论文部分内容阅读
摘 要:内部控制审计作为注册会计师的一项新的业务,要求注册会计师就企业的财务报告内部控制进行审计。目前注册会计师基本上都是基于风险导向的审计方法进行内部控制审计的,但是在具体审计过程中尚没有一个具体的风险审计模型。本文通过借鉴财务报告审计模型,并结合财务报告内部控制的具体实际,对财务报告内部控制审计模型进行了初探。
关键词:财务报告 内部控制 审计风险
2010 年4 月,财政部等五部委联合发布了《企业内部控制基本规范》的配套指引,要求符合条件的上市公司和非上市大中型企业对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。根据要求,我国对内部控制的审计将自2011年1月1日起在境内外同时上市的公司实施,自2012年1月1日起在主板上市公司施行,但在實务中,对企业内部控制的审计早已开始,只是限定在特定行业而已。审计师运用财务报表审计风险模型,基于风险导向的审计方法对企业的内部控制有效性进行评价。内部控制是一个过程,运用财务报表审计模型并不能很好的实现财务报告内部控制审计目标。因此,对于注册会计师而言,迫切需要一个适合财务报告内部控制的审计风险模型。本文即是基于以上的分析试图对财务报告内部控制审计风险模型进行探讨。
一、风险导向审计模型设计
1.模型设计与说明。财务报表审计是通过风险评估程序评估重大错报风险,并在此基础上设计和实施进一步审计程序以将检查风险降低至可接受的低水平。财务报表审计是一个风险识别、风险评估和风险应对的过程。在基于重要性水平的概念上,寻找财务报表是否存在重大错报,进而判断企业的财务报告是否真实、公允。然内部控制审计并不是对企业的内部控制自我评价报告进行审计,而是对过程的有效性进行审计。因此,内部控制审计的目的不在于发现重大错报,在于寻找内部控制的缺陷,便于纠正与完善。我国《内部控制审计指引》第四条指出:注册会计师执行内部控制审计工作,应当获得充分、适当的证据,为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。因此,注册会计师进行内部控制审计的目标是获得关于未发现的内部控制设计、执行或运作有效性的严重弱点或重大缺陷的充分、恰当的证据,以为内部控制有效性出具审计意见,同时在整合审计中还需达到获取充分、适当审计证据支持其在财务报表审计中对控制风险的评估结果。所以财务报告内部控制审计与财务报表审计存在明显不同,这就迫切要求我们为财务报告内部控制审计设计一个可行的审计模型。本文则是基于风险导向审计模型的原理将财务报告内部控制审计模型设计如下:审计风险=重大缺陷风险×检查风险
其中:重大缺陷风险=固有风险×监督风险
审计风险是指注册会计师对财务报告内部控制的有效性发表不恰当审计意见的风险。注册会计师的目标是获得关于企业的内部控制系统是否有严重弱点或重大缺陷的充分、恰当的证据,以为内部控制有效性出具审计意见。如果注册会计师认为未被发现的严重弱点或重大缺陷的风险没有被降低至可接受的低水平,注册会计师就不能对内部控制发表无保留意见。固有风险是指企业没有对内部控制进行监督的情况下所面临的风险,主要和控制环境有关。监督风险是企业的内部监督无法有效地确保内部控制有效运行的风险。检查风险为注册会计师对已经恰当设计和执行的内部控制,由于运作的不足,难以防止、发现和更正严重弱点和重大缺陷的风险。以下对内部控制审计风险模型中的三个构成部分进行说明。
1.1固有风险。固有风险是指内部控制在没有内部监督的情况下所面临的风险。固有风险主要表现在控制环境的薄弱上,因为控制环境的薄弱是内部监督无法降低和消除的,当企业的控制环境存在薄弱环节时,即使设计了良好的内部控制并使其有效实施也是无法让注册会计师完全地相信企业的内部控制状况。在评价企业财务报告内部控制的固有风险时,我们有时需要就治理层和管理层对内部控制及其重要性的态度、认识和措施进行了解,考虑企业是否保持了诚实守信和合乎道德的文化,同时还需特别注意员工对工作的胜任能力。因为对固有风险的评估直接地影响着进一步审计的性质、时间和范围,所以我们认为健全的组织结构、适当的授权机制以及合理的人力资源政策等等都应该是是我们对固有风险评价时所要关注的。
