美国内部控制审计的制度变迁及其启示.doc

美国内部控制审计的制度变迁及其启示张龙平陈作习宋浩【摘要】我国目前正在抓紧制定内部控制审计准则。从世界范围看,美国内部控制审计的发展历史最久、最有代表性,值得我们借鉴。内部控制审计成为与财务报表审计并行的一种新审计业务,在美国的发展大体经历了三个阶段:财务报表审计中的内部控制评价阶段、财务报告内部控制审核阶段和财务报告内部控制审计阶段。本文回顾了美国内部控制审计制度变迁的历程及特点,并提出了我国在制定内部控制审计准则时需要注意解决好的七大问题。【关键词】内部控制评价内部控制审核内部控制审计财务报告内部控制财政部等五部委联合发布的企业内部控制基本规范将于2009年7月1日起先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。规范要求执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。如何合理制定我国的企业内部控制审计准则,从而使会计师事务所对内控运行发挥保障作用,是亟待研究的重要课题。本文在简要回顾美国内部控制审计发展历程的基础上,探讨我国制定企业内部控制审计准则需注意解决的问题。一、美国内部控制审计的制度变迁历程从世界范围看,美国内部控制评价的发展历史最悠久、最有代表性,值得我们借鉴。在当今美国,内部控制审计成为与财务报表审计并行的一种新审计业务,其发展大体经历三个阶段: (1)财务报表审计中的内部控制评价阶段; (2)财务报告内部控制审核阶段; (3)财务报告内部控制审计阶段。需要特别说明的是,这三个阶段的划分是为厘清美国内部控制审计的基本发展脉络,并不意味着到了内部控制审计阶段,再执行财务报表审计就不用进行内部控制评价了。（一）财务报表审计中的内部控制评价阶段(20世纪初至20世纪60年代)20世纪初,内部控制评价就开始进入审计的视野,以依赖内部控制为基础的审计实践亦由此开始。1912年,罗伯特蒙哥马利在审计理论与实践书中就已初步认识到内部控制对审计的重要性,主张将资产负债表审计范围与评价客户内部控制系统联系起来。美国注册会计师协会于1939年10月发布第1号审计程序公告,首次增加对内部控制的评价。次年10月,证券交易委员会(SEC)正式要求审计师在审计报告中增加与上述公告类似的关于内部控制审查的内容。从此开始,账项基础审计逐步为制度基础审计取代,内部控制评价成为财务报表审计的组成部分和重要特征。20世纪40年代后,内部控制评价在财务报表审计中的应用日趋成熟。美国注册会计师协会于1949年在内部控制:协作体系的要素及其对管理层和独立公共会计师的重要性(Internal Control Elements of Coordinated System and its Importance to Management and the Independent Public Accountant)书中,首次对内部控制作了定义。此后,审计程序委员会(CAP)在发展和完善内部控制评价方面作了不懈努力,在深入理解内部控制的含义、范围、目标等基础上,通过审计准则制定要求审计师有重点地加强对内部控制的研究。至此,美国实现了从关注内控评价在财务报表审计中的作用,到正式将内控评价规定为财务报表审计的必要程序,进而写入审计准则的第一次飞跃。（二）财务报告内部控制审核阶段(20世纪70年代至20世纪90年代)自内控评价成为财务报表审计的必要程序后,内控评价的意义多次在重大情况下受到职业团体、政府监管部门和立法机构的高度重视,进而使在财务报表审计中评价内部控制,演变为单独的鉴证业务即内部控制审核业务。下述重大事件对演变起了重要作用:1. 1977年实施的反国外贿赂法案。该法案除规定遏制和处罚美国公司对外国政府官员进行非法的政治援助或财务支付如贿赂外,还包括强化会计工作和内部控制的条款,要求公司在保持健全会计记录的同时,设计、建立和保持有效的内部会计控制系统。FCPA对美国经济产生巨大作用,并直接影响到公司内部控制的设计与实施。2.科恩委员会的建议及SEC的回应和AICPA的行动。1974年, AICPA成立了注册会计师责任委员会即科恩委员会,研究注册会计师的职责。他们在1978年提交的报告中建议:公司管理层出具与财务报告相匹配的报告,以披露内部控制状况;同时,注册会计师对管理层出具的内部控制报告进行评价并对外报告。科恩报告发布后, FEI不仅认可其建议,还编制了指南以帮助其成员实施该项建议。