内部控制鉴证报告（精选7篇）

内部控制鉴证报告 第1篇

在我国内部控制制度研究起步较晚, 从l996年末中注协发布《内部控制与审计风险》以来, 陆续发布了基本规范、货币资金、工程项目等l0个控制规范 (含试行) ;中国证券监督管理委员会于2001年发布了《证券公司内部控制指引》;国有资产监督管理委员会于2004年发布了《中央企业发展战略和规范管理办法》;上海证券交易所于2005年发布了《上市公司内部控制制度指引》等等。但在内部控制信息披露的过程中, 并没有取得预期的效果。2008年6月28日, 财政部、证监会、审计署、银监会、保监会五部门联合发布的《企业内部控制基本规范》, 该基本规范科学界定了内部控制的内涵, 提出了企业建立与实施有效内部控制的要素, 同时要求执行该规范的上市公司应当对公司内部控制有效性进行自我评价, 披露年度自我评价报告, 可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计, 出具审计报告 (这里的审计报告实际上是内部控制鉴证报告) 等等。企业内控基本规范的颁布体现出我国对企业内控的重视, 从而内控鉴证报告的重要性也随之提升。这也意味着内部控制的有效性审计将作为一种常态出现在上市公司的年报中。此规范的出台可以说是我国企业内部控制规范体系建设道路上了一个新的里程碑。

但是与审计报告相比, 两者既有相同之处又有差异, 在具体工作中有一定程度的相互借鉴。在我国审计报告的发展相对比较成熟, 国家也颁布了《注册会计师审计准则》进行了具体规范与约束。而内部控制鉴证是审计范围发展的提升, 也是审计的一种。因此, 在就内部控制鉴证出具鉴证报告时, 应该考虑到它也是审计报告的一种, 但是并非与审计报告完全相同, 它们二者之间既有区别又有联系。

1 内部控制鉴证报告与审计报告的相同之处

除上述的形式方面的相同外, 在审计过程中对内部控制了解的深度方面也具有一定的相同之处, 二者均需了解与财务报告相关的内部控制, 甚至某些时候审计报告就已经有了对内控鉴证的评价。另外, 在对内部控制鉴证和财务报表合并出具审计报告时, 二者也存在一定的相同之处。

2 内部控制鉴证报告与审计报告的差异分析

2.1 两者目标不同

内部控制鉴证报告的目标是一种合理保证, 至少应包括以下几个方面: (1) 对公司内部控制设计合理性及运行有效性作出准确评价; (2) 内部控制与公司的现实发展阶段、所在行业要求的匹配程度作出准确评价; (3) 合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。而审计报告的目标是注册会计师通过执行审计工作, 对财务报告的下列方面发表审计意见: (1) 财务报表是否按照适用的会计准则和相关会计制度的规定编制; (2) 财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。

2.2 两者的鉴证程序不同

2.3 两者的划分界限不同

内部控制鉴证报告虽然与审计报告的意见类型相似, 但是划分的界限确截然不同。审计强调的是重大影响, 而内部控制鉴证则强调的是重大缺陷。缺陷的严重性的标准: (1) 公司的控制没有防止或发现一个账户余额或披露的错报是否存在合理可能性; (2) 由这个缺陷或多个缺陷导致的潜在错报的大小。存在重大缺陷的迹象包括: (1) 识别出与高级管理层有关的舞弊, 无论重大与否; (2) 为反映对一个重大错报的更正而重述以前发布的财务报表; (3) 注册会计师识别出了当期财务报表中的一个重大错报, 而当期的情形表明公司财务报告内部控制没有发现该项错报; (4) 相关的监管部门对公司的对外财务报告和财务报告内部控制的监督无效。在评价一个缺陷或多个缺陷的联合的严重性时, 注册会计师还应当确定细节的水平和保证程度, 如果注册会计师确定, 一个缺陷或多个缺陷的联合使谨慎的工作人员在处理其事物时不能断定他们合理保证对交易进行了必要的记录以允许按照企业会计准则和相关会计制度编制财务报表, 那么, 注册会计师也应当将这个缺陷或多个缺陷的联合视为重大缺陷的一个迹象。

2.4 两者的形式不同

内部控制鉴证报告有两种出具形式: (1) 以独立报告的形式单独出具; (2) 与审计报告合并出具;而审计报告只能以独立报告的形式单独出具 。

2.5 基本内容不同

内部控制鉴证报告的基本内容的固有限制段包括以下内容: (1) 内部控制的固有限制; (2) 根据内部控制评价结果推测未来内部控制有效性的风险。而审计报告则不存在这一内容。

在我国内部控制鉴证是审计领域的新兴课题, 有许多的问题尚未解决。内部控制鉴证报告是内部控制鉴证的重要组成部分, 其作用也在日益凸显, 它可以为利益相关者提供增值信息, 从而更有利于投资者做出决策;可以引起企业管理当局对内部控制的重视, 进而提升内部控制水平;可以在一定程度上减少审计风险。通过对内部控制鉴证报告与审计报告的比较, 我们可以看出两者的差异之处及不足之处。为此, 在对内部控制鉴证报告进行研究时, 可以适当借鉴审计报告的可取之处, 从而促进内部控制鉴证报告的不断发展, 不断完善。

参考文献

[1]李春慧.内部控制系统的要素分析[J].商业会计, 2008, (12) :39-40.

[2]彭媛媛.中西方内部控制信息披露的比较与思考[J].审计与理财, 2008, (9) :57-58.

[3]贺密柱.内部控制理论演进的中外比较及思考[J].财会通讯, 2008, (1) :101-103.

[4]王梅, 吴昊昊.会计、审计与内部控制发展历程[J].全国商情:经济理论研究, 2007, (7) :85-86.

内部控制鉴证报告 第2篇

强制性内部控制报告制度体现了当前财务报告监管模式的一种变革趋向:从强调对结果的控制到强调对过程的控制。譬如内部控制鉴证报告是直接报告业务而非基于责任方认定的业务。虽然内部控制鉴证报告的时间范围界定为时点, 但是在这种从结果控制向过程控制纵深发展的监管模式下, 财务报告监管的重心开始向财务报告链条的上游转移, 从源头上削弱财务造假的风险, 同时也减轻了审计师的责任, 将防范公司财务造假的制度风险进行了分散。

►►一、责任方与所有者代理成本

责任方与所有者代理成本。由于委托人和代理人的目标不一致, 导致了委托代理问题。正是由于委托人与代理人存在着利益冲突, 使得委托人往往倾向于通过与代理人达成的契约来解决因目标差异而产生利益冲突。对行为责任的履行情况进行报告正是所有者能够用以监督管理人履行契约关系的一种手段或途径, 而管理者则有责任和义务是如实地向所有者反映行为责任的落实与执行情况。由此可见, 信息披露制度是缓解管理者和所有者冲突的有效的制度设计之一, 也说明了代理理论为信息披露制度提供了理论依据。

同时内部控制鉴证报告自愿披露动机不足且效果不及预期, 这也是强制性披露的“导火索”之一。上市公司薪酬计划不完善, 股权激励不足, 管理者自愿披露内部控制鉴证报告提高股票薪酬的热情不高;上市公司大部分为国有控股公司, 对于管理者的业绩评价尺度一般为盈利而非股价, 自愿披露的信号传递作用对其意义不大;我国属于大陆法系, 资本市场运行不健全, 投资者保护程度较弱, 管理者进行信息披露时面临的诉讼风险小, 诉讼成本低, 难以保证自愿披露的信息质量。

就上市公司渐进强制披露内部控制鉴证报告而言, 管理者有责任确保公司内部控制设计运行有效, 保证公司的正常有序高效的运转, 从而披露内部控制鉴证报告有利于管理者证明其工作并检验其对公司的诚信;所有者不仅仅通过财务报表了解公司的财务情况更要通过注册会计师的内部控制鉴证报告的披露了解公司的业务运转情况和财务信息是否得到有效合理的处理和反映。上市公司内部控制鉴证报告的披露合理有效的缓解了管理者和所有者之间的矛盾, 使两者利益最大化。

►►二、预期使用者之间代理成本

所有者与债权人的代理成本。债务契约给了股东进行次优投资决策的动机, 债权人的风险和收益不对等。所有者借款后会以高风险、低成功率的项目替代低风险、高成功率的项目, 该项目经营效果好时, 所得收益主要归股东归所有者, 如经营效果不好, 则由债权人买单。这就使得债权人产生对内部控制鉴证报告披露的需求, 而自愿性披露使得债权人对审计质量存在疑虑, 如是合理保证还是有限保证, 内部控制注册会计师是否从程序上在足够长的特定期间对内部控制了解和有限测试, 虽然只要求注册会计师结果上针对特定时点的内部控制的有效性发表意见。

