高立法
作者簡介:北京科技大學教授、知名會計實務專家、企業(yè)財務顧問、高級編審,財務暢銷書作者。
當前,全球經(jīng)濟進一步融合,以信息技術為代表的新經(jīng)濟不斷涌現(xiàn)。它為內部控制和風險管理增加了更多的不確定性。內部控制與風險管理是董事會、管理層、內部審計師和外部審計師充分履行職責,在可以控制的范圍內控制和管理風險的系統(tǒng)過程。我國2008年5月出臺的《企業(yè)內部控制基本規(guī)范》將于2009年7月1日起在上市公司范圍內施行,并鼓勵非上市的大中型企業(yè)執(zhí)行。這一重要規(guī)范的出臺,必將會對我國會計、公司治理、證券市場監(jiān)管產(chǎn)生重大而深遠的影響。但所謂"冰凍三尺非一日之寒",財務舞弊的根源由來已久,該規(guī)范能否起到預期的效果還有待時間的檢驗。結合我國企業(yè)正處于轉軌時期這一現(xiàn)狀,我們認為有必要參照世界各國的審計準則來對企業(yè)內部控制進行深入認識。以它山之石,改變我國目前內部控制意識普遍淡薄和內控制度流于形式的現(xiàn)狀。在國際審計準則中,有關內部控制的論述及規(guī)定主要的有三個重要準則。
一、PCAOB:對內部控制的審計
(一)產(chǎn)生背景
2004年3月9日美國公眾公司會計監(jiān)督委員會(PCA0B,以下簡稱委員會),為了配合審計人員對財務報表內部控制有效性評上價的審計工作,批準了第2號審計準則,即《財務報表審計內部控制的審計》(以下簡稱準則)。委員會指出,對財務報表的內部控制進行審計是一項龐大的工程;另外,維持有效的內部控制,包括定期評估,并不是無成本的,但是,委員會強調建立和完善一套內部控制制度所帶來的好處是巨大的。
(二)內容精要
1.審計目標
準則指出:財務呈報內部控制審計的目標是,對管理當局“內部控制有效性評價”發(fā)表意見,該目標分解為兩個步驟:
(1)管理當局必須對主體的內部控制進行評估并得出結論;
(2)審計人員對管理當局所作評價的結論是否公允作出評價,并發(fā)表獨立意見。
準則指出,管理當局在財務呈報的內部控制評價過程中的責任是:
(1)對企業(yè)財務呈報的內部控制的有效性承擔責任;
(2)用恰當?shù)目刂茦藴试u估企業(yè)內部控制的有效性;
(3)有足夠的證據(jù)(包括文件)來支持其評估結論;
(4)就最近財年末為止的企業(yè)內部控制的有效性作出書面的評估報告。
如果管理當局未完成上述責任,審計人員應以書面形式與管理當局和審計委員會溝通,明確對財報內部控制的審計無法滿意地完成,以致無法發(fā)表意見。
2.管理層責任
審計準則明確了對內部控制結果滿意的前提條件。依據(jù)《薩班斯法案》404條款的要求,管理當局必須做到以下各項:
(1)對公司財務報告的內部控制有效性負責;
(2)按照合適的標準(如C0S0標淮)評價公司財務報告內控有效性;
(3)采用充足的證據(jù)支持該評估結果;
(4)在最近的財務會計年度期末提供書面的評估報告;
如果審計師認定管理層未履行上述責任,那么他將不能完成財務報告的內控審計,必須放棄發(fā)表審計意見。
3.管理當局的評估過程
根據(jù)準則要求,管理層對內部控制評估的過程必須包括:確定哪些內部控制需要測評;評估內控失效引起財務誤報的可能性;確定有多少下屬單位參與內控評估;評估對所有與財務報告中重要項目和信息有關的內控設計與執(zhí)行情況;確定已經(jīng)發(fā)現(xiàn)的與財報有關的內控缺陷是否導致了嚴重的后果;與有關方面就發(fā)現(xiàn)的各種問題進行溝通;確認這些發(fā)現(xiàn)是否支持評估結論。但必須強調,管理層不能用審計師所采用的程序和獲得的證據(jù)來支持自身對內控的評估結論。
4.管理層的證明材料
