內部控制審計有關問題探索

摘要:安然事件后，為了更好地保證財務報表的真實性，保護投資者的利益，內部控制審計應運而生，作為新生事物自然有許多問題需要探討。首先厘定了內部控制審計與財務報表審計中的內部控制評審、內部控制咨詢、內部控制評價之間的關系，認為實施內部控制審計是監管內部控制外部性的必然要求，根據美國近年來已有的一些做法和現代審計理論的要求，對我國實施內部控制審計亟待解決審計范圍、審計目標、審計程序、審計成本等問題提出了自己的看法。

關鍵詞:內部控制;內部控制審計;內部控制外部性

中圖分類號:F239.45 文獻標識碼:B

隨著全球金融危機向實體經濟蔓延，一些基礎薄弱、內部控制不嚴的銀行、證券公司和實體企業紛紛倒閉，經濟舞弊詐騙案件頻頻曝光，內部控制審計問題再度成為社會普遍關注的焦點。目前，中國企業內部控制標準委員會已正式發布《企業內部控制基本規范》，與之相配套的系列應用指引、評價指引和審計指引也正在加緊制定過程中。因此，如何認識內部控制審計的本質特征和重要性，如何切實推進內部控制審計的實施，保證其作用經濟而有效地發揮，成為急需解決的問題。

一、內部控制審計與其相關概念關系的詮釋

內部控制審計，是指注冊會計師接受客戶委托對客戶財務報告內部控制自我評估報告的真實性、合法性進行審計并發表意見。內部控制自我評估報告的真實性，是指內部控制自我評估報告是否如實反映了企業內部控制設計和執行有效性的實際情況;內部控制自我評估報告的合法性，是指內部控制自我評估報告的編制是否符合國家有關法律、規章的要求。內部控制審計與財務報表審計中的內部控制評審、內部控制咨詢、內部控制評價等工作既有密切聯系，又有本質區別。弄清它們之間的關系，對于充分認識內部控制審計的獨特作用，切實推進內部控制審計工作的開展，都具有重要意義。

(一)與財務報表審計中的內部控制評審之間的關系

財務報表審計中的內部控制評審，是指注冊會計師在進行財務報表審計時應當對被審計單位內部控制進行了解，必要時進行內部控制的控制測試，為編制審計計劃時能夠準確確定審計重點和抽樣規模提供可靠依據。它是財務報表審計的重要環節。

20世紀40年代，為了適應財務報表審計發展的需要，會計職業界在總結企業內部控制實踐的基礎上，創立了現代內部控制理論，并應用于財務報表審計中，財務報表審計進入了制度基礎審計階段，了解和測試被審計單位內部控制的有效性成為財務報表審計的重要環節，財務報表審計的重點和抽樣規模的確定有了比較堅實的基礎，財務報表審計質量和效率得到了極大的提高，同時也極大地推動了企業內部控制的建設。

盡管制度基礎審計在20世紀90年代發展成為風險基礎審計，但是內部控制評審依然是財務報表審計不可或缺的一環，是評估審計風險的重要內容。財務報表審計中的內部控制評審與內部控制審計在審查的對象和方法上有許多共同點。在審查對象上，它們都要對與財務報告相關的內部控制進行審查;在審查方法上，它們都需要運用檢查書面文件和記錄、詢問有關人員、穿行測試等方法。為了降低內部控制審計的成本，提高內部控制審計的效率，內部控制審計應當與財務報表審計整合進行，以便將對被審計單位內部控制進行審查的結果同時應用于財務報表審計和內部控制審計。

財務報表審計中的內部控制評審與內部控制審計又是兩種性質不同的工作，至少具有下列區別:首先是目的不同，前者主要是為了編好財務報表審計計劃提供依據，后者主要是為了對被審計單位內部控制自我評估報告的真實性和合法性發表審計意見;其次是直接審查對象不同，前者以被審計單位內部控制為直接審查對象，后者以被審計單位內部控制自我評估報告為直接審查對象，當然也需要深入審查被審計單位內部控制設計和執行的有效性。再次是方法不同，前者主要采用檢查、詢問、穿行測試等方法，后者則還需要采用利用被審計單位內部控制自我評價程序和文檔等方法。最根本的區別在于前者只是財務報表審計的一個重要環節，后者則是一種獨立的審計類型。