2.监督风险。管理层的重要职责之一就是建立和维护控制并保持其有效运行,对控制的监督可以实现这一目标。然而,在很多时候企业所制定的控制监督程序只是流于形式,并没有得到有效的贯彻实施,审计委员会或是内部监督人员并没有对内部控制状况进行相对独立、有效地评价和监督,从而使内部控制运行效率大打折扣。正是由于企业对内部控制的监督不到位或是监督缺失使企业内部控制不能有效发挥的风险,我们称之为监督风险。监督风险也是企业客观存在的,需要审计人员进行评估,在必要时可以实施监督测试,判断内部控制监督风险的大小。
3.检查风险。注册会计师在对企业内部控制的固有风险和监督风险进行评估之后,即要确定可接受的检查风险的大小,以便实施进一步审计程序。检查风险即是内部控制某一环节单独或连同其他环节存在缺陷,而未能被实质性程序发现的可能性。检查风险是注册会计师可以控制的风险,合理的设计和实施实质性审计程序可以将检查风险降低到可接受的低水平,从而在整体上对财务报告内部控制的有效性作出合理保证。
二、模型在内部控制审计中的运用
财政部等五部委颁布的《内部控制审计指引》规定,注册会计师既可以单独对企业的财务报告内部控制进行审计,也可以结合财务报表审计一起进行整合审计,即使财务报告内部控制审计虽与财务报表审计不同,但是两者可以整合。所以我们设计的财务报告内部控制审计模型既可以在单独的财务报告内部控制审计中使用,获取企业财务报告内部控制是否存在严重弱点或重大缺陷的审计证据,又可在整合审计中对控制风险的评估获取证据支持。在对财务报告内部控制进行单独审计时,注册会计师需要恰当的计划内部控制审计工作,配备具有专业胜任能力的人员,以风险评估为基础。注册会计师接受委托后,可以直接按照设计的审计模型进行财务报告内部控制审计。通过制定详细的财务报告内部控制审计计划,准确的评估重大错报风险,从而有效的确定实质性程序的性质、时间和范围。当财务报告内部控制审计与财务报表审计一起进行整合审计时,我们则需要在审计中使用两个模型,即财务报表审计模型和财务报告内部控制审计模型。注册会计师可以先运用本文设计的模型进行内部控制审计,评估出企业的控制风险,再依据财务报表审计模型确定实质性程序的性质、时间和范围。注册会计师在运用财务报告内部控制审计模型进行内部控制审计后,若内部控制存在严重弱点或重大缺陷的风险很低,在单独审计中,注册会计师即可据以发表恰当的内部控制审计意见,要是在整合审计中,注册会计师则需要据以计划实质性程序。财务报告内部控制审计明显不同于财务报表审计,前者是对过程(企业的财务报告内部控制有效性)的审计,是一种直接报告业务的鉴证,而后者是对结果(财务报表及其附注)的审计,是一种基于责任方认定的鉴证业务。财务报表审计引入了对内部控制测试与评价,通过实施控制测试,确定实质性程序的性质、时间和范围。而在财务报告内部控制审计中,内部控制本身即是我们需要进行鉴证的客体,所以在此我们只能关注企业自身对内部控制的监督,据此合理的确定实施实质性程序的性质、时间和范围。本文对财务报告内部控制审计模型的设计主要是在借鉴财务报表审计模型的基础上所做的修正,虽然清晰的界定了相关财务报告内部控制审计中所需要关注的风险,将风险审计方法在财务报告内部控制审计中的运用模型化,但是在单独的财务报告内部控制审计或整合审计中如何有效的实施则需要注册会计师的具体判断。
参考文献:
[1]周安.基于风险管理视角的内部控制自我评估标准研究[J].财会研究,2010(8).
[2]杨瑞平.内部控制审计有关问题探索[J].商业研究,2010(4).
[3]张龙平,陈作习,宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究,2009(2).
