時間:2023-06-15 17:26:49
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇財務報表審計的核心,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
(一)理論研究綜述 美國公眾公司會計監督委員會在AS2中提出公眾公司審計人員在執行財務報表審計時應進行財務報告內部 審計,首次提出了整合審計的概念、審計標準,為內部控制審計與財務報表審計的整合奠定了基礎。Michael S. Gold Stein(2004)在研究美國財務報告內部控制審計與財務報表審計整合框架之后提出了審計師實施審計時的基本步驟和關鍵業務操作。Colleen Layther(2009)認為美國公眾公司會計監督委員會的整合審計是關于財務報表與財務報告內部控制審計予以合并的準則,其要求上市公司會計監管委員會審查審計人員的公正性受到公眾的歡迎,并對目前審計準則要求審計人員發表兩種審計意見提出質疑。
我國學者對于內部控制審計和財務報表審計的研究也取得了一系列成果。程思敏(2008)在研究美國財務報告內部控制審計準則之后,概括了美國公眾公司會計監督委員會在AS2中提出的綜合審計模式,該模式將財務報表審計、財務報告內部控制審計作為兩個相互聯系、相互支撐的審計體系,通過獨立、并行的審計過程來實現兩種審計目標,審計人員可以借助財務報表審計來發現公司內部控制存在的問題,也可以通過財務報告內部控制審計來幫助審計人員制定審計計劃和實施審計程序。陳漢文(2010)認為AS2所提出的綜合審計的關注點是財務報告內部控制審計以及它與財務報表審計的整合問題,兩者密切聯系同時又各有重點,一個針對財務報告內部控制,另一個針對公司提供的財務報表,審計人員在財務報告內部審計過程中要評價管理層有關內部控制有效性評估過程、對內部控制設計與實施的有效性進行評價并得出內部控制是否有效的審計意見。裘宗舜、周潔 (2011)在對比財務報告內部控制審計與財務報表審計之后得出結論,財務報告內部控制審計與財務報表審計的不同在于審計內容與范圍、審計評價的準確程度、職業判斷能力要求等,但兩者的目標一致、程序關聯、方法類似且相互支持。謝曉燕、張心靈(2012)在比較分析財務報告內部控制審計與財務報表審計基礎上指出內部控制審計與財務報表審計在審計目標、審計程序、審計方法、審計證據等方面存在著密切聯系,正確、合理的利用兩者之間的關聯性,推行內部控制審計與財務報表審計的整合,有利于節約審計資源和成本,提升審計效率和審計質量,提出我國內部控制審計準則應制定審計業務評價標準,以及配套的審計業務指引和業務指南,促進內部控制審計和財務報表審計的整合。張龍平、陳作習(2012)對我國推行內部控制審計的必要性、可行性進行了分析,認為內部控制審計與財務報表審計的整合有利于提升我國審計工作效率、發揮審計協同效益,進而提升我國審計水平和財務信息質量。
(二)內部控制審計與財務報表審計的關系 財務報表是企業與外部溝通的語言,是對企業財務狀況、經營成果、現金流量狀況的會計形式的表述。財務報表審計則是受投資人委托,由第三方實行的旨在評價財務報表相關表述真實性、可靠性的業務活動。財務報告內部控制審計是為了保證內部控制體系發揮應有的作用而進行的一種外部評價機制和程序。內部控制審計與財務報表審計的關系表現為:如果審計人員對企業內部控制報告發表無保留意見表明企業財務報表存在重大錯報的可能性就會降低;如果審計人員對企業內部控制報告發表非無保留意見時,企業財務報表存在錯報的可能性就增加。如果審計人員對企業財務報表出具無保留審計意見,企業財務報告內部控制存在兩種可能,一是企業內部控制設計良好并運行有效,在防止和糾正財務報表重大錯報方面發揮了積極作用。二是內部控制存在漏洞但審計人員在財務報表審計過程中及時發現問題并予以糾正,此時,審計人員對企業內部控制將會出具非無保留意見。但如果審計人員對企業財務報表出具非無保留意見,那么企業內部控制報告肯定存在重大缺陷,內部控制審計報告必然是非無保留意見的。
二、內部控制審計與財務報表審計整合策略
(一)整合審計的必要性 內部控制審計與財務報表審計同屬于基于責任方認定的合理保證鑒證業務,這種業務性質上的同質性使得兩者具備融合的基礎。財務報表審計是注冊會計師按照審計準則的規定,通過特定的審計程序和方式對公司財務報表提供信息的公允性、合法性發表審計意見,以提升公司財務報表的可靠性。財務報表審計時需要公司管理層對財務報表反映的交易事項、會計處理、賬戶余額等事項進行認定,注冊會計師審計的本質是對管理層的認定、聲明進行審計,因此是基于公司管理層的責任方認定業務。注冊會計師完成審計過程發表審計無保留意見并不能完成排除公司存在重大錯報的可能,因此,是一種高于管理層認定而無法絕對保證財務報表信息可靠性的合理保證鑒證業務。內部控制審計是注冊會計師接受企業或者第三方委托對企業內部控制設計的合理性以及內部控制運行的有效性進行鑒證并發表審計意見的業務活動。管理層應對企業內部控制體系的完整性、可靠性作出說明,并對內部控制有效性進行認定,注冊會計師對企業管理層有關內部控制的聲明、認定進行審計并發表審計意見。
內部控制審計與財務報表審計之間的密切聯系使得內部控制審計與財務報表審計相互支持,財務報表審計結果能夠幫助審計人員確定內部控制可能存在漏洞的環節,而內部控制審計的結果可以幫助審計人員優化審計計劃和審計程序。整合審計可以有效的降低會計師事務所的業務量,減少運行成本,提高審計效率并減低審計風險。同時,在審計過程中收集的證據和實施的測試對于兩種審計活動都有效,因此,是一種經濟可行、兼顧審計單位、被審計單位共同利益的制度安排,在美國、日本等國家的運用也證明了該模式的合理性。
(二)整合審計的可行性 內部控制審計與財務報表審計之間的密切聯系使得兩者存在很多可以相互利用的地方,在一些關鍵業務點上具有整合的可行性,具體表現在:
(1)審計目標的一致性。內部控制審計與財務報表審計的目標都是為利益相關者提供有關企業財務信息可靠性的合理保證,將兩種審計目標結合在一起只需要通過單一的協調流程就能實現,即讓同一會計師事務所基于風險導向審計思路對公司進行財務報表審計和內部控制審計,實現兩種審計目標,即獲取充分、適當的證據對企業內部控制有效性發表審計意見,對企業財務報表可靠性發表審計意見。財務報告內部控制審計與財務報表審計的三方關系人具有一致性,責任方是被審計單位的管理層、使用者為企業利益相關者,審計過程由注冊會計師完成。
(2)審計業務內容的相關性。內部控制審計與財務報表審計存在著業務內容上的重合,審計人員在審計審計程序時需要對企業的內部控制體系進行有效性測試,并以此作為依據之一來確定審計重點,制定合適的審計程序。同時,如果審計人員在財務報表審計中發現重點錯報,表明財務報告內部控制肯定存在重大缺陷,已經對財務報告內部控制發表無保留意見的應重新進行審計。
(3)審計業務主體的一致性。 AS2以及AS5都要求財務報表審計與財務報告內部控制審計由同一家會計師事務所完成,這是因為財務報表審計和財務報告內部控制審計的審計報告需要同時,如果將兩項審計工作交由不同事務所完成,在審計時間、審計成本、審計協調方面都不合理。由同一事務所負責兩項審計有利于節省審計成本和降低審計風險,而且,世界各國的審計實務表明,由不同事務所分別承辦兩項審計業務不利于審計目標的實現,由同一家事務所同時進行內部控制審計和財務報表審計為整合審計提供了基礎。
(三)整合審計的實施關鍵 《企業內部控制審計指引(2010)》規定財務報表審計和內部控制審計可以由不同的會計師事務所完成,也可以由同一家會計事務所完成。但由于內部控制審計與財務報表審計之間的關聯性(如圖1),無論是企業還是會計師事務所都將二者合并在一起進行,而且,《企業內部控制審計指引(2010)》顯然也注意到這一點,從計劃審計工作到完成審計工作的各個業務環節都偏重于整合審計。
財務報表審計基本上與現代審計同步,在審計理論、程序、方法等方面都已經成熟,而且不斷的發展和完善。內部控制審計則是在薩班斯法案頒布之后開始發展起來,雖然美國公眾公司會計監督委員先后AS2和AS5進行了規范,但在實際審計活動中還存在很多不足,內部控制審計與財務報表審計之間的共同點形成了兩者整合的關鍵點,如圖2所示,審計證據以及其他重要信息構成了兩者之間進行整合的基礎,整合審計就是通過通過計劃和實施審計程序獲得充分、適當的審計證據以支持有關財務報告內部控制是否有效以及在對財務報表進行風險評估的基礎上發表審計意見。財務報告內部控制審計幫助財務報表審計修改實質性程序的性質、時間和范圍以支持分析程序中使用信息的完整性和準確性;財務報表審計通過實質性測試程序中發現的問題對內部控制有效性評價提供參考。
(1)審計目標的整合。財務報表審計是由注冊會計師實施的旨在保證公司財務報表按照會計準則的要求公允反映企業財務狀況、經營成果和現金流量,是以公允性作為審計目標的,是將財務報告及相關信息的內部控制有效性納入審計范圍,對財務報表審計則對財務報表的合法性和公允性發表審計意見。我國《企業內部控制基本規范》在借鑒國際慣例的基礎上將我國內部控制目標定位為:保證企業經營管理的合法合規、保證企業資產安全、提高財務報告及相關信息的真實完整、提高企業經營效率。企業應以內部控制五大目標為指引,建立和規范企業內部控制體系,對內部控制有效性進行自我評價并形成評價報告。內部控制審計則是注冊會計師接受第三方委托對公司內部控制審計與運行的有效性進行合理保證鑒證,是以有效性為審計目標的。財務報表的公允性是內部控制有效性的體現,內部控制的有效性則是財務報表公允性的保證,兩者都服務于為企業利益相關者提供高質量的財務信息,因此,兩者在這一點上是一致的,目標的一致性使得整合審計成為可能。
(2)審計計劃的整合。內部控制審計與財務報表審計都需要制定合理的審計計劃,在審計計劃階段應做好被審計單位行業狀況、與財務報告相關的內部控制、法律環境等重大事項的了解以實現兩種審計活動的審計目標。一是確定對內部控制和財務報表同時具有重要影響的事項并分析該事項如何影響審計工作。二是內部控制審計中重點考慮的風險評估、審計工作量、舞弊風險、利用他人審計成果等因素應該在財務報表審計中充分利用,內部控制審計確定的高風險領域同樣是財務報表審計需要重點關注的領域。三是財務報表審計中的有關舞弊風險的評估結果應作為內部控制審計識別和測試企業層面控制以及選擇其他控制進行測試的重要依據。四是財務報表審計的保證程度要高于內部控制審計的保證程度,整合兩種審計要求財務報表審計與內部控制審計運用相同的重要性水平。
(3)審計業務的整合。前面的分析中提到財務報表審計與財務報告內部控制審計同屬于基于責任方的合理保證的鑒證業務,即將重大鑒證風險控制在可以接受的水平以內。從COSO五要素的“內部控制整體框架”到COSO八要素的“內部控制風險管理”,內部控制正逐步向以風險為導向進行轉變,而財務報表審計也要求以風險為導向來進行審計前的準備、制定審計工作計劃和實施審計程序,因此,致力于對被審計單位財務報告內部控制和財務報表提供合理保證鑒證服務的兩種審計活動。在審計過程中,可以將一些類似的審計程序同時進行,或合并進行,而由同一家會計師事務所同時負責兩項審計業務為兩項審計業務的整合提供了必要條件。
(4)審計程序的整合。內部控制審計要求以風險控制為導向來實施審計程序和控制測試,風險評估是內部控制審計的基礎、控制測試是內部控制審計的核心,而財務報表審計包括風險評估、內部控制測試和實質性測試三個環節,而且在風險評估階段要求注冊會計師全面了解企業內部控制,在實施實質性程序不能提供充分、適當的審計證據時就需要進行內部控制測試,因此,內部控制測試成為整合審計在實施程序方面的關鍵整合點。需要說明的是內部控制審計中的內部控制評價和財務報表審計中的內部控制評價可以同時進行,但兩者的范圍存在差異,財務報表審計對內部控制進行測試限于“所依賴”的內部控制,即當財務報表審計中的某個項目需要測試內部控制是否有效時,審計人員才對影響該項目的內部控制進行有效性測試來獲取充分的審計證據來支持財務報告的審計意見,因此,財務報表審計中的內部控制測試范圍較小,其結果未必足以證明整個內部控制體系的有效性。內部控制審計對于內部控制測試的范圍要大于財務報表審計進行的內部控制測試范圍,整合審計可以通過增加內部控制審計需要“補充”的控制測試來完成整個審計控制測試。
(5)審計方法的整合。財務報表審計采用風險導向審計,財務報告內部控制審計采用自上而下的審計方法。財務報表風險導向審計通過通過詢問、檢查文件或記錄、觀察等程序了解評估報表層和認定層存在的高風險領域,進而制定針對報表層風險的總體審計措施和針對認定層風險的審計程序,包括相應的控制測試和實質性測試。財務報告內部控制審計采用的自上而下的審計方法從了解并測試公司層內部控制開始,然后對報表重要賬戶控制有效性進行測試,再往下是業務流程和交易控制的有效性測試,從而引導審計人員發現可能導致財務報表及相關列報發生重大錯報的賬戶、交易上。因此,財務報告內部控制審計也具有風險導向的特點,通過風險評估來了解企業內部控制,選取內部控制測試范圍,財務報告內部控制審計中對內部控制的相關審計活動有助于財務報表審計的風險評估,而財務報表審計對于高風險領域的風險評估則有助于財務報告內部控制審計抓住重點做到有的放矢。
