摘要
摘 要
近年来,我国证券市场出现了一系列的上市公司财务舞弊案,这些案件的发生,其中一个重要原因就是上市公司内部控制鉴证的严重缺位与失灵。有效健全的内部控制鉴证可以合理保证企业经营管理合法合规,资产安全,财务报告及相关信息真实完整,从而提高经营效率和效果,促进企业实现发展战略。内部控制鉴证的这些重要性使得投资者要求了解企业内部控制鉴证的状况。为此,上市公司急需构建一种合理完善的内部控制鉴证制度以满足投资者的要求并约束这些财务舞弊行为。
本文就上市公司内部控制及内部控制鉴证含义开始论述,从内容,背景分析,现状描述及评价三个方面介绍了上市公司内部控制鉴证的有关问题研究。从而总结出内部控制鉴证存在的缺陷,然后根据所总结的内部控制鉴证缺陷,借鉴其他文刊的经验结论,提出了完善内部控制鉴证的相关建议,具体包括明确内部控制鉴证报告内容与形式,提高注册会计师内部控制鉴证业务水平,完善与内部控制鉴证相关的执业准则。最后,根据上文的分析及提出的建议得出了结论。
关键词:内部控制,内部控制鉴证,鉴证报告
I
ABSTRACT
ABSTRACT
In recent years, China's securities market appeared a series of financial fraud of listed companies, these things happen, one important reason is that the internal control of listed company verification of absence of serious and failure, and effectively improve the internal control verification legal compliance, it is reasonable to ensure enterprise management asset security, financial report and related information and true, improve the management efficiency and effectiveness, promote enterprise development strategy.The importance of internal control verification made investors gradually the status of the enterprise internal control requirement of the verification.Therefore, listed companies need to build a reasonable, perfect the internal control identification system to meet the requirements of the investors and constraints of these financial fraud.
In this paper, the listed company's internal control and internal control identification meaning began to discuss, from the content, the background analysis of the status quo description and evaluation of three aspects introduced the research issues related to listed companies internal control verification.Summarized verification defects of internal control of listed companies, and then, in this paper, according to these defects and using the experience of other article publication conclusion, puts forward some Suggestions of perfecting internal control verification, these Suggestions include clear internal control verification report content and form, improve the level of certified public accountants internal control verification business and improve the professional standards related to internal control verification.Finally, based on the above analysis and recommendations in the conclusion.
KEY WORDS: Internal control,Internal control verification,Verification report
I
目录
目 录
1 绪论 . ............................................................. 1
1.1 研究背景 . ................................................... 1
1.2研究意义 .................................................... 1
1.3 现状综述 . ................................................... 2
1.4 研究思路与内容 . ............................................. 3
2 上市公司内部控制鉴证背景解析 . ..................................... 5
2.1 内部控制和内部控制鉴证含义 . ................................. 5
2.1.1 内部控制含义 . ......................................... 5
2.1.2 内部控制鉴证含义 . ..................................... 6
2.2 内部控制鉴证目标以及工作步骤 . ............................... 7
2.2.1 内部控制鉴证目标 . ..................................... 7
2.2.2 内部控制鉴证工作步骤 . ................................. 7
2.3 内部控制鉴证报告内容 . ...................................... 10
2.3.1 内部控制鉴证报告分类 . ................................ 10
2.3.2 内部控制鉴证报告要素 . ................................ 12
2.4 内部控制鉴证与财务报表审计关系 . ............................ 13
3. 上市公司内部控制鉴证现状评价 . .................................... 15
3.1 研究样本 . .................................................. 15
3.2 内部控制鉴证报告披露情况 . ................................. 15
3.2.1内部控制鉴证报告披露整体状况 ......................... 15
