内控审计独立性及评价标准引关注
来源:财会信报 作者: 发布日期:2013/7/9 23:09:37 点击率:799
    2013年6月28日,我国《企业内部控制基本规范》(以下简称《基本规范》)发布5周年。5年来,企业内部控制体系建设已经完成,下一步将开展行政事业单位的内部控制体系建设。
  但需要注意的是,国内的上市公司中,内部控制自评报告及内部控制审计报告并没有实现全覆盖。虽然财政部、证监会已经要求2014年上市公司内部控制披露全覆盖,但从最近两年的披露情况看,监管部门还需要对于内部控制披露开展进一步的标准化及规范化的研究;同时,尽快启动分行业的内部控制实施措施。
  增强内部控制审计独立性 避免购买审计意见
  在《基本规范》发布5周年之际,由深圳市迪博企业风险管理技术有限公司(以下简称“迪博”)发布的《中国上市公司2013年内部控制白皮书》(以下简称《白皮书》)以及由上海立信锐思信息管理有限公司(以下简称“立信锐思”)发布的《2012年度内控自评报告解读》(以下简称《解读》)两篇涉及上市公司内部控制自评与内部控制审计的研究报告引发业内关注。其中,《白皮书》提出了上市公司在内部控制信息披露存在的问题及六项建议。
  《白皮书》指出,目前我国上市公司在内控体系建设过程中,需要注意所聘会计师事务所的独立性问题。《白皮书》称,部分上市公司聘请的内部控制咨询机构与为其提供内部控制审计的会计师事务所是一致的,或是两者之间存在着关联关系。《白皮书》认为,有相当一部分上市公司存在将内控咨询或评价与内控审计业务直接或间接委托给某一中介机构的现象,购买审计意见的行为很明显。《白皮书》认为,有部分中介机构成立咨询公司,并隐瞒其关联关系,承接其内部控制审计客户的内部控制咨询业务,严重违反了《企业内部控制基本规范》等相关规定对于中介机构独立性的要求。
  其实,《基本规范》对此有明确规定。《基本规范》第一章总则第十条第二款规定:“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。”
  中国注册会计师协会(以下简称“中注协”)副会长兼秘书长陈毓圭要求,事务所要严格遵守向被审计单位提供非鉴证服务时的独立性要求,不得在提供内部控制审计服务的同时为被审计单位提供内控咨询和自我评价服务。他认为,近年来的事务所执业质量检查结果以及近期接连出现的资本市场财务造假案件都一再表明,事务所或注册会计师在独立性上出了问题,业务项目很可能要出大问题。
  中国证监会会计部主任兼首席会计师贾文勤也表示,会计师事务所要正确处理内控咨询、评价业务与内控审计业务的关系,确保内控审计业务的独立性。
  在今年4月,中注协相关负责人就上市公司内部控制审计风险防范话题约谈会计师事务所时也强调,要处理好财务报表审计和内部控制审计之间的关系,既要确保内部控制审计业务的独立性,又要注重与财务报表审计的合理衔接,两者识别的重大业务流程、重要账户、列报及相关认定及重要性水平要统一。
  为促进上市公司的内部控制水平,提高风险防范能力,《白皮书》提出六项建议,梳理内部控制的相关规范,统一内部控制的信息披露格式;加强内部控制法制建设,提高上市公司内部控制水平;完善内部控制缺陷的披露机制,提高内部控制缺陷披露质量;加强对中介机构独立性的监管,提高内部控制审计质量;拓宽企业内部控制体系建设的范围,合理保证内部控制目标的实现;推进内部控制信息系统建设工作,提升上市公司信息化水平。
  多数上市公司未披露内部控制审计费用
  《白皮书》称,内控审计费用与上市公司的市场价值存在着较为明显的正相关关系,披露内控审计费用较高的公司,享有更好的市场价值。
  但与此相关的一个现象值得关注。《白皮书》显示,多数上市公司并未披露内部控制审计费用:774家上市公司聘请了会计师事务出具内部控制审计报告,但并未披露内部控制审计费用;33家上市公司在年报中说明有支付给会计师事务所内部控制审计费用,但并未单独披露具体的数额。
  有业内人士向记者介绍,未披露内部控制审计费用的原因应该与中注协所倡导的整合审计的理念有关。该人士同时建议,中注协应在《上市公司年报审计快报》中披露,在整合审计情况下的内部控制审计收费的金额。如果内部控制审计与财务报告审计是联合报价,无法区分,也应该予以说明。
  财政部内部控制咨询专家、中天恒会计师事务所总裁李三喜向记者介绍,把内部控制审计作为独立的审计类型后,内部控制审计到底如何进行,一般有两种形式。一是独立审计形式。内部控制审计是对内部控制的有效性发表意见,对象是内部控制,应出具单独的审计报告。因此,可以肯定地说内部控制审计是一项单独的业务。既然是一项单独的业务,那么内部控制审计与财务报表审计等其他审计类型区别开来,采取单独审计形式。二是整合审计形式。整合审计形式就是将内部控制审计与财务报表审计整合进行的一种审计形式。