►►三、责任方与注册会计师审计合谋

内部控制鉴证报告强制性披露有利于降低审计合谋的可能性, 审计合谋是公司治理、内部审计缺陷及利益驱动影响下的结果, 而内部控制鉴证报告强制披露在一定程度上可以改善内部人控制现象、给内部审计“正名”、缩小盈余管理空间, 从而降低审计合谋发生的可能性。

1.中小股东保护。

国有上市公司所有者和委托者一体, 老总一般都是元老级人物, 而那些不参与经营管理的所有者中小股东们的话语权很小。当前的审计付费制度造成了事务所与公司之间的“雇佣”关系。上市公司的审计业务更是事务所争抢的目标, 甚至是低价揽客。“强管理层, 盲所有者, 弱中介”的格局由此形成, 成为审计合谋的主要条件之一。内部控制鉴证报告进一步明确了管理层的责任, 内部控制信息强制性披露也是对中小股东的保护, 在很大程度上保证了中小股东的知情权。

2.内部审计职能的发挥。

国有企业的内部审计部门, 绝大多数由总经理领导, 而非董事会审计委员会内部审计部门这样一种层级结构, 其独立性可想而知, 它是为管理层服务的, 而不是为股东服务的。他们的职责更多的是防止内部小人物违反公司规定行为的发生。对于企业的高层的不当行为, 他们往往视而不见。缺乏内部审计的有效控制。

内部审计是内部控制不可或缺的重要组成部分。内部控制的规范也就是内部审计的规范, 给内部审计人员客观公正的处理相关违规事项创造环境, 保证内部审计发挥监督和鉴证传统职能的同时, 发挥评价职能、保证职能和咨询职能, 真正成为董事会下设的“智囊团”。

3.削弱盈余管理。

管理层业绩考核往往以公司盈利能力指标作为标杆尺度, 于是高管们唯利润马首是瞻。可是, 总有一些公司的业绩不理想, 甚至亏损。于是, 便产生“有了业绩, 夸大业绩;没有业绩, 制造业绩, 甚至也要制造大业绩”的现象。配套指引要求责任方对内部控制进行自我评价, 同时要求内部控制鉴证报告强制披露有利于进一步规范内部控制, 实现职责全之间的牵制, 及时发现内部控制中的重大缺陷, 以保证在与财务报告相关的内部控制鉴证真实合理的基础上的财务报表审计数字的真实可靠, 消除盈余管理现象或将其降至低水平。

内部控制鉴证报告 第3篇

1949年, 美国注册会计师协会为确保现代会计制度和公司经营规范能够有效地指导公司建设运行, 对于内部控制给出定义:“内部控制是企业为了保证财产的安全完整, 检查会计资料的准确性和可靠性, 提高企业的经营效率以及促进企业贯彻既定的经营方针, 所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”时至今日, 内部控制在现代企业运行中是发挥重要作用的、必不可少的一部分。

我国自1978年实施改革开放以来, 内地资本市场逐步对外开放, 现代公司制度也在大陆渐渐得到普及。2006年, 上交所、深交所发布《上市公司内部控制指引》, 要求上市公司披露董事会关于公司内部控制自评估报告和会计师事务所出具的鉴证报告;2008年6月, 国务院5部门联合发布《企业内部控制基本规范》, 要求上市公司对内部控制的有效性进行自我评价, 聘请有资质的中介机构对内部控制的有效性进行审计, 并披露自评报告和审计报告;2009年7月, 《企业内部控制应用指引》开始实施, 至此我国的内部控制规范建设才进入系统化的阶段。2011年是我国内部控制审计元年。2011年, 新华制药成为我国首家被出具了否定意见的内部控制审计报告的上市公司, 为我们提供了一个非常好的研究样本来研究中国资本市场内部控制披露对市场的影响, 指导我们完善内部控制制度规范。

本文主要关注的问题有: (1) 内部控制缺陷的披露带给市场怎样的影响; (2) 什么原因造成了不同市场反应不同。

2 文献综述

目前多数文献研究都将研究的重点放在了内部控制的理论体系完善和增加可行性方面。风险管理整合框架被公认为是内部控制理论研究发展的最高成就, 可雷曼、美林等公司在金融危机中破产或被收购的命运, 让人不得不怀疑所谓的“健全的内部控制制度”到底能为公司规避风险起到多大的作用。

朱荣恩 (2008) 认为, 财政部借鉴全美反舞弊财务报告委员会 (简称COSO) 2004年发布的《企业风险管理——整合框架》并结合我国国情、联合其他五部门颁布的《企业内部控制基本规范》 (简称《基本规范》) 与现行会计准则相比, 更多的是理念、要素和框架等较为抽象的概念, 存在实施和评价难度偏大的缺陷, 这一方面给企业带来了规避不利于掌权者规定的机会, 另一方面也给负责内部控制审计的会计师事务所提出了难题。

在张先治看来, 要落实《基本规范》, 重点在于建立起科学有效的内部控制评价体系。在科学有效的企业内部控制评价系统下, 各个关联方、尤其是监管部门能够较好地掌握我国企业内部控制的总体运行质量, 掌握和分析我国企业内部控制制度建设和运行中存在的问题, 并针对这些问题采取切实有效的措施, 最终达到提高公司运营质量和经营业绩, 保护投资者利益, 减少企业破产倒闭、违法违规等现象的目的。

有了内部控制评价体系后, 就可以开始比对标准识别和认定内部控制缺陷。目前学界关于内部控制缺陷的研究主要集中于这四个方面:影响内部控制缺陷披露的主要因素 (Doy le, Ge和Mc Vay, 2007;Hollis等, 2007;林斌和饶静, 2009) ;内部控制缺陷披露与公司财务报告质量的关系 (AshbaughSkaife, Collins, Kinney和La Fond, 2008;杨有红和毛新述, 2009) ;内部控制缺陷与公司筹资成本和股东财富分配的关系;披露内部控制缺陷的公司与不披露内部控制缺陷的公司在某些特征上 (如企业规模、复杂程度、存在年限、成长性等特征) 的差异 (杨有红和陈陵云, 2009;Jeffrey等, 2007) 。

在少数研究内部控制披露与市场反应的文献中, 方红星 (2010) 认为交叉上市的公司能够收到更严格的市场监管和外部审计监督;但境内投资者吸收与内部控制制度相关的信息的时间略滞后于海外投资者。

3 案例背景回顾

新华制药位于山东淄博, 原山东新华制药厂, 是国内重点骨干大型制药公司。1993年, 由山东新华制药厂独家发起, 采取定向募集方式成立公司。1996年底在香港联合交易所上市, 1997年发行A股。

2011年3月23日, 新华制药披露了公司董事会关于公司内部控制制度的自评报告, 董事会确认内部控制制度在客户授信方面存在一项重大缺陷, 当年公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。同日, 新华制药聘请的外部审计师信永中和会计师事务所披露了新华制药2011年度的内部控制鉴证报告和年报审计报告, 其中内部控制鉴证报告给出了否定意见。信永中和指出, 新华制药内部控制制度存在两个重大缺陷:第一, 新华制药子公司山东新华医药贸易有限公司 (以下简称“医贸公司”) 内部控制制度对于多头授信没有明确规定, 导致医贸公司的鲁中分公司、工业销售部门、商业销售部门分别向同一客户授权信用额度, 致使最终总授信额度过大。第二, 医贸公司内部控制制度规定, 对客户授信额度不得大于客户注册资本, 但在实际执行中, 医贸公司对部分客户的授信额度超过了客户的注册资本, 同时医贸公司在日常经营中还发生了向客户未授信先发货的情况。这两个重大缺陷使得新华制药公司对山东欣康祺医药有限公司 (以下简称“欣康祺医药”) 及预期存在担保关系方形成了大额应收账款6073万元;2011年底, 欣康祺医药因涉嫌卷入非法吸收公众存款案被公安机关立案侦查, 导致经营困难资金链断裂, 可能使新华制药遭受较大的经济损失。2011年3月30日, 中注协发布了上市公司2011年年报审计情况快报, 在更大范围内引起公众对于这一份否定意见内部控制鉴证报告的关注。