在確認管理層的證明材料是否支持其評估結論時,審計師應當分析這些證據(jù)是否包含如下項目:所有與財務報告中的重要項目和信息有關的判斷所采用的內控設計情況;關于重要交易事項、授權、記錄、處理和報告的信息;關于業(yè)務流程的充分信息,以判斷哪些環(huán)節(jié)會產(chǎn)生錯誤及舞弊所導致的后果;阻止和發(fā)現(xiàn)舞弊的內控措施;期末財務報告的內部控制;資產(chǎn)保管的內部控制;管理層對內部控制的測試以及評估結果。
5.了解內控情況
了解針對財務報告的內部控制有效性,即詢問內控的實施人員;觀察他們的表現(xiàn);查看內控指引;將內控指引與實際結果對照。準則指出,了解內部控制最有效的方法就是對公司的重要內控進行穿行測試。
6.評價審計委員會監(jiān)督的有效性
準則要求審計師應當評價上市公司的審計委員工作的有效性,以此作為了解和評估公司內控環(huán)境、監(jiān)測財務報告內控的組成部份,并就審計委員會的無效性與董事會進行交流。準則強調,此項評估工作是由公司董事會負責的。
7.測試執(zhí)行的有效性
審計師每年都要測試內控的執(zhí)行效果,同時還要確認內控的執(zhí)行者是否具有必要的權限和能力,按部就班的實施,使內部控制制度得到不折不扣地執(zhí)行。
8.使用其他人員的工作成果
其他人的工作包括內部審計師的工作、公司其他部門的工作、在管理層和審計委員會指導下第三方的工作等。
9.評估測試結果
準則要求審計師評估所有己發(fā)現(xiàn)的內控漏洞的嚴重性。通常認為下列方面存在缺陷至少是重大缺陷:會計政策的選擇和應用的控制;反舞弊程序和控制;非常規(guī)和非系統(tǒng)交易的控制;期末會計報告編制的控制。另外下列問題至少是重大缺陷:對已經(jīng)發(fā)布的財務報告中誤報的修正;由注冊會計師發(fā)現(xiàn)的當前年年報的重大誤報;審計委員會的監(jiān)督無效;無效的內部審計和風險評估功能,且這些功能對公司報表生成程序的可信賴性是非常關鍵的;被高度監(jiān)管防止公司違規(guī)的措施無效,特別是一旦無效,違規(guī)違法行為就會對財務報告的可信性產(chǎn)生重大影響;發(fā)現(xiàn)高層管理任何程度的舞弊;先前發(fā)現(xiàn)的、已經(jīng)通知公司的重大缺陷在合理期限后仍未改正;控制環(huán)境無效。
10.缺陷和意見
準則要求注冊會計師就財務報告的內控審計發(fā)表兩條意見:一條是針對管理層給出的自我評價結論;另一條是內部控制的有效性。
11.季度證明
準則要求注冊會計師每個季度應實施一定的審計程序,確定公司根據(jù)《薩班斯法案》302條款應當披露的財務報告內控是否發(fā)生變化。如有應當與管理層進行交流并采取一定的措施。
二.國際審計準則(ISA)6號:對會計制度和有關內控的評價
(一)產(chǎn)生背景
國際審計準則系由“國際會計師聯(lián)合會”的“國際審計實務委員會”所頒布。國際審計準則與美國公證執(zhí)業(yè)會計師協(xié)會的"職業(yè)道德規(guī)范"不同,并非必須執(zhí)行的標準。國際審計準則是為了有助于理解國際審計實務委員會的目標和工作程序,以及該委員會所發(fā)布的準則的范圍和權威性而編寫的。
(二)內部精要
《國際審計淮則6號》由9部分28條款構成,具體內容如下:
第1部分:引言,主要指明了管理當局責任及準則目的。
(1)《國際會計準則》規(guī)定:管理當局應負責保持合適的會計制度,以組成適合于經(jīng)營規(guī)模和性質的各種內部控制。審計人員應對會計制度適用性以及記錄的正確性,需要有合理的確信。
(2)準則目的。為在財務資料審計中應遵循的各項程序提供指導。
第2部分:主要明確了會計制度和內部控制。
(1)會計制度可表述為:單位的一系列工作系統(tǒng)用來處理其經(jīng)濟,作為保持財務記錄的一種手段。它應當包括對經(jīng)濟業(yè)務的確認、計量、分類、記賬、匯總和提出報告。
