1、风险导向下的财务报告内部控制审计研究图自团回回回 2011 年第 12 期风险导向下的财务报告内部控制审计研究胡继荣徐飞管小敏加强企业财务报告内部控制审计,对提供更为可靠和真实的会计信息,具有十分重要的意义。企业经营环境日益复杂,所面临的风险也难以预测,本文依据财务报告内部控制审计准则的发展及现状,提出了开展风险导向下财务报告内部控制审计的必然性,以及在风险导向下财务报告内部控制审计的具体运用。 关键词风险导向:审计准则 E 财务报告;内部控制审计中图分类号F239.220 文献标识码A文章编号1004-518X(2011112 -0216 -05 胡继荣(1956 一),男,福州大学管理学院
2、教授,主要研究方向为审计、公司理财 ;徐飞(1987-),男,福州大学管理学院硕士研究生,主要研究方向为审计;管小敏(1979 一),男,福州大学监察审计处审计师,主要研究方向为内部审计。 (福建福州 350108) 财务报告内部控制审计经历了内部控制评价、内部审计的发展,同时萨班斯法案也是国际社会开展财务报控制审核和内部控制审计三个阶段,内部控制直接影响告内部控制审计借鉴的依据。萨班斯法案包括会计职业着企业对外披露的各种财务和非财务信息的真实可靠监管、证券市场监管等方面,所有在美国上市的公司,都性,间接影响着外部利益相关者依据内部信息做出的经必须遵守该法案,萨班斯法案有助于提高企业内部控制济
3、决策。审计。PCAOB 于 2007 年发布了第 5 号审计准则,并取代一、财务报告内部控制审计准则的发展第 2 号审计准则。该准则要求注册会计师坚持风险导向由于美国爆发了一系列上市公司财务丑闻,2002 年审计,采用自上而下的审计方法,进一步完善财务报告美国国会通过了萨班斯-奥克斯利法案,建立了上市内部控制审计准则。PCAOB 新制定的第 5 号审计准则,公司会计监管委员会(PCAOB),并授权美国证券委员会与被替代的第 2 号审计准则相比,存在以下几点变化。 (SEC)对 PCAOB 进行监督,加大外部监管力度。萨班斯(一)财务报告内部控制审计中更加强调风险导向法案规定上市公司的高管应对近
4、年度财务报告内部控审计制的有效性进行评估、披露,财务报告内部控制信息已第 5 号审计准则要求注册会计师坚持风险导向审计经是美国上市公司强制披露的范围。为了完善财务报告基本原则,采用自上而下的审计方法,提高审计效果、效内部控制审计,2004 年 PCAOB 发布了第 2 号审计准则,率,降低审计成本,提高风险防范能力。风险导向下,注该审计准则就审计人员对内部控制有效性的评估报告册会计师要对企业各项活动进行风险识别、评估,要求进行审计做出了具体、详细的规定,明确要求上市公司注册会计师在实施审计程序过程中,根据持续获得的被审计人员在财务报表审计时对与财务报告相关的内部审计单位信息,不断修正审计程序性
5、质、时间、范围。第 5 控制实施审计。号审计准则也指出,注册会计师确定的审计程序的性萨班斯法案的颁布,促进了美国财务报告内部控制质、时间和范围必须与既定内部控制风险水平相适应。216 风险导向下的财务报告内部控制审计研究(二)合理使用以前年度或其他人的审计工作行。2010 年 4 月 26 日,财政部、证监会、审计署、银监会、第 2号审计准则要求注册会计师每年必须依靠当保监会联合发布了企业内部控制配套指引,该配套指年自己的审计工作,第 5 号审计准则取消了这项规定,引连同企业内部控制基本规范,明确要求建立我国企允许注册会计师利用以前年度的审计工作,从而降低审业内部控制审计制度,执行内部控制规范
6、体系的企业,计成本、减少不必要的重复审计。注册会计师在确定对必须聘请注册会计师对其财务报告内部控制有效性进以前年度审计结果利用程度时,要考虑以前年度审计程行审计,这标志着我国企业内部控制规范体系基本建序的性质、时间、范围和结果以及上一次审计至本次审成。为了进一步规范注册会计师执行内部控制审计业计测试期间内部控制环境的变化。第 5 号审计准则还提务、明确工作要求、提高执业质量、维护公众利益,2011 出根据被审计单位的性质、执行审计人员的胜任能力及年 10 月中国注册会计师协会制定了企业内部控制审客观性作为利用其他人员工作的基础标准,如果执行审计指引实施意见,自2012 年 1 月 1 日起施行