4 研究设计

为了更深入地研究新华制药内部控制否定意见案例, 本文选取了2010年下半年至2011年底的交易数据进行实证分析, 并根据事件发生的近程设置了2个事项日, 分别是披露自评报告、内部控制鉴证报告和年报审计报告的“报告披露”事项日 (2011年3月23日) 和引起公众注意力的“中注协披露”事项日 (2011年3月30日) 。考虑到市场吸收自评报告及中注协披露的消息并给出反应需要一定的时间, 需要在每个事项日前后给出相应的时间窗口以修正研究结果。第一个事项日的时间窗口为区间2011年3月16日至2011年3月30日之间的所有交易数据;第二个事项日的时间窗口为区间2011年3月30日至2011年4月21日之间的所有交易数据。

注:本文中研究使用的A股数据主要在CSMAR数据库中收集, H股数据主要在巨灵金融平台上收集

5 事项研究结果

两个事项日时间窗口内个股与市场涨跌幅分别在表2、表3中给出了具体数据。根据前文所述的计算步骤, 制作出两个事项日时间窗口的CAR变化图 (见图1、图2) 。

由图2我们可以看出, 新华制药在中注协披露其内部控制审计意见为否定意见以后, A股和H股的都出现了下降, 其中H股的下降的幅度比A股要更大。但在一个星期左右的时间以后, A股和H股的都回到了正常水平;在此后的一段时间内, A股和H股都高于正常水平并持续升高, 这主要是受到A股对H股折价变化、溢价指数不断上涨导致个股上涨的干扰。这也说明了上市公司的年报所披露的信息包括公司经营与管理的方方面面, 而内部控制只是公司日常经营管理的一部分, 投资者通常会更为关注公司的经营业绩, 公司业绩相比内部控制制度的相关信息更能对投资者造成影响。

6 市场反应不同的原因探讨

6.1 供求关系影响

供求关系是影响价格的基础因素之一, 同时也联系了替代品之间与互补品之间的价格牵制。两地资本市场供求关系的不同, 对于两地市场反应的不同可以给出一定的解释。

我国A股市场自1990年上海证券交易所开业至今25年。资本市场建立的晚, 好处是可以借鉴资本市场已经发展成熟的国家在发展过程中的经验, 坏处是在市场发展初期一定时间内引发了资本市场供给量小于社会对资本需求量的矛盾。A股市场长期存在供不应求的情况, 推动股价不断走高, 多次导致因价格过高失去基本面支撑而暴跌。对于大陆的投资者、尤其是个人投资者而言, 资本市场上的投资选择受到较多限制。一方面, 投资者主要还是在银行存款和股票市场中进行投资, 近几年兴起的理财产品、信托产品虽然吸引了不少的投资资金, 但是受经济下行影响、风险问题及产品发售门槛的限制, 分流的资金规模有限;另一方面, A股市场企业上市需要经过核准, 向海外投资需要经过外汇管制的限制, 种种原因造成了A股自身供给不足同时替代投资品短缺的局面。

反观香港股市, 继承于英国的资本市场建设理念以及长期的经营积淀为香港建立成熟完善的股票市场体系提供了坚实的基础, 香港股票市场可以说是世界上体系最完善的股票市场之一。港股供求关系相对稳定, 股价与企业经营状况关系较为密切。香港的投资者相比大陆投资者选择面也更为广泛, 美股、日股及各类基金债券等金融投资品选择丰富, 投资者不必面临被迫投资股市的局面, 他们可以选择收益较大的项目进行购买。当企业披露可能影响经营及股票收益的问题时, 投资者可以快速退出并选择其他收益更高更稳定的项目, 导致香港资本市场供给并不紧张, 股市价格弹性较大。

6.2 信息不对称影响

为了保证投资者的权益, 监管层对于上市公司都有相应的信息披露要求, 确保投资者能够了解企业具体的经营情况。但, 一方面信息100%透明的完全竞争市场在现实中不存在, 另一方面存在对未来交易走势判断不一致的交易双方是维持市场流动性的必要条件之一。投资者无法完全掌握企业及其竞争者的经营状况, 投资者之间存在信息不对称的情况。这种信息不对称会钝化投资者对于企业经营状况的变化做出反应的速度, 甚至在不知情的情况下对企业的重大变动毫无反应。

A股市场虽然建立起了初步的市场体系, 但在许多细节方面尚存在漏洞。大多数上市公司只披露了自己的年度报表, 对于自身的内部控制状态、公司治理结构、董事会报告、监事会报告和重要事项报告等信息都只是部分披露, 甚至还有少数公司全不披露。除了上市公司不情不愿的披露状态, 投资者由于相关投资知识和经验的缺乏, 单纯关注于公司年报的业绩, 忽视其他经营状况的报告, 使得市场对于内部控制鉴证报告的否定意见反应微弱, 这在一定程度上也纵容了企业不披露除年度报表外其他报告的行为。当威胁公司继续经营的潜在因素存在时, 这种忽视容易导致对投资者投资本金的重大损失。相比而言, 香港的投资者专业知识水平更高, 长久的资本市场投资经验使得他们明白公司非财务信息的重要性, 对于公司经营业绩以外的其他对公司经营可以产生重大影响的因素也较为关注。因而当否定意见披露时, 市场反应较为迅速明显。两相对比一下, 增强我国股票市场投资者教育显得非常重要。

6.3 监管影响

2011年是我国股票市场第一个强制要求披露内部控制鉴证报告的年份, 而新华制药是第一批被要求强制披露的上市公司之一, 这也是此次否定意见产生的重要外部因素之一。A股市场不断完善的监管体系使得上市公司被强制披露越来越多的财务及非财务信息, 有了好的制度还需要按章执行。相比美国第一年强制执行内部控制审计时40%的不合格率, 我国A股市场仅有新华制药一家被出具了否定意见, 这一鲜明的对比不禁让人要对其他的标准无保留意见打上问号:美国的股票市场运作经验比我们丰富, 运作时间比我们要长, 尚且那么多不合格, 我们的这些报告有没有水分?监管是否落实到位了?不到位的监管会加重投资者的不信任, 使得他们对于这些非财务信息存有怀疑, 延缓他们做出反应的速度, 降低他们做出正确反应的可能性。

香港股市的监管情况与美国市场类似, 经历长期的运作后市场积累了丰富的经验, 对于发生的各种问题也都建立了对应的措施。企业、外部审计师、市场各方都在相对完善的体系下自觉遵守, 而对于一些有违规行为的企业, 监管机构也都从严从速进行处罚以争取尽快消除负面影响, 恢复市场秩序。整个市场已经建立了良好的运行体系, 投资者对于相关报告和披露信息都较为信任, 并能对这些信息做出及时反应。

7 初步结论与局限

本文通过对我国第一例内部控制审计得到否定意见所造成的在A股和H股两个市场的市场反应进行观察分析, 并对引发两个市场不同反应的原因进行探讨, 得出了以下几点初步结论:第一, 市场对于否定意见的披露有一定反应, 其中H股反应较为明显与快速, A股市场反应较慢且反应较小;第二, 两地股票市场不同的供求环境、不同的信息环境及不同的监管环境导致了两地市场反应不同这一情况的发生。

本文的主要局限在于:研究分析主要局限于新华制药这一案例公司, 难以代表整个行业和市场的实际情况;我国资本市场发展历史较短, 同时内部控制的市场规范还存在一定的不足之处, 这第一个内部控制否定意见案例偶然性更大, 无法有效地发现必然性的规律。

参考文献

[1]杨有红, 李宇立.内部控制缺陷的识别、认定与报告[J].会计研究, 2011 (3) .

[2]张先治, 戴文涛.中国企业内部控制评价系统研究[J].审计研究, 2011 (1) .

[3]刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究, 2010 (5) .

[4]林斌, 饶静.上市公司为什么资源披露内部控制鉴证报告?——基于信号传递理论的实证研究[J].会计研究, 2009 (2) .

[5]方红星, 孙.交叉上市公司内部控制缺陷披露的影响因素与市场反应——基于兖州煤业的案例研究[J].上海立信会计学院学报, 2010 (1) .

[6]李少轩, 张瑞丽.上市公司内部控制信息披露影响因素研究——基于沪深上市公司的实证分析[J]财会通讯, 2009 (3) .

[7]刘亚莉, 马晓燕, 胡志颖.上市公司内部控制缺陷的披露:基于治理特征的研究[J].审计与经济研究, 2011 (5) .

