摘要:日本和中国的企业内部控制评价与审计规范都借鉴了美国的内部控制报告制度,但中日两国规范的具体要求和内容存在显著的差异,日本内部控制评价与审计规范中关于实施成本的考虑、信息技术的应对要素以及评价与审计范围,对于完善我国的企业内部控制评价与审计规范具有借鉴意义。
关键词:内部控制评价;内部控制审计;实施成本;信息技术的应对;评价与审计范围
中图分类号:F239.43 文献标识码:B
企业内部控制评价与审计规范源自于美国,安然、世通等财务欺诈案件使人们进一步认识到了内部控制的重要性,也加速了企业内部控制制度建设的进程。2002年,美国出台了《萨班斯―奥克斯利法案》(简称萨班斯法案),该法案在302节“公司对财务报告的责任”和404节“管理层对内部控制的评价”中,要求在美国证券交易委员会注册登记的企业,其管理层要对财务呈报内部控制的有效性进行评价并对外发布公开报告;同时要求注册会计师对管理层财务呈报内部控制进行鉴证和报告。美国证券交易委员会和公众公司会计监督委员会为内部控制的评价与审计制定了相关规则和指引。其他一些国家也纷纷借鉴美国的做法,先后加强和完善了对企业尤其是上市公司内部控制的规制,这其中就包括日本和中国。
2006年6月7日,日本国会通过《金融商品交易法》,其中以上市公司为对象,将管理层对财务报告内部控制进行评价并由注册会计师对其进行审计作为义务予以规定(内部控制报告制度),并要求在2008年4月1日开始起的会计年度执行[1]。依据《金融商品交易法》,日本企业会计审议会于2007年2月15日,审议发布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》,其公布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》适用于自2008年4月1日以后开始的会计年度财务报告内部控制的评价与审计。
长期以来,中国多个部门对企业内部控制的建立与实施进行了规范,但并未形成统一体系。美国颁布实施萨班斯法案后,中国企业内部控制制度建设也进入了快速发展时期。2005年6月,国务院领导在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制的报告》上作出批示,同意“由财政部牵头、联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”[2]。2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会。2008年6月28日,财政部会同中国证监会、国家审计署、中国银监会和中国保监会共同发布了《企业内部控制基本规范》,并要求自2009年7月1日起在上市公司范围内施行,同月,还发布了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》的征求意见稿。2010年4月15日,上述五部委制定发布了企业内部控制配套指引,具体包括《企业内部控制应用指引第1号――组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,要求在境内外同时上市的公司自2011年1月1日起执行,在上海和深圳证券交易所主板上市的公司自2012 年1月1日起执行,在中小板和创业板上市的公司择机施行,并鼓励非上市大中型企业提前执行。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对企业内部控制的有效性进行审计并出具审计报告。至此,统一的、融合国际先进经验的中国企业内部控制规范体系基本建成。
日本和中国的内部控制评价和审计规范都借鉴了美国的COSO报告①以及内部控制评价与审计规范,但规范的具体要求和内容还是存在显著的差异,本文以日本企业会计审议会发布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》以及中国财政部等五部委联合发布的《企业内部控制基本规范》及企业内部控制配套指引为依据,首先从规范的框架结构、规范对象与范围、内部控制的目标和要素、内部控制缺陷的分类以及内部控制审计等方面对其差异进行比较分析,在此基础上进一步探讨日本内部控制评价和审计规范对完善我国内部控制报告制度的启示。
一、 中日企业内部控制评价与审计规范的框架结构、规范对象与范围不同
