摘要:日本和中国的公司内部控制评价与审计规范都借鉴了美国的内部控制报告制度,但中日两国规范的具体要求和内容存在显著的异同,日本内部控制评价与审计规范中对于实施成本的考虑、信息技术的应对要素以及评价与审计范围,关于完善我国的公司内部控制评价与审计规范具有借鉴意义。 日本在《财务报告内部控制评价与审计原则》中将内部控制目标确定为四个:即经营的有效和效率、财务报告的可靠性、营业活动遵循相关法学以及资产保全。我国《公司内部控制基本规范》规定了五个目标:即合理保证公司经营管理合规合法、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进公司实现发展战略,比较而言,战略目标是日本内部控制评价与审计规范中没有提及的。 从内部控制要素来看,日本《财务报告内部控制评价与审计原则》将内部控制基本要素确定为六个方面:控制环境、风险的评估与应对、控制活动、信息与沟通、监控、信息技术的应对;中国《公司内部控制基本规范》确立的内部控制框架包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。尽管两国规范关于相关要素的表述有所不同,但前五个要素的内容大体相近,所不同的是日本的内部控制规范要比我国多一个要素――信息技术的应对。所谓信息技术的应对是指为实现组织的目标事先规定合理的政策及程序,根据这些政策及程序在业务实施中对组织内外的信息技术进行合理的应对,具体包括信息技术环境的应对与信息技术的利用和控制。日本内部控制规范制定机构认为:尽管美国的COSO报告未提及这一要素,但近些年,信息技术发生了飞跃性进展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统高度采用信息技术等的近况,使很多组织离开信息技术就不能进行业务活动。将信息技术的应对增加为基本要素,表明在信息技术深刻作用组织的状况下,在执行业务的过程之中,对组织内外的信息技术进行合理的应对,已经成为实现内部控制目标所不可或缺的[1]。 三、中日公司内部控制评价与审计规范对内部控制缺陷的分类不同 对于内部控制缺陷,中日内部控制规范都认为包括设计(构建)缺陷和运行缺陷,但对其划分的类别却不同。日本《财务报告内部控制评价与审计实施原则》基于对财务报告可靠性产生作用的程度,将内部控制的缺陷划分为“缺陷”和“重要缺陷”两类。我国内部控制评价指引根据内部控制缺陷作用整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷三类,比日本的划分更细。 四、中日内部控制审计规范的具体要求不同 从内部控制审计主体来看,日本《财务报告内部控制评价与审计原则》对内部控制审计主体有强制要求,规定内部控制审计由从事该公司财务报表审计的同一审计人员实施,这里的同一审计人员不仅要求同一会计师事务所,而且也要求是同一执行业务的合伙人。我国的审计指引第五条规定:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。可见,我国公司内部控制规范并未对内部控制审计主体作出强制性限制。 关于内部控制审计意见类型,日本财务报告内部控制评价与审计原则以及实施原则规定:内部控制审计报告意见可以分为无限定合理意见、附有除外事项的无限定合理意见、附有除外事项的有限定合理意见、内部控制报告内容不适当的意见和无法表示意见②。我国的审计指引将内部控制审计报告意见分为无保留意见、带强调事项段的无保留意见、否定审计意见和无法表示意见,两国所不同的是对于保留意见的规定。日本规定表述保留意见的条件是:因未能实施重要的审计手续而不能表明无限定合理意见的情况下,审计人员在判断其作用未达到对内部控制报告不能表明意见程度而不具有重要性时,必须表明附有除外事项的有限定合理意见。在这种情况下,必须在实施的审计的概要中记载未能实施的审计手续,在对内部控制报告的意见中记载该事项对财务报表审计产生的作用[1]。我国的审计指引第三十一条规定:如果注册会计师审计范围受到限制,应当解除业务约定或出具无法表示意见的内部控制审计报告,并不允许发表保留意见。如果财务报告内部控制存在一项或多项重大缺陷的,日语毕业论文,除非审计范围受到限制,应当发表否定意见。