實施財務(wù)報告內(nèi)部控制審計的基本思路

　　安然事件之后，美國薩班斯法案規(guī)定公眾公司必須以書面形式對外披露首席執(zhí)行官、首席財務(wù)官或類似職務(wù)人員對有關(guān)內(nèi)部控制的評價報告，該份報告還必須經(jīng)過負責公司定期財務(wù)報表審計的注冊會計師的審計，出具內(nèi)部控制審計報告。2008年5月，我國財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會出臺了《企業(yè)內(nèi)部控制基本規(guī)范》，規(guī)定了“執(zhí)行本規(guī)范的上市公司，應(yīng)當對本公司內(nèi)部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所對內(nèi)部控制的有效性進行審計。”

    開展財務(wù)報告內(nèi)部控制審計已經(jīng)成為注冊會計師審計的重要業(yè)務(wù)內(nèi)容，然而《企業(yè)內(nèi)部控制基本規(guī)范》配套文件遲遲未正式發(fā)布，其中就包括《企業(yè)內(nèi)部控制鑒證指引》，造成內(nèi)控審計有點無所適從，審計質(zhì)量得不到保證?！镀髽I(yè)內(nèi)部控制鑒證指引》（征求意見稿）基本借鑒了美國公眾公司會計監(jiān)督委員會（PCAOB）2007年7月發(fā)布的《與財務(wù)報表審計相結(jié)合的財務(wù)報告內(nèi)部控制審計》（AS5），筆者結(jié)合征求意見稿與AS 5，嘗試對我國注冊會計師實施財務(wù)報告內(nèi)部控制審計的基本思路作出初步探索，希望能起到拋磚引玉的作用。

    一、財務(wù)報告內(nèi)部控制的界定

    《企業(yè)內(nèi)部控制鑒證指引》（征求意見稿）中指出，“本指引所稱企業(yè)內(nèi)部控制鑒證，是指會計師事務(wù)所接受委托，對企業(yè)與財務(wù)報告相關(guān)的內(nèi)部控制的有效性進行鑒證，并發(fā)表鑒證意見。”對企業(yè)與財務(wù)報告相關(guān)的內(nèi)部控制并沒有很明確的定義與界定。

    此處，不妨可以借鑒美國證券交易委員會（SEC）的定義，財務(wù)報告內(nèi)部控制是指由公司的首席執(zhí)行官、首席財務(wù)官或者公司行使類似職權(quán)的人員設(shè)計或監(jiān)管的，受到公司的董事會、管理層和其他人員影響的，為財務(wù)報告的可靠性和滿足外部使用的財務(wù)報表編制符合公認會計原則提供合理保證的控制程序，具體包括以下控制政策和程序：

　　1.保持詳細程度合理的會計記錄，準確公允地反映資產(chǎn)的交易和處置情況；

　　2.為下列事項提供合理的保證：公司對發(fā)生的交易進行必要的紀錄，從而使財務(wù)報表的編制滿足公認會計原則的要求，公司所有的收支活動經(jīng)過公司管理層和董事的合理授權(quán)；

　　3.為防止或及時發(fā)現(xiàn)公司資產(chǎn)未經(jīng)授權(quán)的取得、使用和處置提供合理保證，這種未經(jīng)授權(quán)的取得、使用和處置資產(chǎn)的行為可能對財務(wù)報表產(chǎn)生重要影響。

    二、財務(wù)報告內(nèi)部控制審計與財務(wù)報告審計風險評估程序的聯(lián)系與區(qū)別

    當前，財務(wù)報告審計方法是風險導向?qū)徲?，要求注冊會計師在實施進一步審計程序之前，實施風險評估程序，其中包括了解被審計單位的內(nèi)部控制與實施控制測試。財務(wù)報告內(nèi)部控制審計的基本范圍、審計方法大體一致，但是由于相關(guān)法規(guī)還要求注冊會計師對管理層就公司財務(wù)報告內(nèi)部控制有效性的評價單獨發(fā)表意見，因此在審計程序上應(yīng)比控制測試力度有所強化。一般來說，上市公司都是聘請同一家會計師事務(wù)所進行內(nèi)控審計與財務(wù)報告審計，所以注冊會計師應(yīng)充分利用職業(yè)判斷，可以考慮將內(nèi)控審計與財務(wù)報告審計加以整合，以達到節(jié)約審計資源、降低審計成本、提高審計效率和質(zhì)量的目的。

