工作應先于注冊會計師內控審計進行,因此,適當利用企業內控自評工作及其成果,可以相應減少注冊會計師的工作,提高內控審計效率。但是,注冊會計師的內控審計責任,不能因為利用了企業內控自評工作而減輕,這就要求注冊會計師在利用企業內控自評工作時,必須毫不放松風險意識,特別要在評估企業內控自評人員客觀性和勝任能力等方面保持應有的職業謹慎態度。表1揭示了注冊會計師利用企業內控自評工作應當把握的方法和尺度。
第三,在各負其責的基礎上加強雙方的溝通協調,是做好企業內控自評和注冊會計師內控審計不容忽視的重要方法。一方面,就注冊會計師及其所在的會計師事務所而言,一是要注重樹立整體研判觀念,善于在宏觀層面把握大局、把握實質;二是要著重關注合規目標、報告目標和資產安全目標,適當兼顧效率效果目標和戰略目標;三是要配備經驗豐富、結構合理的內控審計項目負責人和經理人員_四是要注意項目具體執行人員與調查訪談對象身份、權責的大體協調;五是要加強內控審計業務培訓和經驗交流;六是要重視以前年度審計情況總結分析;七是要建立與同行的經驗共享、技術合作機制;八是要加強信息技術等非財會、審計人才的引進和培養。另一方面,就企業管理層而言,一是要自覺強化可持續發展理念和借力“會診”意識,主動配合支持注冊會計師的審
計工作;二是要建立并理順與注冊會計師的溝通協調機制,在審前、審中和審后保持坦誠、深入的溝通;三是要針對注冊會計師的疑慮,提出有說服力的證據;四是要在第一時間整改注冊會計師識別的控制缺陷,為獲得更為正面的審計意見贏得主動。
(三)財務報告內控和非財務報告內控的關系
首先,財務報告內控與非財務報告內控是一個相對概念,恰如會計控制與管理控制的界定一樣。一般而言,與財務報告真實性、可靠性、完整性直接相關的控制稱為財務報告內控。比如,根據企業會計準則的要求對經濟交易或事項進行會計確認、計量、記錄和報告的相關控制屬于財務報告內控,除此之外的控制可以歸類為非財務報告內控。
其次,《企業內部控制審計指引》對財務報告內控和非財務報告內控提出了差異化的審計要求,即:注冊會計師應當對財務報告內部控制的有效性發表審計意見,并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以描述。必須強調,這一規定是實事求是的,既充分考慮了注冊會計師的專業特長和職業風險,將注冊會計師的審計重心定位在財務報告內控領域,同時又大膽破除了單純財務報告內控觀念的束縛,促使注冊會計師的內控審計范圍與企業管理層的內控自評范圍總體上趨于一致,增強了內控審計報告與自評報告的協調。
(四)內控審計和財務報表審計的關系
《企業內部控制審計指引》規定,注冊會計師可以將內部控制審計與財務報表審計整合進行(即整合審計),也可以單獨進行內部控制審計。盡管從法規的角度為如何進行內控審計和財務報表審計提供了選擇,但從企業更“經濟”地委托審計分析,我們倡導內控審計和財務報表審計整合進行。事實上,審計準則所要求的風險導向審計與內控規范體系所要求的風險評估,在理念和方法上是趨同一致的,因此整合審計具有較好基礎。整合審計的目的,就是在內控審計中獲取充分、適當的證據,支持注冊會計師在財務報表審計中對內部控制的風險評估結果,同時,在財務報表審計中獲取充分、適當的證據,支持注冊會計師在內控審計中對內部控制的有效性發表意見。整合審計的互動關系見圖1。
從美國公共會計公司(會計師事務所)整合進行財務報表審計和財務報告內控審計(404審計)的通常做法看,內控審計團隊一般先于財務報表審計團隊1~2個月的時間進入被審企業,在對財務報告內控有效性做出總體評估的基礎上,對實施財務報表審計的性質、時間和范圍做出適當調整和完善,之后,通過對財務報表的實質性程序,再來驗證財務報告內控的有效性。由此可見,所謂整合審計,實際上是整合協調審計時間、整合協調審計方法、整合協調審計意見,這是值得我國會計師事務所研究借鑒的。
(五)企業層面控制測試與業務層面控制測試的關系
無論是企業內控自評,還是注冊會計師內控審計,都需要對企業層面控制和業務層面控制進行測試。一般認為,與內部控制諸要素中的基本制度安排直接相關,對企業整體內控目標的實現具有重大影響的控制屬于企業層面控制;與控制活動(控制政策和程序)在具體業務和事項中的運用直接相關,對企業某一或某些方面的內控目標具有重要影響的控制屬于業務層面控制。由此可以推論,企業層面控制決定業務層面控制,業務層面控制反作用于企業層面控制。因此,在實施企業層面控制測試和業務層面控制測試中,應當堅持自上而下、上下結合的測試方法。所謂自上而下,是指測試控制應當從企業層面控制人手,通過評估、預判企業層面控制,增強業務層面控制測試的科學性、針對性和實效性。同時應當注意,強調自上而下進行測試,并不意味著企業層面和業務層面的測試工作是孤立進行、截然分開的,在注冊會計師審計實踐中,往往將企業層面控制測試和業務層面控制測試結合進行,以企業層面控制弱點鎖定業務層面控制重點,以業務層面控制效果反證企業層面控制設計。