(2)內部控制制度,是單位的管理人員為幫助達到目標而采取的組織計劃和全部方法與程序,在盡可能實行的范圍內保證其業(yè)務經(jīng)營的順序和有效性,包括嚴格遵守管理政策,保護資產(chǎn),預防和揭發(fā)舞弊和錯誤,保持準確和完整的會計記錄,以及適時編制可靠的財務資料。
(3)以有效的內部控制作為補充的會計制度,能夠為管理人員在保護資產(chǎn)、防止隨意使用和處置,以及為完善財務記錄、編制財務報告等提供合理依據(jù)。
(4)當實行內部控制的環(huán)境影響具體的控制程序的有效性時,應當強化控制環(huán)境。
第3部分:主要明確了內部控制的目的。
內部控制的目的是:依據(jù)管理人員的批準來完成經(jīng)濟業(yè)務;將會計期間的經(jīng)濟業(yè)務正確記入相關賬戶,依公認的會計政策編制財務資料,并對資產(chǎn)負責;只有根據(jù)管理人員的批準方可動用資產(chǎn);對資產(chǎn)作出負責的紀錄,在合理的間隔時間與現(xiàn)存的資產(chǎn)進行核對,發(fā)現(xiàn)任何差異應采取適當?shù)男袆印?/p>
第4部分:主要指出了內部控制的固有限制。
內部控制只能為管理人員達到其目的提供合理依據(jù)。故內部控制具有局限性。如控制所付出代價不應高于因舞弊或錯誤所造成的可能損失;員工共謀等。
第5部分:明確了審計程序。
(1)審計人員對財務報告形成的意見,需要合理的確信各種經(jīng)濟業(yè)務都以正確記入會計記錄而且無一遺漏。
(2)審計人員應知道在處理經(jīng)濟業(yè)務和管理資產(chǎn)過程中那些細節(jié)會發(fā)生錯弊。
(3)為確信審計所依賴的內部控制是有效的,必須進行制度遵守性審計。
(4)要為會計產(chǎn)生數(shù)據(jù)的完整性、準確性與合法性取得數(shù)據(jù)證據(jù)。
(5)審計人員可以根據(jù)在執(zhí)行期初數(shù)據(jù)的審計程序中所出現(xiàn)的錯誤,修正先前作出的認為內部控制與他的目的相適合的評價。
第6部分:主要明確了檢查與初步評價。
(1)審計人員應當對會計制度和有關內控進行檢查,鑒定審計的效果和效能。
(2)內控檢查主要通過詢問不同階層人員,查對程序手冊、工作說明和流程圖等。
(3)通過會計制度,追蹤少量經(jīng)濟業(yè)務,可作為制度遵守性審計程序的一部分。
(4)審計應查明所依賴的內控是否運用于整個期間,否則應分段考慮審計程序。
(5)記錄收集與內部控制制度有關的資料,可以根據(jù)不同情況使用不同的方法。
(6)審計人員對內控的初步評價,應當在假定的基礎上作出有效地概括說明。
第7部分:主要明確了制度遵守情況的審計程序。
(1)審計人員必須進行制度遵守性審計程序,以獲得所依賴的有效作用的證據(jù)。
(2)與內控制度發(fā)生偏差,可能起因于人員變動、業(yè)務量過大、季節(jié)性波動和人為錯誤等因素。對此類事項審計應當提出詳細的詢問,特別是關鍵作用的人員。
(3)審計應以制度遵守性審計程序結果為基礎,評價內控適合性及資科可靠性。
(4)如發(fā)現(xiàn)依賴具體內控己不適當時,應探明有無另外可依賴內控,并加以修正。
(5)審計人員的制度遵循性審計程序,應用于整個檢查期間所選擇的經(jīng)濟業(yè)務。
第8部分:明確了如何看待小型企業(yè)的內部控制。
由于小型企業(yè)特點,會計程序可能由少數(shù)人履行,有的既可能負執(zhí)行職責,又負保管職責,職能劃分可能不清楚或受嚴格限制。不適當?shù)膭澐重熑?,在某種情況下,可能被其業(yè)主和經(jīng)理的控制所抵補,在這種情況下,只有通過數(shù)據(jù)真實性的審計程序,才能獲得發(fā)表財務資料意見所必要的證據(jù)。
