您的位置  首頁 >> 會計師沙龍 >> 政策解讀 >> 正文
解讀內控審計報告——兼談與財務審計報告的差異
[來源:本站 | 作者:原創 | 日期:2013年1月29日 | 瀏覽4640 次] 字體:[ ]
根據內部控制基本規范的規定,管理層需要對其
內部控制進行自我評價,出具自評報告,并在年度報
告中披露該自評報告。既然該報告能為預期使用者所
獲取,為何《企業內部控制審計指引》中規定內部控
制審計的對象是財務報表內部控制,而非企業的財務
報表內部控制自評報告?或者說規定內部控制審計是
一項直接報告業務而非一項基于責任方認定的報告業
務呢?本文先從鑒證類業務報告類型角度進行剖析。
一、關于鑒證類業務報告類型
鑒證類業務分為兩種,一種是基于責任方認定的
業務,一種是直接報告業務。
所謂基于責任方認定的業務,是由責任方(管理
層)對鑒證對象進行評價和計量,鑒證對象信息以責
任方認定的形式為預期使用者獲取。比如財務報表審
計,由被審計單位管理層(責任方)對財務狀況、經
營成果和現金流量(鑒證對象)進行確認、計量和列
報而形成財務報表(鑒證對象信息),注冊會計師針對
財務報表出具審計報告。
而直接報告業務,是注冊會計師直接對鑒證對象
進行評價或計量,或者從責任方獲取對鑒證對象評價
或計量的認定,而該認定無法為預期使用者獲取,預
期使用者只能通過閱讀鑒證報告獲取鑒證對象信息。
如在內部控制鑒證業務中,注冊會計師可能無法從管
理層(責任方)獲取其對內部控制有效性的評價報告
(責任方認定),或雖然注冊會計師能夠獲取該報告,
但預期使用者無法獲取該報告,注冊會計師直接對內
部控制的有效性(鑒證對象)進行評價并出具鑒證報
告,預期使用者只能通過閱讀該鑒證報告獲得內部控
制有效性的信息(鑒證對象信息)。這種業務屬于直接
報告業務。
二、內部控制審計釋義
內部控制審計是會計師事務所接受委托,對特定
基準日企業內部控制設計與運行的有效性進行審計,
并發表審計意見,審計內容包括企業治理結構、機構
設置、企業文化、人力資源政策等內部控制環境因素,
以及企業識別風險的評估程序、應對風險的具體措施
和信息傳遞有效性、保證內部控制規范建設和有效運
行的機制等,全面評價企業設計和運行的內部控制是
否能夠合理保證財務報告及相關信息合法、真實、完
整,以及用于保護資產安全的內部控制是否可靠。
企業內部控制審計意見包括無保留意見、否定意
見和無法表示意見三種類型。如果注冊會計師審計后
認為企業內部控制在所有重大方面是有效的,則出具
無保留意見的內部控制審計報告;如果注冊會計師認
為企業內部控制存在重大缺陷,則出具否定意見內部
控制審計報告;如果注冊會計師審計范圍受到限制,
則應當解除業務約定或出具無法表示意見的內部控制
審計報告。
中國證監會首席會計師賈文勤在出席中國內部審
計協會主辦、中天恒會計師事務所協辦的“內部控制
信息化——內部控制與內部審計2011 秋季高峰論壇”
時表示,證監會企業內部控制實施工作小組正在制定
內部控制實施和評價工作的監管規程,用于指導監管
人員的日常監管工作,提高監管工作的效率和質量。
就下一步證監會對上市公司內部控制建設和信息披露
監管工作,賈文勤強調,“一是信息披露的范圍界定在
財務報告內部控制領域;二是除了在年報中披露相關
內部控制建設及運行狀況的信息外,還必須披露董事
會的內部控制自我評價報告以及注冊會計師的內部控
制審計報告。需要注意的是注冊會計師的審計報告不
是對董事會自我評價報告的鑒證,而是對公司財務報
告內部控制本身的審計報告;三是要注意評價報告的
內容宜簡不宜繁,突出重點,保證評價報告的可讀性。”
上述表明證監會認為內部控制審計報告應當屬于直接
報告業務,而不是基于責任方認定的報告業務。
2010 年末財政部會計司組織的研究課題成果《企
業內部控制審計:政策解讀與操作指引》也明確表述
內部控制審計為直接報告業務。但是,從中注協發布
的《內部控制審計指引實施意見》看,其中的種種表
述似乎又意味著審計報告后需要附送內部控制自我評
價報告,所以這個問題尚無明確結論。在北京國家會
計學院舉辦的一次內部控制審計培訓班上,楊志國副
秘書長也明確內部控制審計是一項直接報告業務。關
于這個問題,經咨詢中注協標準部相關人士,答復是
無論是直接報告業務還是基于責任方認定的報告,其
實施的審計程序都是一樣的,所以也沒有必要繞來繞
去的,索性直接對內部控制發表意見。既然是直接報
告業務,那就沒必要在審計報告后面附上自我評價報
告了。
三、企業內部控制審計與財務報告審計的聯系
企業內部控制審計與財務報告審計兩種意見類型
相互關聯,但并非一一對應。例如,在執行內部審計
過程中,注冊會計師發現企業財務報告內部控制存在
重大缺陷,應該出具否定意見的內部控制審計報告。
如果該內部控制重大缺陷尚未引起企業財務報告的重
大錯報,注冊會計師則出具標準意見的財務報告審計
報告。又如,注冊會計師對企業財務報告發表否定意
見,意味著財務報告的編制不符合適用的會計準則和
會計制度的規定,這種情況下,企業的內部控制也通
常存在重大缺陷,應該出具否定意見的內部控制審計
報告。
因此,企業內部控制審計能夠比財務報告審計提
供更進一步的信息,有利于投資者在財務報告審計意
見類型基礎上,深入分析企業內部控制情況、投資風
險和投資價值。
企業內部控制審計與財務報告審計有何聯系呢?
