时间:2023-06-25 16:22:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇财务报表审计概念,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词] 财务报表审计;内部控制审计;整合
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 23. 008
[中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194(2013)23- 0016- 02
我国内部控制理论的研究是在最近两年展开的,主要是我国颁布了《企业内部控制基本规范》后,注册会计师会增加一项新的审计业务——内部控制审计,因而许多学者从理论和实务操作方面开始探讨内部控制审计。
《企业内部控制审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(下称“整合审计”)。我国对内部控制审核和财务报表审计关系以及内部控制审计和财务报表审计关系的研究文献主要观点如下。
1 内部控制审核和财务报表审计关系
吴文军[1](2001)对内部控制审核与传统的会计报表审计之间的关系作出论述:独立审计的业务范围从会计报表鉴证拓展到内部控制报告鉴证的根本原因是经营管理责任的演化;内部控制审核是对过程的鉴证,而会计报表审计是对结果的鉴证,因此在报告理论上,内部控制审核必然会对会计报表审计产生一定的影响。
肖强[2](2003)论述了内部控制评审在审计中的作用在于:评审内部控制有助于确定合理的审计程序,提高审计效率;评审内部控制,可以帮助审计人员确定审计程序的实施程度,即确定审计人员的工作方法、抽点及审计范围等;健全的内部控制,可以保证审计测试的质量。
张龙平、朱锦余[3](2002)认为,对企业内部控制有效性进行评价并出具审核报告是我国注册会计师的一项新业务, 介绍了内部控制审核与会计报表审计中对内部控制研评的关系。
袁文龙[4](2007)认为,财务报告内部控制评价与会计报表审计中对内控测试,既有联系,又有区别。两者的联系有5点:一是理论范围相同,均是与会计报表相关的内部控制;二是实施的基本程序相同,均包括对相关内部控制的了解、测试和评价;三是所使用的方法相同,均可采用询问、观察、检查、重新执行等方法了解和测试相关内部控制;四是两者的执行者可以是同一会计师事务所的同一注册会计师;五是两者的结论可相互利用,即财务报告内部控制评价。两者主要区别有4点:一是目的不同,财务报告内部控制评价的目的是对被评价单位与会计报告相关的内控有效性发表意见;会计报表审计中对内部控制测试的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。二是实际范围不同,财务报告内部控制评价的实际范围是被评价单位与会计报告相关的所有内部控制的设计和执行情况;会计报表审计中对内部控制测试的范围分为了解范围和测试范围,其了解范围主要是所有与会计报表相关的内部控制,测试范围是了解、初评后确定拟依赖的相关内部控制;后者的实际范围可能比前者小得多。三是对内控有效性评价结论的准确程度要求不同,由于财务报告内部控制评价要对财务报告内部控制的有效性直接发表评价意见,因而要求评价结论有较高程度的保证水平;由于会计报表审计中对内部控制的测试只是规划实质性测试的重要依据,因而对其有效性的评价可不要求很准确,如对其有效性可作保守评价,仅给予极低的信赖度,这样只增加了实质性测试的工作量,会影响审计效率,一般不会影响审计效果,但要防止对其有效性作出过于乐观的评价,否则会增加审计风险。四是测试数量不同,由于对内部控制有效性评价结论准确程度要求不同,因而要求的测试范围和数量也不同,因为财务报告内部控制评价需要对内部控制有效性作出积极的、较高程度的保证,需要收集充分、适当的证据支持审核结论,因此需要实施较多的测试。
孙银刚[5](2008)认为内部控制审计根据审计的范围、重点及方法,既可以作为独立的审计项目组织实施,也可以作为实施其他审计活动的一个程序或流程,以便提高审计工作效率和质量,减少审计风险。
2 内部控制审计和财务报表审计关系
毛敏[6](2006)通过对美国财务报告内部控制审计准则的借鉴,指出 PCAOB 的AS2 设计了综合审计模式。综合审计模式是财务报表审计与财务报告内部控制审计的结合,通过单独并行的过程同时实现两种审计目标,审计人员可通过财务报表审计的发现来检查内部控制是否有效,也可以通过财务报告内部控制审计得到的发现和结论,帮助审计人员更好地计划和实施审计程序,以确定财务报表是否公允地表达。
陈汉文、李荣[7](2007)认为 PCAOB 的 AS2 关注的是财务呈报内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务呈报内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理当局就公司财务呈报内部控制有效性评估的过程;评价财务呈报内部控制设计和执行的有效性;形成对财务呈报内部控制是否有效的审计意见。
谢晓燕、张心灵[8](2009)从内部控制审计产生的背景、相关的概念确定及其与财务报表审计的关联出发,采用比较研究的方法,通过对财务报告内部控制审计与财务报表审计二者关联的比较分析,提出我国制定内部控制审计准则的选择:对财务报表审计和企业内部控制审计进行整合。并提出明确开展内部控制审计业务的评价标准,制定内部控制审计指引和应用指南等完善我国内部控制审计制度的建议。
3 整合审计
文献[9-11]研究认为,我国在上市公司中即将推行的内部控制审计在理论和实践方面都具有可行性, 而且将内部控制审计和财务报表审计整合进行,必将对提高审计效率、发挥审计的协同效应以及最终提高财务信息质量起到根本性的推动作用。作者从审计目标、审计计划、审计实施和审计报告4个大的方面进行整合的分析,归纳各个过程具体的整合点, 其中,审计目标的整合点是提高财务信息质量,审计计划的整合点是使用相同的重要性水平,审计方法选择的整合点是风险导向、自上而下,审计程序运用的整合点是控制测试,审计证据收集的整合点是获得的证据相互利用,对舞弊的考虑的整合点是因内部控制漏洞而导致舞弊的控制缺陷,审计报告的整合点是出具合并报告或独立进行报告。通过以上研究为我国注册会计师开展整合审计业务提供切实可行的操作性建议。
裘宗舜、周洁[12] (2009)对财务报告内部控制审计与财务报表审计进行了比较,指出两者的区别在于:审计内容及范围不同;对内部控制有效性评价结论的准确程度要求不同;对外部审计师的职业判断能力要求不同;对外部审计师的责任要求不同。两者的联系在于:目标相同;程序关联;方法相同且有所改进。
李锦 [13](2010)从风险导向审计作为两者的整合依据入手分析了整合审计的流程:从审计计划、审计工作到审计报告的出具。王美英、郑小荣[14](2010)就具体整合审计的程序和方法进行研究。
根据上述分析可以得到以下启示:明确审计目标,整合审计概念;提高审计人员的素质,明确审计责任;统一评价标准,初步实施财务报告内部控制审计。从已执行内部控制审计的国家的经验来看,内部控制审计和财务报表审计相互影响,为了节约审计成本和审计资源,二者的工作成果可以相互利用。鉴于二者的关联性,将内部控制审计和财务报表审计进行整合,有助于提高审计效率,保证审计质量。在对内部控制审计与财务报表审计进行整合时,注册会计师应当有效、协同地计划和执行审计工作,以实现两者的目标。在审计过程中既要考虑内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对内部控制审计的影响。经过文献梳理发现,在我国研究内部控制审核和财务报表审计关系的文献较多,而研究内部控制审计和财务报表审计关系包括整合审计的文献较少,处于初步探讨阶段。
4 总 结
理解审计指引中有关审计整合的这一规定,要明确两点:一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
4.1 内部控制审计与财务报表审计的异同
内部控制审计要求对企业内部控制设计和运行的有效性进行测试,在财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分。但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见。
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
4.2 两种审计的整合
财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
研究是否具有将二者整合审计的必要性和可行性,财务报表审计目标是合理保证会计报表的公允性,而财务报告内部控制审计是合理保证内部控制的有效性,虽然两者有所差别,但是,其最终目标都是为使报表使用者获得可靠的财务信息,因此,两者的整合才有意义。研究得出整合审计的实施思路和要点。其次,研究具体的应用过程,整合审计可从审计目标的整合、审计计划的整合、审计实施过程的整合和审计报告的整合4个方面具体实施,其中,审计实施过程从审计方法的选择、审计实施的运用、审计证据的收集和对舞弊的考虑4个方面进行整合考虑。最后,在实务中是否能够采用理论上所提出的整合措施需要验证,
主要参考文献
[1]吴文军.略论内部控制审核与会计报表审计的关系[J].中国注册会计师,2001(12):32-33.
[2]肖强.内部控制审计浅探[J].四川会计,2003(9):39-40.
[3]张龙平,朱锦余.关于注册会计师对内部控制评价的理论思考[J].审计研究,2002(2):23-26.
[4]袁文龙.财务报告内部控制评价研究[D].天津:天津财经大学,2007.
[5]王展翔.加拿大 CoCo 委员会内部控制框架述评[J].商业研究,2005(1):168-171.
[6]毛敏.美国财务报告内部控制审计的最新发展及启示[J].财会通讯:学术版,2006(1):70-73.
[7]张笠.美国内部控制审计准则最新发展与启示[J].审计月刊,2007(8):10-11.
[8]谢晓燕,张心灵,陈秀芳.我国企业内部审计的现实选择——基于内部控制审计与财务报表审计关联的分析[J].财会通讯:综合(下),2009(3):125-127.
[9]张龙平,陈作习.财务报告内部控制审计与财务报表审计的整合研究(上)[J]. 审计月刊,2009(5):10-12.
[10]张龙平,陈作习.财务报告内部控制审计与财务报表审计的整合研究(下)[J].审计月刊,2009(6):7-9.
[11]谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9):88-94.
[12]裘宗舜,周洁.美国财务报告内部控制审计的发展与启示——财务报告内部控制审计与财务报表审计的比较[J].财会月刊:上半月,2009(2):35-36.