需要注意的是,在測試業務層面控制時,一定要把握關鍵控制和一般控制。當一項控制可以涵蓋多個可能出錯事項,或者一個可能出錯事項只有某項控制能夠涵蓋,該項控制應當認定為關鍵控制,除此之外,則被認定為一般控制。經驗數據表明,在所有業務層面控制中,關鍵控制一般占到20%左右。表2為認定關鍵控制提供了一種可供參考的方法。
表2中,控制1可以涵蓋可能出錯事項1、2、3和5,即一項控制可以涵蓋多個可能出錯事項,因此控制1可被認定為關鍵控制;而對于可能出錯事項4,只有控制2能夠涵蓋,即一個可能出錯事項只有一項控制能夠涵蓋,因此控制2可被認定為關鍵控制。由此分析得出,控制3、4和5應為一般控制。
(六)重大缺陷披露與其他缺陷溝通的關系
內部控制缺陷按其影響程度分為重大缺陷(實質性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于設計缺陷和運行缺陷,又可能源于錯弊事項性質和金額的嚴重程度。《企業內部控制審計指引》規定當注冊會計師發現企業董事、監事和高級管理人員舞弊,或者注冊會計師發現當期財務報表存在重大錯報,而企業內部控制在運行過程中未能發現該錯報,或者企業更正已經公布的財務報表,或者企業審計委員會和內部審計機構對內部控制的監督無效,應當認定企業財務報告內控存在重大缺陷,對企業財務報告內控有效性發表否定意見,并通過內控審計報告予以披露。對于其他控制缺陷,包括重要缺陷和一般缺陷,應當區別情況與企業溝通。一般地,對于重要缺陷應當以書面形式與企業董事會和經理層溝通對于一般缺陷,應當以書面形式與企業有關職能部門溝通。
從美國上市公司近年來披露的財務報告內控缺陷尤其是重大缺陷來看,在信息技術、收入確認、付款或有關費用的控制方面存在的薄弱環節較為顯著(見表3)。這也提示我國注冊會計師在實施企業內控審計時,應當著力把握易于出現錯弊的關鍵領域和重要環節,切實揭示出企業財務報告內控重大缺陷。
三 進一步深化企業內控注冊會計師審計應當研究解決的幾個重要問題
《企業內部控制審計指引》的,為實施企業內控審計提供了執業準則和操作指南同時,隨著企業內控審計的不斷深入,也勢必反映出這樣或那樣的各種具體問題。在當前和今后一段時間,應當著力研究解決以下幾個重要問題。
(一)非財務報告內控測試的范圍界定和方法技術問題
關于非財務報告內控測試的范圍。相對而言,財務報告內控測試范圍較為明確,而非財務報告內控測試范圍有一定彈性。鑒于注冊會計師審計的職業特性、勝任能力和審計成本的客觀限制,要求注冊會計師事無巨細地關注非財務報告內控的方方面面是不現實的。因此,我們傾向于緊密圍繞內控目標,建立一套非財務報告內控測試的核心指標體系,這一核心指標體系應涵蓋企業層面控制和業務層面控制的關鍵控制點,其中:對內部環境的測試聚焦于組織架構、人力資源政策、企業文化、社會責任和發展戰略等方面,特別是董事會、監事會建設和審計委員會監督
職能的發揮情況;對風險評估的測試聚焦于風險識別、分析、應對的基本制度安排和基礎方法應用;對控制活動的測試聚焦于控制政策和程序在企業重大經營業務和事項中的運用情況;對信息與溝通的測試聚焦于信息收集、處理、應對機制和對內對外溝通制度的完善,以及信息系統開發、建設和運行狀況;對內部監督的測試聚焦于日常監督和持續性監控的落實情況,特別是企業內控自評工作的開展成效以及內控缺陷的整改情況。
關于非財務報告內控測試的方法。總體而言,應與財務報告內控測試方法基本相同或相近,比如需要綜合運用詢問適當人員、觀察經營活動、檢查相關文件、執行穿行測試等方法,但非財務報告內控測試又往往因測試內容的復雜性和難以量化性具有其獨特之處。表4以對企業文化的面詢為例,為注冊會計師提供了一個測試、審視企業文化的新視角。
在詢問結束后,注冊會計師要初步評估:與企業文化有關的控制政策看起來是何種程度的(標出相應的尺度,如圖2),以此作為對企業文化的初步測試結論。
(二)內控測試評價的樣本選取問題
基于凈利潤、資產總額等指標的計劃重要性水平確定抽樣規模,是財務報表審計的重要方法。但是,企業內控審計的外延和內涵大大超越財務報表審計,因此,如何確定內控測試評價的抽樣規模,是一個亟待解決的突出問題。截至目前,尚未形成具有統一性、公認性的抽樣標準,但部分國際會計公司在執行404審計中逐步探索出一些經驗數據(見表5),值得研究思考并在此基礎上予以完善。
(三)首次執行內控審計與連續實施內控審計的策略問題
根據財政部、證監會、審計署、銀監會、保監會等五部委的統一部署,包括《企業內部控制審計指引》在內的企業內部控制配套指引自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行;在此基礎上,擇機在中小板和創業板上市公司施行;鼓勵非上市大中型企業提前執行。因此,除按《薩班斯一奧克斯利法案》404條款要求為在美上市公司提供財務報告內控審計的會計師事務所外,其他多數會計師事務所及其注冊會計師屬于首次執行內控審計的范疇。首次執行內控審計,特別是同時也屬首次執行財務報表審計,意味著注冊會計師對某一特定企業(客戶)的了解尚不全面、系統、深入,因此,首次執行內控審計應在計劃重要性水平、可容忍的錯報程度、測試范圍和樣本量選取、審計方法運用等方面采取更為嚴格的要求。相應地,在以后年度的內控連續審計中,由于對企業的生產經營情況特別是高風險業務環節有了一定程度的了解,因此可以突出審計重點、簡化部分程序,更多地關注高風險領域企業層面控制和業務層面控制出現的新變化及其對實現控制目標的影響程度。首次執行內控審計與連續實施內控審計的策略變化,對企業和會計師事務所是“雙贏”之舉應當予以重視。由此也啟示會計師事務所,一定要未雨綢繆、早做準備、注重積累,不斷建立健全不同行業、企業的風險案例庫,為提升內控審計質量和內控咨詢服務水平奠定扎實基礎。
