聚焦:企业内控审计“众生相”,本文主要内容关键词为:众生相论文,内控论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
从2011年开始,上市公司被强制要求逐步进行内部控制审计,并建议采用整合审计策略。目前,如何通过整合审计,优化审计流程、提高效率和效果、降低成本费用、节约审计资源和企业资源;以及如何正确地出具内控审计报告,特别是如何恰当地发表非标意见,为报告使用者提供决策有用的信息,都是面临的主要挑战。
调查空间
内控审计仍需“垦荒”
近期,笔者对中注协2010年度排名前100名的证券资格事务所(包括国际四大的中国成员所)经理级别以上的58名注册会计师进行了调查问卷和实地访谈,发现64.29%的被调查者没有出具过内控审计报告,只有35.71%的被调查者出具过,但皆为标准无保留意见的审计报告。
内控审计没有用好
在审计方式方面,69.23%的被调查者都认可整合审计方式,并单独出具内控审计报告;30.77%的被调查者认可单独进行内控审计,且单独出具内控审计报告,这完全符合审计指引的规定要求。
关于财务报告审计和内控审计意见的关系,92.86%的被调查者都同意,如果财务报表为非标意见,则内控审计报告必然为非标;但反过来内控审计报告为非标,而财务报表审计报告则不一定为非标。
而对于内控审计的利用情况,28.57%的被调查者认为对内审人员的工作利用较好,也有28,57%的被调查者认为对内审人员的工作利用要视情况而定,如内审人员的地位、能力和独立性等,但有42.86%的被调查者认为对内审人员的工作利用不好。
在表示内审人员的工作并未得到很好利用的被调查者中,38.89%的人认为主要原因为内审及相关人员的能力和素质不够,61.11%的人认为原因是内审及相关人员独立性和地位较差。
可见,内审部门的独立性必须落实,否则形同虚设、流于形式。
而且,内控评价应和负责人的业绩考核联系在一起,才能加强企业上下对内控工作的重视。
同时,仅有25%的被调查者认为董事会对内控的评价是有效的,18.75%的被调查者认为董事会对内控的评价是无效的,56.25%的被调查者则认为董事会对内控的评价流于形式。
另外,78.57%的被调查者认为内控审计指引中列示的重大缺陷迹象在实际工作中得到了体现。
而其余21.43%的被调查者提出,频繁更换高管人员,尤其是财务负责人,频繁更换审计师,以及受到省级(含)以上政府部门处罚、惩戒、立案调查、约谈,全国性报刊媒体曝光、批评、质疑,也都表明企业的内部控制很可能存在着重大缺陷。
而针对询问、观察、检查、穿行测试和重新执行五大内控审计程序进行的调查显示,按照使用的频率排序,从高到低的顺序是检查、询问、穿行测试、观察和重新执行。
应增加强制性要求
目前.一半被调查者希望政府部门增加政策强制性要求,64.29%的被调查者希望能完善指引、指南,增加案例和解释,28.57%的被调查者认为应扩大宣传。
在完善指引、指南方面,42.86%的被调查者认为需要完善、提供审计的流程与方法;35.71%的被调查者认为需要提供非财务报告的重大缺陷案例,57.14%的被调查者认为需要对重大缺陷和重要缺陷的区分、判断标准需要进一步明确,也有57.14%的被调查者认为需要提供相关案例。
针对审计实务中存在的重大缺陷和重要缺陷很难区分和界定,调查建议将重要缺陷删除,三类缺陷修改为两类缺陷,即重大缺陷(实质性漏洞,发表非标准审计意见)和一般缺陷。目前,85.71%的被调查者同意删除重要缺陷。
对于事务所从事内控审计的主要困难和障碍,调查结果是:
认为缺乏技术支持,事务所没有制定相应的审计流程、标准和程序,占被调查者的71.43%;认为缺乏专门人才占71.43%,业务不多、企业意愿不高占35.71%;还有7.14%的人认为收费和工作量未能配比也是主要困难之一。
绝大多数被调查者希望事务所在制定审计流程标准、培养专门人才方面加大投入,开拓业务,做好内部控制审计业务。
未来方向众说纷纭
被调查者都很关注内控审计的价值和未来发展方向。
针对内部控制审计的价值方面,78.57%的被调查者认为增加了企业部分成本,但也提供了价值增值服务。
这说明绝大多数的被调查者认为内部控制审计是对企业有帮助的,提供了价值增值服务。
至于内控审计提供价值增值的方式,42.86%的被调查者认为是通过帮助企业发现重大缺陷和风险点,加强风险管理;32.14%的被调查者认为是通过提供有价值的管理建议书;25%的被调查者认为是通过帮助企业遵纪守法,降低违法违规的风险和成本。
针对内控审计未来的发展方向,28.57%的被调查者认为应采取原则导向,根据重要性和适用性原则,简化审计流程和程序,降低审计成本和企业的负担;42.86%的被调查者认为应该是风险导向;50.00%的被调查者则认同价值导向,认为内控审计主要是为促进企业可持续健康发展服务。
症结诊室
内控审计中的五大“症结”
从调查结果可以发现,目前内控审计主要有五方面的问题。
第一,企业管理层、治理层的重视程度不够。除了证监会强制要求进行内部控制建设、评价和审计的A+H上市公司,以及试点上市公司外,其他的企业并不很重视内部控制审计工作,或者并不着急,处于观望状态。
第二,注册会计师没有整合审计的经验。几乎所有被调查者都认可整合审计方式,但都没有按照整合审计的方式开展过内控审计和财务报表审计。
从实际情况来看,绝大多数上市公司委托同一家会计师事务所进行财务报告审计和内控审计。也有上市公司由于变更了财务报告的审计师,通过招投标选择两家事务所分别进行财务报告和内控审计。
但不同注册会计师在识别、评估审计风险,确定重要性水平,控制测试的性质、时间安排、范围、样本量等方面都会存在差异。在实务中,往往由企业的内审部与实施内部控制审计的注册会计师对接,由财务部与实施财务报告审计的注册会计师对接。因此,在这种情况下,如何协调、衔接两家事务所的工作,消除或减少差异,并沟通审计中发现的重大缺陷、舞弊风险等信息,共享审计资源与成果,降低审计成本,减少重复劳动和企业负担,是一个值得认真探讨的课题。
第三,如何出具非标意见和描述事项的审计报告,事务所没有经验和可借鉴的模板。
内部控制审计在我国还刚刚开始,90%的被调查者表示没有出具过内控审计报告,只有10%的被调查者表示出具过,都为标准无保留意见的审计报告。对于如何出具非标准无保留意见的审计报告,以及如何对非财务报告内部控制重大缺陷进行描述说明,所有被调查者都表示没有经验,也没有可供借鉴的报告模板或案例,只能依据审计师的经验和判断。
第四,注册会计师对两种审计的关系和审计结果的利用存在模糊认识,即财务报告审计和内控审计。在实务中,如何处理好两种审计之间的关系,特别是两种审计结果的相互印证与利用,仍然缺乏理论和实践的指导。
第五,事务所缺乏相应的技术和人才准备。对于事务所从事内控审计的主要困难和障碍,40%的受访者认为缺乏技术支持,事务所没有制定相应的审计流程、标准和程序,绝大多数被调查者希望事务所在制定审计流程标准、培养专门人才方面加大投入。
几乎所有事务所都没有设立专门的内控审计部门,也没有专门从事内控审计的人员,都是以前从事财务报告审计的人员。财务报告的审计人员都习惯于报表审计的思路和做法,根据被审计单位的实际情况和审计资源的分配情况,进行有限的控制测试,甚至不进行控制测试,而主要依赖实质性测试。
