上市公司内部控制审核、鉴证及审计报告的现状及问题分析——基于沪深股市2011年的统计数据,本文主要内容关键词为:统计数据论文,内部控制论文,审计报告论文,上市公司论文,现状及论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
2008年6月,我国财政部、审计署、证监会、银监会、保监会联合发布了《企业内部控制基本规范》。该基本规范规定,执行本规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,五部委再次联合发布了《企业内部控制配套指引》。企业内部控制基本规范及配套指引被称为中国的COSO和萨班斯法案,2011年1月1日开始在境内外同时上市的公司施行,2012年1月1日后扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。此外,鼓励非上市大中型企业提前执行。
为配合企业内部控制基本规范及配套指引的实施,2011年4月,证监会发布《上市公司实施企业内部控制规范体系监管问题解答》,就财务报告内部控制的信息披露予以规定。2011年10月,中国注册会计师协会发布了《企业内部控制审计指引实施意见》。2012年2月和9月,财政部又分别发布了《企业内部控制规范体系实施中相关问题解释第1号》和《企业内部控制规范体系实施中相关问题解释第2号》,就内部控制的评价、审计等事项进行补充说明。
对内部控制进行审计,也日益成为研究者关注的重点。关于内部控制审计的必要性,Bedard et al.(2011)研究结果表明,对内部控制有效性进行独立的审计和评价很有价值,客户往往低估内部控制缺陷的严重性,在SOX-404监管下的审计师可以核查出3/4的未修复的内部控制缺陷。此外,关于内部控制审计与财务报表审计,Akresh(2010)、唐建华(2011)、王杏芬(2011)、雷英等(2011)认为,内部控制审计是对过程的审计,财务报表审计是对结果的审计,目前审计准则中的审计风险都是关于财务报表审计的,审计师需要一个着眼于内部控制重大缺陷风险(过程风险)而不是重大错报风险(结果风险)的风险模型。何芹(2012)、谢晓燕等(2009)则建议对内部控制和财务报表进行整合审计。还有一些研究者则探讨了内部控制审核、鉴证和审计之间的区别和联系。如王晓敏等(2011)、刘俊萍(2011)等认为,内部控制鉴证业务属于基于责任方认定的业务,包括内部控制审核和内部控制审计,内部控制审核属于有限保证程度的鉴证业务,内部控制审计属于合理保证程度的鉴证业务。我国上市公司内部控制鉴证制度最初定位为审核,后发展为审计,目的是最大限度促进企业内部控制建设,提高上市公司内控信息披露的质量。关于内部控制审计意见,Wolfe et al.(2009)认为,在内部控制审计中,内部控制问题的主观性促使经理人员说服审计师降低评估结果的严重性。研究结果表明,对于IT控制偏差,审计师对于管理层的解释,更容易做出妥协而非拒绝;对于手工控制偏差,拒绝和妥协的差异并不明显。
为全面掌握内部控制审计指引等相关规定在我国上市公司的执行情况,本文对我国沪深股市(含沪市主板A、深市主板A、深市中小板和深市创业板)2011年的相关数据进行了较为全面的调查分析,针对内部控制审核、鉴证及审计报告进行了分板块、分行业、分鉴证主体的多角度统计研究。本文的研究有助于系统梳理我国内部控制鉴证业务(本文为广义含义,包括审核、鉴证和审计,除非特别指明,否则下同)的相关规定及其异同,有助于深入了解我国内部控制鉴证业务的现状及存在问题,对内部控制规范的进一步完善和实施提供经验数据和可行建议。
二、内部控制鉴证制度演变历程
根据国际审计鉴证准则委员会(IASSB)的定义,鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强责任方之外的预期使用者对鉴证对象信息信任程度的一种业务,其中鉴证对象信息是对鉴证对象按照标准进行评价和计量的结果。广义来讲,内部控制鉴证业务包括内部控制审核、鉴证和审计。具体而言,内部控制审核报告是指注册会计师对公司管理当局对特定日期与会计报表相关的内部控制有效性的认定出具的审核报告;内部控制鉴证报告是指注册会计师对公司管理当局就其内部控制设计和运行有效性或其认定出具的鉴证报告;内部控制审计报告是指会计师事务所对被审计单位特定基准日内部控制设计与运行的有效性出具的审计报告。