关键词:国际审计准则;总体目标;比较;启示
国际审计准则第200号(ISA 200)――《独立审计师的总体目标与按照国际审计准则执行审计》包含了对审计的总体观点,有助于审计师理解审计目标和范围。准则还定义了国际审计准则的要求和指南各自的权威性,并包含了对审计师的最基本要求,强调了审计师合理一致的专业判断的重要性,以及为支持审计师观点而提供充分审计证据的必要性。重新修订和起草的ISA 200树立了审计师的基本目标和责任,并对如何理解所有国际审计准则的目标、要求以及指南作出了解释。
一、国际审计准则第200号准则修订案的变化
1.通过结构调整提高准则整体的可读性和可理解性
现行准则将目标和核心要求与举例等解释性说明资料混在一起表述,导致目标和核心要求等重点内容淹没在冗长的准则中,没有突出重点,不便于理解和执行。新修订的审计准则《独立审计师的总体目标与按照国际审计准则执行审计》构建了一个新体例结构,该新体例结构包括引言、审计师的总体目标、定义、要求、应用及其他解释性资料五个部分。
引言部分包括制定该准则的目的、适用范围以及财务报表审计的相关规定。制定该准则的目的是为了规范独立审计师按照国际审计准则执行财务报表审计的总体责任,确立独立审计师的总体目标,明确独立审计师为实现审计总目标而执行审计的性质和范围。
审计师的总体目标包括:对财务报表整体是否不存在由舞弊或错误导致的重大错报获取合理保证,使得注册会计师能够对财务报表是否在所有重大方面按照适用的会计准则和相关会计制度编制发表审计意见,按照审计准则的规定,根据审计发现对财务报表出具审计报告,并与管理层和治理层沟通。
定义部分对准则中包含适用的财务报告概念框架、审计证据、审计风险、审计师、检查风险、财务报表、历史财务信息、管理层、错报、前提、专业判断、职业怀疑态度、合理保证、重大错报风险以及治理层等术语进行详细的解释。
审计师执行该准则应遵守的要求包括与财务报表审计相关的职业道德要求、职业怀疑态度、职业判断、充分适当的审计证据和审计风险以及按照审计准则的规定执行审计工作等。
应用及其他解释性资料提供了准则的背景信息以及执行准则的进一步说明和指引,但这一部分内容并不构成对审计师的要求,仅用于帮助恰当理解和运用准则。新修订的准则将解释性说明资料、举例等内容放入应用资料中,避免了目标和核心要求淹没在冗长的准则中,便于理解和执行,更能突出重点。
2.该准则进一步强调了审计师合理一致的专业判断的重要性
准则中的要求部分规定审计师在计划和执行财务报表审计过程中应运用职业判断。职业判断是审计准则不可缺少的部分,是财务报表审计的精髓部分。然而,由于审计师的职业能力、经验水平以及风险偏好存在个体差异,在运用职业判断时会导致较大的差异。为更好的规范和指导审计师运用职业判断,ISA200在应用及其他解释性资料部分对审计师运用职业判断提出了具体要求和指南。
审计师执行审计过程中必须运用职业判断,尤其是对以下情况的考虑:重要性和审计风险;为符合ISAs要求和收集审计证据执行审计程序的性质、时间和范围,评价所获取的审计证据是否充分、恰当以及是否仍需执行其他审计程序;评价管理层对采用财务报告框架的判断,根据所获取的审计证据形成审计意见。对职业判断的评价依据是审计师所作的判断是否反映了审计师正确运用审计和会计原则以及恰当反映审计师在审计报告日前所知悉的事实和环境(或与这些事实和环境一致)。审计师运用职业判断要基于他们所了解的事实和环境,并要贯穿于审计过程的始终。
二、我国审计准则第1101号准则与ISA200修订案的比较分析
中国注册会计师审计准则第1101号一财务报表审计的目标和一般原则分为八章,具体包括:总则、财务报表审计的目标、与财务报表审计相关的职业道德要求、财务报表的审计范围、职业怀疑态度、合理保证、审计风险和重要性、附则。我国审计准则第1101号准则与ISA修订案在结构和具体规定都存在着较大的差异。
1.中国审计准则没有确立注册会计师的总体目标。中国审计准则第1101号――财务报表审计的目标和一般原则,仅提出了财务报表审计的目标,而没有确立注册会计师的总体目标。
2.中国注册会计师审计准则缺少定义部分,对准则中包含的术语仅在相关的条例中进行相应的解释。
3.中国审计准则第1101号将财务报表审计分为财务报表审计的目标、财务报表的审计范围以及审计风险和重要性,而ISA200将这三部分统一在财务报表审计一章中表述。
4.我国审计准则将对注册会计师的要求分为与财务报表相关的职业道德和职业怀疑态度,而ISA将对审计师的要求统一在一章体现。
5.对执行准则的进一步说明和指引没有包括在准则中,而是通过应用指南来做出相关规定。
三、国际审计准则第200号准则修订对我国审计准则制定的启示
我国于2006年2月了新的审计准则体系,实现了与国际趋同的目标,与原来的独立审计准则体系相比,不论是在审计理念还是在审计方法上都有了很大的进步。但同时,IAASB也加快了修订更新国际审计准则的步伐,重新修订和起草的ISA 200的对于IAASB按照清晰化规范所起草的准则的解释而言,是明确相关原则的一个里程碑式的进步。这对我国审计准则的进一步完善有很强的借鉴意义。
1.确定注册会计师的总体目标
ISA200提出的审计师总体目标是,对财务报表整体是否不存在由舞弊或错误导致的重大错报获取合理保证,使得注册会计师能够发表审计意见,根据审计发现对财务报表出具审计报告,并与管理层或治理层沟通。为了实现总体目标,注册会计师在计划和实施审计工作时应当使用相关审计准则规定的目标。在使用规定的目标时,注册会计师应当认真考虑各项审计准则之间的相互关系,确定是否有必要实施除审计准则规定以外的其他审计程序,以实现审计准则规定的目标,并评价是否已获取充分、适当的审计证据。注册会计师的总体目标在审计准则中具有重大的指导作用,注册会计师的总体目标的作用是统驭各项审计准则规定的目标,而各项审计准则规定的目标是联系总体目标和准则要求之间的桥梁。因此,我们在制定审计准则过程中应确立注册会计师的总体目标,统领各项审计准则规定的具体目标。
2.增加定义一章,对准则中包含的术语进行解释
中国注册会计师审计准则第1101号对准则中涉及的术语的解释分散的各准则条例中,导致了准则规定的核心内容淹没在各种解释中,重点不突出,不便于理解和执行,而将对各术语的解释作为独立的一部分列示,既能突出准则规定的核心内容,也将有利于注册会计师的理解,从而提高准则的明晰度。
将准则的应用指南纳入到准则中,提高应用指南的权威性。
3.对注册会计师的要求应增加职业判断
审计作为一个多因素的行为过程,判断在其中起到显著的作用,审计判断贯穿于从接受委托到发表意见的整个审计过程。然而,注册会计师的职业判断也存在缺陷,例如他们的判断往往存在着各种主观偏见、错误以及的个体差异。审计职业判断如此重要,又容易受判断个体的影响,而我国新审计准则中并没有对“职业判断”这一术语给出定义。因此,可以考虑在我国未来的审计准则中新增一章来定义职业判断,并阐明职业判断在审计中的作用及相关服务的基础概念(如重要性和审计风险)中的应用,来指导注册会计师更好地运用职业判断。
一、内部控制审计的目标
与财务报表审计主要评价结果不同,内部控制审计主要是对过程进行评价。如果不进行整合审计,审计内部控制无需对账户余额进行实质性测试。即使进行整合审计,控制测试主要是测试内部控制,实质性测试虽然可能使审计人员发现内部控制的缺陷,但其目的主要是为了鉴证企业财务状况、经营成果和现金流量的合法性与公允性,而不是测试内部控制的有效性,因而旨在帮助审计人员确定控制性测试和实质性测试范围的审计风险模型,并不适用于内部控制审计。与审计风险模型为审计人员提供了有助于其确定财务报表审计测试范围的概念框架类似,构建适当的内部控制审计风险模型也将为其提供相关的概念框架,以帮助审计人员确定内部控制审计的测试范围,以及影响测试程度的关键因素等。
内部控制审计的目的不是为了发现重大错报,而是对内部控制的有效性发表意见。如果内部控制存在一个或更多的重大缺陷,审计人员就不能认为它有效,而应当计划并实施适当的审计程序,搜集充分证据对鉴证期间的内部控制是否存在重大缺陷获得合理保证。需要说明的是,即使财务报表不存在重大错报,其内部控制也可能存在重大缺陷,从而决定了内部控制审计的目标是为内部控制的设计、实施和维护不存在重大缺陷寻找高水平的合理保证。
二、内部控制审计风险
狭义的内部控制审计风险是指“一种对内部控制有效性发表不恰当意见的风险”。根据内部控制审计的目标,如果审计人员认为发现的重大缺陷风险并未降到一个足够低的水平,就不应发表无保留意见,因而内部控制审计风险的定义应是“某一组织拥有重大缺陷但审计人员没有发现或发现但却出具不恰当审计意见的风险”,旨在帮助审计人员确定需要实施多少测试来保证未发现的重大缺陷风险控制在足够低的水平。重大缺陷可能来自以下两个方面:内部控制设计或维护的重大缺陷;虽然内部控制具有充分的设计或维护,但在实施过程中存在重大缺陷。为了发现设计或维护方面的重大缺陷,审计人员应适当评价内部控制的设计(如发现控制的不完善)、对内部控制是否改进进行适当测试。典型的评价和测试程序包括:检查(往往在问卷调查或其他方法的基础上进行)、分析控制流程图、阅读文件、观察、穿行测试和检查其他书面资料。通过适当测试控制运行的效率,审计人员可以发现其中的重大缺陷,从而将内部控制缺乏效率的风险降至低水平,而适当的内部控制审计风险模型则有助于审计人员确定运行效率测试的数量和程度。
三、内部控制审计风险模型的构建
内部控制审计风险的定义表明以下情形可能出现重大缺陷:(1)用以防范固有风险的内部控制设计不充分;(2)内部控制设计不完善;(3)设计充分和完善的内部控制未有效运行。为避免内部控制审计风险模型与审计风险模型混淆,将其定义为不正确的控制意见风险,即ICOR。这三种缺陷都可能导致重大缺陷,审计人员要发表内部控制的无保留意见就必须确定这三种情况都不存在,即内部控制审计风险是在固有风险不变的情况下,内部控制固有风险与内部控制实施风险的函数,由此得到内部控制审计风险模型如下:
ICOR=f(CDIR/・给定IR;COER 若CDIR有效) (1)
式(1)表示内部控制审计风险模型。左边是审计人员出具不恰当控制意见的风险,它等于审计人员实施一系列测试后未发现实际存在重大缺陷的风险,是内部控制设计不充分或不完善的风险,以及虽然内部控制设计充分、完善但未有效实施的风险的函数。其中,ICOR为不恰当控制意见的风险,即当某一组织内部控制存在重大缺陷但审计人员并未发现或虽发现却出具不恰当意见的风险。IR为固有风险,即假设不存在内部控制,审计人员认为某一组织存在一项或与其他错报汇总后为重大错报的风险;CDIR为内部控制的设计和改进风险,即审计人员认为某一组织存在内部控制设计不充分或不完善的风险,假定固有风险可以防止或发现并纠正总的重大错报;COER为控制实施有效性风险,即审计人员认为设计充分、完善的内部控制没有被严格实施,从而未能防止或发现并纠正重大错报的风险(见图1)。
