我国内部控制审计现状及审计规范体系探讨(编辑修改稿)

我国内部控制审计现状及审计规范体系探讨(编辑修改稿)内容摘要：

有效的财务报告内部控制，报告财务报告内部控制的有效性，并要求外部审计师证实管理层报告的准确性，也即要求外部审计师对财务报告内部控制进行审计。 萨班斯法案要求成立独立的公众公司会计监管委员会（ PCAOB），并授权美国证券交易委员会（ SEC）对 PCAOB 实施监督。 PCAOB 负责监管执行公众公 司审计业务的会计师事务所及其 注册会计师，并有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等。 作为对萨班斯法案的回应， 2020年 3月 9日， PCAOB发布了《审计准则第 2 号 —— 与财务报表审计相关的针对财务报告内部控制的审计》（ AS ），并于 5 6月 18日经 SEC批准。 AS 表审计的关系等问题。 考虑到法案的执行成本过高 ① ， PCAOB于 2020年 5月 24日颁布了《审计准则第 5 号 —— 与财务报表审计相整合的财务报告内 部控制审计》（ AS ）。 AS 从审计计划、审计方法（由上而下、风险导向）、控制测试、评估缺陷、形成意见、内控报告、对他人工作的使用、获得他人的直接帮助等方面为内部控制审计提供了详细的指引。 此外， AS ，从而 进一步完善 了财务报告内部控制审计准则。 2020年 7月 25 日， SEC批准了该准则，并明确表示会计年度在 2020年 11月 15日及其之后结束的上市公司审计工作都将用第 5号审计准则来代替原来指导 404条款执行的第 2号审计准则。 （ 三 ）对我国 的建议 在本文第二部分， 笔者 发现审计师在执行内部控制审计过程中，参考了不同的执业准则，而根据前文的分析，有些准则的目标定位和目前已成为独立常规业务的内部控制审计并不相符。 2020年最终颁布的《内部控制审计指引》，也未明确指出审计师执行内部控制审计时应参考的 具体 准则，而 是 在其后附的“内部控制审计报告”参考格式引言段中指出：“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了„„” 首先，《审计指引》仅对内部控制审计提供了原则上的指导，涉及审计计划、审计方 法、控制测试、缺陷认定及缺陷评价、形成结论并出具报告 等 具体内容时，指导性明显不足。 这也是为什么很多事务所不得不参照《内部控制审核指导意见》、《中国注册会计师其他鉴证业务准则第 3101号》、《中国注册会计师准则第 1211 号》 等准则 的原因之一。 其次，对内部控制的测试和评价业务已从传统的财务报表审计业务中独立出来，并由原来的一次性业务或面向特定企业的业务（原来仅要求 A 股企业在首次公开发行时提供、赴美国和日本等地上市的企业和金融证券保险等高风险行业提供）变成了与财务报表审计并列的经常性业务，与传统的财务报表审 计相同，财务报告内部控制审计也是注册会计师的法定业务。 基于以上两点原因，借鉴美国的做法以及我国的财务报表审计准则，笔者认为， 应 在中国注册会计师执业准则体系鉴证业务准则中新增详细的内部控制审计准则，与目前的中国注册会计师审计准则、中国注册会计师审阅准则和中国注册会计师其他鉴证业务准则（分别简称审计准则、审阅准则和其他鉴证业务准则）并列，可命名为《中国注册会计师内部控制审计准则》，也可根据实际需要，制定详细的序列准则：《中国注册会计师内部控制审计准则XX 号 —— 审计计划 /审计方法 /控制测试 /缺陷评估 /审计意见 /审计报告 /特殊事项考虑/„„ 》 ， 原有的《中国注册会计师审计准则》更名为《 中 国注册会计师财务报表审计准则 》。 ② 新增内部控制审计准则之后的中国注册会计师执业准则体系如 图 1所示。 ① 萨班斯法案 颁布之后， 一直遭到多方面的质疑，其中 404 条款被认为是所有条款中最严厉、最昂贵并饱受争议的条款。 许多公司因忍受不了如此严厉的监管和高昂的遵循成本而纷纷退市， 404 条款被认为是造成“退市潮”最主要的原因。 ② 当然，考虑 到财务报告内部控制审计和财务报表审计之间的关联性 以及审计成本， 也可参照美国的 AS 制定《财务报告内部控制 审计和财务报表审计相整合的审计准则》。 6 由中注协制定详细的内部控制 审计 准则，可以加强对内部控制审计工作的指导，维护注册会计师执业准则体系的系统性和完整性。 