7、。我国不断计工作的其他人员具有胜任能力和客观性,就可利用该建立和规范相关内部控制审计法律法规,但随着国内外审计人员的工作结果,此过程中需要注册会计师进行职内部控制审计理论研究和实践的变化,要进一步研究符业判断。合我国国情的内部控制报告框架体系,进一步完善相关(三)修订重大缺陷和重妥缺陷含义理论和法律建设。第 5 号审计准则重新修订了重大缺陷和重要缺陷(二)内部控制审计技术方法发展相对滞后含义。重大缺陷是指财务报告内部控制中的一个或若干当前我国企业内部控制审计方法主要是制度基础个缺陷组合,使得可能或很可能元法及时预防和发现财审计,随着技术进步以及企业经济环境、规模性质的不务报告重大错报。重要缺陆
8、是指财务报告内部控制中的断变化,这种审计方法的不足日益显现,难以适应当今一个或若干个缺陷组合,其严重性小于重大缺陆,但仍复杂的经营环境。制度基础审计主要是对被审计单位内可能元法及时预防和发现财务报告重大错报。第 5 号审部控制制度进行测试,由于一部分管理层对内部控制审计准则要求审计人员判断确定重大缺陷和重要缺陷的计的认识比较落后,片面地认为内部控制审计就是对企显著特征。第 2 号审计准则要求注册会计师对管理层每业经济进行检查,另一部分管理层可能认为内部控制审年的内部控制自我评估程序进行评价,如果注册会计师计是对自己经营管理权限的挑战,进而削弱内部控制审认为管理层没有充分的内部控制自我评估程序,
9、那么注计机构和部门的权限,使其形同虚设,缺乏独立性和权册会计师就应拒绝对公司的内部控制发表审计意见。第威性,从而导致内部控制审计机构和人员无法有效开展 5 号审计准则取消了该项规定,但注册会计师还是需要内部控制审计。了解管理层的自我评估程序,此时,审计委员会协调公(三)风险导向审计理念有待加强司管理层、内部审计人员以及注册会计师工作就显得尤美国颁布的第 5 号审计准则明确指出财务报告内为重要。部控制审计要在风险导向审计理念基础上,采用自上而二、我国财务报告内部控制审计现状下的审计方法,提高审计效果、效率,降低审计成本,提 2011 年 10 月 11 日,中国注册会计师协会印发了高风险防范能力
10、。我国 2008 年颁布的企业内部控制基企业内部控制审计指引实施意见(简称;会协2011本规范没有明确风险导向审计在内部控制审计中的重 66 号;),为我国注册会计师内部控制审计提出了更具要性,指出内部控制审计阶段主要为;审计计划阶段一体、明确的指引,为深化财务报告内部控制审计在我国实施审计阶段-评价内部控制缺陷阶段-完成内部控的研究发展奠定了坚实的制度基础,但面对纷繁复杂的制审计阶段-审计报告阶段没有强调;风险识别-风经济技术环境发展变化,我国内部控制审计还存在一些险评估一风险应对;的风险导向审计理念,因此降低了缺陷和不足。内部控制审计效率和风险防洒水平。(一)企业内部控制报告框架体系有待完
11、善(四)内部控制审计成本和效益匹配问题2008 年 5 月财政部会同证监会、审计署、银监会、保事物都存在两面性,人们对于内部控制审计的态度监会制定了企业内部控制基本规范,29 年 7 月1 日也是双重的,有支持内部控制审计的,也有持反对态度起在上市公司范围内施行,鼓励非上市的大中型企业执的。内部控制审计支持者们指出,内部控制审计有助于 217 江西社会科学 2011. 12 加强企业内部监督有效性,降低高管舞弊的发生,进而位内部控制是否一贯有效执行,但要防止对内部控制的提高财务报告的合法公允性,因此必须进一步促进内部有效性做出过于乐观的评价,否则会增加审计风险。控制审计的发展。相反,内部控制审
12、计反对者们认为,内(三)审计对象差异部控制审计必然会增加企业内部控制审计成本,对内部财务报告内部控制涉及一系列公司具体业务和活控制审计的结果在提高公司财务报告可靠性方面持有动,并非大量实实在在的财务数据,因此对其进行审计怀疑态度,认为当前开展内部控制审计的成本和所带来并提供合理保证的难度很大。因此,财务报告内部控制的效益不匹配。在我国,企业出示的内部控制报告以及审计需要注册会计师具备较高的职业判断能力和专业注册会计师依据内部控制审计指导意见发表的内部胜任能力。首先,编制审计计划复杂性大,由于不同规模控制审计报告缺乏完善的理论和法律法规指导,迫切需和经营性质的公司财务报告内部控制的复杂程度存在要
