内部控制:基于国际审计准则的比较研究
2009-04-30高立法
高立法
作者简介:北京科技大学教授、知名会计实务专家、企业财务顾问、高级编审,财务畅销书作者。
当前,全球经济进一步融合,以信息技术为代表的新经济不断涌现。它为内部控制和风险管理增加了更多的不确定性。内部控制与风险管理是董事会、管理层、内部审计师和外部审计师充分履行职责,在可以控制的范围内控制和管理风险的系统过程。我国2008年5月出台的《企业内部控制基本规范》将于2009年7月1日起在上市公司范围内施行,并鼓励非上市的大中型企业执行。这一重要规范的出台,必将会对我国会计、公司治理、证券市场监管产生重大而深远的影响。但所谓"冰冻三尺非一日之寒",财务舞弊的根源由来已久,该规范能否起到预期的效果还有待时间的检验。结合我国企业正处于转轨时期这一现状,我们认为有必要参照世界各国的审计准则来对企业内部控制进行深入认识。以它山之石,改变我国目前内部控制意识普遍淡薄和内控制度流于形式的现状。在国际审计准则中,有关内部控制的论述及规定主要的有三个重要准则。
一、PCAOB:对内部控制的审计
(一)产生背景
2004年3月9日美国公众公司会计监督委员会(PCA0B,以下简称委员会),为了配合审计人员对财务报表内部控制有效性评上价的审计工作,批准了第2号审计准则,即《财务报表审计内部控制的审计》(以下简称准则)。委员会指出,对财务报表的内部控制进行审计是一项庞大的工程;另外,维持有效的内部控制,包括定期评估,并不是无成本的,但是,委员会强调建立和完善一套内部控制制度所带来的好处是巨大的。
(二)内容精要
1.审计目标
准则指出:财务呈报内部控制审计的目标是,对管理当局“内部控制有效性评价”发表意见,该目标分解为两个步骤:
(1)管理当局必须对主体的内部控制进行评估并得出结论;
(2)审计人员对管理当局所作评价的结论是否公允作出评价,并发表独立意见。
准则指出,管理当局在财务呈报的内部控制评价过程中的责任是:
(1)对企业财务呈报的内部控制的有效性承担责任;
(2)用恰当的控制标准评估企业内部控制的有效性;
(3)有足够的证据(包括文件)来支持其评估结论;
(4)就最近财年末为止的企业内部控制的有效性作出书面的评估报告。
如果管理当局未完成上述责任,审计人员应以书面形式与管理当局和审计委员会沟通,明确对财报内部控制的审计无法满意地完成,以致无法发表意见。
2.管理层责任
审计准则明确了对内部控制结果满意的前提条件。依据《萨班斯法案》404条款的要求,管理当局必须做到以下各项:
(1)对公司财务报告的内部控制有效性负责;
(2)按照合适的标准(如C0S0标淮)评价公司财务报告内控有效性;
(3)采用充足的证据支持该评估结果;
(4)在最近的财务会计年度期末提供书面的评估报告;
如果审计师认定管理层未履行上述责任,那么他将不能完成财务报告的内控审计,必须放弃发表审计意见。
3.管理当局的评估过程
根据准则要求,管理层对内部控制评估的过程必须包括:确定哪些内部控制需要测评;评估内控失效引起财务误报的可能性;确定有多少下属单位参与内控评估;评估对所有与财务报告中重要项目和信息有关的内控设计与执行情况;确定已经发现的与财报有关的内控缺陷是否导致了严重的后果;与有关方面就发现的各种问题进行沟通;确认这些发现是否支持评估结论。但必须强调,管理层不能用审计师所采用的程序和获得的证据来支持自身对内控的评估结论。
4.管理层的证明材料
在确认管理层的证明材料是否支持其评估结论时,审计师应当分析这些证据是否包含如下项目:所有与财务报告中的重要项目和信息有关的判断所采用的内控设计情况;关于重要交易事项、授权、记录、处理和报告的信息;关于业务流程的充分信息,以判断哪些环节会产生错误及舞弊所导致的后果;阻止和发现舞弊的内控措施;期末财务报告的内部控制;资产保管的内部控制;管理层对内部控制的测试以及评估结果。
5.了解内控情况
了解针对财务报告的内部控制有效性,即询问内控的实施人员;观察他们的表现;查看内控指引;将内控指引与实际结果对照。准则指出,了解内部控制最有效的方法就是对公司的重要内控进行穿行测试。
6.评价审计委员会监督的有效性
