《注册会计师审计是提升企业内控有效性得重要规章地制度安排》由会员分享,可在线阅读,更多相关《注册会计师审计是提升企业内控有效性得重要规章地制度安排(10页珍藏版)》请在金锄头文库上搜索。
1、注册会计师审计是提升企业内控有效性的重要制度安排 财政部会计司X玉廷 王宏执笔一、实施企业内控注册会计师审计的重要意义2008年5月和2010年4月,财政部会同证监会、审计署、银监会、保监会先后发布了企业内部控制根本规X和20项企业内部控制配套指引,在根本建成我国企业内控规X体系的同时,确立了企业内控有效性的自我评价制度和注册会计师审计制度,由此推动我国企业内控体系贯彻实施步入了法制化、规X化开展的新阶段。实施企业内控注册会计师审计,是立足我国国情、借鉴国际惯例推出的一项创新之策,也是确保企业内控有效实施的重要标志和制度安排。一实施企业内控注册会计师审计符合国际惯例,有助于揭示企业内控重大缺陷
2、,维护投资者利益和资本市场秩序。在企业尤其是金融企业和上市公司中推行内部控制注册会计师审计制度由来已久。1991年美国颁布联邦储蓄保险公司法案,要求资产高于2亿美元的金融机构管理层提供内部控制有效性评价报告,同时要求此类金融机构“聘请独立审计师出于鉴证之目的而对其内部控制进展评估并报告结果。2002年,美国颁布萨班斯奥克斯利法案,通过其302和404条款将财务报告内部控制自我评价和注册会计师审计制度扩大到公众公司。2006年,日本颁布金融机构与交易法,借鉴美国模式建立了日本公众公司的内控审计制度;同年,欧盟修订“欧洲议会和欧盟理事会指令,明确要求注册会计师应向公司审计委员会报告财务报告内部控制
3、重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷,是注册会计师审计的重要职责。注册会计师根据有关法律法规的规定和企业内部控制根本规X、企业内部控制审计指引的要求将认定的内控重大缺陷报告给企业投资者和社会公众,有利于投资者、社会公众和其他利益相关者全面、与时、准确地了解和掌握企业内控现状,提高决策的科学性和针对性,防止和降低决策失误风险,从而有效维护投资者利益和资本市场健康稳定开展。二实施企业内控注册会计师审计,有助于增强企业内部控制效能,促进企业全面提升风险防X能力和经营管理水平。注册会计师的独立性和专业性,决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客
4、观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题,较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目,只缘身在此山中的固有约束,注册会计师提出的审计意见往往更具针对性、深刻性和建设性;同时,注册会计师审计报告具有法律效力和威慑性,使得企业管理层必须高度重视注册会计师的审计意见,围绕注册会计师提出的内控缺陷采取与时有效的整改措施,从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性,为企业举一反三健全管控、杜塞漏洞,实现又好又快可持续开展提供助推力。三实施企业内控注册会计师审计,有助于促进注册会计师行业严密适应市场需求推动业务转型升级、实现加快开展。为了支持和促
5、进我国注册会计师行业跨越式开展、维护国家经济信息安全,2009年10月,办公厅财政部关于加快开展我国注册会计师行业的假如干意见简称“国办56号文件,明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的根底上,积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购置服务等相关业务领域延伸,推动大型会计师事务所业务转变和升级,加速向高端型、高附加值、国际化业务开展。实施企业内控审计,是落实国办56号文件精神的具体表现,是扩大会计师事务所执业领域、扶持注册会计师行业加快开展的重大利好。二、实施企业内控注册会计师审计中应当正确处理的几个关系一企业
6、内控责任与注册会计师审计责任的关系。两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会或类似决策机构,下同的责任;按照企业内部控制审计指引的要求,在实施审计工作的根底上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。二企业内控自我评价与注册会计师内控审计的关系。第一,企业内控自我评价与注册会计师内控审计
7、是相互独立、并行不悖的。企业内控责任与注册会计师内控审计责任的划分,决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规如此独立完成,两者之间不能相互替代和免除。第二,注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言,企业内控自评工作应先于注册会计师内控审计进展,因此,适当利用企业内控自评工作与其成果,可以相应减少注册会计师的工作量,提高内控审计效率。但是,注册会计师的内控审计责任,不能因为利用了企业内控自评工作而减轻,这就要求注册会计师在利用企业内控自评工作时,必须毫不放松风险意识,特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业慎重态度。如下图揭示
