我国企业内部控制审计-困境与对策研究.docVIP

　　我国企业内部控制审计:困境与对策研究 一、引言 　　2008年5月25日，财政部会同证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》（简称《基本规范》），为我国内部控制规范体系的构建提供了框架。《基本规范》第十条规定“接受企业委托从事内部控制审计的会计师事务所，应当根据规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。”这一规定标志着内部控制审计正式进入我国注册会计师业务领域。 　　为推进《基本规范》的实施，使内部控制规范发挥应有的作用，财政部再次会同证监会、审计署、银监会、保监会五部委于2010年4月15日印发了包括18项应用指引、1项评价指引和1项审计指引的《企业内部控制配套指引》（简称《配套指引》）。《配套指引》自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大至上海证券交易所、深圳证券交易所主板上市的公司施行。这意味着内部控制审计将于2012年度大幅度展开，并强制施行。 　　根据《企业内部控制审计指引》（简称《审计指引》）的规定，内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。其中，内部控制应当涵盖财务报告内部控制和非财务报告内部控制，内部控制审计应是对企业整个内部控制系统实施审计，并对其设计的合理性、运行的有效性发表审计意见。但《审计指引》却区分了注册会计师应对财务报告和非财务报告内部控制审计所承担的责任，因此，内部控制审计必须明确区别财务报告与非财务报告内部控制。而两者的边界如何明晰？至今尚缺乏明确的指南。此外，内部控制审计还面临着内部控制规范体系还不够完善，内部控制审计标准还不够明确、不够具体，非财务报告内部控制本身的复杂性导致其缺陷难以被认定等诸多不利因素。这些不利因素将使注册会计师陷入判断标准缺乏、专业胜任能力不足等困境，在审计意见的发表上，容易引发与客户的严重分歧，出现“各持己见”“争论不休”的局面。 　　 　　二、内部控制审计所面临的困境 　　（一）审计范围困境 　　何谓内部控制？《基本规范》借鉴了COSO委员会发布的《内部控制整体框架》（COSO报告）的定义，即内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。它由内部环境、风险评估、控制活动、信息与沟通和内部监督五要素构成。其中，内部控制目标定位于合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整性，提高经营效率和效果，促进企业实现发展战略。 　　由定义不难看出，企业内部控制贯穿于企业整个经营管理过程，“嵌入”企业经营管理的方方面面。换言之，内部控制在企业经营管理过程中无时不在、无处不在，但又难以触摸、准确把握，企业内部控制已经被泛化、抽象化了。在这种情况下，如果把企业内部控制整体作为鉴证对象，必将导致内部控制审计范围亦被泛化，在审计实践中难以准确把握审计的边界，给审计实务带来困难，相应地也将大幅度地增加审计成本。然而，若沿袭传统，将审计范围圈定于财务报告内部控制，却难以满足日益增长的投资者和其他利益相关者的审计需求。自2001年安然事件爆发，直至2008年全球性金融危机以来，投资者和其他利益相关者越来越清楚地认识到仅仅关注财务报告的真实公允性是远远不够的，还应同时关注经营的合法合规、资产安全完整、企业战略目标的实现等等，单纯的财务报告审计目标已不能满足利益相关者的需求，市场需求的变化无形地将审计领域延伸到了整个的企业内部控制系统。但客观需求与主观约束的冲突客观存在，内部控制审计陷入了“两难”困境。 　　为摆脱“两难”困境，《审计指引》采取了折衷策略，即在形式上把鉴证对象扩大到企业内部控制整体，实质上却将内部控制一分为二，区别对待。如《审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。《审计指引》并未要求注册会计师对非财务报告内部控制发表审计意见，也不要求注册会计师为之承担审计责任，注册会计师所承担的仅仅是重大缺陷的披露责任。在未明确非财务报告内部控制审计责任的前提下，机会主义必将驱使注册会计师仍将审计的重心置于财务报告内部控制的审计，在非财务报告内部控制审计上将支付尽可能少的审计成本，在整合审计中难以有效兼顾非财务报告内部控制的审计。因此，披露“非财务报告内部控制重大缺陷”很可能流于形式，难以实现《基本规范》所设定的内部控制审计目标。这一规定同时表明，注册会计师对非财务报告内部控制所提供的保证是有限保证，并没有上升到鉴证层次，准确地说，是非财务报告内部控