您的位置  首页 >> 会计师沙龙 >> 政策解读 >> 正文
解读内控审计报告——兼谈与财务审计报告的差异
[来源:本站 | 作者:原创 | 日期:2013年1月29日 | 浏览2823 次] 字体:[ ]
根据内部控制基本规范的规定,管理层需要对其
内部控制进行自我评价,出具自评报告,并在年度报
告中披露该自评报告。既然该报告能为预期使用者所
获取,为何《企业内部控制审计指引》中规定内部控
制审计的对象是财务报表内部控制,而非企业的财务
报表内部控制自评报告?或者说规定内部控制审计是
一项直接报告业务而非一项基于责任方认定的报告业
务呢?本文先从鉴证类业务报告类型角度进行剖析。
一、关于鉴证类业务报告类型
鉴证类业务分为两种,一种是基于责任方认定的
业务,一种是直接报告业务。
所谓基于责任方认定的业务,是由责任方(管理
层)对鉴证对象进行评价和计量,鉴证对象信息以责
任方认定的形式为预期使用者获取。比如财务报表审
计,由被审计单位管理层(责任方)对财务状况、经
营成果和现金流量(鉴证对象)进行确认、计量和列
报而形成财务报表(鉴证对象信息),注册会计师针对
财务报表出具审计报告。
而直接报告业务,是注册会计师直接对鉴证对象
进行评价或计量,或者从责任方获取对鉴证对象评价
或计量的认定,而该认定无法为预期使用者获取,预
期使用者只能通过阅读鉴证报告获取鉴证对象信息。
如在内部控制鉴证业务中,注册会计师可能无法从管
理层(责任方)获取其对内部控制有效性的评价报告
(责任方认定),或虽然注册会计师能够获取该报告,
但预期使用者无法获取该报告,注册会计师直接对内
部控制的有效性(鉴证对象)进行评价并出具鉴证报
告,预期使用者只能通过阅读该鉴证报告获得内部控
制有效性的信息(鉴证对象信息)。这种业务属于直接
报告业务。
二、内部控制审计释义
内部控制审计是会计师事务所接受委托,对特定
基准日企业内部控制设计与运行的有效性进行审计,
并发表审计意见,审计内容包括企业治理结构、机构
设置、企业文化、人力资源政策等内部控制环境因素,
以及企业识别风险的评估程序、应对风险的具体措施
和信息传递有效性、保证内部控制规范建设和有效运
行的机制等,全面评价企业设计和运行的内部控制是
否能够合理保证财务报告及相关信息合法、真实、完
整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意
见和无法表示意见三种类型。如果注册会计师审计后
认为企业内部控制在所有重大方面是有效的,则出具
无保留意见的内部控制审计报告;如果注册会计师认
为企业内部控制存在重大缺陷,则出具否定意见内部
控制审计报告;如果注册会计师审计范围受到限制,
则应当解除业务约定或出具无法表示意见的内部控制
审计报告。
中国证监会首席会计师贾文勤在出席中国内部审
计协会主办、中天恒会计师事务所协办的“内部控制
信息化——内部控制与内部审计2011 秋季高峰论坛”
时表示,证监会企业内部控制实施工作小组正在制定
内部控制实施和评价工作的监管规程,用于指导监管
人员的日常监管工作,提高监管工作的效率和质量。
就下一步证监会对上市公司内部控制建设和信息披露
监管工作,贾文勤强调,“一是信息披露的范围界定在
财务报告内部控制领域;二是除了在年报中披露相关
内部控制建设及运行状况的信息外,还必须披露董事
会的内部控制自我评价报告以及注册会计师的内部控
制审计报告。需要注意的是注册会计师的审计报告不
是对董事会自我评价报告的鉴证,而是对公司财务报
告内部控制本身的审计报告;三是要注意评价报告的
内容宜简不宜繁,突出重点,保证评价报告的可读性。”
上述表明证监会认为内部控制审计报告应当属于直接
报告业务,而不是基于责任方认定的报告业务。
2010 年末财政部会计司组织的研究课题成果《企
业内部控制审计:政策解读与操作指引》也明确表述
内部控制审计为直接报告业务。但是,从中注协发布
的《内部控制审计指引实施意见》看,其中的种种表
述似乎又意味着审计报告后需要附送内部控制自我评
价报告,所以这个问题尚无明确结论。在北京国家会
计学院举办的一次内部控制审计培训班上,杨志国副
秘书长也明确内部控制审计是一项直接报告业务。关
于这个问题,经咨询中注协标准部相关人士,答复是
无论是直接报告业务还是基于责任方认定的报告,其
实施的审计程序都是一样的,所以也没有必要绕来绕
去的,索性直接对内部控制发表意见。既然是直接报
