审计模式演进视角下的内部控制
开篇:润墨网以专业的文秘视角,为您筛选了一篇审计模式演进视角下的内部控制范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
本文试图以审计和内部控制的交叉渗透和互动发展为背景,探讨审计模式的演进过程中内部控制功能与作用的演变,分析审计实践中的偏离,并就新审计准则中的若干相关问题进行评论和解释,以期职业界全面认识和准确把握相关准则的精神实质。
作者简介:
管理学(会计学)博士,东北财经大学会计学院教授,东北财经大学出版社社长、编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。财政部会计准则委员会咨询专家、中国注册会计师审计准则组专家。
一、内部控制与审计模式的演进
企业作为市场之外的一种契约形式,在组合资源、追求目标的过程中,存在着对内部控制的内在需求。而随着企业的演进以及所有权和经营权的日趋分离,作为问责机制一部分的财务报告及其审计制度应运而生。20世纪中叶,审计和内部控制的发展不断交织,进而互动和耦合,直接导致了制度基础审计模式的诞生。此后,内部控制逐渐确立了在审计中的地位,成为推动审计模式演变和探索审计理论与方法的重要因素之一。
(一)内部控制的引入与制度基础审计模式的确立
直到19世纪末期,独立审计的基本模式仍然是账项基础审计,即详细地验证账簿中记录的交易。后来随着股份有限公司的发展,企业的规模越来越大,经济交易越来越复杂繁多,使得全面、详细的测试变得不太可行。于是,就产生了选择性测试(抽样审计)。早期的选择性测试在抽取样本时,基本上是根据注册会计师的经验和认识进行判断性的抽样。
在20世纪前期近30年的发展过程中,审计职业界逐渐认识到根据对被审计单位内部控制的评价,来选择进行测试的领域和数量,不仅能够比判断性抽样更为科学、合理,而且能够显著地减少审计的工作量。此后,制度基础审计模式(或称内控导向审计)开始逐步确立,审计与内部控制的交织发展也拉开了序幕。
在制度基础审计模式从萌生到盛行的数十年中,随着审计的发展,审计职业界所界定的内部控制也在不断地发展。1936年,美国会计师协会[AIA,1957年更名为美国注册会计师协会(AICPA)]首次提出了内部控制的概念。随后,麦克森一罗宾斯等一系列事件的爆发,促使审计职业界广泛关注内部控制问题。在这种背景下,AIA审计程序委员会(CAP)下属的一个专门委员会于1949年发表了一份关于内部控制的研究报告,给内部控制下了一个当时广为认可的权威定义。
在此后近十年的审计实践中,职业界反映该定义过于宽泛,会导致审计工作量和责任的加大。于是,CAP于1958年10月了第29号审计程序公告“独立审计师评价内部控制的范围”,将内部控制划分为会计控制和管理控制;1963年12月的第33号审计程序公告“审计准则与程序(汇编)”进一步明确注册会计师主要关注会计控制;1972年11月的第54号审计程序公告“审计师对内部控制的研究与评价”,对会计控制和管理控制的定义进行了修订和充实,并被收入新成立的审计准则执行委员会(AudSEC)同月的第1号审计准则公告“审计准则与程序汇编”之中。
20世纪六七十年代爆发的大陆售货机等一系列事件,尤其是水门事件后1977年《反国外贿赂行为法案》的颁布,使内部控制的重要性得到前所未有的强调。同时,区分会计控制和管理控制的做法受到越来越广泛的质疑。为此,AICPA下设的审计准则委员会(ASB,1978年取代AudSEC)于1988年4月了第55号审计准则公告“财务报表审计中对内部控制的考虑”,放弃了会计控制与管理控制的划分,提出了由控制环境、会计系统和控制程序三个要素组成的内部控制结构的概念。
制度基础审计既是一种程序驱动型的审计模式,又是一种理论驱动型的审计模式。它基于内部控制能保证财务报告可靠性的基本假设来设计审计程序。当注册会计师拟信任被审计单位的内部控制时,首先针对内部控制制度的遵循情况进行符合性测试,然后根据符合性测试的结果确定实质性测试的性质、时间和范围。这样,内部控制实际上成了注册会计师设计审计程序、分配审计资源的指向标。毫无疑问,此时内部控制在审计模式中的地位是举足轻重的。
(二)内部控制在传统风险导向审计模式中实质上仍然处于核心地位
20世纪70年代的“诉讼爆炸”,使得审计职业界开始着重研究审计风险问题,而对审计风险模型的探索是其标志性活动。ASB于1981年6月的第39号审计准则公告“审计抽样”认为,审计风险由固有风险、控制风险、分析性复核风险和细节测试风险四个要素组成;1983年12月的第47号审计准则公告“实施审计工作中的审计风险和重要性”,将审计风险概括为固有风险、控制风险和检查风险三要素的乘积,成为通行的审计风险模型。一般认为,此时审计模式已经逐渐摆脱制度基础审计模式,开始进入风险导向审计模式,即根据对审计风险的评估,来确定审计程序的性质、时间和范围。