(1)内部控制的设计与完善风险CDIR。固有风险是某一组织没有内部控制的情况下存在重大错报的风险,它既包括财务报表中存在的所有风险隐患,也包括某一具体账户本身的风险,注重的是重大错报而非重大缺陷。如果固有风险很低,无论控制怎样无效,重大缺陷风险也很低,存在重大错报的可能性也不大。因为决定某一缺陷能否构成重大缺陷的标准是内部控制存在未能阻止或发现并纠正错报,导致财务报表存在重大错报的数量多少和发生概率大小。然而,除了一些不重要的账户外,固有风险通常不低。审计人员在分析固有风险时经常假设客户的员工能力较高,客户的管理有方或控制环境和谐,但大量研究表明,这往往是错误的。因此,在分析控制风险时应当考虑这些因素,而不能直接断定其固有风险很低。假定固有风险的性质和大小,审计人员在分析内部控制的设计和完善情况时,需要确定二者是否充分和是否需要改进,即要根据没有充分的内部控制时可能出现的错误来决定现有内部控制的恰当性。如果固有风险高,就需要加强控制来防止或发现并纠正错报。反之,如果固有风险较低,需要控制的程度也较轻。如,一个企业的业务量很小也很简单(固有风险低),则可以简化内部控制;相反,另一企业的业务量很大且复杂(固有风险高),还需要复杂的计算机编辑,则审计人员除了检查报告、复核资料外,还要确保这些报告是在内部控制设计有效的前提下完成的。因此,固有风险在内部控制审计时是指内部控制设计和需要完善的风险,即给定固有风险下的内部控制固有风险。审计人员通过考虑、评估内部控制的设计是否充分和完善确保它所引发的风险。
(2)控制运行效率风险(COER)。审计人员使用控制运行效率风险COER确定控制测试的范围,COER类似于财务报表审计中的检查风险。审计人员会用1-COER确定控制测试所需要的保证水平。只有当内部控制设计充分和完善时才需要进行控制测试。如果审计人员确定控制设计不充分并需要改进,则断定内部控制存在缺陷,然后评估该缺陷是否重大,即控制运行效率风险是以内部控制设计的充分与完善为条件的。
四、扩展的内部控制风险审计模型构建
鉴于内部控制有效性的重要性,审计人员应评估组织的控制环境,尤其是管理层的理念和经营方式是否有利于促进有效的内部控制,如是否建立和推广讲求诚信和道德的价值观,特别是高管层;治理层是否理解并履行对监督财务报告及内部控制有效实施的责任。这些都需要单独评估内部控制环境的设计、实施和维护的有效性。如果审计人员发现控制环境存在重大缺陷,就可能发现内部控制存在其他重大缺陷。因此,基于上述模型构成的内部控制审计概念框架,按照COSO关于内部控制的概念框架,内部控制由控制环境、风险评估程序,信息沟通、控制活动和监督组成,笔者将这五部分分别按照设计、完善和实施三个方面对上述模型进行了扩展(见图1下半部分)。
在国内外内部控制规范实施之际,笔者从设计、实施与维护三方面构建了内部控制审计风险模型并初步形成了内部控制审计风险的概念框架,这不仅可以明确重大错报风险、重大缺陷风险的含义,树立审计风险模型只适用于财务报表审计,不适用于内部控制审计的理念;还可以运用内部控制审计风险模型,降低内部控制重大缺陷风险,进而降低财务报表审计的重大错报风险,提高整合审计的效率、效果,最终提升会计信息的决策有用性。
参考文献:
[1]袁敏:《上市公司内部控制审计:问题与改进――来自2007年年报的证据》,《审计研究》2008年第5期。
一、绩效审计的主要特征
绩效审计与财务报表审计,均为审计的两种业务类型,虽然在审计的基本原理和程序方面与其他审计是相同的,但其差别是明显的,与财务报表审计相比,不同之处主要表现在:
(一)审计目标不同
一般来说,财务报表审计的目标是对财务报表的真实性、公允性发表审计意见,而绩效审计是对被审计单位资源管理和使用情况发表审计意见。
(二)审计方向不同
一般情况下,财务报表审计是对历史的财务信息进行的审查和评价,而绩效审计有可能是对未来情况进行的分析和预测,多数情况下,绩效审计要对未来提出改进建议。
(三)所依据的评价标准不同
财务报表审计所依据的评价标准基本上是相同的,即一般公认会计原则及相关具体的会计制度,绩效审计由于每个项目的具体目标不同,所依据的评价标准也各不相同。
(四)审计方法不同
财务报表审计目标的相对固定,审计所运用的方法相对比较固化。绩效审计项目的目标是多样的,审计对象范围也十分广泛,审计项目中为实现审计目标所采用的方法也是无法固定的,几乎社会科学研究的方法,在绩效审计中都有可能用到。
二、如何选择绩效审计项目
绩效审计的过程主要包括审计立项、审计准备、设计实施、审计报告和后续跟踪四个阶段。鉴于绩效审计目标的多样性和灵活性,其审计过程各个阶段的工作内容,与常规的财务报表审计相比,具有很大的不同,选择绩效审计项目应考虑的因素包括:
(一)预计的审计效果
这个因素主要考虑的是开展该绩效审计项目的收益。这些预计的可能的审计效果包括:是否促进审计事项提高经济性、效率性或效果性;是否改进了被审计单位的或项目的服务质量;是否促进了被审计单位或项目更有效地计划、控制和管理;是否进一步明确了经济责任,提高了绩效信息的透明性、准确性;等等。预计的审计效果越大,越应被选择作为绩效审计项目。
(二)资金规模
这里的资金规模主要是指被审计单位或项目的资金的规模,比如资产数额、总收入或总支出、投资额等。一般来说,资金规模越大,财务的重要性越大,越应被选择作为绩效审计项目。
(三)管理风险
主要是指被审计单位或项目在管理方面缺乏经济性、效率性和效果性的风险。有下列现象时,表明被审计单位或项目存在的管理风险较大:管理部门没有针对以往审计后提出的控制薄弱环节进行改进;公众或媒体的批评意见;预计的目标没有实现,包括未实现预计的收益,没有满足需求等;频繁的人动;大量的资金不足或亏空;项目的变更,比如更改投资规模,变更经营的目标等;单位或项目经营人员责任重叠或职责分工不清楚,导致管理上的混乱;单位或项目本身的高度复杂性或不稳定性,比如管理工作分散,多元化的利害关系方,所用的技术尖端、变化快,经营环境竞争激烈;社会各界对单位或项目的某些看法不一;一段时间没有接受过监督检查。管理风险越大,开展绩效审计后能够给被审计单位或项目带来的改进越大,则应优先选择作为绩效审计项目。
(四)影响力
主要是指体现它所具有的重大组织影响,对于社会、经济和环境的影响,公众关注的程度。如果审计事项对所在的行业或组织具有典型意义,波及面广,或着对组织或单位实现经营目标具有重要影响,则该审计项目影响力很大。审计组织对于影响力强的审计项目进行审计,审计结果容易受到有关方面的关注。因此,影响力强的审计项目应优先考虑作为绩效审计项目。
(五)审计成本和可操作性
主要是指对该项目或领域进行审计的复杂程度和可能存在的风险。确定绩效审计项目的成本和可操作性,主要是通过对备选绩效审计项目进行成本效益分析进行的。如果选择复杂或存在较高风险的领域或项目进行审计,如有关审计事项的信息或数据不易获得、责任可能被推诿或混淆、过于敏感、存在安全保密问题、没有统一明确的评价指标或评价标准的项目、审计人员的知识结构不能满足要求等,会导致审计成本增大,使审计项目缺乏成本有效性。成本和可操作性强的绩效审计项目,容易被选中。
2008年教材与2007年教材相比没有本质的变化,但对个别章节进行了增减和修改。主要变化如下:(1)在第5章注册会计师的法律责任中,增加了2007年6月颁布的《关于审理涉及会计师事务所在审计活动中民事侵权赔偿案件的若干规定》的内容。(2)将第6章第六节“审计业务约定书”的内容调整到第8章“计划审计工作”的第一节初步业务活动的内容中。(3)对第7章第二节“审计工作底稿”的内容重新进行了梳理。(4)对第12章“审计抽样”的内容进行了重新编写。(5)第13章至第17章中个别实质性程序有所修改。
二、《审计》章节重点、难点分析
根据2007年考试情况及考试大纲的要求,2008年审计考试仍应注重审计理论结合实务,以实务为主的考查方式。为此,建议考生关注以下重点内容。
(一)注册会计师职业道德规范职业道德的是经常考查简答题的内容。2007年的考试中职业道德的内容仅在业务质量控制的简答题中有所涉及,并没有直接命题。因此,在2008年的考试中考生对中国注册会计师职业道德规范的内容既要把握好客观题,也要掌握好简答题。应做到根据题目所描述的具体情况,分析判断会计师事务所和注册会计师是否违反职业道德。对职业道德规范的掌握,应特别关注独立性、收费与佣金、与执行鉴证业务不相容的工作和接任前任注册会计师的审计业务等具体内容。
(二)会计师事务所业务质量控制业务质量控制准则是中国注册会计师执业准则体系中的管理标准,是会计师事务所为了保证相关人员在执业过程中遵守相关技术准则(审计准则、审阅准则、其他鉴证业务准则和相关服务准则)和职业道德规范,所制定的控制政策和程序。尽管在2007年的考试中,对该内容考查了简答题。但对于业务质量控制要素及其内容考生仍应掌握;特别是职业道德规范、客户关系和具体业务的接受和保持、业务执行和监控等内容。
(三)财务报表审计的责任划分及注册会计师的法律责任2008年的审计考试大纲中要求考生明确注册会计师的审计责任。由于注册会计师执行的会计报表审计最终是对被审计单位的会计报表发表意见,这也就注定了区分管理层、治理层对财务报表的责任和注册会计师对财务报表审计的责任的重要性。应该说,注册会计师只是被审计单位会计报表的鉴证人,并不是保证人,被审计单位管理层才是会计报表的保证人。考生应特别注意将财务报表审计的责任划分与具体审计案例结合进行分析,并能够正确运用相关的司法解释。在这里考生应明确:第一,注册会计师只有按照审计准则的要求实施审计,保持合理的怀疑,才能履行好审计责任;第二,注册会计师无论怎样努力也难以做到绝对保证,只能做到合理保证。
(四)审计具体目标一是管理层对会计报表的认定。财务报表审计业务属于基于责任方认定的业务,管理层批准报出财务报表,就意味着对财务报表作出了认定。认定包括对交易和事项的认定;对期末账户余额的认定和对列报的认定。这部分内容属于重要的审计理论。考试题型也多样化,既可以考查客观题,也可以考查简答题甚至综合题。但近年的考试中,单独考理论的内容比较少,对这部分知识的考查主要是理论结合实务,也就是要求考生应做到将认定目标理论与重要项目的实质性测试程序相结合,融会贯通。近年考查的简答题经常针对所列示的各项认定,要求列示出注册会计师为实现各认定的审计目标应实施的最常用的实质性程序。二是审计具体目标。对认定、目标和审计程序的三者的关系可简单描述如下:
[字体:大 中 小]
审计目标是基于审计总目标和管理当局的认定推论得出的。要实现审计目标,必须实施具体的审计程序,最终才能对会计报表发表审计意见。考生应将审计目标理论与财务报表各业务循环的具体审计实务(13-17章)相结合,融会贯通。这部分知识可以考查各种题型。如在近几年的客观题中经常针对注册会计师要实现的审计目标,列示若干审计程序,要求考生指出其中恰当或不恰当的审计程序等。
(五)审计重要性审计重要性,属于审计理论中的重点、难点和考点,各种题型均可能涉及。考生应掌握:第一,审计重要性的含义;第二,审计重要性的运用。对于重要性的运用应重点把握两个方面,首先,在计划审计工作时在财务报表层重要性水平和账户交易认定层确定重要性水平;其次,在评价错报影响时,如何考虑重要性。
(六)风险导向审计的基本思路根据有关风险导向的审计准,可以将风险导向审计的基本思路归纳如下:第一,注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,而该过程中注册会计师通过实施的询问、分析程序以及观察和检查程序来识别和评估财务报表的重大错报风险就是风险评估程序。第二,注册会计师应当针对评估的财务报表的重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平b(这里的进一步审计程序包括控制测试和实质性程序)
