时间:2023-11-30 10:26:23
导语:在财务报表审计的核心的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:财务报告 内部控制 审计与财务报表 审计
纵观国外内部控制审计的实施效果,实施双重的审计制度,在给企业带来巨大收益的同时,也会大幅度增加企业和会计师事务所的成本。如何实现内部控制审计与财务报表审计的有机整合,进一步提高审计效率,降低审计成本,是确保内部控制审计顺利实施的关键。
一、整合内部控制审计与财务报表审计的现实性意义
(一)有利于提升企业的审计效率,确保财务报表的可靠性
内部控制审计和财务报表审计虽然是审计的两种不同方式,但二者从本质上说是一种性质相同的业务,都是为了合理保证和鉴证责任方的认定。财务报表审计是由注册会计师参照相关审计准则的规定,对企业的财务报表信息的合法性和公允性经过特定的审计程序和方式所提出的审计建议,从而进一步提高财务报表的可靠性。在进行财务报表审计时,需要企业的管理层认真认定报表中所反映的各项交易事项、会计处理及账户余额等事项,主要是注册会计师对管理层的认定和声明进行审计的过程,虽然高于管理层认定但却无法有效鉴证财务报表信息的绝对可靠性。内部控制审计是企业委托注册会计师对企业内部控制设计的合理性及运行的有效性进行鉴证并发表审计意见的一种审计活动,内控审计更多的是依靠企业管理人员应该充分熟悉企业的相关运行和管理内容,能够将企业内部控制体系的可靠性和完整性详细阐明清楚,科学认定内部控制的有效性程度,再经由注册会计师针对相关的内控认定和说明部分的内容进行相应的审计。将两者有机结合,有助于提升企业的审计效率,确保财务报表的可靠性。
(二)两者相互补充,有利于降低审计风险
内部控制审计和财务报表审计在内容上具有十分密切的关联性,这种内在的关联性实现了两者间的相互支持和有效补充,财务报表审计结果可以在很大程度上为审计人员认识到内部控制中可能会存在的一些漏洞环节,而内部控制审计的结果可以帮助审计人员及时优化和改变审计计划和程序。将二者进行有机整合,一方面可以大幅度降低会计师事务所的业务量,控制运行成本;另一方面,可以大大提高审计效率,降低审计面临的风险。此外,在审计过程中所收集的证据和进行的测试对两种审计活动都适用,是一种经济可行的兼顾审计方与被审计方共同利益的合理模式。
(三)节约审计资源,提高审计质量的必经之路
在财务报表审计中,注册会计师通过对被审计单位的内部控制进行了解,并进行相应的风险评估,确定进一步应该执行的审计程序,并在必要情况下实施控制测试 [h: 0px" />
内部控制审计中根据财务报表审计中风险评估对企业环境的证据及通过重大程序发现的具体错报等收集到的有关信息,可以有针对性地选择实施控制测试,这样可以通过财务报表审计中发现的重大错报,明确财务报告内部控制中存在的重大缺陷,可以及时为内部控制审计更改审计计划和审计程序提供线索。
二、内部控制审计与财务报表审计实现整合的有效途径分析
(一)多途径的充分了解被审计企业及企业内部的环境
要想有机整合财务报表审计和内部控制审计,就必须按照风险导向审计方法的原则,通过多种途径对被审计企业及其内外部的相关环境进行了解,明确出被审计企业所面临的风险,这是财务报表审计和内部控制审计进行有机整合的必要前提。此外还应注意,内部控制审计在了解被审计企业的内部环境时比财务报表审计要求更高。当前我国企业所使用的《企业内部控制应用指引》从内部环境类、控制活动类及控制手段类将指引分为三大类,为注册会计师进行审计提供了可靠的参照标准,注册会计师可以通过这种指引分类详细地了解企业的内部控制情况,内部控制审计的成果可以被财务报表审计中充分利用,以了解企业的内部控制情况。在实施审计整合时,如果是由统一业务组来执行,在审计过程中只需要执行一次即可;如果是由不同业务组执行审计业务时,可以通过加强沟通的方式来了解对方的情况。因此,充分地了解被审计企业及相关的内外部环境情况,是有效整合得以进行的基础。
(二)对内部控制设计与运行的有效性进行测试
内部控制审计的核心程序是控制测试。现代风险导向审计明确提出要求,财务报表审计在特定的情况下必须进行相应的内部控制测试,尤其是在对重大错报风险急性评估认定时,或是当单一采用实质性程序无法提供充分、适当的审计证据时。对企业在相关期间或时间内的运行有效性进行测试控制,实质上是对财务报告内部控制实施审计。因此,内部控制测试环节是实施内部控制审计与财务报表审计整合的关键环节。在整合审计过程中,注册会计师对内部控制设计与运行的有效性进行测试时,首先要能够获取充分、适当的审计证据,对内部控制有效性发表的意见提供有效的支持;其次要通过获取充分、适当的审计证据,对控制风险的评估结果进行有力的支持。在测试控制设计与运行的有效性时,注册会计师应当综合运用多种方法,如对适当人员进行询问、认真观察经营活动及对相关文件进行检查等。因此,在整合审计过程中,注册会计师还需要有补充控制测试的范围,以获得足够的证据支持对财务报告内部控制有效性发表审计意见。
(三)有针对性地选择实质性分析程序和细节测试
实质性分析程序和细节测试是财务报表审计中实质性程序所包含的两大内容。二者对于整合两种审计活动具有十分重要的作用。所谓的实质性分析程序主要是通过对数据间的关系进行研究,从而对认定的准确性进行科学的评价,主要适用于特定时间内存在可预期关系的大量交易。细节测试各类交易、账户余额及列报认定中所采用的一种主要的测试,能够直接识别出财务报表是否存在重大的错报,采取实质性分析程序的前提条件是要具备真实可靠的数据,而这些数据的真实可靠性又取决于内部控制的有效性程度。因此,当内部控制审计的结果只关系到财务报表的内部控制是否存在缺陷时,财务报表审计就不必采用实质性分析程序,而应相应的采取细节测试。当内部控制审计结果证明财务报表层次的内部控制存在重大缺陷或完全失效时,则不必再进行细节测试,可以直接采用实质性分析程序。实现财务报表审计和内部控制审计的有机整合,必须采用合适的实质性程序,才能实现二者的有效整合。
三、结论
综上所述,可以看出财务报告内部控制审计与财务报表审计是相互区别但又紧密联系的两项业务,社会经济的发展为两者的结合既提出了必要性,也提供了一定的现实性基础和依据。两项工作的不同点在于一个是监督审计工作的过程,一个是对审计结果进行鉴证。企业各相关管理者和决策者只有熟知二者的内在逻辑关系,才能将其进行有机整合,真正实现审计的终极目标,才能达到相互利用证据、相互印证结果的效果,在很大程度上大幅度提高了审计效率。整合审计将在一定程度上影响到注册会计师审计财务报表的策略,因此,应加强会计事务所与被审计单位的沟通,强化内部控制的审计策略的实际作用和历史地位,并要求企业应加强对相关审计专业人才的培养,从而真正发挥出内部审计在企业发展战略中的重要作用。
参考文献:
[1]谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009,(9):88-94
[2]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010.
[3]李锦.论财务报表内部控制审计与财务报表审计的整合[J].商业会计,2010,(2):43-44.
[4]刘玉延,王宏.提升企业内部控制有效性的重要制度安排——关于实施企业内部控制注册 [h: 0px" />
[5]裘宗舜,周洁.美国财务报告内部控制审计的发展与启示——财务报告内部控制审计与财务报表审计的比较[J].财会月刊,2013,(2):35-36.
[6]刘玉延.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究,2010,(5):3-16.
[7]潘秀丽.对内部控制若干问题的研究[J].会计研究,2001(6).