第9部分:明確了內部控制缺陷的通知。
為了委托人的利益,內審計人員對內部控制的研究與評價和其他審計程序等所得出的結果,以及內部控制中存在的缺陷,應以書面形式報告管理當局,以引起他們的注意。但要說明其檢查不是試圖確定內部控制對管理人員目的適當性。
上述規(guī)范對我國注冊會計師進行內部控制審計評價有重要借鑒意義。
三、世界最高審計組織(1NT0SA1):內部控制準則
(一)產(chǎn)生背景
為了加強財務管理并使政府部門負起應有的責任,最高審計機關國際組織(INT0SAI)成立了內部控制準則委員會。其任務就是制定一套準則來建立并維持有效的內部控制制度。該委員會在制定準則的過程中認識到這些準則不僅用于財務控制,而且可適用于所有的管理。故 “內部控制”一詞涵蓋了廣泛的管理控制概念。
(二)內容精要
《內部控制準則》共5章85條。具體內容如下:
第一章,共六條,主要明確了內部控制目標及準則。
1.內部控制目標。
(1)配合組織任務,使各項作業(yè)均能有條不紊且更經(jīng)濟地運作,并提高產(chǎn)品與服務的品質。
(2)保證資源,以避免因浪費、舞弊、管理不當、錯誤、欺詐及其他違法事件而造成損失。
(3)遵紀守法。遵守法律、規(guī)章及各項管理作業(yè)的規(guī)定。
(4)財務信息真實。提供值得信賴財務信息資料,并能及時恰當?shù)嘏队嘘P事項。
2.內部控制準則。
這些準則構成內部控制制度的架構,其有:合理保證;支持態(tài)度;忠誠與能力;控制目標;監(jiān)督控制;書面文件;交易與事件記錄的迅速與適當;交易與事件的授權與執(zhí)行;職能分工;督導;資源及記錄的運用與財務管理責任。
第二章 共9條,主要明確了內部控制的標準及限制。
1.有效的內部控制應符合的基本標準,有三條:
(1)內部控制必須在正確地方及涉有風險的地方作適當控制。
(2)內部控制在原計的期限內,必須一貫性的復合功能設計。
(3)內部控制的成本不應超出所獲得的效益。
2.內部控制有效性的限制,有三項:
(1)無論內部控制制度多嚴謹,仍無法保證企業(yè)均能有效率的運作、記錄均能萬全正確的制作,無力也無法完全杜絕浪費、錯誤及舞弊,尤其是在某些涉有特別受權和信賴的情況下。
(2)任何依賴人的內部控制,容易受設計不當、判斷和解釋錯誤、蔬忽、誤解、倦怠等因素影響。
(3)組織的變動與管理的方式,對內部控制制度的有效性及執(zhí)行此項控制的個人具有深遠影響。因此,管理當局必須不斷地更新內部控制、詳細說明變動所在,并建立一套控制所應遵循的典范。
第三章 共48條,主要探討了六項內容:
1.建立一套內部控制準則是必要的,尤其在政府部門,更須根據(jù)其規(guī)模、復雜度、業(yè)務量、相關檔案的卷數(shù)、有關的法令規(guī)章等妥善擬訂。
2.內部控制準則可分為一般準則和詳細準則。它不僅對各項作業(yè)基本的內部控制架構加以定義,也可作為擬定及評價內部控制時的標準。
3.一般準則包括“合理保證”、“支持態(tài)度”、“忠誠與能力”、“控制目標”、與“執(zhí)行的監(jiān)控”等,為組織提供適當?shù)沫h(huán)境。
4.詳細準則是達成控制目標的方法和程序,包括(但不限于)特定政策、工作程序、組織規(guī)劃(含職務分工)及硬件防護,如門鎖及火災警報器等。
5.控制應于實際應用上達成預定目標。
6.有效內控所運用的控制方法,主要有五種:
(1)關于書面文件的規(guī)定:內部控制制度、所有交易及重大事件均以書面形式記載,且隨時可供檢核;書面文件應包括組織架構、方針政策、作業(yè)類別、目標及控制程序,且應附載于管理指南、行政政策、作業(yè)程序手冊以及會計作業(yè)手冊中。