准则要求审计师应当评价上市公司的审计委员工作的有效性,以此作为了解和评估公司内控环境、监测财务报告内控的组成部份,并就审计委员会的无效性与董事会进行交流。准则强调,此项评估工作是由公司董事会负责的。
7.测试执行的有效性
审计师每年都要测试内控的执行效果,同时还要确认内控的执行者是否具有必要的权限和能力,按部就班的实施,使内部控制制度得到不折不扣地执行。
8.使用其他人员的工作成果
其他人的工作包括内部审计师的工作、公司其他部门的工作、在管理层和审计委员会指导下第三方的工作等。
9.评估测试结果
准则要求审计师评估所有己发现的内控漏洞的严重性。通常认为下列方面存在缺陷至少是重大缺陷:会计政策的选择和应用的控制;反舞弊程序和控制;非常规和非系统交易的控制;期末会计报告编制的控制。另外下列问题至少是重大缺陷:对已经发布的财务报告中误报的修正;由注册会计师发现的当前年年报的重大误报;审计委员会的监督无效;无效的内部审计和风险评估功能,且这些功能对公司报表生成程序的可信赖性是非常关键的;被高度监管防止公司违规的措施无效,特别是一旦无效,违规违法行为就会对财务报告的可信性产生重大影响;发现高层管理任何程度的舞弊;先前发现的、已经通知公司的重大缺陷在合理期限后仍未改正;控制环境无效。
10.缺陷和意见
准则要求注册会计师就财务报告的内控审计发表两条意见:一条是针对管理层给出的自我评价结论;另一条是内部控制的有效性。
11.季度证明
准则要求注册会计师每个季度应实施一定的审计程序,确定公司根据《萨班斯法案》302条款应当披露的财务报告内控是否发生变化。如有应当与管理层进行交流并采取一定的措施。
二.国际审计准则(ISA)6号:对会计制度和有关内控的评价
(一)产生背景
国际审计准则系由“国际会计师联合会”的“国际审计实务委员会”所颁布。国际审计准则与美国公证执业会计师协会的"职业道德规范"不同,并非必须执行的标准。国际审计准则是为了有助于理解国际审计实务委员会的目标和工作程序,以及该委员会所发布的准则的范围和权威性而编写的。
(二)内部精要
《国际审计淮则6号》由9部分28条款构成,具体内容如下:
第1部分:引言,主要指明了管理当局责任及准则目的。
(1)《国际会计准则》规定:管理当局应负责保持合适的会计制度,以组成适合于经营规模和性质的各种内部控制。审计人员应对会计制度适用性以及记录的正确性,需要有合理的确信。
(2)准则目的。为在财务资料审计中应遵循的各项程序提供指导。
第2部分:主要明确了会计制度和内部控制。
(1)会计制度可表述为:单位的一系列工作系统用来处理其经济,作为保持财务记录的一种手段。它应当包括对经济业务的确认、计量、分类、记账、汇总和提出报告。
(2)内部控制制度,是单位的管理人员为帮助达到目标而采取的组织计划和全部方法与程序,在尽可能实行的范围内保证其业务经营的顺序和有效性,包括严格遵守管理政策,保护资产,预防和揭发舞弊和错误,保持准确和完整的会计记录,以及适时编制可靠的财务资料。
(3)以有效的内部控制作为补充的会计制度,能够为管理人员在保护资产、防止随意使用和处置,以及为完善财务记录、编制财务报告等提供合理依据。
(4)当实行内部控制的环境影响具体的控制程序的有效性时,应当强化控制环境。
第3部分:主要明确了内部控制的目的。
内部控制的目的是:依据管理人员的批准来完成经济业务;将会计期间的经济业务正确记入相关账户,依公认的会计政策编制财务资料,并对资产负责;只有根据管理人员的批准方可动用资产;对资产作出负责的纪录,在合理的间隔时间与现存的资产进行核对,发现任何差异应采取适当的行动。
第4部分:主要指出了内部控制的固有限制。
内部控制只能为管理人员达到其目的提供合理依据。故内部控制具有局限性。如控制所付出代价不应高于因舞弊或错误所造成的可能损失;员工共谋等。
第5部分:明确了审计程序。
(1)审计人员对财务报告形成的意见,需要合理的确信各种经济业务都以正确记入会计记录而且无一遗漏。
(2)审计人员应知道在处理经济业务和管理资产过程中那些细节会发生错弊。
(3)为确信审计所依赖的内部控制是有效的,必须进行制度遵守性审计。
(4)要为会计产生数据的完整性、准确性与合法性取得数据证据。
(5)审计人员可以根据在执行期初数据的审计程序中所出现的错误,修正先前作出的认为内部控制与他的目的相适合的评价。