告业务,那就没必要在审计报告后面附上自我评价报
告了。
三、企业内部控制审计与财务报告审计的联系
企业内部控制审计与财务报告审计两种意见类型
相互关联,但并非一一对应。例如,在执行内部审计
过程中,注册会计师发现企业财务报告内部控制存在
重大缺陷,应该出具否定意见的内部控制审计报告。
如果该内部控制重大缺陷尚未引起企业财务报告的重
大错报,注册会计师则出具标准意见的财务报告审计
报告。又如,注册会计师对企业财务报告发表否定意
见,意味着财务报告的编制不符合适用的会计准则和
会计制度的规定,这种情况下,企业的内部控制也通
常存在重大缺陷,应该出具否定意见的内部控制审计
报告。
因此,企业内部控制审计能够比财务报告审计提
供更进一步的信息,有利于投资者在财务报告审计意
见类型基础上,深入分析企业内部控制情况、投资风
险和投资价值。
企业内部控制审计与财务报告审计有何联系呢?
中注协负责人就发布《企业内部控制审计指引实
施意见》答记者问提及,企业内部控制的了解和测试,
及其有效性评估是制定财务报告审计策略、实施进一
步审计程序的基础和前提。因此,内部控制审计和财
务报告审计存在着多方面联系,主要体现在以下五个
方面:
一是两者的最终目的一致,虽然二者各有侧重,
但最终目的均为提高财务信息质量,提高财务报告的
可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师
首先实施风险评估程序,识别和评估重大缺陷(或错
报)存在的风险。在此基础上,有针对性地采取应对
措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部
控制有效性的定义和评价方法相同,都可能用到询问、
检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重
点审计领域。注册会计师在财务报告审计中,需要评
价这些重点账户和重要交易类别是否存在重大错报;
在内部控制审计中,需要评价这些账户和交易是否被
内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在
财务报告审计中确定重要性水平,旨在检查财务报告
中是否存在重大错报;在财务报告内部控制审计中确
定重要性水平,旨在检查财务报告内部控制是否存在
重大缺陷。由于审计对象、判断标准相同,因此二者
在审计中确定的重要性水平亦相同。
审计指引第五条规定,注册会计师可以单独进行
内部控制审计,也可以将内部控制审计与财务报表审
计整合进行(以下简称整合审计)。
在实务中,财务报告内部控制审计与财务报表审
计两者很难分开。因为注册会计师在审计财务报表时
需获得的信息在很大程度上依赖注册会计师对内部控
制有效性得出的结论。注册会计师可以利用在一种审
计中获得的结果为另一种审计中的判断和拟实施的程
序提供信息。
实施财务报表审计时,注册会计师可以利用内部
控制审计的结果来修改实质性程序的性质、时间安排
和范围,并且可以利用该结果来支持分析程序中所使
用的信息的完整性和准确性。在确定实质性程序的性
质、时间安排和范围时,注册会计师需要慎重考虑识
别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报
表审计时实质性程序中发现问题的影响。最重要的是,
注册会计师需要重点考虑财务报表审计中发现的财务
报表错报,考虑这些错报对评价内控有效性的影响。
四、企业内部控制审计与财务报告审计的区别
我们先来看鉴证类业务,基于责任方认定的业务
和直接报告业务的区别主要表现在以下四个方面。
(一)预期使用者获取鉴证对象信息的方式不同
在基于责任方认定的业务中,预期使用者可以直
接获取鉴证对象信息(责任方认定),而不一定要通过
阅读鉴证报告。
在直接报告业务中,可能不存在责任方认定,即便
存在,该认定也无法为预期使用者所获取。预期使用者
只能通过阅读鉴证报告获取有关的鉴证对象信息。
(二)注册会计师提出结论的对象不同
在基于责任方认定的业务中,注册会计师提出结
论的对象可能是责任方认定,也可能是鉴证对象。此
类业务的逻辑顺序是:首先,责任方按照标准对鉴证
对象进行评价和计量,形成责任方认定,注册会计师
获取该认定;然后,注册会计师根据适当的标准对鉴
证对象再次进行评价和计量,并将结果与责任方认定
进行比较;最后,注册会计师针对责任方认定提出鉴
