本文是一篇内部审计论文研究,本文采用文献综述法,统计分析法和案例分析法三种研究方法,根据国内外的文献思路,基于上市公司数据及其披露的内部控制鉴证报告和内控审计报告来整理分析出我国上市公司内控审计的现状,并据此总结出上市公司内控审计存在的普遍性问题。同时,结合 N 公司 IPO 造假的违法案例为研究基础,以注册会计师内部控制审计风险模型为切入点具体分析 N 公司案例中存在的内部控制风险,并据此站在注册会计师及会计师事务所、被审计单位及国家监管角度来提出审计风险的控制策略,以帮助注册会计师降低其内控审计风险,提高内部控制审计质量。
第一章 绪论
第一节 研究背景及研究意义
一、研究背景
2001 年,美国接踵曝出的安然(Enron)和世通(WorldCom)等公司的财务丑闻导致许多上市公司倒闭。这种现象严重影响了人们对资本市场的信心。为了改善这种状况,2002 年 7 月,美国总统乔治 W 布什签署了“萨班斯 - 奥克斯利法案”,这意味着所有在美国上市的公司(包括中国公司)都必须严格遵守“萨班斯 - 奥克斯利法案”。外部审计机构对公司财务报告的内部控制进行了审计,并出具了审计报告。这一行动对审计行业产生了深远的影响。从那时起,内部控制审计就成了上市公司不可缺少的审计环节。
2005 年初,中国出现了一系列的内部控制大案件,“银广夏事件”更是称之为中国的安然事件,案件中的造假行为堪称荒谬,却没有被发现和识破。这同样也体现出了我国企业内部控制存在很多并且是很严重的问题。这之后,中国的监管机构开始转移监管重点,出台相应的法规和制度,规范企业内部控制。
2011 年是我国开始强制开展内部控制审计的一年。自此,在境内外同时上市的公司每年强制实行一次内部控制审计。毫无疑问,内部控制审计是防范内部控制失控的重要环节,然而这些年来,内部控制审计实施得缓慢且困难:缺乏相关法规的规范及其指导,执业人员素质不高,内部控制审计环境不好等等,这些问题毫无疑问会带来相应的内控审计风险。这些风险,导致内控审计没有达到应该有的效果,使得企业的内部控制得不到改善,引发了各方人士的担忧与恐慌。因此,本文从内控审计风险为立足点,采用文献研究法理清来路,统计分析法总结现状、案例分析法深入探究内控审计过程中存在的问题以及对应的风险,并提出有针对性的改进建议。
..........................
第二节 研究文献综述
一、国外研究综述
国外对于内部控制审计的研究起步较早。自 2002 年 SOX 法案强制要求在美上市的公司必须在其年报中提供内部控制自我评价报告,并且公司管理层及注册会计师都需要对其内部控制作出评价以来,很多上市公司由被动的进行内控信息披露逐渐向主动披露过渡,推动了全球内部控制审计的进程。
(一)内部控制审计涵义及内容研究
PCAOB 于 2004 发布了第 2 号审计准则文件,首次明确的给出了内部控制审计是对企业内控的有效性进行评价和建议的过程。后来,在发布的第 5 号审计准则中,又规定了审计人员在进行财报审计时应当评价该公司内控的有效性。
高德斯坦(2004)在深度探究内控审计准则的有关问题时,将内控审计界定为一个动态的过程,并明确指出这个过程是由企业的主要行政人员、财务人员监管,受企业董事会、管理层等的影响,依据准则出具报告。
SongTao Mo(2009)主要研究了,在 SOX 法案颁布之后,通过审计师对上市公司的审计情况将上市公司分为了四个类型。选取了其中两个“只经过财报审计”和“只经过内控审计”两类公司进行研究,发现投资者和市场的反应都不相同,说明财务报告审计和内部控制审计是存在差别的。
Suzana Guxholli 等人(2013)认为,内部控制审计类似于一把具象化的管理工具,通过对公司的管理活动的协调和支持,来确认并控制风险,从而为公司带来额外的收益。
...............................