摘要:信息繁杂时代,经受财务舞弊风雨洗礼之后,理性的市场参与者对信息的质量要求提高,对承担财务信息需求者与提供者之间的沟通纽带角色的会计师事务所就其承接的审计业务形成最终审计报告中的审计意见关注度攀升。伴随着一系列内部控制监管政策的出台,内部控制审计已从自愿阶段发展到强制阶段,现代审计跨入内部控制审计与财务报表审计并重的新时代。文章探析内部控制审计的执行对财务报表审计意见的影响。发现不管是自愿披露阶段还是强制披露阶段,内部控制审计使得企业获取标准的财务报表审计意见多,不管是之前为有别于劣质公司还是后来内部控制审计强制执行政策的推动,均达到了政策出台所希望企业改进其内部控制建设体系,提高其财务信息质量,共同完善整个资本市场的目的。
关键词:内部控制审计 审计意见 财务报表审计
一、引言
随着国际上内部控制审计的广泛实施,我国在借鉴国际经验的同时也在不断积极探索着,《企业内部控制基本规范》及其配套指引的,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。这为进一步完善企业内部控制,改善财务信息质量,逐渐提供了广阔的内部控制审计空间和良好的执行环境。
2011年以及之前年度进行了内部控制审计的境内上市公司可视为自愿进行内部控制审计。自愿披露内部控制审计公司的根本踊是否有别于其他未披露的公司?2012年起强制执行的主板上市公司到2015年可观察到4年进行了内部控制审计公司是否给资本市场传递了些许新鲜的有用信息?现代审计全面进入内部控制审计与财务报表审计并重的新时代之时,对内部控制审计进行研究有着重要的现实意义。
二、文献综述
由于内部控制审计和财务报表审计内容目标等方面的相互交融,财务报表审计意见或多或少受内部控制审计执行的影响。杨德明、王春丽和王兵(2009)剖析审计意见的影响因素时选取沪深两市A股上市公司的相关数据,发现公司会因年报中有审计鉴证意见而更容易收到标准审计意见,原因在于有审计鉴证意见的公司内部控制不存在缺陷。潘芹(2011)基于委托理论以2009年我国A股上市公司数据为样本对内部控制审计进行实证检验,结果显示内部控制审计对审计意见影响显著。朱彩婕、韩小伟(2013)基于我国2011年A股数据,用Logistic回归模型分析了自愿进行内部控制审计对财务报告审计意见的影响,结果表明二者存在显著的负相关性。
目前涉及到内部控制审计与审计意见关系的文献还很少,不过国外实践经验和我国已有的少许文献也都明确表明了内部控制审计对财务报表审计意见有显著的影响作用。通过更多的文献整理分析可以得到的启示有:学者们对审计意见的影响因素研究观点集中体现在审计主体和审计对象双方各要素,不过不同学者站在不同的角度利用不同时期的数据得出的结论存在着差异。财务状况好的公司和公司治理水平高的公司不易被出具非标准审计意见,这是基本一致的,而对盈余管理、上一期审计意见、审计收费等因素则因衡量标准和基于的理论而异。对于会计师事务所规模这个影响因素,在国外资本市场研究中得到的结论也几乎是一致的,大规模事务所更谨慎。在我国,由于经济发展的特殊性,会计师事务所规模主要是政策的推动合并扩张而并非完全由于市场导向,特殊的背景决定了在我国不同的发展阶段应当具体环境具体分析。总而言之,前期已经对审计意见的影响因素进行了比较广泛而深入的研究,不过截止到现在很少涉及内部控制审计这个因素。
三、内部控制审计的披露对财务报表审计意见的影响分析
(一)自愿披露阶段,内部控制审计的披露对财务报表审计意见影响。根据罗斯的委托理论,委托人和人都是自利的经济人,双方都以实现自身利益最大化为目标,股东追求的是企业价值最大化,经营者则追求更多的薪酬及闲暇时间。股东约束经营者的自利行为以获得更高的经营效率,经营者因参与企业的日常经营管理活动将其拥有信息的绝对优势使自身利益最大化,两者存在着信息不对称及利益冲突,产生了“道德风险”和“逆向选择”等问题。委托人为减少成本获取更高的利益会聘请除委托人、人之外的注册会计师对管理者的经营管理活动进行监督、审查及评判,使得反映企业经营成果和财务状况的财务信息更加可靠公允,减弱信息不对称程度。受托责任理论认为管理者为保证其受托责任的履行和接受监督获得高额的报酬,会建立更完善的内部控制机制来规范自己的行为,通过努力实现自身的价值使公司展现出良好的经营绩效,并向企业所有者传递尽职尽责地为企业服务的信息。正由于当代信息社会中存在严重的信息不对称问题,内部控制体系在探索和完善阶段核心对象是加强内部控制建设,为保证内部控制的有效实施和信息的有效传递,内部控制审计是强有力措施。
竞争愈演愈烈的资本市场上,业绩良好和公司治理完善、内部控制健全有效的优质公司必须通过信号传递向市场展示其优势方面。依据信号传递理论,基于成本效益原则,这种信号是指只有高素质的企业采用才会是收益大于成本的某种可行性行动(陈汉文,2009)。审计就被认为是这样一个可以将高素质企业与低素质企业区分开来的信号显示机制。在自愿执行内部控制审计阶段,自愿审计本身就是一种信号。上市公司通过内部控制审计向市场传递其内控资源充裕、内部控制自我评估报告真实可信的信号。这类公司的审计风险较小,注册会计师倾向于对其出具标准审计意见。
综上分析,自愿进行内部控制审计可以传递公司内部控制健全有效的信号,起到降低成本的作用,这些上市公司具有有效的内部控制、健康的财务状况、完善的公司治理、良好的持续经营能力等特征(林斌、饶静,2009),这类公司可以有效防范财务报表错报风险,注册会计师倾向于对其财务报表出具标准审计意见。
(二)强制执行阶段,内部控制审计的执行和披露对财务报表审计意见的影响。在信息繁杂的当今社会,审计意见被视作来自独立、客观、公正渠道的一个公共信息,用作企业评价的一个依据,利益相关者们信赖之、运用之,使审计成为节约社会成本、增进社会信任的一种独具特色的机制。因此,审计意见关系着利益相关者们的利益,在资本市场中扮演着重要的角色。对于上市公司来说,审计意见是对公司财务信息和非财务信息的凝练表述,通过市场反应来进一步影响公司的运行,这也是审计意见的预警作用。基于此,在强制要求上市公司进行内部控制审计环境下,迫于被公示的压力,上市公司为获得有利于公司发展的标准审计意见,必须花费人力物力财力来建立健全内部控制体系,努力完善内部控制以有效提高财务报告信息质量。注册会计师在财务报告生产过程受到严格控制的情况下,评估风险相应下降,出具的标准审计意见比例相应增加。因此,强制执行内部控制审计,可以促进内部控制制度建立健全,保证财务信息的可靠性,上市公司处于良性循环系统中健康发展。
在强制执行内部控制审计的初级阶段,虽然企业对其内部控制完善的时间并不长久,其相应的改进措施尚未完全奏效,或者有些公司是基于强制执行政策的压力为披露而披露,没有做足够多实质性的工作对内部控制进行特别的改进。之前自愿披露的公司因各方面状况良好更有意愿进行内部控制审计凸显其优势,当处于这种情况下,信号传递可能会受到干扰,信息使用者或者市场将对其一视同仁,不再偏好于自愿披露的公司,使得自愿披露的企业难以获得信号传递的优势,不再有更多的动力来进一步完善其内部控制。或者说在受政策压力下披露的公司与自愿披露阶段进行了内部控制审计的企业相比更加注重内部控制审计的建设,在近期的财务报表审计意见中得到显现。
四、结论
第一,我国在信息披露环境不完善以及相关法律法规对外部信息使用者保护不周全的情况下,基于信号传递理论,优质公司为了与劣质公司区分开来,自愿主动进行内部控制审计,向市场有效地传递公司内部控制高水平及财务信息高质量的信号,实现其获得资本市场和投资者的认可并从中获益的目标。同时,为了避免外部独立审计师出具消极否定的内部控制审计意见给公司带来不利影响,上市公司会更加努力加强和完善自身的内部控制建设,这将有效抑制管理层对信息披露的操纵,从而从根本上提高公司财务信息质量。因此在未强制披露内部控制审计信息之时,内部控制审计的披露可以让信息使用者更有理由相信自愿披露内部控制审计的企业财务状况良好,从而显现在财务报表审计意见中为标准审计意见。
第二,随着相关法律法规的逐渐完善,对资本市场信息要求的提高,内部控制审计被强制执行,并要求企业向市场和信息使用者公示其内部控制审计信息。在强制执行内部控制审计的初级阶段,虽然企业对其内部控制完善的时间并不长久,或者有些大规模相应的改进措施尚未完全奏效。但在强制执行的环境下,或者说在受政策压力下披露的公司与自愿披露阶段进行了内部控制审计的企业相比更加注重内部控制审计的建设,在近期的财务报表审计意见中得到了部分显现。即如结果显示,强制执行内部控制审计或自愿执行内部控制计可以传递出其更高可靠性的财务信息。这种由于政策的推行给各企业带来一定的压力,推动其进一步改进内部控制,提高财务信息质量的良性循环,对于我国刚踏入内部控制审计强制阶段来说无疑是个利好消息,将这种良性循环持续下去是我们所期待的。J
参考文献:
[1]刘霄仑,郝臣,褚玉萍.公司治理对上市公司审计意见类型影响的研究――基于2007―2011年中国民营上市公司的面板数据[J].审计研究,2012,(05):51-57.
[2]潘芹.内部控制审计对审计意见的影响研究――基于2009年我国A股公司数据[J].财会月刊,2011,(09):80-82.
[3]陈汉文,李荣.财务呈报内部控制审计准则的国际发展[J].审计与经济研究,2007,(03):5-11.
[4]肖成民,李茸.内部控制会影响审计意见吗?[J].会计与经济研究,2012,(02):34-41.
[5]杨德明,胡婷.内部控制、盈余管理与审计意见[J].审计研究,2010,(05):90-97.