參考文獻:
內容摘要:隨著內部控制配套指引的出臺,內部控制審計越來越被關注,內部報表審計與內部控制評價、財務報表審計內部控制評審之間的關系容易被混淆,論文重點分析以上幾項之間的聯系與區別,以便深入了解內部控制審計。
中圖分類號:F270 文獻標識碼:A
內部控制在防范財務信息失真,預防重大的會計舞弊方面發揮著重要的作用。但是,任何一個好的制度都需要強有力的監督才能發揮積極有效的作用,才能對由此產生的財務信息的質量進行合理保證。所以利用注冊會計師,對企業內部控制進行外部審計,出具合理保證的審計報告,已經成為全世界的共識。隨著美國SOX法案(《薩班斯—奧克斯利法案》)的頒布,絕大部分國家都意識到了內部控制審計的重要性。我國在2008年5月由財政部、證監會、審計署、銀監會、保監會聯合《企業內部控制基本規范》,2010年4月,上述5部門又頒布了《企業內部控制審計指引》。
《企業內部控制審計指引》指出,內部控制審計是指會計師事務所接受委托,對特定基準日內部控制設計與運行的有效性進行審計。注冊會計師在執行內部控制審計工作中,應當獲取充分、適當的證據,為發表內部控制審計意見提供合理保證。對財務報告內部控制的有效性發表審計意見,并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。
內部控制審計與內部控制評價、財務報表審計中的內部控制評審等工作既有密切聯系,又有本質區別。弄清它們之間的關系,對于充分認識內部控制審計的獨特作用,切實推進內部控制審計工作的開展,具有重要意義。
內部控制審計與內部控制評價之間的關系
內部控制評價是指由企業董事會或類似權利機構對企業內部控制有效性進行評價,形成評價結論,出具評價報告的過程。董事會或類似權利機構通常指定內部審計部門為內部控制評價部門,圍繞控制環境、風險評估、控制活動、信息與溝通、內部監督等控制要素的設計與運行情況進行全面評價,并指出控制缺陷包括設計缺陷和運行缺陷,形成內部控制自我評價報告。
企業董事會對內部控制自我評價報告的真實性和合法性負責,內部控制自我評估報告的真實性,是指內部控制自我評估報告是否如實反映了企業內部控制設計和執行的有效性;內部控制自我評估報告的合法性,是指內部控制自我評估報告的編制是否符合國家有關法律、規章的要求(吳秋生,2010)。
(一)內部控制審計與內部控制評價的區別
1.范圍不同。內部控制審計以財務報告內部控制為主。內部控制審計的范圍,直接決定著審計的質量、成本和責任,決定著審計的可行性。為了遏制內部控制的各種可能的缺陷滋生,為財務報表使用者提供盡可能多的相關信息,促進被審計單位全面加強內部控制建設,內部控制審計應當以整個內部控制為審計范圍。但是,以整個內部控制作為內部控制審計的范圍,既不明確,也不好把握,容易產生審計風險,審計的可行性會有問題。所以,目前內部控制審計只能突出重點,重點解決內部控制弱化可能產生輸出虛假財務信息的問題,內部控制審計范圍應當限于與財務報告有關的內部控制(楊瑞平,2010)。
按照《企業內部控制評價指引》,內部控制評價圍繞控制環境、風險評估、控制活動、信息與溝通、內部監督等控制要素確定內部控制評價的具體內容,建立內部控制評價的核心指標體系,對內部控制設計與運行情況進行全面評價。
2.性質不同。內部控制審計是企業外部對企業的內部控制審計,是會計師事務所對企業內部控制的有效性進行的審計,是一種獨立的鑒證業務。內部控制評價是企業內部管理層對企業的內部控制評價,通常情況,授權內部審計機構對企業內部控制進行評價,是一種相對獨立的服務業務。
3.目的不同。內部控制審計目標是對被審計單位內部控制自我評估報告的真實性和合法性發表審計意見,為內部控制自評報告的真實性和合法性提供合理保證。內部控制評價是管理層通過內部控制自我評估報告對企業內部控制進行的一種自我評價,一方面,在評價的過程中可以發現企業內部控制缺陷,及時改善企業內部控制情況,進而提高企業經濟效益;另一方面,投資者、社會公眾等企業利益相關者根據內部控制評價報告可以了解企業內部控制水平,評估企業抗風險能力和持續經營能力,從而為投資決策和正確行使相關權利提供資料依據。
4.責任主體不同。《企業內部控制審計指引》規定建立健全和有效實施內部控制,評價內部控制的有效性是企業董事會的責任。按照該指引的要求,在實施審計工作的基礎上對內部控制的有效性發表審計意見,是注冊會計師的責任。企業內部控制責任是由企業承擔的,而內部控制審計責任是由注冊會計師承擔的。兩種責任的分離決定了企業和注冊會計師在分別實施內控自評和內控審計時必須按照不同的規則獨立完成,兩者之間不能夠相互替代和免除(金靈,2011)。
5.評價依據不同。內部審計評價依據《企業內部控制評價指引》進行評價,而內部控制審計依據《企業內部控制審計指引》進行審計。
(二)內部控制審計與內部控制評價的聯系
1.評價對象相同。內部控制評價與內部控制審計都是對企業內部控制的有效性進行評價,只不過兩者對于內部控制的范圍各自有所側重。這兩種評價必然存在內在的關聯性,所以往往也依賴同樣的證據,遵循類似的測試方法并使用同一基準日。
2.內部控制評價滋生了內部控制審計工作。對于執行內部控制基本規范的上市公司或其他中小企業,按照《內部控制基本規范》及配套指引的要求,企業內部控制必須委托會計師事務所開展內部控制審計,內部控制評價報告與內部控制審計報告同時對外披露或報送。由此,內部控制自我評價報告催生了內部控制審計的產生。
3.內控審計的實施過程中可以適當利用企業內控自評工作。內部控制審計執行審計工作時,注冊會計師應當對企業內部控制自我評價工作進行評估,判斷是否利用企業內部控制評價相關的工作以及可利用的程度,相應減少可能本應由注冊會計師執行的工作。
綜上所述,內部控制審計和內部控制評價既有本質的區別又有相應的聯系。需要強調的是,注冊會計師雖然可以利用企業內部控制評價所形成的結論,但需對其本身發表的審計意見獨立承擔責任,該責任不因企業內部控制評價人員和其他相關人員的工作而減輕(王曉麗,2011)。
內部控制審計與財務報表審計中的內部控制評審之間的關系
財務報表審計中的內部控制評審,是指為編制審計計劃能夠準確確定審計重點和抽樣規模提供可靠依據,進而進一步確定實施實質性程序的范圍、性質,注冊會計師在進行財務報表審計時應當首先了解審計單位內部控制,且出現下列兩種情況時注冊會計師應當對內部控制實施控制測試:
在評估認定層次重大錯報風險時,預期控制的運行是有效的;僅實施實質性程序不足以提供認定層次充分、適當的審計證據。
(一)內部控制審計與財務報表審計中的內部控制評審的區別
1.直接目的不同。內部控制審計是出于管理方面的需求,從公司層面對企業整個內部控制系統尤其是財務報告內部控制進行全面的評價,以促進企業經營管理措施的實施及目標的實現,表現形式為對被審計單位內部控制自我評估報告的真實性和合法性發表審計意見。而財務報表審計中的內部控制評審是為了滿足審計方面的需要,評價那些可能對財務報表可靠性有重要影響的內部控制,判斷其可依賴程度,從而合理確定審計程序,保證審計質量,提高審計效率。
2.性質不同。內部控制審計是一項獨立的鑒證業務。而財務報表審計中的內部控制評審是財務報表審計工作中的一部分,一個重要的環節,而非單獨的一項業務。
(二)內部控制審計與財務報表審計中的內部控制評審的聯系
1.審計對象相同。內部控制審計與財務報表審計中的內部控制評審都要對與財務報告相關的內部控制進行審查,審查財務報告相關的內部控制設計的合理性,執行的有效性。
2.審計方法相似。針對相同的審計對象,內部控制審計與財務報表審計中的內部控制評審在審計方法上相似,都需要運用檢查書面文件和記錄、詢問有關人員、穿行測試等方法。
正因為兩者的相似點,現階段內部控制審計與財務報表審計就內部控制的有效性的評價可以開展整合審計,即由同一會計師事務所的不同項目組執行同一委托單位的內部控制審計和財務報表審計,整合有利于注冊會計師之間的溝通,方便協調各自的工作進度,互相借助對方的工作成果,可以大大加速審計時間,節約審計費用,降低審計成本,有利于促進內部控制審計順利開展。當然在整合審計過程中,應同時實現如下的目標:獲取充分、適當的證據,支持其在內部控制審計中對內部控制有效性發表的意見;獲取充分、適當的證據,支持其在財務報表審計中對控制風險的評估結果。
一方面,注冊會計師在進行財務報表審計中的內部控制評審時可以直接利用內部控制審計報告中對內部控制有效性的結論作為對控制風險的評估,最終確定實質性程序的性質、時間和范圍。因為在財務報告內部控制審計中,注冊會計師要對財務報告內部控制的有效性發表意見并承擔法律責任,關于內部控制審計報告的結論是較為精確和可靠的,因此在財務報表審計中可以利用財務報告的內部控制審計結果來評價控制風險。
另一方面,注冊會計師提出內部控制有效性審計結論時,應考慮財務報表審計控制測試的結果,若財務報表審計的結果表明相關認定中存在重大錯報,而內部控制不能防止或發現并糾正重大錯報,則通常表明內部控制存在重大缺陷。注冊會計師要充分利用財務報表審計中的內部控制評審結論,再進行補充和擴大內部控制測試范圍,以收集更充分的有關財務報告內部控制有效性方面的證據,最終對財務報告內部控制的有效性作出合理評價。
關鍵詞:審計報告相關準則 關鍵審計事項 持續經營
中圖分類號:F239
文獻標識碼:A
文章編號:1004-4914(2016)11-130-02
早期的審計報告,是沒有統一規范的,其內容和格式由審計師自定。為了提高審計報告的規范性和可比性,20世紀40年代,準則對其內容和格式做出了規范。該審計報告模板以審計意見段為核心,位于審計報告的最后,其他內容如管理層責任段、注冊會計師責任段均為格式化內容。標準審計報告基本就是格式化的報告,報告使用人只瀏覽意見段即可。雖然該模式重點突出、簡單明了,但是信息量太少,而財務信息使用者希望從中了解更多的信息,為了滿足財務信息使用者的要求,國際審計報告相關準則進行了修訂。
一、國際審計報告相關準則的修訂背景
國際審計與鑒證準則理事會(IAASB)的調查結果表明很多財務信息使用者認為他們做出決策所需要的信息與它們能從審計報告和其他公開渠道獲取的信息存在很大的差距。隨著企業經營的復雜化,財務報表編制過程中融入了的大量的職業判斷和估計,財務信息使用者很難從現有的審計報告模式中知悉審計師是如何應對這一復雜的形勢的,是否在具有高風險的領域分配了更多的審計資源。
為了滿足財務信息使用者的要求,IAASB于2015年1月15日了新制定(修訂)的相關審計準則文本,包括修訂《ISA-700對財務報表形成審計意見和出具審計報告》、制定《ISA-701關鍵審計事項》、修訂《ISA570―持續經營》、修訂《國際審計準則第720號―審計師與其他信息相關的責任》等,適用于會計期間截至2016年12月15日及之后的財務報表審計。改革內容包括但不限于以下幾點:要求在審計報告中增加關鍵審計事項;持續經營能力存在重大不確定性時,要求在審計報告中單設段落單獨反映;要求在審計報告中增加“其他信息”段,單獨反映注冊會計師對年報中包含的“其他信息”的責任。
本次準則修訂的目的在于,增強審計師執行國際審計準則的行為一致性,促使審計師更加關注審計過程及財務報表披露,提升審計服務質量。IAASB主席Arnold Schilder指出,財務報表披露對財務報表使用者做出恰當決策非常重要,因此審計師應當更加關注財務報表披露中信息的質量,這是符合公眾利益的。IAASB認為,國際審計報告相關準則的變化可以適用于各種規模的審計業務,以及任何司法管轄區和行業,并將提高審計質量。
二、我國修訂審計報告相關準則
根據國際審計報告準則的變化,按照審計準則國際趨同的要求,2016年1月7日,中國注冊會計師協會了“會協〔2016〕1號”文件――《關于印發等7項審計準則征求意見稿的通知》。?文件附件列示了此次修訂涉及的7項審計準則,分別是《中國注冊會計師審計準則第1504號――在審計報告中溝通關鍵審計事項》《中國注冊會計師審計準則第1501號――對財務報表形成審計意見和出具審計報告》《中國注冊會計師審計準則第1324號――持續經營》《中國注冊會計師審計準則第1151號――與治理層的溝通》《中國注冊會計師審計準則第1503號――在審計報告中增加強調事項段和其他事項段》《中國注冊會計師審計準則第1502號――在審計報告中發表非無保留意見》及《中國注冊會計師審計準則第1521號――注冊會計師對其他信息的責任》。
本次審計報告相關準則的修訂,標志著審計報告模式迎來新的時代。本次修訂的目的在于增加審計報告信息含量、增強審計工作透明度,并強化注冊會計師在審計工作中的相關責任。
審計報告相關準則修訂的主要內容:
(一)《中國注冊會計師審計準則第1504號――在審計報告中溝通關鍵審計事項》要求在上市實體審計報告中單獨描述關鍵審計事項
溝通關鍵審計事項,能夠提高已執行審計工作的透明度,增加審計報告的溝通價值。關鍵審計事項,是指注冊會計師根據職業判斷認為對當期財務報表審計最為重要的事項。關鍵審計事項選自與治理層溝通的事項。判斷是否構成關鍵審計事項,通常要考慮以下幾個方面:
1.從“與治理層溝通的事項”中選擇關鍵審計事項。例如,注冊會計師在審計過程中的重大發現;對被審計單位會計實務重大方面的質量的看法;審計工作中遇到的重大困難等。