[8]齐堡垒, 田高良.财务报告内部控制缺陷披露影响因素研究[J].山西财经大学学报, 2010 (4) .

[9]Michael C.Jensen.1993.The Modern Industrial Revolution, Exit, and the Failure of Internal Control Systems[J].The Journal of Finance, (7) .

我国内部控制鉴证业务 第4篇

一、内部控制鉴证的目标

SOX法案第404条中规定:担任公司年报审计的会计公司应当就管理层对其内部控制的评估进行测试和评价, 并出具评价报告。2007年5月, 美国PCAOB发布的第5号审计准则明确规定, 审计师在财务报告内部控制审计中的目标是对公司财务报告内部控制的有效性发表意见。

可以看出, 如果要实现上述目标, 需要两步完成:1、企业管理当局必须对企业的财务报告内部控制进行评估、得出结论并发表声明;2、注册会计师就管理当局对内部控制有效性的评估是否公允作出评价并发表独立意见。

在这里值得我们注意的是, 应明确区分“内部控制”与“管理层对财务报告内部控制的评估报告”这两个概念。根据PCAOB的规定, 注册会计师是对后者进行鉴证服务, 而不是针对前者。注册会计师对后者出具无保留意见, 并不代表该企业的财务报告内部控制是完美无缺的。在基于责任方认定的鉴证业务中, 若企业管理层出具的内部控制自我评价报告中充分披露出该企业内控中存在的问题时, 注册会计师就可以出具积极意见。

在内部控制鉴证业务的对象选择问题上, PCAOB选择了“管理层对财务报告内部控制的评估报告”。2001年10月, 中国证监会又发布了《关于做好证券公司内部控制评审工作的通知》 (以下简称为“《通知》”) 和最新《指引》对内部控制目标的界定。《通知》第1条要求:“证券公司应当根据《证券公司内部控制指引》及公司自身的业务情况、财务状况和管理水平, 加强内部控制的稽核、检查与完善, 聘请有证券执业资格的会计师事务所对公司内部控制进行评审, 以防范风险并促进公司内部控制水平的提高。”可见, 《通知》对证券公司内部控制鉴证的对象定位于“证券公司的内部控制”, 这就决定了其鉴证的内容包括但不限于:合规经营、公司治理、环境控制、业务控制、财务控制、资金控制以及电子信息系统控制等。而根据《指引》第2条:“本指引所称企业内部控制鉴证, 是指会计师事务所接受委托, 对企业内部控制的有效性进行鉴证, 并发表鉴证意见。”显然, 《通知》和《指引》采用的是“内部控制”。

下面用具体案例来讨论内部控制的鉴证基础和鉴证范围这两个问题, 并探讨我国内部控制鉴证业务中存在的问题。

二、内部控制的鉴证基础和鉴证范围

(一) 基于责任方认定的鉴证业务还是直接报告鉴证业务。

在搜集关于内部控制鉴证报告的过程中, 发现绝大多数企业的内部控制鉴证 (或审核) 业务尚处于对“管理层对财务报告内部控制的评估报告”进行鉴证的阶段。

大多数内部控制鉴证报告在鉴证结论段中说明:“我们认为, **公司按照《企业内部控制基本规范》及相关规定于2009年12月31日在所有重大方面保持了有效的内部控制。”但用友软件股份有限公司 (600588) 的2008年财务报表中披露的内部控制制度报告 (安永华明 (2009) 专字第60469423_A02号) , 与其他大多数企业的阐述有所不同。

值得我们注意的有以下几点:

第一, 报告引言段明确表示:“注册会计师的研究和评价是在《中国注册会计师审计准则》的基础上, 结合注册会计师的财务报表审计目的而进行的, 而不是对内部控制的专门审核, 并不是专为发现内部控制缺陷、欺诈及舞弊而进行的。”

第二, 结论段:“我们阅读了由贵公司管理层编写并后附的用友软件股份有限公司内部控制自查报告。根据我们的研究和评价, 我们未发现贵公司编写的并后附的用友软件股份有限公司内部控制自查报告中与财务报表编制相关的内容与我们对贵公司和贵集团就上述财务报表的审计发现存在重大的不一致。”

第三, 追加了“对公司的改进建议”, 包括“收入分类不明确;同一客户下涉及多个合同的收入无法区别;缺乏不相容职务充分的职责分工;未严格执行审批程序;人员入职、转正审批程序未严格执行, 缺少书面记录;发出商品确认收入问题;银行余额调节表信息不完整;应收账款和预收账款的账务处理;费用和成本明细分类的核算不准确;公司内部关联方交易定价问题;经营性借款问题”等与财务报表相关的内部控制。

从上述几点内容可以得知, 注册会计师认为用友软件股份有限公司的内部控制制度 (至少是与财务报表相关的内控) 的运营是存在问题的, 但针对该公司内部控制自查报告所出具的意见是无保留意见, 只是在意见的表达上采用了消极肯定的形式。

出现这种情况, 恰恰是因为内部控制鉴证的目标与内部控制的目标不一致导致的。根据《内部控制基本规范》 (2008) 总则第三条的规定, 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整, 提高经营效率和效果, 促进企业实现发展战略。而目前我国上市公司内控鉴证业务的目标都局限在对“管理层对财务报告内部控制的评估报告”进行审核的范畴内。这种情况导致注册会计师对“自我评估报告”和“内部控制”本身出具两种不同意见的情况。

(二) 内部控制鉴证应确定的范围。

注册会计师对内部控制进行审计时, 究竟是对企业所有的内部控制都进行审计, 还是仅审计与财务报告相关的内部控制?对此, 美国SOA 103的规定是, 注册会计师是对与财务报告相关的内部控制进行审计, 根据该法案制定的PCAOB AS2/AS5均采用这一观点。

我国《指引》第二条中提出:“本指引所称企业内部控制鉴证, 是指会计师事务所接受委托, 对企业与财务报告相关的内部控制进行鉴证, 并发表鉴证意见。”

但是, 值得我们注意的是, 在《指引》的鉴证报告中, 大多数上市公司的内部控制鉴证报告都存在分歧。引言段表述为:“对后附的贵公司管理层在XXXX年XX月XX日作出的内部控制有效性的评估报告进行了鉴证”;在意见段表述为:“贵公司按照《企业内部控制基本规范》及相关规范于XXXX年XX月XX日在所有重大方面保持了有效的内部控制”。也就是说, 报告格式所表述的鉴证内容与《指引》对“内部控制鉴证”的定义存在明显分歧。

从监管部门角度来讲, 目前更多地关注于会计信息的可靠性, 并且对企业所有的内部控制进行审计, 将导致企业所需要负担的审计成本过高。因此, 对与财务报告相关的内部控制强制进行审计可能是一种较为务实的做法。但是, 在确定内部控制审计 (评价) 范围时, 有这样几点值得考虑:

第一, 建立并维持有效的内部控制 (不仅仅是财务报告内部控制) 是管理层的义务, 股东以及其他的利益相关者有权知道企业内部控制的有效性, 注册会计师对企业内部控制或管理层自我评估进行审计, 是保障有关利益相关者上述权利的重要手段。

第二, 在现实中, 一些企业可能会存在对所有内部控制进行全面的诊断 (包括自我评估和外部审计) , 以发现存在的内部控制缺陷并加以改进, 从而提高企业运营效率, 减少舞弊, 这是出于自发性需求的目的。如果将审计的范围仅仅限定于财务报告内部控制, 将使审计的目的限定于法定义务而忽视了企业自身强化内部控制的需要 (如大股东、董事会可能会存在这样的需求) 。

第三, 从业务推行的角度来说, 企业对于仅针对与财务报告相关的内部控制进行的评价或审计动力可能并不是很强, 甚至会遭到企业的抵制或敷衍应付, 因为这对于企业的直接效益作用并不明显;相反, 注册会计师利用自身的专业特长, 从诊断企业内部控制存在的缺陷, 以加强内部管理、提升效率的角度出发, 对企业所有业务环节的内部控制进行评价, 并提出改进意见, 实际上相当于注册会计师为企业提供了高质量的管理咨询服务, 可能更容易为企业所接受。尽管在刚开始的时候, 企业需要支付更高的费用给事务所。