(四)內控審計報告的披露形式問題
《企業內部控制審計指引》明確了內控審計報告的格式和內容,但并未對如何公布、披露內控審計報告做出詳細規定。從美國的情況看,企業管理層的財務報告內控自評報告和公共會計公司的財務報告內控審計報告,一般在企業年度報告一并公布。從我國部分上市公司近年來先行先試內控審計的做法看,既有在年度報告中單作一部分予以披露的,也有自成體系形成一個專門報告單獨披露的。兩種做法各有利弊,我們尊重企業的自主選擇權。同時,考慮到內控自評報告和審計報告與管理層討論和分析、年度財務報告、財務報表審計報告等具有直接內在關聯,我們傾向于建議企業在年度報告中一并披露內控審計報告,以利于投資者、債權人、社會公眾和其他利益相關者在通盤了解企業經營狀況、財務狀況內控狀況的基礎上做出正確決策。但是應當強調,在年度報告中一并披露的內控審計報告是一個獨立的報告,不同于財務報表審計報告,否則與傳統做法沒有區別,也易于弱化內控審計。
(五)內控審計信息系統的開發建設問題
會計師事務所及其注冊會計師執行企業內控審計,必須開發建設審計軟件,將內控審計程序固化在信息系統之中,形成可供查驗的內控審計工作底稿和有關檔案記錄。從部分國際會計公司執行404審計的工作實踐看,其財務報告內控審計軟件主要包括以下數據包:(1)審計項目概述。(2)審計項目計劃,包括企業審計回顧摘要、抽樣判斷、穿行測試清單、上一年度測試結論、測試時間和經費預算等。(3)內控審計模型,包括與財務報表整合進行的審計模型、上一年度審計范圍分析、企業遵循薩奧法案404條款計劃文件、企業內控自評記錄、404審計流程與控制測試等。(4)審核相關備忘錄(MRC),包括404缺陷備忘錄等。(5)控制測試概覽,包括:控制評估與記錄;企業層面控制測試;承諾義務與或有事項;工薪循環控制測試;存貨循環控制測試;現金收入(含銷售業務)循環控制測試;現金支付(含采購業務)循環控制測試;財務報表結賬程序控制測試,固定資產循環控制測試;負債循環控制測試;所得稅控制測試;股東權益控制測試等。以對固定資產的控制測試為例,需要測試固定資產購置指令、固定資產發票取得與接收記錄、固定資產明細科目、固定資產使用狀態、固定資產相關費用會計處理、固定資產處置情況等。(6)對內控缺陷的集合與評估。(7)就控制缺陷與企業管理層的溝通情況。(8)就控制缺陷與企業董事會審計委員會的溝通情況。(9)內控審計報告,包括會計師事務所的404審計意見、企業管理層的內控聲明書等。盡管我國企業內控審計的范圍與美國404審計有所差異,但開發建設內控審計軟件的基本思路和總體要求是一致的,應當迅速行動起來,通過聯合開發、自主開發等多種形式,在利用信息技術實施內控審計中贏得先機。
(六)內控審計結果的利用問題
一、風險主觀說和風險客觀說
風險主觀說強調的是“損失”與“不確定性”的關系,不確定性是主觀的、個人的和心理上的一種觀念。此論點認為風險純屬個人對客觀事物的主觀估計,而不能以客觀的尺度予以衡量。這一論點的代表人物有麥爾和科梅克,他們將風險定義為:“風險是損失的不確定性。”不確定性的范圍包括發生與否不確定、發生時間不確定、發生的過程不確定、發生的結果不確定。風險客觀說則是以風險客觀存在為前提,以對風險事故的觀察為基礎,以數學和統計觀點加以定義,并認為風險的大小可用客觀尺度測定。這一論點的主要代表是佩費爾,他將風險定義為“風險是可測定的客觀概率的大小。”本文認為風險是指在特定的客觀條件下損失發生的可能性。這是因為風險是客觀存在的,只有那些導致損失,或既可能會導致損失,又可能導致盈利的不確定事件才能稱為風險事件,不會導致損失的不確定性事件不是風險事件,因而風險與損失或不利因素有必然的聯系。需要說明的是,這里的損失是指非故意的,非計劃的和非預期的經濟價值的減少,那些并非無意的行為,結果是肯定的,因而并不是風險概念的內容。
二、審計風險的概念
