浅议《企业内部控制审计指引》.docVIP

浅议《企业内部控制审计指引》财政部等五部委分别于2008年5月和2010年4月联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》，并要求我国在境内外同时上市的公司自2011年1月1日起首先施行，在上海证券交易所、深圳证券交易所主板上市的公司自2012年1月1日起施行。这标志着我国企业内部控制规范体系全面建立和注册会计师内部控制审计制度与标准的确立。根据要求，我国内部控制审计制度刚刚迈入实务阶段，配套指引等规范文件是指导内部控制审计实务的主要依据。认真研究规范文件的合理性、兼容性对促进我国内部控制审计理论与实务的发展有着重要意义。笔者着重讨论《企业内部控制审计指引》中存在的一些问题以及其与其他配套指引、审计准则的兼容问题，并提出解决这些问题的建议。 一、指引的法律效力 指引第一章总则第一条规定，指引根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则制定。因此，指引的效力等级低于《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，指引不属于准则。然而，财务报表审计与内部控制审计地位相当，都是注册会计师的高水平保证鉴证业务。规范内部控制审计的指引法律效力等级低于规范财务报表审计的系列准则，既降低了指引的威信，又使我国会计审计准则体系缺乏完整性。为强化指引的技术规范地位，笔者建议将指引纳入审计准则体系，提高指引的法律地位。 二、审计目标的界定 指引总则第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师审计的范围应当覆盖企业内部控制整体而不应仅限于财务报告内部控制，注册会计师要对企业所有的内部控制的有效性发表意见，承担责任。而第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这又将注册会计师的报告责任缩小到财务报告内部控制和“注意到的非财务报告内部控制”。在指引最后所附的审计报告参考格式中，指引又对引言段、审计意见段和针对非财务报告内部控制的强调事项段的内容作出如下规定： 引言段：我们审计了××股份有限公司（下称“××公司”）××年×月×日的财务报告内部控制的有效性。 审计意见段：我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。 针对非财务报告内部控制的强调事项段：需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。 可以看出，这三段报告内容将注册会计师的审计目标和审计责任进一步缩小到仅仅对财务报告内部控制进行审计、发表意见承担责任，注册会计师对非财务报告内部控制不承担任何责任。 纵观上述内容，指引在对注册会计师的审计目标的规定上显得较为混乱。总则部分要求注册会计师对“注意到的非财务报告内部控制”重大缺陷承担披露责任，而报告的措辞不要求注册会计师对非财务报告内部控制承担任何责任。这令读者感到无所适从，也会使司法部门在可能发生的审计失败案件的裁判中无法明确注册会计师的责任，有关部门亟需对该部分内容予以修订，明确注册会计师的审计目标和审计责任。 笔者认为，对非财务报告内部控制发表意见超过了注册会计师的专业胜任能力，要求注册会计师对非财务报告内部控制的重大缺陷进行披露会加大注册会计师的审计责任和审计风险。即使指引仅要求注册会计师披露“注意到的”非财务报告内部控制的重大缺陷，但因为国内目前尚未形成对非财务报告内部控制缺陷进行评价的依据或标准，“非财务报告内部控制重大缺陷”的判定无章可循，注册会计师也无法对非财务报告内部控制的合理性及有效性发表意见。基于以上原因，对注册会计师披露注意到的非财务报告内部控制重大缺陷的要求很难得到实施，建议指引删去这一要求，并适当修改总则部分对审计目标的界定，使总则部分与报告内容规定一致。 三、单独审计与整合审计的选择 指引规定，企业可以聘请两家会计师事务所分别对其内部控制和财务报表进行审计，也可以聘请一家会计师事务所同时对其内部控制和财务报表进行审计。注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（即整合审计）。 但内部控制审计与财务报表审计两者很难分开。对内部控制进行了解和评价是年报审计中风险评估的重要内容，注册会计师需要评估实施实质性程序发现的问题，利用内部控制审计的结果修改财务报表审计计划；在内部控制审计中，注册会计师要考虑识别出的财务报表错报对评价内部控制有效性的影响。所以，实务中实施单独审计几乎没有可能。