中美内部控制审计发展比较研究
时间:2022-08-22 05:01:03
一、我国内部控制审计发展概况
(一)《基本规范》颁布前我国内部控制审计的发展 一是我国内部控制审计发展的起步阶段。从1996年至2005年,我国社会各界逐渐认识到内部控制的哦重要性,并开始推动企业内部控制工作的开展。1996年12月财政部颁布《独立审计准则第9号――内部控制和审计风险》,提出内部控制“三要素”,确定审计的时间、范围与性质。2001年起,财政部提出了在新形势下加强企业内部会计控制与监督的要求,逐步发行了一系列内部会计控制的相关规范。2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核,进而发表审核意见制定规范,正式确立了我国的内部控制审计制度。2003年6月中国内部审计协会实施《内部审计具体准则――内部控制审计》,基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。2005年10月,证监会《关于提高上市公司质量意见》的通知,要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。
二是我国内部控制审计的发展阶段。2006年至2007年,我国上市公司的内部控制审计制度发生了很大的变化。2006年2月,我国重新修订《中国注册会计师审计准则》,其中1121号准则借鉴COSO报告,提出内部控制的内涵和要素,并分别解释了内部控制五要素的涵义。准则第1231号从审计的角度出发,对注册会计师了解企业内部控制、进行控制测试的程序及方法做出相应规定。2006年5月的《首次公开发股票并上市管理办法》第二十九条明确规定“发行人的内部控制在所有重大方面是有效的,并有注册会计师出具无保留结论的内部控制鉴证报告”。2007年9月国务院法制办的《上市公司监督管理条例(征求意见稿)》、2007年12月深交所的《关于做好上市公司年年度报告工作的通知》及上交所2008年1月的《关于做好上市公司年年度报告工作的通知》,都明确要求上市公司应按照证监会和本所的相关要求,对公司内部控制的有效性进行审议评估。同时鼓励有条件的公司聘请审计机构就公司财务报告内部控制情况作出评价意见,并披露内部控制的自我评估报告和审计机构的核实评价意见。
(二)《基本规范》颁布后我国内部控制审计的发展 随着《企业内部控制基本规范》的颁布与实施,我国的内部控制审计建设进入不断完善的阶段。2008年6月颁布的并要求上市公司于2009年7月1日实施的《企业内部控制基本规范》和17项具体规范(征求意见稿),进一步要求执行该规范的上市公司可聘请具有证券、期货业务资格的会计师事务所对内部控制的情况进行审计,并发表审计意见,并鼓励非上市的其他大中型企业施行。同时,鼓励上市公司自愿性地在年报中披露“内部控制自我评估和审计机构的核实评价”。继而,财财政部与中注协主持起草制定《企业内部控制鉴证指引(征求意见稿)》,这些举措意味着我国对企业内部控制的审计也将成为一种趋势,而制定相关的审计准则将有助于企业和注册会计师关注内部控制,提高风险意识,防止、及时发现导致财务报表错报的重大控制缺陷和实质性漏洞,保证审计质量,为投资者提高更可靠、更透明的财务信息。
二、美国内部控制审计发展历程
(一)萨班斯法案颁布前美国内部控制审计的发展 一是《证券法》和《证券交易法》。1929年美国爆发较为严重的经济危机,在危机中前行的美国,1933年制定了《证券法》,1934年制定了《证券交易法》,这些法律规定的出台,在美国经济发展史上具有重大意义,对证券交易与监管、财务信息披露等作了具体规定,并首次提出了“内部会计控制”的相关概念,极大地促进了审计的发展。二是麦克森・罗宾斯公司事件与相关文件的出台。1938年美国爆发麦克森・罗宾斯公司破产事件,暴露了审计程序及企业内部控制的严重缺陷。次年10月,美国注册会计师协会第一号《审计程序公告》,首次提出内部控制的评价。SEC对审计程序进行了修正,正式要求注册会计师在审计报告中增加内部控制审查的内容。麦克森・罗宾斯事件让社会各界开始对内部控制审计进行关注。内部控制评价逐步成为财务报表审计组成部分和重要程序,制度基础审计逐渐取代账项基础审计。三是《反国外贿赂法案》及相关建议。1977年美国出台《反国外贿赂法案》,该法案要求SEC管辖的所有公司必须建立保持有效的内部会计控制系统,1978年AICPA成立的注册会计师责任委员会(科恩委员会)提出建议:公司管理层应披露与财务报告相匹配的内部控制报告,注册会计师还应对管理层出具的内部控制报告进行评价并披露相关报告。四是COSO报告及《审计准则公告第78号》(SAS78)。1987年,COSO委员会成立,并于1992年9月颁布了《内部控制――整体框架》报告,即COSO报告,提出内部控制整体框架报告的概念,是内部控制发展史上的一个里程碑。COSO报告认为“内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程”。内部控制式由控制环境、风险评估、控制活动、信息与沟通、监督五要素相互联系、相互协调共同构成的一个能动的整体。1996年美国独立审计人员协会《审计准则公告第78号》(SAS78),对内部控制进行了肯定和细化,并提出风险控制的意识理念,促进了内部控制审计的进一步发展。