第6部分:主要明确了检查与初步评价。
(1)审计人员应当对会计制度和有关内控进行检查,鉴定审计的效果和效能。
(2)内控检查主要通过询问不同阶层人员,查对程序手册、工作说明和流程图等。
(3)通过会计制度,追踪少量经济业务,可作为制度遵守性审计程序的一部分。
(4)审计应查明所依赖的内控是否运用于整个期间,否则应分段考虑审计程序。
(5)记录收集与内部控制制度有关的资料,可以根据不同情况使用不同的方法。
(6)审计人员对内控的初步评价,应当在假定的基础上作出有效地概括说明。
第7部分:主要明确了制度遵守情况的审计程序。
(1)审计人员必须进行制度遵守性审计程序,以获得所依赖的有效作用的证据。
(2)与内控制度发生偏差,可能起因于人员变动、业务量过大、季节性波动和人为错误等因素。对此类事项审计应当提出详细的询问,特别是关键作用的人员。
(3)审计应以制度遵守性审计程序结果为基础,评价内控适合性及资科可靠性。
(4)如发现依赖具体内控己不适当时,应探明有无另外可依赖内控,并加以修正。
(5)审计人员的制度遵循性审计程序,应用于整个检查期间所选择的经济业务。
第8部分:明确了如何看待小型企业的内部控制。
由于小型企业特点,会计程序可能由少数人履行,有的既可能负执行职责,又负保管职责,职能划分可能不清楚或受严格限制。不适当的划分责任,在某种情况下,可能被其业主和经理的控制所抵补,在这种情况下,只有通过数据真实性的审计程序,才能获得发表财务资料意见所必要的证据。
第9部分:明确了内部控制缺陷的通知。
为了委托人的利益,内审计人员对内部控制的研究与评价和其他审计程序等所得出的结果,以及内部控制中存在的缺陷,应以书面形式报告管理当局,以引起他们的注意。但要说明其检查不是试图确定内部控制对管理人员目的适当性。
上述规范对我国注册会计师进行内部控制审计评价有重要借鉴意义。
三、世界最高审计组织(1NT0SA1):内部控制准则
(一)产生背景
为了加强财务管理并使政府部门负起应有的责任,最高审计机关国际组织(INT0SAI)成立了内部控制准则委员会。其任务就是制定一套准则来建立并维持有效的内部控制制度。该委员会在制定准则的过程中认识到这些准则不仅用于财务控制,而且可适用于所有的管理。故 “内部控制”一词涵盖了广泛的管理控制概念。
(二)内容精要
《内部控制准则》共5章85条。具体内容如下:
第一章,共六条,主要明确了内部控制目标及准则。
1.内部控制目标。
(1)配合组织任务,使各项作业均能有条不紊且更经济地运作,并提高产品与服务的品质。
(2)保证资源,以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而造成损失。
(3)遵纪守法。遵守法律、规章及各项管理作业的规定。
(4)财务信息真实。提供值得信赖财务信息资料,并能及时恰当地披露有关事项。
2.内部控制准则。
这些准则构成内部控制制度的架构,其有:合理保证;支持态度;忠诚与能力;控制目标;监督控制;书面文件;交易与事件记录的迅速与适当;交易与事件的授权与执行;职能分工;督导;资源及记录的运用与财务管理责任。
第二章 共9条,主要明确了内部控制的标准及限制。
1.有效的内部控制应符合的基本标准,有三条:
(1)内部控制必须在正确地方及涉有风险的地方作适当控制。
(2)内部控制在原计的期限内,必须一贯性的复合功能设计。
(3)内部控制的成本不应超出所获得的效益。
2.内部控制有效性的限制,有三项:
(1)无论内部控制制度多严谨,仍无法保证企业均能有效率的运作、记录均能万全正确的制作,无力也无法完全杜绝浪费、错误及舞弊,尤其是在某些涉有特别受权和信赖的情况下。
(2)任何依赖人的内部控制,容易受设计不当、判断和解释错误、蔬忽、误解、倦怠等因素影响。
(3)组织的变动与管理的方式,对内部控制制度的有效性及执行此项控制的个人具有深远影响。因此,管理当局必须不断地更新内部控制、详细说明变动所在,并建立一套控制所应遵循的典范。
第三章 共48条,主要探讨了六项内容:
1.建立一套内部控制准则是必要的,尤其在政府部门,更须根据其规模、复杂度、业务量、相关档案的卷数、有关的法令规章等妥善拟订。