SEC在密切关注和研究科恩委员会和FEI工作成果的基础上,于1979年4月30日,发布管理层对内部会计控制的公告(Statement of Management on Internal Accounting Control)征求意见稿,提议管理层在向股东提交的年度报告中包含内部会计控制自评报告。SEC本想将该提议以法律形式确定下来,但因实施成本过高、报告信息的非相关性、内部控制标准不明确等而遭到上市公司、注册会计师、律师乃至其他相关人士的普遍质疑, 1980年不得不决定暂缓执行该提议。3.反欺诈财务报告委员会的建议及SEC的再次回应。20世纪80年代,美国发生一系列公司破产、财务舞弊和审计失败案例,使公众极为不满。在此背景下, 1985年成立了反欺诈财务报告全国委员会即Tread-way委员会,专门研究引发欺诈财务报告的原因,并为减少欺诈的发生提出建议。该委员会在1987年提交的报告中指出: (1)纳入研究范围的欺诈财务报告案例中约有50%是因内控失效导致的,并提出了防止欺诈发生的实务指引框架,其中第三步就是设计和实施有效的内部控制。(2)投资者有权了解管理层对财务报告和内部控制的责任的履行程度,而目前这些信息并不能很好地传递给投资者,因此,管理层有责任对内部控制的有效性进行报告。此外,该委员会还强调控制环境、行为规范、审计委员会、内部审计等的重要性。在该委员会建议下, SEC于1988年7月19日发布第34-25925号提案:报告管理层的责任(No. 34-25925 Report of Managements Responsibilities),提议管理层在年度报告中报告对财务报表和内部控制的责任,以及对内部控制有效性的评价结果。但最终还是因为制度运行成本过大等原因,该提议仍未能付诸施行。4. 1991年出台的联邦储蓄保险公司改善法。20世纪90年代初,由于商业银行破产频发,激发民众对联邦存款保险公司命运的担忧。为此,美国国会于1991年颁布联邦储蓄保险公司改善法案 (Federal Deposit Insurance Corporation Improvement Actof1991, FDICIA)。其中第36节规定,资产总额在5亿美元以上的大银行必须评估并报告内控的有效性,同时要求注册会计师对管理层有关内控的声明进行验证。该规定扩大了为大银行提供财务报表审计服务的注册会计师的责任范围。尽管由于该规定并不适用于金融机构提交给股东的年度报告,而仅要求在向联邦银行管理机构和相关州级银行监察机构提交报告时使用,对所有上市公司的直接影响并不大,但FDICIA创立了强制要求管理层报告内控有效性的先例,其重要意义在于:内控信息确实可由管理层提供,并能够实现某些预期效果如强化管理层责任意识和改善内部控制等,很多曾反对内控报告的团体转而赞同上市公司管理层提供内控报告。为了规范注册会计师执行内部控制审核(examination)业务, AICPA发布了SSAE No. 2:财务报告内部控制的审核。至此,美国实现了从财务报表审计中评价内部控制,到正式将内控审核规定为注册会计师单独承办的鉴证业务的第二次飞跃。（三）财务报告内部控制审计阶段(21世纪初至今)本世纪初,安然、世通等舞弊事件的发生,极大动摇了投资者对资本市场的信心,为强化上市公司的责任,美国国会于2002年7月发布萨班斯-奥克斯利法案(SOX)。其中302和404条款规定,公司首席执行官、首席财务官或类似职务者必须书面声明对内控设计和执行的有效性负责,并要求随定期报告一同对外披露管理层对财务报告内部控制的评价报告,该报告还需经负责公司定期报告审计的注册会计师的审计。这标志着美国公司管理层的内控报告由以前自愿性披露改为强制性披露,并实现了由审计师单独执行内控审核业务到单独执行内控审计业务的第三次飞跃。根据SOX的要求, SEC于2003年11月发布最终规则管理层对财务报告内部控制的报告及其对定期披露的证明(Final Rule Managements Report son Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports),要求所有受1934年证券交易法13 (a)或者15 (d)条款约束的公司,不仅仅是上市公司,均需在年报中包括管理层对财务报告内部控制的评估报告。