第二章 我国上市公司内部控制审计风险理论概述
第一节 上市公司内部控制审计风险涉及的理论
一、风险及风险控制理论
由于看待风险的角度不同,会对审计风险由不同的定义。因此,目前理论界和实务界还没有针对风险得出一个统一的、权威的定义。《现代汉语词典》中将风险定义为“可能发生的危险”。而《辞海》中对风险的定义则是:“人们在 生产过程和日常生活中遭遇能导致人身伤亡、财产受损及其他经济损失的自然 灾害、意外事故和其他不测事件的可能性”。综合上面的定义并结合本人风险的 理解和掌握 ,笔者将风险定义为蒙受失、遭受伤害、不利甚至消灭或毁灭的可能性。
如何定义控制风险,不同的学者出发点和角度不同所形成的风险控制定义也不同 。1964 年,威廉斯等美国学者研究得到的观点:风险管理控制是通过风险的识别、评估和控制,以付出最低的成本将风险可能引起的各种不利结果降低到 最低限度的科学管理方法。上世纪七十年代,许多学者站在实务的角度对控制 风险的定义进行了补充和修正,较为权威的观点来自于美国当代风险控制和保 险学专家斯凯柏,他给出的定义简明、明了且全面:风险控制是市场中各个经济 单元通过对风险的识别、评估、评价和应对,以最小的成本付出获得最高的安全 保障的一种管理活动。风险控制是一个动态的过程 ,可以分为风险的识别、风险的量化、风险的评价、风险的控制、风险的监督等一系列的过程,通过发挥计 划、组织、指挥、控制的职能的作业,并综合运用各种科学的方法和手段,为生 产活动的顺利进行提供保障 。
.............................
第二节 上市公司内部控制审计风险法律依据及其模型
一、内部控制审计的演进及其法律依据
与西方发达国家相比,我国的内部控制审计(Internal Control Audit,简称ICA)起步较晚。在 1996 年颁布的《独立审计具体准则第 9 号——内部控制与审计风险》①(会字[1996]458 号)文件中,首次提出注册会计师在编制审计计划时,应当要了解与评价被审计单位的内部控制情况。
21 世纪初,随着我国经济的蓬勃发展,为规范市场秩序,加强监管,中国注册会计师协会(以下简称“中注协”)于 2002 年出台《内部控制审核指导意见》②(会协[2002]41 号)。该准则规定了注册会计师内控审核业务的主体,范围及审核步骤等相关内容;同时,还给出了《内部控制审核报告》的参考格式,成为之后的内控审计报告雏形。此后,为了进一步强化市场监管,完善市场秩序,2006 年证监会颁布《首次公开发行股票并上市管理办法》③。该办法规定了如果想要进行 IPO 上市,就必须得注册会计师给出的无保留意见的内控审计报告,这从法律层面看,它加强了注册会计师内部控制审计的必要性,推动了我国上市公司内部控制审计制度的建立。
2006 年,以财政部为首的五部委④相关部门联合发起成立了企业内部控制标准委员会(China Internal Control Standards Committee,简称 CICSC),主要的职责就是为了制定和完善中国企业内部控制标准体系提供建议与帮助。它的成立为我国注册会计师内部控制审计(Internal ControlAudit,简称 ICA)体系的建立、发展与完善提供了强有力的支持。
............................
第三章 我国内部控制审计现状及存在的风险..................................18
第一节 我国内部控制审计的现状...........................18
一、注册会计师层面.........................18
二、企业层面.........................20
第四章 N 上市公司内部控制审计风险的案例分析.........................30
第一节 N 公司基本情况...............................30
第二节 N 公司内部控制审计风险及其后果.......................32
第五章 完善我国上市公司内部控制审计风险的策略 ......................44
第一节 注册会计师和会计师事务所角度 ..............................44
一、提高注册会计师的风险意识...................44
二、提高注册会计师专业素养及职业道德教育............................44
第五章 完善我国上市公司内部控制审计风险的策略
第一节 注册会计师和会计师事务所角度
一、提高注册会计师的风险意识
我国注册会计师内部控制审计风险贯穿于整个审计过程之中,因而从承接项目到项目完成的全部阶段都要保持较强的风险意识。具体的风险控制策略有以下几点:在内部控制审计业务承接阶段,注册会计师主要面临的风险有违约风险及内部控制审计固有风险。对此,注册会计师可以采用问询、实地考察、实施分析程序及观察相结合的方法详细了解被审单位的相关情况及其存在的固有风险,并对此予以持续性的关注;在内部控制审计业务实施阶段,注册会计师可以采取观察特定内部控制的运用、检查被审计单位相关内部控制文件及报告和进行穿行测试等多手段结合方法实施风险评估程序以获取充分且适当的审计证据来支持其发表的内部控制审计意见。同时,要关注和监控被审计单位经营活动中容易引发内部控制重大缺陷的关键环节和重要领域,例如在 N 公司案例中,注册会计师应加强对企业销售与付款环节内部控制的风险评估;在内部控制审计完成阶段,注册会计师要根据之前获取的审计证据对被审计单位的内部控制有效性发表适当的审计意见,在此过程中,注册会计师需要注意对被