2.從“與治理層溝通的事項”中確定在執行審計工作過程時重點關注過的事項。在確定時,應當考慮以下方面:評估的重大錯報風險較高的領域或識別出的特別風險;與財務報表中涉及重大管理層判斷(包括被認為具有高度不確定性的會計估計)的領域相關的重大審計判斷;當期重大交易或事項對審計的影響。
3.注冊會計師在執行審計工作時重點關注過的事項中,確定哪些事項對當期財務報表審計最為重要,從而構成關鍵審計事項。值得說明的是,關鍵審計事項雖然是“最為重要的事項”,但這并不意味著只能有一項關鍵審計事項。關鍵審計事項的數量取決于被審計單位規模、復雜程度、業務和經營環境的性質,以及審計業務具體事實和情況的影響。
注冊會計師應當在審計報告中單獨列示“關鍵審計事項段”描述這些事項,除非法律法規不允許公開披露這些事項,或在極其罕見的情況下,注冊會計師合理預期在審計報告中溝通某些事項造成的負面影響將超過產生的公眾利益方面的益處,因而確定不應在審計報告中溝通該事項。
對于導致非無保留意見的事項或者導致對被審計單位持續經營能力產生重大疑慮的事項,雖然從其性質看屬于關鍵審計事項,但是不得在審計報告的關鍵審計事項部分進行描述,應當按照《中國注冊會計師審計準則第1502號――在審計報告中發表非無保留意見》《中國注冊會計師審計準則第1324號――持續經營》的規定報告這些事項。
(二)在審計報告中增加以“與持續經營相關的重大不確定性”為標題的單獨部分
《中國注冊會計師審計準則第1324號――持續經營》規定如果運用持續經營假設是適當的,但存在重大不確定性,且財務報表對重大不確定性已作出充分披露,應當發表無保留意見,同時在審計報告中增加“與持續經營相關的重大不確定性”為標題的單獨部分,以提醒報表使用人關注可能導致對持續經營能力產生重大疑慮的事項和情況及其重大不確定性,并說明該事項不影響已發表的審計意見。如果運用持續經營假設是適當的,但存在重大不確定性,且財務報表對重大不確定性未作出充分披露,注冊會計師不應以該段落替代非無保留意見,應恰當地發表保留意見或否定意見。
(三)調整審計報告要素排列
新版審計報告將審計意見段置前,突出了審計意見的核心地位,讀者可以開門見山地了解最為關鍵的信息。
注冊會計師責任段的表述更加細化,向報告使用人闡明,“合理保證”“重大錯報風險”的含義,并告知公眾注冊會計師對財務報表整體不存在由于錯誤或舞弊導致的重大錯報風險只能做出合理保證并不能100%絕對保證。闡釋了風險導向審計的核心:識別和評估由于錯誤和舞弊導致的重大錯報風險,并針對這些風險采取應對措施(設計和實施審計程序)。除此以外,還增加了注冊會計師與持續經營、治理層溝通、溝通關鍵審計事項、運用職業判斷、保持職業懷疑等相關的責任。這些改進使得報告使用人對注冊會計師的工作過程和責任有了更多的了解,有助于報告使用人更深入地理解審計意見。
(四)其他變化
在無保留意見中增加“形成審計意見的基礎”“對其他法律和監管要求的報告”。要求在審計報告的末尾列示負責審計并出具審計報告的合伙人的姓名。
三、對審計報告相關準則修訂的幾點建議
1.《中國注冊會計師審計準則第1504號――在審計報告中溝通關鍵審計事項》適用于對上市實體整套通用目的財務報表進行審計,以及注冊會計師決定在審計報告中溝通關鍵審計事項的其他情形。為了提高審計報告的統一性、可比性,建議擴展至上市實體以外的財務報表審計。
2.準則對判斷關鍵審計事項給予了具體的指引,但仍需依賴注冊會計師的職業判斷,因此不同的審計師確定的關鍵審計事項可能有所不同。首先應確保審計項目組內部對關鍵審計事項的判斷合理一致,行業監管機構應當在本準則執行過程中密切關注判斷關鍵審計事項的合理性和一致性,在實踐中總結經驗教訓,以便完善修改這些判斷指引。
3.《中國注冊會計師審計準則第1503號――在審計報告中增加強調事項段和其他事項段》力求使得注冊會計師能夠理解和把握關鍵事項段、強調事項段和其他事項段之間的關系。筆者認為,其他事項段比較好理解,該段落提及未在財務報表中列報或披露的事項,這些事項有助于財務報表使用者理解審計工作、審計報告和注冊會計師的責任。關鍵事項和強調事項有時則難以區分。實務中可能有部分強調事項也可以作為關鍵審計事項之一,那么在實務中有可能存在把強調事項列作關鍵審計事項的情況。
總之,此次審計報告相關準則的修訂,增加了審計報告的信息含量,引導注冊會計師更加關注審計過程,強化了注冊會計師的責任。同時,社會公眾也可以通過修訂后的審計報告理解注冊會計師的工作和責任,注冊會計師提供的具有個性化的審計報告或將成為選聘會計師事務所的重要參考之一。
參考文獻:
[1] 中國注冊會計師協會.《關于印發等7項審計準則征求意見稿的通知》.會協〔2016〕1號,2016年1月7日
[2] 唐建華,張革.增加報告信息含量提升報告溝通價值――國際審計報告改革評述.中國注冊會計師,2015(04)
[3] 王凱.審計報告模式將迎重大改變.中國會計報,2016.01.15
關鍵詞:網絡審計 歷史財務報表審計 信息安全管理 風險評估
一、引言
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
脅發生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出,企業在確定出風險水平后,應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化、人員素質,并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此,兩者的評估內容是存在區別的。
中國證券市場已經走過了十多年的風雨歷程。在這十多年里,證券市場取得了有目共睹的巨大成就。但與此同時,假賬和審計失敗也困擾著我國證券市場。為此,人們在完善法制、加強監管力度、健全公司治理等方面做出努力。
造成獨立審計失敗,除審計信息不對稱、對獨立審計監管力度不夠、注冊會計師職業道德有待提高之外,現行審計委托模式的弊端也不容忽視。現行審計委托模式由于管理層越位、公司治理結構缺陷和審計市場過度競爭等原因,使注冊會計師與公司管理層之間存在著利益關聯,損害了注冊會計師審計的獨立性。
注冊會計師審計起源于財產所有權和經營權的分離,在兩權分離的情況下,財產所有者為了解和考核經營者的管理責任,委托獨立的注冊會計師對經營者的經營情況進行審查,受托的注冊會計師將審查結果報告給委托人,委托人支付相應的報酬,這就是獨立審計的基本委托關系。我國現行的審計委托模式也是基于上述原理設計的,具體而言,上市公司的所有者——全體股東組成的股東大會(委托人)聘請注冊會計師對公司財務報表的合法公允性進行審計,審計的內容是反映經營者履行受托責任和公司實際財務狀況及經營成果的財務報表及相關資料,完成審計后,注冊會計師將審計報告送交委托人,并由其支付審計報酬。在這種審計委托模式中,最核心的問題是注冊會計師必須獨立于委托者和被審計者,即上市公司所有者(股東大會)和經營者(管理層)。而在實際操作中,恰恰就難以保證注冊會計師對上市公司管理層的真正獨立,造成“獨立審計不獨立”的尷尬局面。
(一)管理層越位,成為實際上的委托人。從理論上講,財務報表審計是由公司的所有者委托注冊會計師對管理層的經營情況進行審計,而在實際操作中,卻具體化為上市公司的管理層在委托、雇傭注冊會計師。盡管形式上要經過股東大會投票決定注冊會計師的聘請和報酬,但注冊會計師是由管理層事先推薦,股東們是不大可能親自去尋找注冊會計師的,這也是現代公司制度的固有限制,因而委托注冊會計師審計的決策權實際上是被公司管理層掌握著。管理層不僅決定著財務報表審計的注冊會計師聘請、審計報酬的多少及其支付,而且還決定著注冊會計師為上市公司提供的其他審計鑒證業務(如驗資、盈利預測等)。因此,注冊會計師與上市公司的管理層之間存在著實質上的利益關系,上市公司的管理層才是注冊會計師真正的“衣食父母”,二者之間并不獨立。
(二)公司治理結構不完善,注冊會計師僅聽命于大股東。我國證券市場中,國有企業改制上市的公司占相當大的比例。“一股獨大”的現象很多,這些公司的大股東在股東大會、董事會和管理層都擁有不可置疑的絕對權威。我國上市公司董事長與總經理“兩職合一”的比例高達60%以上。而中小股東由于股份份額、參與程度等原因在公司的決策機構和管理機構中聲音很小,甚至沒有發言權。在這種情況下,大股東取代全體股東,成為既是所有者又是經營者的上市公司真正的主人。就大股東而言,所有者和經營者之間的委托關系已不存在了,對中小股東而言,在大股東“一言堂”的情況下,要么聽命于大股東,要么“用腳投票”,整個上市公司實際上是在大股東的一方領導下運營,權利的監督制衡機制流于形式。在這種不完善的公司治理結構下,只要審計委托權還由上市公司行使,就等于完全由大股東決定注冊會計師的聘請、審計報酬及支付情況,而由于大股東既是所有者(委托人)又是經營者(被審人),就形成了大股東花錢請注冊會計師來審計自己的局面。雖然這種審計受法律約束必須進行,但具體請誰來審計,支付多少和如何支付審計報酬卻由大股東決定。這樣,接受委托的注冊會計師在經濟利益的驅動下,當然得看大股東的臉色行事了,注冊會計師的獨立性自然就受到了極大的破壞。
(三)引進財務報表保險制度,改革現行審計委托模式。現行審計委托模式的缺陷動搖了注冊會計師在獨立審計關系中應有的獨立性,成為影響審計意見客觀性的根本原因之一。解決這個問題的關鍵就在于割裂上市公司管理層與注冊會計師的直接聯系,尋找一個獨立的第四方(相對于委托人、受托的注冊會計師和被審計的管理層),由其來行使審計委托權,并由其直接支付注冊會計師的審計報酬。
財務報表保險制度是由美國會計學家羅恩教授率先提出的,旨在提高審計獨立性的一套完整的市場制度。羅恩教授提出建立財務報表保險制度,從源頭上增強注冊會計師的獨立性,消除可能導致審計意見失實的制度基礎。具體操作方式為上市公司不再直接聘請會計師事務所對財務報表進行審計,而是向保險公司投保財務報表保險,保險公司聘請會計師事務所對投保的上市公司進行審計,根據風險評估結果決定承保金額和保險費率。對因為財務報表重大錯報和漏報給投資者造成的損失,由保險公司負責向投資者進行賠償。聘用注冊會計師的決策權從被審計單位轉移到承保人手中,與證券交易所招投標制度一樣,財務報表保險制度切斷了公司管理層與注冊會計師之間的委托關系,更加確保了審計人的獨立性。保險公司的利益與上市公司、投資者和社會公眾的利益趨于一致,由利益相容的保險公司代表上市公司股東行使對財務報表的監督職責。審計關系中的各方以及保險關系中的各方均被置于市場機制之內,有做假劣跡或經營風險較高的上市公司將繳納更高的保險費,加大了上市公司的造假成本。注冊會計師的直接客戶是保險公司,具有較強執業能力和較高職業道德的注冊會計師受到歡迎,而出具不實審計意見將失信于保險公司,進而失去一大批投保于該保險公司的上市公司審計業務,公正審計意見的利益和不實審計意見的損失充分內化。財務報表保險制度將恢復注冊會計師真實的獨立地位,并借助市聲機制的力量賦予公司管理層自覺改善財務報表質量的內在動機,不失一種針對審計失敗和財務舞弊的綜合解決方案。
然而,財務報表保險制度的有效運行至少需要三個傳導機制:保險公司與所有者利益一致、審計者與保險公司利益一致,以及證券市場有效。而我國目前卻缺乏確保這些傳導機制有效的市場條件,這將導致審計獨立性問題轉變成為保險公司的獨立性問題。若要實施該制度,我們應首先健全證券市場、保險市場和相關民事責任法律法規,并設計出一套利益分配的技術標準。同時,對現行審計制度進行一些改革仍然是必要的,這些改革措施將有利于增強財務報表保險制度下保險公司的獨立性。作為一種純市場行為,財務報表保險制度缺乏強性,也可能受到上市公司的抵制。但長遠來看,以保險公司作為“第四方”的財務報表保險制度應成為我國市場經濟體制下獨立審計委托模式的最佳選擇。隨著我國市場經濟的進一步完善,我們期待這些問題逐漸得到解決,從而使財務報表保險制度能夠在我國推行。
關鍵詞:績效審計經驗借鑒
政府績效審計發生于20世紀40年代,發展于70年代。世界上各個國家對績效審計的稱謂不盡相同,在1986年第12屆國際會議上,最高審計機關國際組織建議以“績效審計”(PerformanceAuditing)統一名稱。在這屆國際會議發表的《關于績效審計、公營企業審計和審計質量的總聲明》一文中,指出:“除了合規性審計,還有另一種類型的審計,它涉及對公營部門管理的經濟性、效率性和效果性的評價,這就是績效審計。”
20世紀80年代初,隨著中華人民共和國審計署的誕生,績效審計開始走入中國。上世紀80年代初,我國審計理論界側重于引進和介紹國外績效審計的理論與實務。此后,逐步轉向探討如何建立有中國特色的績效審計,對績效審計的定義、職能、范圍、方法和程序等基本理論進行了較為廣泛的研究,并把績效審計理論研究列為重點研究課題,取得了一些初步的成果。2003年7月1日,審計署頒布實施《2003至2007年審計工作發展規劃》,對今后五年的審計工作進行了部署,提出了今后五年在審計內容和審計方式上堅持財政財務收支的真實合法審計與效益審計并重。這一目標符合國際審計發展潮流和趨勢,符合我國審計事業的發展實際。