日本的企业内部控制评价与审计规范分为《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》两个层次,准则与实施准则内容相同,均包括“内部控制的基本框架”、“财务报告内部控制的评价与报告”、“财务报告内部控制的审计 ”三部分,实施准则只是对准则列示尽可能具体的指南。我国2008年由财政部等五部委联合颁布的内部控制评价与审计规范,其框架结构由一项基本规范、系列应用指引、评价指引、审计指引和企业内部控制制度三个层次构成[3]。第一个层次企业内部控制基本规范规定了内部控制的基本目标、基本要素、基本原则、和总体要求,是制定后两个层次规范内容的基本依据,在内部控制标准体系中起统驭作用;第二个层次包括企业内部控制应用指引 、企业内部控制评价指引、企业内部控制审计指引(分别简称应用指引 、评价指引、审计指引),其中应用指引是对企业按照内部控制基本规范建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中居主体地位;主要包括两方面内容:一是针对企业主要业务与事项的应用指引,二是针对特殊企业或行业的应用指引。具体可以划分为内部环境类指引、控制活动类指引、控制手段类指引三类,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。评价指引是为企业管理层对本企业进行内部控制自我评价提供的指引和要求,包括评价内容和标准、评价程序和方法、评价报告的出具和披露等。审计指引是会计师事务所执行内部控制审计业务的执业准则;第三个层次企业内部控制制度是各企业依据前两个层次的要求,并结合本企业经营特点和管理要求建立的本企业的内部控制制度。可以看出,两国的规范都包括了基本要求和实施指南,但比较而言,我国的内部控制规范体系按照内部控制的建立、评价、审计分别制定指南,尤其是针对企业主要业务与事项和特殊企业或行业制定的应用指南具有更强的指导作用。
日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》要求自2008年4月1日开始的会计年度在上市公司执行;中国的《企业内部控制基本规范》适用于境内设立的大中型企业,小企业和其他单位可以参照建立与实施内部控制,自2009年7月1日起首先在上市公司施行。企业内部控制配套指引虽然目前尚未规定针对非上市企业强制实施的时间表,但也鼓励非上市大中型企业提前执行。可见,中国《企业内部控制基本规范》所规范的对象要广于日本,不仅包括上市公司,也包括非上市企业。
日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》规范财务报告内部控制的评价与审计活动,所谓财务报告内部控制是指以确保财务报告的可靠性为目的的内部控制。我国的评价指引第五条规定:企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。第二十一条规定:内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。审计指引第三条指出:按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。第四条进一步指出:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。由此可见,中国《企业内部控制基本规范》以及配套指引并不局限于财务报告内部控制,而是规范内部控制目标全过程的评价和鉴证活动。显然,比日本规范的范围要大得多。
二、中日企业内部控制的目标和要素不同
日本在《财务报告内部控制评价与审计准则》中将内部控制目标确定为四个:即经营的有效和效率、财务报告的可靠性、营业活动遵循相关法律以及资产保全。我国《企业内部控制基本规范》规定了五个目标:即合理保证企业经营管理合规合法、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略,比较而言,战略目标是日本内部控制评价与审计规范中没有提及的。
从内部控制要素来看,日本《财务报告内部控制评价与审计准则》将内部控制基本要素确定为六个方面:控制环境、风险的评估与应对、控制活动、信息与沟通、监控、信息技术的应对;中国《企业内部控制基本规范》确立的内部控制框架包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。尽管两国规范对于相关要素的表述有所不同,但前五个要素的内容大体相近,所不同的是日本的内部控制规范要比我国多一个要素――信息技术的应对。所谓信息技术的应对是指为实现组织的目标事先规定合理的政策及程序,根据这些政策及程序在业务实施中对组织内外的信息技术进行合理的应对,具体包括信息技术环境的应对与信息技术的利用和控制。日本内部控制规范制定机构认为:尽管美国的COSO报告未提及这一要素,但近些年,信息技术发生了飞跃性进展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统高度采用信息技术等的现状,使很多组织离开信息技术就不能进行业务活动。将信息技术的应对增加为基本要素,表明在信息技术深刻影响组织的状况下,在执行业务的过程之中,对组织内外的信息技术进行合理的应对,已经成为实现内部控制目标所不可或缺的[1]。
三、中日企业内部控制评价与审计规范对内部控制缺陷的分类不同