8、了注册会计师利用企业内控自评工作应当把握的方法和尺度。对企业自评人员对企业自评人员客观性的评估胜任能力的评估高中低高最大程度利用中等程度利用不利用中中等程度利用较小程度利用不利用低不利用不利用不利用第三,在各负其责的根底上加强双方的沟通协调,是做好企业内控自评和注册会计师内控审计不容无视的重要方法。一方面,就注册会计师与其所在的会计师事务所而言,一是要注重树立整体研判观念,善于在宏观层面把握大局、把握实质;二是要着重关注合规目标、报告目标和资产安全目标,适当兼顾效率效果目标和战略目标;三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员;四是要注意项目具体执行人员与调查访谈对象身份、权责
9、的大体协调;五是要加强内控审计业务培训和经验交流;六是要重视以前年度审计情况总结分析;七是要建立与同行的经验共享、技术合作机制;八是要加强信息技术等非财会、审计人才的引进和培养。另一方面,就企业管理层而言,一是要自觉强化可持续开展理念和借力“会诊意识,主动配合支持注册会计师的审计工作;二是要建立并理顺与注册会计师的沟通协调机制,在审前、审中和审后保持坦诚、深入的沟通;三是要针对注册会计师的疑虑,提出有说服力的证据;四是要在第一时间整改注册会计师识别的控制缺陷,为获得更为正面的审计意见赢得主动。三财务报告内控和非财务报告内控的关系。第一,财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与
10、管理控制的界定一样。一般而言,与财务报告性、可靠性、完整性直接相关的控制称为财务报告内控,比如,根据企业会计准如此的要求对经济交易或事项进展会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。第二,企业内部控制审计指引对财务报告内控和非财务报告内控提出了差异化的审计要求,即:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段予以描述。必须强调,这一规定是实事求是的,既充分考虑了注册会计师的专业特长和职业风险,将注册会计师的审计重心定
11、位在财务报告内控领域,同时又大胆破除了单纯财务报告内控观念的束缚,促使注册会计师的内控审计X围与企业管理层的内控自评X围总体上趋于一致,增强了内控审计报告与自评报告的协调。四内控审计和财务报表审计的关系。企业内部控制审计指引规定,注册会计师可以将内部控制审计与财务报表审计整合进展即整合审计,也可以单独进展内部控制审计。尽管从法规的角度为如何进展内控审计和财务报表审计提供了选择,但从企业更“经济地委托审计分析,我们倡导内控审计和财务报表审计整合进展。事实上,审计准如此所要求的风险导向审计与内控规X体系所要求的风险评估,在理念和方法上是趋于一致的,因此整合审计具有较好根底。整合审计的目的,就是在内
12、控审计中获取充分、适当的证据,支持注册会计师在财务报表审计中对内部控制的风险评估结果;同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审计的互动关系见如下图。从美国公共会计公司会计师事务所整合进展财务报表审计和财务报告内控审计404审计的通常做法看,内控审计团队一般先于财务报表审计团队12个月的时间进入被审企业,在对财务报告内控有效性作出总体评估的根底上,对实施财务报表审计的性质、时间和X围作出适当调整和完善,之后,通过对财务报表的实质性分析复核,再来验证财务报告内控的有效性。由此可见,所谓整合审计,实际上是整合协调审计时间、整合协调审计方
13、法、整合协调审计意见,这是值得我国会计师事务所研究借鉴的。五企业层面控制测试与业务层面控制测试的关系。无论是企业内控自评,还是注册会计师内控审计,都需要对企业层面控制和业务层面控制进展测试。一般认为,与内部控制诸要素中的根本制度安排直接相关,对企业整体内控目标的实现具有重大影响的控制属于企业层面控制;与控制活动控制政策和程序在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上
14、而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进展测试,并不意味着企业层面和业务层面的测试工作是孤立进展、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进展,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为关键控制,除此之外,如此被认定为一般控制。经验数据明确,在所有业务
15、层面控制中,关键控制一般占到20左右。如下图为认定关键控制提供了一种可供参考的方法。可能出错事项控制1234512345上图中,控制1可以涵盖可能出错事项1、2、3和5,即一项控制可以涵盖多个可能出错事项,因此控制1可被认定为关键控制;而对于可能出错事项4,只有控制2能够涵盖,即一个可能出错事项只有一项控制能够涵盖,因此控制2可被认定为关键控制。由此分析得出,控制3、4和5应为一般控制。六重大缺陷披露与其他缺陷沟通的关系。内部控制缺陷按其影响程度分为重大缺陷实质性漏洞、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。企业内部控制审计指引规定,当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监视无效,应当认定企业财务报告内控存在重大缺陷,对企业财务报告内控有效性发表否认意见,并通过内控审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷,应当以书面形式与企业董事会和经理层沟通;对于一般缺陷,应当以书面形