【关键词】 PCAOB AS5; PCAOB AS2; 内部控制; 内部控制审计
一、引言
最近,美国公众公司会计监督委员会(PCAOB)了新的内部控制审计标准:审计准则5号――《与财务报表审计相结合的财务报告内部控制审计》(Auditing Standard No.5 -An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements,简称AS5)。PCAOB AS5取代了2004年的审计准则2号Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements,简称AS2),对内部控制审计和财务报表的审计方式产生了重要影响。AS5强化了PCAOB2005年5月的指南,该指南要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计,它被看成是一种内部控制审计实务最好的方法。尽管这种自上而下的风险基础审计方法是AS5关注的核心问题,但是审计准则的其他变化也是非常重要的,如AS5修改了“重要缺陷”和“重大缺陷”的定义、修改了“重大缺陷”显著征兆的构成、明确了审计中重要性的作用等。
二、财务报告内部控制审计准则PCAOB AS5的变化解析
(一)强调了风险和所需获取的证据之间的关系
AS5要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计,这种方法首先测试控制环境和了解财务报表,识别和评估重大错报风险。基于风险评估的结果,AS5要求外部审计人员识别需要测试的重要账户和流程。就这点而论,AS5强调风险评估及把风险评估与审计中所需获取的审计证据联系起来。
AS5允许减少业务流程层次的测试。尤其是在公司整体层面的控制较强,并且和业务流程层次的控制紧密相连时;或者公司整体层面的控制十分精确足以防止或发现相关认定的重大错报,外部审计人员通常就能够减少对业务流程层面的控制的测试。这两种情况都要求审计人员对业务流程层面的控制和他们与企业整体层面控制的交互作用有一个充分的了解。
大量的PCAOB检查报告表明外部审计人员并没有使用由上而下的方法。同样报告也表明宣称使用自上而下方法的外部审计人员并没有充分测试和记录企业整体层面的控制和业务流程层面的控制之间的直接联系或没有测试和记录企业整体层面的控制如何防止或发现相关认定的重大错报。PCAOB期望“外部审计人员对风险的评估能对内部控制的审计产生深远的影响”,对风险导向证据的依赖不断增加。
AS5将风险和证据相联系,这就需要摒弃固态的审计方法和以偏概全的思路。尤其是AS5要求外部审计人员应该不断调整他们的程序以反映审计人员所获得的信息,包括从内部控制和财务报表中获得的信息。AS5也指出审计测试的性质、时间和范围的不同组合能够提供与既定控制相关的风险水平相对应的充分的证据。为了成功地实施灵活而弹性的审计,风险评估有必要在自上而下审计方法的每个决策点都进行。
(二)修改了对重要缺陷和重大缺陷的定义
AS2和AS5在定义重要缺陷(significant deficiency)和重大缺陷(material weakness)时考虑了SFAS No.5的三大概率界限:极小可能(remote)、可能(reasonably possible)和很可能(probable)。如果把这三个界限看作是连续性的风险概率的话,还有一系列风险水平介于“极小可能”、“可能”和“很可能”之间。AS2使用“极小可能”来定义重要和重大缺陷,指出重要的缺陷是指一个控制缺陷或若干个控制缺陷的集合,对公司依一般公认会计原则可靠地确认、授权、记录、处理和报告外部财务数据的能力,造成不利影响,使其年度或中期财务报告中重要的错报无法被预防和侦查的可能性大于“极小可能”;重大的缺陷是指一个重要的控制缺陷或若干个重要的控制缺陷的集合,使年度或中期财务报告的重大错报无法被预防和侦查的可能性大于“极小可能”。
AS5用“可能”这个术语替代了原来的“极小可能”,以此来定义重要缺陷和重大缺陷。重大缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,使公司的年度或中期财务报告的重大错报(material misstatement)可能无法被及时地预防和发现。这种可能性包括可能(reasonably possible)和很可能(probable);重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,比重大缺陷严重性轻一些,但仍很重要足以引起那些有责任监督公司财务报告系统的人的注意。用“可能”这个专业术语来定义重要缺陷,会将那些介于“极小可能”和“可能”之间的缺陷排除在重要缺陷之外。这样会减少审计师所识别的重大缺陷和重要缺陷的数量。公司的管理层和治理层应该明白这些,当外部审计人员识别出的重大缺陷下降时,不要错误地认为内部控制是安全的。
(三)修订了重大缺陷显著征兆(strong indicators)的构成
AS5取消了需要将已公布的财务情况重述和企业整体层面控制环境失效至少应该看作内部控制重要缺陷和重大缺陷显著征兆考虑的规定。因为这种变化,外部审计师需要使用自己的判断确定何时财务重述或公司整体层面控制失效不必被认为是内部控制的缺陷。
AS5同样也阐明了未修正的重要缺陷不必被认为是重大缺陷的显著征兆,但是公司整体层面上的控制缺陷除外。正因为如此,外部审计师(可能也包括内部审计师)必须要不断地评估公司整体层面的控制是否无效。当公司整体层面的控制环境确实是无效的时候,未修正的重要缺陷将成为重大缺陷的显著征兆。AS5中关于“财务重述和未能对外部审计师建议做出反应是否构成重大缺陷的显著征兆”的观点将很可能导致内部控制否定意见的减少。
(四)阐明了审计中重要性(materiality)的角色
AS2要求审计人员查找所有的内部控制的潜在缺陷,而不仅仅是与财务报表相关的内部控制。这一要求使得公司在总体上采用了COSO框架,包括遵守政府的规章制度、公司的运营、信息的有效性等方面的内部控制。AS5鼓励公司仅仅关注与导致财务报表错报相关的内部控制的缺陷。
更明确的是,AS5指出审计人员在计划和执行内部控制审计时采用的重要性衡量标准应该与计划和执行财务报表审计时所采用的重要性标准一致。这一要求使得外部审计人员审计工作的范围发生改变,可以不再检查内部控制所有的潜在缺陷,而是全力以赴地去寻找导致财务报表重大错报的内部控制的缺陷。
(五)取消了对管理层内部控制自我评估程序进行评价的要求
SEC规则曾要求报表者在每一会计年度终了时,使用合适的框架(一般采用COSO内部控制框架,虽然其它框架也能被接受)来评估其内部控制的有效性。为了在AS2的指导下完成审计工作,外部审计人员被要求评价管理层每年的内部控制自我评估程序。如果外部审计人员认为管理层的自我评估程序没有为其内部控制的自我评估结论提供充分的支持,那么就要求外部审计师拒绝对公司的内部控制发表意见。
在AS5和SEC的新的指南下,外部审计人员不再需要评价管理层每年的自我评估程序。然而,为了能够利用其它人员的工作,外部审计人员还需了解管理层的自我评估程序。因此,管理层、内部审计人员以及外部审计师就有必要来协调他们各自的工作。而审计委员会在这一协调过程中发挥着重要的作用。
(六)允许考虑先前审计所获得的信息
AS5允许外部审计人员基于以前年度的审计工作而在某些领域减少测试。这就取消了AS2要求审计师每年必须依靠当年自己的审计工作的规定。AS5要求外部审计人员在执行内部控制测试前,考虑以前年度审计(包括财务报表和内部控制审计)所执行的程序的性质、时间、范围和测试的结果以及自上一次审计以来内部控制或者相关程序的任何变化。在全面的风险评估基础上,外部审计人员应该根据与特定控制相联系的风险决定所需要获得的证据。例如,AS5中,当控制呈现低风险时(如固有风险较低,复杂程度较低,自以前年度审计后没有出现控制或程序的改变,以前年度的测试没有发现缺陷等)可以单独使用穿行测试来评价控制运行的有效性。而在有较高风险的控制中,仅仅采用穿行测试是不够的。但是当年进行的穿行测试以及其它测试的结果可以影响以后年度测试的性质、时间和范围。
AS5不允许减少那些对财务报告相关的内部控制整体有效性起核心作用的控制的测试。所减少的当年的内部控制测试工作(包括性质,时间,范围)必须是该控制对与财务报表相关的内部控制的整体有效性不起核心作用。例如,决算程序的控制对财务报表相关的内部控制整体有效性是起核心作用的,当测试这些控制的时候,以前年度的结果就不再值得依赖。
(七)重新调整多区域测试要求
在AS2的规定下,审计师必须评估他们对公司进行的多区域(multi-locations )或多业务单元(multi-business units)的内部控制测试是否引起对公司的大部分范围都进行了测试。这种要求导致许多审计人员对某一公司进行大范围的了解,测试的覆盖面广,而不考虑和这些区域、业务单元相联系的财务报表中重大错报风险大小。由于AS2关注的是测试的覆盖面而不是错报风险大小,许多公司觉得他们被迫接受了对内部控制的过度审计。AS5的出台取消了“要对公司的大部分区域和业务单元进行控制测试”的要求,取而代之的是要求审计人员采用风险基础的方法来决定测试的恰当的区域范围和业务单元。
外部审计师在决策需要对一个公司的哪些区域或业务单元进行控制测试时,需要将对该区域或业务单元的评估的风险程度及投入该区域或业务单元的审计关注相联系。当某一区域或业务单元单独或和其他区域或业务单元合并一起没有可能引起公司合并会计报表存在重大错报时,外部审计师可以减少对这些区域或单元的进一步关注。在一个低风险的区域或业务单元,外部审计师可以首先评价公司整体层次控制的测试和那些合理保证恰当的控制贯穿于整个组织的控制是否能为它们提供充分的审计证据,而不是直接对这些低风险的区域或业务单元进行控制测试;在决策对哪些区域或业务单元进行控制测试时,外部审计师可以考虑其他人员的工作。例如,如果公司的内部审计人员在计划的工作中包括了对某些区域或业务单元的审计,外部审计师就可以整合内部审计师的工作,降低对业务区域或单元测试的数目。
(八)消除了使用其他人员工作的障碍
AS2要求外部审计师获取重要的证据以支持对内部控制发表的意见。而AS5要求外部审计人员仍然对他们出具的财务报表和内部控制的审计报告负责。但是AS5放宽了外部审计人员可利用的其它人员工作的情况,如利用内部审计人员的工作。
AS2中规定:“在内部控制审计过程中,外部审计人员对控制进行测试时,可以利用内部审计人员,公司的其他人员以及处于管理层指导下的第三方的工作”。然而“在财务报表审计中进行的控制测试中只能利用内部审计人员的工作”。
AS5为何时可以利用其他人员的工作建立了一个统一框架,这个统一框架的基础标准是:被测项目的性质(强调风险和相关的活动),执行测试人员的胜任能力及客观性。而不管这项工作是和公司的内部控制测试有关(只要执行这项工作的人员的胜任能力和客观性足够“高”)还是和财务报表审计有关。外部审计师需要研究如何运用这一框架判断在审计中公司员工的工作可以在何种程度上被利用,以及哪些人的工作可以被利用,哪些人的工作不能被利用。
(九)重新调整了穿行测试的要求
在AS2下,外部审计人员必须对所有主要的交易层次执行穿行测试(walk through),而且穿行测试不能由其他人执行。AS5则鼓励但不强制要求在每个重要的流程中进行穿行测试。同时,在流程层面支持采用穿行测试并不排除使用除穿行测试以外的其他审计技术来获取对重要流程中控制的了解。
AS5也允许外部审计人员利用其他人提供的直接帮助进行穿行测试。然而外部审计人员仍然必须主要和亲自参与到穿行测试中。在寻求其他人员对穿行测试进行帮助前,外部审计人员需要明确哪些穿行测试是重要的,必须亲自执行,这一点非常重要。
(十)为较小的公司量身定制审计
AS5允许外部审计师根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。
AS5代表了管制者对那些不得不遵循SOX404条款的公司提出问题的合理回应。外部审计人员应该意识到这些变化,并要有意识地探讨如何从资源、应用于财务报表和内部控制审计的方法方面来应对这些变化。
【主要参考文献】
[1] 阚京华.美国强制性双重内部控制评价制度的解析与启示.经济管理,2007,(22):p13-18.
