一、整合审计理念的提出 21世纪初,美国爆发了举世震惊的安然、世通等会计舞弊丑闻,安达信会计师事务所也因卷入丑闻而被迫倒闭,这一系列财务丑闻导致美国资本市场损失近7万亿美元,沉重打击了美国人多年以来引以为傲的资本市场。针对这一系列财务丑闻,2002年7月,美国政府和国会通过了《2002年上市公司会计改革和投资者保护法》(简称SOX法案),该法案于2003年6月正式实施。其中法案第404条款(a)要求管理层对公司财务报告内部控制结构和程序有效性进行评估,第404条款(b)要求编制或出具审计报告的会计师事务所应该对管理层内部控制有效性的评估进行鉴证并出具报告。SOX法案明确要求财务报告内部控制审计应与公司财务报表审计相整合,而不是相分离。 为了更好地指导和监督注册会计师的工作,SOX法案规定成立公众公司会计监察委员会(简称PCAOB),其于2004年3月发布了《第2号审计准则:与财务报表审计共同执行的财务报告内部控制审计》(简称AS NO.2),为独立审计师进行审计提供指引。鉴于审计的高成本与低效率,2007年PCAOB发布了《第5号审计准则:财务报告内部控制审计与财务报表审计的整合》(简称AS NO.5),取代了AS NO.2,强调采用“风险导向、自上而下”的方法论,使审计更富有效率和效果。由此可见,美国在颁布SOX法案时就预见到财务报表审计与财务报告内部控制审计相整合的问题,并且由PCAOB来具体负责整合事宜,整合审计理念也据此而来。 二、我国整合审计的可能性与必要性 2008年5月,财政部会同证监会、审计署、银监会、保监会颁布了《企业内部控制基本规范》,要求执行本规范的上市公司应当对本公司内部控制的有效性进行自我评价,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计,由此引出注册会计师需要对企业内部控制进行评价并出具审计报告,但此时对内部控制审计的要求属于非强制性的。2010年4月又出台了相应配套指引,对我国之前所发布的现行规定进行了整合,改变了不同层次之间要求不同、同一层次的规定也存在差异(缪艳娟,2007)的混乱局面,对于内部控制审计的要求也由原来的非强制性转变为强制性。这对企业以及注册会计师都提出了新的要求,也将整合审计问题呈现在公众眼前。但是,目前就国内内部控制规范实证研究而言,仍停留在论证内部控制发展的必要性及其经济后果、市场反应,对于内部控制审计与财务报表审计两者之间是否应该进行整合、如何进行整合、整合中哪些问题需要予以注意等问题还缺乏深入的探讨。 1.成本方面的考虑是我们进行整合审计制度研究的重要驱动力。虽然有经验证据表明SOX法案404条款对于提升投资者信心、提高财务报告质量、保护中小投资者利益、提升公司治理水平具有重要作用(孟焰、张军,2010),但是其高成本招致了企业界和金融界的诸多批评。内部控制审计业务对于独立审计师而言也是一项陌生的业务,虽然在传统的财务报表审计中会对企业的内部控制进行评估和测试,据此进行相应的审计程序,但是在实务中很多审计师对于内部控制测试程序只是走过场,并未引起重视,而现在面对一项全新的业务,有些审计师会过于遵循具体规则,在对于寻找重大缺陷没有什么意义的控制测试上花费很多时间(刘晓嫱、杨有红,2006),这些审计成本的增加最后又转嫁到了审计客户身上。对于上市企业而言,每年的财务报表审计费用已经成为企业的巨大负担,现在内部控制审计业务的诞生更使盈利不佳的企业雪上加霜,如何尽可能降低审计成本成为许多企业共同的诉求。我国《企业内部控制基本规范》应自2009年7月1日起在上市公司范围内施行,鼓励大中型非上市企业执行。但由于上市公司一时难以承担高昂的成本,被迫推迟到2010年1月1日,出具内部控制自评报告则可以推迟到2010年年底。这样的现状迫使我们去研究两者整合的可行性与意义及具体操作方法,以减少成本并提高审计质量。 2.整合审计中对于内部控制概念的定又是一致的。内部控制确定的目标具有多维性,其中关注与财务报告有关的内部控制目标对于注册会计师而言在实践中具有可行性与现实意义,若让注册会计师对广义内部控制进行评价,则大大超出了注册会计师的胜任能力,会将其置于高风险地位,财务报告内部控制审计对象的特殊性决定了对注册会计师的要求不能太高(张龙子,陈作习,2009)。2006年6月5日上交所发布的《上市公司内部控制指引》要求董事会应按照广义的内部控制概念披露内部控制自评报告,审计师出具核实评价意见,但在实际执业过程中,注册会计师主要按狭义的内部控制概念进行审核并发表意见,概念不清晰导致内部控制指引要求与注册会计师实际职业行为相脱节,也给广大投资者传递了不明晰的信号(范锰杰,2010)。我国《企业内部控制基本规范》中将内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。可见,我国《企业内部控制基本规范》中对于内部控制目标的定位也具有多维性,但是给予企业太多的目标会导致企业目标混淆,不能使投资者从内部控制报告中获取公司内部控制质量的基本信息,信息的冗余意味着低效率甚至是无效率。因此,应建议公司将内部控制目标多元化向基本目标回归,内部控制自我评价应基于财务报告信息真实完整、资产安全、合法合规三个基本目标进行,这些目标具有较强的刚性且易于实现,在此基础上鼓励公司进行战略目标、经营效率效果目标的评价(杨有红、陈凌云,2009)。