第四, 企业是一个整体, 在这一整体中, 每一环节对另外的环节都会产生或多或少的影响, 要想准确地划分哪些内部控制属于财务报告内部控制并非一件容易的事情。

总之, 应当允许 (或者说鼓励) 企业自行选择对所有内部控制进行自我评估并接受注册会计师的审计, 但考虑到不同企业对此项业务需求的差异以及企业的负担, 在目前的条件下, 这不应当成为强制性的规定, 而只应当由企业自愿选择进行, 以避免政府管制过度而对企业造成过重的负担。

三、结语

内部控制鉴证业务, 是基于责任方认定的鉴证业务还是直接报告鉴证业务、内部控制鉴证应确定的范围等问题是业内一直争议的焦点问题。这些问题的实质是注册会计师行业的胜任能力和承担风险能力与证监会等监管部门为代表的市场需求间的差距。

与2002年制定《指导意见》时相比较, 我国注册会计师行业执业环境以及全行业的专业胜任能力确实有所改善, 但以我国注册会计师行业目前的执业水平而言, 仍然不足以达到《基本规范》所要求的水准, 如没有其他的制度或法律层面的免责安排, 注册会计师内部控制鉴证业务的执业风险极大。

另外, 我们要充分应用经济学中降低生产成本的理论, 只要实现内部控制鉴证人员的批量生产, 建设内部控制相关专业化队伍的话, 扩大鉴证范围后引起的成本过大问题就可以解决了。

参考文献

[1]财政部等五部委.企业内部控制基本规范.2008.6.

[2]财政部等五部委.企业内部控制配套指引.2010.4.26.

[3]日本企业会计审议会.李玉环译.日本内部控制评价与审计准则.大连:东北财经大学出版社, 2007.

[4]谭宪才, 谢刚.我国内部控制鉴证业务的发展及思考.中国总会计师, 2009.3.

内部控制评价鉴证实施效果分析 第5篇

一、内部控制规范体系的实施效果

2011年，上海证券交易所和深圳证券交易所都要求上市公司在披露年度报告的同时在指定网站以单独报告的形式披露内部控制自我评价报告和会计师事务所出具的内部控制审计报告，这种报告方式减少了内部控制信息的披露对年度财务报告信息的影响。

1.内部控制自我评价报告的披露情况。截至2012年4月30日，沪市上市公司近半数共427家公司披露了管理层的内部控制评价报告，其中，只有一家上市公司披露了一个内部控制重大缺陷，认为其内部控制无效。

深圳主板上市的473家公司全部披露了公司管理层的内部控制评价报告，一家公司(新华制药)报告了内部控制重大缺陷，其余公司的内部控制评价结论主要包括三种情况：(1)公司的内部控制有效。(2)认为公司的内部控制较为完整、合理、有效。(3)含糊其辞，在内部控制评价报告中对内部控制是否有效没有做出明确结论。其中，第二、三种情况的公司有180多家，占深市上市公司的40%。有的公司则偷换概念，在内部控制评价报告中采用了“未发现公司存在内部控制重大缺陷”的评价结论，而按照企业内部控制配套指引，当上市公司不存在内部控制重大缺陷时，才可以得出公司在所有重大方面保持了有效的财务报告内部控制的结论。

以上分析表明，上市公司内部控制信息披露有掩盖缺陷之嫌，管理层的内部控制评价报告还有待做出统一的规范。

2.内部控制审计报告的披露情况。沪市共有139家公司、深市(包括主板、中小板以及三板市场)有99家公司披露了内部控制审计报告，其中有4家公司被会计师事务所出具了非标准的内部控制审计报告包括1份否定意见(新华制药)和3份带强调事项段的内部控制审计报告。另外沪市还有98家公司、深市(包括主板、中小板以及三板市场)有595家公司披露了内部控制鉴证报告，除两家公司获得带强调事项段的内部控制鉴证报告外，其余公司都被注册会计师出具了标准的内部控制鉴证报告。

总体而言，2011年上市公司的内部控制信息披露质量偏低，难以提供有价值的信息，且内部控制评价报告和内部控制审计报告都对内部控制重大缺陷的披露比例过低，沪深两市主板只有两家公司披露了内部控制重大缺陷，不符合国内上市公司内部控制质量的现状。

二、内部控制重大缺陷披露比例过低的原因

1.上市公司以及会计师事务所没有发现现存的内部控制缺陷，或上市公司不愿披露重大缺陷以避免给公司带来不利影响。一方面，2011年是企业内部控制评价与审计强制性实施的第一年，注册会计师实施内部控制审计的经验不足，并且对内部控制设计和运行的有效性评价是复杂的工作，如果没有财务报告出现重大错报的证据，作为专业人士的注册会计师也难以识别公司的内部控制缺陷(Kinny等，2010)。另一方面，当公司存在内部控制重大缺陷时，内部控制无效，公司财务报告存在重大错报的风险就高，相关披露会给公司带来消极影响，已有研究发现当披露公司的内部控制存在重大缺陷时，会引起公司股价的下跌以及更高的资本成本(Hammersley等，2008;Ashbaugh-Skaife等，2009)，因此上市公司管理层在内部控制自我评价报告中不愿意披露重大缺陷，也不愿注册会计师出具非标准的内部控制审计报告。当前我国的审计市场不规范，竞争激烈，会计师事务所处于相对被动的地位，因此会为了维持或扩大市场份额而为公司出具标准的内部控制审计意见以迎合上市公司的要求。

2.内部控制重大缺陷的认定缺少合理的标准。而目前内部控制重大缺陷的认定是国际性的难题，财务报告内部控制缺陷的认定既要有定性的考虑也要有定量的标准(考虑该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小)，美国在实施内部控制审计的过程中没有直接对内部控制缺陷的认定做出金额或比例上的规定。日本企业会计委员会(Business Accounting Council)于2007年2月正式发布的《财务报告内部控制的评价与审计准则》规定，以控制缺陷可能导致的财务错报超过合并税前收益的5%作为重大缺陷的认定标准。

目前国内企业对于重大缺陷的定量认定主要采用绝对金额法或相对比例法，具体比例和金额由企业自己在合理的基础上确定。以沪市为例，披露管理层内部控制评价报告的公司中有62家披露了内部控制缺陷的认定标准，多以收入、资产、所有者权益以及利润的一定比例为认定依据，各个标准差异显著，如有的公司以缺陷可能导致的财务报表错报超过100万元为公司内部控制重大缺陷的认定标准，还有公司是以财务报表错报超过几千万元为内部控制重大缺陷的认定标准。当设定的内部控制重大缺陷认定标准过低时，影响了公司管理层及会计师事务所对公司是否存在内部控制重大缺陷做出正确的判断。上市公司往往也会按利己的原则设定认定标准，由此，应该作为重大缺陷报告的内部控制缺陷则会在上市公司管理层的操纵下成为公司的一般或重要缺陷。

三、完善内部控制规范体系，切实提高上市公司内部控制质量

1.探索制定相对统一、合理的内部控制重大缺陷认定标准，为上市公司和注册会计师提供参考。理论上讲，因为重大缺陷的确定随公司的环境和业务性质不同，重大缺陷的认定标准不应统一。但监管层目前实行的这种原则式的规范思路，由企业选择和判断自己的内部控制重大缺陷标准，缺少具体的定量化或定性化标准，产生的后果就是增加了企业的利己主义倾向，造成企业的内部控制建设和信息披露流于形式(王惠芳，2011)。吴秋生、杨瑞平(2011)提出，管理层的内部控制评价与注册会计师的内部控制审计工作应该整合。当对同一家公司的内部控制是否有效进行测试和评价时，管理层和注册会计师对内部控制重大缺陷的认定应该是一致的，统一的参考标准有利于双方之间的协调。

实践中较多公司以利润总额的相对比例作为内部控制重大缺陷的认定标准，笔者认为，以利润作为衡量内部控制重大缺陷的认定标准存在的明显问题在于，在公司发生损失或利润金额很低时，用税前利润的一定比例作为认定标准无法衡量。另一方面，行业相近、规模相同的上市公司可能会因为效益的差别导致内部控制重大缺陷的认定标准出现显著差异，同一公司内部控制重大缺陷的认定标准也会因年度收益之间的差别出现较大波动，相对而言，以净资产等指标的相对比例作为认定标准，既考虑了公司的不同规模，又保持了同一公司认定标准的稳定，有相对的合理性。