3.2.2 内部控制鉴证报告披露行业分布 . ........................ 15
3.2.3深沪两市上市公司的对比分析 ........................... 17
3.3 内部控制鉴证存在缺陷 . ...................................... 19
3.3.1 重形式缺实质 . ........................................ 19
3.3.2审核意见单一 ......................................... 20
3.3.3执业准则和鉴证标准不完善 ............................. 20
4. 上市公司内部控制鉴证完善建议 . .................................... 21
4.1 明确内部控制鉴证报告内容与形式 . ............................ 21
4.2 提高注册会计师的内部控制鉴证业务水平 . ...................... 22
4.2.1事务所应当保持其审计独立性 ........................... 22
4.2.2修订审计工作底稿编制指南 ............................. 22 I
西安交通大学城市学院本科生毕业设计(论文)
4.2.3正确处理审计效率和审计风险关系 ....................... 22
4.3 完善与内部控制鉴证相关的执业准则 . .......................... 23
5. 研究结论 . ....................................................... 25
致 谢 . ............................................................. 27
参考文献 . .......................................................... 29
I
绪论
1 绪论
1.1 研究背景
2001年12月2日,作为美国世界500强公司排名第七的美国能源巨头安然公司正式向纽约联邦地方法院申请破产,安然事件引发了全世界相关领域一系列深层次而广泛讨论,从表面上看,安然公司的破产是企业的战略决策出了问题,与其经营决策有关,但从深层次分析,安然公司的破产与公司治理结构不合理和内部控制在设计、实施当中的缺陷有更直接的关系。但是当内部控制存在缺陷时,企业未必重视或者清楚,因此需要审计师对内部控制鉴证的参与。2002年美国颁布了SOX 法案,法案要求美国上市公司必须实施财务报表审计和财务报告内部审计,加拿大,英国,日本等国家也相继效仿美国,甚至欧盟的大部分成员国也修改了加强内部控制信息披露的相关法规。
在我国,2008年6月,财政部,证监会,审计署,银监会,保监会五部委发布《企业内部基本规范》该规范原定于2009年7月1日起先在上市公司范围内实行,并鼓励非上市的其他大中型企业执行,虽然目前因为很多客观主观的条件尚不够成熟推迟了执行时间,但是正式执行却是指日可待的事情,根据该规范,上市公司应当对内部控制的有效性进行自我评价,披露年度子我评价报告,并可聘请具有证券,期货业务资格的中介机构对内部控制的有效性进行审计。理论指导实践,为使内部控制制度鉴证业务顺利开展,首先应做好内部控制鉴证业务的理论研究。
1.2研究意义
随着市场经济的快速发展,人们越来越认识到内部控制制度对于一个公司的重要性,健全有效的内部控制制度有利于保证财务报告的真实性、可靠性。越来越多的投资者意识到一家有投资价值的上市公司不仅要有良好的经营业绩与发展前景,还必须具有良好的内部控制制度,在某种程度上,内部控制制度的失效比经营业绩的下滑,让公司面临的风险更大,因此,上市公司越来越关注企业的内部控制鉴证制度及其内部控制信息的披露。而对公司而言,对外披露内部控制信息既是公司树立企业形象的需要,也是对公司信息使用者的一种责
1
西安交通大学城市学院本科生毕业设计(论文) 任的承担。
1.3 现状综述
1)国外文献综述
美国是最早对内部控制鉴证进行信息披露的国家,其内部控制经历了从自愿性披露到强制性披露的发展经历,它的转折点是在2001年,这一年众多财务丑闻事件的发生,美国国会于2007年颁布了SOX 法案,它标志着上市公司的内部控制信息开始纳入到强制披露的范围。也是将内部控制审计提升到法制的高度。而与美国不同的是英国在对内部控制信息的披露的发展道路上走的是先强制性后自愿性披露的道路。在20C 末,出于对诉讼风险增加的担心,英国主张对内部控制报告由强制性披露向自愿性披露回归。标志事件是1992年颁布的《卡德伯利报告》主张采用强制性披露,而1999年颁布的《特恩布尔报告》则主张采用自愿性披露的做法。
Hermanson (2000) 以九种财务报表使用者(共363份有效问卷) 为调查对象,分析他们对内部控制报告的要求,结果发现,调查对象认为自愿性披露和强制性披露内部控制报告都能促进披露公司的内部控制,但自愿性披露比强制性披露在决策方面更有作用。
W.Dennis Huer (2001) 论证了不同的文化气氛下审计师对内部控制的评估和对风险的评估的关系,结果表明审计师的评估存在着文化风险。
Mc Vay(2005) 研究了至少披露一个重大漏洞以上的261家公司,结果发现控制重大缺陷通常与财务控制的不充分资源分配相关,和公司规模盈利能力无关。
Ogneva (2006) 研究了重大漏洞与公司权益成本之间的关系,结果发现披露重大漏洞的公司的资本成本相对较高。
Doyle (2007) 研究了2002年8月至2005年11月至少披露一个重要缺陷的705家公司,结果发现控制缺陷通常和未能转变成现金流的低劣应计项目相关。 Leaner(2007) 在对年报中披露了内部控制缺陷的上市公司研究证实,影响披露的因素有组织结构的复杂化及报告期重要的组织变化等。
有一些专业出版物对上市公司财务报告内部控制审计的整体情况做了描述性统计,例如联合出版公司的研究发现,财务部在2004年11月15日之后结束的,且在2005年1月28日至2005年5月4日之间提供年度报告的美国上市公司中,有353家(占上市公司总数的11.7%) 披露了否定指导意见的内部控制指导意见,在列示的内部控制弱点中,财务报告结账程序,交易复核,公认会计原则运用,员工胜任能力,职责分离占38%,此外与会计准则技术问题有关的 2
绪论
控制弱点也很多,包括所得税,租赁会计等。
2)国内文献综述
国内对内部控制鉴证的研究起步较晚,但经过几十年的发展,国内的学者在国外研究成果的基础上,对其在中国企业中的内部控制信息鉴证情况进行了初步的探讨,对这方面的研究已经有了明显的进步,并且取得了不少有意义的成果。
《浅析我国上市公司内部控制信息披露问题》(潘俊美.2009) 认为随着我国市场经济的不断发展壮大,内部控制制度已经成为我国经济必不可少的组成部分,但由于各种原因出现了很多问题,其中有一个重要问题就是上市公司内部控制信息的披露问题,内部控制信息披露对各个上市公司的监督、管理方面发挥着非常重要的作用,是市场健康发展的保证。
《我国上市公司内部控制信息披露分析》(阳雪. 2010) 从上市公司内部控制信息披露的现状入手,分析了我国上市公司内部控制鉴证中存在的问题,从大多数上市公司内部控制鉴证报告披露的内容来看都存在着重形式轻内容的过于模式化的问题,披露质量不高,上市公司资源披露的动机也不够强,针对我国目前上市公司内部控制信息鉴证的现状及其原因,提出了我国上市公司内部控制信息鉴证问题的建议,以促进我国上市公司内部控制鉴证信息的披露。 陈国良(2004) 认为我国出台的关于内部控制信息披露的政策和规定的有效执行存在着很多制约因素,并对制约因素进行了分析,提出了完善上市公司内部控制鉴证的建议。
仇莹(2005) 提出了内部控制鉴证评价模型,模型是对内部控制目标,程序,风险及财务报表认定目标,COSO 报告中内部控制五大要素之间关系的描述和评价,