(二)與內部控制咨詢之間的關系

內部控制咨詢是指注冊會計師接受委托對客戶內部控制的有效性進行檢查，以發現其中存在的重大缺陷，分析可能產生的后果，向客戶管理當局提出改進建議的一項管理咨詢業務。20世紀60年代起，隨著市場競爭的日益激烈，企業提高管理水平變得日益重要，管理工作日益職業化和專業化。同時，注冊會計師為了充分利用財務報表審計中進行的內部控制評審所得到的信息，幫助客戶完善內控，同時增加事務所的業務收入，注冊會計師開始根據內部控制評審所得到的信息，對注意到的客戶內部控制的重大缺陷及其可能產生的影響進行更加深入的分析評價，并就如何彌補這些重大缺陷應采取的對策向客戶出具管理建議書。

內部控制咨詢與內部控制審計是兩種不相容的業務。為了防止注冊會計師在內部控制審計中出現自我評價損害獨立性的情形，2007年PCAOB發布的審計準則第5號《與財務報表審計整合進行的財務報告內部控制審計》規定，內部控制審計應當與財務報表審計整合進行，負責財務報表審計的事務所不能同時為同一公司提供與財務報告相關的內部控制的咨詢服務，以避免自我評價情況的發生，但提供其他方面的內部控制咨詢服務不受限制。

(三)與內部控制評價之間的關系

內部控制評價，是指由企業董事會和管理層組織實施的，對企業內部控制有效性進行評價，形成評價結論，出具評價報告的過程。20世紀70年代，隨著美國《反國外賄賂法案》的頒布，政府監管部門對上市公司提交內部控制評價報告要求得越來越高，企業董事會和管理層開始組織內部審計機構等定期系統評價內部控制，提交內部控制自評報告。20世紀90年代，美國《聯邦儲蓄保險公司改善法案》的頒布，政府監管部門對上市公司提交內部控制評價報告的要求由建議變成強制;同時，《內部控制——整體框架》的發布，監督檢查成為內部控制的五大要素之一;加之內部審計為了避免被外包，紛紛開始向增值服務型內部審計轉變，以企業內部審計機構為主開展的內部控制評價業務得到了快速發展。根據美國2002年7月頒布的SOX法案第302和304條規定:公司CEO、CFO或類似職務者必須書面聲明對內控設計和執行的有效性負責，并要求隨定期報告一同對外披露管理層對財務報告內部控制的評價報告，該報告還需要經負責公司定期財務報表審計的注冊會計師的審計。該法案的頒布表明:公司管理層隨定期財務報告提交內部控制自評報告也成為法定的強制要求，內部控制審計也成為注冊會計師的法定審計業務。內部控制評價直接催生了內部控制審計的產生。內部控制審計，是適應政府監管部門對內部控制自我評價報告需要進行審計的要求而產生的，其目標就是對內部控制自評報告的真實性和合法性發表意見。

二、內部控制審計是監管內部控制外部性的必然要求

雖然內部控制評價直接催生了內部控制審計，但是催生內部控制審計的根本原因則是內部控制自身外部性的逐漸顯現。以美國的情況為例:1977年，基于松弛的會計管理和內部控制可能增加和掩蓋美國公司對外國政府官員的賄賂，美國國會批準頒布了《反國外賄賂法案》(FCPA)，要求公司在保持健全會計記錄的同時，設計、建立和保持有效的內部會計控制系統。根據《反國外賄賂法案》的要求，美國注冊會計師協會(AICPA)的注冊會計師責任委員會即科恩委員會在1978年提交的報告中建議:公司管理層應出具與財務報告相匹配的報告，以披露內部控制狀況;同時，注冊會計師應當對管理層出具的內部控制報告進行復核(review)并對外報告。1979年4月30日，SEC在科恩1978年報告的基礎上，發布《管理層對內部會計控制的公告》征求意見稿，提議管理層在向股東提交的年度報告中包含經注冊會計師復核的內部控制自評報告。因為實施成本高、內部控制復核標準不明確等原因而在1980年被決定暫緩執行。