从2000年到2010年,我国内部控制鉴证制度经历了由审核到鉴证再到审计的演进历程。
2000年11月,中国证监会发布《公开发行证券的公司信息披露编报规则》,规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告,并委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性及有效性进行评价,提出改进建议,并出具评价报告。这是我国首次确立上市公司内部控制专项审核制度。而后证监会以信息披露内容与格式的形式要求,将对内部控制鉴证扩大到了在境内申请首次公开发行股票并上市的公司以及申请发行新股的上市公司范围。2002年2月,为了规范注册会计师执行内部控制审核业务,中国注册会计师协会颁布了《内部控制审核指导意见》。2006年,沪深交易所先后出台《上市公司内部控制指引》,要求上市公司披露内部控制自我评价报告,深交所要求其所有主板上市公司的注册会计师在对公司进行年度审计时,就公司财务报告内部控制情况出具评价意见,而上交所仅要求会计师事务所出具对内部控制自我评估报告的核实评价意见。这标志着我国全面实施了上市公司内部控制审核制度。
2006年2月,财政部发布《中国注册会计师鉴证业务基本准则》和38项具体准则。其中,《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》对内部控制等鉴证业务进行了规范。这表明我国内部控制审核制度已发展为鉴证制度。
2008年6月,财政部等五部委联合发布我国最具权威性的《企业内部控制基本规范》,其中第十条要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告。《内部控制基本规范》对内部控制鉴证的定位与美国SOX法案相同,这将中国的内部控制鉴证推向了保证程度最高的审计业务,中国的内部控制鉴证正式从审核发展到鉴证再进化到审计。2010年4月,财政部等发布《企业内部控制审计指引》,首次对注册会计师执行内部控制审计业务进行专门规范。至此,从制度层面上,我国上市公司内部控制鉴证业务的定位已完全明确。
具体而言,内部控制审核、内部控制鉴证和内部控制审计的比较分析如表1所示。
三、上市公司内部控制审核、鉴证及审计报告统计数据分析
自2006年沪深交易所加强对内部控制信息披露的管制以来,上市公司披露的内部控制审核、鉴证及审计报告数量猛增,但是这些报告的标题和内容却五花八门,可比性较差,削弱了信息的有用性。
具体而言,内部控制审核报告是指注册会计师对公司管理当局对特定日期与会计报表相关的内部控制有效性的认定出具的审核报告;内部控制鉴证报告是指注册会计师对公司管理当局就其内部控制设计和运行有效性或其认定出具的鉴证报告;内部控制审计报告是指会计师事务所对被审计单位特定基准日内部控制设计与运行的有效性出具的审计报告。
(一)不同板块统计数据比较
从表2、3可以看出,总体上,出具内部控制审核、鉴证、审计报告的比例仅为41%,其中,沪深主板A披露内部控制审核、鉴证、审计报告的比例不到1/3,远低于深市中小板和创业板超过半数的比例。这主要是因为中小板和创业板开放时间较晚,具有后发优势,可以实现内部控制鉴证业务的跨越式发展。另外,从报告内容来看,988份报告可划分为三种范式,一是审核报告,共45份,占比5%,该报告对被审核单位与会计报表有关的内部控制有效性以消极方式发表审核意见;二是鉴证报告,共705份,占比71%,该报告强调不是对内部控制进行鉴证,而是仅就管理当局提供的内部控制评价报告以积极方式发表鉴证意见;三是审计报告,共238份,占比24%,该报告对被审计单位内部控制有效性以积极方式发表审计意见。从报告披露数量占上市公司数量的比例来看,审核报告披露程度四个板块均较低,平均仅为2%;鉴证报告披露程度深市中小板和创业板远远高于沪深主板A,深市中小企业板占比最高,为59%,深市创业板次之,为56%;审计报告披露程度沪深主板A高于深市中小企业板和创业板,深市主板A占比最高,为17%,沪市主板A次之,为14%。这反映了主板市场较中小板和创业板对信息披露质量的重视程度更高,在不强制要求的情况下,审计师仍愿意出具风险相对较低的鉴证甚至审核报告。