[2] PCAOB.2004.Audit Standard AS2:An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements.
[3] PCAOB.2007.Audit Standard AS5:An Audit of Internal Control over Financial Statement That Is Integrated with An Audit of Financial Statement.
一、舞弊的含义
舞弊审计准则即注册会计师在审计过程中,检查被审计单位是否存在舞弊而应遵循的具体准则。因此,要理解舞弊审计准则的意义,必须先了解什么是舞弊。
会计上对舞弊的定义有许多种,例如,美国注册公共会计师协会(AICPA)将舞弊定义为“任何对财务信息的有意错误表述或故意忽略”。我国《独立审计具体准则第8号――错误与舞弊》将舞弊定义为:导致会计报表不实反映的故意行为。《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》将舞弊定义为:被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为。综上所述,舞弊就是一种行为人为获取不正当的利益,而进行的有计划、有目的的故意行为。
二、中美舞弊审计准则比较
对我国舞弊审计准则的研究,我们可以发现,我国的舞弊审计准则表现出与美国的准则基本趋于一致的情况,这正体现了我国积极与国际趋同的理念,关于我国准则与美国的趋同,主要体现在以下几个方面:
1、三角理论的应用。SASNo.99将SASNo.82中列举的大量欺诈性因素的解释性说明重新归纳为三个主要特征:(1)动机/压力;(2)机会;(3)自我合理化/态度,即企业管理当局或雇员持有一种被歪曲了的道德观,使有违社会诚信原则的欺诈行为自我合理化或类似的态度。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》第12条中描述了舞弊发生的因素:动机或压力、机会、借口。
可见,在舞弊的原因上,我国与美国都应用了三角理论。要求注册会计师从这三方面关注舞弊风险因素,并利用从法律专家及其他人员处获得的相关信息来综合评价舞弊风险。
2、保持职业怀疑态度。SASNo.99同时指出注册会计师在从事审计业务时应保持职业的怀疑态度,特别提醒注册会计师要摒弃一些倾向,即根据过去的经验相信被审计对象诚实和正直。可以说,SASNo.99将职业的质疑态度前所未有地放到了十分重要和突出的位置上。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》第五章也提出了职业怀疑态度的要求。职业怀疑态度在美国及中国,都得到了充分重视,这也是中国新审计准则的一大亮点。这有利于增强注册会计师的审计舞弊意识以及对舞弊的敏感性,改进其评估舞弊风险的过程。利于降低审计师的职业风险。
3、项目组内部讨论。SASNo.99要求审计业务小组在审计过程中应对被审计对象可能欺诈的方式和从哪些方面进行欺诈等进行讨论交流。为此,SASNo.99首次在审计文献中引入了“头脑风暴法”,即“集体讨论”的概念。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》第六章提出了项目组内部的讨论的具体规定。要求项目组应当讨论由于舞弊导致财务报表发生重大错报的可能性。在整个审计过程中,项目组成员应当持续交换可能影响舞弊导致的重大错报风险评估及其应对程序的信息。
可见,在新的审计准则体系下,要求通过项目组的积极讨论交流,彼此共享经验,利用小组的智慧来降低审计师的职业风险。
4、收入确认风险。在SASNo.99中对风险的判别新增加要求:推定不适当的收入是一种风险。SASNo.99要注册会计师“应当通常的”推定同收入确认相关的欺诈所导致的财务报表重大错报的风险。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》第52条提到:对财务信息做出虚假报告导致的重大错报通常源于多计或少计收入,注册会计师应当假定被审计单位在收入确认方面存在舞弊风险,并应当考虑哪些收入类别以及与收入有关的交易或认定可能导致的舞弊风险。
收入确认是大量财务舞弊案涉及的核心问题,一直也是注册会计师调整报表的主要理由。我国与美国规定中都对收入确认风险提出,促进了审计活动中对这一项目的审计重视。
5、管理层凌驾于内部控制之上的风险。在SASNo.99中对风险的判别新增加要求:关注管理层凌驾内部控制之上的风险。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》第17条中提出,注册会计师应当在整个审计过程中保持职业怀疑态度,考虑管理层凌驾于控制之上的可能性。在第四节中针对管理层凌驾于控制之上风险实施程序做了详细规定。
我国与美国的规定中都提到了注册会计师要注意管理层凌驾内部控制上的风险,管理层舞弊现象也是现在舞弊现象中审计难度较大的一方面。在准则中明确提出,利于提醒注册会计师,时刻保持职业怀疑态度。虽然这一举措加大了审计成本,但是利于注册会计师降低风险。
6、拓展询问。SASNo.99要求注册会计师向管理层询问其对本单位舞弊风险的看法以及所了解或怀疑舞弊方面的任何信息,也要求向被审计单位以外的其他个人或被审计单位各级雇员询问。在询问中,运用合理的专业判断。
《中国注册会计师审计准则第1141号――财务报表审计中对舞弊的考虑》专门运用了一节的内容来讲述注册会计师的询问。规定了了解被审计单位及其环境的事项、询问的人员、询问的内容,并且要求在评价管理层对询问做出的答复时,保持职业怀疑的态度,考虑舞弊的风险因素。
询问被法律专家认为是调查舞弊案件中有效的方法,而注册会计师在审计活动中,询问也是必不可少的一个重要环节。在询问的各方面,我国与美国的规定都有所拓展,日趋完善。
三、对我国新舞弊审计准则的思考
我国的新舞弊审计准则虽然比旧准则有了很大改进,但对比美国的SASNo.99,我国的新准则在一些方面仍然存在问题,值得我们思考。总结起来,主要有以下方面:
1、我国应借鉴美国的风险因素理论。美国SASNo.99将舞弊性财务报告风险因素分为:管理当局的特征及对控制环境的影响(13个风险因素)、行业状况(4个风险因素)、经营情况与财务稳定性三类18个风险因素。我国也应将自己的风险因素进行适当的扩展,使其适合当前的具体情况,并且对各风险因素的认定和计量出具详细的指南,以便通过因素分析控制,有效地计量舞弊发生的概率,降低舞弊发生的频率。
2、共享经验问题。决不应仅仅局限于项目组内,而应该推而广之,拓展到前后任注册会计师之间(当然应该内外有别,某些问题只能局限于项目组内部讨论,事实上,即便同在项目组内部,不同责任人员之间也是有区别的),数据资源共享,不能以保密为借口,导致资源和成本浪费。
3、基于我国现阶段的国情,在准则的制定上应更多地倾向于规则导向。我国审计执业人员素质低下的现状不允许我们大量采用原则导向而仍应采用规则导向。为注册会计师审计舞弊财务报表建立更实用的标准和提供更详细的指南是一种必然和正确的选择。
关键词:公司治理;财务治理;委托关系
一、公司治理与财务治理界定
(一)公司治理涵义关于公司治理的涵义,林钟高(2003)认为公司治理(公司治理结构)是现代企业制度中最重要的组织架构,它以监督与激励为核心内容,通过一套包括正式或非正式的、内部的或外部的契约或制度安排来协调公司与所有利益相关者之间的利益关系,以保证公司决策的有效性和科学性,从而维护公司各方面的利益。樊行健(2005)认为公司治理结构实质上是对企业进行控制而建立的企业内外一整套制度的安排。黄菊波、杨小舟(2003)认为公司治理实质是关于剩余控制权和剩余索取权分配的一系列制度安排,而对剩余控制权与剩余索取权即企业所有权的研究是企业理论的一个重要组成部分,因此,对于公司治理的研究可在企业理论研究的基础上直接进行。现代企业最根本的特征是所有权与经营权的分离,两权分离产生了委托关系,委托人(股东)和人(经营者)之间既需要合作又存在冲突,有必要在所有者和经营者之间形成一种相互制衡机制,协调彼此的责、权、利关系。因此,本文认为公司治理就是一种企业剩余索取权和剩余控制权(即广义的产权)分配的一系列制度安排,通过这种制度首先保证公司股东的利益并以此为重心兼顾各个利益相关者之间责权利的平衡。
(二)财务治理涵义到目前为止,财务理论界对财务治理内涵的研究虽取得了一定成果,但并未真正给出完整、确切的财务治理定义。许多学者从不同的研究目的出发,根据自身对财务治理涵义的理解,概括出了多种财务治理定义。这些定义大都将财务治理置于公司治理框架之下,参考公司治理定义,从制度安排角度,将财务治理与财务治理结构等同,有代表性的定义主要有以下几种:李心合(2000)认为财务治理结构是以财、会、审分离为基础,完善总会计师制度为保证,通过增设财务委员会,理顺上下级财务关系的一种制度安排。杨淑娥(2002)认为公司财务治理是通过财权在不同利益相关者之间的不同配置,调整利益相关者在财务体制中的地位,提高公司治理效率的一系列动态制度安排。林钟高(2003)认为财务治理是一组联系各利益相关主体的正式和非正式的制度安排和结构关系网络,其根本目的在于通过这种制度安排达到利益相关主体之间权利、责任和利益的均衡,实现效率和公平的合理统一。伍中信(2005)认为公司财务治理从财务的社会属性(产权契约关系)出发,以财权流为主要逻辑线索,研究如何通过财权在公司内部的合理配置,形成一组联系各利益相关主体的正式和非正式的制度安排,以期达到维护投资者利益的根本目的。从上述几种比较有代表陛的定义可以看出,国内学术界对于财务治理的定义并无很大分歧,都认为财务治理是以财权合理配置为核心的一系列制度安排,主要不同在于对财务治理主体的界定不同。财务治理要解决的是在一种效率和公平的前提下,对各相关利益主体的权利、责任和利益进行相互制衡的一种制度安排问题,是一组联系各相关利益主体的正式和非正式关系的制度安排和结构关系网络。其特点是侧重于非数量方面的研究,力求通过研究财务关系、合理安排财务关系为企业带来经济效益。有鉴于此,财务治理定义可以概括为:财务治理就是基于财务资本结构等制度安排,对企业财权进行合理配置,在强调以股东为中心的利益相关者共同治理的前提下,形成有效的财务激励约束机制,实现公司财务决策科学化等一系列制度、机制、行为的安排、设计和规范。