2.加强内部控制信息披露监管，全面推动内部控制审计的有效实施。在管理层提交的内部控制自我评价报告中，为数不少的公司自述发现了内部控制重要缺陷和一般缺陷，并进行了改正，内部控制规范体系的初步实施取得了一定的效果。但上市公司和注册会计师很少披露内部控制重大缺陷，监管部门应该加强内部控制信息披露的监管，加大处罚力度，规范内部控制评价报告的披露。当注册会计师面临的诉讼、处罚风险较大时，会在审计风险与收益的博弈中选择报告真实的内部控制信息。内部控制审计作为独立第三方的鉴证，成为《企业内部控制应用指引》、《企业内部控制评价指引》在企业中贯彻实施的重要保证。理论上讲，除与重大错报风险相关的控制外，注册会计师无需每一年度对所有控制进行相同程度的测试。美国的内部控制审计准则第5号提出的风险导向、自上而下的内部控制审计方法也使得上市公司内部控制审计费用下降。如对于2004年首次进行内部控制审计的加速公司，首轮审计费用增加了97%，而在2008年经历首轮内部控制审计的非加速公司的审计费用只增加了55%(kinney等，2011)。因此，曾颇受争议的审计费用的增加已经不再成为制约内部控制审计发展的瓶颈。

随着监管的加强，内部控制审计业务的规范以及注册会计师对内部控制审计业务的进一步熟悉，作为独立第三方的注册会计师对于揭示上市公司内部控制缺陷、提高内部控制质量将起到更大的作用。2011年，被注册会计师出具否定意见内部控制审计报告的新华制药因内部控制重大缺陷的存在给公司造成了巨大的财产损失，这个案例告诉我们，有效的内部控制不仅能够为上市公司提供可靠的财务报告提供合理保证，如果注册会计师的内部控制审计工作能有效发挥作用，提早发现上市公司内部控制的重大漏洞，也可以避免上市公司的巨额损失。

参考文献

[1].Ashbaugh-Skaife,Hollis,Collins,Daniel W.,Kinney,William R..The Effect of SOX Internal Control Deficiencies on Firm Risk and Cost of Equity.Journal of Accounting Research,2009;47

[2].王惠芳.内部控制缺陷认定:现状、困境及基本框架重构.会计研究,2011;8

内部控制鉴证报告 第6篇

2010年4月26日, 财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等在内的20个企业内部控制配套指引, 这标志着我国的内部控制制度建设又向前迈进了一步。然而, 现实中审计师如何开展内部控制鉴证业务, 仍是一个值得深入探讨的问题。本文结合内部控制产生的机制来分析内部控制鉴证业务的定位。

2 内部控制的产生机制分析

根据华盛顿大学经济系教授巴泽尔 (1997) 所述, 由于一项资产可以有许多属性 (有用性或潜在有用性) , 并且这些属性完全由一个人占有往往不是最有效率的产权安排, 所以一项资产的所有权往往被分割给若干技能各异的个人。当所有权在人与人之间分割时, 对于未定价的属性, 在某种程度上就成为了共同财产。容易产生严重共同财产问题的属性往往由组织所有, 以对这些问题加以控制, 那么由某一集权的组织所拥有, 这种组织就可以称为企业, 它是因控制共同财产问题而产生的。因此, 从这个角度来看, 企业与生俱来, 就是为了控制而形成的组织, 内部控制是为解决共同财产问题而设计和实施的过程。

企业是一个由多项资产构成的复杂组织体, 各项资产的物理特性不同, 所具有的属性也不同, 关系到的控制共同财产问题的难易程度各不相同。因此内部控制涉及的范围广, 种类各异, 而且是一个动态的反馈过程。内部控制的目标, 以财务报告的可靠性为基础, 核心是提高经营管理的效率和效果, 以实现战略目标。

3 内部控制鉴证业务的产生

鉴证服务是审计师审计服务的延伸和发展。其产生是审计服务自身内在的扩张动力和外部环境变化共同作用的结果。社会环境的迅速变化改变决策者对信息来源和信息质量的需要。满足预期使用者需求是注册会计师鉴证业务出现、发展的动因所在。因此, 鉴证业务是“使用者导向”的一种服务, 体现的是“着眼于用户”的理念。预期使用者具有重要地位。预期使用者之所以需要注册会计师提供鉴证服务, 主要原因在于鉴证服务所提供的信息可降低信息风险, 从而对决策有用。

会计信息 (历史的、财务的、交易的信息) 再也不是唯一的商业语言, 许多非财务信息正变得对商业决策越来越重要。而内部控制, 其对于企业的战略实现、经营效率与效果、资产安全与完整、法律法规的遵守和财务报告的可靠性均有着重要的作用。近年来频频出现的财务舞弊案件和财务丑闻, 让公众投资者对于财务报告审计的可靠性以及注册师会计师都提出质疑。因而, 通过对内部控制的有效性进行鉴证, 对于降低信息风险, 满足预期使用者的决策需求有着重要的意义。

4 内部控制鉴证业务的定位

4.1 直接报告和基于责任方认定

直接报告或基于责任方认定是根据审计师提出结论的对象不同而区别的。在基于责任方认定的业务中, 审计师或针对责任方认定提出结论, 或直接针对鉴证对象提出结论, 无论采取何种方式, 预期使用者都可以获取责任方认定。直接报告是指审计师直接对鉴证对象进行评价或计量, 或者从责任方获取对鉴证对象评价或计量的认定, 但该认定无法被预期使用者获取。这两种不同方式将产生不同的效果。

首先, 从鉴证对象来看, 内部控制是一种非财务信息。对于这类非财务信息, 没有直接的、客观的像具体财务数据那样清晰的体现, 而对其进行评价, 更加具有主观性。不同的评价人, 不同的评价角度, 尽管应用相同的标准, 得出的结果也可能不同。如果审计师直接对内部控制进行评价报告, 不能通过两种的不同评价情况去相互印证, 可能会丧失一部分有用信息。另外, 我们还没有一个统一的关于内部控制有效性的评价标准, 而内部控制存在于企业日常经营过程中, 是个连续不间断的过程, 剔除企业人为操纵的因素, 企业能做出一个相对全面的内部控制评价。而在企业评价的基础上, 再次进行评价, 能够进一步提高其信息的可信度。

其次, 从鉴证责任人来看, 一方面, 注册会计师对于全面内部控制的专业能力和经验还有待于提高, 难免有失偏颇, 不全面。另一方面, 作为外部观察者, 不能持续有效地观测到内部控制的实施情况, 仅能通过询问、重新执行、穿行测试等手段和方法来识别, 这样由其直接鉴证内部控制的有效与否, 未必全面、客观, 鉴证信息可信度较低, 不能满足预期使用者的决策需求。

再有, 从责任方的责任角度考虑, 基于责任方认定的鉴证业务, 责任方除了对鉴证对象负责之外, 同时也要对鉴证对象信息负责。这样的双重负责, 可增加责任方的责任度, 使其对承诺事项更加负责。

因此, 对于内部控制鉴证报告, 在财务报告有效性鉴证的基础上, 再提供基于责任方的全面内部控制评价报告是相对理想的选择。

4.2 有限保证和合理保证

鉴证业务按其提供的保证水平高低, 相应地被分为合理保证的鉴证业务和有限保证的鉴证业务。合理保证是一个与积累必要的证据相关的概念, 要求审计师通过不断修正的、系统的执业过程, 获取充分适当的证据, 对鉴证对象信息整体提出结论, 提供一种高水平但并非百分之百的保证。与合理保证相比, 有限保证在证据搜集程序的性质、时间、范围等方面受到有意的限制, 只提供一种适度水平的保证。合理保证和有限保证的确定在很大程度上取决于审计师的职业判断, 因为鉴证对象具有不同的特征, 可能表现为定性或定量、客观或主观、历史或预测、时点或时期;相应的适用的标准特征也不相同, 证据搜集程序也会在性质、时间、范围等方面完全不同, 可以获取的证据的数量和质量也不同。

首先, 从内部控制的目标来看, 我国企业内部控制基本规范 (2008) 把内部控制定义为:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整, 提高经营效率和效果, 促进企业实现发展战略。从内部控制鉴证目标的角度来看, 我们现阶段能实现的, 是为基于内部控制目标的财务报告可靠性鉴证业务提供合理保证。而对于为内部控制其他目标的有效性提供鉴证意见, 或者说鉴证整体内部控制目标的有效性, 应为有限保证业务或提供非鉴证业务服务。