20世紀80年代，美國發生了一系列公司財務欺詐和審計失敗案件，促成美國反欺詐財務報告全國委員會(Treadway委員會)在1985年成立。該委員會在1987年提交的報告中指出:(1)納入研究范圍的欺詐財務報告案例中約有50%是因內部控制失效所導致的;(2)投資者有權了解管理層對財務報告和內部控制責任的履行情況，管理層有責任對內部控制的有效性進行報告。基于這份報告，SEC于1988年7月19日發布《第34-25925號提案:報告管理層的責任》，提議管理層在年度報告中報告對財務報告和內部控制的責任，以及對內部控制的評價結果。該建議也因與1979年報告相同的原因而未能付諸實施。

20世紀90年代初期，美國頻發因內部控制失效而產生的儲蓄保險公司破產案，給民眾造成了重大損失。為此，美國國會于1991年頒布《聯邦儲蓄保險公司改善法案》，其中第36節規定，資產總額在5億美元以上的大商業銀行和保險公司，在向聯邦銀行管理機構和相關州級銀行監察機構提交報告時，必須評估并報告內部控制的有效性，同時要求注冊會計師對管理層有關內部控制的聲明進行復核驗證。1992年Treadway委員下屬的COSO委員會發布“內部控制—整體框架” 的研究報告，強調要對內部控制進行獨立評價，包括注冊會計師受托對客戶內部控制進行審核(examination)。

本世紀初，安然、世通等重大財務欺詐案的發生，彰顯了內部控制失效導致財務報表失真的嚴重性，美國國會于2002年7月發布SOX法案，其中第302和304條規定:公司CEO、CFO或類似職務者必須書面聲明對內控設計和執行的有效性負責，并要求隨定期報告一同對外披露管理層對財務報告內部控制的評價報告，該報告還需要經負責公司定期財務報表審計的注冊會計師的審計。該法案的頒布表明:公司管理層隨定期財務報告提交內部控制自評報告也成為法定的強制要求，內部控制審計也成為注冊會計師的法定審計業務(張龍平、陳作習、宋浩，2009)。

根據SOX的要求，SEC于2003年11月發布《最終規則——管理層對財務報告內部控制的報告及其對定期披露的證明》，要求所有受1934年證券交易法13(a)或者15(d)條款約束的公司，不僅僅是上市公司，均須在年報中包括管理層對財務報告內部控制的評估報告。毫無疑問，我國企業內部控制也有著與美國企業內部控制相似的外部性，失效的內部控制可能無法防止、發現和糾正商業賄賂等舞弊行為，影響市場的公平競爭等宏觀經濟秩序;可能導致挪用、侵占、貪污、盜竊企業資產等舞弊行為產生，經營管理水平下降，引發企業破產倒閉，侵害作為外部人的眾多中小所有者的利益;可能導致虛假財務信息的報告，影響作為外部人的投資者、債權人及其他有關各方判斷和決策的失誤，從而侵害他們的利益等等。近年來國內相繼發生的亞細亞、藍田、銀廣廈等公司舞弊案都是有力的例證，說明在我國由政府推動企業內部控制建設和內部控制審計也是十分必要的。