(二)萨班斯法案颁布后美国内部控制审计的发展 一是《萨班斯――奥克斯利法案》。本世纪初,安然倒塌,安达信破产,继而世界通信、南方保健等舞弊事件的相继发生,再一次暴露了企业内部控制的缺陷。为了强化企业内部控制的责任,加强对会计、审计、公司治理、证券交易以及美国资本市场的监管,2002年美国国会通过《萨班斯――奥克斯利法案》。该法案的302及404条款规定,管理层应对企业内部控制系统的建立与维护负责,并应在企业年度报告中披露内部控制体系以及控制程序有效性的评价报告。条款还要求独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告鉴证结果及披露审计意见。这标志着美国上市公司管理层内部控制报告由原来的自愿性披露改为强制性披露,并实现了由审计师单独执行内部控制审计业务的重大飞跃。二是美国证券交易委员会(SEC)的“最终规则”。根据萨班斯404条款有关内部控制的规定,美国证券交易委员会(SEC)于2003年出台了相应的规章制度,在8月《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》简称《最终规则》),要求除投资公司以外,所有受1934年证券交易法约束的公司,均应在年报中包括管理层关于公司财务报告内部控制的报告,并要求负责该公司财务报表审计的注册会计师对管理当局出具的内部控制有效性评估报告发表独立审计意见。三是PCAOB的第二号审计准则(AS2)。PCAOB于2004年3月审计准则第2号《与财务报表审计结合进行的财务报告内部控制审计》。该准则重新定义重大控制缺陷和重要控制弱点,合理界定管理当局和审计人员对内部控制应承担的责任,明确要求注册会计师应当在执行公司的财务报表审计业务的同时,对上市公司的财务报告内部控制实施审计业务,即提出整合审计概念。至此,现代审计全面走进财务报表审计与财务报告内部控制审计并重的新时代。四是PCAOB的第五号审计准则(AS5)。PCAOB于2007年审计准则第5号《与财务报表审计整合的财务报告内部控制审计》,对内部控制审计程序与方法等方面的相关条款进行修订与完善,取代了AS2。与AS2相比,AS5进一步优化自上而下的审计方法,修订重大缺陷和实质性漏洞的定义及评价实质性漏洞的重要指标,增加对舞弊控制的评价,区分重要性在审计中的地位,简化原准则的要求,减少不必要的审计程序等。
(一)制度规范层面美国的内部控制准则体系起步较早,发展趋于成熟,拥有一套较为独立完善的准则指导体系。与之相比,我国的内部控制审计起步较晚,制度体系较为松散,仍未能形成独立的审计准则,最新的鉴证指引也仅为征求意见稿。与PCAOB的AS5相比,AS5以“管理层对财务报告内部控制的评估报告”为审计对象,而《内部控制鉴证指引》(简称《指引》)则是以“企业内部控制”为审计对象。《指引》与《基本规范》要求注册会计师以企业内部控制整体为审计对象,体现了在思想体系上的一致性。但是,内部控制审计业务在我国毕竟仍处于探索阶段、起步阶段,需要一个逐步适应、分步实施、不断完善的过程。另外,《指引》虽试图实现对企业内部控制整体的有效性发表意见,但内容主要阐述如何对财务报告内部控制进行鉴证。可见,我国对于内部控制审计方面的规范制度的制定还应该进行更深入的探讨与研究,以形成一套合理可行,适合我国国情的内部控制准则体系。
(二)实际执行层面 我国的内部控制规范并没有明确强调内部控制审计的不可缺失性,也未具体地规定必要的内部控制审计步骤和程序。在审计实务中,我国审计职业界主要采取了两个方面的对策来进行内部控制的测试工作:运用了解内部控制和进行控制测试的程序表,在审计工作中简单地勾划表格;探索分析性程序,以某些关键指标、关联和趋势作为引导审计资源流向的标杆。但是从总体上来看,这两种方式都不利于内部控制审计程序较好的实施。尽管风险基础战略审计在我国已初步确立,并强调了内部控制对整体审计工作的重要影响,以及注册会计师对企业内部控制制度的保障和监督作用,但内部控制审计在实务中所受到的关注仍不足。因此,我国有必要进一步强调内部控制审计工作的重要性,提出必要的审计程序、内容与方法以指导内部控制审计的进行,以完善内部控制审计,提高审计质量。
(三)信息披露层面我国内部控制信息披露机制尚不完善,我国对内部控制信息披露的强制性规定主要针对的是商业银行、证券公司、发行新股的上市公司等,对其他类型公司还没有强制性规定,还停留在自愿披露。由于我国大部分上市公司不要求强制披露内部控制信息,所以对企业内部控制信息进行审计就缺乏动力与强制性。因此,加强对内部控制审计披露的规范,对我国内部控制相关体系的完善非常重要,同时还能够让审计报告的使用者形成对公司内部控制执行情况的深度了解,提高各类公司信息披露的透明度,以促进更加合理的资本市场的形成。
参考文献:
[1]张龙平、陈作习、宋浩:《美国内部控制审计的制度变迁及其启示》,《会计研究》2009年第2期。
[2]张砚、杨雄胜:《内部控制理论研究的回顾与展望》,《审计研究》2007年第1期。
[3]潘琰:《内部控制》,高等教育出版社2008年版。