参照 PCAOB AS 告的要求 以及我国的财务报表审计报告 的格式 ， 在制定了新的内部控制审计准则之后， 笔者建议 将 《审计指引》 引言段 中的 “按照《企业内部控制审计指引》及中国注册会计师执业准则 的相关要求，我们审计了„„”，改为“按照中国注册会计师内部控制审计准则， 我们 审计了„„”。 目前， 对于在 中美同时上市的 公司，出于披露成本的考虑， 注册会计师 可遵循美国 PCAOB制定的 审计准则；随着审计准则体系的国际趋同， 对于跨国上市的公司， 注册会计师 也可遵循 国际审计准则或其他国家的相关准则。 、类型、内容和格式 我国《基本规范》要求企业提供注册会计师的内部控制审计报告。 如前所述， 从 2020年披露的报告标题和内容可以看出，大多企业有违《基本规范》的初衷， 事务所 并未严格按照《基本规范》 和《配套 指引》 的要求 出具对内部控制有效性的鉴证意见。 《审计指引》明确将报告标题命名为“内部控制审计报告”， 并且分标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告、无法表示意见内部控制审计报告四种类型，统一了报告的内容和格式。 但该指引仍存有待商榷之处。 首先，《审计指引》指出“注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加 ‘ 非财务报告内部控制重大缺陷描述段 ’ 予以披露。 ”由于 注册会计师 最终仅对财务报告内部控制的有效性发表意见， 非财务报告内部控制重大缺陷是注册会计师在执行财务报告内部控制 审计过程中“附带 ” 注意到的内容，并非注册会计师的核心关注对象。 因此， 将审计师报告 统一 命名为“内部控制审计报告”仍 有 不妥 ， 审计师的鉴证对象其实是“财务报告内部控制”，而非更宽泛意义的“企业内部控制”， 笔者 建议将该报告统一命名为“财务报告内部控制审计报告”。 其次，在财务报表审计中，报告类型包括标准无保留意见、带强调事项段的无保留意见、保留意见、否定意见和无法表示意见 ， 而在内部控制审计业务中， 则去掉了保留意见。 当注册会计师在审计过程中 （无论是财务报表审计还是财务报告内部控制审计） 发现与被审单位存在对内部控制和内部控制缺陷的不同认识，两方无法达成一致意见，或者发现内部控制存在重要缺陷，但其严重性不足以发表否定意见时，审计师是否可以出具保留意见。 再次，前已述及，虽然内部控制的设计和执行是个连续的过程，但我国《审计指引》要求注册会计师对特定基准日内部控制设计和运行的有效性发表意见 ①。 因此，在内部控制报 ① 需要注意的是 ， 这 并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。 按照指引的规定，注册会计师在对特定基准日内部控制的有效性发表意见图 1 完善后的 中国 注册会计师执业准则 体系 7 告的意见段中，有必要对此基准日做出明确说明，以免误导信息使用者，而《审计指引》并未强调该日期。 参照传统的财务报表审计报 告和美国 PCAOB AS ，笔者认为，审计报告中应该规范对基准日期的说明，意见段修改为：“我们认为，根据《企业内部控制基本规范》（或其他公认的有效内部控制框架），截至 201X年 12月 31日， XX公司在 所有重大方面保持了有效的财务报告内部控制。 ” 最后，内部控制审计是一项独立的鉴证业务。 《中国注册会计师鉴证业务基本准则》指出，鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。 鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果。 具体到内部控 制审计，注册会计师要对内部控制的有效性（鉴证对象）进行评价并出具鉴证报告，而对其进行评价必须参考一个适当、公认的标准（控制框架）。 因此，内部控制报告中，应该明确说明注册会计师所参考的框架。 前文我们发现，不同的注册会计师参考的框架并不完全相同，甚至同一份报告里面出现了两个不同的框架。 《审计指引》在意见段中明确标明“我们认为，公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。 ” 但 笔者认为，有关内部控制框架的选取，应该持开放的态度，而不仅限于我国的《基本规范》。 关于框架的选取标准，可以借鉴美国 SEC的做法。 SEC最终规则 338238要求管理层的评价必须依据由 某一机构或团体依 正当 程序（包括要广泛征求公众 对框架的 评论） 而 建立 的合适、可识别的框架，并且自评报告应披露该框架。 SEC认为，一个 合适的 框架必须： （ 1） 没有偏见 ；（ 2。