[4]雷英、吴建友.内部控制审计风险模型研究[J].审计研究,2011(1).
作者简介:赵丽锦(1988—),女,湖北咸宁人,常州信息职业技术学院,讲师,硕士,从事公司治理、内部控制研究。
关键词:财务报告 内部控制 审计风险
2010 年4 月,财政部等五部委联合发布了《企业内部控制基本规范》的配套指引,要求符合条件的上市公司和非上市大中型企业对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。根据要求,我国对内部控制的审计将自2011年1月1日起在境内外同时上市的公司实施,自2012年1月1日起在主板上市公司施行,但在實务中,对企业内部控制的审计早已开始,只是限定在特定行业而已。审计师运用财务报表审计风险模型,基于风险导向的审计方法对企业的内部控制有效性进行评价。内部控制是一个过程,运用财务报表审计模型并不能很好的实现财务报告内部控制审计目标。因此,对于注册会计师而言,迫切需要一个适合财务报告内部控制的审计风险模型。本文即是基于以上的分析试图对财务报告内部控制审计风险模型进行探讨。
一、风险导向审计模型设计
1.模型设计与说明。财务报表审计是通过风险评估程序评估重大错报风险,并在此基础上设计和实施进一步审计程序以将检查风险降低至可接受的低水平。财务报表审计是一个风险识别、风险评估和风险应对的过程。在基于重要性水平的概念上,寻找财务报表是否存在重大错报,进而判断企业的财务报告是否真实、公允。然内部控制审计并不是对企业的内部控制自我评价报告进行审计,而是对过程的有效性进行审计。因此,内部控制审计的目的不在于发现重大错报,在于寻找内部控制的缺陷,便于纠正与完善。我国《内部控制审计指引》第四条指出:注册会计师执行内部控制审计工作,应当获得充分、适当的证据,为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。因此,注册会计师进行内部控制审计的目标是获得关于未发现的内部控制设计、执行或运作有效性的严重弱点或重大缺陷的充分、恰当的证据,以为内部控制有效性出具审计意见,同时在整合审计中还需达到获取充分、适当审计证据支持其在财务报表审计中对控制风险的评估结果。所以财务报告内部控制审计与财务报表审计存在明显不同,这就迫切要求我们为财务报告内部控制审计设计一个可行的审计模型。本文则是基于风险导向审计模型的原理将财务报告内部控制审计模型设计如下:审计风险=重大缺陷风险×检查风险
其中:重大缺陷风险=固有风险×监督风险
审计风险是指注册会计师对财务报告内部控制的有效性发表不恰当审计意见的风险。注册会计师的目标是获得关于企业的内部控制系统是否有严重弱点或重大缺陷的充分、恰当的证据,以为内部控制有效性出具审计意见。如果注册会计师认为未被发现的严重弱点或重大缺陷的风险没有被降低至可接受的低水平,注册会计师就不能对内部控制发表无保留意见。固有风险是指企业没有对内部控制进行监督的情况下所面临的风险,主要和控制环境有关。监督风险是企业的内部监督无法有效地确保内部控制有效运行的风险。检查风险为注册会计师对已经恰当设计和执行的内部控制,由于运作的不足,难以防止、发现和更正严重弱点和重大缺陷的风险。以下对内部控制审计风险模型中的三个构成部分进行说明。
1.1固有风险。固有风险是指内部控制在没有内部监督的情况下所面临的风险。固有风险主要表现在控制环境的薄弱上,因为控制环境的薄弱是内部监督无法降低和消除的,当企业的控制环境存在薄弱环节时,即使设计了良好的内部控制并使其有效实施也是无法让注册会计师完全地相信企业的内部控制状况。在评价企业财务报告内部控制的固有风险时,我们有时需要就治理层和管理层对内部控制及其重要性的态度、认识和措施进行了解,考虑企业是否保持了诚实守信和合乎道德的文化,同时还需特别注意员工对工作的胜任能力。因为对固有风险的评估直接地影响着进一步审计的性质、时间和范围,所以我们认为健全的组织结构、适当的授权机制以及合理的人力资源政策等等都应该是是我们对固有风险评价时所要关注的。