其次, 从内部控制的范围角度来看, 内部控制按框架层次, 可划分为内部治理控制和内部管理控制。其中内部治理控制是内部控制的上层建筑, 以产权为基础, 主要是股东大会、董事会及其所属委员会、高级管理人员之间的控制。内部管理控制, 是企业内部控制的具体实施, 是日常生产经营活动的控制与约束, 对生产经营中各种资源进行监督和控制。如此广泛而紧密联系的内部控制, 大都是基于经营方面的, 让注册会计师提供全方位的合理保证, 将超出其能力和风险控制范围, 因此只能对与财务报告相关的内部控制提供合理保证。

第三, 从微观经济枢纽供求论角度来看, 均衡服务量是由其供给和需求共同决定。现实中, 预期使用者认为降低信息风险, 才对决策有用;而且, 由于鉴证结果的不可观察性和鉴证结果的异质性, 因而对鉴证业务提出了越来越高的要求。而从供给角度来看, 内部控制是对整个业务进行控制的动态过程, 企业对过程本身的认识和评价能力有待提高。另外出于对成本的考虑, 导致内部控制鉴证服务的供给相对于需求不足。因此, 两者更好的协调结果是充分发挥注册会计师对于财务报告审计业务的特长, 借鉴财务报告审计的经验, 对财务报告内部控制鉴证业务提供合理保证。长远来看, 待时机成熟之时, 可以为全方位的内部控制鉴证业务提供合理保证。

4.3 与财务报告整合业务和单独报告业务

内部控制鉴证业务是一项新的独立的业务, 具有旺盛的生命力, 对于注册会计师整体行业的繁荣和发展有着十分重要的作用。而且其渗入企业的全面经营管理之中, 责任重大, 意义深远。然而, 由于内部控制是一个动态的过程, 如果仅从内部控制这个过程而论目标的实现, 难免不客观, 失去了可靠性的基础来空谈结果是没有任何意义的。过程控制和结果控制是密不可分的。一个有效性的目标是由过程和结果两方面来保证的, 其实内部控制和财务报告就是过程控制和结果控制的完美体现。

其次, 从管理论的角度来看, 二者是相辅相成的, 二者结合才能产生全面而客观的效果。另外, 从鉴证业务的操作来说, 不可避免会涉及财务报告的审计, 而且财务报告审计中识别的相关风险、错报等通过实质性程序而得出的结果, 对于内部控制的有效性是非常有力的证明, 并将在实质上影响到内部控制有效性的结论。因此, 内部控制鉴证业务应该是基于财务报告的整合鉴证。

4.4 内部控制鉴证业务的时期和时点

从内部控制定义来看, 其核心是一个控制过程, 而这个过程存在于一个时期内, 因此具有期间特征。但就内部控制有效性来说, 是指效率和效果, 具有时点的特征。而且, 从为发表鉴证意见而取证的角度来看, 证据均是我们通过询问、观察、检查、重新执行、穿行测试所取得的, 一般具有时点的特征。无数个点的状态, 可以构成期间的特征。

内部控制鉴证业务为一个截至某一时点的内部控制的有效性提供鉴证意见, 而这个意见的形成, 是依赖于实施的测试需要涵盖足够长的期间来实现的。期间与时点相结合, 使实践中具备了可操作性, 符合成本效益原则。

另外, 这种截至某一时点的安排也与我们传统的财务报告审计相一致。财务报告也是内部控制最终结果的财务体现, 为了更好地执行内部控制鉴证业务, 时点的特征更具操作性。

最后, 从鉴证业务的风险来看, 时点的合理保证与时期的证据来源相结合, 有利于降低鉴证业务的风险, 从而不损失信息的有用性。从长期的连续内部控制审计来看, 各时点的状态连接起来, 可以构成一个较长期间的状态。每一个期间也是由不同的时点来构成的, 我们的证据收集过程也是由时点到期间。因此, 内部控制鉴证报告时点应与财务报告基准日一致。

摘要：本文基于经济学和相关的审计基础理论, 对内部控制鉴证业务的产生和定位进行分析, 研究结果表明:内部控制鉴证业务是审计服务自身内在的扩张动力和外部环境变化共同作用的结果。满足预期使用者的需求是业务产生和发展的主要动因, 而基于内部控制固有的特点和审计师的自身发展现状, 内部控制鉴证业务应是基于责任方认定、对于财务报告内部控制提供合理保证、整合审计的与财务报告基准日时点一致的鉴证业务。

关键词：内部控制,内部控制鉴证业务,责任方认定,合理保证

参考文献

[1][美]巴泽尔.产权的经济分析[M].费方域, 译.上海:上海人民出版社, 上海三联书店, 1997.

[2]刘明辉, 张宜霞.内部控制的经济学思考[J].会计研究, 2002 (8) .

[3]刘明辉, 张宜霞.内部控制的历史发展与理论拓展[M]//张先治主编.东北财经大学财务与会计研究中心年度研究报告.大连:东北财经大学出版社, 2003.

[4]财政部.企业内部控制基本规范[S].2008.

关于内部控制鉴证业务的几点思考 第7篇

一、内部控制鉴证业务的类型

鉴证业务可分为基于责任方认定的业务和直接报告业务两类。基于责任方认定的业务是指责任方对鉴证对象进行评价或计量, 鉴证对象信息以责任方认定的形式为预期使用者获取, 注册会计师对鉴证对象信息提出鉴证结论。如财务报表审计等。直接报告业务是指注册会计师直接对鉴证对象进行评价或计量, 或者从责任方获取对鉴证对象评价或计量的认定, 而该认定无法为预期使用者获取, 预期使用者只能通过阅读鉴证报告获取鉴证对象信息。例如, IT系统鉴证。

在以上两个概念中涉及到了鉴证对象和鉴证对象信息。所谓鉴证对象信息是指按照标准对鉴证对象进行评价和计量的结果。如责任方按照会计准则和相关会计制度 (标准) 对其财务状况、经营成果和现金流量 (鉴证对象) 进行确认、计量和列报 (包括披露, 下同) 而形成的财务报表 (鉴证对象信息) 。

(一) 基于责任方认定的内部控制鉴证业务和直接报告的内部控制鉴证业务的区别

1.预期使用者获取鉴证对象信息的方式不同。

在基于责任方认定的业务中, 预期使用者不用通过阅读对管理层关于内部控制有效性的认定的鉴证报告, 便可获取管理层关于内部控制有效性的认定。然而, 在直接报告业务中, 可能不存在管理层关于内部控制有效性进行评价的信息, 或虽然存在, 但该认定无法为预期使用者获取, 预期使用者只能通过内部控制鉴证报告获取上述信息。

2.注册会计师提出结论的对象不同。

在基于责任方认定的业务中, 注册会计师提出结论的对象是鉴证对象信息, 即对所鉴证的管理层关于内部控制有效性的认定进行评价。而在直接报告业务中, 注册会计师提出结论的对象是鉴证对象, 即对被鉴证单位与财务报表相关的内部控制的有效性进行评价。

3.责任方 (管理层) 的责任不同。

在基于责任方认定的业务中, 责任方对鉴证对象信息负责, 即对管理层关于内部控制有效性的认定负责。而在直接报告业务中, 责任方对鉴证对象负责, 即对与财务报表相关的内部控制的有效性负责。

4.鉴证报告的格式和内容不同。

在基于责任方认定的业务中, 鉴证报告明确提及责任方 (管理层) 关于内部控制有效性的认定。

(二) 将内部控制鉴证业务确定为基于责任方认定的业务更为合适

1.从鉴证业务的定义角度分析。

鉴证业务是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。可见, 鉴证业务的目的旨在增进鉴证对象信息的可信性。从鉴证业务的定义和目的可知, 鉴证业务只是一种由第三方 (注册会计师) 对鉴证对象信息提供的增信行为, 而并不是对鉴证对象本身做出评价, 这种增信行为必须要有增信对象, 该对象就是鉴证对象信息。又因为内部控制鉴证业务是鉴证业务中的一种, 所以, 其必须要有鉴证对象信息作为增信对象, 也就是说, 内部控制鉴证业务要有管理层关于内部控制有效性的认定作为鉴证对象信息。从这个角度说, 内部控制鉴证业务是一种基于责任方认定的业务。

2.从预期使用者获取鉴证对象信息的方式角度分析。

在基于责任方认定的业务中, 预期使用者可以获得更多的有关被鉴证单位内部控制的信息, 并且预期使用者对管理层做出的关于内部控制有效性的认定也可以做出自己的判断, 因此, 在基于责任方认定的业务中, 预期使用者对注册会计师出具的内部控制鉴证报告的依赖性就会小些。

