从1997年到2002年,中国人民银行、证监会分别颁布了《加强金融机构内部控制的指导原则》(1997)、《商业银行内部控制指引》(2002)、《证券公司内部控制指引》(2001),为保险公司、证券公司、商业银行等金融机构提供了内部控制方面的指导原则。2001年,财政部陆续发布了《内部会计控制规范(试行)》及货币资金、工程项目、对外投资等6个具体规范,为非金融企业的内部控制建设提供了指导原则。2006年,上交所和深交所分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况,并要求公司董事会形成内部控制自我评价报告;注册会计师在对公司进行年度审计时,应出具内部控制评价意见。但考虑到时间上的仓促以及成本的高昂,上交所于2006年12月在《关于做好上市公司2006年年度报告工作的通知》中做出了补充,没有强制要求上市公司披露年度内部控制自我评估报告以及注册会计师对内部控制评估报告的核实评价意见。2008年6月,财政部、证监会、审计署、银监会及保监会联合发布了《企业内部控制基本规范》(下称《基本规范》),《基本规范》合理借鉴了以美国COSO报告为代表的国外内部控制框架,并且根据我国国情进行了调整和改进,制定以风险控制为指引,以财务报告控制为主线。为企业进行内部控制的自我评估和外部评价提供统一标准。随着具体规范和应用指南的陆续发布,由基本规范、具体规范和应用指南组成的内部控制规范体系将对我国上市公司的内部控制制度建设和信息披露提出更加严格的要求。会计师事务所的大部分业务也是与企业的内部控制息息相关的,主要有内部控制咨询、内部控制有效性审计和财务报表审计。因此《基本规范》的实施必将会给会计师事务所的业务发展带来机遇,但同时也带来了风险。
一、会计师事务所面临的机遇
(一)增加了与企业内部控制相关的业务需求
在《基本规范》发布后,全球四大会计师事务所之一的德勤,于2008年7月发布中国上市公司内部控制报告,显示44%的公司认为其已经建立了内部控制体系。而另外56%的公司没有建立或现有内部控制机制尚不完善。由于我国大部分上市公司控制环境先天不足、控制制度不健全等原因导致内部控制薄弱的原因,不符合《基本规范》的要求,必然会要求会计师事务所为其提供内部控制咨询业务,以达到规范的要求,符合上市的条件;另一方面报告显示90%的受访上市公司认为注册会计师对内部控制进行有效性审计有利于企业完善内部控制工作,通过注册会计师的独立检查,有利于帮助企业发现自身内部控制体系存在的问题,提升自身的管理水平,而目前聘请会计师事务所对内部控制进行有效性审计的上市公司不到5%。上市公司披露内部控制自我评估报告并且经会计师事务所审计是未来的发展方向,也是资本市场发展的要求。随着我国市场经济的不断发展。将会有越来越多的公司认识到内部控制的重要性,选择对内部控制的有效性进行审计。
(二)为会计师事务所开展内部控制咨询提供了统一的标准
在《基本规范》发布之前,我国会计师事务所在进行内部控制咨询时,往往参照国际上的经验和体系(如COSO)或借鉴国内其他一些规定,并考虑一些相关部门的要求。内部控制制度的设计安排都是由会计师事务所和咨询人员根据经验判断来决定的,并不真正适合我国的国情。该规范解决了这一问题,能使内部控制咨询真正提高企业的管理水平和风险防范能力,增加企业的价值。这对会计师事务所开展内部控制咨询业务是有利的。
财务报告的审计,随着企业规模的越来越大,不可能直接做实质性测试。而是首先要对被审计单位的内部控制有效性进行评估,这是审计工作的重要组成部分。因此被审计单位的内部控制情况直接关系到财务报告审计的效率和风险。《基本规范》第四十二条特别针对企业建立反舞弊机制做出了规定,如果企业按照《基本规范》的要求建立健全内部控制,就能从根源上杜绝企业内部舞弊事件的发生。而且还可以降低管理层舞弊而导致企业资产流失的风险。目前在会计信息失真主要是由舞弊造成的情况下,《基本规范》的实施更能发挥出降低审计风险、提高财务报告审计质量的作用。
二、会计师事务所面临的风险
(一)鉴证客户方面
目前,我国上市公司内部控制普遍薄弱,对内部控制有效性审计面临较大的风险。德勤的报告显示超半数中国上市公司内部控制不达标,尽管我国上市公司的内部控制现状与2007年相比有些改善,但总体上看,在内部控制建设方面仍存在较大的欠缺,公司认为自身的内部控制体系尚无法完全满足监管机构的要求,并缺乏完善的内部控制体系。由于我国进入市场经济的时间较短,对内部控制认识不到位,法人治理结构不完善,管理人员对内部控制不重视,导致公司控制环境先天不足。公司大部分经营活动在内部控制不健全的情况下进行。即使有些公司建立了比较全面的内部控制制度,但仅仅只停留在纸上而没有严格执行,不能落实到实处。大部分公司的风险管理机制也不健全,事前较少实行风险防御,风险识别和风险评估机制也不完善。会计师事务所对内控如此薄弱的公司进行内部控制有效性审计,可能会面临较大的审计风险。