但对于内部控制审计而言,对内部控制设计和执行的有效性进行测试,获取充分、适当的审计证据,得出内控有效或无效的结论,是一定要做的工作;其审计程序、测试的范围、时间安排、样本量、审计证据的充分适当程度,与报表审计都是有差异的。如果审计人员还沿用财务报告审计的做法,显然不能做好内控审计。
其实,所有受访者都希望能够通过优化整合审计流程,制定量体裁衣、有针对性的审计程序,提高审计效率和效果,降低审计风险和成本费用,实现注册会计师、被审计企业、政府部门、社会公众的多赢格局。
处方车间
完善内控审计的5张“处方”
处方1持续推进内控审计制度的实施
国家应高度重视、全力推动企业内控的建设和审计,不断积累、总结内控规范的实施和监管经验。同时,在企业首次公开发行股票、再融资申请以及发行债券时,要求企业进行内控建设和评价,聘请注册会计师进行内控审计。另外,对企业进行信用评级时,可加入内控评价的指标体系,充分发挥信用评级机构和审计机构的作用,对需要信用评级的企业进行评分、排序并公布。这种方法相对于法律监管和行政监管而言,更灵活,可以弥补强制监管的刚性和不足,从社会监管的角度来促进企业健全内控。
另外,注意保持政策规章的统一性、稳定性和持续性,充分反映、体现国家推动企业实施内部控制的决心和要求。应在各部门和主管部门上下级之间建立一种沟通机制,消除思想认识和理解方面的误差与分歧,及时交流、沟通、解决实施内部控制中存在的问题、难点、障碍,保持制度文件的统一性、连贯性,消除和减少执行中的误差和分歧,增加实施中的可操作性。
比如,可以考虑设立“企业内部控制部委联席工作组”,定期沟通、反馈、交流各部门管辖企业单位实施内部控制的情况,存在的问题及解决措施;还可以成立“企业内部控制专家工作组”,及时解答企业的技术问题,提供解释和案例指南,以帮助企业更好地实施内部控制规范。
处方2 界定全面内部控制审计的不同责任
应注重保护注册会计师的合法利益,界定注册会计师开展全面内控审计可能产生的法律责任,明确区分管理责任和审计责任,并尽可能减轻注册会计师开展全面内控审计的责任。具体可明确以下几点:
首先,建立、健全并实施有效的内控,进行内控自我评价是企业董事会的责任。注册会计师执行的内部控制审计,只是从独立第三方的角度对被审计单位内部控制的有效性发表审计意见,但并不能替代或免除管理层对内部控制的责任。《企业内部控制审计指引》明确规定,建立、健全并实施有效的内部控制,评价内部控制的有效性是企业董事会的责任。注册会计师的责任是在实施审计的基础上对内控有效性发表审计意见,包括两方面:对财务报告内控的有效性发表审计意见;对审计中注意到的非财务报告内部控制的重大缺陷予以披露。
其次,相关准则和审计报告应强调合理保证,避免报告使用者过度信赖被审计单位内控,加大注册会计师的责任和过度期望。事实上,即使设计完美且有效执行的内控体系也会因为应用条件和环境的变化等原因存在偏差,而有效执行也并不代表百分百的绝对执行。
再次,相关法规制度及准则应当明确,如果注册会计师保持了应有的职业谨慎,严格按照内部控制审计指引的要求进行审计,即使没有发现被审计单位内部控制存在的缺陷,也可以免责,除非有证据表明注册会计师没有做到勤勉尽职。
最后,应区分法定内控审计和自愿内控审计的责任。其实,只要注册会计师在审计中存在欺诈或重大过失行为,没有做到勤勉尽职,误导了报告使用者,导致报告使用者产生投资损失,就应当承担相应的责任。虽然对于自愿性内控审计和信息披露,其虚假陈述同样可能会对报告使用者的投资决策造成误导,产生投资损失,但为了鼓励公司的自愿审计和信息披露,特别是鼓励公司开展全面内控审计,相关法规制度可以规定降低或减轻自愿性审计的审计责任,并在司法实践和监管实务中体现出这一精神。
