[提要]我国目前对内部控制鉴证服务的需求主要来自于证券监管部门。本文分析了在相关规范制订过程中出现的若干重大争议,并认为,这些争议和探讨有助于实现我国证券监管部门需求与会计服务行业供给之间的均衡,也为我国会计服务市场的发展以及对内部控制有关问题的认识提供了新的视角。
财政部曾于2001年11月发布了《独立审计实务公告第×号——内部控制审核(征求意见稿)》,后又在2002年2月以中国注册会计师协会《内部控制审核指导意见》的形式予以发布。导致这一变动的主要原因在于,在准则项目的征求意见过程中,会计理论界、实务界以及有关政府部门对内部控制鉴证服务的性质、对象、内容、范围等存在着许多重大争议。本文综述了《内部控制审核(征求意见稿)》在征求意见过程中存在的主要争议,并提出有关探讨。我们认为,关于内部控制鉴证服务的许多争议不仅涉及到我国会计服务市场和会计服务行业的发展问题,在更深层次上也反映出我国会计界对内部控制理论体系的认识上还存在着不少差异。对有关争议的探讨有助于我们进一步思考在我国会计服务市场开展内部控制鉴证服务的一系列问题,也为会计界研究内部控制理论及实务提供了新的角度。
关于内部控制鉴证服务性质的界定
独立审计准则制订部门对内部控制鉴证服务的潜在定性形成于《独立审计准则实务公告第2号——管理建议书》(于1997年1月1日起施行),在总则部分已经把“管理建议书”和专门接受委托的内部控制鉴证服务进行了区分,表现为“注册会计师接受委托,对内部控制专门进行审核,并提出管理建议,不适用本公告”。中国证监会对内部控制鉴证服务的性质界定也有一个变化过程,从最早的“管理建议书”变化到“内部控制评价报告”或“内部控制评审报告”。于是,独立审计准则制订部门对涉及内部控制的专门性鉴证业务的规范既有别于独立审计准则框架中的“管理建议书”,同时在制订《内部控制审核(征求意见稿)》时又和中国证监会最初提出的内部控制“管理建议书”的要求存在规则制订时间上的差异。因为《内部控制审核(征求意见稿)》的立项起草工作从2000年底开始,当时关注的是证监会对“内部控制评价报告”的新要求。由于在我国现有的独立审计准则框架下无法对“评价”进行明确的性质界定,同时考虑到证监会提出的内部控制评价涉及到对“内部控制制度的完整性、合理性和有效性”发表意见,而独立审计准则制订部门又早已存在对内控鉴证服务的潜在定性,因此我们认为,我国在规则制订初始便将内部控制鉴证服务界定为“审核”。
根据美国的会计服务框架,审核(examination)与审计的区别通常在于对象不同。例如,审核对象可以是未来的会计信息(即盈利预测审核)或内部控制结构。但审核在取证范围上同样是广泛的,保证程度为高水平,意见表述形式为积极式,在报告的分发使用方面也是没有限制的(Arens和Loebbecke,1997)。正是由于这种认识,使得对内部控制鉴证服务的定性从一开始就非常沉重,加之要对“内部控制制度的完整性、合理性和有效性”发表意见,因此我国在征求意见稿的形成以及征求意见过程中对注册会计师的审核责任尤为敏感。会计理论界和实务界纷纷指出:一方面,在公司治理结构远未具备一定基础的环境下,注册会计师从事该项业务风险过大,且成本极高,责任过重;另一方面,在我国企业内部控制规范尚未充分建立的情况下,注册会计师执行此项业务缺乏必要的尺度和标准。相应地,征求意见稿对内部控制的保证程度、意见表述形式以及报告的分发使用方面也是争议不断。
在这种争议之下,我们查阅了美国证券交易委员会(SEC)要求注册会计师提交的内部控制报告。以美国注册会计师协会制订的证券公司审计与会计指南为依据,我们发现:其保证程度较低,并以消极保证的方式进行表述,同时对报告的分发和使用做出了严格的限制。以下是从一份向SEC提交的内部控制报告示例中的有关摘节:
“……我们对内部控制的考虑未必已披露出按照美国注册会计师协会所制定标准属于重大缺陷的所有内部控制事项。……在包括确保证券资产安全的控制措施在内的内部控制方面,我们没有发现按照上述界定所指的重大缺陷。”
“本报告仅供贵公司董事会、管理当局、美国证券交易委员会、[指定的自律组织]以及其他遵照1934年美国证券交易法17a-5条(g)款对已登记证券经纪与交易商进行监管的监管机构使用。本报告并不希望、也不应被除了上述特定主体以外的其他任何方面使用。”