紧接着, PCAOB于2004年3月发布审计准则第2号与财务报表审计结合进行的财务报告内部控制审计 (Auditing Standard No. 2-AnAuditof Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements, AS2),就审计管理层的财务报告内部控制评估报告作出详尽规定,要求由同一会计师事务所同时执行同一公司的财务报表审计业务和财务报告内部控制审计业务,并提出了将两者整合审计的理念。至此,现代审计也全面走进财务报表审计与财务报告内部控制审计并重的新时代。自AS2实施以来, PCAOB一直密切关注审计师执行各项要求的进展情况。关注结果显示, AS2的部分条款不清晰或与SEC的要求有差别,也有部分条款规定过细不利于审计师的职业判断,或不适合对小企业的审计。PCAOB于2007年发布审计准则第5号与财务报表审计整合的财务报告内部控制审计 (Auditing Standard No. 5-AnAuditof Internal Control Over Financial Reporting that is Integrated with An Audit of Financial Statements, AS5)取代AS2。AS5的主要目标是让审计师能够将审计资源投向高风险领域,并尽量减少不必要的审计程序,同时力求内控重大缺陷在导致报表重大错报前被发现。相应地, AS5的主要变化体现在进一步优化自上而下的审计方法、增加对舞弊控制的评价、强调穿行测试的重要性等方面。此外, PCAOB还对以下事项作出特别规定: (1)负责审计财务报表的事务所不能同时为同一公司提供与财务报告相关的内部控制的咨询服务,但可提供其他方面的内部控制的咨询服务,以避免咨询服务对审计独立性造成损害。(2)审计师在对内部控制进行后要么发表无保留意见或否定意见,要么出具无法表示意见的审计报告,而不能发表保留意见。只有在审计范围没有受到限制时,审计师才能对内部控制的有效性形成审计意见,包括在未发现内部控制有重大缺陷时发表无保留意见和在发现内部控制有重大缺陷时发表否定意见。如存在任何审计范围限制,就应当出具无法表示意见的审计报告。可见对内部控制审计的规定比财务报表审计严多了,因为财务报表审计可发表保留意见。(3)财务报表审计和内部控制审计如何整合以同时实现两种审计的目标是制定内部控制审计准则时需要重点解决的问题。当今美国内部控制审计的顺利进行,还得益于SEC、PCAOB及注册会计师行业的共同努力。二、美国内部控制审计制度变迁的特点及启示纵观历史,可发现美国内部控制审计制度演进有以下特点并由此得出以下启示:（一）内部控制受到关注的直接推动力和关注范围问题由于在美国直接推动对内部控制予以评价、审核和审计的核心力量是有关政府部门及其监管机构基于保护社会公众利益和提高上市公司营运质量所作出的制度性创新安排,他们始终围绕不断增强财务报告含相关信息的可靠性、尽量满足投资者对高质量财务信息的需求做文章,因此,美国审计师目前主要关注的是财务报告含相关信息方面的内部控制,而不是整个内部控制。在我国,推动企业重视内部控制的主要力量也是有关政府部门及其监管机构,那么,注册会计师对内部控制审计的范围应确定为多大?值得探讨。我们认为,目前可考虑规定只对财务报告及相关信息的内部控制进行审计。众所周知,国际上通常认为内部控制应实现3大目标即合理保证: (1)财务报告(financial reporting) (含相关信息)的可靠性; (2)经营(operation)的效率和效果; (3)对法律法规的遵守 (compliance)。我国发布的企业内部控制基本规范在借鉴国际惯例基础上,更加准确地定位内部控制应实现5大目标即要求企业在合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。对企业而言,财政部要求其站在实现所有5大控制目标的高度,建立、实施与保持有效的内部控制,并对整个内部控制的有效性进行评价,出具自我评价报告,是意义重大和十分正确的。目前在我国,对会计师事务所而言,考虑到国际趋同的要求和注册会计师行业的实际状况,建议规定注册会计师先只对财务报告及相关信息的内部控制执行审计,以后再根据国际上内部控制审计业务技术的发展进程和我国对上市公司的监管需要,规定是否对其他内部控制执行审计外的其他鉴证类业务。理由是: (1)从世界范围看,有关内部控制的法定审计制度出台的最初直接动因是为了从根本上解决财务报告含相关信息的可靠性问题,该审计是对现行财务报表审计的有益补充和自然延伸。