风险导向审计是一种理论驱动的审计模式,它从分析审计风险出发,根据注册会计师对被审计单位固有风险、控制风险的评估,结合预期的审计风险水平,来确定可按受的检查风险水平,并以此为基础设计审计程序、分配审计资源。但是早期,注册会计师的眼光仅仅放在审计业务本身的风险上,而且对固有风险的评估由于缺乏清晰的范围界定和明确的操作指引往往难以有效进行,实践中注册会计师往往不加评估就消极地将固有风险定为高水平,机械地套用审计风险模型。而从理论上讲针对财务报表整体的风险评估主要有赖于对固有风险的评估,这样就会使风险评估实质上仅仅针对交易、余额和列报等认定层次,造成风险评估和审计程序设计“只见树木、不见森林”的情形。同时忽略对固有风险影响因素(包括一些重要的环境、背景情况)的全面了解和对固有风险的评估,就很难把握住真正的高风险领域,从而使整个审计工作侧重局部、迷失方向。
应该说,三因素的审计风险模型在理论上是科学的。但是理论驱动的审计模式的一个缺点是容易与实践相脱节。从前文的分析中可以看出,在实际执行中真正关注的往往只有控制风险和检查风险两因素。这样,尽管审计模式不同,但是只不过是新瓶装旧酒,实质性的审计程序与制度基础审计没有本质区别。从这个角度看,有人将固有风险与控制环境挂钩,认为风险导向审计模式不过是转换了视角的内控导向审计,尽管有失偏颇,但是也并非完全没有道理。
而此时逐渐风行的分析性审计技术,尽管有助于从总体上把握一些重要的关联和趋势,但是它毕竟需要强大的基础数据作为支持,而且所获取的审计证据本身证明力较差。对分析
性复核的过分依赖和滥用,会从客观上抑减细节测试的范围和数量,最终影响审计质量。
因此,我们一般把早期的风险导向审计模式称为传统风险导向审计模式。它也因为上述缺陷和不足以及实践中频繁发生的审计失败事件而受到指责。
(三)在现代风险导向审计模式中,内部控制仍然起着不可替代的重要作用
20世纪八九十年代,由于诉讼风险和职业责任的加大,审计职业界开始把考虑风险的目光从审计业务风险本身扩充到被审计单位的经营风险,并由此引发了风险导向审计模式的升级换代。
国际领先的会计师事务所(主要是当时的“五大”)率先开展了对现代风险导向审计模式的探索,其中最为突出的是KPMG。KPMG的研究小组于1997年提出了以战略系统观组织审计的观点,并开发出了名为“经营计量过程”(BMP)的风险基础战略系统审计方法。几乎与此同时,安永开发了“经营环境分析技术”(BEAT),安达信开发了“经营导向审计”,PWC开发了“普华永道审计方法”,德勤开发了“AS/2”审计工具。而现代风险导向审计模式的最终确立则以IAASB于2003年底正式颁布首批审计风险准则为标志。
现代风险导向审计模式克服了传统模式的不足,着重强调注册会计师在充分了解被审计单位及其环境(包括所处的行业、法律和监管背景、单位的性质、目标、战略和经营风险,以及内部控制等)的基础上,从财务报表整体和认定两个层次上评估重大错报风险。然后针对评估的重大错报风险设计进一步审计程序,通过控制检查风险,最终将剩余风险控制在预期的审计风险水平上。
顺应这种思路上的转变,对审计风险模型进行了新的概括,即:审计风险=重大错报风险×检查风险。应该说,新模型立足于重大错报风险,回归了本原,突出了审计的根本目标:合理保证经审计的财务报表不存在重大错报。但是,新模型只是角度和思路的转换,并不是对三因素模型的否定。尤其是,它并不意味着摈弃对控制风险和内部控制的考虑。实际上,在风险评估程序中,对内部控制的了解是了解被审计单位及其环境的重要内容之一。而对内部控制的了解,也是决定进一步程序采取实质性方案还是综合性方案的直接依据。如果决定采取综合性方案,则先进行控制测试,根据控制测试的结果决定实质性程序的性质、时间和范围。显然,综合性方案下的进一步审计程序,实际上类似于内控导向审计。由于不拟信赖内部控制的情形毕竟是特例,加上在一些情况下仅仅依靠实质性程序并不能获取充分适当的审计证据,所以采用综合性方案是主流的和典型的。从这个角度看,内部控制即使在现代风险导向审计模式中,仍然起着不可替代的重要作用。当然,这与内部控制在防止财务报表重大错报方面的作用是分不开的。
(四)内部控制概念的整合与拓展及其对审计的影响
为了研究财务报告舞弊问题,AICPA等五个组织于1985年组建了Treadway委员会。该委员会于1987年专门成立了发起组织委员会(COSO),负责整合各种内部控制概念。COSO经过多年的研究,于1992年9月正式了著名的《内部控制整合框架》(1994年作出局部修订),提出了包括三个目标(经营的效率和有效性,财务报告的可靠性,对适用法律法规的遵循)、五个要素(控制环境,风险评估,控制活动,信息与沟通,监控)的三棱锥形框架。
