1内部控制审计的基本概念
内部控制审计的基本概念根据审计指引的定义,内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。为了便于读者准确理解和把握内部控制审计的基本概念,下面从业务性质、业务对象和其他重要概念等方面进行进一步解释。(一)业务性质 1.审计审阅 审计和审阅都属于鉴证业务的范畴。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的一种业务。其中,鉴证对象信息是对鉴证对象按照标准进行评估和计量的结果,是将标准应用于鉴证对象所产生的信息。对于内部控制鉴证业务而言,鉴证对象是指被审计单位的内部控制。标准是指有关内部控制的法规、规范和指引。鉴证业务按照保证程度的不同分为合理保证和有限保证。合理保证的鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的低水平,以此作为以积极方式提出结论的基础。例如,在历史财务信息审计中,要求注册会计师将审计风险降至可接受的低水平,对审计后的历史财务信息提供高水平保证(合理保证) ,在审计报告中对历史财务信息采用积极方式提出结论。这种业务属于合理保证的鉴证业务。有限保证的鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的水平,以此作为以消极方式提出结论的基础。例如,在历史财务信息审阅中,要求注册会计师将审阅风险降至该业务环境下可接受的水平(高于历史财务信息审计中可接受的低水平) ,对审阅后的历史财务信息提供低于高水平的保证(有限保证) ,在审阅报告中对历史财务信息采用消极方式提出结论。这种业务属于有限保证的鉴证业务。对于内部控制鉴证业务而言,我们一般把合理保证的内部控制鉴证业务称为内部控制审计,有限保证的内部控制鉴证业务称为内部控制审阅(审核) 。根据企业内部控制基本规范和审计指引的规定,我国针对上述规定的适用对象实行的是内部控制审计制度,即要求注册会计师针对被审计单位的内部控制实施合理保证(高水平保证)的鉴证业务。2.直接报告基于认定鉴证业务分为基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。例如,在财务报表审计中,被审计单位管理层(责任方)对财务状况、经营成果和现金流量(鉴证对象)进行确认、计量和列报(评价或计量)而形成的财务报表(鉴证对象信息)即为责任方的认定,该财务报表可为预期报表使用者获取,注册会计师针对财务报表出具审计报告。这种业务属于基于责任方认定的业务。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。根据企业内部控制基本规范和审计指引的规定,我国要求注册会计师直接对被审计单位内部控制的有效性发表审计意见,因此可以说我国的内部控制审计基本上属于直接报告业务。(二)业务对象 1.时点时期 关于内部控制所涵盖的时间,一直有时点和时期之争,即注册会计师究竟应该对被审计单位的内部控制在某一时点上的有效性发表意见,还是应该对某一时期内部控制的持续有效性发表意见。当然,后者所需的审计证据更多,相应地,注册会计师的审计责任越大。按照我国的规定,内部控制审计针对的是特定基准日被审计单位内部控制的有效性发表意见,即采纳的是时点的概念。注册会计师基于基准日(目前规定为 12 月 31 日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(一年)的内部控制的有效性发表意见。当然,采纳时点概念并不意味着注册会计师可以只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在 5 月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如 6 月份整改,企业的内部控制在整改后要运行一段时间(例如 3 个月) ,9 月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业 12 月 31 日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。根据业界的经验,一般要求内部控制的有效运行期间至少为 3 个月,即前期或期中测试发现的问题,需要在 9 月底之前整改完毕,注册会计师才能认为年末被审计单位的内部控制运行有效。2.财务报告内部控制非财务报告内部控制关于内部控制审计的对象,也有财务报告内部控制和全方位内部控制(即包括财务报告内部控制和非财务报告内部控制)之争。财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制,主要包括下列方面的政策和程序:(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项; (2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。从美国等国家的历史经验和立法实践来看,财务丑闻的频发导致监管部门要求对企业内部控制进行强制审计,所以,内部控制审计的基本出发点之一是为了保证企业财务信息的可靠性,保护投资者利益。