(七)财务报表审计中了解和测试被审计单位的内部控制内部控制理论知识属于重要的知识。考生应将内部控制理论与各业务循环内部控制的实务结合起来,融会贯通。考生还应把握好对内部控制的了解和测试。例如2005年的第二个综合题,资料中描述了注册会计师所了解的被审计单位的内部控制情况,要求考生能够指出其是否存在重大缺陷,提出改进意见,进而确定控制测试程序,指出涉及的相关认定等。被审计单位内部控制设计有重大缺陷和执行失效的地方,就是会计报表存在或很可能存在重大错报漏报的领域。
注册会计师在财务报表审计的风险评估程序中应当了解被审计单位的内部控制,以评价其设计的合理性及是否得到执行,最终确定是否准备信赖被审计单位的内部控制(确定是否实施控制测试程序以确定控制运行的有效性)。控制测试是注册会计师在设计实施进一步程序可以执行的程序。通过控制测试以确定注册会计师预期信赖的内部控制是否得到有效的运行,最终确定通过实质性程序应获取的保证程度。
(八)审计抽样2008年考试大纲要求考生掌握审计抽样。而且在近几年的考试中客观题和综合题均涉及了审计抽样的知识。考生应在掌握好审计抽样基本概念的前提下,掌握注册会计师如何在控制测试和实质性测试中设计样本,选取样本,以及对样本结果的评价。
(九)各业务循环主要账户的重要实质性测试属于重点、难点和考点,各种题型均可能涉及,近几年所占分数较多,充分体现了突出实务的命题原则。考生应注意:第一,将主要账户的认定目标理论与实质性测试程序结合;第二,掌握好函证、监盘、截止测试、分析程序等;第三,还要特别注意掌握好有关的会计知识。
(十)完成审计工作这部分内容主要体现在今年教材的第18章,属于非常重要的内容,不仅涉及审计准则,还涉及到一些会计准则,在考试中,各种题型均可涉及。考生应从以下方面掌握完成审计工作的内容:(1)期初余额。注册会计师首次接受委托的情况下,由于期初已存在的余额是财务报表的组成部分,而且可能对本期报表具有重大影响,因此,注册会计师应关注期初余额,实施适当的审计程序,以合理确信其不存在对本期财务报表产生重大影响的错报。为此,考生应明确期初余额的性质、审计程序及其对审计报告的影响。(2)期后事项。注册会计师在对财务报表进行审计时,不仅要审会计年度内的交易事项,还要考虑所审会计年度之后发生和发现的对财务报表和审计报告产生影响的事项,即期后事项。考生应明确期后事项的含义和种类;各时段期后事项注册会计师的责任及其所采取的措施。(3)差异调整表和试算平衡表的编制。考生应掌握好调整分录的编制。
关键词:教材 教学 编写 编排 顺序
一、审计学教材中的主要顺序问题
本文以中国注册会计师协会编写,并由经济科学出版社出版的2006年度注册会计师全国统一考试辅导教材《审计》(以下简称“教材”)为例,指出“教材”中的几个主要顺序问题(其它教材也或多或少地存在类似的问题)。
(一)注册会计师审计概论首先就提出注册会计师审计的起源与发展问题,而这时初学者还不知道什么是注册会计师审计,以及它与政府审计、内部审计有何区别,因此无法理解注册会计师审计是如何起源并发展的。笔者建议,先介绍审计的分类,在“注册会计师审计的发展”部分到“审计的范围已扩大到测试相关的内部控制,并以内部控制测试(‘教材’有的地方称之为符合性测试。应统一称为控制测试,以免给读者带来理解上的困难)为基础使用抽样审计”,而这时初学者还不清楚什么是内部控制和内部控制测试,也不清楚什么是抽样审计,根本不明白注册会计师审计是如何发展的。事实上会计发展史和审计发展史是高级会计的内容,对于初学者很难理解。笔者建议,“注册会计师审计的起源”部分的内容应放在前面讲,“注册会计师审计的发展”部分的内容应该放在后面讲。在“审计方法”部分也讲到内部控制、内部控制测试和抽样审计,还讲到内部控制风险、审计风险。建议将“注册会计师审计的发展”部分与“注册会计师审计的发展”部分合并。而内部控制、内部控制测试、抽样审计都是审计学中非常重要的概念,在很多章节都会出现,应该先讲。
(二)注册会计师职业规范体系 “美国审计准则”部分讲到“应当对内部控制进行充分的了解,以便制定审计计划,并确定将要执行的测试的性质、时间安排及范围。”此时,初学者还不清楚为何要了解内部控制,也不知道什么是“测试的性质”。该部分还讲到“应通过检查、观察、询问和函证等方法,获取充分、适当的审计证据,以便为对被审计会计报表发表意见提供合理的基础。”此时,初学者还没学过审计证据的获取方法,也不清楚审计证据的充分性和适当性。笔者认为,审计准则的概念应该先讲,但审计准则的内容应该在后面讲。其实“职业道德准则”部分的内容(特别是独立性的内容)应该优先讲,其他内容可以放在后面讲。
(三)注册会计师的法律责任这部分内容中提到了审计程序、审计风险、内部控制、重要性等名词。其中重要性、审计风险是审计上非常重要的概念,在很多章节中都会出现,因此应该先讲。除此之外,对于这部分中出现的“注册会计师对会计报表项目的实质性测试,是以内部控制的研究与评价为基础的。如果内部控制不健全,注册会计师应当调整实质性测试程序的性质、时间和范围”的语句,对初学者来讲也是难以理解的,不清楚为什么实质性测试要以内部控制的研究与评价为基础。而教材在“审计范围”部分才讲到实质性测试的概念。另外,在这部分内容中,多处提到了审计意见,“如果违法行为对会计报表有严重影响而未做适当的会计处理和披露,注册会计师应发表保留意见或否定意见”。而这时初学者还不清楚有哪些类型的审计意见,分别在什么情况下出具何种审计意见。教材“审计计划、重要性与审计风险”部分中也出现了类似的情况。而教材却将审计意见的有关内容放在了“终结审计与审计报告”中讲。
(四)审计目标与审计范围 “审计过程与审计目标的实现”部分的内容是综合性的,不宜放在前面讲;“审计范围”部分讲到了控制测试和实质性测试,但没有阐述清楚,而是放到了“审计程序的分类”部分讲,这无疑会加大学习的难度。“审计证据与审计工作底稿”中讲到审计证据与固有风险、控制风险的关系。事实上,这一内容难度较大,应该放在稍后再讲。“审计证据的获取”部分并没有把分析性复核阐述清楚,而是留到“审计计划、重要性与审计风险”再讲一次分析性复核,这无疑会加大学习的难度。另外,审计风险、固有风险、控制风险、检查风险与审计重要性水平、审计证据的关系分散在教材上的不同章节,给人们的理解带来很大的困难。
二、审计学教材中不同的编排顺序形式
前面提到的审计学教材中的顺序问题,在其他很多教材中也会出现类似的情况。但有一些教材在个别地方有不同的编排顺序,值得我们借鉴。本文以举例的形式,说明某些教材的不同之处。这些教材见(表1)。
首先,由于审计学这门学科理论性较强,很多概念不好理解,致使学生们不清楚究竟应该从什么地方开始学。审计学学科的应用性也很强。审计学是一门较实用的学科,其与政府工商企业活动、资本市场以及日常生活均密切相关(吴琮,2005)。可以结合实际案例或举例的形式,以达到更加深入的理解。在这方面,“教材一”和“教材七”做得比较好。“教材一”的作者在前言部分讲到:“该教材摆脱了以往的传统格式,即一开始先介绍概念、定义或性质等做法,而是以审计案例作为每章的开头。而每章案例的选择,往往是与该章的内容紧密相关的。”“教材七”则更是随处可见案例,令初学者感觉审计学很实用。其次,在审计学这门课程中,最早应该学习的知识点应该是:为何需要审计,特别是为何需要注册会计师审计,审计能起到什么作用。在这方面,“教材一”、“教材四”、“教材六”、“教材七”做得比较好。“教材一”的第一章(审计与审计环境)首先以案例的形式引入问题:注册会计师究竟是干什么的;审计又是什么,接着分析了审计与市场经济,主要内容包括:市场经济是一个经济权利与责任的网络,会计是传递权利与责任信息的工具;审计是保证权利与责任信息可靠传递的工具;审计对现代市场经济的作用。
第二,“教材四”首先就分析了为何需要审计,以及对审计的界定。“认识财务报表与财务报表审计”部分主要包括以下内容:认识企业财务报表;业务循环;财务报表的使用;财务报表是管理阶层的声明;财务报表声明与查核目标;财务报表常见错误及未充分披露事项;非法行为、员工舞弊、管理舞弊、关联方交易、非常规交易;查核委任风险管理及风险导向审计。事实上,这一部分外多数讲的都是基础性知识。在对这些知识有了一定的了解后就基本能明白审计的作用。笔者认为,“教材四”的第一章和第二章应该调换一下顺序比较好。“教材六”第一章讲到了对审计的经济需求,解释信息风险产生的原因以及审计在降低信息风险方面的重要作用,这有助于人们对审计的理解。“教材七”第一章以信息假说和理论解释为什么需要审计师,并介绍了真实、公允概念。第二章讲了审计假设。
第三,根据前面的分析,注册会计师审计的产生与发展应该分开来讲,在这方面,“教材五”做得比较好。而且“教材五”在第二章讲了“审计关系”,而很多教材都没做到这一点。
第四,在讲述审计的定义时,如果能进行比较深入的分析,同时引入一些非常重要的概念,不但能让读者更好地理解审计的概念,也会有助于后面的学习。这一点上,“教材二”安排得比较合适。“教材二”第一章对审计的定义进行了深入分析。在阐释“以查明这
些认定与既定的标准之间的相符合的程度”时,编者引入了“管理当局认定”这一概念。笔者认为,这一概念有助于人们对审计的理解,而这一概念不需要以其他知识点为基础。编者接下来解释了“既定标准”和“审计证据”,并指出:“审计人员的主要工作是遵循公认审计准则的要求实施审计程序和收集评价审计证据。审计证据是用来证实或证伪被审计组织提出的认定的,审计人员必须收集用以支持或否定管理当局认定的证据,以确定管理当局认定与既定标准之间的一致性程度”,“审计人员形成任何审计结论和意见都必须以合理的证据作为基础”,“在形成审计意见前,审计人员还必须对审计证据的充分性和适当性进行分析评价,以确保审计意见的质量”。这样,就有助于人们对审计的理解,同时也对后面的学习有帮助。
第五,除了按审计主体分类外,还可以按其他方式对审计进行分类。但在实际中,绝大部分审计学教材都是重点讲述财务报表审计。由于财务报表审计的目的是对被审计单位的财务报表发表审计意见,应该早讲审计报告和审计意见。这两个概念在后面的章节经常会出现。但审计报告的责任段和范围段涉及到的很多内容还未讲述。“教材四”和“教材六”都将审计报告放在比较靠前的位置,说明这几位作者已经考虑到应该早些讲审计报告的概念和审计意见的类型,但初学者暂时还理解不了审计报告中的部分内容。“教材六”第三章(审计报告)在“偏离无保留意见审计报告的情况”部分讲了重要性概念,因为应该具体分析被审计会计信息中的错报是否重要。
第六,除了前面提到的一些概念外,审计学中还有些非常重要的概念,如内部控制、审计风险、审计重要性水平、审计抽样、审计独立性等。这些概念在很多章节都会出现,但很少教材会将这些重要概念放在比较靠前的位置。在这方面,“教材七”做得很好。“教材七”第二章讲了基本概念,包括胜任能力、独立性、风险、证据、重要性、审计判断等。“教材三”、“教材四”、“教材六”也将个别概念放在比较靠前的位置,如“教材三”将审计抽样的内容放在第二章,“教材四”的第三章讲重大性与查核风险,“教材六”将重要性概念放在第二章。
三、审计学教材的改进设想
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
