在不久的将来,内控的鉴证和咨询业务很可能成为会计师事务所争夺的新领域,这既是新的机遇,又意味着更大的风险,事务所为此要建立更严格的内控体系来应对 《企业内部控制规范》一旦正式推出,必将扩大了会计师事务所(以下简称“事务所”)的业务范围,但是,风险也会随之增加。事务所在机遇和风险之间如何平衡?《新理财》为此采访了普华永道系统与流程管理总监杨丰禹先生。 对相关业务会有影响 《新理财》:内部控制规范如果正式推出,将对事务所产生什么样的影响? 杨丰禹:事务所和内部控制相关的工作主要有三个方面:传统的财务报告审计、内部控制的咨询和对内部控制本身的审计。我主要分这三个方面来谈。 在财务报告审计方面,原来一般企业比较小,业务很简单,事务所审计时,不用考虑管理、内控等,直接翻翻账,做实质性测试就可以发表意见了。但随着企业的发展,这样做不行了,比如银行、电信等,一天就有无数笔业务,怎么可能直接做实质性测试就发表意见?事务所必须要考虑固有风险、剩余风险及检查风险,从而决定了审计工作的方法、时间和性质等。 在没有《内部控制规范》之前,我国的事务所在考虑内部控制从而决定剩余风险时,没有一个统一的、有权威和适应中国国情的体系,要么借鉴国际上的内部控制框架(如COSO),要么借鉴国内一些其他的规定(如内部会计控制规范),另外,还可以利用自身积累的知识经验来考虑内部控制风险。但这样就有个问题,就是从大的方面没有一个统一的标准,很大程度上依靠判断。所以,对财务报告审计的质量也会不一样。内部控制规范推出后,将给大家一个统一的标准。从这个角度来讲,对所有的事务所来说,确实是好事。但是也带来一些压力,因为原来如果没有这个严格的规范,如果考虑不到的,也就算了,就觉得没问题。如果有了这个规范,对人员就会有更高的要求,就必须认真学习考虑,记录对证据的要求也会比较严格。事务所的人员肯定有一个学习适应的过程,这会带来成本的增加。当然,这方面对不同的事务所影响不一样。如果一个事务所本身就有比较完善的对内部控制审计的体系,也把它考虑在审计方法中,这个转变过程就会容易一些。 在没有这个规范时,我们做内部控制咨询时,是参照国际上的经验和体系,同时考虑一些相关部门的要求。但是不是真正适合中国的国情,是由实施人员和咨询人员的经验判断来决定的。有了这个规范后,就解决了这个问题,这对于我们的内部控制咨询来说是有利的。但也有不利的方面。这主要是在实施方面。如果只是机械地解读规范,比如说,因为规范里有这一条,企业你就必须照着做,就会产生问题。 内部控制审计也只是这两年的事情。这个规范的提出,虽然并不等于有了审计的标准。但是,对企业建立内部控制有指导意义,对我们同样也有。并且,企业有了标准,我们在审计的时候也会更好做一些。 需要相关的审计准则 《新理财》:上市公司、大型国有企业、银行等企业早几年就要求出具事务所对内部控制的鉴证意见了。事务所在对这些公司的内部控制进行鉴证时,主要依据什么样的审计准则?内控规范施行后,是否会有专门针对内控规范鉴证业务的审计准则出台? 杨丰禹:目前,IPO、再融资、发可转债,都要求出具针对内部控制的审计意见。大部分事务所都是按照中注协出的《内部控制审核指导意见》来做的。但这个意见也是有局限的。名字看起来是针对内部控制的,但内容,包括最后的报告格式模板,则仅仅是针对财务报告的。还有,针对大型国有企业、银行,监管部门要求同时也要出具事务所对内部控制的评价意见。这里的内部控制则不仅仅是局限于财务报告地控制了。这就涉及一个问题,事务所要出具审计意见,必须有一个针对内部控制的审计准则。大多数事务所用一个变通的方法,就是依据的是《审计准则1231号——针对评估的重大错报风险实施的程序》,主要是针对在财务报表审计过程中,怎样去了解审计师认为有必要审计的内部控制。在这个过程中,如果发现有重大问题,会披露出来,如果没发现就说没有。这严格来讲,并不是一个审计意见,但这也部分地符合了监管要求。另外,对于上市公司,上交所和深交所的内部控制指引,也要求出具事务所对内部控制的审核意见。这里的内部控制是涵盖了所有重要的内部控制的,不仅限于和财务报告有关的控制。 但对我们来说,至今没有出过这种意见,因为我们一直和监管部门沟通。我认为,如果想让事务所对超出财务报告之外的内部控制发表意见,还是必须有相关的审计准则,规范事务所怎么样去确定审计范围,怎么样去审计,怎么拿到证据,怎么界定发现问题的性质,这样才能具有可操作性。但现在,全球没有一个真正针对内部控制的审计准则。内部控制审计准则的出台还需要很长一段路程。 需要更多的职业判断 《新理财》:对内部控制的鉴证业务,是否需要事务所进行更多的职业判断?在进行这些职业判断中,事务所如何减少鉴证的风险? 杨丰禹:相对财务报表审计,内部控制需要更多的职业判断,可以说每一步都要。即便有了内部控制的鉴证准则,也一样需要很多职业判断。首先,从企业来说,因为内部控制本来就是为了防范风险的,而风险是还没有发生的,是不确定的,所以企业要判断有哪些风险,然后要判断风险的大小,判断风险偏好,还要考虑需要设计什么样的内部控制,把风险控制在可接受范围内。审计师在审计时,同样需要大量的判断。