需要指出的是，內部控制審計這一概念是SOX法案頒布之后才正式提出來的。此前這一工作被稱為內部控制審核。根據2002年中國注冊會計師協會發布的《內部控制審核指導意見》的定義，所謂內部控制審核，是指注冊會計師接受委托，就客戶管理層對特定日期與財務報表相關的內部控制有效性的認定進行審核并發表審核意見。與內部控制審計相比，內部控制審核具有如下特點:審核的具體范圍和方法取決于業務約定書的規定，不像審計那樣有準則規定的范圍和方法;審核時間也是約定的，不像審計那樣確定在與年度報表審計同時進行，以便兩種審計整合進行;審核的對象是管理層就內部控制有效性提供的書面認定，不像審計那樣是規范的內部控制自我評估報告;審核可以發表保留意見，審計不能。審核只能提供有限保證，而審計則要求提供合理保證。

三、美國推進內部控制審計實施所作的努力

內部控制審計，作為一種需要向社會公眾提交審計報告的公共審計業務，必須有嚴格的審計準則作為其質量控制規范，否則，其質量就無法得到保證，注冊會計師的責任就無法得到明確，社會公眾和注冊會計師的合法利益就無法得到很好的保護。這一方面美國走在了世界的前列。為了落實SOX法案有關上市公司內部控制審計的要求，給注冊會計師進行內部控制審計提供可操作的準則指引和實務指導。美國公共會計監督委員會(PCAOB)和注冊會計師協會(AI注冊會計師)隨后頒布了一系列指導與規范性文件。

2004年3月，PCAOB發布了審計準則第2號《與財務報表審計結合進行的財務報告內部控制審計》(AS2)，要求同一公司的財務報表審計業務和財務報告內部控制審計業務應有同一會計師事務所執行，以節約審計成本。2007年PCAOB又發布了審計準則第5號《與財務報表審計整合進行的財務報告內部控制審計》(AS5)以取代AS2。該準則要求注冊會計師采用自上而下的審計方法(從戰略而不是制度規定出發的缺陷判斷方法)，將精力集中于重大錯報領域;要求重視舞弊控制的測試，要把關注舞弊風險貫穿于審計全過程，必須在審計報告中聲明是否存在舞弊風險;強調企業層面的控制對財務信息可靠性影響的重要性;要求每年對重要交易循環中的每項重大交易事項進行穿行測試，而不是從每個重要交易循環中隨機選擇交易事項進行穿行測試;要求內部控制缺陷按嚴重程度劃分為實質性缺陷和重大缺陷，并將所發現的所有這兩類缺陷以書面形式通報給公司管理層和審計委員會。

2009年1月23日，受SEC委托，PCAOB對外公布了《小型上市公司內部控制審計指引》，專門指導注冊會計師有區別、有重點地將AS5 應用于規模較小的上市公司。該指引的主要內容包括:小型上市公司審計范圍的界定、公司層面內部控制評價、管理層逾越內部控制的風險及相應的控制措施、崗位分離及補償性控制、信息技術控制的審計、財務報告編報能力及其對內部控制的影響、非正式文檔的證據收集、常見的控制缺陷。

美國審計質量中心(AI注冊會計師下設專業機構)于2009年2月9日發布了《內部控制整合審計實務經驗》，專門為從事上市公司內部控制整合審計的注冊會計師提供指導，并在實證研究的基礎上總結出21條普遍經驗:(1)充分利用公司內部控制自我評價程序和文檔;(2)強化管理層與外部審計師的經常性溝通協調;(3)與管理層協調相關工作安排，充分利用管理層的工作;(4)及時確定和評估可能影響財務報告內部控制有效性的相關風險;(5)考慮固有缺陷的影響;(6)將財務報告內部控制審計與財務報表審計進行統一規劃;(7)在滿足《SOX法案》合規的首年采用基于控制的方法;(8)實施的審計程序要同時滿足實質性測試和內部控制測試兩個目標;(9)從以前年度的財務報表審計中獲取內部控制審計相關風險;(10)執行內部控制測試與執行實質性測試的審計師之間的協調;(11)充分利用外部專家的資源和知識;(12)審計師須具備以往內部控制審計經驗或已接受專門的培訓;(13)采用自上而下的方法實施第5號審計準則;(14)采用多種風險評估的審計方法;(15)采用多種組合程序以達到審計目標;(16)關注信息系統的應用范圍及其復雜性性;(17)從公司層面控制入手開展自上而下的審計工作;(18)最大限度利用他人工作以降低審計成本;(19)以風險為導向選擇控制測試的性質，時間和范圍;(20)在年度中期開展控制測試有助于及時發現缺陷并提高審計效率;(21)對于設計無效的控制，無需對相關控制的執行有效性進行測試。