实施企业内控注册会计师审计具有十分重要的意义。在实施企业内控审计中应当正确处理好企业内控责任与注册会计师审计责任的关系、企业内控自我评价与注册会计师内控审计的关系内控审计和财务报表审计的关系,财务报告内控和非财务报告内控的关系、企业层面控制测试与业务层面控制测试的关系、重大缺陷披露与其他缺陷沟通的关系。同时,应当深入研究非财务报告内控测试的范围界定和方法技术问题内控测试评价的样本选取问题、首次执行内控审计与连续实施内控审计的策略问题内控审计报告的披露形式问题内控审计信息系统的开发建设问题内控审计结果的利用问题,推动内控审计扎实有序开展。
一 实施企业内控注册会计师审计的重要意义
2008年5月和20lO年4月,财政部会同证监会、审计署、银监会、保监会先后了《企业内部控制基本规范》和20项企业内部控制配套指引,在基本建成我国企业内控规范体系的同时,确立了企业内控有效性的自我评价制度和注册会计师审计制度,由此推动我国企业内控体系贯彻实施步入了法制化、规范化发展的新阶段。实施企业内控注册会计师审计,是立足我国国情、借鉴国际惯例推出的一项创新之策,也是确保企业内控有效实施的重要标志和制度安排。
(一)实施企业内控注册会计师审计符合国惯例,有助于揭示企业内控重大缺陷维护投资者利益和资本市场秩序
在企业尤其是金融企业和上市公司中推行内部控制注册会计师审计制度由来已久。1991年美国颁布《联邦储蓄保险公司法案》,要求资产高于两亿美元的金融机构管理层提供内部控制有效性评价报告,同时要求此类金融机构“聘请独立审计师出于鉴证之目的而对其内部控制进行评估并报告结果”;2002年,美国颁布《萨班斯――奥克斯利法案》,通过其302和404条款将财务报告内部控制自我评价和注册会计师审计制度扩大到公众公司;2006年,日本颁布《金融机构与交易法》,借鉴美国模式建立了日本公众公司的内控审计制度;同年,欧盟修订“欧洲议会和欧盟理事会指令”,明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷,是注册会计师审计的重要职责。注册会计师根据有关法律法规的规定和《企业内部控制基本规范》、《企业内部控制审计指引》的要求将认定的内控重大缺陷报告给企业投资者和社会公众,有利于投资者,社会公众和其他利益相关者全面、及时、准确地了解和掌握企业内控现状,提高决策的科学性和针对性,防止和降低决策失误风险,从而有效维护投资者利益和资本市场健康稳定发展。
(二)实施企业内控注册会计师审计,有助于增强企业内部控制效能促进企业全面提升风险防范能力和经营管理水平
注册会计师的独立性和专业性,决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题,较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目,只缘身在此山中”的固有约束,注册会计师提出的审计意见往往更具针对性、深刻性和建设性;同时,由于注册会计师审计报告具有法律效力和威慑性,使得企业管理层必须高度重视注册会计师的审计意见。围绕注册会计师提出的内控缺陷采取及时有效的整改措施,从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性,为企业举一反三健全管控、杜塞漏洞,实现又好又快可持续发展提供助推力。
(三)实施企业内控注册会计师审计,有助于促进注册会计师行业紧密适应市场需求推动业务转型升级,实现加快发展
为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全,2009年10月,国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》(简称国办56号文件),明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上,积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸,推动大型会计师事务所业务转变和升级,加速向高端型、高附加值、国际化业务发展”。实施企业内控审计,是落实国办56号文件精神的具体体现,是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。
二 实施企业内控注册会计师审计中应当正确处理的几个关系
(一)企业内控责任与注册会计师审计责任的关系
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(二)企业内控自我评价与注册会计师内控审计的关系
第一,企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。企业内控责任与注册会计师内控审计责任的划分,决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规则独立完成,两者之间不能相互替代和免除。
第二,注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言,企业内控自评工作应先于注册会计师内控审计进行,因此,适当利用企业内控自评工作及其成果,可以相应减少注册会计师的工作,提高内控审计效率。但是,注册会计师的内控审计责任,不能因为利用了企业内控自评工作而减轻,这就要求注册会计师在利用企业内控自评工作时,必须毫不放松风险意识,特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。表1揭示了注册会计师利用企业内控自评工作应当把握的方法和尺度。
第三,在各负其责的基础上加强双方的沟通协调,是做好企业内控自评和注册会计师内控审计不容忽视的重要方法。一方面,就注册会计师及其所在的会计师事务所而言,一是要注重树立整体研判观念,善于在宏观层面把握大局、把握实质;二是要着重关注合规目标、报告目标和资产安全目标,适当兼顾效率效果目标和战略目标;三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员_四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调;五是要加强内控审计业务培训和经验交流;六是要重视以前年度审计情况总结分析;七是要建立与同行的经验共享、技术合作机制;八是要加强信息技术等非财会、审计人才的引进和培养。另一方面,就企业管理层而言,一是要自觉强化可持续发展理念和借力“会诊”意识,主动配合支持注册会计师的审
计工作;二是要建立并理顺与注册会计师的沟通协调机制,在审前、审中和审后保持坦诚、深入的沟通;三是要针对注册会计师的疑虑,提出有说服力的证据;四是要在第一时间整改注册会计师识别的控制缺陷,为获得更为正面的审计意见赢得主动。
(三)财务报告内控和非财务报告内控的关系
首先,财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与管理控制的界定一样。一般而言,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控。比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。
其次,《企业内部控制审计指引》对财务报告内控和非财务报告内控提出了差异化的审计要求,即:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。必须强调,这一规定是实事求是的,既充分考虑了注册会计师的专业特长和职业风险,将注册会计师的审计重心定位在财务报告内控领域,同时又大胆破除了单纯财务报告内控观念的束缚,促使注册会计师的内控审计范围与企业管理层的内控自评范围总体上趋于一致,增强了内控审计报告与自评报告的协调。
(四)内控审计和财务报表审计的关系
《企业内部控制审计指引》规定,注册会计师可以将内部控制审计与财务报表审计整合进行(即整合审计),也可以单独进行内部控制审计。尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择,但从企业更“经济”地委托审计分析,我们倡导内控审计和财务报表审计整合进行。事实上,审计准则所要求的风险导向审计与内控规范体系所要求的风险评估,在理念和方法上是趋同一致的,因此整合审计具有较好基础。整合审计的目的,就是在内控审计中获取充分、适当的证据,支持注册会计师在财务报表审计中对内部控制的风险评估结果,同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审计的互动关系见图1。
从美国公共会计公司(会计师事务所)整合进行财务报表审计和财务报告内控审计(404审计)的通常做法看,内控审计团队一般先于财务报表审计团队1~2个月的时间进入被审企业,在对财务报告内控有效性做出总体评估的基础上,对实施财务报表审计的性质、时间和范围做出适当调整和完善,之后,通过对财务报表的实质性程序,再来验证财务报告内控的有效性。由此可见,所谓整合审计,实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见,这是值得我国会计师事务所研究借鉴的。
(五)企业层面控制测试与业务层面控制测试的关系
无论是企业内控自评,还是注册会计师内控审计,都需要对企业层面控制和业务层面控制进行测试。一般认为,与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响的控制属于企业层面控制;与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上而下,是指测试控制应当从企业层面控制人手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。
需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖,该项控制应当认定为关键控制,除此之外,则被认定为一般控制。经验数据表明,在所有业务层面控制中,关键控制一般占到20%左右。表2为认定关键控制提供了一种可供参考的方法。
表2中,控制1可以涵盖可能出错事项1、2、3和5,即一项控制可以涵盖多个可能出错事项,因此控制1可被认定为关键控制;而对于可能出错事项4,只有控制2能够涵盖,即一个可能出错事项只有一项控制能够涵盖,因此控制2可被认定为关键控制。由此分析得出,控制3、4和5应为一般控制。
(六)重大缺陷披露与其他缺陷沟通的关系
内部控制缺陷按其影响程度分为重大缺陷(实质性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效,应当认定企业财务报告内控存在重大缺陷,对企业财务报告内控有效性发表否定意见,并通过内控审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷应当以书面形式与企业董事会和经理层沟通对于一般缺陷,应当以书面形式与企业有关职能部门沟通。
从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著(见表3)。这也提示我国注册会计师在实施企业内控审计时,应当着力把握易于出现错弊的关键领域和重要环节,切实揭示出企业财务报告内控重大缺陷。
三 进一步深化企业内控注册会计师审计应当研究解决的几个重要问题
