中介机构的机与危

来源:用户上传      作者: 岳旭琴

　　在不久的将来，内控的鉴证和咨询业务很可能成为会计师事务所争夺的新领域，这既是新的机遇，又意味着更大的风险，事务所为此要建立更严格的内控体系来应对
　　
　　《企业内部控制规范》一旦正式推出，必将扩大了会计师事务所（以下简称“事务所”）的业务范围，但是，风险也会随之增加。事务所在机遇和风险之间如何平衡？《新理财》为此采访了普华永道系统与流程管理总监杨丰禹先生。
　　
　　对相关业务会有影响
　　
　　《新理财》：内部控制规范如果正式推出，将对事务所产生什么样的影响？
　　杨丰禹：事务所和内部控制相关的工作主要有三个方面：传统的财务报告审计、内部控制的咨询和对内部控制本身的审计。我主要分这三个方面来谈。
　　在财务报告审计方面，原来一般企业比较小，业务很简单，事务所审计时，不用考虑管理、内控等，直接翻翻账，做实质性测试就可以发表意见了。但随着企业的发展，这样做不行了，比如银行、电信等，一天就有无数笔业务，怎么可能直接做实质性测试就发表意见？事务所必须要考虑固有风险、剩余风险及检查风险，从而决定了审计工作的方法、时间和性质等。
　　在没有《内部控制规范》之前，我国的事务所在考虑内部控制从而决定剩余风险时，没有一个统一的、有权威和适应中国国情的体系，要么借鉴国际上的内部控制框架（如COSO），要么借鉴国内一些其他的规定（如内部会计控制规范），另外，还可以利用自身积累的知识经验来考虑内部控制风险。但这样就有个问题，就是从大的方面没有一个统一的标准，很大程度上依靠判断。所以，对财务报告审计的质量也会不一样。内部控制规范推出后，将给大家一个统一的标准。从这个角度来讲，对所有的事务所来说，确实是好事。但是也带来一些压力，因为原来如果没有这个严格的规范，如果考虑不到的，也就算了，就觉得没问题。如果有了这个规范，对人员就会有更高的要求，就必须认真学习考虑，记录对证据的要求也会比较严格。事务所的人员肯定有一个学习适应的过程，这会带来成本的增加。当然，这方面对不同的事务所影响不一样。如果一个事务所本身就有比较完善的对内部控制审计的体系，也把它考虑在审计方法中，这个转变过程就会容易一些。
　　
　　在没有这个规范时，我们做内部控制咨询时，是参照国际上的经验和体系，同时考虑一些相关部门的要求。但是不是真正适合中国的国情，是由实施人员和咨询人员的经验判断来决定的。有了这个规范后，就解决了这个问题，这对于我们的内部控制咨询来说是有利的。但也有不利的方面。这主要是在实施方面。如果只是机械地解读规范，比如说，因为规范里有这一条，企业你就必须照着做，就会产生问题。
　　内部控制审计也只是这两年的事情。这个规范的提出，虽然并不等于有了审计的标准。但是，对企业建立内部控制有指导意义，对我们同样也有。并且，企业有了标准，我们在审计的时候也会更好做一些。
　　
　　需要相关的审计准则
　　
　　《新理财》：上市公司、大型国有企业、银行等企业早几年就要求出具事务所对内部控制的鉴证意见了。事务所在对这些公司的内部控制进行鉴证时，主要依据什么样的审计准则？内控规范施行后，是否会有专门针对内控规范鉴证业务的审计准则出台？
　　杨丰禹：目前，IPO、再融资、发可转债，都要求出具针对内部控制的审计意见。大部分事务所都是按照中注协出的《内部控制审核指导意见》来做的。但这个意见也是有局限的。名字看起来是针对内部控制的，但内容，包括最后的报告格式模板，则仅仅是针对财务报告的。还有，针对大型国有企业、银行，监管部门要求同时也要出具事务所对内部控制的评价意见。这里的内部控制则不仅仅是局限于财务报告的控制了。这就涉及到一个问题，事务所要出具审计意见，必须有一个针对内部控制的审计准则。大多数事务所用一个变通的方法，就是依据的是《审计准则1231号－－针对评估的重大错报风险实施的程序》，主要是针对在财务报表审计过程中，怎样去了解审计师认为有必要审计的内部控制。在这个过程中，如果发现有重大问题，会披露出来，如果没发现就说没有。这严格来讲，并不是一个审计意见，但这也部分地符合了监管要求。另外，对于上市公司，上交所和深交所的内部控制指引，也要求出具事务所对内部控制的审核意见。这里的内部控制是涵盖了所有重要的内部控制的，不仅限于和财务报告有关的控制。