    三、實施財務(wù)報告內(nèi)部控制審計的基本思路

    （一）了解被審計單位的控制環(huán)境注冊會計師應(yīng)關(guān)注：

　　1.影響企業(yè)所在行業(yè)的事項，包括財務(wù)報告實務(wù)、經(jīng)濟狀況、法律法規(guī)和技術(shù)革新；

　　2.企業(yè)組織結(jié)構(gòu)、經(jīng)營特征和資本結(jié)構(gòu)；

　　3.企業(yè)的規(guī)模和業(yè)務(wù)復雜程度；

　　4.企業(yè)經(jīng)營活動或內(nèi)部控制最近發(fā)生變化的程度。

    注冊會計師的著眼點應(yīng)重視被審計單位管理高層對內(nèi)部控制的態(tài)度，比如公司的道德規(guī)范、管理層的經(jīng)營風格、角色和職責劃分的清晰程度，以及是否擁有一個強有力的審計委員會等。

    （二）制定審計計劃

　　根據(jù)所掌握的控制環(huán)境及其對行為和財務(wù)報告完整性的影響，制定審計計劃，確定項目負責人和項目團隊成員，界定角色、責任和資源；制定項目計劃、方法和報告要求。對風險的考慮應(yīng)貫穿整個計劃過程。

    以往控制測試往往流于形式，空有其表，其原因之一就是審計人員并不具備判斷企業(yè)內(nèi)控是否有效的能力。企業(yè)的內(nèi)控制度，往往是管理層經(jīng)過長期摸索逐步建立起來的，作為審計師，僅僅花幾天或幾周的時間，就要搞清楚企業(yè)內(nèi)控在設(shè)計和運轉(zhuǎn)上可能的漏洞，談何容易，沒有足夠的經(jīng)驗以及對企業(yè)管理的理解，是無法形成正確的對內(nèi)控的理解的。因此，在制定審計計劃，必須分配好合適的項目人員，對項目助理人員做好具有針對性的審前培訓與督導，并且根據(jù)需要，制定利用專家的計劃。

    （三）識別公司層面的內(nèi)部控制。并完成公司層面的評估公司層面的內(nèi)部控制，主要是指公司治理層面的內(nèi)部控制，屬于控制環(huán)境。AS 5允許減少業(yè)務(wù)流程層次的測試，尤其是在公司整體層面的控制較強，并且和業(yè)務(wù)流程層次的控制緊密相連時；或者公司整體層面的控制足以防止或發(fā)現(xiàn)相關(guān)認定的重大錯報。這就需要注冊會計師識別公司層面的重大風險并作出恰當?shù)脑u估。

    公司層面的內(nèi)部控制，包括對公司部門、人員的權(quán)責利劃分、重大政策決策流程與重大風險管理政策、管理層的風險測評流程、反舞弊控制、公司內(nèi)控自我評測流程等，注冊會計師應(yīng)評估公司層面控制對流程層面的控制評估有何影響。

    注冊會計師還應(yīng)識別各流程的責任人，并與其溝通，掌握其是否明確責任。其中，需重點對審計委員會的人員構(gòu)成、工作方式、在公司監(jiān)管中的實際地位、行使職能是否受到制約等進行全面的評估。

    評估的焦點應(yīng)放在風險上，如果某一事項從財務(wù)報告內(nèi)部控制風險的角度來看是重要的，就必須重點關(guān)注。風險評估理念應(yīng)貫穿審計的全過程。

    （四）測試各相關(guān)財務(wù)報告目標的關(guān)鍵控制

　　選擇那些針對最關(guān)鍵財務(wù)報告目標的流程控制，并對這些控制的設(shè)計有效性進行評估。應(yīng)重點識別那些用來管理會對財務(wù)報告產(chǎn)生影響的重要流程的流程層面監(jiān)督性控制，實務(wù)中的審計辦法是從公司的財務(wù)報表著手，識別對財務(wù)報表有重大影響的相關(guān)業(yè)務(wù)活動和流程目標，選擇關(guān)鍵會計科目和會計報表事項。

    在對公司層面評估的基礎(chǔ)上，應(yīng)考慮重要性水平，以及財務(wù)報表和其他支持性會計科目余額、交易或其他支持性信息出現(xiàn)重大錯報的可能性，分析財務(wù)報告中的關(guān)鍵風險防范事項，并從數(shù)量和性質(zhì)兩方面考慮會計科目和披露事項的重要性。

    與重大錯報風險相關(guān)的風險因素包括但不限于：相關(guān)會計科目余額或交易的大小和種類；因錯誤或舞弊而產(chǎn)生錯報的可能性t該會計科目反映的交易的數(shù)量、會計科目的復雜程度；披露事項或相關(guān)會計科目的性質(zhì)；會計科目反映的交易類型導致公司承擔或有負債的風險；是否包含關(guān)聯(lián)交易等。

    注冊會計師應(yīng)確定重要交易事項和業(yè)務(wù)流程的關(guān)鍵控制點，明確識別每一重要會計科目或披露事項是否都有管理層簽字、聲明等法律手續(xù)方面的認定。