关于内部控制缺陷,中日内部控制规范都认为包括设计(构建)缺陷和运行缺陷,但对其划分的类别却不同。日本《财务报告内部控制评价与审计实施准则》基于对财务报告可靠性产生影响的程度,将内部控制的缺陷划分为“缺陷”和“重要缺陷”两类。我国内部控制评价指引根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷三类,比日本的划分更细。
四、中日内部控制审计规范的具体要求不同
从内部控制审计主体来看,日本《财务报告内部控制评价与审计准则》对内部控制审计主体有强制要求,规定内部控制审计由从事该企业财务报表审计的同一审计人员实施,这里的同一审计人员不仅要求同一会计师事务所,而且也要求是同一执行业务的合伙人。我国的审计指引第五条规定:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。可见,我国企业内部控制规范并未对内部控制审计主体作出强制性限制。
对于内部控制审计意见类型,日本财务报告内部控制评价与审计准则以及实施准则规定:内部控制审计报告意见可以分为无限定合理意见、附有除外事项的无限定合理意见、附有除外事项的有限定合理意见、内部控制报告内容不适当的意见和无法表示意见②。我国的审计指引将内部控制审计报告意见分为无保留意见、带强调事项段的无保留意见、否定审计意见和无法表示意见,两国所不同的是关于保留意见的规定。日本规定表述保留意见的条件是:因未能实施重要的审计手续而不能表明无限定合理意见的情况下,审计人员在判断其影响未达到对内部控制报告不能表明意见程度而不具有重要性时,必须表明附有除外事项的有限定合理意见。在这种情况下,必须在实施的审计的概要中记载未能实施的审计手续,在对内部控制报告的意见中记载该事项对财务报表审计产生的影响[1]。我国的审计指引第三十一条规定:如果注册会计师审计范围受到限制,应当解除业务约定或出具无法表示意见的内部控制审计报告,并不允许发表保留意见。如果财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当发表否定意见。上述规定表明,我国不允许注册会计师签发保留意见的内部控制审计报告,因为审计范围受到限制,难以确定财务报告内部控制的有效程度,因此,只要审计范围受到任何限制,就要出具无法表示意见的审计报告或选择解除业务约定。
中日两国关于内部控制审计报告的形式要求也不同。日本《财务报告内部控制评价与审计准则》规定:财务报告内部控制审计的目的在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则,在所有要点上是否适当表明内部控制有效性的评价结论,将基于审计人员自身取得的审计证据进行判断的结果作为意见予以表明。同时规定:内部控制审计报告原则上与财务报表审计报告一并编制。我国的审计指引第二条指出:内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。第二十七条指出:注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告,标准内部控制审计报告应当包括标题、收件人、财务报告内部控制审计意见段、非财务报告内部控制重大缺陷描述段等要素。尽管中日两国都要求对内部控制审计结果以报告的方式表明,但内部控制审计意见报告形式的差异十分明显。日本为了减小审计成本,没有采用审计人员直接对内部控制的构建和运行状况进行验证的形式,而是要求对管理层进行的财务报告内部控制有效性评价的结论予以审计并发表意见,也就是采用间接发表意见的形式。中国的规范要求对内部控制设计与运行的有效性进行审计,采用的是直接报告的形式,并且要求单独编制审计报告。两种报告形式比较而言,直接报告形式尽管成本负担大,但能够以独立的第三者的身份提供内部控制设计与运行有效性的结论,从而为信息使用者提供决策的依据。日本的间接报告形式从制度设计来看是希望降低成本,事实上,实际应用状况并不理想。注册会计师在执行审计时,为了验证经营者的评价是否合理,必须对企业内部控制的有效性进行检查, 因为只有在证明内部控制制度有效的基础上才能对经营者所做的内部控制评价是否合理做出结论。为此,要深入实际操作层次检查内部控制制度的存在,然后再抽取相关资料样本,从样本中留下的痕迹来验证内部控制运行是否有效[4]。可见,日本的间接报告形式远比制度设计所预想的审计工作要多。
五、日本内部控制评价与审计规范对我国的启示
(一)日本内部控制评价与审计规范关于实施成本的考虑对我国的启示