(三)公司治理与财务治理关系的主要观点对于财务治理与公司治理的关系,主要观点有两种:一是财务治理是公司治理的一部分。黄菊波、杨小舟(2003)认为公司的财务治理结构是公司治理结构的一个子系统,从属并取决于公司的治理结构的根本性质,是公司财务决策权、财务执行权和财务监督权的划分与配置。樊行健(2005)认为正如同财务管理是企业管理的核心,完善公司治理结构则重在财务治理。冯巧根(2000)认为,财务治理结构是公司治理的一个重要组成部分,其内容与公司治理结构基本相同,主要有:治理主体,即谁参与治理;治理客体或治理对象、治理手段。李书锋等(2001)认为财务治理是公司治理的一个方面,这种观点一般隐含于作者对财务治理研究的论述之中,二是财务治理与公司治理并不是简单的包含关系。衣龙新(2002)认为公司治理结构模式决定企业财务治理,财务治理是公司治理结构的核心,但财务治理并不等同于公司治理,它们不能相互涵盖或替代,公司治理研究与应用的宏观性、原则性、模糊性,还远不能适应公司财务可操作性的现实要求,因此,要加强其实践中的可操作性和可应用性,必须也只能从财务方面人手,将财务治理独立出来。应该说,后一种观点较正确地描述了两者之间的关系。当然,在清楚地认识了这种关系后,还需将其应用于实际的财务治理研究之中。
二、公司治理与财务治理关系的思考
(一)财务治理的个性 关于财务治理与公司治理二者之间的内在关系,不能说简单地说谁包括谁,而应该理性地去加以思考和辨析。一般来说,公司治理侧重于公司内部股东会、董事会、监事会和经理层之间的相互制衡和激励、债权人、政府、职工等其他利益相关者的共同治理,而财务治理包括基础理论(财权及其配置的一般原则)、基本理论(包括财务分层理论、以证券设计为主要内容的财务契约理论等)和应用理论(债转股、国有股减持等)。如果用财务治理涵盖公司治理,则夸大了财务治理的范围和作用,限制了公司治理的范畴。公司治理除包含财务治理外,还包括人事、经营等方面的治理,应当说财务治理本质上是公司治理的核心部分和根本体现形式。经济行为都以经济利益为中心,公司治理的效果也最终要落实到财务利益上;如果用公司治理定义替代财务治理定义,则局限了财务治理内涵和外延,更为偏颇。财务治理除具有公司治理共性外,还具有自身独特的个性。财务治理具有与公司治理不同的体系框架,非常强调财务上的明晰性、可操作性和可控制性。此外,财务治理在公司财务中的重要地位,也是公司治理所不可替代的。从某种意义上说,可以认为财务治理是公司治理最主要的组成部分,是公司治理的财务方面。但如果简单地将其限制在公司治理框架下,便忽视了其作为公司财务重要组成部分的客观性,忽视了其作为公司财务与公司治理两大学科之交叉学科的地位,忽视了其指导、解决复杂交错的公司财务与治理问题的突出作用。
(二)公司治理与财务治理的共性公司治理与财务治理二者之间的关系可以从以下方面来理解并加以辨析:(1)公司治理是财务治理的前提和理论基础,在公司治理理论下所产生的委托理论、信息不对称理论是所有者与经营者之间、不同层次经营者
之间在公司财产占有、使用、处置、剩余分配与监督控制等方面制衡的理论,而这些正是财务治理理论产生的前提和基础。(2)公司治理和财务治理在目标上具有一致性。公司治理的目标是降低成本,解决信息的不对称,保证公司决策的科学性和公司治理的有效性,从而保证公司利益相关者利益的最大化。财务治理的目标是公司资源合理配置,形成有效的财务激励与约束机制,实现公司财务决策科学化,从而保证公司利益相关者利益的最大化。(3)财务治理依赖于良好的公司治理机制。公司财务治理系统的建立取决于公司治理环境,从而形成公司特定的财务治理机制。公司财务治理环境是公司治理的环境处于公司财务治理系统的基础性层面,它影响着利益相关者财权的分配,决定财权的划分,并由此设立相关的财务机构、监督机构。总之没有良好的公司治理机制,公司财务治理将很难发挥作用。(4)公司治理和财务治理在主体上具有一致性。现代公司治理理论认为,公司治理的主体是由具有一定资格和能力参与治理活动的公司利益相关者,股东是核心,主要包括公司经营者、债权人、员工、政府和其他利益相关者。财务治理主体,即谁参加财务治理,毫无疑问是公司利益相关者,因为在治理框架下,公司治理与财务治理是个包容关系,其主体一定是公司治理主体。(5)财务治理是完善公司治理的有效途径。公司治理理论关于剩余索取权与控制权的实现是通过财权在利益相关主体之间分配的变化实现的,而不同的财权配置又会产生不同的激励机制和监控机制,而公司治理效率的高低又完全依赖于激励机制与监控机制的效率,因此良好的财务治理是完善公司治理的有效手段。
综上所述,公司治理是现代企业制度中最重要的架构,财务治理是公司治理的最重要的内容,是公司治理的现实、集中和根本体现。二者紧密相连,不可分割。倘若公司治理结构不符合现代企业制度的要求,财务治理模式就不能达到预期的效果,就失去相应的意义。所以,财务治理模式只有在科学合理的公司治理框架内才能成为实现公司价值的重要手段,而公司治理只有在有效的财务治理模式的具体操作下才能形成有效的制衡机制。
三、我国上市公司治理结构的制度缺陷分析
(一)公司治理结构不合理所有权与经营权的分离是现代公司治理的重要特征,按照委托理论,我国上市公司存在着先天性的制度缺陷:国有股权控制权不明确,经理层在某种程度上成为企业的实际所有者,国有股权虚置,并且由于股权过于集中,国有股“一股独大”,“内部人控制现象”严重;上市公司股东大会、董事会不能起到对公司管理层应有的控制作用,董事会成员主要来自主发起人的国有企业,且大多同时为公司高级管理人员,集公司决策权、监督权于一身;在“内部人控制现象”的影响下,上市公司还在财务报表审计关系和独立董事制度引入等方面表现出委托关系的严重失衡。
(二)审计委托关系存在缺陷现行的财务报表独立审计制度的理论基础是委托理论。根据该理论,一个有效的审计委托模式必须明确委托者、被审计者(被审计单位管理当局)以及受托者(会计师事务所)等角色。我国上市公司财务报表审计中存在着双重委托关系:一方面包括投资者在内的社会公众是委托人,公司经理层是人(受托进行经营管理);另一方面股东作为委托人,进行财务报表审计的会计师事务所是人(受托鉴证公司经理层的经营业绩)。这样,所有者、管理当局和会计师事务所之间便形成了一种相互制约的三角契约关系。然而,在市场经济下,这种形式上看似完善的审计模式,却有其内在的制度缺陷。从制度框架的设定基础上来看,现行的财务报表审计委托模式是由公司的财产所有者即股东(组织形式上是股东大会)委托会计师事务所对企业管理当局的经营情况进行审计,注册会计师应该是全体股东的人,独立审计是投资人委托社会中介对经理人实施监督的一种权力。但这种权力在实际执行过程中,由于上市公司的股权分散,董事会与管理层高度重叠,股东大会难以直接行使审计委托权,这种委托权便交由股东大会的执行机构董事会来执行,而执行董事却是公司管理人员,这样公司管理层就成为了实际的审计委托人,涉及审计的报酬、内容、续聘等实质问题均由管理层决定(邢小玲,2003)。于是,现行的财务报表审计模式实质上便形成了一种制度缺陷,即由管理层选择注册会计师来监督自己。我国目前的审计委托模式存在着制度缺陷,由于管理层越位以及公司治理结构不完善等问题的存在,难以保证注册会计师对被审计者的真正独立,造成了“独立审计不独立”的尴尬局面。
(三)独立董事制度作用未充分发挥为了促进公司治理结构的完善,防止大股东对中小股东利益的侵害,保证股东利益的最大化,我国已经在上市公司中引入了独立董事制度,并且明确规定上市公司在聘请独立董事时至少要有一名会计专业人士,但该制度的实施效果并不尽如人意,其根本原因仍在于委托关系的错位。独立董事作为中小股东利益的人,本应由中小股东(委托人)提名选聘,但实际上却是由大股东一手包办,致使独立董事与上市公司存在着某种程度上的隐性关联交易,直接削弱了独立董事的独立性。因为独立董事与上市公司存在着利益关系,就很难向上市公司和大股东的决策提出异议,不能有效地承担保护投资者尤其是中小股东权益的社会责任。独立董事一方面受制于上市公司和大股东,另一方面又要尽力维护中小股东的切身利益,二者之间的矛盾使其陷于两难的境地,最终导致独立董事在某种程度上实际上无法履行义务来维护中小股东的利益。与此同时,作为公司治理重要组成部分的财务治理也由于“内部人控制”和“委托关系”的严重失衡使其财务机制无法合理运行,财务目标难以实现。随着我国市场经济的发展,如何构建有效合理的公司治理结构,以促使上市公司持续健康的向前发展值得探讨。
四、我国上市公司治理结构完善的建议
