慈溪永敬會計師事務所有限公司黃春龍副董事長
摘要:本文總結了內部控製與CPA審計風險的研究及其在審計工作中的實際應用,在此基礎上提出CPA在會計報表審計中研究與評價被審計單位的內部控製,評估審計風險,提高審計效率,保證執業質量,避免CPA由於內部控製原因導致審計失敗的風險。
正是基於內部控製與審計風險的這種內在聯係,本文旨在回顧有關發達國家和地區在內部控製領域的探索曆程,簡要介紹在各內部控製權威文件中應用最廣泛的美國COSO內部控製框架,重點討論CPA通過內控測試,確定審計的重點和風險,以提高CPA在執業中的風險意識,增強風險抵禦能力。
關鍵詞:內控審計風險
一、引言
內部控製是現代化管理的必然產物和結果。內部控製的產生和發展,促使審計工作從詳細審計發展成為以測試內部控製為基礎的抽樣審計。抽樣審計是現代審計的基石,而抽樣審計顯然離不開對被審計單位內部控製的研究和評價,更離不開對審計風險的評估。在會計報表審計中,對被審計單位內部控製的研究與評價,對審計風險的評估,不僅直接關係到抽樣審計的範圍,而且關係到CPA如何確定實質性測試的性質、時間和範圍以獲取適當、充分的審計證據,它既是CPA科學、合理地製訂審計計劃的客觀要求,也是CPA評估審計風險,製訂和實施相應審計程序的內在需要。通過CPA對內部控製與審計風險相互關係的認識,可以了解到內部控製與審計風險存在著相當密切的因果關係。顯然,在其他條件保持相同的情況下,被審計單位的內部控製越健全,CPA所麵臨的審計風險越低,反之亦然。基於它們之間的關係,CPA研究與評價內控是為了確定內部控製的有效性,進而評估審計風險。我們在CPA執業進程中,對於較為健全的內部控製環節,與之對應的審計風險(具體表現為控製風險)必然較小,CPA便可在較大程度上依賴內部控製,實施較少的實質性測試程序,獲取較少的審計證據。對於較為薄弱的內部控製環節,與之對應的審計風險(具體表現為控製風險)必然較大,CPA應較少依賴或不應依賴內部控製,實施較多的實質性測試程序,獲取較大的審計證據。正是基於內部控製與審計風險的這種內在聯係,本文從了解內部控製開始,重點討論CPA通過內控測試,以助於提高CPA在執業中的風險意識,增強風險抵禦能力。
二、內部控製的定義
對內部控製的關注最初源自企業自身對規範化管理和股東掌握企業營運的正確信息的需要。此外,最重要的推動因素就是外部審計師審計財務報表的要求。此後,各國政府也逐漸開始積極推動內部控製領域的進程,以期減少企業的舞弊和違規行為對市場經濟秩序的消極影響。因此,內部控製理論與實踐的不斷發展是學術界、CPA職業組織、大型企業及政府組織共同推動作用的結果。此外,內部控製領域發展的曆程顯示,一些影響巨大的公司經營失敗或舞弊事件的發生,往往加速了內部控製理論研究以及實踐應用的發展進程,並催生了一些裏程碑式的文獻和立法規定。最典型的莫過於美國2002年出台的《薩班斯—奧克斯法案》。該法案的第404條款不僅要求公司管理層定期評估機構和公司財務內部控製的有效性,並且要求外部審計師(CPA)對管理層的評估結果和公司財務內部控製的有效性出具審計意見。那麼,內部控製在CPA審計中的定義和作用究竟是什麼呢?
