2006年2月25日颁布的《中国注册会计师执业准则》(以下简称“新审计准则”)中,对内部控制进行了相关规定,与旧准则中的相关规定相比发生了较大变化。这些规定既适应了被审计单位在激烈的市场经济竞争中不断的发展变化对审计实务提出的新要求,同时也充分体现了新审计准则所倡导的风险导向审计的理念,将对我国的审计实务与注册会计师产生深远的影响,笔者拟对其予以诠释和归纳。
为了规范注册会计师在会计报表审计中对被审计单位的内部控制的研究与评价,中注协曾颁布《独立审计具体准则第9号——内部控制与审计风险》对内部控制的概念、固有局限性、了解评价的程序、测试的条件及程序等作了具体的规定,对内部控制的特殊考虑则在《独立审计实务公告第3号——小规模企业的特殊考虑》的第三章“对内部控制的特殊考虑”进行了规范。但在新审计准则中涉及到内部控制的有关规定却涵盖在《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》(以下简称1211号准则)的第四章“了解被审计单位的内部控制”和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》(以下简称1231号准则)的第四章“控制测试”中,对内部控制的特殊考虑在《中国注册会计师审计准则第1621号——对小型被审计单位审计的特殊考虑》第四章“风险评估程序”和第五章“进一步审计程序”的部分条款进行规范。这些与内部控制相关的新规定具有以下几个方面的特点:
中国注册会计师协会在2006年颁布的1211号准则的第46条、47条中,对内部控制的概念及要素重新进行了界定,提出“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序”以及“内部控制包括控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五大要素”。内部控制的新概念基本是参照1992年COSO委员会发布的《内部控制-整体框架》报告提出的由“三个目标”和“五个要素”组成的内部控制的整体框架理论,这表明中注协为实现审计准则的国际化趋同,采纳了目前世界最为权威的且被公司董事会、管理当局、投资者、债权人、审计人员及专家学者普遍认可的“内部控制-整体框架”观点,相对于《独立审计具体准则第9号——内部控制与审计风险》中的内部控制三要素理论是一个重大的突破。内部控制的新概念引入了风险评估、信息系统与沟通等新要素,更强调对企业进行动态控制,并突出强调了控制环境的重要性,更加适合处于瞬息万变的市场经济中各类企业的应用。、
内部控制要素的分类为注册会计师提供了了解被审计单位内部控制的框架。在1211号准则的第66条至第95条中分别指出了被审计单位的控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五要素的涵义、组成要素、作用及各要素间的关系,同时规范了注册会计师对五要素了解的具体内容与执行的风险评估程序。由于控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施,具体由对诚信和道德价值观念的沟通与落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构、职权与责任的分配以及人力资源政策与实务七个要素构成。这充分说明控制环境实质是被审计单位管理层和治理层对内部控制的整体态度、认识以及所采取的措施的综合反映,即:控制环境设定了被审计单位的内部控制基调,可影响员工对内部控制的认识和态度,既可增强也可削弱特定控制的有效性,进而影响到企业内部控制的贯彻、执行以及企业经营目标与整体战略目标的实现。因此,在1211号准则第70条中提出“控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱”,在第100条中指出“财务报表层次的重大错报风险很可能源于薄弱的控制环境”,从而明确了控制环境在五要素中的核心地位。良好的控制环境是实施有效内部控制的基础,无论控制环境的哪个构成要素存在重大缺陷,都会影响其他要素的有效性;而且薄弱的控制环境带来的风险可能对财务报表产生广泛影响,不仅会导致某类交易、账户余额、列报的错报,往往还会影响到报表整体的合法性与公允性,导致财务报表层次的重大错报风险。
三、强调仅需关注与审计相关的控制
1211号准则第50条提出了“与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。”这表明注册会计师在了解评价与测试被审计单位的内部控制时,仅需要关注那些与财务报表审计相关的内部控制,而不需要关注被审计单位所有的内部控制。因此,注册会计师是否需对某一项控制进行了解、评价以及测试,取决于该项控制单独或连同其他控制是否与评估的重大错报风险有关,是否与针对评估的风险设计和实施进一步审计程序有关。一般情况下,与审计相关的控制包括:被审计单位为实现财务报告可靠性目标设计和实施的控制;注册会计师在设计和实施进一步审计程序时如果拟利用被审计单位内部生成的信息,则保证信息完整性和准确性的控制可能与审计相关;用以保证经营效率、效果的控制以及对法律法规遵守的控制如果与实施审计程序时评价或使用的数据相关,则这些控制可能与审计相关。
1211号准则的第57条至第63条既明确指出了内部控制包括人工成分与自动化成分,界定了信息技术与人工控制的适用范围及其对内部控制产生的特定风险;同时又明确了对注册会计师的要求,即:由于信息技术与人工控制的适用范围及其产生的相关内部控制风险存在很大差异,注册会计师必须根据被审计单位内部控制的人工与自动化成分,在风险评估以及设计和实施进一步审计程序时,采取不同的审计程序类型、不同的审计时间与不同的审计范围,以恰当评价被审计单位的内部控制,保证控制测试的效果,获取充分、适当的审计证据。