13、公司管理当局正视企业内部控制评价,客观、公正开巨大差异,注册会计师在编制审计计划时要具体问题具展内部控制建设和评价。体分析,标准化的审计计划格式难以直接应用,否则可三、财务报告内部控制审计与财务报表审计的区别能无法识别出财务报告重大内部控制薄弱点。其次,在在注册会计师对财务报表进行审计过程中,要对被控制测试完成后,注册会计师需要评价内部控制是否存审计单位的内部控制进行了解,进而对财务报表层次和在重大缺陷,并根据内部控制存在的缺陷程度确定审计认定层次的重大错报风险进行识别评估,如果注册会计范围和审计意见类型。其中内部控制缺陷评价需要注册师拟信赖被审计单位的内部控制就必须进行控制测试,会计师进行大
14、量的职业判断。财务报表审计与财务报告内部控制审计在内容上存在着(四)注册会计师承担的责任不同重合。财务报告内部控制审计是为财务报告内部控制不当前财务报表审计发展到风险导向审计模式,审计存在重大缺陷提供合理保证,财务报表审计是为财务报人员应当评估财务报表层次的重大错报风险,并根据风表不存在重大错报提供合理保证,二者主要区别如下:险评估结果确定总体应对措施。财务报告内部控制审计(一)审计侧重点及范围差异要求注册会计师坚持风险导向审计,使用自上而下的审财务报表审计的目标是对财务报表是否在所有重计方法,在这种方法下注册会计师从关注公司层面的控大方面遵循了公认会计原则而搜集充分适当的审计证制到重要会计账
15、户,最后是具体交易业务层面的控制。据并发表审计意见。财务报表审计也需要了解被审计单财务报表审计的目标,是就被审计单位的财务报表是否位的内部控制情况,并进行风险评价,但都是为了确定在所有重大方面得到公允反映发表审计意见,注册会计进一步的财务报表审计程序的性质、时间和范围,注册师对财务报表的可靠性提供合理保证。而财务报告内部会计师无需单独对财务报告内部控制的有效性发表审控制审计的目标,是获得公司管理当局特定日期的评估计意见。而财务报告内部控制审计的目标是对公司是否结论中不存在实质性漏洞的合理保证,所以,注册会计在所有重大方面建立健全了财务报告的有效内部控制师不仅需要对内部控制提供合理保证,还要对公
16、司管理发表审计意见。此时,注册会计师不仅需要对被审计单当局内部控制报告提供合理保证。位财务报告内部控制进行了解,还要对其设计和执行的四、开展凤险导向审计的必然性有效性进行测试,注册会计师必须对财务报告程序中每财务报告内部控制审计要求注册会计师坚持风险个重要控制的有效性进行评价。导向审计,使用自上而下的审计方法,在这种审计思路(二)注册会计师对内部控制有效性保证水平不同下,注册会计师从内部控制制度合理有效性出发,发现在财务报告内部控制审计时,需要注册会计师对被被审计内部控制存在的缺陷,进而提出改进建议。当前审单位财务报告内部控制的有效性发表独立审计意见,开展风险导向审计有其必然性 o(一)制度基
17、础审计存在内在缺陷要求提供合理的保证水平。财务报表审计中对内部控制的测试只是为了进一步确定实质性程序的性质、时间、范随着现代企业规模的不断扩大,经济业务的增加,针对简单员工舞弊的实质性测试程序可能会是有效的,围,因而对财务报告内部控制评价结论元需提供高水平保证,如果在财务报表审计中,注册会计师拟信赖被审计但是对于管理层串通舞弊,制度基础审计也会部分失单位的内部控制,就必须进行控制测试,以确定被审计单灵。因为,由公司最高管理层凌驾于内部控制之上或者 218 风险导向下的财务报告内部控制审计研究串通舞弊的行为往往是可以轻易地绕过企业内部控制审计对内部控制属于一种事后的反馈机制,内部控制的监督的。在