　　但对我们来说，至今没有出过这种意见，因为我们一直和监管部门沟通。我认为，如果想让事务所对超出财务报告之外的内部控制发表意见，还是必须有相关的审计准则，规范事务所怎么样去确定审计范围，怎么样去审计，怎么拿到证据，怎么界定发现问题的性质，这样才能具有可操作性。但现在，全球没有一个真正针对内部控制的审计准则。内部控制审计准则的出台还需要很长一段路程。
　　
　　需要更多的职业判断
　　
　　《新理财》：对内部控制的鉴证业务，是否需要事务所进行更多的职业判断？在进行这些职业判断中，事务所如何减少鉴证的风险？
　　杨丰禹：相对财务报表审计，内部控制需要更多的职业判断，可以说每一步都要。即便有了内部控制的鉴证准则，也一样需要很多职业判断。首先，从企业来说，因为内部控制本来就是为了防范风险的，而风险是还没有发生的，是不确定的，所以企业要判断有哪些风险，然后要判断风险的大小，判断风险偏好，还要考虑需要设计什么样的内部控制，把风险控制在可接受范围内。审计师在审计时，同样需要大量的判断。
　　我们主要从两个角度来防范这方面的风险。一方面是要谨慎选择客户。在接受客户的时候，要判断什么样的客户可以接受，要看它本身的控制环境好不好，有没有蓄意欺骗的客户的倾向。有这样倾向的客户，我们是不会接受的。另一方面，从我们本身来说，要加强培训，使员工更深刻理解内部控制，总结经验，多层复核，把风险降到我们可以接受的程度。
　　
　　对企业的几点建议
　　
　　《新理财》：您认为，企业应该如何建立自己的内部控制体系？
　　杨丰禹：现在的规范，包括财政部即将推出的内部控制规范，已经对内部控制的责任、方法、流程、工具都有相应的指引。对于企业，难点在于如何考虑企业的实际情况，让方法体系落地。
　　简单来说，第一步，要找到一个合适的方法体系。现在已经有了。下一步就是实施问题，要结合企业战略、组织结构、业务特点、系统特点、人员特点，利用系统的方法，考虑内部控制体系，考虑谁来负责内部控制制度建立，谁来复核，谁来发表意见，谁来负责执行。还有，内部控制不是一成不变的，要考虑谁来负责持续地考虑内部控制的改进，再有，要考虑如有异常情况，谁来监督和报告。
　　《新理财》：在美国的《萨班斯法案》颁布之后，相信普华永道也为很多国际大公司提供过内控方面的咨询服务。这些国际大公司有哪些做法是值得国内企业借鉴的呢？
　　杨丰禹：普华永道在这方面拥有最多的客户，也有最多的相关专业人员。从我们的经验来看，有几点是企业需要注意的：
　　一、从最高管理层开始就要充分认识到，内部控制不仅仅是个合规的问题，而是企业本身就需要它。有了这样的认识还不行，最高管理层还要亲自抓这件事，要有强有力的领导负责这件事。
　　二、要有系统的方法。《企业内部控制规范》没有出台前，我们建议客户用COSO内部控制体系。将要发布的《企业内部控制规范》也是借鉴了COSO体系。
　　三、要有明确的责任体系和相应的考核机制。企业的每个人对内部控制都要有责任，
　　四、要借建立健全内部控制规范的机会，整合公司的治理、风险、合规的活动。
　　另外，国外内部控制失败的案例，比如法兴银行案，也提醒我们国内的企业在建立内部控制规范时，一定要特别重视内部控制规范的执行，要有相应的措施保证有效地实施，比如在系统上有自动的控制系统，超过权限就根本走不到下一步；有相应的监督机构，及时阻止违规行为，也可能避免损失的发生。
　　《新理财》：企业希望既建立符合规范的内部体系，又能够最大限度地减少成本。这方面，您对企业有什么好的建议吗？
　　杨丰禹：对企业在内部控制方面的成本，要分清楚哪些是学习成本，哪些确实是建立内部控制所花费的。不可否认，有些企业之所以在内部控制合规方面花费了很大的成本，是由于理解的偏差，走了很多弯路，造成了很多浪费。但大部分成本是必须的。比如有些企业以前的内部控制制度有很多欠缺，现在为了合规的支出，则应该看作是以前少花的钱现在补上去了。
　　建立内部控制规范，一次性的投入数额虽然比较大，但从长远来看，可能还是合算的。比如，对于一些大公司来说，一些规范看来是在走形式，但会让大家有一个统一的游戏规则，这无形中也提高了工作的效率。这样所带来的收益提高，是长远的。
　　当然，企业在建立内部控制规范时，一定要坚持成本效益原则。如果认为一项控制并没有为企业防范风险，而是带来不必要的成本，则可以省略。而有些规范，看似不必要，但从长远的机会效益来考虑，则是不能省的，因为这一项控制措施可能会避免将来更大的损失，而这个损失是不好估计的。
　　总之，企业在建立自己的内部控制规范时，该省的要省，不该省的千万不要省。

转载注明来源:https://www.xzbu.com/3/view-761227.htm