《企业内部控制审计指引》的,为实施企业内控审计提供了执业准则和操作指南同时,随着企业内控审计的不断深入,也势必反映出这样或那样的各种具体问题。在当前和今后一段时间,应当着力研究解决以下几个重要问题。
(一)非财务报告内控测试的范围界定和方法技术问题
关于非财务报告内控测试的范围。相对而言,财务报告内控测试范围较为明确,而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制,要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此,我们倾向于紧密围绕内控目标,建立一套非财务报告内控测试的核心指标体系,这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点,其中:对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面,特别是董事会、监事会建设和审计委员会监督
职能的发挥情况;对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用;对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况;对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善,以及信息系统开发、建设和运行状况;对内部监督的测试聚焦于日常监督和持续性监控的落实情况,特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。
关于非财务报告内控测试的方法。总体而言,应与财务报告内控测试方法基本相同或相近,比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法,但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。表4以对企业文化的面询为例,为注册会计师提供了一个测试、审视企业文化的新视角。
在询问结束后,注册会计师要初步评估:与企业文化有关的控制政策看起来是何种程度的(标出相应的尺度,如图2),以此作为对企业文化的初步测试结论。
(二)内控测试评价的样本选取问题
基于净利润、资产总额等指标的计划重要性水平确定抽样规模,是财务报表审计的重要方法。但是,企业内控审计的外延和内涵大大超越财务报表审计,因此,如何确定内控测试评价的抽样规模,是一个亟待解决的突出问题。截至目前,尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据(见表5),值得研究思考并在此基础上予以完善。
(三)首次执行内控审计与连续实施内控审计的策略问题
根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署,包括《企业内部控制审计指引》在内的企业内部控制配套指引自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。因此,除按《萨班斯一奥克斯利法案》404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外,其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计,特别是同时也属首次执行财务报表审计,意味着注册会计师对某一特定企业(客户)的了解尚不全面、系统、深入,因此,首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地,在以后年度的内控连续审计中,由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解,因此可以突出审计重点、简化部分程序,更多地关注高风险领域企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化,对企业和会计师事务所是“双赢”之举应当予以重视。由此也启示会计师事务所,一定要未雨绸缪、早做准备、注重积累,不断建立健全不同行业、企业的风险案例库,为提升内控审计质量和内控咨询服务水平奠定扎实基础。
(四)内控审计报告的披露形式问题
《企业内部控制审计指引》明确了内控审计报告的格式和内容,但并未对如何公布、披露内控审计报告做出详细规定。从美国的情况看,企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告,一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看,既有在年度报告中单作一部分予以披露的,也有自成体系形成一个专门报告单独披露的。两种做法各有利弊,我们尊重企业的自主选择权。同时,考虑到内控自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联,我们倾向于建议企业在年度报告中一并披露内控审计报告,以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况内控状况的基础上做出正确决策。但是应当强调,在年度报告中一并披露的内控审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也易于弱化内控审计。
(五)内控审计信息系统的开发建设问题
会计师事务所及其注册会计师执行企业内控审计,必须开发建设审计软件,将内控审计程序固化在信息系统之中,形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看,其财务报告内控审计软件主要包括以下数据包:(1)审计项目概述。(2)审计项目计划,包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。(3)内控审计模型,包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。(4)审核相关备忘录(MRC),包括404缺陷备忘录等。(5)控制测试概览,包括:控制评估与记录;企业层面控制测试;承诺义务与或有事项;工薪循环控制测试;存货循环控制测试;现金收入(含销售业务)循环控制测试;现金支付(含采购业务)循环控制测试;财务报表结账程序控制测试,固定资产循环控制测试;负债循环控制测试;所得税控制测试;股东权益控制测试等。以对固定资产的控制测试为例,需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。(6)对内控缺陷的集合与评估。(7)就控制缺陷与企业管理层的沟通情况。(8)就控制缺陷与企业董事会审计委员会的沟通情况。(9)内控审计报告,包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异,但开发建设内控审计软件的基本思路和总体要求是一致的,应当迅速行动起来,通过联合开发、自主开发等多种形式,在利用信息技术实施内控审计中赢得先机。
(六)内控审计结果的利用问题
一、风险主观说和风险客观说
风险主观说强调的是“损失”与“不确定性”的关系,不确定性是主观的、个人的和心理上的一种观念。此论点认为风险纯属个人对客观事物的主观估计,而不能以客观的尺度予以衡量。这一论点的代表人物有麦尔和科梅克,他们将风险定义为:“风险是损失的不确定性。”不确定性的范围包括发生与否不确定、发生时间不确定、发生的过程不确定、发生的结果不确定。风险客观说则是以风险客观存在为前提,以对风险事故的观察为基础,以数学和统计观点加以定义,并认为风险的大小可用客观尺度测定。这一论点的主要代表是佩费尔,他将风险定义为“风险是可测定的客观概率的大小。”本文认为风险是指在特定的客观条件下损失发生的可能性。这是因为风险是客观存在的,只有那些导致损失,或既可能会导致损失,又可能导致盈利的不确定事件才能称为风险事件,不会导致损失的不确定性事件不是风险事件,因而风险与损失或不利因素有必然的联系。需要说明的是,这里的损失是指非故意的,非计划的和非预期的经济价值的减少,那些并非无意的行为,结果是肯定的,因而并不是风险概念的内容。
二、审计风险的概念
现代风险基础审计中最重要的概念之一就是审计风险概念。对审计风险的概念,不同的学术团体和学者有其不同的见解。美国注册会计师协会(AICPA)认为(AICPA,1992):审计风险是注册会计师无意地对含有重要错报漏报的财务报表发表没有适当修正意见的风险。《国际审计准则》第6号则认为(张德明译,1996):审计风险是指注册会计师对实质上误报的财务资料可能提供了不适当意见的那种风险。例如,注册会计师在那些他们所不知道的情况下,可能对实质上错报的财务报表提供了无保留意见。国际会计师联合会(IFAC)的国际审计与鉴证准则委员会(IAASB)2003年10新的国际审计准则ISA200—财务报表审计的目标和一般原则,重新定义了审计风险,认为审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的风险,而不包括注册会计师错误地认为财务报表含有重大错报的风险(IFAC,2003)。我国独立审计准则中对审计风险的定义是(中国注册会计师协会,1999):审计风险,指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。中国注册会计师协会2004年10月的审计风险准则的征求意见稿中沿用了IAASB2003年对审计风险的定义(中国注册会计师协会,2004)。
国内外学者对审计风险的概念也存在不同看法。A.A.Arens和J.k.Loebeck(1992)认为:审计风险是在财务报表事实上存在重大错误时,注册会计师认为财务报表公允表达,并因此提出无保留意见的风险。朱小平、叶友(2003)则将国内外关于“审计风险”的定义归纳为两类:损失可能论,即认为审计风险是指由于注册会计师主观因素与其他因素带来损失的可能性;意见不当论,即认为审计风险是指当会计报表存在重大错报与漏报时,注册会计师针对会计报表而的不恰当审计意见的可能性。随后,他们从概念体系的内在逻辑关系和传统的审计风险模型两个方面检查了“审计风险”定义的损失可能论和意见不当论,最后认为后者明显优于前者。上述有关审计风险的概念,都有一个共同特点,认为审计风险是指财务报表没有公允地揭示而注册会计师认为已公允地揭示的风险。其实,这种定义方法只是为了给实务中的具体操作提供可行的指南,而不是从一般的理论意义上探讨,因而只能说明审计风险的表面现象,而未触及审计风险最本质的东西(胡春元,1997)。将审计风险概括地表示为未能觉察出重大错误的风险,只是最狭义的审计风险,而审计风险本身具有更广泛的含义。本文认为,审计风险可以从三个层次上来说明:
第一层次:最狭义的审计风险,即指财务报表有重大错误而注册会计师签发完全肯定意见的审计报告的风险。这是审计实践中大量发生的情况,因而成为研究的重点,包括最新的国际审计准则和我国的审计风险准则征求意见稿在内的许多审计准则都作了类似的规定。