何凤平,吴军(2005) 认为上市公司应该加强对内部控制的评价和对内部控制信息的披露,两者缺一不可,不能孰重孰轻。
赵锡尧(2007) 在借鉴美国内部控制评价与报告体系的基础上,结合我国的国情,对我国内部控制评价与报告体系建设中有关责任主体,设计师的责任和角色及内部控制审核范围等问题进行了探讨,并提出我国的内部控制评价与报告的范围应着眼于财务报告相关的内部控制,并由高级管理人员作为披露和报告财务报告内部控制有效性的责任人,审计师对责任人的认定及财务报告内部控制的有效性进行审核鉴定。
1.4 研究思路与内容
1)方法与手段
3
西安交通大学城市学院本科生毕业设计(论文) 本文在研究方法上,主要采用了实证研究和规范研究相结合,归纳与演绎相结合的方法,注重理论与实际的结合. 实证研究方法主要是对现实经济问题的概括和归纳,强调对事实的陈述和描绘,从中得出相关的结论;规范研究方法主要是依托相关理论,对我国上市公司内部控制鉴证问题进行深入的分析研究。在研究过程中采取的具体研究方法包括:系统的方法、运用科学抽象法、分析和综合法、比较分析法、理论与实践相结合法等研究方法。
2)技术路线与可行性论证
本文将综合运用管理学、会计学、经济学、统计学等相关理论,通过从各种文献获得的大量资料作为研究基础,以上市公司为基础,结合我国上市公司具体现状,较为深入地论述了上市公司内部控制鉴证问题研究的理论基础,较为细致地分析了上市公司内部控制鉴证问题的现状、成因以及对策,并对完善上市公司内部控制鉴证提出了具有一定可操作性的政策建议,意在为上市公司内部控制鉴证提供理论解释,促进其更加完善和稳健的发展。
4
上市公司内部控制鉴证背景解析
2 上市公司内部控制鉴证背景解析
2.1 内部控制和内部控制鉴证含义
2.1.1 内部控制含义
内部控制(Internal Control)是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。企业内部控制主要是指内部管理控制和内部会计控制,是提高企业运营效率、保障企业依法经营和会计信息真实可靠,促进企业实现战略目标的活动,是现代企业制度的根本要求,是企业各项管理工作的基础,也是企业提高管理水平和防范风险的一种有效机制。换言之,内部控制,是一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。也就是为实现企业经营管理目标、组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的方法、程序和措施。最早的控制主要着眼于保护财产的安全完整,会计信息资料的正确可靠,侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大,经济活动日趋复杂化,才逐步发展成近代的内部控制管理系统,并逐步提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
内部控制的第一个定义见于美国注册会计师协会(American Institute of CertifiedPublic Accountant ,以下简称AICPA ) 的一份研究报告:内部控制由组织的计划和组织内部为保障资产、检查会计数据的准确性和可靠性、提高经营效率和鼓励孥持规定的经营政策而采取的所有协调方法和措施组成。显然此定义包含的内部控制界限极为宽泛,但是对注册会计师财务报表审计中应对内部控制检查到什么程度所提供的指引很少,凼此遭到了从业者的质疑。
1973年审计程序委员会(Committee of CAP ) 发布的第一期审计标准声明(Statement of Auditing Standard,SAS ) 中,提出了会计控制和行政控制的概念,在1977年《外国贿赂行为法案》(Foreign Corrupt Practices Act,以下简称FCPA ) 中,内部控制借用了SAS 1号中会计控制和行政控制的定义。1988年AICPA 下属的审计标准委员会(ASB ) 废除了会计控制和行政控制的提法,提出了内部控制三要素:控制环境、会计系统和控制程序[1988年4月美国注册会计师协
5
西安交通大学城市学院本科生毕业设计(论文) 会发布的《审计准则公告第55号》(SAS NO.55) ,规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(InternalControl Structure) 一词取代原有的“内部控制”一词.而且文告提出的内部控制内容比以前更为实任,条理史加清楚.将内部控制界定为“为合理保证企业特定目标的实现而建立的再种政策和程序”,住结构J 二由控制环境、会计制度干u 控制程序三个要素组成。该文告的颁布和实施可视为内部控制理论探究的‘一个新的突破性成果。
由上述内部控制演进可见:关于内部控制的定义目前学术上有很多定义,但是COS0中的定义是目前最权威的定义。COS0报告将内部控制定义为企业董事会、经理阶层和其他员工实旌的,为营运的效率效果,财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制框架以要素来划分使得企业内部控制的表述、分析和构建更加全面,条理更加清晰。COSO 报告对内部控制要素的划分是目前最权威的一种划分方法。内部控制的五个要素分别是:控制环境(Control Environment) 、风险评估(Risk Assessment) 、控制活动(Control Activities ) 、信息与沟通(Information and Communication ) 、监控(Monitoring ) 。
2.1.2 内部控制鉴证含义
内部控制鉴证主要分4个方面:①鉴证范围:基于宏观角度和实施现状等客观因素的考虑, 我国财政部在2010 年发布的《企业内部控制审计指引》将鉴证范围定义为与财务报表相关的内部控制,要求对非财务报告内部控制的重大缺陷进行描述。②鉴证性质:基于责任方的认定。即要求企业不仅要对鉴证对象(即内部控制)负责,还要对鉴证对象信息(内部控制的相关指标信息)负责,双重的责任可以增强企业的责任感,有利于从源头上保证内部控制的有效性。③鉴证的保证程度:合理保证。针对内部控制披露制度的不断完善,内部控制鉴证报告的披露由自愿性转变为强制性,要求其具有更高的保证水平,对于信息使用者来说,合理保证的鉴证报告具有更高的可靠性。④鉴证期间:《企业内部控制审计指引》中指出,注册会计师应基于基准日、而非财务报表涵盖的整个期间的内部控制有效性发表意见,此规定也更符合成本效益原则。
6
上市公司内部控制鉴证背景解析
2.2 内部控制鉴证目标以及工作步骤
2.2.1 内部控制鉴证目标
内部控制鉴证报告的总体目标是对公司内部控制设计合理性及运行有效性,以及内部控制与公司的现实发展阶段、所在行业要求的匹配程度作出准确评价。基于上述的总体目标,内部控制鉴证报告的具体目标如下:(1) 体现内部控制鉴证报告的可读性;(2) 增加内部控制鉴证报告的信息含量:(3) 降低审计师的法律责任。
2.2.2 内部控制鉴证工作步骤
实现上述内部控制鉴证报告目标需要经过了解、测试、评价和报告四个主要环节,具体步骤如下:
1)完善可行的内部控制鉴证计划的制定
为了规避鉴证风险和确保鉴证业务的顺利进行,编制鉴证计划是执行内部控制鉴证的重要前提。具体包括:与委托人签订鉴证业务约定书、对鉴证业务进行整体考虑、考虑内部审计的工作结果(如适用) 以及向管理当局索取相关资料等。
(1) 签订鉴证业务约定书
注册会计师应当在了解被鉴证单位基本情况的基础上,考虑自身的胜任能力和能否保持独立性,初步评估鉴证风险,并确定是否接受委托。如果接受委托,注册会计师应当与委托人就约定事项达成一致意见,并签订鉴证业务约定书。鉴证业务约定书应当包括以下主要内容:
①委托业务的性质;
②委托目的;
③鉴证的范围;
④明确被鉴证单位管理当局的责任和注册会计师的责任;
⑤内部控制的固有限制;
⑥评价内部控制制度设立和执行有效性的标准;
⑦报告分发和使用的限制。
(2) 了解公司基本情况
制定公司内部控制鉴证计划时,注册会计师需要考虑以下因素:
①公司所处行业的因素影响,如新财务报告准则的颁布、经济环境的变化、法律法规和技术的更新等:
7
西安交通大学城市学院本科生毕业设计(论文) ②与公司经营活动有关的因素,如组织结构、公司运作模式、资本结构和利润分配方式等;
③公司风险管理意识;
④管理当局的管理职责;
⑤为取得控制目标而设计的特殊控制制度的性质以及它们在内部控制中的重要性;
⑥公司内部控制在本年度的变化;
⑦公司业务循环控制的记录、管理当局的审核与评价;
⑧对实质性内部控制缺陷的性质、内在风险和形成原因的初步判断: ⑨在其他专业活动中能够获取的对内部控制的了解;
⑩对内部控制设计合理性及执行有效性的初步判断。
注册会计师在做出上述总体考虑后,确定鉴证活动范围和提出总体执行策略。同时,注册会计师还需要考虑以下方面:①内部控制制度是否涵盖了所有重要业务和固有风险较高的科目;②确定哪些内部控制缺陷在程度、性质和(或) 数量上构成重要或实质性缺陷;
(3) 内部审计结果的利用
独立于公司管理当局的内部审计团队能够起到加强财务报告的可靠性以及监督内部控制执行的作用。因此,注册会计师在制定计划时要考虑的另一个因素就是该公司是否有内部审计。内部审计人员是否通过测试对内部控制的设计合理性和执行有效性进行了监控。注册会计师应该对内部审计人员的工作范围有所了解。注册会计师在确定测试上市公司内部控制制度的性质、时间和范围时可以将其作为参考,但不能将内部审计人员的审核结果作为评价对重要账户、交易类别和披露中相关认定的控制效果的主要证据。另外,注册会计师要评估内部审计人员的能力和目标。w 同时,注册会计师在监督、回顾、测试和评价内部审计人员工作的时候,要注意内部审计人员在执行监控职能时可能会有的漏洞。
2)了解并评价内部控制体系的完整性
公司应综合自身经营特点、经营范围和业务流程等方面的需要对每~项重要业务设计内部控制。对于与财务报告相关的内部控制主要有以下方面:
(1) 货币资金管理流程,包括资金安全、收款确认、费用核销等;
(2) 资产管理流程,包括资产安全、存货管理、物流追踪等;
(3) 销售与收入确认流程,包括合同确认、商务条款、收入确认、赊销政策等;
(4) 采购与付款流程,包括采购合同、供应商管理、产品性价比等。在熟悉公司的经营特点、经营范围以及对应的政策法规基础上,注册会计师才能对公司内部控制体系的完整性进行评价,在理解公司的业务流程的基础上,注册会 8
上市公司内部控制鉴证背景解析
计师才能判断出是否每一笔重要业务公司都已经设计了相应的内部控制来防范风险。
(5) 了解管理当局的控制环境,注册会计师需要考虑管理当局针对欺诈、舞弊风险而制定的计划和内部控制制度。这些计划和控制制度包括公司为减少管理当局滥用职权而采取的措施。如果没有这样的计划或控制制度,或者计划、控制制度不完善,可能会造成内部控制的重要缺陷或实质性缺陷。注册会计师需要注意控制制度是否被设计得不容易越权。如果它们被越权,是否存在控制制度能够识别并将这一情况进行报告。
(6) 了解管理当局的风险评估过程,注册会计师需要考虑管理当局是否能够识别出在对外报送的财务报告中的重大错报、漏报的风险,并且采取了相应的措施防止或发现重大错报、漏报的发生。注册会计师需要根据职业判断来考虑管理当局是否已经建立内部控制制度识别或控制这样的风险,如果没有是否属于重要缺陷或实质性缺陷。
(7) 了解管理当局为防止或识别对外报送财务报告中所发生重大的错报、漏报采取的控制活动。注册会计师为鉴证内部控制有效性而了解的对财务报告中的重要账户、交易类别和披露中相关认定等控制活动的范围通常比为财务报告审计而需要了解的控制活动的范围要广泛得多。
(8) 了解管理当局对信息与沟通要素的理解。注册会计师需要关注管理当局对信息与沟通要素的认识包括对生产控制、交易授权和档案保存过程等的广泛认识。
(9) 了解管理当局对监督措施的理解。注册会计师需要了解管理当局对重要内部控制的监督。这些重要内部控制包括那些被设计用来防止或识别在重要账户余额、交易类别和披露的相关认定中发生重大错报、漏报的控制活动。
3)了解并评价内部控制设计的合理性
通常,注册会计师通过向适当的管理当局、员工和监督人员询问,审阅公司的内部控制档案资料,观察内部控制制度的应用,通过信息系统追查与财务报告有关的交易等等来获得对内部控制设计的了解。注册会计师采取的鉴证程序的性质和范围会随公司的不同而有所不同。
鉴证内部控制的设计的程序主要注重其是否设计合理,能否防止或识别财务报告陈述中的重大虚报、错报和漏报。这些程序会因该内部控制制度的性质、公司对该内部控SU$IJ度记录的方式和公司运行系统的模式的不同而有所不同。注册会计师不仅需要关注每一个内部控制制度的设计合理性,还应该更加注意综合内部控制制度在取得控制目标上的重要性。如果某个为取得特定目标而设定的控制制度不存在或不完善,但存在其他按相同标准设定的控制制度,则这并不能构成缺陷。而且,如果有一个或多个控制制度己经取得了某个特定目标,那么注册
9
西安交通大学城市学院本科生毕业设计(论文)
会计师就无需考虑其他按同一目标而设定的控制制度。
4)测试并评价内部控制执行的有效性
对内部控制执行有效性进行鉴证时,注册会计师需要通过对相关控制措施的测试获得充分的证据来支持其鉴证意见。内部控制执行有效性的测试主要涉及如何执行的、执行的连续性以及具体操作人员等方面。通常测试包括观察公司运行以及根据发生频率选择需测试的交易对内部控制执行过程进行再运用或再执行等等。
5)评价内部控制缺陷并发表鉴证意见
公司内部控制都会存在一定的缺陷。根据缺陷造成欺诈行为及财务报告中错报、漏报发生的可能性的大小,将内部控制缺陷从一般缺陷、重要缺陷到实质性缺陷划分为多个层次。其中影响注册会计师发表意见的缺陷主要有重要缺陷和实质性缺陷。重要缺陷是指能够给公司发生、记录、处理和报告财务数据的能力带来负面影响的缺陷,它可能是一个缺陷,也可能是各种缺陷的综合。实质性缺陷是指内部控制中一个或多个部分存在重要缺陷,它能够单独或与其他因素一起使公司的内部控制不能及时地将财务报告中可能导致重大误报的危险降低到适当低的水平。在评价某项内部控制缺陷属于重要缺陷还是实质性缺陷时,注册会计师要结合与公司有关的各种因素,如所处行业、经营规模、经营模式以及组织结构等进行考虑,并且通过职业判断来确定。
2.3 内部控制鉴证报告内容
2.3.1 内部控制鉴证报告分类
根据鉴证客体、鉴证对象、鉴证目的和鉴证程度的不同,可以把内部控制鉴证报告分为若干类别。公司内部控制制度的建立需要考虑公司的经营环境、业务运行、组织结构等诸多方面,不应该也不会存在一套所有公司都可以套用的内部控制制度体系。所以注册会计师执行的内部控制鉴证程序以及对被鉴证单位内部控制的评价没有统一的标准,基本的评价原则是能够有效地发现或防止在财务报告陈述中的虚报、错报和漏报。通过对内部控制鉴证报告的分类,并对每种内部控制鉴证报告的实质加以明确,可以在鉴证实务中帮助注册会计师明确被鉴证单位的性质、报告的使用目的、报告使用人的利益倾向等。在此基础上,注册会计师可以制定适当的鉴证程序和总体实施策略,有的放矢地实施鉴证,出具更有价值的内部控制鉴证报告。具体的分类方法有以下几种:
l、根据鉴证客体的不同,内部控制鉴证报告可分为:上市公司内部控制鉴证报告和非上市公司内部控制鉴证报告。其中:非上市公司内部控制鉴证报告又 10
上市公司内部控制鉴证背景解析
可分为,(1) 国有企业内部控制鉴证报告: (2) 民营企业内部控制鉴证报告。针对不同的鉴证客体,鉴证报告的主要使用人不同。上市公司的内部控制是需要向社会公众公开披露的信息;国有企业的内部控制是针对国有资产的保存、管理和运行的控制制度,需要向上级管理机关汇报:民营企业的内部控制更多地是保持自有资产发挥高效地增值效应,为投资者带来经济利益。不同的报告使用者对鉴证报告的信息需求方面存在差异。上市公司的利益相关者更多关注地是公司的内部控制制度是否可以保证财务报告陈述信息的真实性、公允性;国有企业的报告使用者更多关注内部控制制度的设计和执行是否可以有效地保证国有资产的保值增值,是否可以防止或发现舞弊风险;民营企业的报告使用者则更多关注现有的内部控制体系是否可以润滑其业务运营,是否可以防止或发现管理层舞弊行为,他们更多地希望注册会计师可以提出内部控制的改进建议,实现公司管理的合理性、高效性。