國際審計準則將內部控製製度定義為“經濟實體的管理人員為達到管理人員的目標而采用組織計劃的全部方法與程序,在盡可能實行的範圍內保證其業務經營的順序和有效性,包括嚴格遵守管理政策,保護資產,預防和揭發舞弊和錯誤,保持準確和完整的會計記錄,以及適時編製可靠的財務資料”。內部控製製度施行於那些超出會計製度直接起作用的有關事項。
我國獨立審計準則將內部控製定義為“被審計單位為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而製訂和實施的政策與程序”。廣義地講,一個企業的內部控製是指企業的內部管理控製係統,包括為保證企業正常經營所采取的一係列必要的管理措施。內部控製的職能不僅包括企業最高管理當局用來授權與指揮進行購貨、銷售、生產等經營活動的各種方式、方法,也包括核算、審核、分析各種信息資料以及報告的程序與步驟,還包括為對企業經濟活動進行綜合計劃、控製和評價而製訂或設置的各種規章製度。因此,內部控製貫穿於企業經營活動的各個方麵,隻要存在企業經濟活動和經營管理,就需要有相應的內部控製,因此,我們可以這麼說:在一個企業內部,會計製度是進行有效管理的基礎,而有效的內部控製製度是會計製度的補充。兩者都是為了能夠使管理人員在保護資產,防止被隨意使用和處置以及確保提供可靠的財務記錄和財務資料方麵,提供有效的保障。
從以上定義中,可以引申出內部控製設計的目的,它是為了使經營者達到:
1.保證有效地貫徹執行管理人員製定的企業經營目標和政策;
2.保護企業的財產安全和有效使用;
3.確保會計記錄和財務資料的正確性和可靠性;
4.保持管理和經營工作的高效性。
在以上列舉的目的中,還可以引申下述管理範疇概念,即:
(1)以使經營合理化和保持高效率為目的而製訂的內部控製製度,稱為“業務管理控製”,如:
①服務於經營管理的內部報告製度、業務手冊、信息管理製度;
②時間計劃、經營活動計劃、工程管理、質量管理;
③職工訓練計劃、工作人員職務評價、職務劃分、工資管理;
④經營統計編製與分析、銷售預測。
(2)以保護企業資產為目的而製定的內部控製製度稱為“資產管理控製”,如:
①對現金、票據、有價證券、存貨和固定資產的收付、保管等的規定;
②對各種資產辦理保險,所有權轉移的登記製度;
③為使資產免遭舞弊、差錯、盜竊、侵占、損壞、水火災,以確保其完整性的人員化製度。
(3)以確保會計記錄和財務資料正確性與可靠性為目的而製訂的內部控製製度,稱為“會計和財務管理控製”,如:
①嚴密有效的會計製度;
②健全的會計核算規程;
③合理的賬簿組織、憑證製度;
④及時的財務報告製度;
⑤定期的財產盤存製度;
⑥必要的預算控製製度、利潤計劃、分配計劃、資金計劃和設備投資計劃。
三、COSO內部控製框架簡介
20世紀80年代,美國企業虛假財務報告醜聞層出不窮,許多大公司突現經營失敗,立法機構、政府監管機構和職業組織對虛假財務報告問題表現出了空前的關注。在這一背景下,1985年,美國注冊會計師協會(AICPA)、美國會計學會(AAA)、國際內部審計師協會(IIA)、管理會計師協會(IMA)、財務經理協會(FEI)發起成立了一個由民間組織的“反對虛假財務報告委員會”,希望研究虛假財務報告的產生原因並推薦解決辦法(該委員會的第一任主席為JamesTreadway,是前SEC委員,因此以後該委員會也被簡稱為Treadway委員會)。該委員會在調查中發現,在其研究樣本中,將近50%的財務舞弊事件可以全部或部分歸咎於內部控製失敗。該委員會同時認為,應該建立一個統一的、可操作的內部控製框架。繼而,五個發起組織成立了一個委員會,即COSO。建立之初的目的是負責研究開發一個內部控製的權威性定義和指南。COSO在1992年9月完成了這項任務,公布了最終報告《內部控製——綜合性框架》(通常被稱為COSO報告),在世界上第一次提出了一個係統的內部控製框架。
COSO將內部控製定義為:內部控製是受企業董事會、管理層和其他職員共同作用,為實現經營效果性和效率性、財務報告的可靠性以及對適用的法律、法規的遵循性等目標提供合理保證的一種過程。較之於傳統的內部控製概念,這一定義的發展在於將內部控製作為一種動態的過程而不僅是靜態的製度來闡述。內部控製不應僅僅著眼於會計和財務報告,還應針對經營活動的效率、效果和遵循法律法規。這個廣義的定義體現了現代意義上的全程和全麵的控製理念。