現代風險基礎審計中最重要的概念之一就是審計風險概念。對審計風險的概念,不同的學術團體和學者有其不同的見解。美國注冊會計師協會(AICPA)認為(AICPA,1992):審計風險是注冊會計師無意地對含有重要錯報漏報的財務報表發表沒有適當修正意見的風險。《國際審計準則》第6號則認為(張德明譯,1996):審計風險是指注冊會計師對實質上誤報的財務資料可能提供了不適當意見的那種風險。例如,注冊會計師在那些他們所不知道的情況下,可能對實質上錯報的財務報表提供了無保留意見。國際會計師聯合會(IFAC)的國際審計與鑒證準則委員會(IAASB)2003年10新的國際審計準則ISA200—財務報表審計的目標和一般原則,重新定義了審計風險,認為審計風險是指財務報表存在重大錯報而注冊會計師發表不恰當審計意見的風險,而不包括注冊會計師錯誤地認為財務報表含有重大錯報的風險(IFAC,2003)。我國獨立審計準則中對審計風險的定義是(中國注冊會計師協會,1999):審計風險,指會計報表存在重大錯報或漏報,而注冊會計師審計后發表不恰當審計意見的可能性。中國注冊會計師協會2004年10月的審計風險準則的征求意見稿中沿用了IAASB2003年對審計風險的定義(中國注冊會計師協會,2004)。
國內外學者對審計風險的概念也存在不同看法。A.A.Arens和J.k.Loebeck(1992)認為:審計風險是在財務報表事實上存在重大錯誤時,注冊會計師認為財務報表公允表達,并因此提出無保留意見的風險。朱小平、葉友(2003)則將國內外關于“審計風險”的定義歸納為兩類:損失可能論,即認為審計風險是指由于注冊會計師主觀因素與其他因素帶來損失的可能性;意見不當論,即認為審計風險是指當會計報表存在重大錯報與漏報時,注冊會計師針對會計報表而的不恰當審計意見的可能性。隨后,他們從概念體系的內在邏輯關系和傳統的審計風險模型兩個方面檢查了“審計風險”定義的損失可能論和意見不當論,最后認為后者明顯優于前者。上述有關審計風險的概念,都有一個共同特點,認為審計風險是指財務報表沒有公允地揭示而注冊會計師認為已公允地揭示的風險。其實,這種定義方法只是為了給實務中的具體操作提供可行的指南,而不是從一般的理論意義上探討,因而只能說明審計風險的表面現象,而未觸及審計風險最本質的東西(胡春元,1997)。將審計風險概括地表示為未能覺察出重大錯誤的風險,只是最狹義的審計風險,而審計風險本身具有更廣泛的含義。本文認為,審計風險可以從三個層次上來說明:
第一層次:最狹義的審計風險,即指財務報表有重大錯誤而注冊會計師簽發完全肯定意見的審計報告的風險。這是審計實踐中大量發生的情況,因而成為研究的重點,包括最新的國際審計準則和我國的審計風險準則征求意見稿在內的許多審計準則都作了類似的規定。
第二層次:狹義的審計風險,即發表了不恰當審計意見的風險,既包括注冊會計師把錯誤判斷為正確的情況(誤受險),也包括把正確判斷為錯誤的情況(誤拒險),只是后者不大可能發生,在實務中多數情況下不予考慮。這個層次比第一層次在含義上要廣泛一些。第三層次:廣義的審計風險,即審計職業風險。本文認為風險是指在特定的客觀條件下損失發生的可能性。這是從最廣泛的意義上理解風險的,推而廣之,審計風險也可以理解為審計主體遭受損失的可能性。風險的幾個方面都與財務報表審計有關,主要有狹義的審計風險和業務關系風險。業務關系風險是指盡管注冊會計師和會計師事務所遵循了公認審計準則并了正確的審計意見,然而由于與被審計單位之間的特定關系,因此可能受到被審計單位的牽連(特別是在被審計單位發生經營失敗時)而可能導致注冊會計師和會計師事務所要承擔一定損失的風險(朱小平、葉友,2003)。這也是審計職業界面臨訴訟“爆炸”的重要原因,也是現代風險基礎審計方法要關注的地方。報表使用者在發生經營失敗時指責審計失誤,部分原因是他們分不清注冊會計師的作用,對注冊會計師抱有過高的期望,無法區別審計功能與業務關系風險之間的差別;另一部分原因是遭受損失的人們由于對其經濟利益的關注而對注冊會計師提出過高的要求,一旦受損就希望得到補償沒,而不問錯在何方。
注冊會計師職業的生存和發展都必須以謀取經濟利益為基礎,它一方面要履行社會鑒證的職責,另一方面又必須同其服務對象進行合作,追求一定的經濟利益,以滿足自身生存和發展的條件。這樣,審計職業界就必須在法律、職業道德和自身利益之間尋求平衡點。由于法規、經濟環境和自身利益需求等因素是不斷發展變化的,它們之間的平衡狀態便會不斷地被打破,每一次失衡狀態都會給職業界帶來一定的風險。20世紀90年代以來,客戶關系對審計組織和個人構成的風險有日益增長的趨勢(吳榮國、趙世君,2003)。這是因為:報表使用者對注冊會計師的責任的了解正在增加;政府保護投資人利益的意識正在增強;企業規模的擴大,業務的復雜性和電子商務的興起等原因,會計和審計業務更為復雜,縱使遵循了審計準則,也很難保證企業不會發生經營失誤;社會日益贊同受傷害的一方向有能力提供賠償的一方提出訴訟;很多會計師事務所為節省法律費用或避免不利于自己的問題張揚出去,寧愿私了也不愿通過司法程序解決問題;客戶可選擇的編制財務報表的會計原則很多,而注冊會計師在評價所選用的原則是否恰當時缺乏明確的標準。上述的因素,使即使不是審計過程中發生的失誤行為,亦對注冊會計師和會計師事務所構成了風險,因而必須把業務關系風險列入審計風險的范疇,并擴大注冊會計師的審計范圍。
綜上所述,審計風險是與審計職業相聯系的,完整的審計風險概念,應從廣義上解釋,即不僅包括審計過程的缺陷導致審計結果與實際不相符而給注冊會計師和會計師事務所帶來損失的可能性,還包括經營失敗可能導致公司無力償債或倒閉所可能給注冊會計師和會計師事務所帶來損失的業務關系風險。
作者:趙建強單位:山西煤炭運銷集團審計處