1.内部控制审核报告
2010年四个板块共出具53份审核报告,2011年为45份,下降15%。其中,除深市中小企业板不降反升(由8份升为21份)外,其他三个板块均有下降,沪市主板A由27份降为12份,深市主板A由10份降为9份,深市创业板由8份降为3份。这说明我国企业内部控制鉴证正经历从审核向鉴证或审计的转变。
2.内部控制鉴证报告
2010年四个板块共出具585份鉴证报告,2011年为705份,增长21%。其中,沪深主板A披露数量不升反降,分别由97份降为80份、82份降为52份。这反映主板市场正由披露内部控制鉴证报告改为披露内部控制审计报告。深市中小企业板和创业板稳中有升,分别由264份升为397份,142份升为176份。部分原因是2011年深市中小板和创业板上市公司增加较多,这些公司对披露自身内部控制的积极性较高,且采用后发优势和折中方式披露内部控制鉴证报告;部分原因是有些企业从内部控制审核报告向内部控制鉴证报告过渡,为未来转为内部控制审计报告做准备。
3.内部控制审计报告
2010年四个板块共出具19份审计报告,2011年为238份,骤增11.53倍。其中,沪深主板A披露数量巨幅上升,分别由2份升为133份、2份升为78份。这主要源于证监会下发了《关于做好上市公司内部控制规范试点有关工作的通知》,要求内部控制基本规范及配套指引(包括审计指引)自2011年1月1日开始在境内外同时上市的公司施行,2012年1月1日后扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。一方面,68家境内外同时上市的公司和214家自愿试点公司绝大部分集中在主板A市场,它们需要按规定或自愿进行内部控制审计;另一方面,为适应2012年内部控制规范的全面实施,很多主板公司提前做热身准备。深市中小企业板有所上升,由7份升为20份,但深市创业板不升反降,由8份降为7份。这说明中小板和创业板对进一步提高信息透明度持观望态度,积极性不高,这与这些上市公司自身经营状态、所处发展阶段和成本效益考虑等有一定关系。
(二)不同行业统计数据比较
从表4看,内部控制审核、鉴证、审计报告在金融、保险业披露比例最高,占比达81%,可见金融、保险业由于所处行业风险较高,因此对内部控制比较重视,自愿披露的积极性也比较高。虽然制造业披露的报告数量最多,但是由于所在行业基数大,占比仅为43%,比例居中。建筑业、信息技术业以及采掘业的披露占比相比其它行业略高,超过或接近50%,可能的原因是这些行业技术相对先进或实力较为雄厚,比较重视内部控制的建设。综合类披露此类报告的比例最低,因行业类型比较特殊复杂,仅为10%,相关管理部门应加强这个行业的内部控制监管。
1.内部控制审核报告
除农、林、牧、渔业、建筑业、交通运输、仓储业、传播与文化产业、综合类未披露内部控制审核报告外,其他行业均披露了内部控制审核报告,但数量均比较少。其中,制造业因基数大,尽管其披露的审核报告占审核报告总数的58%(26/45),但在行业自身的报告种类中,审核报告仅占2%,低于金融、保险业和房地产业的5%。这反映越来越多的行业正从提供内部控制审核报告转向提供更高担保层次的内部控制鉴证或审计报告。
2.内部控制鉴证报告
所有行业均披露了内部控制鉴证报告,只是各行业披露比率差异很大。其中,传播与文化产业提供的全是内部控制鉴证报告,占比达100%;农、林、牧、渔业和信息技术业提供鉴证报告的比例也远高于其他行业,分别达到88%和87%;金融保险业出具该类型报告的最低,仅为29%。这反映目前大多数行业仍以过渡性质的内部控制鉴证报告为主,暂缓承担过高责任,但同时也在积累经验,为内部控制审计做准备。
3.内部控制审计报告
除传播与文化产业没有披露内部控制审计报告外,其他行业均披露了该报告。其中,交通运输、仓储业和金融、保险业的披露比例最高,分别为70%和65%,反映了这类行业对内部控制较为重视、内部控制制度相对成熟;制造业最低,仅为18%,反映了该行业的专业性和复杂性,会计师暂时难以很好地胜任此类行业的内部控制审计,因此提供的审计服务相对较少。
(三)不同鉴证主体统计数据比较