美国、加拿大等近年来纷纷规定,在对上市公司执行年度财务报表审计的情况下,还要求同一事务所对同一公司为合理保证财务报告含相关信息的可靠性而实施的内部控制进行审计,就是为了更好地保证财务报告含相关信息的可靠性。目前,由于审计技术的局限性,导致各个国家暂时没法要求注册会计师对上市公司所有内部控制的有效性进行审计,因为这可能超出了其所应当和能够承担的专业责任范围。(2)对财务报告含相关信息的内部控制之外的其他内部控制,比如对机场有关安检系统和雷达指挥系统的安全可靠性的内部控制,注册会计师目前可能因专业能力限制而不能执行提供合理保证的审计业务,如要注册会计师对其他内部控制进行鉴证,是可以的,但只能考虑执行比审计保证水平低的其他鉴证类业务如审核、审阅、执行商定程序等。（二）执行财务报告含相关信息的内部控制审计的主体资格及策略问题美国规定必须由同一会计师事务所同时进行同一公司的财务报表审计和财务报告含相关信息的内部控制审计,并采用与财务报表审计相同的风险导向法,执行财务报告含相关信息的内部控制审计业务。我国是否也要规定由同一会计师事务所同时进行同一公司的财务报表审计业务和财务报告含相关信息的内部控制审计业务?笔者认为,按照现行国际鉴证业务概念框架的规定,由于这两种审计业务都属对审计结论提供合理保证(高度保证)的鉴证类业务,具有相容性,因此,单从理论上看,在设计我国审计制度时,可选择由同一事务所承办这两种审计业务或由不同的事务所分别承办同一公司同期的财务报表审计和内部控制审计业务。但是从制度实际运行的成本和效益分析,不宜由不同的事务所分别承办同一公司的财务报表审计和相关内部控制审计业务,因为:一是会加大制度运行成本,增加被审计单位的经济负担和工作负担;二是目前从世界范围看没有任何实证证据,表明由不同事务所分别承办这两种审计业务,会更有效地实现两者的审计目标。我们认为,由同一事务所负责同时审计同一上市公司的相关内部控制和财务报表,更有利于注册会计师适当节省审计成本、控制审计风险和实现两者的审计目标,是一种经济可行、切实兼顾了社会公众、被审计单位和注册会计师行业三者利益的制度安排。美国PCAOB及加拿大等均采用这种制度模式,效果反应很好。我国在制定内部控制审计准则时可考虑采用该模式。可见,我国企业内部控制基本规范没有禁止由同一事务所同时进行同一公司的财务报表审计和财务报告含相关信息的内部控制审计是正确的。（三）内部控制审计与内部控制咨询的关系问题美国规定负责审计财务报表的事务所不能同时为同一公司提供与财务报告含相关信息有关的内部控制的咨询服务,但可提供其他方面的内部控制的咨询服务,这主要是为了避免咨询服务对审计独立性直接造成损害。我国应当如何处理针对相同对象的审计业务和咨询服务的隔离问题?我国企业内部控制基本规范第十条第二款对此作出了原则性的规定。该规定指出:“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。”此规定从总体上和实质上看无疑是正确的。因为为同一企业内部控制同时提供咨询和审计服务,属不相容业务,理应实行分离。为同一企业同时提供不相容业务,明显违反注册会计师的道德价值观,使审计独立性受到自我评价的严重威胁。但需要注意的是,我国有关方面在贯彻执行企业内部控制基本规范时,建议针对实际工作中可能出现的下列不同情况和问题,区别作出咨询和审计如何分离的处理:1.目标差异性问题。内部控制要实现的控制目标很多,如X事务所为Y企业实现A目标的内部控制提供了咨询,那么,该事务所能否审计该企业实现B目标或C目标的内部控制?理论上讲,可考虑允许事务所在此情况下这么做,因为此情况可能并不构成自我评价的威胁。但从更高的要求看,还是不这样做为好。2.时间间隔性问题。如X事务所于20X1年为Y企业的内部控制提供了咨询,那么,在时隔一段时间(如3年)后,该事务所能否审计该企业的内部控制呢?我们认为不应准许事务所在此情况下这么做,因为这样做后便难以消除公众对事务所自我评价的疑虑。3.利益关联性问题。允不允许同属某网络事务所(或集团事务所)的不同事务所分别为同一企业提供内部控制咨询和审计服务,或允不允许同一事务所的不同部门在实现隔离的条件下分别为同一企业提供内部控制咨询和审计服务?是比较判断的问题。但从事务所整体的审计独立性和利益关联性看,我国可考虑从严规定不准许这么做。4.专业协调性问题。