一项制度的创新可以促使交易成本降低,一项制度的实施自身也有执行成本,只有当制度的执行成本低于制度创新所节约的交易成本时,这项制度才会被人们自觉遵守。美国的内部控制报告制度就因为高昂的执行成本而饱受各方指责。根据萨班斯法案404条款以及美国证券交易委员会颁布的《最后规则》和美国上市公司会计监督委员会发布的第2号审计准则,上市公司须提交与财务报告有关内部控制有效性的管理当局报告和审计师对与财务报告有关的内部控制有效性的意见。实践表明,执行萨班斯法案404条款不仅直接成本高昂,间接(机会)成本对美国社会的影响更为深远[5]。为了进一步落实萨班斯法案,美国证券交易委员会和上市公司会计监督委员会采取了多项措施,以设法降低内部控制报告制度的执行成本,增进其执行效果,比如,推迟小企业及外国大企业执行404条款的时间,针对小企业开发了《小企业COSO内部控制框架》,制定第5号审计准则取代第2号审计准则,精简审计程序、使用整合审计的工作成果等[6]。
日本在制定内部控制评价与审计规范时,对美国内部控制报告制度的运行情况进行了深入调查,没有完全照搬其做法,而是充分考虑了其执行成本的问题。主要体现在:在审计范围上,只对财务报告内部控制进行评价和审计,将内部控制缺陷由三类简化为两类,对财务报告审计和内部控制审计实施整合审计并一起编制报告,对内部控制审计主体具有强制要求,允许内部控制审计人员与监事或审计委员会等监督部门之间进行合理的合作,适当利用内部审计人员的业务,以及采用对内部控制间接发表审计意见的形式等方面。日本的这些考虑对于我国有效实施内部控制报告制度具有重要的借鉴意义。
我国企业内部控制评价与审计规范将内部控制评价内容作为一项制度创新,要求不仅对财务报告内部控制有效性进行评价,还要对非财务报告内部控制有效性进行评价;注册会计师不仅要对财务报告内部控制的有效性发表审计意见,还要对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以描述,显然,评价与审计的成本会大于日本,此外,我国内部控制评价与审计规范中对审计主体的可选择性和对整合审计的非强制性要求也可能会加大内部控制报告制度的执行成本。我国企业内部控制评价与审计规范的出发点是希望突破单纯财务报告内部控制观念的束缚,更为全面地发挥内部控制的作用和效力,增强内部控制审计报告与自评报告的协调性,但在实施中执行成本是否能被企业所承受,还有待在实践中进一步检验和研究。事实上,从成本效益原则考虑,实施整合审计并合并编制报告,可以使企业更“经济”地委托审计,因为内部控制审计与财务报告审计的目的具有一致性,都是为了合理保证财务信息的可靠性,提高企业对外公布的财务信息的质量,我国内部控制审计与财务报告审计都实施风险导向的审计模式,通常情况下,两种审计都要实施风险评估程序和控制测试③,所获取的审计证据和结论可以相互参照,财务报告审计的实质性程序发现的错报可以为内部控制审计提供线索,是对内部控制审计程序的一种有益补充。同时由相同的注册会计师承担两种审计工作,可以加深对被审单位的了解,不仅有利于节约审计成本,而且能够控制审计风险,提高两种审计的质量。从各国的审计实践来看,目前没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标[7]。鉴于此,我国应当在内部控制审计规范中强制规定由相同的审计人员对同一客户的内部控制审计与财务报告审计实施整合审计,并合并编制报告。
(二)日本内部控制评价与审计规范中信息技术的应对要素对我国的启示
当今社会,信息技术(简称IT)的广泛应用对企业的经营管理产生了深刻的影响,也给企业的内部控制带来了巨大的冲击与挑战,传统的内部控制方式在信息技术的影响下发生了根本性的变革,原有的基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的信息技术内部控制[8]。运用信息技术实施企业内部控制,同时加强对信息技术应用风险的控制,已是企业必须面对和解决的问题。早在1977年,国际内部审计师协会就发布了《系统可审计性与控制》的报告,旨在对信息系统与技术的控制提供一个合理的指导,这一报告被业界认为是第一个与IT业有关的内部控制框架。国际组织信息系统审计与控制协会在1996年制定了《信息与相关技术的控制目标》,为信息技术安全与控制实践以及信息技术审计提供了应用准则。2003年12月,信息系统审计与控制协会联合信息技术治理委员会共同发布了《服务萨班斯法案的信息技术控制目标》,帮助信息技术职业界理解管理层在内部控制有效性上的法定报告要求,同时指导信息技术业界如何帮助管理层符合这些要求[9]。日本充分考虑了信息技术环境的发展变化以及日本企业的实际情况,在内部控制框架中将信息技术的应对作为内部控制的一个基本要素,在实施准则中明确了在信息系统中使用信息技术的情况下,管理层对内部控制进行评价的具体措施,以及审计师对内部控制进行审计的具体措施。当前,尽管我国企业信息技术的应用还处于较低水平,但大中型企业尤其是上市公司的信息化建设水平相对较高且发展迅速,而这些单位正是我国内部控制规范的主要对象。目前我国适用的内部控制规范已经关注到了信息技术对内部控制的影响,《企业内部控制基本规范》第七条指出“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”第二十二、四十一条也有涉及,同时,信息系统应用指引对企业信息系统的开发、运行与维护做出了规定,体现了对于信息技术对内部控制影响的重视,但这些规范只是强调了信息技术的一般控制和应用控制,并未形成融合信息技术的控制体系,也没有信息技术内部控制的评价和审计标准,因此,我国内部控制规范在未来的完善中应当借鉴日本的经验,增加在应用信息技术环境下内部控制的建立、评价与审计的具体标准与应用指南,在理论上也应当先期开展相关方面的研究。