从上述示例中我们可以感受到,美国证券监管部门对注册会计师提交的内部控制报告并未施加很重的压力和责任。显然这与SEC对内部控制报告的需求目标有关。由此可见,关于内部控制鉴证服务的定性争议,关键在于我们有必要了解报告需求者和使用者的政策制订初衷。从最早的“管理建议书”形式要求考虑,或许监管者希望借助于内部控制评价报告的形式发现公司存在的一系列问题。这也启发我们在对内部控制鉴证服务进行定性时,可以采取“审核”以外的、其他性质的业务报告类型,在合理保护会计服务行业发展的前提下提供能够满足报告使用者需求的有效供给。当然,这个问题一方面涉及到我国独立审计准则框架的重构,另一方面也有待于各有关方面的共同探讨和协调。
内部控制评价与会计报表审计中对内部控制的考虑之间的关系
在会计报表审计过程中,注册会计师往往需要了解被审计单位的内部控制,并运用控制测试评价控制风险,最终确定检查风险的大小和重要性水平的高低,实施相应的实质性测试。在此过程中,对内部控制作出评价的目的主要是合理确证会计报表不存在重大错报漏报。那么这种目的与内部控制评价报告中涉及到的内控评价是否一致呢?从目前监管部门对内部控制的评价要求来看,并不仅仅局限在财务报告的可靠性目标上,往往还涉及到确保经营效果和效率以及遵循适当的法规等目标。因此《内部控制审核(征求意见稿)》将审核范围限定在“与会计报表相关的内部控制”上的做法,即使在形式上也与证券监管部门的需求之间存在较大分歧。
现在的问题是,如果我国证券监管部门将内部控制的评价要求限定在财务报告的可靠性目标上,那么“内部控制评价报告中涉及到的内控评价”与“会计报表审计中对内部控制的考虑”这两者能否实现目标上的统一?在《内部控制审核(征求意见稿)》征求意见过程中,许多观点认为这两者的目标是不一致的,即内部控制评价中内部控制是“结果”,而在会计报表审计中对内部控制的考虑是“手段”。但是我们在参考了SEC要求注册会计师提交的内部控制报告之后发现:美国证券监管部门对这两者之间的关系是统一的,因此其对内部控制报告的需求目的似乎与我国会计界及有关政策制订部门的理解存在一定差异。以下为一份向SEC提交的内部控制报告中有关段落的示例:
“在计划并实施对X公司(以下称”贵公司“)20X1年度(会计期末为12月31日)的合并会计报表审计过程中,我们考虑了贵公司包括确保证券资产安全的控制措施在内的内部控制情况,目的是为了在对合并会计报表发表审计意见时合理确定审计程序,而不是对内部控制提供可信性保证。”
根据这段表述,美国证券监管部门要求注册会计师提供内部控制报告的目的显然在于强化注册会计师在执行会计报表审计过程中对内部控制的考虑,这两者的目标是一致并相互加强的。另一个明显的例证是,在SEC的内部控制报告示例中,有以下说明:
“如果注册会计师披露了存在重大缺陷的情况,报告应当对注册会计师所关注到的缺陷做出描述,并指明这些缺陷将不会影响针对会计报表做出的审计报告。”
上述报告示例中的措辞体现出SEC要求的、注册会计师将内部控制评价与其会计报表审计相联系的协调性。我们认为,SEC的这种政策取向有助于明确内部控制鉴证服务的性质和作用,即这种内控评价报告是为了注册会计师在对会计报表发表审计意见时合理确定审计程序,而不是对内部控制提供可信性保证,因此对我国证券监管部门具有积极的借鉴意义。
首先,能够有效促使注册会计师在会计报表审计过程中进一步地(或实质性地)关注被审计单位的会计相关控制及其对会计报表的潜在影响,在一定程度上提高会计信息质量。其次,便于我国内部控制评价标准的协调与形成。第三,能够在注册会计师擅长的领域内发挥其作用。SEC的这种观点对于独立审计准则制订部门同样具有一定的启示。根据《独立审计准则实务公告第2号——管理建议书》,管理建议书是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。将该界定与SEC要求注册会计师提供的内部控制报告格式与内容进行比较,我们认为并不存在原则性的差异,因此提出可以考虑对《独立审计准则实务公告第2号——管理建议书》的有关内容做出适当修订。
关于内部控制“完整性、合理性和有效性”含义的界定
我国会计界对内部控制的性质、内容、结构体系等的讨论在近年来开展得尤为热烈,在探讨证监会提出的内部控制“完整性、合理性和有效性”问题上则争论得更加激烈。首先,何为内部控制的“完整性”?有没有一套适用于各种组织形式的会计主体的完整内控?这是征求意见稿讨论过程中存在的一个重大争议。事实上,不同组织形式的会计主体之所以需要内部控制,是为了实现该主体的特定控制目标,各主体的控制目标差异往往导致内部控制具体做法的差异,此外,内部控制还应建立在成本效益原则的基础上,因此并不存在完美无缺的内部控制(吴水澎、陈汉文、邵贤弟,2000a)。还有相当一部分观点提出,即使是同一个会计主体,对于不同的管理者,由于其管理风格和管理水平的不同,内部控制所发挥的作用也是存在差异的,相应地,评价内部控制的“完整性”就显得缺乏必要了。
