下载掌阅APP,畅读海量书库
立即打开
内部控制的最初形式是内部牵制系统。1912年,R.H.蒙哥马利就在《审计理论与实践》中提出如果公司存在良好的内部牵制系统,审计人员就没有必要进行详细复杂的审计程序,应根据内控评价的结果来选择审计测试的方式。1939年,美国会计师协会(AIA)在《审计程序的扩展》中第一次提出了“内部控制”的概念,指出应依据独立审计人员对内部控制有效性的判断确定审计抽样和测试的范围;同年,AIA又出版了《内部控制、组织要素和会计师独立性》的专项说明,这是民间审计组织第一次定义内部控制的概念。1958年,《第29号审计程序公告》是美国注册会计师协会(AICPA)发布的将审计人员的评价公司内部控制责任范围限定在会计控制上的具体审计制度。
1988年4月,美国注册会计师协会颁布的《审计准则公告第55号》将会计控制与管理控制合为一体,同时将企业的内部控制环境也视为内部控制组成中重要的部分。1992年,全美反舞弊性财务报告委员会(简称COSO委员会)颁布《内部控制整体框架》,并在其中赋予内部控制较为规范性的含义,即“内部控制是由企业董事会、管理层及其他人员制定的为合理保证实现企业经营活动效率与效果、财务报告可靠性及遵守法律法规等目标的控制过程”;并提出了内部控制五要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督。2003年颁布的《内部控制——企业风险框架》在原有的内部控制五要素基础上增加了三项内部控制要素,即事项识别、目标制定与风险分析,至此构成了较为完整的包含八大要素的内部控制框架。
2008年,我国财政部等五部委发布的《企业内部控制基本规范》赋予内部控制如下含义:内部控制是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。该规范所提出的内部控制目标是经营合法合规目标、资产安全目标、财务报告目标、经营效率与效果目标以及战略发展目标。
SOX法案的第302条款与第404条款中明令要求上市公司的管理层需要对内部控制的有效性负责,并在对外公开披露财务报告的同时披露经外部独立审计师审计的内部控制自我评价报告。SOX法案的实施是内部控制审计至关重要的转折点,标志着美国企业的内部控制评价报告由自愿性披露阶段正式进入强制性披露阶段。SOX法案的第404条款中首次提到内部控制审计相关含义:会计师事务所对上市公司的管理层设计及执行的内部控制进行外部独立评价并出具评价报告。随后,美国上市公司会计监督委员会(PCAOB)颁布的审计2号准则(以下简称AS2)明确指出,内部控制审计的目标是外部审计师对上市公司的财务报告内部控制有效性发表审计意见。2002年3月,中国注册会计师协会(简称中注协)颁布《内部控制审核指导意见》,明令规定上市公司应聘请外部独立审计师对公司财务报告的内部控制进行审核,并就其有效性发表审核意见。在此阶段,内部控制鉴证业务仅是提供有限保证的审核业务。直至2006年颁布《上市公司内部控制指引》,明令要求上市公司不仅要披露经审计的财务报告,也要披露管理层的内部控制自我评价报告,还需聘任外部独立审计师对内部控制评价报告出具核实意见。2010年,财政部等五部委联合发布《企业内部控制审计指引》,首次以书面形式规范定义内部控制审计:内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
在内控审计指引中明确内控审计师需要对公司内控缺陷进行识别和评价,将内控缺陷分为一般缺陷、重要缺陷和重大缺陷,并增加了非财务报告重大缺陷的说明。当审计师发现公司存在内部控制重大缺陷或多个重要缺陷时需要出具非标准内控审计意见。一般缺陷和重要缺陷需要审计师对公司董事会进行说明。公司的内部控制评价报告也需要向外部审计师提交。
(1)审计监督功能