(一)重构上市公司审计委托模式针对现行财务报表审计委托模式的内在制度缺陷,可以引入财务报表保险制度(Financial Statement Insurance,简称FSI)来完善上市公司的治理结构。财务报表保险制度是由美国纽约大学的会计学教授罗恩(Ronen)在2002年提出的,其基本思想是:在FSI下,上市公司不再直接聘请会计师事务所对财务报表进行审计,而是向保险公司投保财务报表责任险,由保险公司聘请会计师事务所对投保的上市公司进行报表审计,根据风险评估结果决定承保金额和保险费率。对财务报表的不实陈述或漏报给投资者造成的损失,由保险公司负责向投资者进行赔偿(设定一定的免赔额)。在这种制度安排下,保险公司聘请注册会计师对上市公司财务报表进行审计,割断注册会计师与上市公司经营管理层的经济利益关系,使注册会计师具有更强的独立性,执业时会更加认真负责、严格公正。这样上市公司与注册会计师的委托关系被变更为上市公司、保险公司、注册会计师事务所三者之间的委托关系。财务报表责任险虽然在国际上仍处于学术探讨阶段,但已逐渐为人们所共识。特别是美国安然事件出现后,国内外有识之士更是呼吁该制度早日出台,建议我国有关部门可以先行组织试点,而后进行总结推广。
(二)建立分层财务决策机制 在上市公司中引入独立董事制度是完善公司治理结构的重要举措,应通过建立以独立性为原则的独立董事选聘机制,尽可能减少目前尚未理顺的委托关系所产生的负面效应。实践证明,独立董事在履行职责的过程中为上市公司加强财务治理发挥了重要作用,特别是在一定程度上能够抑制内部人控制及内部人和大股东对会计信息的舞弊行为(樊行健,2005)。根据“三权分离、相互制衡”和兼顾效率与公平的思想,公司法人财权应设置决策权、执行权和监督权,并以决策权配置为核心,分层设置权力。从权力角度来看,财务治理是对财务控制权与剩余索取权的对称性安排。财务治理权的合理配置是首要的和根本的,它是影响财务资源配置效率的关键性因素,是保障财务管理工作高效运行的基础。股东大会、董事会、监事会和经理层之间的分层财务决策机制构成了公司财务治理结构的主要内容,各司其职并互相合作与制衡,其中财务战略决策权掌握在股东会和董事会,日常财务决策权和财务执行权掌握在经理人员手中,但是财务监督权在公司内部则是分散配置的,这样就难以发挥董事会的监督作用。因此,有必要引入独立董事制度,在上市公司中保持一定数量的具有专业知识、经验丰富、具有独立判断能力的独立董事,强化独立董事对财务的监督。这是完善上市公司财务治理以及防止上市公司会计信息失真和落实会计内控制度重要举措。
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
一、政府效益审计的内涵
(一)效益审计的概念
效益审计是指审计机关对被审计单位财政收支和有关经济活动的经济性、效率性和效果性进行的审查和评价。
效益审计的目标主要是经济性、效率性和效果性。经济性是指投入的节约,效率性是指投入与产出的关系,效果性是指产出是否达到预期目标。这三个目标紧密相联,有时交叉在一起,并无明显的区分界限,实际工作中更难把三者完全割裂开来。因此,在审计中可以对这三个目标有所侧重,但为保证审计的客观性,通常会将三者联系起来统筹考虑。
(二)效益审计的特点
与财务报表审计相比,效益审计在设计的基本原理和程序方面都是相同的,不同之处主要表现在以下几个方面:
1.审计目标不同
一般来说,财务报表审计的目标是对财务报表的真实性、公允性发表审计意见,而效益审计是对被审计单位资源管理和使用情况发表审计意见。
2.审计方向不同
一般情况下,财务报表审计是对历史的财务信息进行审查和评价,而效益审计有可能是对未来情况进行的分析和预测,多数情况下,效益审计要对未来提出改进建议。
3.所依据的评价标准不同
财务报表审计所依据的评价标准基本上是相同的,即一般公认会计原则及相关具体的会计制度,效益审计由于每个项目的具体目标不同,所依据的评价标准也各不相同。
4.审计方法不同
由于审计目标的相对固定,财务报表审计所运用的方法相对比较固化。而效益审计项目的目标是多样化的,审计对象范围也十分广泛,审计项目中为实现审计目标所采用的方法也是无法固定的,几乎所有的社会科学研究方法,在效益审计中都有可能用到。
(三)开展效益审计的意义
1.开展效益审计是建立高效廉洁政府的需要
高效廉洁的政府,是现代化民主社会的基本特征。在以市场经济为中心的今天,在政府各部门以经济工作为中心的情况下,如果能对工作中的经济性、效率性和效果性进行经常性审计监督,那么,官僚主义和腐败现象就会少一些,经济决策就会更准确,国家的经济损失就会更少,社会效益也会大大提高。目前在公共资金的使用上存在着不重视经济效益,不算经济账,甚至严重浪费的现象,有限的资金没有得到合理有效的使用,使政府的效能下降,并为某些腐败分子提供了方便。尽快开展效益审计,有利于监督政府工作的效益,有利于建立清正廉洁的政府。
2.开展效益审计是有效利用有限资源的需要
随着国家在社会经济生活中的作用日益显著,公共支出占国民生产总值的比重不断上升,中央政府和地方政府所承担的经济责任的范围已大大扩展。国家公共开支的成倍增长和公营企业规模的不断扩大,特别是我国众多人口增长,经济资源越来越不能满足社会的需要,政府的生长基础和社会的发展机会愈来愈受限制。虽然目前我国的经济增长速度依然令世界刮目相看,我们也拥有得天独厚的自然资源和人力资源,但是如若按照可持续发展战略的要求,在这种高经济增长的背后,是否隐藏着对宝贵自然资源和人力资源的某种挥霍?对政府受托责任的考评应该定位在投资效益上。投资不仅包括经济资源,也包括人力资源、自然资源等;效益不仅包括经济效益,还包括环境的保护、社会的安定、民心的凝聚力等。
3.开展效益审计是维护人民群众利益的根本需要
现代社会是民主化的社会,是人民当家作主的时代。政府受人民之托、用人民的钱,理所当然的为人民办事。在民主社会,政府负有以最经济、最有效的办法使用管理各项资源,并使各项资源的使用最大限度地达到预期目的。因此,尽快开展效益审计,是维护民主与法制建设、建立现代化强国所必备的一个有力措施。
二、政府效益审计的技术方法
审计技术方法是为实现审计目标服务的,由于政府效益审计目标多样化、审计对象范围广泛,因此审计项目中为实现审计目标所采用的技术方法也是无法固定的,几乎所有的社会科学研究方法,在效益审计中都有可能用到。
(一)审查和评价经济性的技术方法
经济性是指投入的节约,即是否经济节约地获取和投入资源,资源包括人、财、物和信息等。审计人员在审查评价经济性时要关注资源获取和投入的时间、种类、数量、质量、成本和相关的决策、管理等方面。
1.投入合理性的评价
合理的投入要有助于产出,有利于产出结果。在投入合理性评价时,审计人员应重点关注被审计单位项目的设立和批准是否符合一定的立项和审批程序,是否严格按照规定的程序和制度办事,防止不合理的投入。
2.投入充分性的评价
充分的投入是项目及时和高质量完成的保证,包括及时投入和足额投入两个方面。在投入充分性评价时,审计人员应重点关注是否存在由于资金不充足、不到位而导致项目不能按时开工、工期拖长、逾期未建成、占压资金、资产闲置等各种损失浪费的现象发生;是否存在由于投入的不充分而变更设计、降低质量、以次充好,造成严重的质量问题等。
3.投入时机恰当性的评价
准确地把握投入的时机是决定投入成功与否的关键因素之一。在投入时机恰当性评价时,审计人员应重点关注被审计单位在投入前是否进行过广泛而深入的调查和研究,投入时机的选择是否恰当。
4.投入管理和控制的评价
规范化、科学化的投入管理和控制有利于提高资金的使用效益。在投入管理和控制评价时,审计人员应重点关注,在项目管理方面,被审计单位是否建立健全有效的组织管理和内部控制制度,如基建项目中的招标投标制度、项目法人责任制度、工程监理制度、合同管理制度等;是否对资金实行了全面管理,制定了资金管理具体办法和使用规定。
5.利用量本利关系对投入进行分析评价
量本利关系是指数量、成本和利润之间的关系。利用量本利关系对投入进行分析主要是利用盈亏平衡分析法,来分析处于盈亏平衡点的业务量水平,进而对项目的投入进行评价。盈亏平衡点是指不盈利也不亏损时的业务量水平,即收入等于成本时的业务量水平。
(二)审查和评价效率性的技术方法
效率性是指投入与产出的关系。一般用投入与产出的比例关系来反映投入资源的利用效率。高效率使用资源的特征是:一定产出条件下的投入最小化;一定投入条件下的产出最大化;更多的产出消耗更少的投入。审查评价效率性时可使用的技术方法主要有成本收益法、成本效果法、价值工程分析法。
1.成本收益法
成本收益法在分析计算成本与收益的基础上,比较成本与收益之间的货币金额关系,目的是确定被审计单位或项目的收益是否超过成本。成本收益是评价资金使用效益的主要方法,适用于成本和收益均能以货币金额准确计量或估计的情况。
评价效益性一般使用收益与成本的比值(收益/成本)。如果比值大于1,说明收益超过成本,比值越大收益越大;如果比值等于1,说明收益与成本相等;如果比值小于1,说明收益低于成本,比值越小资金的使用效率越低。
2.成本效果法
成本效果法分析成本和效果之间的关系,以每单位效果所消耗的成本来评价项目效益,寻找既定目标的最经济成本,或既定成本的最好效果。与成本收益分析不同的是,成本效果分析的成果用实物数量表示而非货币金额,适用于成果不能用货币计量的情况。
用成本效果分析法评价效率性时,一般有四种方式:一是直接将成本效果比值与标准相对比;二是当成本相同或较固定时,可以只比较效果;三是当效果相同或较固定时,可以只比较成本;四是当效果提高(降低)成本也加大(减少)时,可以比较每单位增加(减少)的效果所引起成本变化,即使用额外成本与额外效果的比值。