2、根据鉴证对象的不同,内部控制鉴证报告可分为:综合内部控制鉴证报告、公州整体层面内部控制鉴证报告、作业流程层面内部控制鉴证报告、特定流程内部控制鉴证报告。
不同层面的鉴证对象代表着不同的内部控制鉴证范围。从特定流程内部控制鉴证报告到综合内部控制鉴证报告,内部控制的鉴证范围逐项递增。目前,不论是在国外还是在国内,注册会计师受托执行的上市公司内部控制鉴证业务都是限定于与财务报告相关的内部控制制度的鉴证。“对于内部控控制报告是否应当局限在财务报告控制,COS0的报告中,内部控制报告仅包括财务报告控制,而GA0则认为,内部控制报告的内容不应仅仅局限于财务报告控制,还应当包括某些营运控制和遵循性控制以满足公众的需要(Kelly ,1993) 。Hemanson 和Heather M.(2000)的调查研究发现,内部控制的定义越广,对增进财务报告的作用越强。”
3、根据鉴证目的的不同,内部控制鉴证报告可分为:财务合规性内部控制鉴证报告、运营有效性内部控制鉴证报告。内部控制的鉴证目的也是最终内部控制鉴证报告会对内部控制的何种性质得出结论。如果注册会计师执行与财务报告相关的内部控制的鉴证,需要对财务合规性发表鉴证意见,即公司的内部控制是否可以确保对外报送的财务报告的真实性、公允件等。如果注册会计师执行与公司经营相关的内部控制的鉴证,最终的鉴证意见需要表明公司的内部控制是否可以保证公司运营的有效性。
4、根据鉴证程度的不同,内部控制鉴证报告可分为:合理保证内部控制鉴证报告、有限保证内部控制鉴证报告。合理保证内部控制鉴证报告是指鉴证人员将鉴证业务风险降至该业务环境下可接受的低水平,以积极的方式提出高水平保证的鉴证结论。有限保证内部控制鉴证报告是指鉴证人员将鉴证业务风险降至该业务环境下可接受的水平,以消极的方式提出低于高水平保证的鉴证结论。
11
西安交通大学城市学院本科生毕业设计(论文)
《中国注册会计师执业规范准则》(2006) 中提到的内部控制鉴证报告的意见类型有:无保留结论、保留结论、否定结论、无法提出结论四种意见类型。 《内部控制审核指导意见》(2002) 中提到的内部控制审核报告的意见类型有无保留意见、保留意见、否定意见、拒绝表示意见四种意见类型。
《内部审计具体准则第5号一内部控制审计》中未明确规定内部控制鉴证意见的性质及类型。
《企业内部控制鉴证指引》(征求意见稿) 中提到的内部控制鉴证报告的意见类型有:无保留意见、带说明段的无保留意见、否定意见、无法表示意见四种意见类型。
2.3.2 内部控制鉴证报告要素
《中国注册会计师执业规范准则》(2006):中国注册会计师其他鉴证业务准则第3101号一历史财务信息审计或审阅以外的鉴证业务中规定:短式鉴证报告应当包含下列基本内容: (1) 标题; (2) 收件人;
(3) 对鉴证对象信息(适当时也包括鉴证对象) 的界定与描述; (4) 使用的标准;
(5) 适当时,对按照标准评价或计量鉴证对象存在的所有重大固有限制的说明;
(6) 必要时,对报告使用者和使用目的的限定;
(7) 责任方的界定,以及对责任方和注册会计师各自责任的说明; (8)按照其他鉴证业务准则的规定执行业务的说明; (9) 工作概述: (10) 鉴证结论:
(11) 注册会计师的签名及盖章;
(12) 会计师事务所的名称、地址及盖章;
(13) 报告同期。长式报告除包括基本内容外,还包括:①对业务约定条款的详细说明;②在特定方面发现的问题以及提出的相关建议。在长式报告中,注册会计师应当将发现的问题及相关建议与鉴证结论清楚分开,并以适当措辞指出这些问题和建议不会影响鉴证结论。
《内部控制审核指导意见》第五章第三十条至第三十九条的规定,内部控制审核报告应当包括以下基本内容:(1) 标题。统一规范为“内部控制审核报告”。(2) 收件人。应当为审核业务的委托人,并应当载明收件人的全称,可用“XX 股
12
上市公司内部控制鉴证背景解析
份有限公司”。(3) 引言段。应当说明以下内容:①被审核单位管理当局对特定F1期与会计报表相关的内部控制有效性的认定;②被审核单位管理当局的责任:③注册会计师的责任。(4) 范围段。应当说明以下内容:①审核依据,即《内部控制审核指导意见》;②审核程序;③实施的审核程序为注册会计师发表审核意见提供合理的基础;(5) 固有限制段。应当说明以下内容:①内部控制的固有限制;②根据内部控制评价结果推测未来内部控制有效性的风险。(6) 说明段。如果注册会计师发表的是非标准无保留意见,则应增加}兑明段,说明内部控制存在的重大缺陷及其对实现内部控制目标的影响。(7) 意见段。应当说明被审核单位于特定同期在所有重大方面是否保持了与会计报表相关的有效的内部控制。(8) 签章和会计师事务所地址。应当由注册会计师签名并盖章,加盖会计师事务所公章,标明会计师事务所地址。(9) 报告同期。是指注册会计师完成外勤审核工作的只期。
《内部审计具体准则第5号一内部控制审计》第四章第二十条规定:内部审计人员应向组织的适当管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。并应当包括被审计单位的反馈意见。
《企业内部控制鉴证指引》(征求意见稿) 第七十四条规定:鉴证报告包括以下要素: (1) 标题; (2) 收件人: (3) 引言段; (4) 管理层对内部控制的责任段;(5) 注册会计师的责任段; (6) 内部控制的定义段; (7) 内部控制的固有限制性段; (8) 鉴证意见段; (9) 注册会计师的签名和盖章: (10) 会计师事务所的名称,地址及盖章: (11) 报告同期。
黄京菁(2004) (黄京菏,《内部审计具体准则第5号一内部控制审计》释义. 财会月刊,2004.4)研究认为:审计报告的内容包括审查和评价内部控制的目的、范围、审计结论、审计决定。为了更好地为组织服务,充分体现内部审计的价值,审计报告中还应当包括内部审计人员对完善内部控制的建议。被审计单位的反馈意见也是审计报告中必要内容之一,反馈意见从~定程度上反映了被审计单位对内部控制存在问题的态度。
2.4 内部控制鉴证与财务报表审计关系
会计报表审计与内部控制存在天然的关系,会计报表审计原包含评价和研究内部控制的内容,如果把内部控制审核作为一项专门的业务独立出来,是否会影响会计报表审计意见的可靠性,甚至削弱会计报表审计的必要性呢? 笔者认为,这关键是看两者的关系如何定位。
首先,独立审计的业务范围从会计报表鉴证拓展到内部控制报告鉴证的根本
13
西安交通大学城市学院本科生毕业设计(论文)
原因在于经营管理责任的演化。当公司所有者将会计信息以外领域的责任,如组织、计划、协调、企业文化等委托给公司经营者时,经营者自然要承担并履行责任。所有者不仅关心会计报表审计所提供的会计信息,还要关注包含上述内容的内部控制的建立和执行情况,并对内部控制作出评价和审核。相应地,独立审计鉴证的内容也会随之扩展。因此,通过会计报表审计披露会计信息的同时,对内部控制进行单独审核及报告是经营管理责任深化的结果,会计报表审计并不能完全替代内部控制审核的内容。其次,会计报表审计是注册会计师对公司管理当局提供的会计报表的合法性、公允性和一贯性作出鉴证,以增强会计报表的可信性。内部控制审核是注册会计师对公司管理当局就其内部控制的完整性、合理性及有效性所作的认定进行鉴证,并发表评价意见,以满足利害关系人对管理信息的需求。从两者的报告内容看,审计报告仅是对年度或短期会计信息的鉴证,范围较小,时间也较短;内部控制评价报告则是对经营效率效果、会计信息可靠性、法令遵循性等目标的实现而提供合理保证的过程的鉴证,范围广,时间也较长。因此,内部控制审核报告是对审计报告所提供信息的有益补充,内部控制审核无疑会增强会计报表审计的可靠性。第三,内部控制审核是对过程的鉴证,而会计报表审计是对结果的鉴证,因此在报告结论上,内部控制审核必然会对会计报表审计产生一定的影响。但这种影响也是相对的,因为审计报告所揭示的的会计信息的合法、公允和一贯性,并不表示内部控制一定是完整、合理及有效的;而内部控制在完整性、合理性和有效性上存在重大缺失,也并不等于会计报表不可信。所以,不能认为审计报告与内部控制鉴证报告的意见类型是完全一致的。实际上,内部控制鉴证与会计报表审计应是相辅相成的,共同地为增加资本市场的透明度及有效性发挥重要作用。