从表5、6看,排名前20的会计师事务所承接的内部控制鉴证业务占上市公司全部鉴证业务的比例较高,达74%(732/988)。其中,大部分集中在内部控制鉴证报告上,占67%,部分体现为内部控制审计报告,占比28%,少量停留在内部控制审核报告上,占比5%。四大会计师事务所仅占鉴证业务量的12%,四大从数量上并未明显显示出垄断的迹象,但从构成来看,四大会计师事务所主要披露了内部控制审计报告,占86%,未披露内部控制鉴证报告,少量披露内部控制审核报告,占14%。这说明,四大会计师事务所紧跟形势,主动出击,为即将全面推行的内部控制审计业务提前做好准备。而其他国内前16大会计师事务所尽管披露的数量相当可观,占鉴证业务量的88%,却主要披露的是内部控制鉴证报告,占76%,部分披露了内部控制审计报告,占20%,少量披露了内部控制审核报告,占4%。这说明,国内会计师事务所对内部控制审计业务不够积极主动,不愿主动承担责任,持观望态度的较多。此外,单就鉴证业务数量而言,综合排名第6的立信排名第1,综合排名第20的五洲松德联合排名第20。这与事务所规模和业务选择偏好有关。
1.内部控制审核报告
内部控制审核报告本身披露数量就很少,仅占5%。除信永中和等7家会计师事务所还提供内部控制审核业务外,其余事务所已停止该类鉴证服务,这反映鉴证主体正将业务类型从审核向鉴证甚至审计转变。其中,需要注意的是提供该类业务最多的信永中和,占比高达43%(15/35);而且在其自身业务类型中,审核业务也占比高达25%(15/60)。这与该事务所主要承接制造业(68%=41/60)、重点为深市中小板及创业板服务(60%=36/60)等有关。
2.内部控制鉴证报告
除国际四大会计师事务所外,其他国内前16大事务所均提供内部控制鉴证报告,其中,尤以天健和立信为代表,分别出具100份和92份内部控制鉴证报告。这与两家事务所主要服务于深市中小板和创业板(天健81%=86/106,立信74%=78/106),业务大量集中在制造业(天健85%=90/106,立信62%=66/106)有直接关系。这反映了深市中小板和创业板信息透明度要求较主板低,制造业专业性较强、业务复杂、风险较高,使得事务所不愿针对内部控制主动提供更为积极的保证。
3.内部控制审计报告
所有前20大会计师事务所均提供内部控制审计业务,其中综合排名第1的普华永道出具20份内部控制审计报告,综合排名第10的大信仅承接1份内部控制审计业务。这与普华永道大部分承接沪市主板业务(70%=23/33)并较多服务于内部控制较为完善的金融保险业(18%=6/33)、大信主要承接深市中小板和创业板(67%=36/54)及重点服务于制造业(65%=35/54)有关。
四、上市公司内部控制审核、鉴证、审计报告问题及对策
(一)现存问题
1.鉴证披露
由上述统计结果可知,我国上市公司出具内部控制审核、鉴证、审计报告的比例并不高,总计只占上市公司总数的41%,其中审核报告占71%,审计报告仅占24%,可见上市公司对内部控制质量并未给予足够重视,投资者也并未关注内部控制相关信息。就按规定2011年率先执行内部控制审计指引的境内外同时上市公司和试点公司而言,境内外同时上市的68家公司表现较好,全部披露了内部控制审计报告,占比100%;自愿参加试点的214家公司表现不佳,披露内部控制审计报告的占比仅为48%。这说明上市公司对内部控制审计积极性不高,即使自愿申请披露的试点公司,最终也未真正按规定执行审计指引。
2.鉴证主体
虽然企业内部控制审计指引第五条指出,“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。”2011年有15份报告是单独审计,约占内部控制审计报告总数的6%。这可能是会计师事务所在内部控制审计法规体系不健全、业务风险未知、法律责任不明确的情况下,做出的一种规避风险和保护自身利益的选择。
3.鉴证依据
