重大错报风险导向审计与内部控制评审策略
【摘要】重大错报风险导向审计是对原风险导向审计的继承与发展,它带来的不仅仅是审计风险模型的变化,更重要的是审计理念变化和审计策略的战略调整,以及审计与内部控制关系的变化。本文从考察内部控制与现代审计的历史渊源入手,分析重大错报风险导向审计与内部控制的关系,并提出对被审计单位内部控制的评审策略。
【关键词】重大错报风险导向审计 内部控制 评审
国际审计组织于2003年颁布了三个审计准则,即ISA315、ISA330和ISA500,这标志着重大错报风险导向审计模型正式启用。顺应审计发展的国际趋势,我国也从2007年起启用了这一模型。审计风险模型的变化,必然导致审计策略的变化和工作重心的转移。本文从考察内部控制与现代审计的历史渊源入手,分析重大错报风险导向审计与内部控制评审策略的关系,希冀对该审计模型的推广应用有所裨益。
一、内部控制与现代审计的历史渊源
内部控制的思想和实践由来已久,其产生和发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架等五个阶段。然而,内部控制概念的提出及其演进与现代审计的发展密不可分,其发展的每一阶段都被审计烙上了深深的印记。
从内部控制产生到20世纪30年代末,内部控制的发展一直停留在内部牵制阶段。这一阶段,内部控制主要是通过职责分工、业务流程及记录的交叉检查等措施,防止错弊的发生,保护财产的安全,保障组织的有效运转。尽管当时对内部控制的评审没有专门要求,但账项审计中不乏对内部牵制原理的应用。美国注册会计师协会(AICPA)在1929年就明确指出,审计人员对财务报表的检查范围可依情况而定,若内部牵制健全,抽查就可以了。这是审计职业界第一次将内部控制与审计相联系。随后AICPA又发布了《独立公共会计师对财务报表的审查》(1936)和第1号《审计程序公告》(1939),对内部牵制的审查和评价进行了规范。
20世纪40年代起,审计人员对内部控制的研究日趋深入,他们把内部控制从企业管理活动中抽象出来,由实践上升为理论,标志着内部控制制度阶段的到来。该阶段主要从财务审计角度定义内部控制,并区分内部会计控制和内部管理控制。该阶段内部控制评价在财务报表审计中的应用也日益广泛并渐趋成熟,这主要表现在AICPA等职业组织对内部控制的完善和规范,并以此为基础发布相关的准则,要求审计师加强对内部控制的研究,实现了由审计中对内部控制评价作用的关注向将内部控制评价正式纳入审计准则的转变,使内部控制评审成为财务报表审计的关键程序。制度基础审计作为一种全新的审计方法体系,由此发展起来。
20世纪80年代起,内部控制的发展进入内部控制结构阶段。美国审计准则公告第55号(AICPA,1988)的发布,标志着内部控制结构阶段的到来。该阶段开始把控制环境视为内部控制的一项重要内容,取消了会计控制和管理控制的划分,确立了一种控制结构,并强调内部控制的建立和运行应由公司的董事会负责。这既使董事会和管理层开始意识到内部控制及其评价的重要性,也拓宽了内部控制的评价范围,评价的目标也由最初单纯提高审计师的职业判断,转向适应管理层的需要,从而使内部控制的评价更具综合性和广泛性。该阶段人们不仅将内部控制视为从企业管理中抽象出来的服务于财务审计的一种工具,而且提出了单独审核内部控制的要求。不过,这种要求并没有制度化。
1992年美国COSO研究报告《内部控制——整体框架》的发布,标志着内部控制的发展步入了内部控制整体框架阶段。该报告既为理解内部控制提供了一个普遍的基础,也为评价和改善内部控制提供了适用的标准,极大地促进了现代审计的发展。1993年AICPA发布了《报告公司财务报告内部控制》。该公告不仅明确地将内部控制审核作为一项独立服务,对内部控制的评审提出了法定要求,而且也为审计人员评估内部控制提供了详细的指南。同时,该公告还拓展了内部控制评审的内容与范围以及验证业务范围,实现了财务报表审计中内部控制评价向内部控制审核的转变。