第二层次:狭义的审计风险,即发表了不恰当审计意见的风险,既包括注册会计师把错误判断为正确的情况(误受险),也包括把正确判断为错误的情况(误拒险),只是后者不大可能发生,在实务中多数情况下不予考虑。这个层次比第一层次在含义上要广泛一些。第三层次:广义的审计风险,即审计职业风险。本文认为风险是指在特定的客观条件下损失发生的可能性。这是从最广泛的意义上理解风险的,推而广之,审计风险也可以理解为审计主体遭受损失的可能性。风险的几个方面都与财务报表审计有关,主要有狭义的审计风险和业务关系风险。业务关系风险是指尽管注册会计师和会计师事务所遵循了公认审计准则并了正确的审计意见,然而由于与被审计单位之间的特定关系,因此可能受到被审计单位的牵连(特别是在被审计单位发生经营失败时)而可能导致注册会计师和会计师事务所要承担一定损失的风险(朱小平、叶友,2003)。这也是审计职业界面临诉讼“爆炸”的重要原因,也是现代风险基础审计方法要关注的地方。报表使用者在发生经营失败时指责审计失误,部分原因是他们分不清注册会计师的作用,对注册会计师抱有过高的期望,无法区别审计功能与业务关系风险之间的差别;另一部分原因是遭受损失的人们由于对其经济利益的关注而对注册会计师提出过高的要求,一旦受损就希望得到补偿没,而不问错在何方。
注册会计师职业的生存和发展都必须以谋取经济利益为基础,它一方面要履行社会鉴证的职责,另一方面又必须同其服务对象进行合作,追求一定的经济利益,以满足自身生存和发展的条件。这样,审计职业界就必须在法律、职业道德和自身利益之间寻求平衡点。由于法规、经济环境和自身利益需求等因素是不断发展变化的,它们之间的平衡状态便会不断地被打破,每一次失衡状态都会给职业界带来一定的风险。20世纪90年代以来,客户关系对审计组织和个人构成的风险有日益增长的趋势(吴荣国、赵世君,2003)。这是因为:报表使用者对注册会计师的责任的了解正在增加;政府保护投资人利益的意识正在增强;企业规模的扩大,业务的复杂性和电子商务的兴起等原因,会计和审计业务更为复杂,纵使遵循了审计准则,也很难保证企业不会发生经营失误;社会日益赞同受伤害的一方向有能力提供赔偿的一方提出诉讼;很多会计师事务所为节省法律费用或避免不利于自己的问题张扬出去,宁愿私了也不愿通过司法程序解决问题;客户可选择的编制财务报表的会计原则很多,而注册会计师在评价所选用的原则是否恰当时缺乏明确的标准。上述的因素,使即使不是审计过程中发生的失误行为,亦对注册会计师和会计师事务所构成了风险,因而必须把业务关系风险列入审计风险的范畴,并扩大注册会计师的审计范围。
综上所述,审计风险是与审计职业相联系的,完整的审计风险概念,应从广义上解释,即不仅包括审计过程的缺陷导致审计结果与实际不相符而给注册会计师和会计师事务所带来损失的可能性,还包括经营失败可能导致公司无力偿债或倒闭所可能给注册会计师和会计师事务所带来损失的业务关系风险。
作者:赵建强单位:山西煤炭运销集团审计处
[关键词]审计风险 程序 了解环境
审计师在审计时应当考虑的风险包括三种,即企业的经营风险,审计风险,特别风险。经营风险是对实现企业目标或执行企业战略产生不利影响的各种不确定因素,企业所具有的经营性质、所处行业、外部监管环境、企业的规模和复杂程度等因素都对财务报表发生重大错报有密切的关系,许多经营风险最终都会造成财务后果,比如经营风险中竞争者开始延长产品保证期,这样会给企业带来增加预提保证费用的风险,还有如果原材料发生短缺,就会产生标准成本的损耗率上升,竞争者在市场技术上开始领先,这样就会造成投资需要增加计提减值准备。审计风险则是现代风险导向审计的核心概念,它由重大错报风险和检查风险组成,重大错报风险是指财务报表在审计前存在重大错报的可能性,它有固有风险和控制风险组成,重大错报风险和检查风险互为反向关系。特别风险是,在审计实务中需要特别考虑的重大错报风险,即是否是舞弊风险、是否是近期经济环境、会计处理方法和其他方面的重大变化、是不是复杂的交易、是不是重大的关联方交易、是不是对重大事项存在不确定计量空间,是不是设计异常或超出正常经营过程的重大交易,由此看到,特别风险与非常规重大交易和判断事项有关,即金额和性质异常并且不是经常发生的。
在审计实务中对各种风险的评价是风险导向审计的开始,审计师了解被审计单位及其环境,目的是为了识别和评估财务报表重大错报风险,为了了解被审计单位的重大错报风险,审计师首先要了解被审计单位极其环境(不包括内部控制),这其中包括,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质,对会计政策的选择和运用,目标、战略以及相关经营风险,财务业绩的衡量和评价;其次要了解内部控制,这主要了解控制环境、被审计单位的风险评估过程、信息系统与沟通、控制活动、对控制的监督;第三是对风险评估及其审计计划的讨论,主要是被审计单位面临的经营风险、财务报表容易发生错报的领域、错报的方式、特别是由于舞弊导致重大错报的可能性,第四评估重大错报风险,主要包括财务报表层次、认定层次(各类交易、帐户余额、列报、披露)。
为达到以上目的所要执行的具体审计程序有:
首先,询问。询问被审计单位管理层和内部其他相关人员,询问的主要问题有新的竞争对手、主要客户和供应商的流失、新的税收法规的实施、以及经营目标或战略的变化、财务状况和最近的经营成果、现金流量、可能影响财务报告的交易和事项、或者目前发生的重大会计处理问题等,审计师还应当考虑询问内部审计师、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工以获取对识别重大错报风险的不同需要,即询问治理层、有助于审计师了解其针对被审计单位财务报表的编制环境;询问内部审计师有助于审计师了解其针对被审计单位内部控制设计和运行有效性的情况,以及管理层对内部审计发现的问题是否采取适当的行动;询问参与生成、处理或记录复杂或异常交易的员工,有助于审计师评估被审计单位选择和运用某项会计政策的适当性;询问内部法律顾问,有助于审计师了解被审计单位的有关诉讼、法律法规的遵循情况、影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任、与业务伙伴的安排、以及合同条款的含义;询问销售人员,有助于审计师了解营销策略及其变化、销售趋势或与其客户的合同安排;询问营销或销售人员,有助于审计师了解被审计单位的原材料采购和产品生产等情况等情况。
其次,执行分析程序。分析程序是指审计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价,分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系,审计师实施分析程序有助于发现识别异常的交易或事项,即特别风险,审计师还可以对财务报表的审计产生影响的金额、比率和趋势进行预测。在实施分析程序时,审计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较,如果发现异常或未预期到的关系,审计师应当在识别重大错报风险时考虑这些比较结果
第三,进行观察和检查。观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可以提供有关审计单位及其环境的信息,审计师应当实施下列观察程序,观察被审计单位的生产经营活动,如观察被审计单位人员正从事的生产活动和内部控制活动等;检查文件、记录和内部控制手册,如检查被审计单位的章程,与其他单位签订的合同、协议、股东大会、董事会议、高级管理层会议的会议记录,各业务流程操作指引和内部控制手册,各种会计资料、内部凭证和单据;阅读由管理层和治理层编制的报告,如阅读被审计单位年度和中期财务报告、管理层的讨论和分析资料、经营计划和战略、对重要经营环节和外部因素的评价、被审计单位内部管理报告,以及其他特殊目的的报告(新投资项目的可行性分析报告);实地察看被审计单位的生产经营场所和设备;追踪交易在财务报告信息系统中的处理过程(穿行测试),这是审计师了解被审计单位业务流程及其内部控制时经常使用的程序。通过追踪某笔交易在业务流程中如何生成、记录处理和报告,以及相关内部控制如何执行,审计师可以确定被审计单位的交易和内部控制是否与之前通过其他程序所获的了解一致,并确定内部控制是否得到执行。
基于对企业风险管理的考虑,风险评估程序应当贯穿于企业财务报表审计的整个过程,并运用大量的专业判断识别、计量风险因素,为防止主观和片面的判断影响审计结果,要进行讨论和研究,形成对被审计单位的总体情况报告、总结上年的工作情况、被审计单位的环境变化情况、财报的易错领域、重要审计事项和审计领域、可能发生的重大舞弊和重大错报风险、重要性水平的设定、最后制订总体审计策略。
参考文献:
认定是指被审计单位管理层对财务报表组成要素的确认、计量、列报做出的明确或隐含的表达。注册会计师接受委托对财务报表进行审计,首先必须取得被审计单位的财务报表,这就意味着管理层对财务报表做出了认定。这些认定反映了被审计单位管理层在处理各项经济交易与事项时,遵循会计准则及相关会计法规的范围、程度及其结果。管理层对财务报表中所有的资产、负债、所有者权益、收入与费用等都做出了认定。这些认定有些是明确的,有些是隐含的。例如,管理层在资产负债表中列报应收账款及其金额,意味着做出了下列明确的认定:一是记录的应收账款是存在的;二是应收账款以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。同时,管理层也做出了下列隐含的认定:一是所有应当记录的应收账款均已记录;二是记录的应收账款都由被审计单位拥有;三是应收账款的使用不受限制。
审计准则中将管理层认定的内容分为三个层级:一是与各类交易和事项相关的认定包括:(1)发生:记录的交易和事项已发生,且与被审计单位有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。二是与期末账户余额相关的认定包括:(1)存在:记录的资产、负债和所有者权益是存在的;(2)权利和义务:记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。三是与列报相关的认定包括:(1)发生以及权利和义务:披露的交易、事项和其他情况已发生,且与被审计单位有关;(1)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
二、管理层认定与审计具体目标的确定
注册会计师审计的目标包括总体目标和具体目标两个层次。总体目标是对被审计单位财务报表的合法性与公允性发表审计意见。只有在对财务报表各项目进行审计后,才有可能对报表总体的合法性与公允性发表意见,这时就出现了报表项目的审计具体目标问题。虽然合法性与公允性有明确的含义,但在注册会计师审计实务中,并不把合法性与公允性作为财务报表审计的具体目标,其原因在于合法性与公允性作为审计具体目标过于宽泛,缺乏操作性,不利于注册会计师实施相应的审计程序来获取审计证据。因此才利用管理层认定作为财务报表审计总体目标与具体目标之间的联系桥梁。
由于管理层对财务报表各组成项目均做出了认定,注册会计师就可以根据被审计单位管理层的认定和审计总体目标来确定审计具体目标。审计具体目标是总体目标的具体化,并受到总体目标的制约,它包括一般目标和项目目标。注册会计师根据管理层认定推论得出一般目标,为搜集审计证据和发表审计意见提供具体指导,再针对被审计单位具体情况制定项目目标。一般目标是进行所有项目审计时均必须达到的目标,适用于所有项目的审计;它通常包括:总体合理性目标、与各类交易和事项相关的目标、与期末账户余额相关的目标以及与列报相关的目标。总体合理性目标是指注册会计师根据他所掌握的有关被审计单位的全部信息,评价某项目的合理性;与各类交易和事项相关的目标包括真实性、完整性、准确性、截止、分类;与期末账户余额相关的目标包括存在、权利和义务、完整性、计价和分摊;与列报相关的目标包括发生及权利和义务、完整性、分类和可理解性、准确性和计价。项目目标是根据每个项目分别确定的目标,通常只适用于某一特定项目的审计。