    測試方法可采取穿行測試，通常綜合運用詢問、觀察、檢查相關(guān)憑證以及重新執(zhí)行控制等程序。在針對重要處理程序執(zhí)行穿行測試時，注冊會計師可以詢問企業(yè)員工對企業(yè)規(guī)定程序及控制所要求內(nèi)容的了解程威對于特定的相關(guān)認定，可能有多項控制應(yīng)對評估的錯報風險注冊會計師沒有必要測試與某個相關(guān)認定有關(guān)的所有控制。

    （五）評價內(nèi)部控制設(shè)計的有效性和內(nèi)部控制執(zhí)行的有效性

　　在作出評價之前，應(yīng)首先對財務(wù)報告內(nèi)部控制風險作出評估。財務(wù)報告內(nèi)部控制風險包括兩個要素：錯報風險與控制失效風險。影響某項控制相關(guān)風險的因素包括：1.該項控制擬防止或發(fā)現(xiàn)的錯報的性質(zhì)和重要性；2.相關(guān)賬戶和認定的固有風險；3.交易的數(shù)量和性質(zhì)是否發(fā)生變動，進而可能對該項控制設(shè)計或運行的有效性產(chǎn)生不利影響；4.賬戶是否曾經(jīng)出現(xiàn)錯報；5.企業(yè)層面的控制對其他控制的監(jiān)督的有效性；6.該項控制的性質(zhì)及其運行頻率；7.該項控制對其他控制有效性的依賴程度；8.執(zhí)行或監(jiān)督該項控制的人員的專業(yè)勝任能力，以及是否發(fā)生變動；9.該項控制是人工操作還是自動完成；10.該項控制的復雜性，以及運行過程中需作出的判斷的重要性。

    內(nèi)部控制設(shè)計是否有效的判斷標準，是內(nèi)部控制能否防止和發(fā)現(xiàn)導致財務(wù)報告不當披露的重要事項。評價內(nèi)部控制設(shè)計的有效性的依據(jù)：被審計單位是否針對每一個控制目標都制定了適當?shù)目刂拼胧?；是否能夠防止或檢查出可能造成財務(wù)報告重大錯漏的錯誤或舞弊。

    評價內(nèi)部控制執(zhí)行有效性，指設(shè)計有效的控制措施是否得到了正確執(zhí)行?？刂莆窗凑赵O(shè)計運行、執(zhí)行人員未擁有執(zhí)行控制所需的授權(quán)和不具備必要的專業(yè)勝任能力，發(fā)生上述情況之一，即說明內(nèi)部控制存在執(zhí)行上的缺陷。

    （六）評價控制缺陷

　　對發(fā)現(xiàn)的內(nèi)部控制存在的不足，注冊會計師應(yīng)按其嚴重程度，評價其是否屬于缺陷、應(yīng)關(guān)注缺陷還是重大缺陷。如果控制的設(shè)計或運行不能及時防止或發(fā)現(xiàn)錯報，表明內(nèi)部控制存在缺陷。應(yīng)關(guān)注缺陷是指內(nèi)部控制存在的、其嚴重性不如重大缺陷但卻足以值得負責監(jiān)督企業(yè)財務(wù)報告的人員關(guān)注的某項缺陷或幾項缺陷的組合。重大缺陷是內(nèi)部控制中存在的、具有合理可能性導致企業(yè)年度或中期財務(wù)報表出現(xiàn)重大錯報不能被及時防止或發(fā)現(xiàn)的某項缺陷或幾項缺陷的組合。

    控制缺陷的嚴重性取決于：1.企業(yè)控制是否存在無法防止或發(fā)現(xiàn)賬戶余額或列報錯報的合理可能性，2.因一項或多項缺陷導致的潛在錯報的重要程度。在評價一項或多項控制缺陷可能導致的錯報的重要程度時，注冊會計師應(yīng)當考慮受控制缺陷影響的財務(wù)報表金額或交易總額，以及受本期已發(fā)生或預計未來期間可能發(fā)生的控制缺陷影響的賬戶余額或某類交易所涉及的活動數(shù)量。

    審計過程中，發(fā)現(xiàn)以下跡象，就應(yīng)判斷被審計單位內(nèi)部控制存在重大缺陷：1.發(fā)現(xiàn)高級管理人員舞弊；2.重述財務(wù)報表，以反映重大錯報的更正情況；3.注冊會計師識別出當期財務(wù)報表存在重大錯報，而該錯報不可能由企業(yè)內(nèi)部控制發(fā)現(xiàn)；4.審計委員會對企業(yè)財務(wù)報告和內(nèi)部控制的監(jiān)督無效。

    （七）形成審計報告

　　注冊會計師應(yīng)當評價根據(jù)鑒證證據(jù)得出的結(jié)論，以作為對內(nèi)部控制形成鑒證意見的基礎(chǔ)。如果被審計單位內(nèi)部控制存在應(yīng)關(guān)注缺陷與重大缺陷，審計師就需要對被審計單位的財務(wù)報告內(nèi)部控制發(fā)表保留意見或者反對意見。