证结论,或直接针对鉴证对象提出结论。
在直接报告业务中,无论责任方认定是否存在、
注册会计师能否获取该认定,注册会计师在鉴证报告
中都将直接对鉴证对象提出结论。
(三)责任方的责任不同
在基于责任方认定的业务中,由于责任方已经将
既定标准应用于鉴证对象,形成了鉴证对象信息(即
责任方认定)。因此,责任方应当对鉴证对象信息负责。
责任方可能同时也要对鉴证对象负责。例如,在财务
报表审计中,被审计单位管理层既要对财务报表(鉴
证对象信息)负责,也要对财务状况、经营成果和现
金流量(鉴证对象)负责。
在直接报告业务中,无论注册会计师是否获取了
责任方认定,鉴证报告中都不体现责任方的认定,责
任方仅需要对鉴证对象负责。
(四)鉴证报告的内容和格式不同
在基于责任方认定的业务中,鉴证报告的引言段
通常会提供责任方认定的相关信息,进而说明其所执
行的鉴证程序并提出鉴证结论。
在直接报告业务中,注册会计师直接说明鉴证对
象、执行的鉴证程序并提出鉴证结论。
现在,回过头来,既然企业内部控制审计与财务
报告审计的存在多方面的密切联系,但财务报告审计
是为了提高财务报告的可信赖程度,重在审计“结
果”;在财务报表审计中,只有在以下两种情况下才
强制要求对内部控制进行测试:在评估认定层次重大
错报风险时,预期控制的运行是有效的(即在确定实
质性程序的性质、时间安排和范围时,注册会计师拟
信赖控制运行的有效性);或者仅实施实质性程序并不
能够提供认定层次充分、适当的审计证据。而内部控
制审计是对保证企业财务报告质量的内在机制的审
计,重在审计“过程”。审计对象、重点等的不同,
使得二者存在实质性差异,内部控制审计独立于财务
报告审计。我国《企业内部控制基本规范》要求会计
师事务所对企业内部控制的有效性进行审计,出具审
计报告,并专门制定《企业内部控制审计指引》规范
内部控制审计工作。
二者差异主要体现在五个方面:
首先,对内部控制了解和测试的目的不同。注册
会计师在财务报告审计中评价内部控制的目的,是为
了判断是否可以相应减少实质性程序的工作量,以及
支持财务报告的审计意见类型;在内部控制审计中评
价内部控制的目的,则是为了对内部控制本身的有效
性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师
在财务报告审计中,根据成本效益原则可能采取不同
的审计策略,对于某些审计领域,可以绕过内部控制
测试程序进行审计。而在内部控制审计中,注册会计
师则不能绕过内部控制测试程序进行审计,注册会计
师应当针对每一审计领域获取控制有效性的证据,以
便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不
完全相同。在财务报告审计中,对控制测试的可靠性
要求相对较低,注册会计师测试的样本量也有一定的
弹性。在内部控制审计中,注册会计师则需要获取内
部控制有效性的高度保证,因此对控制测试的可靠性
要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务
报告审计中,注册会计师仅需将审计过程中识别出的
内部控制缺陷区分为值得关注的内部控制缺陷和一般
缺陷。而在内部控制审计中,注册会计师需要对内部
控制缺陷进行严格的评估,将值得关注的内部控制缺
陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影
响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,
注册会计师一般不对外报告内部控制的情况,除非内
部控制影响到对财务报告发表的审计意见。在内部控
制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体
目标、保证程度、评价要求、报告类型等属性上的实
质性差异,这些决定了内部控制审计独立于财务报告
审计。但在技术层面和实务工作中,两者审计模式、
程序、方法等存在着相同之处,风险识别、评估、应
对等大量工作内容相近,有很多的基础工作可以共享,
在一项审计中发现的问题还可以为另一项审计提供线
索和思路。因此,这两项审计工作完全可以整合进行,
而由同一家事务所进行整合审计,不仅有利于提高审
计效果和效率,降低审计成本,减少重复劳动,而且
可以避免审计判断出现不一致的情形,降低企业聘请
不同事务所实施审计的负担。