中注協負責人就發布《企業內部控制審計指引實
施意見》答記者問提及,企業內部控制的了解和測試,
及其有效性評估是制定財務報告審計策略、實施進一
步審計程序的基礎和前提。因此,內部控制審計和財
務報告審計存在著多方面聯系,主要體現在以下五個
方面:
一是兩者的最終目的一致,雖然二者各有側重,
但最終目的均為提高財務信息質量,提高財務報告的
可靠性,為利益相關者提供高質量的信息。
二是兩者都采取風險導向審計模式,注冊會計師
首先實施風險評估程序,識別和評估重大缺陷(或錯
報)存在的風險。在此基礎上,有針對性地采取應對
措施,實施相應的審計程序。
三是兩者都要了解和測試內部控制,并且對內部
控制有效性的定義和評價方法相同,都可能用到詢問、
檢查、觀察、穿行測試、重新執行等方法和程序。
四是兩者均要識別重點賬戶、重要交易類別等重
點審計領域。注冊會計師在財務報告審計中,需要評
價這些重點賬戶和重要交易類別是否存在重大錯報;
在內部控制審計中,需要評價這些賬戶和交易是否被
內部控制所覆蓋。
五是兩者確定的重要性水平相同。注冊會計師在
財務報告審計中確定重要性水平,旨在檢查財務報告
中是否存在重大錯報;在財務報告內部控制審計中確
定重要性水平,旨在檢查財務報告內部控制是否存在
重大缺陷。由于審計對象、判斷標準相同,因此二者
在審計中確定的重要性水平亦相同。
審計指引第五條規定,注冊會計師可以單獨進行
內部控制審計,也可以將內部控制審計與財務報表審
計整合進行(以下簡稱整合審計)。
在實務中,財務報告內部控制審計與財務報表審
計兩者很難分開。因為注冊會計師在審計財務報表時
需獲得的信息在很大程度上依賴注冊會計師對內部控
制有效性得出的結論。注冊會計師可以利用在一種審
計中獲得的結果為另一種審計中的判斷和擬實施的程
序提供信息。
實施財務報表審計時,注冊會計師可以利用內部
控制審計的結果來修改實質性程序的性質、時間安排
和范圍,并且可以利用該結果來支持分析程序中所使
用的信息的完整性和準確性。在確定實質性程序的性
質、時間安排和范圍時,注冊會計師需要慎重考慮識
別出的控制缺陷。
實施內部控制審計時,注冊會計師需要評估財務報
表審計時實質性程序中發現問題的影響。最重要的是,
注冊會計師需要重點考慮財務報表審計中發現的財務
報表錯報,考慮這些錯報對評價內控有效性的影響。
四、企業內部控制審計與財務報告審計的區別
我們先來看鑒證類業務,基于責任方認定的業務
和直接報告業務的區別主要表現在以下四個方面。
(一)預期使用者獲取鑒證對象信息的方式不同
在基于責任方認定的業務中,預期使用者可以直
接獲取鑒證對象信息(責任方認定),而不一定要通過
閱讀鑒證報告。
在直接報告業務中,可能不存在責任方認定,即便
存在,該認定也無法為預期使用者所獲取。預期使用者
只能通過閱讀鑒證報告獲取有關的鑒證對象信息。
(二)注冊會計師提出結論的對象不同
在基于責任方認定的業務中,注冊會計師提出結
論的對象可能是責任方認定,也可能是鑒證對象。此
類業務的邏輯順序是:首先,責任方按照標準對鑒證
對象進行評價和計量,形成責任方認定,注冊會計師
獲取該認定;然后,注冊會計師根據適當的標準對鑒
證對象再次進行評價和計量,并將結果與責任方認定
進行比較;最后,注冊會計師針對責任方認定提出鑒
證結論,或直接針對鑒證對象提出結論。
在直接報告業務中,無論責任方認定是否存在、
注冊會計師能否獲取該認定,注冊會計師在鑒證報告
中都將直接對鑒證對象提出結論。
(三)責任方的責任不同
在基于責任方認定的業務中,由于責任方已經將
既定標準應用于鑒證對象,形成了鑒證對象信息(即
責任方認定)。因此,責任方應當對鑒證對象信息負責。
責任方可能同時也要對鑒證對象負責。例如,在財務