[關鍵詞]審計風險 程序 了解環境
審計師在審計時應當考慮的風險包括三種,即企業的經營風險,審計風險,特別風險。經營風險是對實現企業目標或執行企業戰略產生不利影響的各種不確定因素,企業所具有的經營性質、所處行業、外部監管環境、企業的規模和復雜程度等因素都對財務報表發生重大錯報有密切的關系,許多經營風險最終都會造成財務后果,比如經營風險中競爭者開始延長產品保證期,這樣會給企業帶來增加預提保證費用的風險,還有如果原材料發生短缺,就會產生標準成本的損耗率上升,競爭者在市場技術上開始領先,這樣就會造成投資需要增加計提減值準備。審計風險則是現代風險導向審計的核心概念,它由重大錯報風險和檢查風險組成,重大錯報風險是指財務報表在審計前存在重大錯報的可能性,它有固有風險和控制風險組成,重大錯報風險和檢查風險互為反向關系。特別風險是,在審計實務中需要特別考慮的重大錯報風險,即是否是舞弊風險、是否是近期經濟環境、會計處理方法和其他方面的重大變化、是不是復雜的交易、是不是重大的關聯方交易、是不是對重大事項存在不確定計量空間,是不是設計異常或超出正常經營過程的重大交易,由此看到,特別風險與非常規重大交易和判斷事項有關,即金額和性質異常并且不是經常發生的。
在審計實務中對各種風險的評價是風險導向審計的開始,審計師了解被審計單位及其環境,目的是為了識別和評估財務報表重大錯報風險,為了了解被審計單位的重大錯報風險,審計師首先要了解被審計單位極其環境(不包括內部控制),這其中包括,了解被審計單位的行業狀況、法律環境與監管環境以及其他外部因素性質,對會計政策的選擇和運用,目標、戰略以及相關經營風險,財務業績的衡量和評價;其次要了解內部控制,這主要了解控制環境、被審計單位的風險評估過程、信息系統與溝通、控制活動、對控制的監督;第三是對風險評估及其審計計劃的討論,主要是被審計單位面臨的經營風險、財務報表容易發生錯報的領域、錯報的方式、特別是由于舞弊導致重大錯報的可能性,第四評估重大錯報風險,主要包括財務報表層次、認定層次(各類交易、帳戶余額、列報、披露)。
為達到以上目的所要執行的具體審計程序有:
首先,詢問。詢問被審計單位管理層和內部其他相關人員,詢問的主要問題有新的競爭對手、主要客戶和供應商的流失、新的稅收法規的實施、以及經營目標或戰略的變化、財務狀況和最近的經營成果、現金流量、可能影響財務報告的交易和事項、或者目前發生的重大會計處理問題等,審計師還應當考慮詢問內部審計師、采購人員、生產人員、銷售人員等其他人員,并考慮詢問不同級別的員工以獲取對識別重大錯報風險的不同需要,即詢問治理層、有助于審計師了解其針對被審計單位財務報表的編制環境;詢問內部審計師有助于審計師了解其針對被審計單位內部控制設計和運行有效性的情況,以及管理層對內部審計發現的問題是否采取適當的行動;詢問參與生成、處理或記錄復雜或異常交易的員工,有助于審計師評估被審計單位選擇和運用某項會計政策的適當性;詢問內部法律顧問,有助于審計師了解被審計單位的有關訴訟、法律法規的遵循情況、影響被審計單位的舞弊或涉嫌舞弊、產品保證和售后責任、與業務伙伴的安排、以及合同條款的含義;詢問銷售人員,有助于審計師了解營銷策略及其變化、銷售趨勢或與其客戶的合同安排;詢問營銷或銷售人員,有助于審計師了解被審計單位的原材料采購和產品生產等情況等情況。
其次,執行分析程序。分析程序是指審計師通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系,對財務信息作出評價,分析程序還包括調查識別出的、與其他相關信息不一致或與預期數據嚴重偏離的波動和關系,審計師實施分析程序有助于發現識別異常的交易或事項,即特別風險,審計師還可以對財務報表的審計產生影響的金額、比率和趨勢進行預測。在實施分析程序時,審計師應當預期可能存在的合理關系,并與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較,如果發現異常或未預期到的關系,審計師應當在識別重大錯報風險時考慮這些比較結果
第三,進行觀察和檢查。觀察和檢查程序可以印證對管理層和其他相關人員的詢問結果,并可以提供有關審計單位及其環境的信息,審計師應當實施下列觀察程序,觀察被審計單位的生產經營活動,如觀察被審計單位人員正從事的生產活動和內部控制活動等;檢查文件、記錄和內部控制手冊,如檢查被審計單位的章程,與其他單位簽訂的合同、協議、股東大會、董事會議、高級管理層會議的會議記錄,各業務流程操作指引和內部控制手冊,各種會計資料、內部憑證和單據;閱讀由管理層和治理層編制的報告,如閱讀被審計單位年度和中期財務報告、管理層的討論和分析資料、經營計劃和戰略、對重要經營環節和外部因素的評價、被審計單位內部管理報告,以及其他特殊目的的報告(新投資項目的可行性分析報告);實地察看被審計單位的生產經營場所和設備;追蹤交易在財務報告信息系統中的處理過程(穿行測試),這是審計師了解被審計單位業務流程及其內部控制時經常使用的程序。通過追蹤某筆交易在業務流程中如何生成、記錄處理和報告,以及相關內部控制如何執行,審計師可以確定被審計單位的交易和內部控制是否與之前通過其他程序所獲的了解一致,并確定內部控制是否得到執行。