其次,内部控制的“合理性”和“有效性”一般指内部控制设计上的合理性和执行的有效性。对这一点的争议主要在于设计合理与执行有效的标准是什么。财政部已于2001年6月发布了《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,而根据财政部内部会计控制建设的总体思路,这只是内部会计控制规范的开始(刘玉廷,2001),我国企业的内部会计控制规范体系尚待在未来若干年内逐步建立。同时我们还注意到,即使在证监会于2001年1月发布的《证券公司内部控制指引》中也没有对内部控制的“完整性、合理性和有效性”做出明确的界定。除了内部控制评价标准上的不完备性,被评价单位采用的内部控制标准由谁制订,财政部、中国证监会或其他有关部门,同样是一个重大问题。
鉴于以上问题在目前阶段尚难以解决,我们认为,可考虑待我国基本建立起适应我国经济发展要求的内部会计控制规范体系后,由有关方面共同探讨、协调,以便确定公认、合理的内部控制评价标准。
关于内部控制评价的内容
内部控制的评价是否限于会计相关控制,还是扩展到内部控制的各个环节?根据证监会在《证券公司内部控制指引》中的提法,公司内部控制的主要内容包括:环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。显然,这些内容中已经包含了会计相关控制以外的其他控制,如环境控制中的治理结构控制、管理思想控制、员工素质控制等。而财政部发布的《内部会计控制规范》在定位上采用了“以单位内部会计控制为主,同时兼顾与会计相关的控制”的意见,并不包括组织结构控制和人员素质控制等内容。相应地,在内部控制评价内容上采用财政部的标准与采用证监会的标准存在一定的差异。会计理论界和实务界普遍认为,以我国注册会计师行业目前的执业水平而言,将内部控制评价范围限定在会计相关控制方面还是合理的,如果要对会计控制以外的其他控制做出评价,则有必要考虑自身的胜任能力和法律责任。因此,征求意见稿在总则部分强调了对“与会计报表相关的内部控制”进行审核。这一点显然与目前证监会的要求存在一定距离,也构成了一项主要争议。
关于内部控制评价的时点与时段之争
内部控制的评价应针对某一时点还是某一时间段(期间)?相当一部分观点认为,内部控制是持续运行的,不存在仅在某一时点上有效的内部控制,评价某一时点上的内控没有任何意义。也有一部分观点认为,在一般情况下,对内部控制的评价应当反映出在评价当日那个时点上的内部控制运行状况,但作出该时点内控是否执行有效的结论并不意味着仅仅考察该时点,而是需要考察一个合理期间内的内部控制运行情况。如果注册会计师在面对特定委托要求其对一定期间的内控做出评价时,也可以接受委托,但应当评估有关风险和成本因素。吴水澎等(2000b)认为,应“对企业内部控制进行整个年度的审计与报告”,理由是某一时点有效的内部控制不能保证年度财务报告的可靠性或企业在整个经营期间内守法经营。潘秀丽(2001)认为,“对内部控制评价的期间,应当与注册会计师所审计的、且准备公布的会计报告所覆盖的期间的最近一个会计年度为准。”Arens和Loebbecke(1997)指出,内部控制鉴证服务的时间范围应由管理当局和注册会计师共同商定,同时应考虑有关监管部门的要求。在目前中国证监会有关规定中,我们没有发现对评价涉及的时间范围所做出的要求。
我们认为,一方面内部控制鉴证服务的目标和功能是有限的,财务报告的可靠性、遵循法规以及保证经营效率与效果等目标并不能过分依赖于内部控制的外部鉴证来完成,更多的责任仍在于企业管理当局建立健全内部控制并努力实现其有效执行;另一方面,对整个年度的内部控制做出评价,其成本是极其高昂的,也是无法实现的。我们参考了SEC的内部控制报告范例,发现注册会计师针对的是特定时点的内部控制,且往往与其所审计会计报表期间的期末资产负债表日相一致。
中注协发布的《内部控制审核指导意见》作为上述非均衡状态下的产物,我们认为这为我国注册会计师开展内部控制鉴证业务提供了一个可供参考的初步框架,而且此份指导意见将内部控制鉴证服务定位为审核性质,这种定位对会计服务行业而言至少是比较严格、稳健的。前文关于美国证券监管部门有关内部控制报告的要求范例已经能够对比性地说明这一点。我们认为,在内部控制鉴证服务规则上有必要继续进行研究、探讨与协调,并尽可能地实现我国证券监管部门需求与会计服务行业供给之间的均衡,这也是独立审计准则制订工作应当履行的职责和义务。为了实现这一均衡,我们建议可以适当借鉴美国等发达国家证券监管部门的有益经验和实际做法。中国注册会计师·李爽 吴溪