毫無疑問，作為審計技術規范，美國的上述規范對于制定我國的內部控制審計準則，做好我國的內部控制審計工作，具有很好的參考價值，值得我們好好學習和借鑒。

四、我國實施內部控制審計急需解決的問題

我國有關政府部門目前尚未明文要求強制實施內部控制審計。上市公司提交內部控制自我評估報告并聘請注冊會計師進行審計仍屬于政府鼓勵、企業自愿的行為。我們認為，為了切實提高我國上市公司財務信息披露質量，促進我國市場經濟的快速、健康發展，應當加快企業內部控制建設，盡快規范上市公司內部控制自我評估報告的編制，實施強制的上市公司內部控制審計;應當盡快制定內部控制審計準則，保證審計質量，控制審計成本和風險，充分發揮審計作用。當前亟需研究解決好下列問題:

(一)關于內部控制審計范圍的明確

內部控制審計的范圍，直接決定著審計的質量、成本和責任，決定著審計的可行性。為了遏制內部控制的各種可能的外部性，為財務報表使用者提供盡可能多的附加信息，促進被審計單位全面加強內部控制建設，內部控制審計應當以整個內部控制為審計范圍。但是，由于內部控制是一個內容廣泛的概念，至今沒有一個明確的邊界，因此，以整個內部控制作為內部控制審計的范圍，既不明確，不好把握，容易產生審計風險，審計的可行性會有問題。所以，目前內部控制審計只能突出重點，重點解決內部控制弱化可能產生輸出虛假財務信息的問題。因此，國內外已頒布的內部控制審計相關規范普遍規定，內部控制審計范圍應當限于與財務報告有關的內部控制。

根據SEC的解釋，與財務報告有關的內部控制是指“旨在合理保證財務報告的可靠性和財務編報符合公認會計原則的控制程序，該程序由公司首席執行官和首席財務官或類似職務的人員設計和監督，并受到公司董事會的影響，具體的政策和程序包括:(1)維持充分具體的會計記錄以準確和公允地反映資產交易和處置;(2)合理保證所有交易得以完整記錄，以保證財務報表的編報符合公認會計原則，以及公司一切收支活動均在管理層和董事會的授權下進行;(3)合理保證能夠防止或及時發現未經授權的資產購買、使用和處置。”為了保證內部控制審計質量，提高審計效率，在我國擬制定的相關審計準則中，對與財務報告相關的內部控制應當有一個至少包括哪些內容的明確規定，以便注冊會計師能夠據此進行合理判斷，保證審計范圍的充分性。

(二)關于內部控制審計目標的明確

內部控制審計目標決定著審計的范圍、審計程序的選擇與運用，審計意見的表達，審計質量的衡量和審計責任的界定。為了確保審計質量，防范審計風險，避免注冊會計師承擔過高的審計責任，審計準則應當明確內部控制審計的目標。但遺憾的是，目前國外相關審計準則尚未對內部控制審計的目標做出明確規定。我們認為，內部控制審計應當對被審計單位內部控制自我評估報告的真實性和合法性發表審計意見，為內部控制自評報告的真實性和合法性提供合理保證。

之所以用真實性替代公允性，是因為不可能存在公允的內部控制體系。不同企業、同一企業的不同時期，由于企業規模、業務性質與特征、治理結構、機構設置與權責分配、控制人員的理念與素質等不同，合理的內部控制也各不相同。即使政府或其他權威機構頒布有系統、完整的內部控制指南，也只能是對企業如何建設內部控制的具體指導，而不可能是公允的內部控制本身。之所以要求注冊會計師內部控制審計報告提供合理保證，是因為內部控制審計報告要隨財務報表審計報告一起對外公布，兩者在作用上必須保持一致。為了讓注冊會計師能夠提供合理保證，審計準則應當明確審計范圍和應當實施的審計程序。