3.价值工程分析法
价值工程分析法是用成果的功能与成本的比值来衡量所得到的价值(价值=功能/成本),目标是用最低的成本来实现或获取它所具备的必要功能。与成本效果分析不同的是,价值工程分析以功能分析为核心,目的是在满足各种不同的功能需求的前提下,使资源得到充分合理的利用,达到成本最低价值最大。价值工程分析法适用于产出成果不能以货币金额和实物数量来计量,而可以按其实现的功能来分析的情况。
应用价值工程分析法时要从以下五个方面进行分析:一是是否存在既提高功能,又降低成本的途径;二是当功能相同或固定时,可以评价成本降低的可能性;三是当成本相同或固定时,评价功能提高的可能性;四是当成本与功能均提高时,评价功能的增加是否超过成本的变化;五是当成本与功能均降低时,评价成本的减少是否超过功能的变化。
(三)审查和评价效果性的技术方法
效果性是指产出是否达到预期目标,即产出的结果和影响达到或实现预期目标的程度。审查评价效果性时可使用的技术方法主要有目标评价法、目标成果法、标杆法、评分法。
1.目标评价法
在审查和评价效果性时,由于要将产出与预期的目标相对比,所以采用目标评价法时,审计人员应重点关注被审计单位或项目的目标是否科学、合理、可计量且符合实际情况。如果缺乏明确的目标或目标不具体,会导致许多损失浪费和效益低下的情况发生。
2.目标成果法
目标成果法是根据实际产出成果评价被审计单位或项目的目标是否实现。该方法将产出成果与事先确定的目标联系起来,确定目标的实现程度,找出成果与目标的差距或成果的偏离程度,查找工作过程中的缺点、失误和问题,分析其原因,挖掘提高效益的潜力。
3.标杆法
标杆法是将被审计单位的产品、服务和管理等方面与同类事项中一直领先或做得最好的其他同类单位或部门相对照并借鉴其实践经验。标杆法的核心是确定最佳实践标准。
标杆法适用于存在先进的类似单位或部门能够作为基准,对这样的单位或部门事先进行过详细周密的考察,并且能够确定需要对照或借鉴事项的情况。
4.评分法
「关键词澳大利亚绩效审计启示及建议
2003年7月1日,审计署颁布实施《2003至2007年审计工作发展规划》(以下简称五年规划),对今后五年的审计工作进行了部署,提出了今后五年在审计内容和审计方式上坚持财政财务收支的真实合法审计与效益审计并重。这一目标符合国际审计发展潮流和趋势,符合我国审计事业的发展实际,是完全可行的,经过努力是完全可以实现的。澳大利亚是世界开展现代审计的主流国家之一,学习借鉴澳大利亚国家审计在绩效审计开展过程中的主要做法和经验,对于在审计工作中贯彻落实规划,加强我国绩效审计理论研究和实践具有重要的现实意义。
一、澳大利亚绩效审计的法律定位十分明确
1997年,澳大利亚颁布实施《审计长法1997》,取代了《审计长法1901》,对澳大利亚审计署开展的财务报表审计和绩效审计做出了明确规定。《审计长法1997》第二章名词定义和违法处理原则规定中,将绩效审计定义为对一个单位或个人管理活动的任何方面进行的检查活动;第四章审计长的主要作用和权力的第二部分中,第十五条、第十六条和第十七条对审计长开展联邦政府部门、事业单位和联邦所属公司及其下属单位绩效审计的有关事项做了原则规定,审计长可以在任何时间组织对联邦政府部门、事业单位和联邦所属公司及其下属单位进行绩效审计,根据有关部长、财政部长和议会公共会计与审计联合委员会的要求可对政府企业及其下属单位进行绩效审计;第十八条则就综合绩效审计做出了原则规定,审计长可在任何时间组织对所有或部分联邦政府部门、事业单位和联邦所属公司及其下属单位的内部管理的特定方面进行绩效审计,而不仅仅局限于一个部门、单位。这些条款中同时规定绩效审计报告在审计完成后需及时提交议会。由于澳大利亚审计长法将审计划分为财务报表审计和绩效审计两种类型,并对绩效审计做出了明确规定,有力地促进了澳大利亚审计署全面履行财务报表审计和绩效审计职责,促进了绩效审计在澳大利亚的发展,也使绩效审计在澳大利亚公共管理过程中发挥了良好作用。
澳大利亚审计法律将绩效审计定位为国家审计机关对政府机构和事业单位在履行职责过程中对公共资源的使用和管理的经济性、效率性和效果性进行的审计,只有在议会或相关政府部门特别要求时才会对国有企业进行绩效审计。这是因为,在市场经济条件下,企业是市场的主体,现代企业制度要求企业的经营管理活动应能做到经济、效率和效果,政府机关不能代替市场来评判企业的效益问题,因此,澳大利亚等世界上主要国家的政府审计机关对于绩效审计范围的界定,基本都将绩效审计局限于对公共资源的使用和管理进行的审计,不包括或很少涉及企业的效益评价问题。如果把绩效审计的范围扩展到企业效益的评价问题,势必会脱离绩效审计的本质。
我国审计法中仅在第二条规定审计机关依法对财政、财务收支的真实、合法和效益进行审计监督,未将审计明确划分为财务报表审计和绩效审计,对具体如何实施绩效审计,绩效审计的具体对象、范围等未作明确规定。长期以来,我国国家审计在审计实践中,财务收支审计除检查被审计单位的财务收支情况外,工作实践中已经做了许多涉及绩效审计方面的内容和工作,但并未把绩效审计作为一个独立的审计类型来安排。在财务审计过程中顺带关注经营管理和绩效方面存在的问题,在财务审计报告中顺带提及绩效评价和管理建议。近年来,审计署和一些地方审计机关才明确在年度审计项目计划中安排绩效审计项目,如2004年审计署组织的政府外债铁路项目设备效益审计。这种情况就造成了绩效审计法律定位不清、进展缓慢、成效不明显等诸多问题。借鉴澳大利亚等国家在审计法律中对财务报表审计和绩效审计明确定位的经验,我国在修订审计法时,应明确将我国国家审计划分为财务报表审计和绩效审计两类,并明确规定财务报表审计应对部门单位整体财务状况发表审计意见,为绩效审计提供相关数据真实、合法的基础;应为我国国家审计机关开展绩效审计提供明确的法律依据,明确规定绩效审计目标、内容、范围、标准、方法,明确审计机关重点对政府部门、事业单位进行绩效审计,同时应规定绩效审计的范围可以是部门、单位管理活动的任何方面,而不仅仅局限于财政、财务收支方面。在此基础上,进一步制定我国绩效审计准则和相关审计指南。审计理论界也应重点加强政府部门、事业单位绩效审计的理论研究工作。
二、澳大利亚绩效审计的内涵十分明确
根据《审计长法1997》和公认审计实务准则,澳大利亚审计署将绩效审计定义为独立、公正、系统地对一个单位管理运行情况的检查,以评价管理活动是否做到经济、效率、效果,内部管理程序是否有利于促进提高经济、效率和效果,并提出管理建议。经济性、效率性和效果性构成了绩效审计的三个要素,也构成了绩效审计的核心内涵。所谓经济性是指以最低费用取得一定质量的资源,即支出是否节约。经济性审计主要是审查和评价投入的各种资源(人力、物力、财力)是否得到经济合理的利用。效率性是指以一定的投入取得最大的产出或以最小的投入取得一定的产出,即支出是否讲究效率。效果性是指多大程度上达到政策目标、经营目标和其他预期结果。效果性审计主要审查某一项目的计划、方案的执行结果。效益审计的主要目标就是检查评价被审计单位上述经济性、效率性、效果性的实现程度,发现问题,提出改进建议。
在我国审计实务工作中,由于将此种审计称为经济效益审计,许多审计人员依效益审计的名称,片面地认为效益审计就是对被审计单位的经济效益进行的检查评价活动,未能认识到绩效审计还包括对效率和效果的评价,认识上的混乱带来工作上的盲目,往往在绩效审计实践中着重于对经济效益的评价,未能全面地开展绩效审计。借鉴澳大利亚等国家开展绩效审计的经验,应在审计法等审计法律法规中对绩效审计的内涵做出明确规定,明确绩效审计应包括经济性、效率性、效果性三个要素,全面进行绩效审计探索和实践。
三、澳大利亚绩效审计可分为一般绩效审计和综合绩效审计两种类型
澳大利亚审计署绩效审计按实施方式的不同,可分为两种类型:一般绩效审计和综合绩效审计。
一般绩效审计检查一个政府部门、单位在资源的使用、信息系统、业绩评价、控制系统等方面情况并评价其是否符合法律、法规的相关规定。因为政府部门大小不一,复杂多样,一般绩效审计会选择一个部门、单位管理的某个方面进行审计。通常这种选择应能保证审计人员对政府部门的管理情况形成审计意见。综合绩效审计,即多部门绩效审计,是对多个政府部门的相同或相似的事项或活动进行审计,在主题选择上应能促进提高政府部门管理活动的经济性、效率性和效果性,同时在审计资源可以保证的情况下合理履盖政府部门的管理活动。为促进提高管理水平,绩效审计中经常形成一些可操作的范本,编发为《优化实务指南》分发政府各部门、单位。
澳大利亚审计署对一个单位内部管理某个方面进行的绩效审计与五年规划提出的效益审计要求是相似的,对不同单位的同一问题进行的绩效审计与规划提出的专项审计调查则是相似的,因此规划提出的“两个并重”与国外绩效审计开展的基本情况是一致的。认真按照规划提出的要求探索实践绩效审计,必须促进绩效审计在我国的全面发展,促进全面履行审计工作的法定职责和全面发挥审计监督的作用。
四、澳大利亚绩效审计的内容涉及政府部门、单位管理的各个方面
审计内容的选择是使绩效审计充分发挥促进合理提高公共部门管理水平作用的基础。根据不同年度的社会经济发展和政府管理情况,不同年度的绩效审计内容也有所不同。澳大利亚审计署年度工作计划是在征求议会公共会计与审计联合委员会和议会其他专门委员会意见以及其他政府部门意见后确定的。近年来,澳大利亚审计署在选择审计内容时,一直重点关注政府部门和事业单位绩效管理、服务效果和财务管理情况等方面。在2002—03财政年度,绩效审计的重点在各政府机构绩效管理与评价、服务提供、财务管理、采购及合同管理、信息技术和资源的应用等方面,而2003—04财政年度的绩效审计重点则更为突出,着重对风险较高的管理行为、灾后重建措施、防恐反恐措施、健康、教育和就业促进措施、环境保护和促进公共机构提高财务管理和绩效管理等与社会公众利益密切相关的议题进行了审计。澳大利亚审计署1996—97财政年度以来各年度绩效审计项目完成情况如下表所示:
澳大利亚审计署1996—97财政年度以来各年度绩效审计项目完成情况表
财政年度绩效审计项目完成数量(个)
1996—1997381997—1998491998—1999471999—2000472000—2001472001—2002582002—2003582003—200449
从澳大利亚审计署近两个财政年度绩效审计的选题内容可以看出,审计内容各有侧重,或侧重于一个政府部门或单位管理活动的某个方面,或对多个政府部门的同一或相似的管理活动进行审计。这些内容我们在审计实际工作中基本上也都有所涉及。五年规划提出我国效益审计的范围主要是财政性资金,以促进提高财政资金的管理水平和使用效益为目的,对一些财政性资金更多地采用专项审计调查的办法,综合反映和分析问题,促进加强宏观管理,完善法规制度,从更高层次上发挥审计监督作用,与西方国家绩效审计的主要内容也是基本一致的。当前,许多审计实务工作者在绩效审计的内容方面有两种模糊的认识,一是往往认为绩效审计就是评价一个单位的经济效益,进而带来没有统一的评价指标等问题;二是认为绩效审计需对政府的绩效情况进行全面评价,进而带来全面绩效评价很难进行等问题。实际上,澳大利亚等国家绩效审计的内容是十分丰富的,并不仅仅局限对一个单位的经济效益进行评价,而是对是对一个部门或单位某一方面职责的履行情况进行评价或对多个部门或单位的相同或相似职责的履行情况的评价。分析澳大利亚审计署绩效审计的选题内容,有助于我们在绩效审计实践中开阔思路,增强信心,选好项目,毕竟许多审计内容我们并不陌生,只是未将绩效审计作为一项独立的审计类型来进行全面实践和探索。我们在审计实务工作中,就可以根据工作重点和物质、人力资源,有重点地确定目标,选择项目进行效益审计。
五、澳大利亚的审计信息公布制度在提高审计成果的综合利用水平,提高审计监督的威慑力和影响力方面发挥了良好作用
澳大利亚审计署建立了较为完备的审计信息公布制度。一是按照《公共服务法1999》、《信息自由法1982》等相关法律要求,澳大利亚审计署和澳大利亚其他政府部门、单位一样,每一财政年度结束后,需按统一格式要求编制年度报告,内容包括审计长意见、审计长及审计署的职责、作用、组织机构、工作任务、年度任务完成情况、内部管理情况和财务收支情况等,于每年10月末之前提交议会审议并向社会公布。二是审计署每年的综合财务审计报告、各单位绩效审计报告均向议会报告并向社会公布(其中涉及国家秘密的内容除外)。三是充分利用审计署网站审计信息,各项审计报告,审计发展规划,年度审计计划、审计准则等内部管理文件,审计长讲话等均在网站,社会公众可在网站上找到十分丰富的审计信息。
借鉴国外审计经验,我们应加快落实五年规划提出的审计结果公告制度,将所有审计结果,除内容和不宜对外披露内容外全部对社会公告,可采取在报刊上公布内容摘要,在网站公布全文等方式,同时,应结合“金审工程”的建设,大力加强审计部门网站建设,每个审计部门均应建立网站,并将其建成审计信息资源库,成为审计部门联系其他相关单位和社会公众的桥梁。
绩效审计已成为当代国家审计的主流,也是我国国家审计今后工作的重点。《审计署2003至2007年审计工作发展规划》,借鉴国际审计经验,根据国内审计现状,与时俱进,开拓创新,绘就了我国审计事业发展的新蓝图,为中国审计逐步融入世界审计主流奠定了坚实的基础。规划提出的开展绩效审计、建立审计质量控制体系,推行审计结果公告制度等目标措施是必需的也是可行的。目前关键是要把思想进一步统一到规划的精神上来,加强绩效审计理论研究和国外绩效审计开展情况的研究,借鉴国外在开展绩效审计方面的经验,大胆进行绩效审计实践,探索有中国特色的绩效审计路子。
主要参考文献:
郭振乾主编,1998,《中国审计学》,中国审计出版社。
认定是指被审计单位管理层对财务报表组成要素的确认、计量、列报做出的明确或隐含的表达。注册会计师接受委托对财务报表进行审计,首先必须取得被审计单位的财务报表,这就意味着管理层对财务报表做出了认定。这些认定反映了被审计单位管理层在处理各项经济交易与事项时,遵循会计准则及相关会计法规的范围、程度及其结果。管理层对财务报表中所有的资产、负债、所有者权益、收入与费用等都做出了认定。这些认定有些是明确的,有些是隐含的。例如,管理层在资产负债表中列报应收账款及其金额,意味着做出了下列明确的认定:一是记录的应收账款是存在的;二是应收账款以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。同时,管理层也做出了下列隐含的认定:一是所有应当记录的应收账款均已记录;二是记录的应收账款都由被审计单位拥有;三是应收账款的使用不受限制。
审计准则中将管理层认定的内容分为三个层级:一是与各类交易和事项相关的认定包括:(1)发生:记录的交易和事项已发生,且与被审计单位有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。二是与期末账户余额相关的认定包括:(1)存在:记录的资产、负债和所有者权益是存在的;(2)权利和义务:记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。三是与列报相关的认定包括:(1)发生以及权利和义务:披露的交易、事项和其他情况已发生,且与被审计单位有关;(1)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
二、管理层认定与审计具体目标的确定
注册会计师审计的目标包括总体目标和具体目标两个层次。总体目标是对被审计单位财务报表的合法性与公允性发表审计意见。只有在对财务报表各项目进行审计后,才有可能对报表总体的合法性与公允性发表意见,这时就出现了报表项目的审计具体目标问题。虽然合法性与公允性有明确的含义,但在注册会计师审计实务中,并不把合法性与公允性作为财务报表审计的具体目标,其原因在于合法性与公允性作为审计具体目标过于宽泛,缺乏操作性,不利于注册会计师实施相应的审计程序来获取审计证据。因此才利用管理层认定作为财务报表审计总体目标与具体目标之间的联系桥梁。
由于管理层对财务报表各组成项目均做出了认定,注册会计师就可以根据被审计单位管理层的认定和审计总体目标来确定审计具体目标。审计具体目标是总体目标的具体化,并受到总体目标的制约,它包括一般目标和项目目标。注册会计师根据管理层认定推论得出一般目标,为搜集审计证据和发表审计意见提供具体指导,再针对被审计单位具体情况制定项目目标。一般目标是进行所有项目审计时均必须达到的目标,适用于所有项目的审计;它通常包括:总体合理性目标、与各类交易和事项相关的目标、与期末账户余额相关的目标以及与列报相关的目标。总体合理性目标是指注册会计师根据他所掌握的有关被审计单位的全部信息,评价某项目的合理性;与各类交易和事项相关的目标包括真实性、完整性、准确性、截止、分类;与期末账户余额相关的目标包括存在、权利和义务、完整性、计价和分摊;与列报相关的目标包括发生及权利和义务、完整性、分类和可理解性、准确性和计价。项目目标是根据每个项目分别确定的目标,通常只适用于某一特定项目的审计。
管理层认定与审计目标密切相关,注册会计师了解了认定,就很容易确定每个项目的具体审计目标,并以此作为评估重大错报风险以及设计和实施进一步审计程序的基础。接下来注册会计师的工作就是要确定管理层的认定是否恰当,即对管理层的认定进行再认定。
三、管理层认定与审计证据获取
要实现审计目标,必须收集和评价审计证据。审计证据是注册会计师为了得出审计结论形成审计意见而使用的所有信息。注册会计师的审计过程可以说是收集、评价证据,最后据以形成审计意见的过程,审计证据的收集、评价是注册会计师计划审计工作和实施审计程序的核心。
每一位注册会计师面临的主要决策之一就是确定为满足判断被审计单位财务报表各组成部分以及财务报表整体是否合法与公允所应收集的证据的适当类型与数量。若能使审计证据的收集与评价和管理层认定概念结合起来,则审计证据的收集与评价工作就更具逻辑性、科学性和针对性。注册会计师对被审计单位财务报表发表意见可以转化为对被审计单位管理层的各项认定的合理性和有效性做出结论的过程,为了便于执行实质性程序,收集审计证据,注册会计师将管理层认定拓展为审计具体目标,再在审计具体目标基础上确定一般目标与项目目标,也就是在审计过程中,注册会计师应根据审计具体目标来设计和执行充分的,能够保证审计具体目标得以实现的实质性程序,确保收集到充分、适当的审计证据,之后注册会计师就可以对管理当局认定是否合理和有效做出判断,再将对各项认定的判断综合起来,结合执行控制性测试所得到的证据,就能对被审计单位财务报表的整体合法性与公允性表示意见了。可见,注册会计师通过一定的审计程序来获取审计证据,以审计证据为支撑来达到具体的审计目标,而审计具体目标是由审计总体目标和被审计单位认定决定的,因此审计证据的收集与评价是围绕被审计单位管理层认定展开的。
四、运用举例及结论
下面表1以应收账款为例,说明为证实与应收账款期末账户余额相关的认定,注册会计师应确定的审计具体目标,执行的审计程序以及应收集的审计证据。
购物车(0)