18、这种情况下,如果内审人员只关注企业的内变化不能及时得到反馈,从而造成内部审计所反映的控部控制评价,而忽视企业的政策、经营环境、市场状况,制信息存在一定的滞后性,降低对内部控制的促进作不进行所面临的审计风险的识别和评估,就有可能错误用。现代公司治理中,要求加强事前控制,防患于未然,地确定重点审计领域,这将不利于审计质量,增加审计内部控制也逐渐强调由事后的反馈控制变为更贴合内风险。部控制目标的前馈以及同期控制,风险导向内部审计则制度基础审计并不完全依赖于实质性测试程序,它将内部控制评估的关口前移,由事后监督评价转向事前开始关注有效的内部控制对财务报告可靠性的作用,引的预警防范,更关注环境变化的影响
19、,体现了动态性和入了内部控制及控制测试,并针对内部控制薄弱环节相灵活性。关业务进行实质性测试,这就使得一些利用内部控制的(五)风险导向内部控制审计扩大了审计范围漏洞进行舞弊的行为无处遁形。但是,它也使得内审人传统的财务报告内部控制审计经历了内部控制评员容易将审计重点偏向于企业的内部控制系统,而忽视价阶段、内部控制审核阶段和内部控制审计阶段,内部企业本身的目标。如果对企业目标和所处风险了解不控制审计对象的范围也在不断扩大。在此过程中,内部够,也就无从直接评估控制程序,因为内审人员无法判控制审计已由对具体业务内部控制的评价发展到对实断哪些内部控制是最重要的。现企业管理目标各项控制活动的审计监督,风
20、险导向审(二)风险导向内部审计以实现企业目标为基础计方法在内部控制审计中的应用,进一步扩大了内部控由于企业经营活动存在着各类风险,如果对所有控制审计范围,它要求注册会计师首先了解被审计单位的制点都进行内部控制评估,是不符合内部审计成本效益经营环境,发现、识别并评估各种财务报告内部控制风原则的。在风险导向内部审计中,项目组首先进行企业险,进而利用各种审计程序应对所发现的风险,帮助企风险评估,确定高风险的领域作为关注重点。在开展内业完善内部管理。部控制评估时,以风险评估为基础,在对企业所有风险(六)风险导向更加重视对企业风险的识别应对进行综合了解、分析、评价后,内部审计人员对风险进行与制度内部控制
21、审计相比,风险导向内部控制审计评分排序,根据风险评估结果来确定审计范围,有重点将财务报表风险导向审计方法和内部控制审计融合在地开展内部控制审计工作,把主要审计资源分配至高风一起,更加关注企业生产经营、公司治理结构一级内部险控制点和环节,这样有助于合理确保内部控制目标的控制制度各环节中可能存在的风险,并采取适当的措施实现。应对所发现的内部控制漏洞和缺陷。制度内部控制审计(三)风险导向内部审计提高了内部控制评价的效果往往是在企业生产经营完工后开展的事后评价监督行传统内部审计从实际的内部控制出发,再评估其风为,这种事后监督的重要缺陷是相关的风险已经出现、险大小,考虑控制目标是否得以实现,然后再针对控
22、制损失已经发生。而风险导向内部控制审计是一项持续评薄弱环节提出改进建议,并在后续的审计过程中考察问价监督审计工作,事先对内部控制各环节中可能存在的题是否得到纠正,属于一种事后的反馈机制,对风险的漏洞缺陷以及危害损失进行预测,评估各类风险的发生评估主要依赖内部控制的检查与评价,因此评估易流于可能对企业整体目标实现产生的负面影响,进而采取应形式。风险导向内部审计与传统内部控制评估的区别在对措施,防患于未然。于其遵循的逻辑顺序是;目标一一风险一一控制同时五、凤险导向财务报告内部控制审计的具体运用根据企业风险评估调整审计战略,确定审计重点,紧密注册会计师坚持风险导向审计,使用自上而下的审关注高风险的领
23、域,以提供更相关、更符合管理层需求计方法,在这种审计方法下注册会计师重点关注内部控的确证信息。制风险较大的领域,避免花费过多的时间和精力在其他(四)风险导向内部审计属于事前控制风险低或损失金额小的内部控制活动,降低注册会计师内部控制一般是针对经常而重复发生的业务,而且审计失败的风险。具有相对的稳定性,因此,如果偶发性或未预计到的经(一)风险导向内部控制审计具体程序济业务出现,原有的控制措施就可能不适用。传统内部在承接审计业务和制定审计计划之前,注册会计师 219 江西社会科学 2011. 12 要对被审计单位内部的控制情况进行了解,主要日的是险导向内部审计与传统内部控制评估的区别在于其遵实施必
