近年来,随着我国资本市场改革的深入、政府监管部门保护投资者的意识日益增强,我国对企业内部控制的监管措施正逐步完善。2008年5月和2010年4月,财政部会同证监会、审计署、银监会、保监会先后发布了《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及《企业内部控制审计指引》,这些文件规范有很强的针对性,对企业建立健全内部控制制度具有重要的指导意义。 而随着企业内部控制规范体系的逐步建立,企业内部控制有效性的自我评价制度和注册会计师审计制度也相继建立起来,由此推动我国企业内部控制体系贯彻实施步入了法制化、规范化发展的新阶段(刘玉廷和王宏,2010)。企业经营者、所有者、其他利益相关者以及政府监管部门是内部控制审计的需求者,他们因利益立场不同而具有不同的需求动机。本文基于企业风险管理和政府监管两个视角,对内部控制审计的需求动机进行全面、深入的分析。 一、内部控制审计与企业风险管理 1.风险管理是内部控制审计的重要内容。内部控制审计顾名思义就是对企业的“内部控制”进行审计,审计的具体对象是企业内部控制设计的科学、合理性与运行的有效性。内部控制的本质是风险控制机制,对“内部控制”进行审计,其实就是对这种风险控制机制的再监督。从语义上说,内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。由此可见,风险管理是内部控制审计的重要内容。 根据《企业内部控制审计指引》的规定,注册会计师应当按照自上而下的方法实施审计工作,自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师采用自上而下的方法对内部控制整体风险进行测试,即首先从稽核企业财务报表开始,然后将关注重点放在企业整体层次(主要是治理层和管理层)的控制上,并将工作逐渐下移至重大账户、列报及相关认定(谢晓燕等,2009)。自上而下的方法充分体现了风险导向审计的理念,在测评时,注册会计师应当首先评估与内部控制相关的风险,根据风险评估结果,确定拟实施进一步审计程序的性质、时间和范围,以获取充分、适当的审计证据。遇到特别的情况,若某些领域存在重大缺陷的风险越高,则注册会计师给予该领域的审计关注就越多。也就是说,注册会计师要将审计资源集中于高风险领域,尽量减少不必要的程序,以便节约审计成本、提高审计效率。 2.内部控制审计是企业加强风险管理的重要措施。作为执业审计人员,注册会计师能够更加全面、深入、客观地评价企业的内部控制,及时发现内部控制中存在的重大风险和薄弱环节。《企业内部控制审计指引》第二十五条规定:注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通,提出改进建议。一般来说,注册会计师的建议具有权威性和威慑性,能够引起管理当局的高度重视。与管理当局进行沟通,有利于管理当局及时发现企业经营管理中的漏洞,识别内部控制缺陷,及时有针对性地采取整改措施,防止风险扩大。从本质上来说,内部控制审计是一种外部风险监督机制,它通过对内部控制信息背后所隐含的经济行为进行鉴证,以便约束管理当局的机会主义行为,确保企业内部控制的有效性,进而提升企业的经营管理水平和风险防范能力。总之,内部控制审计是企业加强风险管理的重要措施。 二、内部控制审计的监管需求 1.政府监管是内部控制审计产生与发展的推动力量。从世界范围来看,美国内部控制审计的发展起步比较早,目前无论是内部控制审计理论还是实务,都已比较成熟。在美国,SOX法案制定之前,内部控制审计虽有一定程度的发展,但是速度比较缓慢。安然事件曝光后,美国证券交易委员会加强了对企业的监控,美国国会通过了SOX法案,政府监管部门的强制性介入,推动了内部控制审计理论与实务的发展。 2002年美国颁布了SOX法案,加大了对公众公司内部控制的监管力度,首次提出对“财务呈报内部控制”的有效性进行审计。根据SOX法案302和404条款的要求,在美国的公众公司必须在定期报告中公开披露公司管理层的内部控制自我评价报告,并且必须由独立审计人员对该内部控制报告进行审计。SOX法案302和404条款充分体现了“强制性”内部控制信息披露与“强制性”内部控制审计的特征,是政府监管部门确保内部控制有效实施的重要制度安排。 作为对SOX法案404条款的响应,2004年3月9日,美国注册会计师协会(PCAOB)发布了第2号审计准则:《与财务报表审计相关的财务呈报内部控制的审计》(AS.2),该准则规定内部控制审计包括以下内容:①评价管理层就财务呈报内部控制有效性评估的过程;②评价财务呈报内部控制制度设计与运行的有效性;③出具对财务呈报内部控制是否有效的审计意见。根据AS.2的执行情况,PCAOB在2007年7月发布了第5号审计准则:《与财务报表审计相整合的财务呈报内部控制审计》(AS.5),取代了AS.2。与AS.2相比,AS.5具有更强的操作性和更广泛的适用性,能够应用于不同规模的公司。 相对来说,我国对内部控制理论尤其是内部控制审计理论的研究起步较晚,但随着我国资本市场改革的深入和规范化要求,从20世纪90年代开始,政府加大了对企业内部控制尤其是上市公司内部控制建设的推进力度。在我国,内部控制审计的产生和发展,与政府监管部门的推动作用始终是分不开的。作为上市公司的监管部门,财政部、证监会、银监会、保监会和中注协等制定的相关法规制度,创造了内部控制审计服务的真正需求,直接催生了上市公司内部控制审计。 为了推动和指导上市公司建立健全内部控制制度,上海证券交易所和深圳证券交易所在2006年分别发布了《上市公司内部控制指引》。《上海证券交易所上市公司内部控制指引》规定:会计师事务所应参照主管部门有关规定,对公司内部控制自我评估报告进行核实评价;《深圳证券交易所上市公司内部控制指引》也有类似规定。2008年5月22日,财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》,要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。