近年來經濟、政治和社會的發展已經推動了績效審計的發展,然而在自身發展的同時我國績效審計還必須借鑒其他國家的成功經驗,結合我國國情研究并制定規范。眾所周知,澳大利亞是世界上開展現代審計的主流國家之一,因此學習借鑒澳大利亞績效審計的主要做法和經驗,對于加強我國績效審計理論研究和實踐具有重要的現實意義。
一、澳大利亞績效審計的特點
1.法律定位明確
澳大利亞在1997年頒布實施的《審計長法1997》對澳大利亞審計署開展的財務報表審計和績效審計做出了明確規定。它將績效審計定義為對一個單位或個人管理活動的任何方面進行的檢查活動;審計長可以在任何時間組織對聯邦政府部門、事業單位和聯邦所屬公司及其下屬單位進行績效審計,根據有關部長、財政部長和議會公共會計與審計聯合委員會的要求可對政府企業及其下屬單位進行績效審計;審計長可在任何時間組織對所有或部分聯邦政府部門、事業單位和聯邦所屬公司及其下屬單位的內部管理的特定方面進行績效審計,而不僅僅局限于一個部門、單位。這些條款中同時還規定績效審計報告在審計完成后需及時提交議會。澳大利亞審計長法將審計劃分為財務報表審計和績效審計兩種類型,并對績效審計做出了明確規定,這些都有力地促進了澳大利亞審計署全面履行財務報表審計和績效審計職責,促進了澳大利亞績效審計的發展,也使績效審計在澳大利亞的公共管理過程中發揮了積極的作用。
2.內涵明確
根據《審計長法1997》和公認審計實務準則,澳大利亞審計署將績效審計定義為:“獨立、公正、系統地對一個單位管理運行情況的檢查,以評價管理活動是否做到經濟、效率、效果,內部管理程序是否有利于促進提高經濟、效率和效果,并提出管理建議”。經濟性、效率性和效果性構成了績效審計的三個要素(3E),這就是績效審計的核心內涵。
根據《世界審計組織績效審計指南》和《亞洲審計組織績效審計指南》,所謂經濟性是指,“從事一項活動并使其達到合格質量的條件下耗費資源的最小化”,它主要關注的是投入和整個過程中的成本。效率性是指,“投入資源和產出的產品、服務或其他成果之間的關系”。就是指以一定的投入取得最大的產出或以最小的投入取得一定的產出,即支出是否講究效率。值得注意的是在澳大利亞政府績效審計的內涵中,經濟性和效率性審計除了針對機構還針對個人。效果性是指,“目標實現的程度和從事一項活動時期望取得的成果和實際取得的成果之間的關系”。所以,績效審計中“三E”的關系是辯證的,可以有所側重,但不應機械地割裂。
3.審計項目涉及范圍廣泛
選擇合適的審計項目是使績效審計充分發揮促進和提高公共部門管理水平作用的前提。澳大利亞審計署年度工作計劃是在征求議會公共會議、審計聯合委員會、議會其他專門委員會意見和其他政府部門意見以后確定的。在實際的績效審計工作中,澳大利亞政府根據不同年度的社會經濟發展重點和政府管理的情況,確定了不同的年度績效審計項目。從審計內容的側重來看,或關于一個政府部門或單位管理活動的某個方面,或對多個政府部門的同一或相似的管理活動進行審計,即一般績效審計和綜合績效審計。
4.完備的審計信息公布制度
根據相關法律的要求,澳大利亞審計署和澳大利亞其他政府部門、單位一樣,在每一個財政年度結束后,要按統一格式要求編制年度報告,報告的內容包括審計長意見、審計長及審計署的職責、作用、組織機構、工作任務、年度任務完成情況、內部管理情況和財務收支情況等,并于每年10月末之前提交議會審議并向社會公布(其中涉及國家秘密的內容除外)。充分利用審計署網站的作用,向社會公眾審計信息——各項審計報告,審計發展規劃,年度審計計劃、審計準則等內部管理文件和審計長講話等,因此社會公眾可在網站上找到十分豐富的審計信息。
二、對我國開展績效審計的建議
1.從立法角度看,我國審計法中僅在第二條規定了審計機關依法對財政、財務收支的真實、合法和效益進行審計監督,但是并沒有把審計明確的劃分為財務報表審計和績效審計,對具體如何實施績效審計,績效審計的具體對象、范圍等也沒有作明確的規定。這種績效審計法律定位不清、進展緩慢、成效不明顯等狀況與我國現時的經濟發展水平和需求不相適應。因此,借鑒澳大利亞等國家在審計法律中對財務報表審計和績效審計明確定位的經驗,我國應從立法的高度,將我國國家審計明確的劃分為財務報表審計和績效審計兩類,并明確規定財務報表審計應對部門單位整體財務狀況發表審計意見,為績效審計提供真實、合法的條件,從而為我國國家審計機關開展績效審計提供明確的法律依據,同時應明確規定績效審計目標、內容、范圍、標準、方法。
2.在我國的實際審計工作中,許多審計人員從績效審計的字面理解,片面地認為績效審計就是對被審計單位的經濟效益進行的檢查評價活動,沒有能認識到績效審計還包括對效率和效果的評價,因此在績效審計實踐中,審計人員一般著重于對經濟效益的評價,而沒有能從“三E”的角度全面地開展績效審計。我們可以借鑒澳大利亞等國家開展績效審計的經驗,在諸如審計法等審計法律法規中對績效審計的內涵做出明確規定,從而明確績效審計應包括經濟性、效率性、效果性三個要素,這是全面進行績效審計探索和實踐的基礎。
3.在實踐中,許多審計人員在績效審計的內容方面存在兩種模糊的認識,一是認為績效審計就是評價一個單位的經濟效益,進而帶來沒有統一的評價指標等問題;二是認為績效審計需對政府的績效情況進行全面評價,進而帶來全面績效評價很難進行等問題。實際上,從澳大利亞等國家績效審計的內容來看,績效審計的內容是十分豐富的,并不僅僅局限于一個單位的經濟效益的評價,而是對一個部門或單位某一方面職責的履行情況進行評價或對多個部門或單位的相同或相似職責的履行情況的評價。我們應該在績效審計實踐中開闊思路,增強信心,選好項目,然后根據工作重點和物質、人力資源,確定目標、范圍、方法,有條不紊地進行效益審計工作。
4.以我國審計工作發展現狀結合國外審計經驗,我國應加快落實“五年規劃”提出的審計結果公告制度,將所有審計結果,除內容和不宜對外披露內容外全部對社會公告。例如:可采取在報刊上公布內容摘要、在網站公布全文等方式,大力加強審計部門網站建設,將其建成審計信息資源庫,成為審計部門聯系其他相關單位和社會公眾的橋梁,在這方面,我國深圳市審計局的工作已經初見成效。
當今,績效審計已成為各國審計的主流,也是我國國家審計今后的工作重點。《審計署2003至2007年審計工作發展規劃》是我國審計事業發展的指南,它以我國審計現狀為基礎,借鑒了國際審計經驗,為中國審計逐步與世界審計接軌奠定了堅實的基礎。規劃提出了許多有效、可行的計劃和措施,如:開展績效審計、建立審計質量控制體系、推行審計結果公告制度等。我們目前最關鍵的是要學習與實踐,借鑒國外的成功經驗,結合實際進行研究并制定規范,加強績效審計理論方面的研究,培訓審計人員,積極探索,大膽實踐,努力創造中國特色的績效審計模式。
參考文獻
[1]《審計署2003至2007年審計工作發展規劃》.2003年7月1日.
[2]《世界審計史》,文碩編著.中國審計出版社1990年出版.
[關鍵詞]審計風險;程序;了解環境
審計師在審計時應當考慮的風險包括三種,即企業的經營風險,審計風險,特別風險。經營風險是對實現企業目標或執行企業戰略產生不利影響的各種不確定因素,企業所具有的經營性質、所處行業、外部監管環境、企業的規模和復雜程度等因素都對財務報表發生重大錯報有密切的關系,許多經營風險最終都會造成財務后果,比如經營風險中競爭者開始延長產品保證期,這樣會給企業帶來增加預提保證費用的風險,還有如果原材料發生短缺,就會產生標準成本的損耗率上升,競爭者在市場技術上開始領先,這樣就會造成投資需要增加計提減值準備。審計風險則是現代風險導向審計的核心概念,它由重大錯報風險和檢查風險組成,重大錯報風險是指財務報表在審計前存在重大錯報的可能性,它有固有風險和控制風險組成,重大錯報風險和檢查風險互為反向關系。特別風險是,在審計實務中需要特別考慮的重大錯報風險,即是否是舞弊風險、是否是近期經濟環境、會計處理方法和其他方面的重大變化、是不是復雜的交易、是不是重大的關聯方交易、是不是對重大事項存在不確定計量空間,是不是設計異常或超出正常經營過程的重大交易,由此看到,特別風險與非常規重大交易和判斷事項有關,即金額和性質異常并且不是經常發生的。
在審計實務中對各種風險的評價是風險導向審計的開始,審計師了解被審計單位及其環境,目的是為了識別和評估財務報表重大錯報風險,為了了解被審計單位的重大錯報風險,審計師首先要了解被審計單位極其環境(不包括內部控制),這其中包括,了解被審計單位的行業狀況、法律環境與監管環境以及其他外部因素性質,對會計政策的選擇和運用,目標、戰略以及相關經營風險,財務業績的衡量和評價;其次要了解內部控制,這主要了解控制環境、被審計單位的風險評估過程、信息系統與溝通、控制活動、對控制的監督;第三是對風險評估及其審計計劃的討論,主要是被審計單位面臨的經營風險、財務報表容易發生錯報的領域、錯報的方式、特別是由于舞弊導致重大錯報的可能性,第四評估重大錯報風險,主要包括財務報表層次、認定層次(各類交易、帳戶余額、列報、披露)。
為達到以上目的所要執行的具體審計程序有:
首先,詢問。詢問被審計單位管理層和內部其他相關人員,詢問的主要問題有新的競爭對手、主要客戶和供應商的流失、新的稅收法規的實施、以及經營目標或戰略的變化、財務狀況和最近的經營成果、現金流量、可能影響財務報告的交易和事項、或者目前發生的重大會計處理問題等,審計師還應當考慮詢問內部審計師、采購人員、生產人員、銷售人員等其他人員,并考慮詢問不同級別的員工以獲取對識別重大錯報風險的不同需要,即詢問治理層、有助于審計師了解其針對被審計單位財務報表的編制環境;詢問內部審計師有助于審計師了解其針對被審計單位內部控制設計和運行有效性的情況,以及管理層對內部審計發現的問題是否采取適當的行動;詢問參與生成、處理或記錄復雜或異常交易的員工,有助于審計師評估被審計單位選擇和運用某項會計政策的適當性;詢問內部法律顧問,有助于審計師了解被審計單位的有關訴訟、法律法規的遵循情況、影響被審計單位的舞弊或涉嫌舞弊、產品保證和售后責任、與業務伙伴的安排、以及合同條款的含義;詢問銷售人員,有助于審計師了解營銷策略及其變化、銷售趨勢或與其客戶的合同安排;詢問營銷或銷售人員,有助于審計師了解被審計單位的原材料采購和產品生產等情況等情況。
其次,執行分析程序。分析程序是指審計師通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系,對財務信息作出評價,分析程序還包括調查識別出的、與其他相關信息不一致或與預期數據嚴重偏離的波動和關系,審計師實施分析程序有助于發現識別異常的交易或事項,即特別風險,審計師還可以對財務報表的審計產生影響的金額、比率和趨勢進行預測。在實施分析程序時,審計師應當預期可能存在的合理關系,并與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較,如果發現異常或未預期到的關系,審計師應當在識別重大錯報風險時考慮這些比較結果。新晨
第三,進行觀察和檢查。觀察和檢查程序可以印證對管理層和其他相關人員的詢問結果,并可以提供有關審計單位及其環境的信息,審計師應當實施下列觀察程序,觀察被審計單位的生產經營活動,如觀察被審計單位人員正從事的生產活動和內部控制活動等;檢查文件、記錄和內部控制手冊,如檢查被審計單位的章程,與其他單位簽訂的合同、協議、股東大會、董事會議、高級管理層會議的會議記錄,各業務流程操作指引和內部控制手冊,各種會計資料、內部憑證和單據;閱讀由管理層和治理層編制的報告,如閱讀被審計單位年度和中期財務報告、管理層的討論和分析資料、經營計劃和戰略、對重要經營環節和外部因素的評價、被審計單位內部管理報告,以及其他特殊目的的報告(新投資項目的可行性分析報告);實地察看被審計單位的生產經營場所和設備;追蹤交易在財務報告信息系統中的處理過程(穿行測試),這是審計師了解被審計單位業務流程及其內部控制時經常使用的程序。通過追蹤某筆交易在業務流程中如何生成、記錄處理和報告,以及相關內部控制如何執行,審計師可以確定被審計單位的交易和內部控制是否與之前通過其他程序所獲的了解一致,并確定內部控制是否得到執行。
基于對企業風險管理的考慮,風險評估程序應當貫穿于企業財務報表審計的整個過程,并運用大量的專業判斷識別、計量風險因素,為防止主觀和片面的判斷影響審計結果,要進行討論和研究,形成對被審計單位的總體情況報告、總結上年的工作情況、被審計單位的環境變化情況、財報的易錯領域、重要審計事項和審計領域、可能發生的重大舞弊和重大錯報風險、重要性水平的設定、最后制訂總體審計策略。
參考文獻:
一、審計理念的變化
老審計準則遵循的是“把審計程序執行到位”的簡單的審計理念。在此理念下,注冊會計師往往不注重了解被審計單位及其環境,如不注重對行業狀況、監管環境、內部控制、企業性質以及目標、戰略和相關經營風險等情況的了解,而直接進行控制測試或實質性測試,注冊會計師審計最主要的任務就是完成審計程序,不考慮或很少考慮審計風險,而且財政部門對注冊會計師執業質量的行政監管檢查(包括行業監管檢查)關注的也是審計程序的履行情況,由此造成注冊會計師只注重審計程序的履行,而忽視了對審計風險的識別、評估和應對,容易犯只見樹木不見森林的錯誤。如果被審計單位管理當局串通舞弊或凌駕于內部控制之上,則內部控制將無法發揮作用,注冊會計師也很容易受到蒙蔽和欺騙,不能發現由于內控失效而導致的財務報表重大錯報風險,控制測試也將失去作用。因此,迫切需要改革審計理念,研究出更能有效識別、評估和應對財務報表重大錯報風險的新的審計方法和審計流程,為此,新的審計理念應運而生。