上述规定表明,我国不允许注册会计师签发保留意见的内部控制审计报告,因为审计范围受到限制,难以确定财务报告内部控制的有效程度,因此,只要审计范围受到任何限制,就要出具无法表示意见的审计报告或选择解除业务约定。 中日两国对于内部控制审计报告的形式要求也不同。日本《财务报告内部控制评价与审计原则》规定:财务报告内部控制审计的目的在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价原则,在所有要点上是否适当表明内部控制有效性的评价结论,将基于审计人员自身取得的审计证据进行判断的结果作为意见予以表明。同时规定:内部控制审计报告准则上与财务报表审计报告一并编制。我国的审计指引第二条指出:内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。第二十七条指出:注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告,标准内部控制审计报告应当包括标题、收件人、财务报告内部控制审计意见段、非财务报告内部控制重大缺陷描述段等要素。尽管中日两国都要求对内部控制审计结果以报告的方式表明,但内部控制审计意见报告形式的异同十分明显。日本为了减小审计成本,没有采用审计人员直接对内部控制的构建和运行状况进行验证的形式,而是要求对管理层进行的财务报告内部控制有效性评价的结论予以审计并发表意见,也就是采用间接发表意见的形式。中国的规范要求对内部控制设计与运行的有效性进行审计,采用的是直接报告的形式,并且要求单独编制审计报告。两种报告形式比较而言,直接报告形式尽管成本负担大,但能够以独立的第三者的身份提供内部控制设计与运行有效性的结论,从而为信息使用者提供决策的依据。日本的间接报告形式从制度设计来看是希望降低成本,事实上,实际运用状况并不理想。注册会计师在执行审计时,为了验证经营者的评价是否合理,必须对公司内部控制的有效性进行检查, 因为只有在证明内部控制制度有效的基础上才能对经营者所做的内部控制评价是否合理做出结论。为此,要深入实际操作层次检查内部控制制度的存在,然后再抽取相关资料样本,从样本中留下的痕迹来验证内部控制运行是否有效[4]。可见,日本的间接报告形式远比制度设计所预想的审计工作要多。 五、日本内部控制评价与审计规范对我国的启示 (一)日本内部控制评价与审计规范对于实施成本的考虑对我国的启示 一项制度的创新可以促使交易成本降低,一项制度的实施自身也有执行成本,只有当制度的执行成本低于制度创新所节约的交易成本时,这项制度才会被人们自觉遵守。美国的内部控制报告制度就因为高昂的执行成本而饱受各方指责。根据萨班斯法案404条款以及美国证券交易委员会颁布的《最后规则》和美国上市企业会计监督委员会发布的第2号审计原则,上市企业须提交与财务报告有关内部控制有效性的管理当局报告和审计师对与财务报告有关的内部控制有效性的意见。实践表明,执行萨班斯法案404条款不仅直接成本高昂,间接(机会)成本对美国社会的作用更为深远[5]。为了进一步落实萨班斯法案,日语论文,美国证券交易委员会和上市企业会计监督委员会采取了多项方法,以设法降低内部控制报告制度的执行成本,增进其执行效果,比如,推迟小公司及外国大公司执行404条款的时间,针对小公司开发了《小公司COSO内部控制框架》,制定第5号审计原则取代第2号审计原则,精简审计程序、使用整合审计的工作成果等[6]。 日本在制定内部控制评价与审计规范时,对美国内部控制报告制度的运行情况进行了深入调查,没有完全照搬其做法,而是充分考虑了其执行成本的问题。主要体现在:在审计范围上,只对财务报告内部控制进行评价和审计,将内部控制缺陷由三类简化为两类,对财务报告审计和内部控制审计实施整合审计并一起编制报告,对内部控制审计主体具有强制要求,允许内部控制审计人员与监事或审计委员会等监督部门之间进行合理的合作,适当利用内部审计人员的业务,以及采用对内部控制间接发表审计意见的形式等方面。日本的这些考虑关于我国有效实施内部控制报告制度具有重要的借鉴意义。 