2.内部控制准则可分为一般准则和详细准则。它不仅对各项作业基本的内部控制架构加以定义,也可作为拟定及评价内部控制时的标准。
3.一般准则包括“合理保证”、“支持态度”、“忠诚与能力”、“控制目标”、与“执行的监控”等,为组织提供适当的环境。
4.详细准则是达成控制目标的方法和程序,包括(但不限于)特定政策、工作程序、组织规划(含职务分工)及硬件防护,如门锁及火灾警报器等。
5.控制应于实际应用上达成预定目标。
6.有效内控所运用的控制方法,主要有五种:
(1)关于书面文件的规定:内部控制制度、所有交易及重大事件均以书面形式记载,且随时可供检核;书面文件应包括组织架构、方针政策、作业类别、目标及控制程序,且应附载于管理指南、行政政策、作业程序手册以及会计作业手册中。
(2)关于授权与执行的规定:交易与重大事件的核准与执行必须在授权范围内才能为之。它是确保只有管理层核准的交易或事件方可进行的基本法则。
(3)关于职能分工的规定:关于交易或事件的授权、处理、记录及复核,应划分每人的主要职务与责任,以减少错误、浪费和不当行为引发的风险。
(4)关于督导的规定:有效而适当的督导能确保内部控制目标的达成。督导者应适当的检阅并核对分配给员工的工作,并给员工提供必要的指导与培训,以减少错识、浪费及不当行为造成的损失。
(5)关于资源(记录)运用及财务管理责任的规定:各项资源(及记录)的运用,应限制由授权负责保管或使用者始可为之。为确保财务责任,各项资源应定期与记录相核对,以确保账实相符,并依资产易损性来决定核对的次数。
第四章 共7条,主要明确了内部控制架构。
1.设置一特定机关负责制定并公布各级政府内部控制制度的定义、该内部控制制度所要达成的目标,以及设计该结构时所需遵循的准则。
2.在某些国家,内部控制制度的整体目标,是由立法机关所制定,而详细的内部控制准则,则由权责机关所制定。
3.不论权责机关如何,最高审计机关在内部控制制度的开发上扮演者举足轻重的角色。而此角色的扮演,不论直接或间接,应视最高审计机关的合法权责与该国家的管理系统的组织架构而定。
4.如果由最高审计机关负责公布内部控制准则,则对于该准则与每一机关所各自建立的特定内部控制程序之间须有明确区分。最高审计机关负有确保受查单位的内部控制符合要求之责,而不应对任何受查单位内部控制程序的执行负责。
5.在某些情况下,控制或许十分特殊,而在另一方面,特别是管理控制,而又必须更具一般性。因此,内部控制均应允许管理者有适度的裁量与执行权。以针对作业的经济与效率进行改善。
6.负有权责的中央机关应随时检核其内部控制。并作必要的修正。而此内部准则及修正结果,必须有完善的书面文件记载,并立即传送到所有使用的机关。
7.经立法颁布的特定内部控制准则与程序,不应有太多限制,而应允许管理者在作业环境改变时做弹性修正。因为,内部控制因环境变化可能过时、或无效率。为此内部控制制度必须定期复核,并随组织环境的变化而有所调整。
第五章 共15条,明确了内部控制制度的执行与监督。
最高审计机关审计人员应鼓励与支持管理阶层建立内部控制,并对其内容加以查核。以确保该内部控制能达到预期效果。
1.管理层的责任。有四项:责内控制度的贯彻实施;负责监督内控制度执行;负责监督内部控制的有效性;负责内控制度的不断完善。
2.最高审计机关与审计人员的责任。有以下四项:
(1)最高审计机关应检查机关现行的内部控制作业,评估基本原则的迫切性及执行情况的有效性。
(2)中介机构受委任审查政府机关,中介机构及审计人员应当受审机关所执行的内部控制提供相关的意见与建议。
(3)最高审计机关应确保受审单位的主要作业具有符合要求的内部控制,否则管理层无法测知与察觉严重错误及违法事项。
(4)最高审计机关必须与内部审计机构维持良好的工作关系,以分享彼此的经验与知识,并达成互补目的。
基于以上对比分析,从欧美等发达市场经济国家的情况来看,企业内部控制也经历一个从零散到系统、从分散到统一的发展过程。而健全有效的内部控制一直被视作能解决许多潜在问题的有效方法。所以,我国政府监管部门、研究组织和企业都应视野开阔,在学习国际审计准则的基础上,将完善企业内部控制作为实现和经营目标、可靠的财务报告以及遵循相关法律法规的首选手段。