(2)關于授權與執(zhí)行的規(guī)定:交易與重大事件的核準與執(zhí)行必須在授權范圍內才能為之。它是確保只有管理層核準的交易或事件方可進行的基本法則。
(3)關于職能分工的規(guī)定:關于交易或事件的授權、處理、記錄及復核,應劃分每人的主要職務與責任,以減少錯誤、浪費和不當行為引發(fā)的風險。
(4)關于督導的規(guī)定:有效而適當?shù)亩綄艽_保內部控制目標的達成。督導者應適當?shù)臋z閱并核對分配給員工的工作,并給員工提供必要的指導與培訓,以減少錯識、浪費及不當行為造成的損失。
(5)關于資源(記錄)運用及財務管理責任的規(guī)定:各項資源(及記錄)的運用,應限制由授權負責保管或使用者始可為之。為確保財務責任,各項資源應定期與記錄相核對,以確保賬實相符,并依資產(chǎn)易損性來決定核對的次數(shù)。
第四章 共7條,主要明確了內部控制架構。
1.設置一特定機關負責制定并公布各級政府內部控制制度的定義、該內部控制制度所要達成的目標,以及設計該結構時所需遵循的準則。
2.在某些國家,內部控制制度的整體目標,是由立法機關所制定,而詳細的內部控制準則,則由權責機關所制定。
3.不論權責機關如何,最高審計機關在內部控制制度的開發(fā)上扮演者舉足輕重的角色。而此角色的扮演,不論直接或間接,應視最高審計機關的合法權責與該國家的管理系統(tǒng)的組織架構而定。
4.如果由最高審計機關負責公布內部控制準則,則對于該準則與每一機關所各自建立的特定內部控制程序之間須有明確區(qū)分。最高審計機關負有確保受查單位的內部控制符合要求之責,而不應對任何受查單位內部控制程序的執(zhí)行負責。
5.在某些情況下,控制或許十分特殊,而在另一方面,特別是管理控制,而又必須更具一般性。因此,內部控制均應允許管理者有適度的裁量與執(zhí)行權。以針對作業(yè)的經(jīng)濟與效率進行改善。
6.負有權責的中央機關應隨時檢核其內部控制。并作必要的修正。而此內部準則及修正結果,必須有完善的書面文件記載,并立即傳送到所有使用的機關。
7.經(jīng)立法頒布的特定內部控制準則與程序,不應有太多限制,而應允許管理者在作業(yè)環(huán)境改變時做彈性修正。因為,內部控制因環(huán)境變化可能過時、或無效率。為此內部控制制度必須定期復核,并隨組織環(huán)境的變化而有所調整。
第五章 共15條,明確了內部控制制度的執(zhí)行與監(jiān)督。
最高審計機關審計人員應鼓勵與支持管理階層建立內部控制,并對其內容加以查核。以確保該內部控制能達到預期效果。
1.管理層的責任。有四項:責內控制度的貫徹實施;負責監(jiān)督內控制度執(zhí)行;負責監(jiān)督內部控制的有效性;負責內控制度的不斷完善。
2.最高審計機關與審計人員的責任。有以下四項:
(1)最高審計機關應檢查機關現(xiàn)行的內部控制作業(yè),評估基本原則的迫切性及執(zhí)行情況的有效性。
(2)中介機構受委任審查政府機關,中介機構及審計人員應當受審機關所執(zhí)行的內部控制提供相關的意見與建議。
(3)最高審計機關應確保受審單位的主要作業(yè)具有符合要求的內部控制,否則管理層無法測知與察覺嚴重錯誤及違法事項。
(4)最高審計機關必須與內部審計機構維持良好的工作關系,以分享彼此的經(jīng)驗與知識,并達成互補目的。
基于以上對比分析,從歐美等發(fā)達市場經(jīng)濟國家的情況來看,企業(yè)內部控制也經(jīng)歷一個從零散到系統(tǒng)、從分散到統(tǒng)一的發(fā)展過程。而健全有效的內部控制一直被視作能解決許多潛在問題的有效方法。所以,我國政府監(jiān)管部門、研究組織和企業(yè)都應視野開闊,在學習國際審計準則的基礎上,將完善企業(yè)內部控制作為實現(xiàn)和經(jīng)營目標、可靠的財務報告以及遵循相關法律法規(guī)的首選手段。