管理层认定与审计目标密切相关,注册会计师了解了认定,就很容易确定每个项目的具体审计目标,并以此作为评估重大错报风险以及设计和实施进一步审计程序的基础。接下来注册会计师的工作就是要确定管理层的认定是否恰当,即对管理层的认定进行再认定。
三、管理层认定与审计证据获取
要实现审计目标,必须收集和评价审计证据。审计证据是注册会计师为了得出审计结论形成审计意见而使用的所有信息。注册会计师的审计过程可以说是收集、评价证据,最后据以形成审计意见的过程,审计证据的收集、评价是注册会计师计划审计工作和实施审计程序的核心。
每一位注册会计师面临的主要决策之一就是确定为满足判断被审计单位财务报表各组成部分以及财务报表整体是否合法与公允所应收集的证据的适当类型与数量。若能使审计证据的收集与评价和管理层认定概念结合起来,则审计证据的收集与评价工作就更具逻辑性、科学性和针对性。注册会计师对被审计单位财务报表发表意见可以转化为对被审计单位管理层的各项认定的合理性和有效性做出结论的过程,为了便于执行实质性程序,收集审计证据,注册会计师将管理层认定拓展为审计具体目标,再在审计具体目标基础上确定一般目标与项目目标,也就是在审计过程中,注册会计师应根据审计具体目标来设计和执行充分的,能够保证审计具体目标得以实现的实质性程序,确保收集到充分、适当的审计证据,之后注册会计师就可以对管理当局认定是否合理和有效做出判断,再将对各项认定的判断综合起来,结合执行控制性测试所得到的证据,就能对被审计单位财务报表的整体合法性与公允性表示意见了。可见,注册会计师通过一定的审计程序来获取审计证据,以审计证据为支撑来达到具体的审计目标,而审计具体目标是由审计总体目标和被审计单位认定决定的,因此审计证据的收集与评价是围绕被审计单位管理层认定展开的。
四、运用举例及结论
下面表1以应收账款为例,说明为证实与应收账款期末账户余额相关的认定,注册会计师应确定的审计具体目标,执行的审计程序以及应收集的审计证据。
一、政府效益审计的内涵
(一)效益审计的概念
效益审计是指审计机关对被审计单位财政收支和有关经济活动的经济性、效率性和效果性进行的审查和评价。
效益审计的目标主要是经济性、效率性和效果性。经济性是指投入的节约,效率性是指投入与产出的关系,效果性是指产出是否达到预期目标。这三个目标紧密相联,有时交叉在一起,并无明显的区分界限,实际工作中更难把三者完全割裂开来。因此,在审计中可以对这三个目标有所侧重,但为保证审计的客观性,通常会将三者联系起来统筹考虑。
(二)效益审计的特点
与财务报表审计相比,效益审计在设计的基本原理和程序方面都是相同的,不同之处主要表现在以下几个方面:
1.审计目标不同
一般来说,财务报表审计的目标是对财务报表的真实性、公允性发表审计意见,而效益审计是对被审计单位资源管理和使用情况发表审计意见。
2.审计方向不同
一般情况下,财务报表审计是对历史的财务信息进行审查和评价,而效益审计有可能是对未来情况进行的分析和预测,多数情况下,效益审计要对未来提出改进建议。
3.所依据的评价标准不同
财务报表审计所依据的评价标准基本上是相同的,即一般公认会计原则及相关具体的会计制度,效益审计由于每个项目的具体目标不同,所依据的评价标准也各不相同。
4.审计方法不同
由于审计目标的相对固定,财务报表审计所运用的方法相对比较固化。而效益审计项目的目标是多样化的,审计对象范围也十分广泛,审计项目中为实现审计目标所采用的方法也是无法固定的,几乎所有的社会科学研究方法,在效益审计中都有可能用到。
(三)开展效益审计的意义
1.开展效益审计是建立高效廉洁政府的需要
高效廉洁的政府,是现代化民主社会的基本特征。在以市场经济为中心的今天,在政府各部门以经济工作为中心的情况下,如果能对工作中的经济性、效率性和效果性进行经常性审计监督,那么,官僚主义和腐败现象就会少一些,经济决策就会更准确,国家的经济损失就会更少,社会效益也会大大提高。目前在公共资金的使用上存在着不重视经济效益,不算经济账,甚至严重浪费的现象,有限的资金没有得到合理有效的使用,使政府的效能下降,并为某些腐败分子提供了方便。尽快开展效益审计,有利于监督政府工作的效益,有利于建立清正廉洁的政府。
2.开展效益审计是有效利用有限资源的需要
随着国家在社会经济生活中的作用日益显著,公共支出占国民生产总值的比重不断上升,中央政府和地方政府所承担的经济责任的范围已大大扩展。国家公共开支的成倍增长和公营企业规模的不断扩大,特别是我国众多人口增长,经济资源越来越不能满足社会的需要,政府的生长基础和社会的发展机会愈来愈受限制。虽然目前我国的经济增长速度依然令世界刮目相看,我们也拥有得天独厚的自然资源和人力资源,但是如若按照可持续发展战略的要求,在这种高经济增长的背后,是否隐藏着对宝贵自然资源和人力资源的某种挥霍?对政府受托责任的考评应该定位在投资效益上。投资不仅包括经济资源,也包括人力资源、自然资源等;效益不仅包括经济效益,还包括环境的保护、社会的安定、民心的凝聚力等。
3.开展效益审计是维护人民群众利益的根本需要
现代社会是民主化的社会,是人民当家作主的时代。政府受人民之托、用人民的钱,理所当然的为人民办事。在民主社会,政府负有以最经济、最有效的办法使用管理各项资源,并使各项资源的使用最大限度地达到预期目的。因此,尽快开展效益审计,是维护民主与法制建设、建立现代化强国所必备的一个有力措施。
二、政府效益审计的技术方法
审计技术方法是为实现审计目标服务的,由于政府效益审计目标多样化、审计对象范围广泛,因此审计项目中为实现审计目标所采用的技术方法也是无法固定的,几乎所有的社会科学研究方法,在效益审计中都有可能用到。
(一)审查和评价经济性的技术方法
经济性是指投入的节约,即是否经济节约地获取和投入资源,资源包括人、财、物和信息等。审计人员在审查评价经济性时要关注资源获取和投入的时间、种类、数量、质量、成本和相关的决策、管理等方面。
1.投入合理性的评价
合理的投入要有助于产出,有利于产出结果。在投入合理性评价时,审计人员应重点关注被审计单位项目的设立和批准是否符合一定的立项和审批程序,是否严格按照规定的程序和制度办事,防止不合理的投入。
2.投入充分性的评价
充分的投入是项目及时和高质量完成的保证,包括及时投入和足额投入两个方面。在投入充分性评价时,审计人员应重点关注是否存在由于资金不充足、不到位而导致项目不能按时开工、工期拖长、逾期未建成、占压资金、资产闲置等各种损失浪费的现象发生;是否存在由于投入的不充分而变更设计、降低质量、以次充好,造成严重的质量问题等。
3.投入时机恰当性的评价
准确地把握投入的时机是决定投入成功与否的关键因素之一。在投入时机恰当性评价时,审计人员应重点关注被审计单位在投入前是否进行过广泛而深入的调查和研究,投入时机的选择是否恰当。
4.投入管理和控制的评价
规范化、科学化的投入管理和控制有利于提高资金的使用效益。在投入管理和控制评价时,审计人员应重点关注,在项目管理方面,被审计单位是否建立健全有效的组织管理和内部控制制度,如基建项目中的招标投标制度、项目法人责任制度、工程监理制度、合同管理制度等;是否对资金实行了全面管理,制定了资金管理具体办法和使用规定。
5.利用量本利关系对投入进行分析评价
量本利关系是指数量、成本和利润之间的关系。利用量本利关系对投入进行分析主要是利用盈亏平衡分析法,来分析处于盈亏平衡点的业务量水平,进而对项目的投入进行评价。盈亏平衡点是指不盈利也不亏损时的业务量水平,即收入等于成本时的业务量水平。
(二)审查和评价效率性的技术方法
效率性是指投入与产出的关系。一般用投入与产出的比例关系来反映投入资源的利用效率。高效率使用资源的特征是:一定产出条件下的投入最小化;一定投入条件下的产出最大化;更多的产出消耗更少的投入。审查评价效率性时可使用的技术方法主要有成本收益法、成本效果法、价值工程分析法。
1.成本收益法
成本收益法在分析计算成本与收益的基础上,比较成本与收益之间的货币金额关系,目的是确定被审计单位或项目的收益是否超过成本。成本收益是评价资金使用效益的主要方法,适用于成本和收益均能以货币金额准确计量或估计的情况。
评价效益性一般使用收益与成本的比值(收益/成本)。如果比值大于1,说明收益超过成本,比值越大收益越大;如果比值等于1,说明收益与成本相等;如果比值小于1,说明收益低于成本,比值越小资金的使用效率越低。
2.成本效果法
成本效果法分析成本和效果之间的关系,以每单位效果所消耗的成本来评价项目效益,寻找既定目标的最经济成本,或既定成本的最好效果。与成本收益分析不同的是,成本效果分析的成果用实物数量表示而非货币金额,适用于成果不能用货币计量的情况。
用成本效果分析法评价效率性时,一般有四种方式:一是直接将成本效果比值与标准相对比;二是当成本相同或较固定时,可以只比较效果;三是当效果相同或较固定时,可以只比较成本;四是当效果提高(降低)成本也加大(减少)时,可以比较每单位增加(减少)的效果所引起成本变化,即使用额外成本与额外效果的比值。
3.价值工程分析法
价值工程分析法是用成果的功能与成本的比值来衡量所得到的价值(价值=功能/成本),目标是用最低的成本来实现或获取它所具备的必要功能。与成本效果分析不同的是,价值工程分析以功能分析为核心,目的是在满足各种不同的功能需求的前提下,使资源得到充分合理的利用,达到成本最低价值最大。价值工程分析法适用于产出成果不能以货币金额和实物数量来计量,而可以按其实现的功能来分析的情况。
应用价值工程分析法时要从以下五个方面进行分析:一是是否存在既提高功能,又降低成本的途径;二是当功能相同或固定时,可以评价成本降低的可能性;三是当成本相同或固定时,评价功能提高的可能性;四是当成本与功能均提高时,评价功能的增加是否超过成本的变化;五是当成本与功能均降低时,评价成本的减少是否超过功能的变化。
(三)审查和评价效果性的技术方法
效果性是指产出是否达到预期目标,即产出的结果和影响达到或实现预期目标的程度。审查评价效果性时可使用的技术方法主要有目标评价法、目标成果法、标杆法、评分法。
1.目标评价法
在审查和评价效果性时,由于要将产出与预期的目标相对比,所以采用目标评价法时,审计人员应重点关注被审计单位或项目的目标是否科学、合理、可计量且符合实际情况。如果缺乏明确的目标或目标不具体,会导致许多损失浪费和效益低下的情况发生。
2.目标成果法
目标成果法是根据实际产出成果评价被审计单位或项目的目标是否实现。该方法将产出成果与事先确定的目标联系起来,确定目标的实现程度,找出成果与目标的差距或成果的偏离程度,查找工作过程中的缺点、失误和问题,分析其原因,挖掘提高效益的潜力。
3.标杆法
标杆法是将被审计单位的产品、服务和管理等方面与同类事项中一直领先或做得最好的其他同类单位或部门相对照并借鉴其实践经验。标杆法的核心是确定最佳实践标准。
标杆法适用于存在先进的类似单位或部门能够作为基准,对这样的单位或部门事先进行过详细周密的考察,并且能够确定需要对照或借鉴事项的情况。
4.评分法