  李三喜认为,这两种形式各有特点,整合审计可以提高审计工作效率,但对内部控制审计的工作质量难以提高。单独审计有利于提高审计工作质量,但审计效率较低,也会增加审计成本。从相互监督、确保独立性的角度看,内部控制审计应采取独立审计的形式。
  立信锐思首席合伙人杨芳杨芳向记者介绍,目前,存在上市公司内部控制审计的口径不一致的情况;内控审计报告标准不一,内容五花八门,甚至对于财务报告导向与非财务报告导向的内部控制界定也有矛盾交叉的现象,这些都有待于行业与监管机构不断探索不断标准化。
  我国《企业内部控制审计指引》第四条规定:注册会计师应当对财务报告内部控制发表审计意见,并对审计过程中注意到的非财务报告内部控制的重大缺陷,在审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。严格意义上说,仅对财务报告内部控制发表意见的审计,不能叫内部控制审计,而应称之为财务报告内部控制审计。
  中注协相关负责人指出,2012年1月1日起,《企业内部控制审计指引》和《企业内部控制审计指引实施意见》正式实施,事务所和广大注册会计师要重视内部控制审计这一新业务领域,要充分考虑可能遇到的困难与挑战,认真谋划,做到人员配备到位、操作规范执行到位、过程意见把关到位。
  上市公司内部控制评价报告“五花八门”
  除了内部控制审计的独立性、收费问题引发关注外,上市公司内部控制自评报告也得到了关注。立信锐思在《解读》中介绍,自2008年至2012年,披露内控自评报告的上市公司数量呈现出逐年上涨的态势。
  杨芳向记者表示,“我们认为,今年上市公司批露的内部控制自我评价报告总体上是比去年质量好,但是依然有问题需要改进。”她认为,上市公司内部控制自我评价存在的主要问题是:标准化程度不高,依然五花八门;同时披露的质量也需要提高。“要适度披露,不能过度披露,也不能什么都不披露,比如:对于自评过程中发现的内控缺陷及整改情况,就不能一字不提,含糊带过。”她表示,上市公司内部控制自我评价报告要从形式上、实质上满足监管要求与公众的决策需要。
  立信锐思还在《解读》提出了三点专业建议:明确内控自评工作的责任机制和牵头部门及职能;结合企业自身实际情况,明确高风险领域;进一步明确缺陷认定标准,特别是非财务报告缺陷的认定。
  立信锐思分析各家上市公司内控自评报告的统计后认为,披露所关注的主要风险占总样本量的21.33%。其中,各家企业所关注的主要风险大多集中在:资金管理、采购管理、人力资源管理、销售管理、资产管理、宏观政策及市场风险、投融资管理、工程管理、财务报告及合同管理等高风险领域。
  《解读》指出,企业在开展内部控制评价的过程中,应该结合企业的市场行业情况、运营状况以及内部控制体系建设的情况,关注影响内部控制目标是实现的高风险领域,然后再进一步关注这些高风险领域或风险点所涉及到的关键控制点,明确控制措施。
  立信锐思对本次披露的自评报告是否披露了缺陷认定标准作了统计,2012年上市公司批露的2 227份内控自评报告中,共有 1 241家上市公司披露了缺陷认定标准。986家未进行披露。在 2 227分内控自评报告中,仅有三家上市公司认为内部控制方面存在重大缺陷。
  对于缺陷的认定,特别是非财务报告内部控制缺陷的认定,是企业内部控制评价工作中面临的重大挑战之一。《解读》认为,基于财务报告的内部控制可由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于该缺陷或几个缺陷所可能导致的潜在错报金额的大小。企业可以通过确定重要性水平,来对重大缺陷、重要缺陷和一般缺陷以定量的方式确定。
  杨芳建议,咨询机构作为专业机构,应该化一些时间在研究上,比如,可以建立数据库,制定行业对标,对不同行业进行分类,对行业内的当期的内部控制状况进行解读,进行综合评价,做行业的专业分析,或者建立知识库、案例库,才能为监管机构和投资者提供有价值的参考。只有这样,中国的资本市场才可能变得更专业,也更健康!
  内部控制,已经成为自2008年以来中国会计行业发展的关键词之一。如何让内部控制咨询、评价与审计不成为形式主义,如何让内部控制由监管要求变成企业的自觉需要,这些都值得思考。
  还有不到半年的时间就到2014年,笔者在此提醒那些还没有披露过内部控制自我评价报告的上市公司,要抓紧时间了,准备迎接挑战!