内部控制报告需要审计吗?,本文主要内容关键词为:内部控制论文,报告论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,内部控制在公司治理中的地位得到了政府监管机构的空前重视。作为一项新的制度设计,2002年7月美国《萨班斯—奥克斯利法案》(以下简称“SOX法案”)的出台对上市公司明确提出了评价、披露及审计(审核)内部控制的强制性要求,其他国家(包括我国)也相继在本国着手实施类似的监管措施,引发了国内外对上市公司内部控制及其信息披露监管的强烈关注与探讨。其中有一个存在争议的问题——内部控制报告需要审计吗?当前各国对这一问题的政策规定并不一致,但其答案对未来的财务报告监管框架及发展方向至为关键,也将直接影响到内部控制披露制度及独立审计制度设计的一系列连锁性反应。本文从系统论及财务报告控制机制协同性的角度,对内部控制报告审计制度的监管含义进行了探讨。
一、内部控制报告审计的提出背景
内部控制信息披露的演进经历了自愿性披露和强制性披露两个阶段。早在20世纪七八十年代,美国Cohen委员会和Treadway委员会就曾对公司管理层披露内部控制报告并进行审计提出建议,但因为制度运行成本过大等原因未能付诸实施。始于安然事件的一系列财务丑闻使得公众开始意识到资本市场的系统性缺陷才是屡禁不止的财务造假的根源,单单依靠独立审计师来承担防范公司造假的责任也许并不现实。基于此,2002年7月美国国会通过了SOX法案,该法案中404条款及相关的103、302条款明确规定了上市公司内部控制信息强制性披露的法律责任,同时提出了对内部控制有效性进行法定审计的要求。
为了配合SOX法案404条款的实施,美国证券交易委员会(SEC)于2002年10月22日发布第33-8138号提案,并于2003年6月5日颁布最终规则《管理层对财务报告内部控制的报告及其对定期披露的证明》,其中对财务报告内部控制进行了定义:财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司董事会、管理层和其他人员影响的,为财务报告的可靠性和财务报表编制符合公认会计原则提供合理保证的控制程序。与COSO报告中对内部控制的定义相比,这一定义仅仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率和效果目标。2004年3月9日,美国公众公司会计监管委员会(PCAOB)发布了第2号审计准则《与财务报表审计相关的财务报告内部控制审计》(ASNO.2),要求由同一会计师事务所同时执行同一公司的财务报表审计业务和财务报告内部控制审计业务,并提出了将两者整合审计的理念。2007年7月,PCAOB又发布了第5号审计准则《与财务报表审计相整合的财务报告内部控制审计》(AS NO.5),以取代AS NO.2,对财务报告内部控制审计准则作了进一步的完善。
继美国颁布SOX法案之后,许多国家都纷纷修订或制定了与内部控制相关的法规和指南,我国也于2006年成立了内部控制标准委员会,于2008年6月28日正式出台了《内部控制基本规范》,要求执行基本规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。2006年上交所和深交所分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,要求上市公司董事会在披露年度报告的同时,披露年度内部控制自我评估报告及审计师出具的意见。可以说,通过建立健全内部控制系统及信息披露制度来提高财务信息质量、加强财务报告可靠性已成为国内外资本市场监管部门的共识。
二、内部控制报告的作用机制:理论分析与经验证据