3.从责任方 (管理层) 的责任角度分析。

在基于责任方认定的业务中, 责任方不仅要对与财务报表相关的内部控制的有效性负责, 还要对管理层关于内部控制有效性的认定负责, 这样就加重了责任方 (管理层) 的责任。在我国企业普遍存在内部控制薄弱的今天, 加重责任方 (管理层) 对企业内部控制的责任对于我国企业管理层重视内部控制的建立、健全、并保持其有效性, 从而树立良好的内部控制企业文化。

4.从注册会计师的责任角度分析。

在基于责任方认定的业务中, 内部控制鉴证报告明确提及责任方 (管理层) 关于内部控制有效性的认定, 并且注册会计师提出结论的对象是管理层关于内部控制有效性的认定, 而不是与财务报表相关的内部控制本身的有效性。由于我们对内部控制所进行的鉴证主要是运用抽样技术进行测试, 并且内部控制本身有很多固有限制及因为内部有关人员的窜通舞弊而失效。因此, 存在由于错误或舞弊而导致错报发生和未被发现的可能性。所以, 在基于责任方认定的业务中, 注册会计师提出结论的对象是管理层关于内部控制有效性认定时, 内部控制鉴证业务的风险会更小。此外, 内部控制是在不断更新和变化的, 当内部控制鉴证报告出具几年后, 一旦发生审计失败而引起法律诉讼, 需要查阅以前年度的内部控制鉴证业务工作底稿时, 由于管理层关于内部控制有效性的认定的存在, 法院可能判责任方 (管理层) 负主要责任, 而注册会计师负连带责任, 从而可以减轻注册会计师的法律责任。

二、内部控制鉴证业务的性质

按内部控制鉴证报告为鉴证对象信息的可信性提供的保证程度大小, 可以将内部控制鉴证业务分为合理保证的鉴证业务和有限保证的鉴证业务。

(一) 合理保证鉴证业务和有限保证鉴证业务的区别

1.鉴证业务目标不同。

在合理保证的内部控制鉴证业务中, 鉴证业务目标为在可接受的低内部控制鉴证风险下, 以积极方式对责任方 (管理层) 关于内部控制有效性的认定整体发表鉴证意见, 提供高水平的保证。而在有限保证的内部控制鉴证业务中, 鉴证业务目标为在可接受的内部控制鉴证风险下, 以消极方式对责任方 (管理层) 关于内部控制有效性的认定整体发表鉴证意见, 提供有意义水平的保证, 该保证水平低于合理保证内部控制鉴证业务中的保证水平。

2.证据收集程序不同。

在合理保证的内部控制鉴证业务中, 证据收集程序系统、全面, 足以使鉴证风险降至可接受水平。而在有限保证的内部控制鉴证业务中, 注册会计师有意识地对证据收集程序加以限制, 主要采用询问和分析程序。

3.所需证据数量不同。

在合理保证的内部控制鉴证业务中, 所需证据数量较多。而在有限保证的内部控制鉴证业务中, 所需证据数量较少, 不能提供合理保证的内部控制鉴证业务中要求的所有证据。

4.鉴证业务风险不同。

在合理保证的内部控制鉴证业务中, 鉴证业务风险较低。而在有限保证的内部控制鉴证业务中, 鉴证业务风险较高。

5.鉴证对象信息的可信性不同。

在合理保证的内部控制鉴证业务中, 鉴证对象信息的可信性较高。而在有限保证的内部控制鉴证业务中, 鉴证对象信息的可信性较低

6.提出结论的方式不同。

在合理保证的内部控制鉴证业务中, 以积极的方式提出结论。而在有限保证的内部控制鉴证业务中, 以消极的方式提出结论。

7.注册会计师的责任大小不同。

在合理保证的内部控制鉴证业务中, 注册会计师的责任较大。而在有限保证的内部控制鉴证业务中, 注册会计师的责任较小。

8.鉴证业务收费不同。

在合理保证的内部控制鉴证业务中, 鉴证业务收费较高。而在有限保证的内部控制鉴证业务中, 鉴证业务收费较低。

(二) 将内部控制鉴证业务作为有限保证鉴证业务更为合适些

1.从责任方 (管理层) 关于内部控制有效性的认定角度分析。

一个企业为了达到同一个内部控制目标, 通常有多种不同的控制手段或措施, 国家有关部门不可能像制定全国统一的企业会计准则那样来制定全国统一的控制标准, 此外, 不同行业的企业的控制手段或措施也各不相同。因此, 责任方 (管理层) 关于内部控制有效性的认定标准就具有多样性, 从而造成责任方 (管理层) 关于内部控制有效性的认定具有很大的主观性, 此时注册会计师面临的客观的内部控制鉴证风险相应较高。因此, 为了减轻注册会计师对该客观存在的高鉴证风险所承担的责任, 应将内部控制鉴证业务作为一种有限保证的鉴证业务。

2.从内部控制的固有限制角度分析。

由于内部控制具有许多固有限制, 并且, 即使设计再完美的内部控制, 也可能因为内部人员的窜通舞弊或因为高层管理人员凌驾于内部控制之上而使其失效, 从而存在责任方 (管理层) 关于内部控制有效性的认定不公允, 而注册会计师未予发现, 并发表不恰当的鉴证意见的风险。

基于以上分析, 为了减轻注册会计师对内部控制鉴证业务客观存在的高鉴证风险所承担的责任, 应将内部控制鉴证业务作为一种有限保证的鉴证业务。

三、内部控制鉴证的时间范围

内部控制鉴证的时间范围通常有两种。一种是特定日期的内部控制, 特定日期可以是会计年度结束日, 也可以是某中期结束日。另一种是特定期间 (如财务报告期间) 的内部控制。

首先, 内部控制的目的之一是保证企业编制的财务报告能够真实地反映企业过去特定期间内的经营成果和特定日期的财务状况。在财务报告期间内存在的所有内部控制的不完善和失效都有可能造成财务报告不能真实地反映企业过去特定期间内的经营成果和特定日期的财务状况, 而不仅仅是特定日期的内部控制。因此, 即使财务报告截止日的内部控制多么的完善和有效, 但如果在此之前的内部控制是不完善的和无效的, 则会计期末的财务报告就有可能发生重大错报和漏报。因此, 仅以特定日期的内部控制作为内部控制鉴证的时间范围是不合适的。

其次, 在财务报告审计过程中, 注册会计师在实施风险评估程序以获取控制是否得到执行的审计证据时, 注册会计师应当确定某项控制是否存在, 被审计单位是否正在使用。在测试控制运行的有效性时, 注册会计师应当从下列方面获取关于控制是否有效运行的审计证据:①控制在所审计期间的不同时点是如何运行的;②控制是否得到一贯执行;③控制由谁执行;④控制以何种方式运行。如果被审计单位在所审计期间内的不同时期使用了不同的控制, 注册会计师应当考虑不同时期控制运行的有效性。控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。可见, 为了实现财务报表审计目标, 需要对内部控制在审计期间内运行的有效性和执行的一贯性进行测试。因此, 为了实现内部控制的保证企业编制的财务报告能够真实地反映企业过去特定期间内的经营成果和特定日期的财务状况这一目标, 有必要对特定期间 (如财务报告期间) 的内部控制进行鉴证, 而不仅仅是特定日期的内部控制。

基于以上分析, 为了实现内部控制, 保证企业编制的财务报告能够真实地反映企业过去特定期间内的经营成果和特定日期的财务状况这一目标, 注册会计师应当对特定期间 (如财务报告期间) 的内部控制进行鉴证, 并对该期间的内部控制进行了解和测试, 以便对责任方 (管理层) 关于该期间的内部控制有效性的认定发表鉴证意见。

综上所述, 鉴于内部控制鉴证业务的特性和目前的鉴证环境, 将内部控制鉴证业务作为一种基于责任方认定的有限保证的鉴证业务更为合适。此外, 内部控制鉴证业务的鉴证对象信息应当为责任方 (管理层) 关于特定期间 (如财务报告期间) 与财务报表相关的内部控制有效性的认定。

参考文献

[1].谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究, 2007 (10)

[2].程新生.公司治理、内部控制、组织结构互动关系研究[J].会计研究, 2004 (4)

[3].黄世忠.强化公司治理、完善控制环境[J].财会通讯, 2001 (1) :33-34

[4].李明辉.内部公司治理与内部控制[J].中国注册会计师, 2003 (11)