为遏止公司财务造假,美国国会颁布了SOX法案(2002)。该法案对公众公司财务报告内部控制的审计提出了法定要求。为此,美国公众公司会计监督委员会(PCAOB)于2004年发布了第2号审计准则。该准则借鉴了SEC对财务报告内部控制的定义,要求审计人员在执行财务报表审计的同时进行财务报告内部控制的审计,这种审计应采用风险导向的方法,评估财务报告内部控制的有效性。为加强风险管控和财务报告内部控制的审计,COSO于2004年发布了《企业风险管理框架》,将内部控制置于企业风险管理整体框架之下,以强调风险管理与内部控制的内在联系与有机统一。该报告的发布,标志着内部控制的发展步入了风险管理框架阶段。
总之,作为一项独立的经济鉴证活动,审计经历了一个不断演进的过程。该过程虽受诸多方面的影响,但内部控制无疑是一个关键因素。从详细审计到抽样审计,从账项基础审计到制度基础审计,再到风险导向审计,每一个阶段都涉及内部控制,只是对其应用的方式、深度和广度不同而已。可以说,抽样审计的推广应用得益于企业内部控制的存在及其评审;对内部控制评价的关注又导致了制度基础审计的形成;内部控制结构则把审计的目光吸引到审计环境的分析上来,孕育了风险导向审计;重大错报风险导向审计模式的提出,使内部控制的测试在财务报表审计中的作用更为突出;而SOX法案的颁布,最终使财务报告内部控制审计成为一项法定的鉴证业务。因此,从某种意义上可以说,审计的演进过程也就是内部控制评审发展的过程。内部控制与现代审计相互交织,相辅相成,互动发展。
二、内部控制防范财务报表重大错报的有效性
发现并及时纠正错弊,防止财务报表的重大错报,保证财务信息的真实完整,是内部控制的重要目标。这也是内部控制与现代审计联系的基础。那么,内部控制到底能在多大程度上防错纠弊、提高财务报表的可靠性呢?这与财务报表重大错报的类型及原因、内部控制防止重大错报的有效边界、设计或运行的缺陷及其固有局限性等密切相关。
财务报表的重大错报源于企业管理当局舞弊、员工舞弊或者错误,而舞弊尤其是管理层舞弊又是重大错报的主要原因。诱使管理层舞弊的因素包括情形、动机和心态。情形是管理层舞弊的环境条件,它包括所在行业的环境条件和企业自身的环境条件。这些情形诱使管理层采取不正常甚至不合法的手段,粉饰会计报表以减少不利影响。动机是管理层舞弊的诱因,如消除负面影响、获得业绩奖励等。心态是促使管理层舞弊由可能转变为现实的决定因素,如管理层过分强调完成预期的利润或公司股价的上涨目标等。没有情形和动机,舞弊通常不会发生;只有情形和动机,但没有舞弊的心态,舞弊一般也不会发生;情形和动机并存,再加上作弊的心态,舞弊就会发生。员工舞弊也有情形、动机和心态三个因素。
一般的,内部控制只要设计严密合理,得以忠实履行,且运行高度有效,不仅能及时有效地防止、发现并纠正各种重大差错,而且能为防范重大舞弊行为提供必要的保证。其一,严密、合理、有效的内部控制能成功避免可能导致舞弊的情形出现,切断舞弊的源头;其二,即使存在舞弊的情形、动机和心态,严密、合理、有效的内部控制也能够为防止、发现和纠正可能发生的舞弊行为。毕马威会计公司(1998)对5 000家美国公司和组织的欺诈调查显示,超过半数的舞弊行为是由单位的内部控制发现的。这是因为:
首先,从契约经济学的角度看,内部控制的建立和运行实际上源于企业这一系列契约组合的不完备性。从这层意义上看,内部控制是一个广义的概念,兼具制度、系统和控制机制等多重含义,包括传统意义上的管理控制、公司治理层面的控制以及企业文化等内容。它以企业为有效边界,防止企业内部的重大错弊。同时,它也是为解决分权管理产生的不同层次管理者之间的委托代理问题的一种制度安排,主要关注董事会、经理层和次级执行层的关系,这种制度安排对于防止中下层管理者和普通员工的错弊通常是有效的。