1.理论分析。内部控制是指由公司董事会、经理层和其他员工共同实施的,为经营的效率效果、财务报告的可靠性及相关法规的遵循性等目标的达成而提供合理保证的过程(COSO,1992)。从当前各国对内部控制报告披露及审计的实施规定来看,关注的重点主要在于内部控制对财务报告可靠性的保障功能,对COSO报告中包含的其他两大目标尤其是经营的效率和效果目标则尚未涉及。而从内部控制报告及披露对财务报告质量保证的作用机制来看,主要基于以下逻辑:首先,根据舞弊三角理论,动机、机会与借口是引发舞弊的三大因素,良好的内部控制体系不但能够直接防范企业内部的错误与舞弊行为,即减少舞弊的机会,而且能够降低企业的经营风险,从而在根本上削弱企业实施财务造假的动机。因此,具备不同内部控制特征的公司在财务报告质量上具有质的差别。其次,由于内部控制属于企业内部的管理机制,投资者无法直接观察,对其进行信息披露的要求就应运而生。内部控制信息披露能够提供给外部投资者有关企业内部管理的一些重要信息,如帮助投资者及时识别、评价和管理可能损害企业经营的相关风险信息、可能会影响财务报告错报及盈余管理的信息等,从而有助于其对财务报告可靠性的判断,减少信息不对称。另外,通过强制性信息披露使内部控制置于公众监督之下,也可以督促管理者完善内部控制制度。
2.经验证据。继SOX法案后,研究者沿循不同的分析视角及方法,对披露内部控制信息的公司特征及结果进行了检验。从实证检验的结果来看,一些研究表明,披露内部控制缺陷的公司规模较小,财务状况较差,处于更年轻、更具风险性的发展阶段。内部控制与财务报告质量的相关性研究表明,两者存在一定的联系,但论述并不充分。如:Ashbaugh-Skaife et al.(2008)使用控制样本发现报告内部控制缺陷的公司具有较低的应计质量;但Hogan和Wilkins(2005)发现披露内部控制缺陷的公司与对照样本公司在应计质量上并没有显著差异;Bedard(2006)则发现两者仅仅在披露当年存在差异,在前两年和后两年均没有差异;Doyle et al.(2007)发现只有公司层面重大内部控制缺陷会导致应计项目的低质量,账户层面的重大缺陷则不会,并发现在SOX法案404条款下,公司的重大内部控制缺陷与应计项目质量并无显著联系。Irving(2006), Hamersle et al.(2008)以及Beneish et al.(2008)则考查了内部控制信息披露的信息含量,他们利用美国上市公司数据,考查了市场投资者对公司所披露的内部控制缺陷的反应,发现内部控制缺陷的披露具有增量信息。Beneish et al.对比分析了330家执行SOX法案302条款的公司与383家执行404条款的公司,发现404条款下内部控制缺陷披露不具有信息含量。为什么会出现这样的结果,研究者的解释并不充分。尽管目前国内外对内部控制报告的相关研究还不是很充分,特别是国内研究中实证研究成果非常少,但现有经验证据在一定程度上证明了内部控制报告的价值。
三、内部控制报告审计的本质
从当前实务来看,内部控制信息披露的主体内容包括管理层对公司内部控制系统的描述、内部控制有效性评价以及审计师出具的审计意见三个方面,而实务中对后两项内容的披露并未取得一致意见。美国是由自愿性披露到强制性披露,2002年SOX法案的出台是一个重要的分水岭;英国则正好相反,英国公司治理发展史上三个具有里程碑意义的重要文献——卡德伯利报告(1992)、哈姆佩尔报告(1995)和特恩布尔报告(1999)勾勒出了英国在内部控制信息披露问题上经历的三个重要阶段,其中一个显著特点是对内部控制信息披露的要求越来越多,但对其有效性审核方面的要求却日趋减弱。很多人认为这主要是出于对诉讼风险增加的担心,在对内部控制“有效性”评价缺乏高度认同的精确标准之前,公司管理层及审计师都不愿因为引起公众对“绝对保证”的误会而承担更多不确定性的法律风险,因此监管部门只能在现实的利益冲突中采取了“骑墙”的态度。然而这仅仅只是表面原因,更为本质的原因在于这一制度设计的逻辑缺陷。
从内部控制与审计的关系来看,两者存在着紧密的联系,尤其是在制度基础审计模式下,对内部控制进行评价是审计程序中必不可少的环节,即使在SOX时代,审计师单独出具内部控制有效性评价的审计报告,也并不能代替财务报表审计过程中的内部控制评审程序。这一程序,可以帮助审计师更好地贯彻风险导向审计的理念,深入理解企业的经营风险、剩余风险及其对财务报表错报的影响,在提高审计效率的同时保证审计的质量。但是,在财务报表审计与财务报告内部控制审计两种情况下,审计师对内部控制的评价过程可能是相同的,因而PCAOB先后发布的第2号、第5号审计准则都提出了将财务报表审计与财务报告内部控制审计相整合的观点,但两者对相关信息的提供要求却不相同。前一种情况下,内部控制评价只是审计程序的一部分,其结果最多体现在并不对外公开的审计工作底稿中;后一种情况下则要求将评价结果对外披露,也就是说审计报告的使用者不但能看到最终的审计结果——审计意见,而且能获得有关审计过程的部分信息。