我国公司内部控制评价与审计规范将内部控制评价内容作为一项制度创新,要求不仅对财务报告内部控制有效性进行评价,还要对非财务报告内部控制有效性进行评价;注册会计师不仅要对财务报告内部控制的有效性发表审计意见,还要对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以描述,显然,评价与审计的成本会大于日本,此外,我国内部控制评价与审计规范中对审计主体的可选择性和对整合审计的非强制性要求也可能会加大内部控制报告制度的执行成本。我国公司内部控制评价与审计规范的出发点是希望突破单纯财务报告内部控制观念的束缚,更为全面地发挥内部控制的影响和效力,增强内部控制审计报告与自评报告的协调性,但在实施中执行成本是否能被公司所承受,还有待在实践中进一步检验和探讨。事实上,从成本效益准则考虑,实施整合审计并合并编制报告,可以使公司更“经济”地委托审计,因为内部控制审计与财务报告审计的目的具有一致性,都是为了合理保证财务信息的可靠性,提高公司对外公布的财务信息的质量,我国内部控制审计与财务报告审计都实施风险导向的审计模式,通常情况下,两种审计都要实施风险评估程序和控制测试③,所获取的审计证据和结论可以相互参照,财务报告审计的实质性程序发现的错报可以为内部控制审计提供线索,是对内部控制审计程序的一种有益补充。同时由相同的注册会计师承担两种审计工作,可以加深对被审单位的了解,不仅有利于节约审计成本,而且能够控制审计风险,提高两种审计的质量。从各国的审计实践来看,当前没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标[7]。鉴于此,我国应当在内部控制审计规范中强制规定由相同的审计人员对同一客户的内部控制审计与财务报告审计实施整合审计,并合并编制报告。 (二)日本内部控制评价与审计规范中信息技术的应对要素对我国的启示 当今社会,信息技术(简称IT)的广泛运用对公司的经营管理产生了深刻的作用,也给公司的内部控制带来了巨大的冲击与挑战,传统的内部控制方式在信息技术的作用下发生了根本性的变革,原有的基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的信息技术内部控制[8]。应用信息技术实施公司内部控制,同时加强对信息技术运用风险的控制,已是公司必须面对和解决的问题。早在1977年,国际内部审计师协会就发布了《系统可审计性与控制》的报告,旨在对信息系统与技术的控制提供一个合理的指导,这一报告被业界认为是第一个与IT业有关的内部控制框架。国际组织信息系统审计与控制协会在1996年制定了《信息与相关技术的控制目标》,为信息技术安全与控制实践以及信息技术审计提供了运用原则。2017年12月,信息系统审计与控制协会联合信息技术治理委员会共同发布了《服务萨班斯法案的信息技术控制目标》,帮助信息技术职业界理解管理层在内部控制有效性上的法定报告要求,同时指导信息技术业界如何帮助管理层符合这些要求[9]。日本充分考虑了信息技术环境的发展变化以及日本公司的实际情况,在内部控制框架中将信息技术的应对作为内部控制的一个基本要素,在实施原则中明确了在信息系统中使用信息技术的情况下,管理层对内部控制进行评价的具体方法,以及审计师对内部控制进行审计的具体方法。目前,尽管我国公司信息技术的运用还处于较低水平,但大中型公司尤其是上市企业的信息化建设水平相对较高且发展迅速,而这些单位正是我国内部控制规范的主要对象。当前我国适用的内部控制规范已经关注到了信息技术对内部控制的作用,《公司内部控制基本规范》第七条指出“公司应当应用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”第二十二、四十一条也有涉及,同时,信息系统运用指引对公司信息系统的开发、运行与维护做出了规定,体现了关于信息技术对内部控制作用的重视,但这些规范只是强调了信息技术的一般控制和运用控制,并未形成融合信息技术的控制体系,也没有信息技术内部控制的评价和审计标准,因此,我国内部控制规范在未来的完善中应当借鉴日本的经验,增加在运用信息技术环境下内部控制的建立、评价与审计的具体标准与运用指南,在理论上也应当先期开展相关方面的探讨。 (三)日本内部控制评价与审计规范中对于评价与审计范围对我国的启示 日本内部控制评价与审计规范将评价与审计范围确定为财务报告内部控制,与美国的规定是相同的,我国也应当将内部控制评价与审计的范围限定为财务报告内部控制,这不仅是因为评价与审计成本的问题,更重要的是因为评价与审计的目的所要求的[10]。从萨班斯法案要求符合批报规则的企业对外披露内部控制信息的最初动机来看,美国国会旨在通过强制实施内部控制报告制度,以打击上市企业财务舞弊,合理保证财务报告质量,也就是说,内部控制评价与审计制度出台的目的是为了进一步解决财务报告的可靠性问题,保证资本市场的秩序。财务报告是一种社会信息,是投资者等利益相关者据以决策的依据,实践表明,现有的财务报告与审计制度不能完全解决财务信息的可靠性问题,于是,人们从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,即为了实现合理保证财务报告可靠性的目的,管理层要对财务报告内部控制的有效性进行评价,为了增强信息使用者对管理层财务报告内部控制自评报告的信任程度,注册会计师要对财务报告内部控制进行审计。因此,内部控制评价与审计是对财务报表审计的有益补充。投资者除了可获得财务报表审计报告外,还能获得内部控制审计报告,可通过内部控制审计报告的意见类型来辨别管理层内部控制信息披露的质量,了解其对财务报告信息披露的作用[11]。也就是说,只对财务报告相关的内部控制进行评价与审计就可以实现内部控制报告制度的目的,满足投资者等利益相关者的信息需求。这样既可以降低内部控制评价与审计的成本,又可以消除人们关于整体内部控制审计时过于扩大注册会计师审计责任范围以及超越注册会计师专业能力范围的担忧。 注释: ① COSO是Treadway委员会的发起组织委员会(Committee of Sponsoring Organizations)的英文简称,1992年,COSO发布的《内部控制――整合框架》报告也称为COSO报告(1994年进行了局部修改),COSO报告是内部控制领域最为权威的文献之一,已被美国和国际及一些国家审 计原则制定机构、银行监管机构所采用。 ② 日本财务报告内部控制评价与审计原则规定:因审计范围的约束,未能实施重要的审计手续而不能取得对内部控制报告表明意见的合理的基础时,审计人员不得表明意见。在这种情况下,必须记载不能表明对内部控制报告的意见的内容及理由,本文将这种情况称为无法表示意见。 ③ 根据我国审计原则的规定,在财务报表审计中,控制测试并非一定要实施,当注册会计师在评估认定层次重大错报风险时,预期控制的运行是有效的,或仅实施实质性程序并不能提供认定层次充分、适当的审计证据时需要实施控制测试。 参考文献: [1] 日本公司会计审议会发布.日本内部控制评价与审计原则[M].李玉环,译.大连:东北财经学院出版社,2017:2,48,30. [2] 于蒙.公司内部控制规范广泛征求意见[EB/OL].[2017-03-09].中国财经报网站: 省略/web/ckb/2017-03/09/content_337562.htm. [3] 公司内部控制标准委员会秘书处.公司内部控制基本规范发布会暨首届公司内部控制高层论坛专辑[C].北京:中国财政经济出版社,2017:63,52-61. [4] 张影.日本内部控制审计及其对中国的启示[J].上海立信会计大学学报,2017(4): [5] 黄京菁.美国 SOA404条款执行成本引发争议的评述[J].会计探讨,2017(9):86-89. [6] 孟焰,张军.萨班斯法案 404 条款执行效果及借鉴[J].审计探讨,2017(3):96-100. [7] 谢晓燕,张龙平,李晓红.我国上市企业整合审计探讨[J].会计探讨,2017(9):88-95. [8] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计探讨,2017(7): 29-35. [9] 王宏.基于国际视野与科学发展的我国内部控制框架体系探讨[D].西南财经学院硕士学位论文,2017:271-274. [10]韩丽荣,郑丽,周晓菲.我国公司内部控制审计目标的理论略论及现实选择[J].吉林学院社会科学学报,2017(5):125-131. [11]陈小林,陈作习.论内部控制审计动因、成本与收益[J].财会月刊,2017(7):77-79. (责任编辑:李江) |