处方3不断完善内部控制审计指引
首先,加强审计和咨询业务的独立性规定和监督检查。目前,不少会计师事务所都成立了单独的咨询公司,从法律形式上是独立于事务所的,但实际上仍由事务所出资或控制,仍然存在紧密的利益关系,并不符合独立性的要求。而被审计单位选择咨询和设计机构时,往往会接受审计师的建议。因此,应进一步强调独立性要求,制定更详细、具体可操作的独立性规定,在每年对事务所的检查中增加该项检查内容,同时对违反独立性承接咨询与设计服务的事务所,进行严肃处罚。
其次,不断完善内控审计准则和应用指南,解决执行中存在的技术困难。目前的审计指引中没有针对“非财务报告内部控制重大缺陷”描述段的应用指南和解释说明,在审计实践中,注册会计师的理解和应用存在较大的主观性,判断标准和尺度不一致,应针对“非财务报告内部控制重大缺陷”描述段的应用提供更多指引和案例。
目前,在实务操作中,区分和界定重大缺陷和重要缺陷比较困难。建议取消重要缺陷,简化为两类缺陷,即重大缺陷(实质性漏洞),需要在审计报告中反映;一般缺陷,不需要在审计报告中反映。实际上,日本也是采取了两类缺陷的做法,没有重要缺陷,其理由是三分类评价程序过于复杂,难于区分重大缺陷和重要缺陷,不利于实践操作。
最后,增加内部控制很可能存在重大缺陷的定性标准。根据内控建设咨询和审计实践的经验,以下四种情形表明内部控制很可能存大重大缺陷:一是频繁更换高管人员,尤其是财务负责人;二是频繁更换审计师,即会计师事务所;三是受到省级(含)以上政府监管部门处罚、惩戒、立案调查、约谈;四是全国性报刊媒体曝光、批评,以及公众质疑。
处方4 进一步提高注册会计师的业务素质和执业水平
注册会计师应进行全方位的知识技能学习,特别是管理学、金融、经济学、信息系统、统计学等方面的知识。要做好内控审计、评价和管理咨询业务,不仅要具备深厚的会计审计专业知识,还要拥有企业所处行业以及管理学的知识,如发展战略规划、人力资源管理、营销管理、系统论、控制论、信息论、计算机信息系统等。另外,计算机运用能力、excel操作水平、画图能力、统计软件的应用能力、应用数学和函数的能力,也都是重要的实用技能,注册会计师拥有丰富的相关知识很有必要。
处方5 强化会计师事务所的质量控制体系和人才培养
事务所应增加对内控审计、咨询业务的投入,在执业标准、审计流程、程序、执业质量控制等方面加强研究。目前,根据基本规范和配套指引的要求,研究开发事务所的执业标准体系是当务之急。
事务所还应下大力气进行内控审计与咨询人才的培养。这是因为目前内部控制审计与咨询人才缺乏已成为制约内控业务发展的一大瓶颈。事务所应从有兴趣和潜力的审计人员中发展内控审计与咨询的专门人才,还应注重从外部咨询机构引进有经验的项目经理级别以上人才。
另外,事务所应重视和加强内控审计与咨询人员的培训,聘请管理学、金融学、经济学、信息系统、统计学等领域的专家和实务工作者授课讲解,拓宽注册会计师和审计、咨询人员的知识领域,提高其专业胜任能力。
(以上文章均由吴寿元撰写)
标签:注册会计师论文; 内部控制论文; 财务报告论文; 企业内部控制审计指引论文; 审计报告论文; 内控体系建设论文; 审计流程论文; 内控管理论文; 内部控制缺陷论文; 会计与审计论文; 审计方法论文; 缺陷管理论文; 审计准则论文; 审计职业论文; 风险内控论文; 企业责任论文; 财会论文;