基于對企業風險管理的考慮,風險評估程序應當貫穿于企業財務報表審計的整個過程,并運用大量的專業判斷識別、計量風險因素,為防止主觀和片面的判斷影響審計結果,要進行討論和研究,形成對被審計單位的總體情況報告、總結上年的工作情況、被審計單位的環境變化情況、財報的易錯領域、重要審計事項和審計領域、可能發生的重大舞弊和重大錯報風險、重要性水平的設定、最后制訂總體審計策略。
參考文獻:
認定是指被審計單位管理層對財務報表組成要素的確認、計量、列報做出的明確或隱含的表達。注冊會計師接受委托對財務報表進行審計,首先必須取得被審計單位的財務報表,這就意味著管理層對財務報表做出了認定。這些認定反映了被審計單位管理層在處理各項經濟交易與事項時,遵循會計準則及相關會計法規的范圍、程度及其結果。管理層對財務報表中所有的資產、負債、所有者權益、收入與費用等都做出了認定。這些認定有些是明確的,有些是隱含的。例如,管理層在資產負債表中列報應收賬款及其金額,意味著做出了下列明確的認定:一是記錄的應收賬款是存在的;二是應收賬款以恰當的金額包括在財務報表中,與之相關的計價或分攤調整已恰當記錄。同時,管理層也做出了下列隱含的認定:一是所有應當記錄的應收賬款均已記錄;二是記錄的應收賬款都由被審計單位擁有;三是應收賬款的使用不受限制。
審計準則中將管理層認定的內容分為三個層級:一是與各類交易和事項相關的認定包括:(1)發生:記錄的交易和事項已發生,且與被審計單位有關;(2)完整性:所有應當記錄的交易和事項均已記錄;(3)準確性:與交易和事項有關的金額及其他數據已恰當記錄;(4)截止:交易和事項已記錄于正確的會計期間;(5)分類:交易和事項已記錄于恰當的賬戶。二是與期末賬戶余額相關的認定包括:(1)存在:記錄的資產、負債和所有者權益是存在的;(2)權利和義務:記錄的資產由被審計單位擁有或控制,記錄的負債是被審計單位應當履行的償還義務;(3)完整性:所有應當記錄的資產、負債和所有者權益均已記錄;(4)計價和分攤:資產、負債和所有者權益以恰當的金額包括在財務報表中,與之相關的計價或分攤調整已恰當記錄。三是與列報相關的認定包括:(1)發生以及權利和義務:披露的交易、事項和其他情況已發生,且與被審計單位有關;(1)完整性:所有應當包括在財務報表中的披露均已包括;(3)分類和可理解性:財務信息已被恰當地列報和描述,且披露內容表述清楚;(4)準確性和計價:財務信息和其他信息已公允披露,且金額恰當。
二、管理層認定與審計具體目標的確定
注冊會計師審計的目標包括總體目標和具體目標兩個層次。總體目標是對被審計單位財務報表的合法性與公允性發表審計意見。只有在對財務報表各項目進行審計后,才有可能對報表總體的合法性與公允性發表意見,這時就出現了報表項目的審計具體目標問題。雖然合法性與公允性有明確的含義,但在注冊會計師審計實務中,并不把合法性與公允性作為財務報表審計的具體目標,其原因在于合法性與公允性作為審計具體目標過于寬泛,缺乏操作性,不利于注冊會計師實施相應的審計程序來獲取審計證據。因此才利用管理層認定作為財務報表審計總體目標與具體目標之間的聯系橋梁。
由于管理層對財務報表各組成項目均做出了認定,注冊會計師就可以根據被審計單位管理層的認定和審計總體目標來確定審計具體目標。審計具體目標是總體目標的具體化,并受到總體目標的制約,它包括一般目標和項目目標。注冊會計師根據管理層認定推論得出一般目標,為搜集審計證據和發表審計意見提供具體指導,再針對被審計單位具體情況制定項目目標。一般目標是進行所有項目審計時均必須達到的目標,適用于所有項目的審計;它通常包括:總體合理性目標、與各類交易和事項相關的目標、與期末賬戶余額相關的目標以及與列報相關的目標。總體合理性目標是指注冊會計師根據他所掌握的有關被審計單位的全部信息,評價某項目的合理性;與各類交易和事項相關的目標包括真實性、完整性、準確性、截止、分類;與期末賬戶余額相關的目標包括存在、權利和義務、完整性、計價和分攤;與列報相關的目標包括發生及權利和義務、完整性、分類和可理解性、準確性和計價。項目目標是根據每個項目分別確定的目標,通常只適用于某一特定項目的審計。
管理層認定與審計目標密切相關,注冊會計師了解了認定,就很容易確定每個項目的具體審計目標,并以此作為評估重大錯報風險以及設計和實施進一步審計程序的基礎。接下來注冊會計師的工作就是要確定管理層的認定是否恰當,即對管理層的認定進行再認定。
三、管理層認定與審計證據獲取
要實現審計目標,必須收集和評價審計證據。審計證據是注冊會計師為了得出審計結論形成審計意見而使用的所有信息。注冊會計師的審計過程可以說是收集、評價證據,最后據以形成審計意見的過程,審計證據的收集、評價是注冊會計師計劃審計工作和實施審計程序的核心。