14
上市公司内部控制鉴证现状评价
3. 上市公司内部控制鉴证现状评价
3.1 研究样本
研究样本选择2006-2012年上海和深圳两个交易所上市公司,分别研究了其内部控制鉴证报告披露的整体状况,内部控制鉴证报告披露的行业分布状况以及深沪两交易所上市公司关于内部控制鉴证报告披露的对比分析。
3.2 内部控制鉴证报告披露情况
3.2.1内部控制鉴证报告披露整体状况
深沪交易所从2006年开始要求上市公司披露内部控制自我评价报告和鉴证报告,但可虑到实施的衔接性,深沪交易所规定上市公司2006年年报也可在全文的”重要事项”部分披露内部控制信息。由于不是强制要求披露,而且是内部控制自我评价报告和鉴证报告披露的第一年,上市公司内部控制自我评价报告和鉴证报告披露的情况不多。如2006年,沪市只有77家上市公司披露了内部控制自我评价报告,占当年披露年报公司的9.1%,而内部控制鉴证报告只有35家披露,占当年披露年报公司的4.1%。
从2007年开始,由于证监会和深沪交易所对内部控制自我评价报告和内部控制鉴证报告的披露要求越来越严,内部控制自我评价报告和鉴证报告披露的情况逐年向好。以上海市场为例:披露内部控制自我评价报告的上市公司从2006年77家上升到2009的354家,披露率上升了34.2个百分点;而披露内部控制鉴证报告的上市公司从2006年35家上升到217家,披露率上升了20.7个百分点。
3.2.2 内部控制鉴证报告披露行业分布
选取样本为: 2007-2009年间出具内部控制鉴证报告A 股上市公司
本样本选取与研究样本在同一会计年度,属于同一行业,总资产规模接近,并且未披露内部控制鉴证报告的A 股上市公司为控制样本,剔除了数据不全的上市公司,表2是2007-2009年披露内部控制鉴证报告的上市公司行业分布的描述性统计,内部控制鉴证报告披露的数据来自上海证券交易所网站,深圳证券交易所
15
西安交通大学城市学院本科生毕业设计(论文) 表1 2007-2009年出具内部控制鉴证报告的A 股上市公司
网站以及巨潮资讯网站,经手工整理所得。
从表1中可以看出:本样本的研究样本为291家,加上控制样本291家,总共为582家。从2007年的16家到2009年的164家,呈逐年上升的趋势,从行业来看,披露内部控制鉴证报告的上市公司主要集中在机械,设备,仪表和石油,化学,塑料两大行业。
16
上市公司内部控制鉴证现状评价
3.2.3深沪两市上市公司的对比分析
1)2009年上市公司内部控制自我评价报告和鉴证报告披露状况
2009年底正常在深沪正常交易的上市公司有1297家(深圳452家,上海845家) 其中深市由于深圳证券交易所2009年对深市上市公司披露内部控制自我评价报告作了强制性规定,因此深市上市公司全部452家都披露了内部控制自我评价报告,而沪市仍属于自愿披露,有378家上市公司披露了内部控制自我评价报告,披露率为43.1%。而内部控制鉴证报告两市均属于自愿披露,深市共102家上市公司披露了内部控制鉴证报告,披露率为22.6%,沪市共217家上市公司披露了内部控制鉴证报告,披露率为25.7%,沪市略好于深市。 2009年在主板上市交易的金融企业共30家,全部披露了内部控制自我评价报告,其中有29家披露了内部控制鉴证报告,只有1家 没有披露,从此情况看出,由于监管政策对金融行业的特殊要求,金融行业披露内部控制信息的情况良好。
2009年披露内部控制鉴证报告企业按行业分类的情况。制造业、房地产业、金融业分别占据披露行业的前三位,分别占比45.14%、9.4%和9.09%。其余行业的披露情况见下表:
在披露内部控制鉴证报告的公司中有8家ST 公司也披露了内部控制鉴证报告,占比2.5%,正常状态的公司为311家,占比97.5%。
2) 2010年深沪两市上市公司内部控制自我评价报告的披露情况
表2 2010年深沪上市公司内部控制自我评价报告披露情况
从表2中可知,2010年沪市45个样本公司中,有20家上市公司披露了内部控制自我评价报告,占沪市样本公司的44%,未披露内部控制自我评价报告的沪市上市公司有25家,占沪市样本公司的56%,2010年深市65个样本公司均披露了内部控制自我评价报告。
由上述深沪两市上市公司内部控制自我评价报告披露情况可以看出,2010年深市上市公司的披露情况优于沪市,究其原因可能与深圳证券交易所近几年来对信息披露进行严格监管,每年定期对信息披露质量进行评价并公布结果,加强对董事会秘书的培训等措施有关。李馨宏(2007) 对上市公司年度报告中监
17
西安交通大学城市学院本科生毕业设计(论文)
事会报告的内部控制信息披露水平影响因素进行实证分析时,也得出相似的结论:上市公司地点与内部控制信息披露水平显著相关,深圳交易所上市公司内部控制信息披露水平较上海交易所上市公司内部控制信息披露水平较高。 结合两市上市公司内部控制信息披露情况,作为内部控制自我评价报告统一法规基石的《企业内部控制基本规范》虽然早在2008年已经颁布,并且该规范强制上市公司披露内部控制自我评价报告,但是在2010年度筛选的110家上市公司中,仍有25家上市公司未对内部控制出具自我评价报告,这种情况的出现可能基于以下原因:第一,部分上市公司的内控制度还不够健全,上市公司自愿披露内部控制信息的动力不足。第二,相关监管单位对内部控制披露的监管力度不足,致使相关政策规定在具体执行时未能有效落实到位,从而无法按照规范要求对内部控制进行自我评价并披露。
表3 2010年沪深上市公司内部控制审计报告披露情况
从表3中看出,2010年沪市有13家上市公司披露了内部控制审计报告,占披露内部控制自我评价报告样本公司数的65%,仅占沪市总样本数的29%,2010年深市有14家上市公司披露了内部控制审计报告,占披露内部控制自我评价报告公司数和总样本数的比例均是22%,将两市披露情况加总考虑,总共有27家样本企业披露了内部控制审计报告,占两市披露内部控制自我评价报告公司数的比例是32%,仅占两市总样本数的25%。 3) 2010-2012 年上交所和深交所的上市公司
表4 2010-2012 年上交所和深交所内控鉴证报告统计数据
从表4中可以看出:2010 年两交易所上市公司中聘请外部机构对内部控制有效性进行审计并出具审计报告的公司占总数的29%, 2011 年的披露比例略有提高,达到38%。2011 年虽然仅要求境内外同时上市的公司出具内部控制有效性的审计报告,部分上市公司仍出于公司发展考虑而自愿对外出具内部控制
18
上市公司内部控制鉴证现状评价
鉴证报告。2012年鉴于财政部等5 部委强制要求主板上市公司披露部控制鉴证报告,两所上市公司总计披露内部控制鉴证的比例为77%,上交所954家主板上市公司聘请外部机构对内部控制有效性进行审计并出具报告的比例也仅为67%,相对于前两年有了很大的提升,但并没有实现全部主板上市公司披露鉴证报告的要求。财政部的强制要求起到一定的推动作用,但由于是第一年实行,部分公司还没有足够的能力达到财政部的要求。深交所上市公司内部控制报告的披露情况好于上交所,且逐年增加的比例也高于上交所,其离不开深交所中创业板和中小企业板块的积极作用。创业板和中小企业板块的上市公司鉴于内部控制鉴证报告的积极作用,积极建设内部控制,并主动对外披露内部控制鉴证信息,以期获得更好的发展机遇。
3.3 内部控制鉴证存在缺陷
沪深证券交易所于2006年先后出台了,并规定上市公司分别于2007年1月和7月起开始执行,要求上市公司在公司层面、控股公司和附属公司层面以及公司各业务环节层面建立健全内部控制制度,并要求上市公司披露年度内部控制自我评估报告,会计师事务所对内部控制自我评价报告出具鉴证意见。实际执行的情况是2007年沪市共有146家上市公司出具了公司内部控制报告,占沪市披露2007年年度报告上市公司总数的17%;在出具公司内部控制报告的146家公司中有139家公司披露了会计师事务所对公司内控报告的审核意见,占沪市披露2007年年度报告上市公司总数的16%¹。2007年深市主板上市公司共有449家公司 按照要求披露了内部控制报告,占公司总数487家的92.4%;内部控制报告被审计机构出具审核意见的只有42家,占公司总数的8.6%²。2007年深市中小板共有225家上市公司,其中221家公司披露了2007年年度报告.在披露年度报告的221家上市公司中,共有84家公司披露了内部控制自我评价报告,占披露年度报告公司总数的38.01%;内部控制报告被审计机构出具鉴证意见的共有54家,占披露年度报告公司总数的24.43%。在沪深上市公司2007年年度报告中披露内部控制评价报告及审计机构的鉴证报告,是对于在上市公司推行建立内部控制体系的初步尝试,从实际执行结果分析,主要存在着几方面的问题:
3.3.1 重形式缺实质
在各上市公司披露的内部控制评价报告中,普遍存在仅具有报告形式,而缺乏实质性内容;内部控制报告披露格式不统一,披露内容偏离要求,缺乏对关键
19
西安交通大学城市学院本科生毕业设计(论文)
内容的具体分析;内部控制制度有效性评价过于乐观,内部控制缺陷的分析和披露较少等问题。
3.3.2审核意见单一
在审计机构出具的鉴证报告中,存在着审核意见类型单一,审核意见表达形式不规范,对内部控制报告的审核标准尺度不一、判定标准较为混乱等问题。形成上述问题的主要原因是:中国证监会和沪深交易所在开始推动国内上市公司实行内部控制自我评价制度和注册会计师审核鉴证时,只发布了一些原则性规定,而相关操作性的专业标准制订工作严重滞后,造成企业在进行内部控制自我评价及注册会计师进行内控审核鉴证时的随意和混乱,最终导致上市公司内部控制评价及鉴证工作流于形式。
3.3.3执业准则和鉴证标准不完善
明确内部控制鉴证的鉴证标准。内部控制鉴证业务还没有明确的权威规范可供参照。在鉴证实务中,注册会计师参照最多的是中国注册会计师协会发布的《内部控制审核指导意见》与《中国注册会计师其他鉴证业务准则第3101 号——历史财务信息审计或审阅以外的鉴证业务》。2008 年出台的《企业内部控制鉴证指引(征求意见稿)》尚存在不足之处且未得到有效实施。我们认为,针对五花八门的相关标准,我国应当统一内部控制鉴证的执业标准,完善准则在鉴证实务中的适用性。
加强上市公司内部控制鉴证报告披露的制度管理,完善相关法律法规。财政部等5 部委在强制要求披露内部控制鉴证报告的同时,应对内部控制鉴证的披露形式规范化,统一信息载体的名称、格式,规范鉴证标准和结论;其次,可适当增加责任人惩罚机制,加大对上市公司或中介机构违规行为的惩罚力度,防患于未然。
20
上市公司内部控制鉴证完善建议
4. 上市公司内部控制鉴证完善建议
第一,明确内部控制鉴证的性质。按照AICPA 鉴证服务委员会制定的概念框架,鉴证概念服务分为审计业务和非审计业务。根据PCAOB 发布的《与财务报表审计相结合的财务报告内部控制审计》(简称AS No.5),美国将此类业务定性为审计业务。在我国,从目前发布的相关规范以及鉴证实务来看,对于此类业务的定性还存在一定的分歧。鉴于《中国注册会计师鉴证业务基本准则》对于鉴证业务的归类,我们认为内部控制鉴证业务定性为“历史财务信息审计或审阅以外的鉴证业务”为宜。
第二,明确内部控制鉴证的鉴证对象。关于内部控制鉴证的鉴证对象《企业内部控制鉴证指引(征求意见稿)》中内部控制的定义与内部控制鉴证对象存在矛盾,上交所的《上市公司内部控制指引》与《内部会计控制规范》对其鉴定也存在一定的差异。美国的SOX 法案将内部控制的范围限定于与财务报告有关的内部控制,同时,PCAOB 发布的AS No.5 将审计范围定位财务呈报内部控制。因此,立足我国内部控制建设的现状,出于成本效益原则的考虑,笔者建议将内部控制鉴证的对象限于与财务报告相关的内部控制。
第三,从企业自身出发,立足长远发展,建立良好的内部控制理念和文化,加强对员工的培训教育,聚集专业型人才;在内部控制体系建设的过程中,应切实结合自身的实际情况,不能盲目按财政部或证监会要求执行,实用的内部控制体系才能有效地促进企业的健康发展;客观对待自身存在的问题和缺陷,对内部控制建设进行客观的自我评价、通过第三方的鉴证,真正做到发现问题、解决问题。积极对外披露内部控制相关信息,有利于提高企业的良好形象。
4.1 明确内部控制鉴证报告内容与形式
明确内部控制鉴证报告内容与形式,基于将内部控制鉴证定性为历史财务信息审计或审阅以外的鉴证业务,我们认为,内部控制鉴证报告至少要包括以下内容:标题、收件人、内部控制定义、使用的标准、内部控制的固有限制、管理层与注册会计师的相关责任、工作概括、鉴证结论、注册会计师的签名及盖章、会计师事务所的名称、地址及盖章、报告日期。鉴于实践中存在随同财务报表审计进行的内部控制鉴证行为,在这种情况下,还需要在鉴证报告中增加财务报告审计的意见。
内部控制审核,内部控制鉴证报告是一种格式化报告,是会计师事务所依据国家法律法规及规章制度出具的鉴证意见,具有严肃性。如果会计师事务所
21
西安交通大学城市学院本科生毕业设计(论文) 出具的内部控制鉴证报告格式不统一,依据不一致,报告使用者使用此类报告会陷入迷茫和困惑。监管者必须强化对会计师事务所出具的内部控制鉴证类报告的质量检查,规范会计师事务所内部控制鉴证报告行为。建议尽快推动中小企业版,创业版上市公司内部控制建设,并进行内部控制审计,以内部控制审计报告全面取代内部控制审核,使所有类别的上市公司遵循统一的内部控制规范和内部控制审计制度,全面提高上市公司内部控制水平。
4.2 提高注册会计师的内部控制鉴证业务水平
4.2.1事务所应当保持其审计独立性
长期以来,审计独立性一直被奉为注册会计师独立审计的基石和核心价值,是审计质量的根本保证,注册会计师作为市场经济发展的产物,以一个外部独立审计实体的身份只有保证其审计独立性的存在,才能为其提供公正独立的审计鉴证报告结果提供有力的保证。因而,事务所一方面要自律,以事务所及其行业的健康发展为立足点,在内部控制鉴证业务的开展中,最大地保证其审计独立性。另一方面,相关法律及法规的及时有效出台,也可以在很大程度上监督和规范事务所的审计独立性。
4.2.2修订审计工作底稿编制指南
财政部、证监会及中国注册会计师协会应加强对会计师事务所内部控制鉴证类业务工作底稿编制质量的检查,中国注册会计师协会应尽快修订《企业内部控制审计工作底稿编制指南》,使之更具操作性,加大对注册会计师内部控制鉴证类业务工作底稿编制的培训力度,增强注册会计师内部控制审计工作底稿编制水平,促进会计师事务所建立、健全有效的内部控制审计工作底稿复核程序,防范审计风险。
4.2.3正确处理审计效率和审计风险关系
技术层面和实务工作中,内部控制审计与财务报表审计对内部控制的风险评估和控制测试在审计模式、程序、方法等方面存在相同之处。《企业内部控制审计指引》提倡注册会计师进行整合审计,即注册会计师从事财务报表审计时,可以将财务报表审计中对内部控制的风险评估及控制测试与内部控制审计有机结合起来。但二者毕竟在具体目标、保证程度、评价要求、报告类型等属性上存在 22
上市公司内部控制鉴证完善建议
实质性差异,决定了二者不能相互替代。因此,必须正确处理好利用财务报告内部控制测试成果、提高内部控制审计效率与内部控制审计风险的关系,不能直接以财务报表内部控制测试代替内部控制审计,更不能以财务报表内部控制测试直接出具内部控制审计报告。《内部控制管理手册》是上市公司对内部控制梳理和优化的结果,注册会计师依据高质量的《内部控制管理手册》开展内部控制审计,可以在一定程度上节省审计时间,把握内部控制审计重点、易于发现内部控制缺陷。但问题是,部分上市公司进行内部控制建设只是为了应付监管部门的检查,上市公司《内部控制管理手册》并不能真实、准确反映上市公司内部控制实际情况;此外,上市公司《内部控制管理手册》大多数是在咨询机构的协助下编制完成的,由于咨询机构执业质量参差不齐,《内部控制管理手册》普遍编制质量不高,因此,会计师事务所必须正确认识《内部控制管理手册》在内部控制审计中所起的作用,防范内部控制审计风险。
4.3 完善与内部控制鉴证相关的执业准则
《指导意见》第六条规定,注册会计师应当在了解被审核单位基本情况的基础上,考虑自身能力和能否保持独立性,初步评估审核风险,确定是否接受委托。如果接受委托,会计师事务所应当与委托人就约定事项达成一致意见,并签订业务约定书。然而,AS No.5和《指引》对此并无特定要求。《中国注册会计师鉴证业务基本准则》第三章对注册会计师的业务承接进行了规定,指出在接受委托前,注册会计师应当初步了解业务环境,只有认为符合独立性和专业胜任能力等相关职业道德规范的要求,并且拟承接的业务具备下列所有特征,注册会计师才能将其作为鉴证业务予以承接:
(一) 鉴证对象适当:
(二) 使用的标准适当且预期使用者能够获取该标准;
(三) 注册会计师能够获取充分、适当的证据以支持其结论;
(四) 注册会计师的结论以书面报告形式表述,且表述形式与所提供的保证程度相适应;
(五) 该业务具有合理的目的。如果鉴证业务的工作范围受到重大限制,或委托人试图将注册会计师的名字和鉴证对象不适当地联系在一起,则该业务可能不具有合理的目的。
根据以上规定,建议我国的内部控制鉴证准则添加两条内容,具体如下:
1、接受委托的条件
注册会计师应当在了解鉴证对象基本情况的基础上,考虑自身能力和能否保持独立性,初步评估审核风险,确定是否接受委托。如果接受委托,会计师事务
23
西安交通大学城市学院本科生毕业设计(论文) 所应当与委托人就约定事项达成一致意见,并签订业务约定书。
2、业务约定书的内容根据《中国注册会计师审计准则第1111号——审计业务约定书》以及相关文献,业务约定书应当包括以下主要内容:
(1) 内部控制鉴证的目的及性质:
(2) 管理层的责任和注册会计师的责任;
(3) 评价内部控制有效性的标准:
(4) 内部控制鉴证的范围,包括指明在执行内部控制鉴证业务时遵守的内部控制鉴证准则;
(5) 执行内部控制鉴证工作的安排,包括出具内部控制鉴证报告的时间要求;
(6) 内部控制鉴证报告的格式和对鉴证结果的其他沟通形式;
(7) 由于测试的性质以及情况的变化可能导致内部控制变得不恰当,或降
低对控制政策、程序的遵循程度,根据内部控制鉴证结果推测未来内部控制有效性具有一定的风险。
(8) 管理层为注册会计师提供必要的工作条件和协助:
(9) 注册会计师不受限制地接触任何与内部控制鉴证有关的记录、文件和所需要的其他信息;
(10) 报告分发和使用的限制:
(11) 管理层对其作出的与内部控制鉴证有关的声明予以书面确认;
(12) 注册会计师对职业过程中获知的信息保密;
(13) 鉴证业务收费;
(14) 违约责任;
(15) 解决争议的方法:
(16) 报告分发和使用的限制;
(17) 签约双方法定代表人或其授权代表的签字盖章,以及签约双方加盖的公章。
24
结论
5 结论
针对上市公司内部控制鉴证问题存在的现状及其缺陷,本人提出以下建议:
(一) 确立内部控制鉴证制度法律法规地位针对相关内部控制鉴证制度法律级次较低的现状, 应当在借鉴国外立法和实践经验的基础上, 尽快制定强制实行内部控制鉴证的法律法规, 或者在相关法律法规如《公司法》和《证券法》中对管理层报告内部控制, 以及会计师事务所针对管理层关于财务报告内部控制有效性评价实施鉴证等提出明确要求。
(二) 建立内部控制鉴证业务的执业准则
随着《基本规范》的正式发布, 以此为纲领的中国企业内部控制的标准框架将逐步建立起来, 尽管《鉴证指引》目前尚存在不尽成熟完善之处, 但这仅是发展中的过程。未来经征集各方意见修正的《鉴证指引》的发布实施, 必将成为中国注册会计师内部控制鉴证业务快速发展的重要推动力量。
(三) 规范内部控制鉴证报告的披露
随着中国上市公司内部控制体系建设的不断完善, 应该强制要求所有上市公司披露内控报告及其鉴证报告, 以使利益相关者能够借助该报告判断公司的管理情况和财务报告质量, 同时督促上市公司强化内部控制并借以减少重大财务错弊。其他非上市公司, 可由其投资者、债权人等利益相关者决定是否对外提供内控报告和注册会计师的独立审核意见。
(四) 提升注册会计师相关执业能力
随着内控报告鉴证业务的不断深入开展和完善, 注册会计师需要不断提高自身素质, 更好地进行内控报告的鉴证工作。目前, 国内会计师事务所还缺乏评估内控制度的专门人才。因此, 会计师事务所要加强员工的继续教育培训, 审计人员应深化对内控报告鉴证业务的执业内容以及评价标准的掌握, 学习国外开展该项业务的先进经验, 不断增强自身的专业素质。
(五) 统一内部控制评价报告披露内部控制缺陷的内容,将披露内容格式化。 从上市公司披露的内部控制评价报告来看,披露内容着重于对内部控制基本情况和内部控制程序的描述,而对上市公司中存在的内部控制缺陷没有主动披露,或者避重就轻,轻描淡写一笔带过。应当制订内部控制评价报告披露内部控制缺陷的统一标准,规定哪些类型的内部控制缺陷应当予以披露。
(六)尽快出台分类内部控制缺陷的操作细则,便于将内部控制缺陷分类工作具体化。
2010年颁布的《企业内部控制评价指引》对内部控制缺陷作出了具体定义,但这种定义相当笼统,在实际工作中难以操作,因此应尽快出台评估内部控制
25
西安交通大学城市学院本科生毕业设计(论文) 缺陷的操作细则,以指导上市公司内部控制缺陷的评估与披露。
(七)规范内部控制鉴证报告形式与名称。
内部控制鉴证报告在表述方式、名称不一致,会使报告使用者对内部控制鉴证报告的理解存在分歧,从而削弱内部控制鉴证报告的公信力,因此规范内部控制鉴证报告形式与名称有助于内部控制鉴证报告的权威性。
(八)对会计师事务所及其审计人员提出更高的要求
随着内部控制鉴证业务的不断深入开展和规范完善,会计师事务所需要不断提高其自身整体水平以及员工素质,以更好的进行其专业化的审计鉴证工作。一方面,会计师事务所应充分发挥自身专业优势,制定出具有前瞻性的业务拓展战略。另一方面,会计师事务所通过加强对其员工的继续教育培训,有力的保持和提升其整体专业素质,胜任能力及职业道德水平,以提供更为全面的专业化服务。会计师事务所审计从业人员也应当加深自己对于内部控制鉴证业务的职业内容以及评价标准的了解,学习国内外关于该项业务实例开展的经验,来不断提高自身执业水平,强化自身专业素质。
26
致谢
致 谢
时光飞逝,在西安交通大学城市学院的四年本科生生活即将结束,在本论文完成之际,我向所有指导和帮助过我的老师、同学和家人致以深深的谢意! 我首先要感谢我的导师XX 教授,论文从选题、框架的搭建、细节的推敲到最后论文的定稿,每一步都凝聚了吴老师大量的心血,在每一稿的审读中,吴老师一次又一次地指出本文的不足,为进一步完善这篇论文给予了极大的帮助。尽管实质重于形式是会计学的重要理念之一,但我还是要用这最古老,也最通俗的形式表达我对吴老师深深的敬意和谢意。
我还要对在本论文立意与开篇之前给了我很大启示的城市学院的老师们表示衷心的感谢,他们在开题答辩的过程中为我解疑释惑,还对我理顺论文思路提供了很大帮助。衷心感谢城市学院的领导及老师们给予的关心和帮助。深深感谢我的父母,一直以来对我学业的支持和生活的照顾。感谢所有评阅我拙文和参加答辩的专家、教授。
谢谢!
27
西安交通大学城市学院本科生毕业设计(论文)
28
参考文献
参考文献
[1]周勤业, 吴益兵. 上交所:沪市上市公司2007年内部控制报告分析[N].上海证券报,2008-12-01.
[2]陈天骥. 深市主板上市公司内部控制披露情况分析[NI].中国证券报.2008-06-06.
[3]许碧. 中小板上市公司2007年报内部控翻披露情况分析[N].中国证券报.2008-06-06.
[4]赵保卿. 内部会计控制制度设计审计与内部控制系列[M].复旦大学出版社,2005.4.
[5]William,JDodwell.“Six.Year of the Saranes-oxley Act:Are we etter off ? ”.the CPA Journal.New York:Aug 2008,(16):38
[6]潘俊美. 《浅析我国上市公司内部控制信息披露问题》[J].会计之友,2009.(2):98-101
[7]阳雪. 我国上市公司内部控制信息披露分析[J].现代商贸工业.2010,(3):167-168
[8]管友桥.内部控制的现状与成因透析 .现代商贸工业.2009(4):45~ 44
[9]宋环环. 内部控制若干闽题研究[D].厦门:厦门大学.2008
[10]王惠. 我国上市公司内部控制自我评估研究[D].成都:西南财经大学.2007
[11]赵敏. 马云, 石庆年. 财务欺诈分析与防范技巧[M].北京:中国经济出版社,2009年1月
[12]李连华. 内部控制学[M].厦门大学出版社,2007.8.
29