鉴证依据是注册会计师执行内部控制鉴证业务时应遵循的行业规范。各板块鉴证依据统计如下:沪市主板,《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》参照比例分别为100%、99%、99%,《关于做好上市公司内部控制规范十点有关工作的通知》参照比例为9%;深市主板,《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》参照比例均为100%,《关于做好上市公司内部控制规范十点有关工作的通知》参照比例为23%;深市中小板,《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》参照比例均为100%,《关于做好上市公司内部控制规范十点有关工作的通知》参照比例为10%;深市创业板,《内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》参照比例分别为100%、57%、57%,《关于做好上市公司内部控制规范十点有关工作的通知》参照比例为43%。可见,会计师事务所面对众多鉴证依据无所适从,而这些鉴证标准又由不同的政府监管部门发布于不同的时期,着眼点各自不同,内容上也存在差异,一定程度上削弱了鉴证报告的规范性和鉴证结论的可比性。
4.鉴证意见
2010年4月财政部等五部委发布的《企业内部控制审计指引》将内部控制审计报告意见类型划分成标准无保留意见、带强调事项段的无保留意见、否定意见和无法表示意见四种类型。按照这一划分标准,2011年度披露内部控制审计报告的238家上市公司中233家获得标准无保留意见,3家得到带强调事项段的无保留意见,2家得到否定意见,被出具非标审计意见的公司仅占2%。值得注意的是,尽管这说明会计师事务所在内部控制审计业务中的独立性和执业质量在逐步提高,注册会计师的风险意识和责任意识也在逐渐增强,但整体意见类型是否公允让人担忧。
(二)改进建议
内部控制审核、鉴证及审计在鉴证对象、鉴证时期、鉴证态度、保证程度、鉴证意见、相关规定等诸多方面存在差异。我国上市公司内部控制鉴证制度最初定位为审核,中间经历过鉴证,目前发展为审计,制度创新的目的是最大限度地促进企业内部控制建设,提高上市公司内控信息披露的质量。在对上市公司内部控制审核、鉴证及审计报告进行统计分析后,本文提出以下几点建议:
1.制定详细的内部控制审计准则
注册会计师在执行内部控制审计过程中,参考了不同的执业准则,而根据前文分析,有些准则的定位与目前已成为常规业务的内部控制审计并不相符。2010年颁布的内部控制审计指引也未明确指出注册会计师执行内部控制审计时应参考的具体准则,而仅是在其后附的“内部控制审计报告”参考格式引言段中指出:“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了……”。本文认为,应在中国注册会计师执业准则体系鉴证业务准则中新增详细的内部控制审计准则,从中国注册会计师其他鉴证业务准则中分离出来,与历史财务信息审计准则一起并入中国注册会计师审计准则中,也可根据实际需要,制定详细的系列具体准则。
2.规范内部控制审计报告的内容和格式
我国企业内部控制基本规范要求企业提供经注册会计师审计的内部控制审计报告。如前所述,从2011年披露的报告标题和内容可以看出,大多数企业有违基本规范的初衷,事务所并未严格按照基本规范及其配套指引的要求出具对内部控制有效性的鉴证意见。本文认为相关部门应进一步严格规范内部控制审计报告的内容和格式。
3.加强会计师事务所独立性
根据统计数据可知,出具非标审计意见的公司占238家公司的2%。鉴于会计师事务所普遍出具无保留意见的情况,本文建议:首先,我国会计师事务所应加强对注册会计师的职业道德教育以保持形式上和实质上的独立;其次,承接内部控制审计的事务所应定期更换;最后,注册会计师协会应加强对会计师事务所的监管。
4.转变对内部控制审计的认识
由前可知,上市公司自愿披露内部控制审计报告的积极性不高。2011年统计的上市公司2389家,披露内部控制审计报告的数量是238,占比10%。因此,无论是会计师事务所还是上市公司都应转变对内部控制审计的认识。此外,还要认识到非财务报告的重要性,在进行内部控制审计时,既应当对财务报告内部控制的有效性进行审计,还应当对非财务报告内部控制中存在的问题进行说明。为了降低审计成本、提高审计效率,建议最好对内部控制和财务报表进行整合审计,但为了提高审计质量、完善审计流程,可以交由同一会计师事务所的不同项目组分别承担。
标签:企业内部控制审计指引论文; 企业内部控制基本规范论文; 审计报告论文; 企业内部控制配套指引论文; 内部控制评价论文; 内部控制缺陷论文; 审计准则论文; 审计质量论文; 注册会计师论文; 会计师事务所排名论文; 审计流程论文; 主板市场论文; 审计目的论文; 有效市场论文; 财会论文;