新審計準則的最大特點就是注冊會計師帶來了風險導向的新的綜合審計理念,該理念強調在“把審計風險控制到位”的前提下再“把審計程序執行到位”,可見,這是新準則相對于老準則最重要、最根本的變化。
為了實現“把審計風險控制到位”的審計目標,新準則明確規定了風險評估是注冊會計師必須履行的審計程序,注冊會計師應當針對評估的報表層的重大錯報風險確定總體應對措施,針對評估的認定層的重大錯報風險設計和實施進一步審計程序,以將審計風險降至可接受的低水平。在新準則下,注冊會計師不可以不評估重大錯報風險,也不可以簡單設定固有和控制風險為最高水平就假定重大錯報風險為百分之百而直接盲目實施實質性程序。因為不弄清重大錯報風險可能發生在哪個方面或那些領域就實施審計程序,往往發現不了重大錯報。由此可見,新準則的審計理念更為完善、科學和先進。
因此,注冊會計師學習和執行新準則首要的關鍵問題就是樹立風險導向的審計理念,在今后的每一項審計實務中都要以防范審計風險為基本職責,強化風險意識,保持職業懷疑態度,不斷提高自身的職業分析和判斷能力,以對重大錯報風險的識別、評估和應對為審計工作的主線流程,同時還必須把應該履行的風險評估和實質性程序執行到位,只有這樣才能真正理解和把握風險導向的審計理念。
但是,新審計理念的推行必須有新的審計風險模型予以支撐,為了順利推行風險導向的新理念,新準則下的審計風險模型也隨之發生了相應的變化。
二、審計風險模型的變化
從老準則的審計風險模型:“審計風險=固有風險×控制風險×檢查風險”來看,老準則雖然也要求對風險進行評估,但由于該風險模型的制約及老準則本身的缺陷使得對風險的評估不是很狹隘,就是難以規范履行。如老準則要求編制審計計劃時,注冊會計師應評估固有風險或直接假定其為高水平,這使得很多注冊會計師不評估固有風險而直接假定其為高水平,從而使得對固有風險的評估流于形式。另外,盡管老準則要求對固有風險和控制風險進行綜合評估以作為評估檢查風險的基礎,但由于實務中對兩者的內在聯系往往無法把握,如果只依賴對控制風險所作的簡單評估或直接假定控制風險為百分之百來大致確定檢查風險再據此計劃實質性程序,這樣就很難合理保證財務報表不存在重大錯報。正是由于這些問題,使得注冊會計師在運用老審計風險模型時出現只執行準則明確規定必需履行的審計程序,特別是只把實質性測試中的細節測試執行到位即可的錯誤認識和片面做法。實際上,在老準則實施多年的審計實務中,注冊會計師主要關心的也正是對財務報表各組成項目的細節測試,而不關心審計后能否合理保證財務報表不存在重大錯報,以及控制審計風險到可接受的低水平。由此可見,盡管老準則考慮了對審計風險進行評估的問題,但注冊會計師在日常審計并沒有能夠以對風險的評估為導向,問題就在于老準則下審計風險模型的局限性,不能有效地識別、評估和應對重大錯報風險,所以老準則不能稱之為風險導向審計。
新準則體系中最核心的準則是以下四個:第1101號《財務報表審計的目標和一般原則》準則、第1211號《了解被審計單位及其環境并評估重大錯報風險》準則、第1231號《針對評估的重大錯報風險實施的程序》準則和第1301號《審計證據》準則。這四個準則最重要的內容就是貫徹了新的審計理念,啟用了“審計風險=重大錯報風險×檢查風險”的新的審計風險模型。新準則要求注冊會計師在今后的審計實務中根據該模型來計劃和執行審計程序,強調提高注冊會計師發現財務報表重大錯報風險的能力,強調對財務報表重大錯報風險的識別、評估和應對,強調把審計風險控制到位。只有這樣,才能更有利于對財務報表重大錯報風險的識別、評估和應對以及對重大錯報的審計效果,才能更好地實現財務報表的審計目標,更好地遵循財務報表審計的一般原則要求,為審計后的財務報表不存在重大錯報提供合理保證。由此達到全面推行風險導向審計目標,實現將原審計風險模型下的“審計程序執行到位”的簡單審計理念更新為新審計風險模型下的“審計風險控制到位”的綜合審計理念。
因此,如果說新準則要求注冊會計師樹立風險導向審計理念并遵循新的審計風險模型是客觀要求,那么,注冊會計師就要從主觀上強化防范審計風險的意識,努力提高自身對財務報表重大錯報風險的識別、評估和應對能力,全面、規范履行應該履行的審計程序,并將審計風險降低至可接受的低水平。只有這樣,才能真正把新的風險導向審計理念貫徹到位,把新的審計風險模型落實到位。
三、審計流程的變化
由于新準則審計風險模型的變化,又導致了對注冊會計師審計流程的具體要求也發生了重要變化。
老準則下的審計風險模型把審計流程分為四部分,分別為:(1)了解被審計單位情況;(2)了解內控;(3)控制測試;(4)實質性測試。而新準則下的審計風險模型把審計流程分為三部分,分別為:(1)了解被審計單位情況及其環境(包括內部控制);(2)控制測試;(3)實質性程序。從表面上看,新準則的審計流程較舊準則少了一個,但實際上并沒有減少,新準則僅是將老準則下的第(1)和第2個流程進行了合并,并統稱為“風險評估程序”。另外,新準則把其第(2)和第(3)兩個流程統稱為“進一步審計程序”,并指出僅靠風險評估程序不足以為發表審計意見提供充分、適當的審計證據,注冊會計師還應當根據對認定層次重大錯報風險的評估結果,恰當選用以實質性程序為主的實質性方案或選擇以控制測試與實質性程序結合使用的綜合性方案。但新準則特別強調,無論選擇何種方案,注冊會計師都應當對所有重大的各類交易、賬戶余額、列報設計和實施實質性程序。由于新準則將控制測試和實質性程序統稱為“進一步審計程序”,因此,新準則的審計程序從總體上也可以簡單分為兩大塊,即“風險評估程序”和“進一步審計程序”。
另外,由于新準則將“了解被審計單位情況及其環境(包括內部控制)”和“評估重大錯報風險”制定為一個準則,從而使得注冊會計師更加明確了了解被審計單位情況及其環境(包括內部控制)的目的是為了對重大錯報風險進行評估,而且將對被審計單位情況及其環境的了解(包括內部控制)和對重大錯報風險的評估進行了有機結合。由此可見,新準則在此問題上更為科學合理,更有利于注冊會計師對風險導向審計理念和新審計風險模型的理解、把握和執行。
必須注意的是,盡管新準則對審計流程的數量沒有發生變化,但是,新準則對各流程的具體要求,特別是對風險評估和風險應對提出了新的更高的要求。
新準則特別強調了審計流程的重心必須前移,注冊會計師必須重視計劃審計工作,重視對被審計單位及其環境的了解(包括內部控制),重視對重大錯報風險的識別和評估,重視針對評估出的重大錯報風險實施相應和必要的審計程序。風險評估程序的主要目的是針對財務報表層次和認定層次重大錯報風險的評估,是一個連續、動態地收集、更新與分析信息的過程。由此可見,風險評估不僅針對整個財務報表各層次、全方位,而且也是貫穿于整個審計過程始終的審計程序。新準則還明確規定了風險評估程序為必須履行的審計程序。
與風險評估程序不同的是,“控制測試”和“實質性程序”均是僅針對認定層次的重大錯報風險,僅是在進一步審計程序中履行,但目的各有不同。“控制測試”目的在于測試內控在防止、發現和糾正認定層次重大錯報方面的有效性,并據此重新評估認定層次重大錯報風險,而“實質性程序”的目的在于發現認定層次重大錯報風險,降低檢查風險。同時,新準則還規定了“實質性程序”同樣為必須履行的審計程序。但必須注意的是,如果注冊會計師在審計中認為出現符合準則規定必須進行控制測試的條件或認為可以進行控制測試時,則應該進行控制測試,否則可以不履行控制測試程序。
值得注意的是,從“風險評估程序”對報表層和認定層次重大錯報風險的評估,到“控制測試”測試內控在防止、發現和糾正認定層次重大錯報方面的有效性,據此重新評估認定層次重大錯報風險,再到“實質性程序”以發現認定層次重大錯報風險降低檢查風險為最終審計目的,新準則下的各大審計程序最終都將審計重點指向了“重大錯報風險”,由此可見,注冊會計師在今后的審計實務中一定要將對“重大錯報風險”的識別、評估和應對作為審計工作的核心,只有發現認定層次重大錯報風險,才能達到降低檢查風險的最終審計目標,從而實現風險導向審計的初衷。
鑒于以上分析,注冊會計師在今后的審計實務中務必拋棄老準則下對審計風險的狹隘和片面認識,一定要把對重大錯報風險的識別、評估和應對作為審計工作的主要流程、重中之重,一定要全面、規范履行風險評估和風險應對程序。只有這樣,才能切實把風險導向的審計理念落到實處,才能使新的審計風險模型在審計實務中得到充分體現,才能合理保證財務報表整體不存在重大錯報。
總之,盡管新準則改進了審計理念、審計風險模型和審計流程,但新準則并沒有改變對財務報表的審計目標,沒有改變對注冊會計師審計責任的基本定位,僅是改進了審計工作方法、工作流程和工作重心,使得新準則下的審計程序更為科學、合理和規范,更能識別、評估和應對重大錯報風險,從而使得新準則在更好地指導注冊會計師實現審計目標履行審計責任并服務于、服務好社會公眾的同時,也能更好地保護好注冊會計師自身的合法權益。但是,所有這些都給注冊會計師提出了新的更高的要求,因此,注冊會計師在今后的審計實務中,一定要努力提高自身的執業能力和職業素質,保持職業懷疑態度,強化對重大錯報風險的防范意識,全面和規范執行新準則,認真對待每一個審計項目,認真履行好每一個審計程序,將審計風險真正降低至可接受的低水平。
《企業內部控制基本規范》及其配套指引已于2011年1月1日起首先在境內外同時上市的公司施行,并于2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行。按照規定,執行企業內部控制規范體系的企業,必須對本企業內部控制的有效性進行自我評價,披露年度自我評價報告;同時聘請會計師事務所對其財務報告內部控制的有效性進行審計,出具審計報告。因此,在2011年年度報告披露期間(2012年1—4月),我們將可以看到那些境內外同時上市的公司向境內投資者披露的內部控制自我評價報告,以及內部控制審計報告。
如何認定內部控制重大缺陷并進行披露,是我國上市公司執行《企業內部控制基本規范》面臨的一個前所未有的挑戰。內部控制重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。如果認定內部控制存在重大缺陷,將直接導致上市公司得出內部控制無效的結論。因此,如何認定內部控制重大缺陷的認定并進行披露至關重要。本文從上市公司角度,研究了《薩班斯—奧克斯利法案》實施初期在美上市公司財務報告內部控制重大缺陷的認定及披露情況,希望能對我國上市公司實施《企業內部控制基本規范》及其配套指引起到借鑒作用。
二、內部控制評價相關文獻綜述
朱榮恩等(2003)從美國《薩班斯—奧克斯利法案》404條款的要求出發,對財務報告內部控制有效性評價做了相關的解讀,并在研究SEC提案和AICPA征求意見稿的基礎上,結合兩個會計師事務所提供的報告,提出了對我國財務報告內部控制有效性評價的啟發和借鑒意義。王立勇(2004)運用可靠性理論和數理統計知識構建了一個內部控制系統評價的數學分析模型,利用該模型可計算程序的可靠度和系統可靠度,判斷內部控制的效果。王煜宇等(2005)構建了五大類(內部控制環境、風險評估、內部會計控制、內部管理控制、監督控制)、35個具體指標組成的企業內部控制評價指標體系。于增彪等(2007)采用實地研究方法,詳細探討了亞新科安徽子公司如何設計和應用內控評價體系。陳漢文等(2008)分析了內部控制的有效性以及有效內部控制的內涵,認為評價企業內部控制的方法總體上可以分為詳細評價法和風險基礎法兩種,風險基礎法相對來說具有更高的成本效益和效率。張先治等(2011)基于我國企業的環境和企業內部控制基本規范配套指引的實施,結合國內外企業內部控制評價理論研究和實踐狀況,構建了我國企業內部控制評價系統,包括內部控制評價內涵、評價目的、評價模式、評價主體、評價客體、評價模型等。
以上學術界對內部控制評價的研究,采用的方法基本上是建立由多個評價指標體系構成、分別打分并設置一定權重、最后計算得出總的內部控制評價得分的方法。這和美國《薩班斯—奧克斯利法案》404條款要求進行的內部控制評估有很大的不同。按照后者的規定,要評估內部控制是否有重要缺陷、重大缺陷,如果發現一個重大缺陷,就不能認定內部控制有效。
國外關于內部控制重大缺陷的研究,主要集中于內部控制重大缺陷的分類、內部控制重大缺陷的影響因素,以及披露內部控制重大缺陷后的市場反應,等等。關于內部控制重大缺陷的分類,具有代表性的包括Doss(2004)、Ge等(2005)、Hammersley等(2008)等。關于內部控制重大缺陷的影響因素,具有代表性的為Doyle等(2007a,b),Ashbaugh-Skaife等(2007)等。關于內部控制重大缺陷披露后的市場反應,具有代表性的包括DeFranco等(2005)、Hammersley等(2008)等。上述研究為了解內部控制重大缺陷的認定和披露提供了有用的經驗證據,對我國上市公司也有較強的借鑒意義。