(三)關于內部控制審計程序的明確

為了確保內部控制審計能夠為內部控制自我評估報告的真實性和合法性提供合理保證，相關審計準則必須明確內部控制審計應當實施的審計程序，否則，內部控制審計質量就無法保證。但是，由于內部控制審計實施時間不長，加之與財務報告相關的內部控制的概念尚未得到清晰的厘定，盡管美國內部控制審計已有一些實踐經驗，并從中總結出了一些行之有效的審計程序，但是這些審計程序依然是不系統的。美國的實踐表明，從公司層面控制入手自上而下地進行審查，是比較切實有效的內部控制審計方式。據此我們認為，系統有效的內部控制審計程序至少應當包括兩個層次:企業總體層次的內部控制審計程序和業務類型或業務單元層次的內部控制審計程序。

企業總體層次的內部控制審計程序，是從企業內部控制整體框架五要素入手系統設計的，可以有效測試內部環境完善性的審計程序、風險評估有效性的審計程序、控制活動有效性的審計程序，信息與溝通有效性的審計程序和監督檢查有效性的審計程序。業務類型或業務單元層次的內部控制審計程序，是從影響企業財務報告公允真實性的各類業務或業務單元入手系統設計的，可以有效測試各類業務或業務單元相關內部控制有效性的審計程序。在審計過程中，注冊會計師應當先實施企業層次的內部控制測試程序，再根據企業層次內部控制測試的結果及各類業務或業務單元對財務報表公允真實性的影響程度，實施業務層次的內部控制測試。

(四)關于內部控制審計成本的控制

成本問題始終是影響內部控制審計實施的重要問題。我國要切實有效地推行內部控制審計，在制定的審計準則中也必須有防止審計成本過高的對策;在實施審計中也必須有控制審計成本過高的對策。解決審計成本過高的直接對策是降低成本，比如在審計準則中，可以規定某些成本過高而重要性一般的審計程序(如注冊會計師對管理層自評內部控制程序恰當性的審查和評價)注冊會計師可以選擇使用或不予強制要求，規定內部控制審計應當與財務報表審計整合進行等等。在實施審計中，可以實施能同時滿足實質性測試和內部控制測試兩個目標的審計程序，最大限度地利用檔案資料和他人工作結果等等。

解決審計成本過高的間接對策是，通過突出重點提高成本投入的效益，比如在審計準則中，將內部控制審計的范圍限制在與財務報告相關的內部控制范圍內，并詳細規定必須審計的重要內容、要達到的重要目標和要實施的重要程序;要求在審計中重點關注重大錯報領域、舞弊控制測試、重大缺陷報告等。在審計實施中，注意從公司層面控制入手，開展自上而下的審計工作，以風險為導向，選擇控制測試的性質，時間和范圍，盡可能選擇那些能夠同時達到多個審計目標的綜合性審計程序，充分挖掘審計證據的作用等等。

參考文獻:

[1] 張龍平，陳作習，宋浩. 美國內部控制審計的制度變遷[J].會計研究，2009(2).

[2] 陳關亭，張少華. 論上市公司內部控制的披露及其審核[J].審計研究，2003(6).

[3] 楊瑞平.企業內部控制探索[M].北京:中國市場出版社，2009.

[4] U.S.A. Foreign Corruption Practice Act， (FCPA) ， 1976.

[5] U.S.A. Federal Deposit Insurance Corporation Improvement Act of 1991， (FDICIA) 1991.

[6] SEC. Final Rule: Management’s Reports on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports， 2003.

[7] PCAOB. Auditing Standard No. 2—An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements， 2004.

[8] PCAOB. Auditing Standard No. 5—An Audit of Internal Control over Financial Reports that is Integrated with An Audit of Financial Statements， 2007.

(責任編輯:陳樹明)