(三)日本内部控制评价与审计规范中关于评价与审计范围对我国的启示
日本内部控制评价与审计规范将评价与审计范围确定为财务报告内部控制,与美国的规定是相同的,我国也应当将内部控制评价与审计的范围限定为财务报告内部控制,这不仅是因为评价与审计成本的问题,更重要的是因为评价与审计的目的所要求的[10]。从萨班斯法案要求符合批报规则的公司对外披露内部控制信息的最初动机来看,美国国会旨在通过强制实施内部控制报告制度,以打击上市公司财务舞弊,合理保证财务报告质量,也就是说,内部控制评价与审计制度出台的目的是为了进一步解决财务报告的可靠性问题,保证资本市场的秩序。财务报告是一种社会信息,是投资者等利益相关者据以决策的依据,实践表明,现有的财务报告与审计制度不能完全解决财务信息的可靠性问题,于是,人们从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,即为了实现合理保证财务报告可靠性的目的,管理层要对财务报告内部控制的有效性进行评价,为了增强信息使用者对管理层财务报告内部控制自评报告的信任程度,注册会计师要对财务报告内部控制进行审计。因此,内部控制评价与审计是对财务报表审计的有益补充。投资者除了可获得财务报表审计报告外,还能获得内部控制审计报告,可通过内部控制审计报告的意见类型来辨别管理层内部控制信息披露的质量,了解其对财务报告信息披露的影响[11]。也就是说,只对财务报告相关的内部控制进行评价与审计就可以实现内部控制报告制度的目的,满足投资者等利益相关者的信息需求。这样既可以降低内部控制评价与审计的成本,又可以消除人们对于整体内部控制审计时过于扩大注册会计师审计责任范围以及超越注册会计师专业能力范围的担忧。
注释:
① COSO是Treadway委员会的发起组织委员会(Committee of Sponsoring Organizations)的英文简称,1992年,COSO发布的《内部控制――整合框架》报告也称为COSO报告(1994年进行了局部修改),COSO报告是内部控制领域最为权威的文献之一,已被美国和国际及一些国家审 计准则制定机构、银行监管机构所采用。
② 日本财务报告内部控制评价与审计准则规定:因审计范围的约束,未能实施重要的审计手续而不能取得对内部控制报告表明意见的合理的基础时,审计人员不得表明意见。在这种情况下,必须记载不能表明对内部控制报告的意见的内容及理由,本文将这种情况称为无法表示意见。
③ 根据我国审计准则的规定,在财务报表审计中,控制测试并非一定要实施,当注册会计师在评估认定层次重大错报风险时,预期控制的运行是有效的,或仅实施实质性程序并不能提供认定层次充分、适当的审计证据时需要实施控制测试。
参考文献:
[1] 日本企业会计审议会发布.日本内部控制评价与审计准则[M].李玉环,译.大连:东北财经大学出版社,2007:2,48,30.
[2] 于蒙.企业内部控制规范广泛征求意见[EB/OL].[2007-03-09].中国财经报网站: https://www.省略/web/ckb/2007-03/09/content_337562.htm.
[3] 企业内部控制标准委员会秘书处.企业内部控制基本规范发布会暨首届企业内部控制高层论坛专辑[C].北京:中国财政经济出版社,2008:63,52-61.
[4] 张影.日本内部控制审计及其对中国的启示[J].上海立信会计学院学报,2010(4):
[5] 黄京菁.美国 SOA404条款执行成本引发争议的评述[J].会计研究,2005(9):86-89.
[6] 孟焰,张军.萨班斯法案 404 条款执行效果及借鉴[J].审计研究,2010(3):96-100.
[7] 谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9):88-95.
[8] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007(7): 29-35.
[9] 王宏.基于国际视野与科学发展的我国内部控制框架体系研究[D].西南财经大学硕士学位论文,2008:271-274.
[10]韩丽荣,郑丽,周晓菲.我国企业内部控制审计目标的理论分析及现实选择[J].吉林大学社会科学学报,2011(5):125-131.
[11]陈小林,陈作习.论内部控制审计动因、成本与收益[J].财会月刊,2010(7):77-79.
(责任编辑:李江)