三、樣本選擇與內部控制重大缺陷披露總體情況
(一)樣本選擇
本文的樣本來自美國《Compliance Week》為跟蹤《薩班斯—奧克斯利法案》302條款、404條款實施而的內部控制月度報告,這與DeFranco等(2005)、Doyle等(2007a,b)、Ge等(2005)、Ashbaugh-Skaife等(2007)的樣本來源一致。《Compliance Week》月度報告整理、摘錄了月度報告前一個月披露內部控制重大缺陷或重要缺陷的上市公司披露的內容。與前述其他研究文獻不同的是,本文選擇的期間為2003年11月至2005年7月,共873個樣本公司。一些公司在此期間披露的季度報告中不止一次披露了內部控制缺陷,因此在上述873個樣本出現的次數也就不止一次,我們只保留了這部分公司第一次披露的信息,因此剔除了107個樣本。在剩下的樣本中,一些公司披露的并非內部控制重大缺陷,而是重要缺陷或一般缺陷,或者所披露的重大缺陷在比較會計報表期間而非報告期間存在,本文把這部分184個樣本也予以剔除。經過上述過程,共剩下582個樣本。
(二)《薩班斯—奧克斯利法案》執行初期在美上市公司內部控制重大缺陷披露總體情況
針對選定的樣本公司,本文逐一分析了其披露的內部控制重大缺陷,并進行了分類、整理①。
本文對樣本公司披露的內部控制重大缺陷按照公司層面、賬戶或交易層面來分類,并將無法根據所提供的信息進行分類的重大缺陷單獨作為一類。如Doss(2004)所述,穆迪評級公司將內部控制重大缺陷劃分為公司層面的重大缺陷,以及賬戶或交易層面的重大缺陷。如果一個公司披露了公司層面的內部控制重大缺陷,則穆迪會召開評級會議,討論該公司現行評級是否已經反映了剛剛披露的重大缺陷,如果已有評級未反映新近披露的重大缺陷,且公司沒有積極的整改措施,則穆迪會考慮降低其評級。對于賬戶或交易層面的內部控制重大缺陷,穆迪一般不會采取降低評級的行動。這說明,相比賬戶或交易層面的重大缺陷,公司層面的重大缺陷要更嚴重一些。我國《企業內部控制審計指引》第10條也規定,注冊會計師在實施審計工作時,可以將企業層面控制和業務層面控制的測試結合進行。
公司層面內部控制重大缺陷涉及到COSO《內部控制——整合框架》中控制環境、風險評估、控制系統、信息和溝通、監督等要素的幾乎所有內容,而賬戶或交易層面內部控制重大缺陷則涉及資產負債表和利潤表的幾乎所有項目。在控制層面內部控制重大缺陷中,人力資源、財務報告流程、監督出現的頻率較高;而賬戶或交易層面,收入確認、所得稅會計、存貨、租賃等項目出現的頻率較高。
需要說明的是,內部控制重大缺陷數量與其他研究的統計結果存在差異。例如,Ha mmersley等(2008)以《Compliance Week》2003年11月到2005年1月披露內部控制缺陷的613家樣本公司為基礎,經過調整后共358家公司,這些公司披露的內部控制缺陷共815個。如果研究同一期間樣本,本文統計的內部控制重大缺陷共340家公司、內部控制缺陷數量879個。本文認為,產生差異的主要原因,如下文所論述的那樣,是本文將樣本公司披露的內部控制重大缺陷中提及的、產生內部控制重大缺陷的公司層面內部控制缺陷,以及相互聯系的內部控制缺陷,均視為重大缺陷。這些差異不影響本文的研究結論。
四、在美上市公司內部控制重大缺陷認定及披露分析
內部控制重大缺陷認定是內部控制評估的核心,也是難點所在。許多重大缺陷是根據內部控制審計準則指出的、表明公司內部控制可能存在重大缺陷的重要跡象來認定的;其他的則通過重大缺陷的定義來認定。
(一)根據表明公司內部控制可能存在重大缺陷的重要跡象來認定、披露
美國公眾公司會計監督委員會(PCAOB)《第2號審計準則——與財務報表審計相結合的財務報告內部控制審計》第140段,以及取而代之的《第5號審計準則——與財務報表審計相結合的財務報告內部控制審計》第69段都提到了如下四種跡象:為反映對一個重大錯報的更正而重述以前的財務報表,未審財務報表中的重大錯報由審計師而非公司發現,發現與高級管理層有關的舞弊,審計委員會對公司的對外財務報告和財務報告內部控制的監督無效。上述前兩種跡象,在認定內部控制是否存在重大缺陷時非常重要。只要存在這兩種跡象,通常即可認定公司存在內部控制重大缺陷。其他兩種跡象則較難用來直接認定。
1.為反映對一個重大錯報的更正而重述以前的財務報表
之所以重述以前的財務報表,是因為前期財務報表中存在重大錯報,而內部控制并未發現并及時更正。因此,會計報表重述成為判斷財務報告內部控制存在重大缺陷的重要跡象之一。需要明確的是,財務報表重述本身不應構成一個內部控制重大缺陷,導致發生會計報表重述的事項才是內部控制重大缺陷。故本文的分類中并無該項。有86家樣本公司發生了財務報表重述。一些公司披露了導致發生報表重述的事項。一些公司則并未說明導致發生報表重述的事項,只是籠統地進行說明。
由于財務報表使用者可以觀察到公司是否發生了財務報表重述,因此,公司在內部控制評估中需要認真評估導致財務報表重述的、應被認定為重大缺陷的內部控制并予以披露。
2.未審財務報表中的重大錯報由審計師而非公司發現
如果審計師在審計中發現當期財務報表中存在重大錯報,而公司財務報告內部控制沒有發現該項錯報,則說明公司財務報告內部控制存在重大缺陷。
在《薩班斯—奧克斯利法案》實施前、上市公司無須披露財務報告內部控制評價報告時,如果財務報表中存在重大錯報,無論是由審計師還是公司發現的,只要公司能在最終披露的財務報表中進行了調整,就不會影響審計師對財務報表的審計意見。而在《薩班斯—奧克斯利法案》實施后、上市公司須同時披露財務報表審計意見及內部控制評價和審計意見時,如果未審財務報表中的重大錯報由審計師而非公司發現,雖然公司的財務報表在按照審計師的建議調整后可能被出具無保留意見,但公司的財務報告內部控制則因無法防范重大錯報而應被認定為無效并被審計師出具否定意見。在此需要明確的是,未審財務報表中的重大錯報由審計師而非公司發現本身不構成一個內部控制重大缺陷,無法發現錯報的內部控制如關賬程序等才是內部控制重大缺陷。因此,本文的分類對該項未作考慮。
有55家樣本公司提到了審計師提出的審計調整。雖然財務報表使用者無法觀察到公司是否發生了審計調整,但由于審計調整記錄于審計師的工作底稿中,因此,那些發生了審計調整的公司應該評估與審計調整事項相聯系的內部控制是否存在重大缺陷并予以說明。
3.發現與高級管理層有關的舞弊
美國《審計準則公告第99號——財務報表審計中對舞弊的考慮》將舞弊定義為,被審計單位的管理層、治理層、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為,包括對財務信息作出虛假報告導致的錯報,以及侵占資產導致的錯報。由于舞弊是一種故意行為,其產生的錯報的危害可能非常大,因此,舞弊是財務報表內部控制存在重大缺陷的重要跡象。
樣本公司中,披露舞弊信息的僅有6家:有4家公司披露其存在舞弊行為,有1家公司披露其違反了《反海外賄賂法》(FCPA),有2家公司披露其反舞弊機制不能有效運行,如舞弊舉報熱線不能有效運行。與前述兩個跡象相比,披露的公司明顯要少。一方面,這可能是舞弊一般比較隱蔽,較難識別;另一方面則可能是因為舞弊的后果非常嚴重,上市公司高層管理人員不會輕易冒險,舞弊現象確實比較少。此外,與前面兩個跡象不同的是,舞弊既是內部控制存在重大缺陷的重要跡象,本身也構成內部控制重大缺陷。
4.審計委員會對公司的對外財務報告和財務報告內部控制的監督無效
有效的監督能夠及時、有效地識別出控制失敗或控制缺陷,并報告給那些對控制負責的員工或高層管理人員,以及時實施糾正措施。如果監督無效,就難以保證內部控制有效運行。正因為如此,COSO專門了《內部控制體系監督指南》。
如果監督是有效的,就應該能夠及時識別出內部控制重大缺陷并督促整改。因此,嚴格地講,除非監督職能有效地發揮作用并及時識別出了重大缺陷且督促整改,否則,所有披露了內部控制重大缺陷的公司的監督職能都是無效的。在此意義上,樣本公司的披露并不嚴格。
財務報表的使用者無法直接觀察到公司的監督職能是否有效。對于公司及其審計師而言,監督有效與否依賴于審計委員會、內部審計部門的自我評估,以及對其他監督手段存在和運行效果的評估。由于監督是內部控制的五要素之一,因此,監督無效既是內部控制存在重大缺陷的跡象之一,同時也構成內部控制重大缺陷。
(二)根據內部控制重大缺陷定義來認定、披露
無論是否存在表明內部控制可能存在重大缺陷的跡象,公司都須按照內部控制重大缺陷的定義來認定。以下將根據《Compliance Week》月度報告摘錄的上市公司內部控制披露內容來進行分析。
1.企業層面內部控制重大缺陷的認定
賬戶或交易層面內部控制重大缺陷,在很大程度上是與之相關的 企業層面內部控制存在重大缺陷導致的。我們發現,只有部分公司在披露其賬戶或交易層面內部控制重大缺陷時,也同時披露了導致該重大缺陷的企業層面內部控制重大缺陷,許多公司則沒有披露。以下是幾種具有代表性的企業層面內部控制重大缺陷。
(1)缺乏熟悉公認會計原則的會計人員,或會計人員缺乏應有的會計專業知識,或因離職造成會計人員不足。存在該問題將導致:無法做到不相容職務相互分離;無法及時進行財務關賬;無法處理非常規、復雜交易;無法及時復核相關賬戶;無法處理所得稅等復雜會計問題,等。披露此重大缺陷的樣本公司達111家。
(2)不相容職務相互分離存在重大缺陷。不相容職務是指那些如果由一個人擔任,可能發生錯誤和舞弊行為,且可能掩蓋其錯誤和弊端行為的職務。不相容職務相互分離原則要求每項經濟業務都要經過兩個或兩個以上的部門或人員的處理,并受其監督和制約。否則,將直接導致一些賬戶或交易層面的內部控制出現重大缺陷。披露此重大缺陷的樣本公司達42家。
(3)缺乏有效的監督。監督是內部控制五要素的重要組成部分。從某種意義上講,無論是賬戶層面或交易層面的內部控制存在重大缺陷,還是企業層面的內部控制存在重大缺陷,都說明監督存在重大缺陷。也就是說,監督是無效的。披露此類重大缺陷的樣本公司達59家。
2.相互聯系的賬戶或交易層面內部控制重大缺陷及其披露
按照審計循環觀點,任何重大差錯一定涉及相互聯系的兩個或兩個以上的賬戶。控制活動通常是按照業務循環來設計的。如果一個業務循環相關的內部控制存在重大缺陷,影響到的就不只是與該循環相關的某一個賬戶,而是兩個或兩個以上的賬戶。這樣,在披露賬戶或交易層面內部控制重大缺陷時,除了披露導致該賬戶或交易重大缺陷的公司層面內部控制重大缺陷外,還應披露受該重大缺陷影響的所有賬戶或報表項目為宜。本文發現,相當數量的公司并未按此原則認定并披露,只披露了其中的一個賬戶,僅有部分公司披露了受賬戶或交易層面內部控制重大缺陷影響的所有賬戶。
3.幾個一般或重要缺陷構成重大缺陷
兩個以上的內部控制缺陷可能構成重大缺陷。從財務報表使用者的角度,我們無法判斷構成重大缺陷的幾個一般或重要缺陷的嚴重程度。而從披露的情況看,此類情形不是很多。樣本中有14家公司披露若干缺陷構成了重大缺陷。
4.在披露內部控制重大缺陷時同時披露整改行動
如果在評估時發現了重大缺陷,但及時采取了有效的整改行動,且在披露時已經產生了明顯的效果,則可以在很大程度上緩解投資者的顧慮,也不會對公司評級產生嚴重的負面影響(Doss,2004)。本文發現,大部分公司在披露內部控制重大缺陷時會同時披露其整改行動。
五、在美上市公司內部控制重大缺陷認定及披露對我國上市公司的借鑒
(一)重大缺陷的認定
我國《企業內部控制評價指引》并未規定重大缺陷、重要缺陷和一般缺陷的具體認定標準,而是由企業根據這幾種缺陷的定義自行確定②,這無疑增加了企業認定內部控制重大缺陷的難度,可能導致一些重大缺陷無法被認定并披露。參照在美上市公司內部控制重大缺陷的認定,我們認為,我國上市公司可以借鑒我國《企業內部控制審計指引》第22條列出的表明內部控制可能存在重大缺陷的跡象來認定,同時根據內部控制重大缺陷的定義來認定。相比根據重大缺陷定義認定,根據表明內部控制可能存在重大缺陷的跡象認定,比較容易判斷,操作性較強。如果監管部門能夠根據國內外上市公司披露內部控制重大缺陷的情況提供更多表明存在內部控制重大缺陷的跡象,無疑有助于公司執行《企業內部控制基本規范》及其配套指引。以下對我國準則規定的幾個重要跡象進行分析。
1.根據表明公司內部控制可能存在重大缺陷的重要跡象來認定
我國《企業內部控制審計指引》第22條列出的表明內部控制可能存在重大缺陷的跡象包括:注冊會計師發現董事、監事和高級管理人員舞弊;企業更正已經公布的財務報表;注冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未能發現該錯報;企業審計委員會和內部審計機構對內部控制的監督無效。
(1)注冊會計師發現董事、監事和高級管理人員舞弊。如果注冊會計師在財務報表審計中執行《中國注冊會計師審計準則第1141號——財務報表審計中對舞弊的考慮》,或在內部控制審計中發現董事、監事和高級管理人員舞弊,則內部控制極有可能被認定存在重大缺陷。然而,正如該審計準則第六條所述的那樣,“舞弊是一個寬泛的法律概念,本準則并不要求注冊會計師對舞弊是否已經發生作出法律意義上的判定,只要求關注導致財務報表發生重大錯報的舞弊”,注冊會計師對舞弊的認定并非易事,只有當有確鑿的證據表明董事、監事和高級管理人員舞弊時,注冊會計師方可由此認定公司內部控制存在重大缺陷。本文認為,如果一家公司被證監會立案調查或行政處罰,或被司法機構認定存在違法犯罪,則通常表明公司存在舞弊行為。在此情形下,注冊會計師應該認定該公司內部控制存在重大缺陷。