其次,内部控制的设计或运行可能存在漏洞和缺陷,其中的重大漏洞和重要缺陷会影响财务报告的可靠性。重大漏洞、重要缺陷是内部控制的一个或多个控制漏洞或缺陷的联合,它很可能导致公司财务报表中的重大错报无法被及时防止或发现。当然,重要缺陷的严重程度要轻于重大漏洞,但足以引起负责监督公司财务报告者的重视。一般的,内部控制设计或运行中存在重大漏洞,意味着财务报表很可能存在重大错报;内部控制重要缺陷的存在,则意味着企业财务报表存在重大错报的可能性较大,应当引起管理层和审计人员的关注;内部控制不存在漏洞或缺陷或存在的漏洞或缺陷不重要,则财务报表重大错报发生的可能性比较小。
第三,内部控制的固有局限性使其对财务报表的可靠性只能提供合理的保证。这种固有局限性既可能存在于内部控制的设计,也可能存在于内部控制的运行过程,如决策中人为判断的错误或基于成本效益的考虑所产生的设计缺陷,人为失误或者执行者的串通、管理层凌驾于内部控制之上所导致的控制失效等。这些固有缺陷提醒管理者和审计人员在任何情况下,都不能将财务报表重大错报的风险视为零。
可见,内部控制对于防范财务报表的重大错报虽然具有重要作用,但由于它对重大错报的防范具有不同的路径,加之其设计或运行中存在缺陷,因而它在防范不同类型重大错报上的有效性存在差异,也不能防范所有的重大错报,仅能为财务报表的可靠性提供合理而非绝对的保证。这必然会对以内部控制评审为基础的现代审计产生深刻的影响,要求审计人员必须就审计中对内部控制了解的广度和深度、报表层和认定层重大错报风险的评估、控制测试的必要性及其范围和程序、实质性测试的实施等做出合理判断和选择。
三、内部控制对重大错报风险导向审计的影响
作为与当代审计环境相适应的重大错报风险导向审计,要求审计人员关注财务报表的重大错报风险,并将其控制在合理的范围,保证信息披露的准确性和可靠性。它是对传统风险导向审计的继承与发展,它以识别和评估财务报表重大错报风险(财务报表在审计前存在重大错报的可能性)为起点和导向,针对评估的重大错报风险设计并实施必要的审计程序,为查出被审财务报表中存在的重大错报提供合理保证,将审计风险控制在可接受的水平。其业务流程和程序一般包括:①通过了解被审计单位及其环境,尤其是与审计相关的内部控制,识别和评估报表层的重大错报风险和认定层的重大错报风险(“风险评估程序”)。②对报表层的重大错报风险进行评估,设计和实施总体应对措施。③对认定层的重大错报风险进行评估,设计和实施进一步审计程序,包括进行控制测试和实质性测试。根据控制测试的结果,审计人员应对认定层的重大错报风险进行再评估,并依可接受的检查风险水平,设计和实施对各类交易、账户余额和披露的实质性检查程序,以合理的保证发现认定层的重大错报。
为保证审计目标的达成,审计人员在整个审计过程中,必须关注报表层和认定层的重大错报风险,并将风险评估作为整个审计工作的先导,将风险控制作为整个审计工作的最终归宿。这是重大错报风险导向审计的根本特征与要求。因此,正确识别可能导致财务报表重大错报的因素,准确判断内部控制对于防范报表层和认定层重大错报的有效性,关注内部控制对审计的影响并据以制定和实施合理的内部控制评审策略,是重大错报风险导向审计取得成效的关键所在。
四、重大错报风险导向审计中的内部控制评审策略
重大错报风险导向审计对重大错报风险尤其是管理当局舞弊的关注,客观上要求对审计策略进行战略调整,主要包括:①以风险源为导向,实施由整体到局部再由局部到整体的审计战略;②由“以证实性为主”向“以侦察性为先导、以证实性为补充”转变;③将主要精力转向关注和控制管理当局舞弊风险上。而审计策略的战略调整也要求对内部控制评审策略进行调整,具体有以下三个方面:
第一,将内部控制评审作为重大错报风险评估程序的有机组成部分,与对被审计单位及其环境的了解相结合,并贯穿于审计的整个过程。这是由重大错报风险因素构成特点及其相互关系以及内部控制对防止管理当局舞弊的局限性等所决定的。如前所述,财务报表重大错报可能源于管理当局舞弊、员工舞弊或错误,管理当局舞弊是主因,而导致管理当局舞弊的因素又包括情形、动机和心态,这既涉及内部控制范围之外的环境,又包括内部控制自身,舞弊往往是上述因素共同作用的结果。因此,内部控制了解程序本身无法使审计人员就财务报表重大错报风险做出客观的评价,而必须与对被审计单位及其所处环境的了解相结合。ISA315要求,审计人员应对被审计单位及其环境包括内部控制获得足够的了解,以能够对源于舞弊或错误的财务报表重大错报风险进行识别与评价,并据以设计和实施进一步的审计程序。在审计过程中,审计人员应同时注意捕捉、获取新的信息,判断重大错报风险评估结果的合理性,以及时做出相应的调整。所以,对被审计单位内部控制的了解是一个贯穿整个审计过程的持续的、动态的信息收集、更新和分析过程。
第二,内部控制的评审应紧紧围绕财务报表重大错报的识别与风险评估这一中心,了解与评价同重大错报风险评估相关的内部控制,注意甄别内部控制设计或运行中的重大漏洞与重要缺陷,注重重大错报风险的评估与控制。审计人员应当了解和评价与重大错报风险相关的内部控制,以识别潜在错报的类型,考虑导致重大错报风险的因素,以及进一步审计程序的性质、时间和范围。需要了解的相关内部控制应以被审计单位的财务报告内部控制为重点,重点关注其设计和运行中的重大漏洞与重要缺陷。对于旨在保证经营效率、效果的控制以及对法律法规遵循的控制,如果其与实施审计程序时评价或使用的数据相关,也应注意了解。对于旨在保护资产的内部控制,包括与实现财务报告可靠性和经营效率、效果目标相关的控制,在了解其控制各要素时,可仅考虑其中与财务报告可靠性目标相关的控制。对内部控制的了解应采用调查、观察及检查等审计程序。这些审计程序的实施也应以识别重大错报的类型并评估其可能性为核心。如对内部控制的调查,应重点以公司治理和管理人员、内部审计人员、法律顾问、复杂或非正常交易的经办与记录人员、营销人员等对象,以帮助审计人员了解编制财务报表的环境、内部控制的设计与执行情况、复杂或非常规交易会计政策选择与应用的适当性、法律诉讼案件、法律法规遵循情况、担保事项、营销战略、销售趋势等已导致重大错报的事项。
第三,对内部控制的了解和评价,应区别报表层和认定层,以报表层为中心,分别确定其重点内容。这是因为,财务报表的重大错报风险可能主要源于薄弱的控制环境及其对财务报表可靠性的广泛影响,这种影响通常并不限于某类交易、账户余额、列报与披露等具体认定层,在某种程度上,报表层的控制可能更为重要。与原风险导向审计不同,重大错报风险导向审计要求分别识别与评估报表层和认定层的重大错报风险,分别根据评估结果采取相应的对策。与之相适应,对被审计单位内部控制的了解与评价,也应区别进行,有所侧重。针对报表层重大错报风险的识别和评估,应侧重于管理当局舞弊情形、动机和心态是否存在、是否重要等,具体到内部控制,应着重于公司治理结构、组织结构、授权与责任区分、董事会及经理人员诚实性与道德观、管理哲学与经营方式、人事政策及实施、内部审计等内部控制环境。针对认定层的重大错报风险的识别与评估,应根据报表层重大错报风险的评估结果,确定应重点了解与评价的内部控制,重点考虑某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额、列报与披露存在的重大错报,主要了解和评价内部控制的设计是否健全、合理,是否得到落实,是否有效,执行人员串通规避相关内部控制的可能性等。
主要参考文献
1. 中国注册会计协会.中国注册会计师执业准则2010,http://www.cicpa.org.cn/ Professional_standards
2. IAASB, Handbook of International Quality Control, Auditing Review, Other Assurance, and Related Services Pronouncements,2012 Edition
【作 者】
郭诗勇1 曹恒萍1 邵天营2
【作者单位】
(1. 湖北省注册会计师协会 武汉 430071 2. 湖北经济学院会计学院 武汉 430205)