审计监督功能是基于审计需求的代理理论产生的。代理理论认为无论是在自由市场环境下公司自愿接受审计,还是在强制市场环境下公司进行审计以及选择高质量审计师进行审计,其动机都在于,缓解委托人和受托人的代理冲突,降低委托代理关系中的代理成本。市场中委托人包含股东和债权人。在中国资本市场中的代理问题还包含大股东与小股东的代理问题以及政府与上市公司的代理问题。因此,审计的监督功能主要是确保委托人的利益不受侵害,保障股东、债权人和政府的利益。
内部控制审计的监督功能,主要是针对公司存在可能导致管理层机会主义行为的内部控制进行审计,甄别公司内部控制是否有效,是否存在可能导致重述、舞弊和造假行为发生的内部控制缺陷;监督公司披露真实的内部控制缺陷信息和内控评价报告,通过持续的内控审计,监督公司改进内部控制治理,通过内部控制审计意见来反映公司内部控制的有效性,并监督公司修正内部控制缺陷。此外,内部控制审计的监督功能也相对节约了政府的监管资源,提高了市场效率,维护了市场的公平与公正。
(2)审计信息功能
审计信息功能是基于审计需求的信息理论而产生的。信息理论认为审计具有改善海量财务信息和通过信号传递有效配置资源的作用。信息理论包含信号传递观和信息系统观。信号传递观认为审计可以向投资者传递可信的公司信息来缓解信息不对称的问题,同时传递公司管理层对未来现金流量的预期。信息系统观认为审计可以增进财务信息的可信性和决策有用性,满足整个市场各方参与者的需求。
内部控制审计的信息功能,主要通过内部控制审计意见向市场各方传递公司内部控制有效性的信息;将内部控制审计过程中对公司内控缺陷识别并与公司管理层及董事会的沟通等信息反映在内部控制评价报告中并由公司披露相关信息;通过对内控审计意见信息和内控评价报告信息的披露来满足市场参与者的信息需求,促使市场参与者进行有效的投资决策。此时内控审计意见具有信息含量。
(3)审计保险功能
审计保险功能是基于审计需求的保险理论所产生的。保险理论认为审计是财务报表风险的一个转移机制,通过审计来降低信息使用者的信息风险,以便于公司契约的签订和履行。保险理论中信息风险的降低通过两种机制进行:其一是信息的鉴证机制降低公司、审计师和投资者的信息风险;其二是信息的保险机制将财务信息风险全部或部分转嫁给保险人,公司的财务错误和舞弊信息并不一定被消除,但同样能降低信息使用者的损失风险。保险机制的实现需要有效的法律制度安排。
内控审计的保险功能,主要通过审计师对公司实施内部控制审计和出具内控审计意见预警的方式来减轻公司和审计师的责任。一方面,对公司和审计师来说,公司存在各类与内控相关的风险,即可能的经营、处罚和违规都可能引起诉讼和赔付风险,因此公司股东愿意聘请内控审计师来对公司实施内部控制审计;审计师出具非标内控审计意见可以为公司释放可能的风险,避免公司被起诉。此时内控审计的保险功能通过预警的方式减轻了公司和审计师的责任。另一方面,对投资者而言,内控审计的保险功能实现源于审计师的民事赔偿责任制度。如果审计师对公司出具了内控有效的标准无保留意见,而投资者却因公司内部控制无效而产生的虚假陈述、财务造假和欺诈等行为遭受损失,投资者可以向审计师提起民事诉讼赔偿请求。此时内控审计的保险功能将通过诉讼的方式来实现。
审计质量是审计师能够发现并报告财务报表中包含的重大错报或漏报的联合概率(DeAngelo,1981)。从审计需求端考虑,审计质量的驱动因素主要是公司治理下的监督需求、市场中介下的信息需求和高诉讼风险环境中的保险需求;而从审计供给方考虑,主要需关注审计风险管理及市场竞争策略对审计质量的影响(陈汉文,2012)。
因此,决定内部控制审计质量的关键属性是内部控制审计师的胜任能力和审计师独立性。具有高内控审计执业能力的审计师才更可能发现公司存在的内部控制缺陷,同时保持高独立性的内控审计师才可能充分报告并披露公司的内部控制缺陷,为信息使用者提供准确的内控审计意见。内控审计质量高,可以满足相关的审计需求,能够充分实现内控审计的监督功能、信息功能和保险功能;反之,内控审计质量低,内控审计的各项功能不能被充分实现,内控审计质量也会受到审计供给端市场竞争、审计风险等因素的影响。在市场竞争压力下,审计师也会基于风险和收益平衡的考虑而做出损害内控审计质量的行为,具体表现为内部控制审计意见购买,妨碍内控审计的各项功能正常发挥。