關鍵詞綜合審計;內部控制審計;意義
首先,提出的問題
2008年5月,財政部、證監會、審計署、銀監會、保監會(五部委)聯合發布《企業內部控制基本規範》,引起各界關註。也被稱為“中國薩奧法案”,於2009年7月1日正式生效。2010年4月,五部委發布內部控制應用指引、評價指引、審計指引,分階段實施:2011、1起,在境內外上市公司同步實施;自2012,10,1起,在上海證券交易所、深圳證券交易所主板上市公司實施;並擇機在中小板和創業板上市公司實施;鼓勵未上市大中型企業提前實施。為規範註冊會計師對財務報告內部控制的審計,提高執業質量,中國註冊會計師協會制定了《企業內部控制審計準則實施意見》,自2012+1年6月0日起施行。這些法律法規的實施表明,我國企業內部控制審計已經開始。重要性是審計的壹個基本概念,註冊會計師在計劃和實施財務報表審計時需要用到它。內部控制審計的實施促使註冊會計師重新審視和思考他們在財務報表審計中已經熟悉的重要性概念。如何正確認識內部控制審計的重要性,已成為註冊會計師關註的話題。
第二,內部控制審計準則中重要性概念的發展
我國《內部控制審計準則》明確指出,註冊會計師應當對企業是否在所有重大方面保持了有效的內部控制發表審計意見。註冊會計師在規劃審計工作時,應當評估重要性、風險等與確定內部控制重大缺陷相關的因素對審計工作的影響。無論是測試企業級控制還是業務級控制,註冊會計師都應把握重要性原則。可見,重要性概念在內部控制審計中被賦予了新的內容,它不再是財務報表審計中的重大錯報,而是內部控制中的重大缺陷。內部控制缺陷根據其影響程度分為重大缺陷、重要缺陷和壹般缺陷。重大缺陷是指壹個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。表明內部控制可能存在重大缺陷的跡象包括:註冊會計師發現董事、監事、高級管理人員舞弊;企業更正已公布的財務報表;註冊會計師發現當期財務報表存在重大錯報,但內部控制在操作過程中未能發現該錯報;企業審計委員會和內部審計機構對內部控制的監督是無效的。註冊會計師應當就重大缺陷與董事會和經理層進行書面溝通。此外,註冊會計師將非財務報告內部控制缺陷視為重大缺陷的,應當在內部控制審計報告中增加非財務報告重大內部控制缺陷的說明部分,披露重大缺陷的性質及其對實現相關控制目標的影響,提醒內部控制審計報告使用者關註相關風險。
美國薩奧法案(SOX)要求上市公司建立關鍵控制程序,這引起了對重要性概念的新關註。SOX要求上市公司的管理者及時發現和預防重要的控制弱點。當經理發現關鍵控制不符合最低質量標準時,他必須將這壹結果作為關鍵控制的例外。註冊會計師需要能夠識別關鍵控制例外,並運用重要性來確定其財務影響。2010年8月,美國上市公司會計監督委員會(美國公眾公司會計監督委員會)采用了八項新的審計準則,並在2010、12及後續財務期間的審計中生效。美國公眾公司會計監督委員會代理董事長Daniel Gauze表示:“這些新標準的引入意味著在促進準確的審計風險評估和最大限度地降低審計師未能發現重大錯報的風險方面邁出了重要壹步。確定風險並通過正確的審計計劃和審計活動應對風險,對於增強投資者對經審計的財務報表的信心至關重要。“其中,《審計準則第65438號+01號——計劃和實施審計中重要性的考慮》闡述了審計人員在計劃和實施審計中考慮重要性的責任,並再次強調了美國公眾公司會計監督委員會2007年發布的《審計準則第5號——財務報告內部控制審計與財務報表審計相結合》中指出的內容,即審計人員在計劃財務報告內部控制審計時應考慮重要性,且與2007年發布的《審計準則第5號——財務報告內部控制審計與財務報表審計相結合》不同。
第三,重要性概念在內部控制審計實踐中的應用
可見,中美審計準則都充分重視重要性的規定。與美國內部控制審計的發展相比,中國的內部控制審計業務剛剛起步,重要性是審計人員根據自己的專業判斷來指導項目組工作方向所考慮的重要因素。因此,借鑒國外經驗,加深對重要性的理解,進而在實踐中正確運用重要性概念是非常重要的。筆者認為,應註意以下內容:
(A)在綜合審計框架下確定的重要程度是壹樣的。
內部控制審計與財務報告審計有許多聯系:最終目的是提高財務信息質量;均采用風險導向審計模式,即首先實施風險評估程序,識別和評估重大缺陷(或錯報)的風險,然後采取針對性措施實施相應的審計程序;了解並測試內部控制;有必要確定關鍵審計領域,如關鍵賬戶和重要交易類別。在財務報告審計中,註冊會計師評價關鍵賬戶和重要交易類別是否存在重大錯報,而在內部控制審計中,註冊會計師需要評價這些賬戶和交易是否被內部控制覆蓋。但由於審計對象和判斷標準相同,在整合審計框架下,二者在審計中的重要性水平相同。
(B)從控制設計和運行效果兩個方面正確識別關鍵控制偏差。
關鍵控制偏差(缺陷)通常是內部控制設計缺陷或操作失敗的結果。註冊會計師在識別關鍵控制偏差(缺陷)時應註意兩點考慮:壹是內部控制設計的缺失。當管理者未能建立足夠數量的內部控制來實現控制目標時,設計就會失敗。同時,還應強調的是,任何時候關鍵控制失效,管理者都必須使用有效的補償性控制,以防止潛在的財務報表錯誤成為重大錯報。因此,在公司的整個內部控制計劃中,應該設計適當的補償性控制。二是內控運行失效。當設計的適當控制沒有被有效地操作時,它將導致操作失敗。再者,雖然設計合理,但在操作上並不符合內部控制的質量標準。
(C)根據潛在的錯報,正確確定關鍵控制偏差的財務影響。