報表審計中,被審計單位管理層既要對財務報表(鑒
證對象信息)負責,也要對財務狀況、經營成果和現
金流量(鑒證對象)負責。
在直接報告業務中,無論注冊會計師是否獲取了
責任方認定,鑒證報告中都不體現責任方的認定,責
任方僅需要對鑒證對象負責。
(四)鑒證報告的內容和格式不同
在基于責任方認定的業務中,鑒證報告的引言段
通常會提供責任方認定的相關信息,進而說明其所執
行的鑒證程序并提出鑒證結論。
在直接報告業務中,注冊會計師直接說明鑒證對
象、執行的鑒證程序并提出鑒證結論。
現在,回過頭來,既然企業內部控制審計與財務
報告審計的存在多方面的密切聯系,但財務報告審計
是為了提高財務報告的可信賴程度,重在審計“結
果”;在財務報表審計中,只有在以下兩種情況下才
強制要求對內部控制進行測試:在評估認定層次重大
錯報風險時,預期控制的運行是有效的(即在確定實
質性程序的性質、時間安排和范圍時,注冊會計師擬
信賴控制運行的有效性);或者僅實施實質性程序并不
能夠提供認定層次充分、適當的審計證據。而內部控
制審計是對保證企業財務報告質量的內在機制的審
計,重在審計“過程”。審計對象、重點等的不同,
使得二者存在實質性差異,內部控制審計獨立于財務
報告審計。我國《企業內部控制基本規范》要求會計
師事務所對企業內部控制的有效性進行審計,出具審
計報告,并專門制定《企業內部控制審計指引》規范
內部控制審計工作。
二者差異主要體現在五個方面:
首先,對內部控制了解和測試的目的不同。注冊
會計師在財務報告審計中評價內部控制的目的,是為
了判斷是否可以相應減少實質性程序的工作量,以及
支持財務報告的審計意見類型;在內部控制審計中評
價內部控制的目的,則是為了對內部控制本身的有效
性發表審計意見。
第二,內部控制測試范圍存在區別。注冊會計師
在財務報告審計中,根據成本效益原則可能采取不同
的審計策略,對于某些審計領域,可以繞過內部控制
測試程序進行審計。而在內部控制審計中,注冊會計
師則不能繞過內部控制測試程序進行審計,注冊會計
師應當針對每一審計領域獲取控制有效性的證據,以
便對內部控制整體的有效性發表意見。
第三,內部控制測試結果所要達到的可靠程度不
完全相同。在財務報告審計中,對控制測試的可靠性
要求相對較低,注冊會計師測試的樣本量也有一定的
彈性。在內部控制審計中,注冊會計師則需要獲取內
部控制有效性的高度保證,因此對控制測試的可靠性
要求較嚴,樣本量選擇相對彈性較小。
第四,兩者對控制缺陷的評價要求不同。在財務
報告審計中,注冊會計師僅需將審計過程中識別出的
內部控制缺陷區分為值得關注的內部控制缺陷和一般
缺陷。而在內部控制審計中,注冊會計師需要對內部
控制缺陷進行嚴格的評估,將值得關注的內部控制缺
陷進一步區分為重大缺陷和重要缺陷。重大缺陷將影
響到審計意見的類型。
第五,審計報告的內容不同。在財務報告審計中,
注冊會計師一般不對外報告內部控制的情況,除非內
部控制影響到對財務報告發表的審計意見。在內部控
制審計中,注冊會計師應報告內部控制的有效性。
從以上五個方面可以看出,兩者差異主要是具體
目標、保證程度、評價要求、報告類型等屬性上的實
質性差異,這些決定了內部控制審計獨立于財務報告
審計。但在技術層面和實務工作中,兩者審計模式、
程序、方法等存在著相同之處,風險識別、評估、應
對等大量工作內容相近,有很多的基礎工作可以共享,
在一項審計中發現的問題還可以為另一項審計提供線
索和思路。因此,這兩項審計工作完全可以整合進行,
而由同一家事務所進行整合審計,不僅有利于提高審
計效果和效率,降低審計成本,減少重復勞動,而且
可以避免審計判斷出現不一致的情形,降低企業聘請
不同事務所實施審計的負擔。
博友彩下载