中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险第六章“与治理层和管理层的沟通”中第114条规定“注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。”第115条规定“如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。”尽管如上所述,在执行财务报表审计时,只要求注册会计师就注意到的内部控制重大缺陷进行沟通,而在执行相关内部控制审计后、在出具内部控制审计报告前,则要求注册会计师就注意到的内部控制所有缺陷进行沟通,但由于此类沟通难免出现重复,因此,应明确规定哪些沟通可以合并,哪些沟通必须单独进行,以确保满足沟通的全部要求。这是内部控制审计业务产生后,出现的与现行审计准则的协调问题。中国注册会计师协会已计划对现行审计准则作相应调整。5.咨询隐形化问题。有的事务所可能实际上为某企业提供了内部控制咨询,但法律形式上不留下证据(既不签约又不专门付费),而是等到提供相关内部控制审计和财务报表审计服务后,将咨询费用一并计入审计服务费中或承诺多少年内其审计业务全由该事务所做。对这种情况如何进行有效约束,是各国政府及监管部门都难以控制的问题。对此问题,我们得想办法予以解决。（四）财务报表审计和相关内部控制审计的整合问题美国比较重视财务报表审计和内部控制审计如何整合的问题,以及内部控制审计结论对投资者和被审计单位的信号放大刺激作用,为此规定,对内部控制进行审计后不能发表保留意见,只要审计范围受到任何限制,就要出具无法表示意见的审计报告。我国在制定内部控制审计准则时,应当考虑重点在如何整合这两种审计方面提供更具体的操作指引。鉴于我国乃至世界各国在未来较长的时期内彻底解决财务信息质量问题有相当的难度,我们还建议可考虑对内部控制审计作出比财务报表审计更严厉的规定,包括规定对内部控制不能发表保留意见,以及内控审计范围只要受到任何限制就得出具无法表示意见的报告。（五）内部控制审计期望差得以解决的耗时长短问题美国注册会计师从起初的、在财务报表审计中关注和评价相关内部控制(属财务报表审计的组成部分),发展到后来的、对相关内控单独进行审核(属有限保证的鉴证业务)乃至进行审计(属合理保证或高保证水平的鉴证业务充分说明内部控制在上市公司治理和资本市场监管中的作用越来越受到重视广大投资者对内控信息及其鉴证工作提出了越来越高的期望。我国从1996年开始施行独立审计准则至今,一直规定审计师在财务报表审计中必须了解相关内部控制;证券监管部门也明文要求IPO公司必须提供足够长期间的内部控制审核报告。为规范内控审核工作,中国注册会计师协会还发布了内部控制审核指导意见。目前,我国正在制定内部控制审计准则,除需要做好与以前规范的衔接和协调工作外,如何在充分考虑当今社会经济环境变化的基础上,不断满足投资者对内部控制信息质量提出的更高要求,值得我们长期重视和研究。（六）内部控制审计与减少财务舞弊的相互作用问题美国上市公司内控信息从自愿性披露改为强制性披露,其中频发的重大财务舞弊案件是制度变迁的导火索。美国1977年FCPA、1991年FDICIA以及2002年SOX的颁布对内控提出了不同的要求,这些法规的颁布都是因重大财务舞弊导致的立法变革结果。由此也表明促使内控完善(包括强调管理层对设计、建立和保持有效的内部控制负责、强调由审计师审核或审计相关内部控制),是解决财务舞弊的重要途径。值得我们思考的是,尽管如此,美国上市公司财务信息和内控的质量,至今并未见根本好转。我国政府部门在建立内部控制规范体系方面,应充分认识到上市公司内控的完善是十分复杂且慢长的过程;在制定企业内部控制审计准则时,要突出重点,以期先解决财务报告含相关信息的可靠性这一涉及资本市场基本功能能否发挥的核心问题。（七）如何正确对待审计师追求审计成本效益最大化的问题从美国20世纪初开始在财务报表审计中关注内部控制到后来对内部控制理论研究的不断深入看,审计师追求审计成本效益最大化是内部控制发展的重要驱动因素。注册会计师行业出于既要尽可能降低财务报表审计风险,更好地发现重大错报,而又期望减少审计程序、节约审计成本的目的,不断地研究内部控制与审计的关系,使得对内部控制的了解从最开始的内部牵制,发展到后来的内部控制制度、内部控制结构、内部控制整合框架甚至企业风险管理框架。PCAOB财务报告内部控制审计准则从第2号修改为第5号,在一定程度上也是为了追求审计成本效益最大化的结果。实际上,