2.监督风险。管理层的重要职责之一就是建立和维护控制并保持其有效运行,对控制的监督可以实现这一目标。然而,在很多时候企业所制定的控制监督程序只是流于形式,并没有得到有效的贯彻实施,审计委员会或是内部监督人员并没有对内部控制状况进行相对独立、有效地评价和监督,从而使内部控制运行效率大打折扣。正是由于企业对内部控制的监督不到位或是监督缺失使企业内部控制不能有效发挥的风险,我们称之为监督风险。监督风险也是企业客观存在的,需要审计人员进行评估,在必要时可以实施监督测试,判断内部控制监督风险的大小。
3.检查风险。注册会计师在对企业内部控制的固有风险和监督风险进行评估之后,即要确定可接受的检查风险的大小,以便实施进一步审计程序。检查风险即是内部控制某一环节单独或连同其他环节存在缺陷,而未能被实质性程序发现的可能性。检查风险是注册会计师可以控制的风险,合理的设计和实施实质性审计程序可以将检查风险降低到可接受的低水平,从而在整体上对财务报告内部控制的有效性作出合理保证。
二、模型在内部控制审计中的运用
财政部等五部委颁布的《内部控制审计指引》规定,注册会计师既可以单独对企业的财务报告内部控制进行审计,也可以结合财务报表审计一起进行整合审计,即使财务报告内部控制审计虽与财务报表审计不同,但是两者可以整合。所以我们设计的财务报告内部控制审计模型既可以在单独的财务报告内部控制审计中使用,获取企业财务报告内部控制是否存在严重弱点或重大缺陷的审计证据,又可在整合审计中对控制风险的评估获取证据支持。在对财务报告内部控制进行单独审计时,注册会计师需要恰当的计划内部控制审计工作,配备具有专业胜任能力的人员,以风险评估为基础。注册会计师接受委托后,可以直接按照设计的审计模型进行财务报告内部控制审计。通过制定详细的财务报告内部控制审计计划,准确的评估重大错报风险,从而有效的确定实质性程序的性质、时间和范围。当财务报告内部控制审计与财务报表审计一起进行整合审计时,我们则需要在审计中使用两个模型,即财务报表审计模型和财务报告内部控制审计模型。注册会计师可以先运用本文设计的模型进行内部控制审计,评估出企业的控制风险,再依据财务报表审计模型确定实质性程序的性质、时间和范围。注册会计师在运用财务报告内部控制审计模型进行内部控制审计后,若内部控制存在严重弱点或重大缺陷的风险很低,在单独审计中,注册会计师即可据以发表恰当的内部控制审计意见,要是在整合审计中,注册会计师则需要据以计划实质性程序。财务报告内部控制审计明显不同于财务报表审计,前者是对过程(企业的财务报告内部控制有效性)的审计,是一种直接报告业务的鉴证,而后者是对结果(财务报表及其附注)的审计,是一种基于责任方认定的鉴证业务。财务报表审计引入了对内部控制测试与评价,通过实施控制测试,确定实质性程序的性质、时间和范围。而在财务报告内部控制审计中,内部控制本身即是我们需要进行鉴证的客体,所以在此我们只能关注企业自身对内部控制的监督,据此合理的确定实施实质性程序的性质、时间和范围。本文对财务报告内部控制审计模型的设计主要是在借鉴财务报表审计模型的基础上所做的修正,虽然清晰的界定了相关财务报告内部控制审计中所需要关注的风险,将风险审计方法在财务报告内部控制审计中的运用模型化,但是在单独的财务报告内部控制审计或整合审计中如何有效的实施则需要注册会计师的具体判断。
参考文献:
[1]周安.基于风险管理视角的内部控制自我评估标准研究[J].财会研究,2010(8).
[2]杨瑞平.内部控制审计有关问题探索[J].商业研究,2010(4).
[3]张龙平,陈作习,宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究,2009(2).
[4]雷英、吴建友.内部控制审计风险模型研究[J].审计研究,2011(1).
作者简介:赵丽锦(1988—),女,湖北咸宁人,常州信息职业技术学院,讲师,硕士,从事公司治理、内部控制研究。