随着这个框架被广泛接受,ASB于1995年12月了第78号审计准则公告“财务报表审计中对内部控制的考虑:对第55号审计准则公告的修订”,全面采用了该框架对内部控制的定义。目前,国际和主要西方国家的审计准则,金融监管机构的监管准则,乃至美国2002年SOX法案所提出的财务报告内部控制报告、证实与验证的要求,采用的都是这个框架。
内部控制概念的整合,有助于明确审计中所考虑的内部控制的概念和内容,使得对内部控制的了解和测试有了明确的指引,结束了长期以来尽管一直倚重内部控制、但是对其概念、范围和内容莫衷一是的尴尬。
二、审计实践中内部控制功能和作用的偏离
从前面的回顾与分析中不难看出,局部的抽样审计对比全面的详细审计而言,其减少工作数量的出发点是不言而喻的。而在这个过程中选择内部控制作为审计方法创新的核心,绝对是一个有重大意义的突破。内部控制能够防止财务报表的重大错报,因而以其作为设计审计程序、分配审计资源的依据,是科学、合理的。
但是在实践中,人们逐渐发现要想对内部控制进行评价和测试不但绝非易事,而且费时费力、成本高昂。对此,审计职业界主要采取了两个方面的“对策”:一是开发出一套了解内部控制和进行符合性测试的程序表,在审计工作中简单、消极地勾划表格(check thebox);二是开始探索分析性审计技术,希冀以某些关键指标、关联和趋势作为引导审计资源流向的标杆。尽管前者有助于逃避责任,后者有助于降低风险,但是总体上看,两者都是以牺牲审计质量为代价的。
审计失败的增多和诉讼风险的加大,导致了对审计风险模型的探索和传统风险导向审计的确立。密切关注和有效降低审计风险,能显著地提高审计质量。但是,评价固有风险的难度和工作量绝不亚于控制风险,就可能导致实践中消极地简化乃至放弃对固有风险的评价,即在审计模式上的“穿新鞋,走老路”。而制度基础审计模式下的两类对策,也会重新抬头。
此后,环境催生的现代风险导向审计模式直指审计的根本目标。但是这种引入经营风险考量、注重全面了解和评价重大错报风险的审计模式,显然有着加大审计难度和工作量的一面。而且,风险评估程序和控制测试程式化(例如表格化)以及突出强调分析程序等试图“挽救”审计质量的做法已经露出端倪,实在不能不令人忧虑这种理论驱动的审计模式在实践当中会不会走样。因此,尽管现代风险导向审计模式的确有重大改进和突破,而且目前对它的赞誉和推崇盛于一时,我们对于这种模式的前景和效果也只能持谨慎乐观的态度。
三、对新审计准则的相关解读与评论
前文以较大篇幅进行了历史回顾和理论分析,主要是希望为全面理解和科学评价新近颁布的相关审计准则提供一些理念上的支撑。
新颁布的《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》中,对风险评估程序中了解被审计单位内部控制的规定十分详尽、具体。该准则第四章“了解被审计单位的内部控制”中,以较大的篇幅对内部控制的内涵和要素、与审计相关的控制、对内部控制了解的深度、内部控制的人工和自动化成分、内部控制的局限性等相关问题作出了规定,并从控制环境、被审计单位的风险评估过程、信息系统与沟通、控制活动以及对控制的监督等五个方面作出了详细的指引。不难看出,它基本上是以COSO1992年的框架为蓝本,同时考虑了财务报表审计的特殊角度。
而在另一项现代风险导向审计核心准则《中国注册会计师审计准则第1231号――针对评估的重大错报风险实施的程序》中,第四章“控制测试”则从控制测试的内涵和要求、控制测试的性质、时间和范围等方面对新审计模式下的控制测试作出了详细规定。这些规定,体现了现代风险导向审计模式下内部控制的功能与作用,而且与第1211号准则是互相呼应的。
应该说,我国企业内部控制的总体发展水平不仅远远落后于美国等发达国家,而且即使对照我国的法律法规和现实要求来讲也是相当滞后的。直接引入COSO框架,起点高,跨度大,但是这也正是我们发挥“后发优势”的好机会。而准则中作出十分具体的规定,一方面为注册会计师了解乃至测试内部控制提供了具体的指引,另一方面也有助于在国内普及相关的知识和技术,这正是目前国内企业界所急需的。从这个角度看,准则中对内部控制的关注和强调无疑具有突出的针对性和指导价值。
但是,这种详细罗列的方式,会不会导致“规则导向”的问题?这种“一步到位”的想法,会不会因为与目前现实的差距太大而流于形式?这种难度大、成本高的要求,会不会诱发职业界寻求勾划表格之类的“对策”?这些问题不仅值得认真考虑,而且必须进行合理引导和有效应对。