然而,值得怀疑的是,这样做的意义究竟何在?外部投资者最终关心的只是结果,如果他们信任审计师的专业能力和独立性,那么他们不需要知道过程,如果他们不信任审计师对财务报告的鉴证结果,审计师再出具有关企业内部控制报告的审计意见又有何价值呢?充其量不过是相同的主体对相同的目标(财务报告可靠性)提供了一份双重证明,对投资者而言毫无意义,也许还会引发困惑。再进一步思考,如果说内部控制审计报告能够提供财务报表审计以外的增量信息,这同样很难让人信服。在内部控制报告的主体还仅仅局限于财务报告内部控制的情况下,公众对内部控制报告及审计意见的预期就只能停留在对财务报告质量的判断上,而根据企业内部控制质量来推断财务报告质量只是一种间接的手段,难道广大投资者的专业判断能力可以胜过“专业”的审计师?更何况,与财务报表审计一样,内部控制审计报告也存在着不可避免的独立性风险问题,我们透过一纸报告所看到的信息永远没有审计师充分。
四、财务报告质量控制机制的协同性
Williamson(1983)曾指出,公司控制系统是一个结构化的控制机制组合,某一特定控制机制的边际效用取决于它在这一系统中的相对重要性,不同控制机制之间存在替代或补充关系,公司可以选择不同的组合结构。从资本市场财务报告控制体系来看,至少存在四条有力的防线,即高质量的会计准则、证券市场监管、独立审计及公司治理,它们的作用机制各异,功能大小取决于特定环境下的约束条件和运行效率。对财务报告可靠性提供合理保证一直是独立审计的重要功能,也是独立审计参与公司治理的基础,保证财务报告的可靠性也是当前内部控制报告制度设计的初衷,但从上述分析中可以看到,两者影响财务报告的作用机制存在本质差异。独立审计是对财务报告进行直接的鉴证,是一种事后的防范机制;内部控制则是对财务报告的生产环境及生产过程进行控制,是一种事前和事中的防范机制。另外,两种机制在财务报告链条上的位置也不相同,内部控制更靠近财务报告生产的前端。因此,两者在财务报告控制机制中属于一种互补的关系,如果硬要审计师对内部控制报告进行审计并发表审计意见,无疑破坏了这种互补关系,实际上又回到了老路上,即将防范财务造假的责任最终又推到了审计这一个环节。虽然独立审计在资本市场治理中一直占有重要地位,被称做最后的“马其诺防线”,然而现实中这条防线屡屡被突破,公众也已意识到审计制度的固有缺陷和力不从心,这迫使监管者不得不另辟蹊径,寻找更为有效的控制措施,而强制性内部控制报告制度正是在这一背景下提出的,但再重复进行一次审计不是掉入了一个循环论证的怪圈了吗?
此外,强制性内部控制报告制度也体现了当前财务报告监管模式的一种变革趋向。如果说过去的监管模式强调对结果的控制,SOX时代的监管模式则更强调对过程的控制。在这种从结果控制向过程控制纵深发展的监管模式下,财务报告监管的重心开始向财务报告链条的上游转移,从源头上削弱了财务造假的风险,同时也减轻了审计师的责任,将防范公司财务造假的制度风险进行了分散。
五、结束语
PCAOB发布第2号审计准则时,其主席William J.McDonough曾声称:该准则是委员会采用的最为重要、意义最为深远的审计标准。过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查。这一环节将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的第一道防线,是最为有效的威慑舞弊的防范措施。这段话道出了监管部门对内部控制功能的重新认识和重视,但并没有准确地证明其所发布的关于财务报告内部控制审计准则的意义所在。即使没有第2号审计准则,很长时间以来,审计师们也一直在而且也会继续对内部控制进行详细的测试和检查,但目的只是为恰当地发表审计意见提供审计证据,与内部控制报告是否需要审计并无因果关系。对投资者而言,也许内部控制报告是有价值的,但对内部控制报告进行审计除了增加审计师所不能承受之重外,并不会产生额外的价值。
标签:内部控制论文; 财务报告论文; 审计师论文; 企业内部控制评价指引论文; 内部控制缺陷论文; 审计报告论文; 审计准则论文; 审计质量论文; 审计方法论文; 审计目的论文; 审计意见论文; 财会论文;