每一位注冊會計師面臨的主要決策之一就是確定為滿足判斷被審計單位財務報表各組成部分以及財務報表整體是否合法與公允所應收集的證據的適當類型與數量。若能使審計證據的收集與評價和管理層認定概念結合起來,則審計證據的收集與評價工作就更具邏輯性、科學性和針對性。注冊會計師對被審計單位財務報表發表意見可以轉化為對被審計單位管理層的各項認定的合理性和有效性做出結論的過程,為了便于執行實質性程序,收集審計證據,注冊會計師將管理層認定拓展為審計具體目標,再在審計具體目標基礎上確定一般目標與項目目標,也就是在審計過程中,注冊會計師應根據審計具體目標來設計和執行充分的,能夠保證審計具體目標得以實現的實質性程序,確保收集到充分、適當的審計證據,之后注冊會計師就可以對管理當局認定是否合理和有效做出判斷,再將對各項認定的判斷綜合起來,結合執行控制性測試所得到的證據,就能對被審計單位財務報表的整體合法性與公允性表示意見了。可見,注冊會計師通過一定的審計程序來獲取審計證據,以審計證據為支撐來達到具體的審計目標,而審計具體目標是由審計總體目標和被審計單位認定決定的,因此審計證據的收集與評價是圍繞被審計單位管理層認定展開的。
四、運用舉例及結論
下面表1以應收賬款為例,說明為證實與應收賬款期末賬戶余額相關的認定,注冊會計師應確定的審計具體目標,執行的審計程序以及應收集的審計證據。
一、政府效益審計的內涵
(一)效益審計的概念
效益審計是指審計機關對被審計單位財政收支和有關經濟活動的經濟性、效率性和效果性進行的審查和評價。
效益審計的目標主要是經濟性、效率性和效果性。經濟性是指投入的節約,效率性是指投入與產出的關系,效果性是指產出是否達到預期目標。這三個目標緊密相聯,有時交叉在一起,并無明顯的區分界限,實際工作中更難把三者完全割裂開來。因此,在審計中可以對這三個目標有所側重,但為保證審計的客觀性,通常會將三者聯系起來統籌考慮。
(二)效益審計的特點
與財務報表審計相比,效益審計在設計的基本原理和程序方面都是相同的,不同之處主要表現在以下幾個方面:
1.審計目標不同
一般來說,財務報表審計的目標是對財務報表的真實性、公允性發表審計意見,而效益審計是對被審計單位資源管理和使用情況發表審計意見。
2.審計方向不同
一般情況下,財務報表審計是對歷史的財務信息進行審查和評價,而效益審計有可能是對未來情況進行的分析和預測,多數情況下,效益審計要對未來提出改進建議。
3.所依據的評價標準不同
財務報表審計所依據的評價標準基本上是相同的,即一般公認會計原則及相關具體的會計制度,效益審計由于每個項目的具體目標不同,所依據的評價標準也各不相同。
4.審計方法不同
由于審計目標的相對固定,財務報表審計所運用的方法相對比較固化。而效益審計項目的目標是多樣化的,審計對象范圍也十分廣泛,審計項目中為實現審計目標所采用的方法也是無法固定的,幾乎所有的社會科學研究方法,在效益審計中都有可能用到。
(三)開展效益審計的意義
1.開展效益審計是建立高效廉潔政府的需要
高效廉潔的政府,是現代化民主社會的基本特征。在以市場經濟為中心的今天,在政府各部門以經濟工作為中心的情況下,如果能對工作中的經濟性、效率性和效果性進行經常性審計監督,那么,官僚主義和腐敗現象就會少一些,經濟決策就會更準確,國家的經濟損失就會更少,社會效益也會大大提高。目前在公共資金的使用上存在著不重視經濟效益,不算經濟賬,甚至嚴重浪費的現象,有限的資金沒有得到合理有效的使用,使政府的效能下降,并為某些腐敗分子提供了方便。盡快開展效益審計,有利于監督政府工作的效益,有利于建立清正廉潔的政府。
2.開展效益審計是有效利用有限資源的需要
隨著國家在社會經濟生活中的作用日益顯著,公共支出占國民生產總值的比重不斷上升,中央政府和地方政府所承擔的經濟責任的范圍已大大擴展。國家公共開支的成倍增長和公營企業規模的不斷擴大,特別是我國眾多人口增長,經濟資源越來越不能滿足社會的需要,政府的生長基礎和社會的發展機會愈來愈受限制。雖然目前我國的經濟增長速度依然令世界刮目相看,我們也擁有得天獨厚的自然資源和人力資源,但是如若按照可持續發展戰略的要求,在這種高經濟增長的背后,是否隱藏著對寶貴自然資源和人力資源的某種揮霍?對政府受托責任的考評應該定位在投資效益上。投資不僅包括經濟資源,也包括人力資源、自然資源等;效益不僅包括經濟效益,還包括環境的保護、社會的安定、民心的凝聚力等。
3.開展效益審計是維護人民群眾利益的根本需要
現代社會是民主化的社會,是人民當家作主的時代。政府受人民之托、用人民的錢,理所當然的為人民辦事。在民主社會,政府負有以最經濟、最有效的辦法使用管理各項資源,并使各項資源的使用最大限度地達到預期目的。因此,盡快開展效益審計,是維護民主與法制建設、建立現代化強國所必備的一個有力措施。
二、政府效益審計的技術方法
審計技術方法是為實現審計目標服務的,由于政府效益審計目標多樣化、審計對象范圍廣泛,因此審計項目中為實現審計目標所采用的技術方法也是無法固定的,幾乎所有的社會科學研究方法,在效益審計中都有可能用到。
(一)審查和評價經濟性的技術方法
經濟性是指投入的節約,即是否經濟節約地獲取和投入資源,資源包括人、財、物和信息等。審計人員在審查評價經濟性時要關注資源獲取和投入的時間、種類、數量、質量、成本和相關的決策、管理等方面。