因此,美国等许多国家要求注册会计师对企业内部控制中与财务报告相关的控制(财务报告内部控制)进行审计。但是,如果企业仅关注财务报告内部控制,不利于内部控制规范全面实施以及企业风险管控能力的提升,因此, 审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。由此可见,我国内部控制审计的定位主要针对的是财务报告内部控制,但是也合理涵盖了非财务报告内部控制。在本书中,除非特别说明,内部控制审计一般仅指财务报告内部控制审计。(三)其他重要概念1.内部控制的有效性及其判定标准内部控制审计针对的是被审计单位内部控制的有效性,因此准确理解内部控制的有效性及其判定标准至关重要。所谓内部控制的有效性,是指被审计单位建立和实施内部控制对实现目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。(1)设计有效性内部控制的设计有效性,是指所设计的内部控制单独或者连同其他内部控制能够合理保证实现内部控制的目标。设计有效性的根本判断标准是所设计的内部控制是否能为内部控制目标的实.现提供合理保证。对于财务报告目标而言,所设计的相关内部控制是否能够防止或发现并纠正财务报告的重大错报,是判断其设计是否有效的标准;对于合规目标而言,所设计的相关内部控制是否能够合理保证遵循适用的法律法规,是判断其设计是否有效的标准;对于战略、经营目标而言,由于其实现还受到许多不可控的因素(尤其是外部因素)的影响,内部控制不可能杜绝错误的决策或判断,也不可能阻止阻碍这些目标实现的外部事件的发生,因而判定相关内部控制的设计是否有效的标准,是所设计的内部控制是否能够合理保证治理层和管理层及时了解这些目标的实现程度。立足于是否能够合理保证实现内部控制目标来评价内部控制的设计有效性,抓住了内部控制设计的根本目标,毫无疑问是科学的。但是,在实践中,直接去判断内部控制目标是否能够得以实现,尤其是是否能够合理保证内部控制目标在未来得以实现,是十分困难的。因此,一般可以通过总结设计有效的内部控制的本质特征,然后利用这些特征作为判断设计有效性的外在标准。设计有效性的外在判断标准主要体现为内部控制设计的合理性和适当性。设计的合理性是指内部控制的设计是否符合企业内部控制基本规范和配套指引的规定,是否符合内部控制基本原理的要求。设计的适当性是指内部控制的设计是否符合被审计单位自身的环境条件、经营特点和管理要求。(2)运行有效性内部控制的运行有效性,是指内部控制能够在各个不同时点按照既定设计得以一贯执行,从而合理保证实现内部控制的目标。具体而言,在评价内部控制的运行有效性时,应当着重考虑以下几个方面:内部控制在评价涵盖期间的不同时点是如何运行的;内部控制是否得到了一贯执行;内部控制由谁执行;内部控制以何种方式(例如,手工控制和自动控制)运行。对运行有效性的评价在一定程度上倚赖于对设计有效性的评价。换句话说,评价运行有效性,就是对于设计有效的内部控制,考察其是否按设计的那样一贯执行的过程。如果评价证据表明内部控制在设计上存在缺陷,即内部控制的设计不符合设计有效性标准,那么即使内部控制按照该设计得到了一贯执行,注册会计师也不能认为其运行是有效的。当然,如果评价证据表明内部控制的设计是有效的,但是没有按照设计的那样得到一贯执行,那么注册会计师就可以得出其不符合运行有效性的结论。需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证。这是因为,除了前面提到的战略、经营等方面的控制目标的实现受到许多不可控因素的影响之外,内部控制本身也存在固有局限。内部控制的固有局限主要表现为:人类的判断不可避免会出现失误,从而使内部控制中的那些基于判断的决策出现失误,进而导致内部控制失效;内部控制可能会由于误解、疏忽等多方面的原因而失效;经理层凌驾于内部控制之上会导致内部控制失效;两个或多个人的串通行为会导致内部控制失效;由于考虑和权衡内部控制的成本与效益,可能会影响内部控制的有效性。内部控制存在上述固有局限的事实提醒我们,在评价内部控制设计和运行的有效性时,应当立足于“合理保证”的概念,而不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。2.内部控制的重大缺陷如果内部控制的设计或运行无法合理保证内部控制目标的实现,就意味着存在内部控制缺陷。内部控制缺陷可能意味着一个感觉到的、潜在的或真实的缺点,也可能是一个改进内部控制、以便更好地实现内部控制目标的机会。内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指因内部控制设计不合理、不适当而形成的内部控制缺陷。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。内部控制缺陷是描述内部控制有效性的一个负向的维度。内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的内部控制是有效的。根据影响企业内部控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。一般缺陷是指除重大缺陷、重要缺陷以外的其他控制缺陷。将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度