24、要的审计程序,了解被审计单位是否已经建立内循的逻辑顺序是;目标一风险一控制同时根据企业风部控制制度及其执行情况。如果内部控制缺陆严重、风险评估调整审计战略,确定审计重点,紧密关注高风险险大,注册会计师可以拒绝承接该项审计业务,从源头的领域,以提供更相关、更符合管理层需求的确证信上降低审计风险。承接审计业务后,注册会计师要对被息。在风险导向内部审计理念下,在开展内部控制评估审计单位内部控制进行风险评估,确定内部控制是否可时,可采取先从重要风险领域分析判断可能对企业目标依赖。开展内部控制风险评估时,在对企业所有风险进实现产生影响的风险点,进而在内部控制实施细则中寻行综合分析、评价、了解后,内部审计
25、人员要对风险进行找相应的控制点进行评估。在评估中如果有风险点而没排序,根据风险大小来确定审计范围,有重点地开展评有控制点,应及时对内部控制实施细则进行补充和完估。再接着,注册会计师实施进一步审计程序,对被审计善,以确保及时防范重大内部控制风险,使内部控制评单位内部控制的设计和执行效果进行测试,注册会计师估成为一种积极、主动的全过程动态防范风险机制,为应将主要审计资源分配给高风险的控制环节,使得更多管理层进行风险管理提供有用信息,为公司治理提出建与风险管理相关的控制活动得到关注,降低审计失败的议和整改措施。风险。在完成审计测试工作后,注册会计师应在前述审(四)对风险评估结果进行量化排序计工作基础
26、上,重新对被审计单位内部控制风险进行评以风险为导向的内部审计始终把审计的焦点放在价,以确定实施的审计测试程序、收集的审计证据是否那些风险大、对企业实现目标影响大的事项上。因此,在充分适当,审计风险是否可接受。最后,综合前述审计工开展内部控制评估前,审计人员可在对企业的风险进行作结果,根据收集的审计证据,发表审计意见,出具内部识别、分析的基础上进行分类。风险导向内部审计的起控制审计报告。点是:评估组织是否已设定了一个适当的目标,以及企(二)风险导向内部控制审计以实现内部控制目标业是否具有一套充分的程序用以识别、评估和管理那些为出发点对实现组织整体目标有影响的风险。因此,在风险导向根据风险导向内部
27、审计的含义及其与内部控制评内部审计观念下,内部审计人员可通过对企业内、外部估结合的相关原理,企业在开展内部控制评估时可从内环境以及当前的风险进行综合分析并量化排序后确定部控制的目标出发。根据风险原则,找出对实现这些目年度内部控制评估计划并与企业经营计划相一致,及时标有重要影响的活动和部门,从而进行重点评估,之后发现并有效控制和防范企业显现和潜在的各类风险 O 分析这些活动中可能隐含的风险和能够管理这些风险的控制措施,最后测试实际控制措施是否切实有效。由参考文献于风险遍布企业的各个领域。在开展内部控制评估时对1 S .拉奥瓦莱布哈内尼,玉立彦.内部审计在所有控制点都进行评估,是内部审计资源和成本
28、效益原治理、风险和控制中的作用(第 3 版)M.李海风,译.北则所不允许的。在风险导向内部审计中,企业风险成为京:电子工业出版社,2004.选择审计项目及确定特定项目中重点关注领域的首要2许平彩,叶陈毅,唐雪翠.基于价值链视角下的依据,高风险的领域优先列入年度审计计划,因此审计内部控制研究J.企业经济,2011,(3).项目的选择与企业目标紧紧相连。3朱荣息,贺欣.内部控制框架的新发展一一企业(三)评估企业内部控制各环节风险风险管理框架J.审计研究,2007,(6). 传统内部审计对内部控制的评估所遵循的顺序是4中国内部审计协会.内部审计具体准则第 5 号;控制风险一一评价控制目的是否实现;。传统内部一一内部控制审计.2003.审计首先着眼于实际的内部控制,其次评估其风险,考5王杏芬.反腐败审计治理机制创新策略探讨J. 虑控制臼标是否实现,然后再针对控制薄弱环节提出加企业经济,2011,(7).强控制的建议,并在后续的审计中考察问题是否得到纠6中国内部审计协会.内部审计具体准则第 16 号正,属于种事后的反馈机制。并且,对风险的评估主要风险管理审计.2005.依赖内部控制的检查与评价,因此评估易流于形式。风责任编辑:高平】220
