背景意义 重在“防止内部控制评价报告走形式” 为顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。 《企业内部控制审计指引》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。它的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 就实施内部控制审计对上市公司的意义,财政部企业内部控制标准委员会咨询专家、中天恒会计师事务所总裁李三喜接受本报记者采访时指出,实施内部控制审计,由注册会计师对内部控制评价报告有效性发表独立的审计意见,这有利于防止内部控制评价报告走形式,从而促进上市公司内部控制建设的深入进行。而内部控制评价报告则是公司吸引投资者的重要因素,是上市公司加强内部控制建设的重要推进力。 “总体而言,就是通过会计师事务所对上市公司内部控制有效性的监督活动,促使其建立健全内部控制体系和有效执行,增强内部控制效能,促进全面提升风险防范能力和经营管理水平,从而确保其健康持续发展。不同审计机构实施内部控制审计的作用也不完全一样。政府审计机关和内部审计机构实施内部控制审计主要是满足监管和管理需要,促使被审计单位加强内部控制建设,改善管理。会计师事务所进行的鉴证性质的内部控制审计主要是发挥独立第三方的鉴证作用,对维护投资者利益和资本市场秩序具有特殊的作用。”李三喜补充道。 中注协有关负责人就有关《意见》问题回答记者提问时也表示,企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。 “既然实施内部控制审计有如此重要的作用”,李三喜说,“执行我国《企业内部控制基本规范》及配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。当然,实施内部控制审计不能走形式,否则难以发挥如此重大的作用。” 本质要求 实施内控审计 事务所必须注重独立性 李三喜表示,会计师事务所在执行财务报表审计时帮助企业财务舞弊的事件已屡见不鲜,其根源是会计师事务所缺乏独立性。他认为,内部控制审计作为会计师事务所的一项专项审计,如果缺乏独立性,也会发生类似财务报表审计的舞弊事件。 李三喜认为,要规范会计师事务所与企业的关系,保持注册会计师的独立性还有很长的路要走,可以从委托、收费、监管等方面努力。假设如果有个独立于企业的机构委托会计师事务所进行审计,并支付费用,注册会计师的独立性会就会大大增强。 “这个道理很简单,会计师事务所是由企业自己确定的,费用又是由其支付的,会计师事务所审计怎么能保持独立性呢?”李三喜说:“这说起来容易做起来难。国资委履行出资人职责,正在大胆探索对于国有企业的经济责任审计与财务报表审计由国资委统一委托并付费的模式。 对于事务所的独立性,已受到世界范围的关注。欧盟内部市场委员会正力促出台严格的监管规则,迫使大型会计师事务所放弃非审计业务,并同小型审计机构分享业务。根据欧盟委员会内部市场委员会的监管草案,主要包括禁止非审计业务、“联合审计”规定以及“强制性轮换”等主要内容。 就欧盟制衡“四大”这一事件,李三喜认为,这对一直强调本土会计师事务联合做大、混业经营的注册会计师行业的监管思路多少有点应该反思的作用。不能盲目求大,不能大而不倒。不管是多么大的会计师事务所,不管其出身如何,一旦有舞弊行为必须问责。 重要内容 整体层面和业务层面均要当做审计重点 据中注协负责人介绍,企业内部审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。 对此,李三喜指出,内部控制审计就是对被审计单位特定基准日内部控制设计与运行的有效性的审查和评价,包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素的审查和评价。把内部控制整体框架及其要素作为内部控制审计关键点是正确的,还应把业务层面上的内部控制作为内部控制审计的重要内容。如不把业务层面的内部控制作为审计重点,内部控制审计工作难以深入,表面化,容易走形式。