1.投入合理性的評價
合理的投入要有助于產出,有利于產出結果。在投入合理性評價時,審計人員應重點關注被審計單位項目的設立和批準是否符合一定的立項和審批程序,是否嚴格按照規定的程序和制度辦事,防止不合理的投入。
2.投入充分性的評價
充分的投入是項目及時和高質量完成的保證,包括及時投入和足額投入兩個方面。在投入充分性評價時,審計人員應重點關注是否存在由于資金不充足、不到位而導致項目不能按時開工、工期拖長、逾期未建成、占壓資金、資產閑置等各種損失浪費的現象發生;是否存在由于投入的不充分而變更設計、降低質量、以次充好,造成嚴重的質量問題等。
3.投入時機恰當性的評價
準確地把握投入的時機是決定投入成功與否的關鍵因素之一。在投入時機恰當性評價時,審計人員應重點關注被審計單位在投入前是否進行過廣泛而深入的調查和研究,投入時機的選擇是否恰當。
4.投入管理和控制的評價
規范化、科學化的投入管理和控制有利于提高資金的使用效益。在投入管理和控制評價時,審計人員應重點關注,在項目管理方面,被審計單位是否建立健全有效的組織管理和內部控制制度,如基建項目中的招標投標制度、項目法人責任制度、工程監理制度、合同管理制度等;是否對資金實行了全面管理,制定了資金管理具體辦法和使用規定。
5.利用量本利關系對投入進行分析評價
量本利關系是指數量、成本和利潤之間的關系。利用量本利關系對投入進行分析主要是利用盈虧平衡分析法,來分析處于盈虧平衡點的業務量水平,進而對項目的投入進行評價。盈虧平衡點是指不盈利也不虧損時的業務量水平,即收入等于成本時的業務量水平。
(二)審查和評價效率性的技術方法
效率性是指投入與產出的關系。一般用投入與產出的比例關系來反映投入資源的利用效率。高效率使用資源的特征是:一定產出條件下的投入最小化;一定投入條件下的產出最大化;更多的產出消耗更少的投入。審查評價效率性時可使用的技術方法主要有成本收益法、成本效果法、價值工程分析法。
1.成本收益法
成本收益法在分析計算成本與收益的基礎上,比較成本與收益之間的貨幣金額關系,目的是確定被審計單位或項目的收益是否超過成本。成本收益是評價資金使用效益的主要方法,適用于成本和收益均能以貨幣金額準確計量或估計的情況。
評價效益性一般使用收益與成本的比值(收益/成本)。如果比值大于1,說明收益超過成本,比值越大收益越大;如果比值等于1,說明收益與成本相等;如果比值小于1,說明收益低于成本,比值越小資金的使用效率越低。
2.成本效果法
成本效果法分析成本和效果之間的關系,以每單位效果所消耗的成本來評價項目效益,尋找既定目標的最經濟成本,或既定成本的最好效果。與成本收益分析不同的是,成本效果分析的成果用實物數量表示而非貨幣金額,適用于成果不能用貨幣計量的情況。
用成本效果分析法評價效率性時,一般有四種方式:一是直接將成本效果比值與標準相對比;二是當成本相同或較固定時,可以只比較效果;三是當效果相同或較固定時,可以只比較成本;四是當效果提高(降低)成本也加大(減少)時,可以比較每單位增加(減少)的效果所引起成本變化,即使用額外成本與額外效果的比值。
3.價值工程分析法
價值工程分析法是用成果的功能與成本的比值來衡量所得到的價值(價值=功能/成本),目標是用最低的成本來實現或獲取它所具備的必要功能。與成本效果分析不同的是,價值工程分析以功能分析為核心,目的是在滿足各種不同的功能需求的前提下,使資源得到充分合理的利用,達到成本最低價值最大。價值工程分析法適用于產出成果不能以貨幣金額和實物數量來計量,而可以按其實現的功能來分析的情況。
應用價值工程分析法時要從以下五個方面進行分析:一是是否存在既提高功能,又降低成本的途徑;二是當功能相同或固定時,可以評價成本降低的可能性;三是當成本相同或固定時,評價功能提高的可能性;四是當成本與功能均提高時,評價功能的增加是否超過成本的變化;五是當成本與功能均降低時,評價成本的減少是否超過功能的變化。
(三)審查和評價效果性的技術方法
效果性是指產出是否達到預期目標,即產出的結果和影響達到或實現預期目標的程度。審查評價效果性時可使用的技術方法主要有目標評價法、目標成果法、標桿法、評分法。
1.目標評價法
在審查和評價效果性時,由于要將產出與預期的目標相對比,所以采用目標評價法時,審計人員應重點關注被審計單位或項目的目標是否科學、合理、可計量且符合實際情況。如果缺乏明確的目標或目標不具體,會導致許多損失浪費和效益低下的情況發生。
2.目標成果法
目標成果法是根據實際產出成果評價被審計單位或項目的目標是否實現。該方法將產出成果與事先確定的目標聯系起來,確定目標的實現程度,找出成果與目標的差距或成果的偏離程度,查找工作過程中的缺點、失誤和問題,分析其原因,挖掘提高效益的潛力。
3.標桿法
標桿法是將被審計單位的產品、服務和管理等方面與同類事項中一直領先或做得最好的其他同類單位或部門相對照并借鑒其實踐經驗。標桿法的核心是確定最佳實踐標準。
標桿法適用于存在先進的類似單位或部門能夠作為基準,對這樣的單位或部門事先進行過詳細周密的考察,并且能夠確定需要對照或借鑒事項的情況。
4.評分法