(2)企業更正已經公布的財務報表。近年來,我國上市公司重述前期的財務報表的情形頻繁發生。根據我國《企業會計準則第28號——會計政策、會計估計變更和差錯更正》,企業在當期發現、屬于以前期間的會計差錯,如果是重大會計差錯,調整發現當期期初留存收益以及有關項目;對于比較會計報表期間的重大差錯,則應當調整發生當期的凈損益和相關項目。本文認為,參照樣本公司的做法,我國上市公司因重大會計差錯而更正已經公布的財務報表,應認定導致發生該重大差錯的內部控制存在重大缺陷。
(3)注冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未能發現該錯報。發生這種情形,以致注冊會計師提出了審計調整建議且公司為了獲得無保留意見只能接受該建議,是內部控制存在重大缺陷的最直接的跡象之一。按照此標準,一些公司財務關賬之后被注冊會計師發現具有重大錯報,其內部控制應該被認定存在重大缺陷;而一些公司因財務人員缺乏必要的會計準則知識,一直依賴審計師代為編制財務關賬流程中的重要會計分錄,甚至代為編制合并財務報表,其內部控制也應該被認定存在重大缺陷。
(4)企業審計委員會和內部審計機構對內部控制的監督無效。由于我國《企業內部控 制應用指引》并未包括審計委員會和內部審計相關內容,因此,無論審計師還是公司,在評價審計委員會和內部審計機構對內部控制的監督是否有效時都面臨較大的困難。
關于我國上市公司審計委員會監督有效性,雖不乏實證研究證據(王躍堂等,2006),但應評價哪些具體要素卻缺乏客觀的依據。可以參照一些在美國上市的中國公司執行《薩班斯—奧克斯利》法案404條款的做法,從如下十個方面進行評估:是否設立了審計委員會;審計委員會的成員構成是否具有獨立性;審計委員會成員具有相應的學識和經驗來履行其監督職責;審計委員會與財務主管、內外部審計師等相關方的溝通與聯系;審計委員會是否能及時充分獲取必要的信息來監督管理層的戰略、經營、財務狀況和經營成果,以及其他重大交易合同等;審計委員會評估敏感的信息、調查結果及不當或違法活動(例如:重大訴訟、政府機關的調查、侵吞公司資產、違反內部交易規定、違法支付等);是否就發現的問題,采取必要的行動,包括進行專項調查等;對定期財務報告的監督;對證監會、交易所規定的其他職責的履行情況;審計委員會的自我評估等。
關于內部審計監督的有效性,可以參考證券交易所制訂的上市公司規范運作指引③中的相關規定來進行,但需要注意的是,這些規定中對內部審計的要求與國際內部審計師協會的要求還有較大的差距。參考陳武朝(2010)對美國《薩班斯—奧克斯利法案》404條款實施初期內部審計無效案例的研究結果,以及我國《企業內部控制基本規范》的相關規定,在實施《企業內部控制基本規范》時,應從獨立性、勝任能力、任務和職責等三個方面評價內部審計是否有效。
如果認定審計委員會對內部控制的監督無效,或認定內部審計機構對內部控制的監督無效,則都應認定內部控制存在重大缺陷。
2.根據內部控制重大缺陷定義來認定、披露
參照在美上市公司的做法,無論是否存在表明內部控制可能存在重大缺陷的跡象,公司都須按照內部控制重大缺陷的定義來認定。由于該方法在很大程度上依賴內部控制評估人員的專業判斷,因此不同公司對同一事項可能會得到完全不同的結論。借鑒在美上市公司重大缺陷認定,以下情形應考慮認定為內部控制重大缺陷:(1)缺乏熟悉公認會計原則的會計人員,或會計人員缺乏應有的會計專業知識,或因離職造成會計人員不足;(2)不相容職務相互分離存在重大缺陷;(3)缺乏及時、充分的復核及監督。此外,如果認定某個賬戶或交易層面內部控制存在重大缺陷,就應該考慮與之相關的企業層面內部控制是否存在重大缺陷,以及與之相聯系的其他賬戶或交易層面內部控制是否存在重大缺陷;無論存在企業層面的內部控制重大缺陷,還是賬戶或交易層面的內部控制重大缺陷,都應考慮審計委員會及內部控制監督職能是否存在重大缺陷。
(二)重大缺陷的披露
我國上市公司在年度報告中如何披露內部控制評價信息,預計到2011年年報編制時才會有正式的規定出臺。本文認為,重大缺陷披露應該體現重大缺陷認定的原因,即在披露任何一個重大缺陷時,都應該披露為什么存在該重大缺陷:有表明內部控制可能存在重大缺陷的重大跡象,還是滿足內部控制重大缺陷的定義?在披露某個賬戶或交易層面內部控制的重大缺陷時,應披露審計委員會及內部審計監督可能存在的重大缺陷,與該賬戶或交易層面內部控制的重大缺陷相關的企業層面內部控制可能存在的重大缺陷,以及與之相聯系的其他賬戶或交易層面內部控制可能存在的重大缺陷。應借鑒Hammersley等(2008)等的研究發現,披露內部控制重大缺陷的細節。特別需要注意的是,在披露內部控制重大缺陷同時應披露整改行動。
六、結論
本文研究了《薩班斯—奧克斯利法案》執行初期在美上市公司披露的財務報告內部控制重大缺陷的認定及披露,并結合我國的相關規定,分析了對我國上市公司執行《企業內部控制基本規范》及其配套指引的借鑒作用。
本文發現,在美上市公司的許多重大缺陷是根據內部控制審計準則指出的、表明公司內部控制可能存在重大缺陷的重要跡象來認定的;其他的則通過重大缺陷的定義來認定。披露的內部控制重大缺陷涉及COSO《內部控制—整合框架》五要素的幾乎所有內容,以及資產負債表和利潤表的幾乎所有項目。僅有部分公司披露導致交易或賬戶層面重大缺陷的企業層面內部控制重大缺陷。同時,僅有部分公司披露受賬戶或交易層面內部控制重大缺陷影響的所有賬戶;相當數量的公司只披露其中的一個賬戶;絕大部分公司在披露內部控制重大缺陷時會同時披露其整改行動。
我國《企業內部控制評價指引》沒有規定重大缺陷、重要缺陷和一般缺陷的具體認定標準,而是由企業根據這幾種缺陷的定義自行確定。這無疑增加了企業認定內部控制重大缺陷的難度,可能導致一些重大缺陷無法被認定并披露。本文認為,我國上市公司可以借鑒我國《企業內部控制審計指引》列出的、表明內部控制可能存在重大缺陷的跡象來認定,同時根據內部控制重大缺陷的定義來認定。在披露時,應該體現重大缺陷認定的原因,即在披露任何一個重大缺陷時,都應該披露為什么存在該重大缺陷,以及與之相聯系的其他內部控制可能存在的重大缺陷。此外,應注意披露內部控制重大缺陷的細節,且應同時披露整改行動。最后,對于監管機構而言,應總結實施中的經驗和問題,盡早出臺相關的規范,以規范《企業內部控制基本規范》及其配套指引的實施。
注釋:
①限于篇幅,本文不再列示;如需索取請與作者聯系。
一、風險導向審計在我國運用的現狀
1.審計理論方面
首先,在對審計風險的認識上,學者們各抒己見:秦榮生(2003)將“風險”理解為控制風險;謝榮、吳建友(2004)認為,會計報表風險說到底實際上是企業經營風險的副產品;胡春元(2002)指出審計風險為訴訟風險。
其次,還有許多學者對風險導向審計在我國的應用方面做了深入研究,如:吳向陽(2005)、王會金(2006)等都對其運用的可行性及存在的困難做了全面分析,并就此提出實施的具體措施。
此外,北京國家會計學院正在同世界銀行合作開發風險導向審計的課題;上海國家會計學院也專門成了一個實驗室研究風險導向審計問題。
2.審計實踐方面
目前,我國的審計模式仍處于制度基礎審計的階段,多數審計人員將主要精力放在具體交易事項或期末余額的細節測試上,這也是導致目前審計市場舞弊事件頻發的主要原因。而對于風險導向審計模式,我國尚處于了解和認識階段,但已有少部分事務所在對大型企業或上市公司進行審計時,嘗試著運用這種模式。相信隨著我國審計環境的改善和注冊會計師(CPA)執業水平的提高,會有更多的事務所選擇風險導向審計模式。
3.審計準則方面
自1994年至1999年,中注協先后制定和頒布了三批共35個準則項目,其中有些條款已經體現了風險導向審計的要求,如:獨立審計準則第8號《錯誤與舞弊》、第9號《內部控制與審計風險》、第17號《持續經營》等。
2006年2月15日,財政部了48項CPA審計準則,新準則充分體現了風險導向審計的要求,為CPA的實務操作提供了依據。
以上可以看出,風險導向審計在我國審計實務中運用還很少,但在理論上和準則制定方面都有了較好的基礎,尤其新準則的更將推動風險導向審計的運用。
二、我國新審計準則的核心――現代風險導向審計
我國新審計準則體系在借鑒了IAASB 的新國際審計風險準則(2003) 的基礎上,全面引入現代風險導向審計模式。其中最能體現這一核心的準則包括:中國注冊會計師審計準則第1101號“財務報表審計的目標和一般原則”、1211號“了解被審計單位及其環境并評估重大錯報風險”、1231號“針對評估的重大錯報風險實施的程序”和1301號“審計證據”。這4項準則,全面列示了風險導向審計模式中風險的評估和風險的應對等內容,下面將通過新舊準則的對比,來分析新準則在推進風險導向審計方面的改進。
1.審計風險要素的變化導致審計風險模型的轉變
舊準則第9號(1996)第三條:審計風險,是指會計報表存在重大錯報或漏報,而CPA審計后發表不恰當審計意見的可能性。它包括固有風險、控制風險和檢查風險。新準則第1101號“財務報表審計的目標和一般原則”第十七條:審計風險是指財務報表存在重大錯報而CPA發表不恰當審計意見的可能性。第十八條:審計風險取決于重大錯報風險和檢查風險,CPA應當實施審計程序,評估重大錯報風險,并根據評估結果設計和實施進一步審計程序,以控制檢查風險。
審計風險模型要素的變化使得風險模型從:審計風險=固有風險×控制風險×檢查風險,轉變成:審計風險=重大錯報風險×檢查風險。
從風險模型的轉變上可以看出,新準則引入了“重大錯報風險”這一要素,但這并不是將固有和控制風險簡單的合并,而是將戰略管理理論引入其中,對風險的認識提升到一個新的層次。新準則要求以評估重大錯報風險為導向、以“審計風險控制到位”為理念,來合理設計審計工作,履行審計責任,實現審計目標。
2.針對不同層次的重大錯報風險采取不同應對措施
新審計風險模型中的“重大錯報風險”包括財務報表整體層次和認定層次的重大錯報風險。其中,前者是指財務報表整體不能反映企業經營實際狀況的可能性;后者是指交易類別、賬戶余額、披露和相關的其它具體認定層次經濟事項本身的性質和復雜程度與實際不符,企業管理當局由于本身的認識和技術水平,以及由于企業管理當局局部或個別人員舞弊或造假造成錯報的可能性。
新的風險模型要求CPA區分財務報表層和認定層,評估重大錯報風險,對于報表層重大錯報風險確定總體應對措施,第1231號“針對評估的重大錯報風險實施的程序”第五條詳細列出了可采用的總體應對措施。而對于認定層次重大錯報風險應設計和實施進一步審計程序。其中“進一步審計程序”是指CPA針對評估的各類交易、賬戶余額、列報(包括披露)認定層次重大錯報風險實施的審計程序,包括控制測試和實質性程序。
原有的風險準則和模型盡管也提到要評估財務報表層的固有風險,但并沒有明確指出要針對其采取總體應對措施,也沒有強調評估的報表層錯報風險對認定層總體審計方案的重大影響。這容易導致不重視對報表層錯報風險的評估,忽視在報表層運用風險模型,割裂報表層和認定層錯報風險間的聯系,難以發揮風險模型的效用。
3.審計風險模型的轉變促成審計業務流程的改進
舊準則依據“審計風險=固有風險×控制風險×檢查風險”,把審計業務流程分為四部分:(1)了解被審計單位情況,評估固有風險;(2)了解內部控制;(3)(必要時)控制測試,評估控制風險;(4)實質性測試,降低檢查風險。第1部分由原準則第21號“了解被審計單位情況”來規范,其他部分由第9號“內部控制及審計風險”來規范。
新準則依據“審計風險=重大錯報風險×檢查風險”,把審計業務流程分為三部分:(1)了解被審計單位及其環境,包括內控(為評估報表層、認定層重大錯報風險);(2)(必要時)控制測試(為測試內控的有效性,并據此重新評估認定層重大錯報風險);(3)實質性程序(為發現認定層重大錯報,降低檢查風險),其中2、3部分即前面提到的“進一步審計程序”。新準則第1211號“了解被審計單位及其環境并評估重大錯報風險”對流程第1部分進行規范,第1231號“針對評估的重大錯報風險實施的程序”和第1301號“審計證據”對第2、3部分進行規范。
流程改進后,要求CPA將風險評估作為整個審計工作的前提和基礎,全程關注報表重大錯報風險。可見,能否合理評估報表重大錯報風險,將成為衡量事務所及CPA專業勝任能力、考驗審計質量的關鍵因素,這將對我國不少事務所現行審計思路和整體勝任能力提出嚴峻挑戰。
此外,新準則還特別強調了CPA應保持職業懷疑態度以提高發現重大錯報的概率、強調審計項目組內討論的積極作用以共享審計經驗和資源等,這些以往都沒有涉及。當然,新的準則和模型并沒有改變審計目標和責任的基本定位,只是改進了審計理念和工作方法,以指導CPA更好地實現審計目標和履行職業責任,服務于社會公眾。
三、新審計準則對推廣風險導向審計的作用和要求
新審計準則在為CPA執業提供指導的同時,也強調了CPA的執業責任,因此在運用好新準則的基礎上大力推廣風險導向審計,應從以下幾個方面入手:
1.全面樹立風險審計理念
審計實務要遵循審計準則,首先要求CPA摒棄傳統審計觀念,全面樹立風險導向審計理念,同時掌握相應的審計方法和程序。在審計實務中,CPA應將風險導向審計與制度基礎審計、賬項基礎審計結合起來運用,即在風險導向審計觀念下,客觀評價被審計單位外部環境、內部控制制度,發現會計報表重大錯報風險,對評價出的高風險領域,實施詳細的賬項審計,從而有效地控制風險,節約審計成本。
2.努力提高審計人員素質
審計人員素質是影響風險導向審計推廣效果的關鍵因素。新準則要求CPA審計時要全面了解被審計單位的情況,即CPA應具備與客戶所在行業與企業相關的知識結構。與此同時,會計師事務所也要實現隊伍的優化組合,并對項目審計小組進行科學配備。新準則強調,審計執業中,CPA必須堅持職業懷疑態度,這對CPA的職業道德修養有了更高的要求,防止審計行為走向極端。另外,CPA協會應該加強培訓,擴大及方便CPA對各行業政策、知識的學習,增強專業判斷能力,以適應風險導向審計應用的要求。
3.建立健全企業內控機制
一、中國內部控制審計存在的主要問題
(一)審計工作缺乏相應的制度保障
目前中國出臺了針對證券公司的內部控制有效性應當由獨立審計人員進行評估并發表審計意見的相關政策法規,例如《企業內部控制基本規范》、《首次公開發行股票并上市管理辦法》和《證券公司內部控制指引》等。但是如何審計目前還沒有具體的操作規則。在財務舞弊、金融詐騙層出不窮的今天,政府制定一個能夠幫助企業預防和發現內部控制重大缺陷或實質性漏洞的相關制度規定是必要的,準則的制定具有了制度的保障,一方面可以有效執行財務報告內部控制的審計標準,另一方面可以有效地遏制財務舞弊的發生。
(二)內部控制標準缺乏統一性和科學性
相關監管部門應該根據具體情況,制定統一的、科學的內部控制標準,以便更好提供和評估內部控制報告。由于中國企業的內部控制還缺乏經驗,所以對相關監管部門頒布類似COSO報告框架的標準是非常有必要的,為中國的上市公司管理有效的設計和對財務報告體系的評價提供一個統一的標準,并能有效地實施內部控制。
(三)內部控制相關準則缺失
為了提高財務信息披露的質量,促進市場經濟快速、健康發展,中國上市公司應加快企業內部控制自我評估報告,盡快建設對上市公司內部控制的編制制度,強制要求上市公司的內部控制必須進行審計,要盡快制定內部控制審計準則,提高審計質量,控制審計風險成本,充分發揮審計作用。
二、國外內部控制審計經驗對中國的啟示
(一)堅持成本效益原則
成本效益始終是影響內部控制審計實施的重要問題。從美國、日本等國的經驗可以看出,最終會影響到中國企業內部控制審計發展的成本效益問題必須得到解決。中國內部控制審計的有效實施,在審計準則的制定時必須防范審計策略的成本過高問題;在實施審核時還必須控制審計成本的降低對策。降低成本是解決審計成本過高的根本對策,而降低成本的一個有效途徑就是整合企業財務報表審計和內部控制審計。在實施審核時,可以實現同時滿足內部控制測試和實質性測試的兩個目標的審計程序,以降低成本,從而提高收益。
(二)制定內部控制審計的評價標準
內部控制屬于一項鑒證業務,并且獨立于審閱業務和歷史財務信息審計業務。在執行后兩項審計業務時,企業及其相關人員必須遵循企業會計制度規定和依據會計準則辦事。同樣,在進行企業內部控制審計時,CPA也需要有一定的評價標準去遵循,而該標準是否合理直接影響著整個審計意見的發表。對財務報告內部控制的審計和評價標準的制定比較困難,因為該項審計的對象屬于非財務數據,本身又具有特殊性。
(三)制定內部控制審計的應用指南及相關審計準則
控制審計的應用指南及相關審計準則的推出非常必要,也很關鍵。中國相關監管部門的重點工作應該放在研究審計實踐中出現的不同情況,并在學習實踐中不斷完善。目前,中國還沒有統一完整的內部控制體系,尤其是以企業財務報表內部控制為核心的審計體系更是缺乏。據于財務報表內部控制審計的重要性,建立一套完整的內部控制審計指南和相應的審計準則尤為重要。如果對財務報告的編制過程中沒有評估和審核,那么財務報告也就沒有參考的意義。只有保證財務報告內部控制系統的設計和實施是有效的,才能在合理的范圍內,通過審計進一步確定財務報告過程的有效性,從而為財務報告審計做好基礎。我們應該借鑒美國、日本等發達國家的有益經驗和實踐做法,并結合中國企業內部控制的具體情況,制定行之有效的內部控制審計的應用指南及相關審計準則。
(四)重視信息技術在內部控制審計中的應用
論文摘要:回顧IS審計的發展歷程,進而披露IS審計在我國的發展現狀,并對產生問題的原因進行剖析,最后對如何構建完善的Is審計模型提出解決策略。
Is審計,是指Informationsystemauditing,即信息系統審計,它是指審計組織以信息技術為手段,組織計劃審計項目,實施審計的全過程,以判斷該信息系統是否安全、可靠和有效,并對信息系統對財務報告的影響做出判斷或單獨提出信息系統審計報告的全過程。以確認審計風險或評價企業信息戰略、優化組織運營為目標,對組織營運所依賴的信息系統進行獨立、客觀確認和咨詢活動。信息系統審計的內容包括兩個方面:一是以信息技術為手段所開展審計工作的全過程,即計算機輔助審計技術(CAAT);二是指審計部門以組織的信息系統為對象,以風險評估或內部控制檢查為手段,對該系統所產生的會計信息系統的真實性、合法性做出確認或通過優化企業信息管理,增加企業核心競爭能力即信息系統的審計或EDP審計。信息系統審計與控制協會——ISACA成立于1969年,最初稱為EDP審計師聯合會,總部在美國的芝加哥。目前該組織在世界上100多個國家設有160多個分會,現有會員兩萬多人。是信息系統審計的專業人員唯一的國際性組織,CISA(CertiifedInformationSystemAuditor)也是這一領域的唯一職業資格。該組織通過制定和頒布信息系統審計準則、實務指南等專業標準來規范和指導信息系統審計師的工作;它還設立了信息系統審計與控制基金會,從事相關領域的研究工作,以使該組織的成員能夠享用其最新研究成果;通過在世界各地舉辦各種形式的研討會、培訓班等活動,增進國際間同業人員的交流。ISACA每年還舉辦CISA資格考試,通過考試的人員可以申請CISA資格,符合ISACA規定的工作經驗及其他相關要求的申請人會被授予CISA資格。
1 IS審計發展歷程回顧
在信息系統審計的萌芽階段,人們稱之為電子數據處理審計(electronicdataprocessingauditing)或計算機審計,它是作為傳統審計業務的擴展發展起來的。早期的計算機應用比較簡單,相應地,計算機審計業務主要關注對被審計單位電子數據的取得、分析、計算等數據處理業務,還稱不上信息系統審計。從財務報表審計的角度來看,這一階段的主要業務內容是對交易金額和賬戶、報表余額進行檢查,屬于審計程序中的實質性測試環節。此時,它只是傳統財務審計業務的一種輔助工具,對客戶的電子化會計數據進行處理和分析,為財務報表審計人員提供服務。
隨著計算機技術應用范圍的不斷擴展,計算機對被審計單位各個業務環節的影響越來越大,計算機審計所關注的內容也從單純的對電子的處理延伸到對計算機系統的可靠性、安全性進行了解和評價。在制度基礎審計的模式下,計算機審計的業務內容已經擴展到了符合性測試領域。風險基礎的審計模式的采用以及信息技術在被審計單位的各個領域的廣泛應用,信息系統的安全性、可靠性與其所服務的組織所面臨的各種風險的聯系越來越緊密,并且直接或間接地影響到財務報表的真實、公允。在這種情況下,對被審計單位風險的評估必須將計算機信息系統納入考慮范圍。發展到這一階段,計算機審計的業務范圍已經覆蓋了一項審計業務的全過程,計算機審計這一概念已經不能反映這一業務的全部內涵,信息系統審計的概念隨之出現。
1.1在建立信息系統審計制度,開展信息系統審計研究方面,美國走在前面
早在計算機進入實用階段時,美國就開始提出系統審計(SYSTEMAUDIT)。1969年在洛杉磯成立了電子數據處理審計師協會(EDPAA),1994年該協會更名為信息系統審計與控制協會(INFORMATIONSYSTEM AUDITANDCONTROLASSOCIATION)即ISACA。美國是首先對網上財務信息的審計直接頒布指導性文件的國家。注冊會計師協會(AICPA)為指導其會計師事務所成員,于1997年1月頒布了名為《互聯網上的財務報告》(FinnacialStatementsontheIntemet)的指導性文件。該文件于1999年8月15日更新,是現階段的最新版本。該指導性文件詳細表明了美國注冊會計師協會審計和鑒證組成員的立場。他們指出網上財務報告的使用者不同于傳統印刷版財務報告的使用者,網上披露財務信息只是一種營銷手段,網絡為企業提供了時常更新其信息的可能性。
1.2 2001年1月,英國審計職業委員會(APB)頒布了
《網上審計報告公告》(ElectmnicPublicationofAuditorsReports)該公告主要解決了以下幾個問題:(1).檢查電子版財務信息的生成。(2).審計報告的用詞。在對應印刷版財務報表的審計報告中,審計報告往往通過頁碼范圍來確認已審計的財務報表。然而在網站上所的財務報表和審計報告中,使用頁碼范圍已不合時宜,因此APB建議直接使用財務報表名稱來取代頁碼范圍;同時需要在審計報告中指出所使用的通用會計準則和審計準則的國籍。(3).信息間的鏈接。APB非常關注已審計信息和未審計信息之間使用超鏈接的問題。APB建議審計師應要求“在信息使用者通過超鏈接從已審計信息跳到非審計信息時,網站應能向使用者發出警告信息”。
13澳大利亞審計與鑒證準則委員會(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先對網上財務信息審計作出指導的審計準則制定者。AASB于1999年頒布了審計指導聲明(AGS)1050《與電子方式呈報財務報告相關的審計問題》。AGS1050的目的在于“當公司利用信息技術在公共網絡如互聯網上已審計財務信息時,就一些問題為審計師提供一定的指導”。AASB在AGS1050中重述了審計的基本準則,并強調“電子方式財務報告并沒有改變管理當局和審計師的責任”,即財務報告的主要責任仍在管理當局。
1.4日本的系統審計是從八十年代開始,1983年通產省公開發表了《系統審計標準》,并在全國軟件水平考試中增加了“系統審計師”一級的考試,著手培養從事信息系統審計的骨干隊伍
2 IS審計在我國發展現狀及存在問題剖析
近年來,我國審計信息化建設在納入國家信息化建設(即:金審工程)范圍后,有了較快發展。在信息技術和網絡技術方面逐漸形成體系,審計業務軟件開發應用中也有了較快發展。但審計信息化建設在實際工作中,還存在一些不容忽視的問題,這些問題如不妥善解決將影響審計信息化建設和發展進程。
2.1審計人員對信息系統審計理解偏差,信息系統審計水平匱乏
在注冊會計師的行業,由于我國CPA的市場化建設及推行較晚,現行的CPA的素質較低。同時在CPA的考試中也沒有計算機方面的要求,因此絕大多數的CPA運用計算機的水平很低。CPA的審計工作仍然是傳統的手工審計。計算機僅僅用作文字處理或者基本不用。有些單位計算機專業技術人員只占在職人員總數的5%左右,與審計信息化建設和發展的需要還有較大差距;同時由于計算機技術的飛速發展與知識更新培訓的不足,許多審計人員的計算機應用水平及相關技能無法得到同步提高,計算機應用仍停留在較低水平上,計算機功能也沒有得到充分發揮。主要體現在應用意識不強,操作技能還不熟練。因而審計系統計算機人材缺乏的問題,也是制約審計信息化建設和發展的因素之一。
2.2信息系統審計理論研究幾乎是空白
信息系統審計工作目前還處于探索階段,還沒有形成一套成型的專業規范理論結構。會計、審計界所進行的一些信息系統審計的探索和嘗試以及開發的一些信息系統審計軟件,還大都停留在對被審計單位的電子數據進行處理的階段。
2.3信息系統審計硬件條件嚴重不足
2.4信息系統審計軟件條件嚴重欠缺
雖然我國的網絡財務軟件較國際先進水平的差距不大,但是由于推出較晚,目前使用面還不廣。同時網絡財務軟件的設計沒有考慮審計軟件設計的需要,使得審計軟件的數據收集以及其功能的發揮受到很大的制約。
2.5 IS審計信息化建設效益低
2.6 IS審計成本不斷攀升
2.7 IS審計業務水平不滿足信息化發展的的要求
2.8 IS審計準則及專業規范不到位
我國的信息系統審計工作目前還處于探索階段,還沒有形成一套成形的專業規范。目前我國會計審計界所進行的一些計算機審計的探索和嘗試以及開發的一些計算機審計軟件還大都停留在對被審計單位的電子數據進行處理的階段。
運用傳統的會計審計知識已經不能對這樣的客戶進行風險評估、內控測試與評價,從而無法進行真正意義上的“風險基礎模式”的審計業務,影響我國會計師行業審計業務質量。這一現狀使得我國的注冊會計師行業在與國外大型會計公司的競爭中處于不利地位。
3基于新經濟時代的完善的IS審計模型的構建策略
新經濟是建立在網絡經濟和技術創新基礎上的一種經濟形態,以信息網絡為代表的高新技術產業,正在世界范圍內,尤其是發達國家飛速發展。因此,審計信息化建設和發展關系到我國審計事業的興衰,體現著我國審計事業發展水平。為此,構建完善的Is審計模式成為當務之急:
