內部控制審計風險研究

摘要：內部控制審計起源于20世紀70年代的美國，中國于2002年才開始建立內部控制審計制度。由于中國的內部控制審計業務起步較晚，在運行中存在主體單一、相關規范缺乏強制性和內部控制不健全等問題。為此，應加強企業內部控制與內部審計之間的聯系，加快培養內部控制審計復合人才，對內部控制審計與財務審計進行整合，有效控制風險，使其業務有序、規范進行。

關鍵詞：注冊會計師；內部控制；審計風險

中圖分類號：F239.4 文獻標識碼：A 文章編號：1003-3890（2011）10-0067-03

內部控制是基于公司管理的需要而產生的。建立內部控制制度的目的是為了保證會計記錄的可靠性，因為內部控制制度可以約束管理層或職員隨機錯報的可能性，進而對財務報告內容的真實性提供合理保證，成為確保財務報告可靠性的另一項重要制度安排。然而，由于內部控制的局限性以及公司管理層面臨的壓力、機會和借口，管理層披露的內部控制自我評估報告的可信性仍然不夠高，因此需要注冊會計師對管理層披露的內部控制自我評估報告進行審計，以增強公司內部控制信息的可信度，內部控制審計業務應運而生，隨之而來的內部控制審計風險也就產生了。

一、內部控制審計業務的產生

內部控制審計業務源于20世紀70至80年代的美國，起因是上市公司出現的舞弊財務報告、公司管理層濫用職權和破產倒閉等事件。1987年美國Treadway委員會提交的報告指出，大約一半的欺詐性財務舞弊案例是因為內部控制失效而產生的。隨后Treadway委員會發表研究報告，建議所有上市公司應當在年度財務報告中附列有管理層簽名的內部控制報告，切實履行最高管理層建立并維持適當內部控制的承諾。但這一建議并不具有強制性。1992年的COSO框架確定了內部控制的五個核心要素：控制環境，風險評估，控制活動，信息與溝通，監控。1994年美國注冊會計師協會主席建議，公司管理層應當對內部控制的有效性發表報告，且注冊會計師對管理層報告提供評估。2004年，COSO框架又增加了三個要素，即目標設定、事項識別和風險應對，以強化該框架的風險管理部分。從此內部控制審計業務開始走上規范化的軌道。

中國上市公司內部控制審計制度始于2002年。2002年2月，中國注冊會計師協會發布《內部控制審核指導意見》，該意見規定，注冊會計師接受委托，就被審計單位管理當局對特定日期與會計報表相關的內部控制有效性的認定進行審核，并發表審核意見，從而正式確立了中國的內部控制審計制度。

二、內部控制審計業務的性質

從國內外內部控制審計業務的產生來看，內部控制審計業務屬于一種鑒證業務，是由注冊會計師接受委托進行的鑒證業務。在中國，從《內部控制審核指導意見》（2002）到《企業內部控制鑒證指引（征求意見稿）》（2008），再到《企業內部控制審計指引》（2010），內部控制審計業務的性質始終圍繞鑒證業務來定性。

2002年3月，中國注冊會計師協會制定發布了《內部控制審核指導意見》，該意見明確規定了內部控制審核的定義，內部控制審核是指注冊會計師接受委托，就被審核單位管理當局對特定日期與會計報表相關的內部控制有效性的認定進行審核并發表審核意見。該意見還規定按照國家有關法規的要求，建立健全內部控制并保持其有效性，是被審核單位管理當局的責任；注冊會計師的責任是了解、測試和評價內部控制，出具審核報告。從此，中國的內部控制鑒證業務開始走上規范化的道路。

2006年以后，中國上市公司內部控制審計制度發生了很大的變化，監管部門通過上市公司年度財務報表披露等途徑，鼓勵上市公司自愿披露內部控制鑒證報告。2008年7月1日，由中國注冊會計師協會發布并施行企業內部控制鑒證指引（征求意見稿）》明確規定了企業內部控制鑒證的含義：會計師事務所接受委托，對企業與財務報告相關的內部控制的有效性進行鑒證，并發表鑒證意見。還明確規定注冊會計師的責任是在實施鑒證工作的基礎上，對內部控制有效性發表鑒證意見；在對內部控制有效性形成意見后，注冊會計師應當評價管理層按照有關政府部門和監管機構的要求在企業年度報告中對內部控制的披露是否適當。

為了更加有效地促進上市公司建立、實施和評價內部控制，進一步深化內部控制鑒證業務，規范會計師事務所內部控制審計行為，2010年4月26日，中國財政部會同證監會、審計署、銀監會、保監會聯合制定并發布了《企業內部控制評價指引》和《企業內部控制審計指引》。其中，《企業內部控制審計指引》規定，內部控制審計是指會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計。即注冊會計師應當對財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。這一制度的施行對防范企業風險、規范企業管理、指導注冊會計師進行內部控制審計業務具有重大的歷史意義。

三、中國內部控制審計業務發展中存在的問題

（一）內部控制審計業務的相關規范缺乏強制性

在2006年以前，中國相關監管部門對內部控制審計缺乏強制性的規定，這就導致部分上市公司管理層不愿意主動對外披露內部控制信息。例如，為了規范上市公司內部控制的建立、運行和信息披露，中國深圳證券交易所（簡稱：深交所）于2006年9月發布了《深圳證券交易所上市公司內部控制指引》（簡稱：《深交所指引》），《深交所指引》規定，注冊會計師應當直接對公司內部控制的有效性進行評價，并出具鑒證報告；《深交所指引》的頒布，旨在通過提高上市公司內部控制建立和運行的透明度以及內部控制信息披露的充分性，來改善上市公司內部控制的運行效果。證監會公告[2008]48號《關于做好上市公司2008年度報告相關工作安排的公告》規定：上市公司應當在2008年年報中全面披露公司內部控制機制建立健全的情況。從上述規定我們看到，相關規范只是引導上市公司應當出具鑒證報告，并沒有強制要求必須出具鑒證報告，這就直接導致絕大多數上市公司不愿意披露自身存在的內部控制缺陷，也不愿意聘請會計師事務所鑒證其內部控制。相關研究成果也證實了這一點。楊有紅、汪薇（2008）通過描述性統計對2006年滬市年報內部控制信息披露的現狀進行了分析，認為2006年滬市公司內部控制信息披露存在內部控制信息披露的強制規定未得到有效執行、內部控制信息自愿性披露動機不足、內部控制自我評估和會計師事務所的核實評價缺少統一的標準等問題。楊德明、王春麗、王兵（2009）利用A股上市公司2007年度相關數據進行的實證檢驗分析發現：上市公司內部控制環境越好，越容易收到清潔的審計意見；上市公司在披露內部控制鑒證意見時，明顯存在\"報喜不報憂\"的披露管理行為。

（二）內部控制審計主體單一

從《內部控制審核指導意見》（2002）到《企業內部控制鑒證指引（征求意見稿）》（2008），再到《企業內部控制審計指引》（2010），這三項法規規定的內部控制審計主體都是注冊會計師所在的會計師事務所。最新法規《企業內部控制審計指引》規定：會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計。而這個“特定基準日”在《企業內部控制評價指引》（2010）中規定為12月31日，并且要求企業內部控制評價報告應于基準日后4個月內報出。這個時間剛好與財務報告審計報告報出的時間重合。在審計時間有限、具有上市公司審計資格的會計師事務所數量有限、會計師事務所從業人員知識結構不太合理、企業內部控制不夠健全且執行不夠有效等情況下，作為內部控制審計主體的注冊會計師則感覺到心有余而力不足。

（三）對內部控制審計風險的研究較少

在中國注冊會計師審計準則中，內部控制測試結果一直是注冊會計師確定實質性程序的重要依據。因為注冊會計師在執行財務報告審計程序時，已經對同一被審計單位的內部控制風險進行了測試。然而，隨著企業經營環境的變化，企業的經營業務日趨復雜，企業的內部控制難以做到健全。而且，企業內部控制審計業務在中國還尚屬新業務，這一新業務的開展還處于探索階段；加之，中國注冊會計師審計職業還比較年輕，現有執業人員中，能夠勝任內部控制審計業務的人才占較少的比例。

另外，從內部控制審計業務的性質分析中我們也看到，內部控制審計業務的內容在發生變化，審計范圍在擴大。《內部控制審核指導意見》中規定的內部控制審計內容是被審核單位管理當局對特定日期與會計報表相關的內部控制有效性；《企業內部控制鑒證指引（征求意見稿）》中規定的內部控制審計內容是被鑒證企業與財務報告相關的內部控制的有效性；《企業內部控制審計指引》中規定的內部控制審計內容是被審計單位特定基準日內部控制設計與運行的有效性。這一細微的變化，不僅增加了注冊會計師的審計成本，而且也增加了注冊會計師的審計風險。

四、內部控制審計風險的控制路徑

作為內部控制審計主體的注冊會計師，如何在有限的時間內，對企業特定基準日內部控制設計與運行的有效性獲取充分、適當的審計證據，合理控制內部控制審計風險，已經成為注冊會計師必須要面對的現實問題。筆者認為，在當前企業經營環境比較復雜、內部控制信息披露不充分、不主動等情況下，注冊會計師可以先從嚴格律己開始做起，首先培養內部控制審計復合型人才，其次是加強與企業內部審計部門的聯系，第三是有效整合內部控制審計業務與財務報告審計業務。

（一）盡快培養內部控制審計復合型人才

內部控制審計是否能夠幫助企業防范風險，歸根到底還得依賴內部控制審計人員高水平的業務素質。《企業內部控制審計指引》第六條規定，注冊會計師應當恰當地計劃內部控制審計工作，配備具有專業勝任能力的項目組，但并沒有對內部控制審計人員應當具備哪些具體方面的專業勝任能力作出具體規定。企業經營環境的多變性，經濟業務的復雜性，審計時間的局限性，都在一定程度上影響著內部控制審計風險。筆者認為，內部控制審計人員至少應當具有敏銳的觀察能力、縝密的思維能力、過硬的專業知識、合理的知識結構等能力，只有擁有一批高素質的內部控制審計從業人員，才能勝任內部控制審計工作；而建立內部控制從業人員后續教育體制是培養高素質的內部控制審計人才的制度保證。

（二）切實加強與企業內部審計部門的聯系

在企業全面風險管理框架的指導下，企業內部審計部門的工作重點是協助企業建設內部控制。在現代企業管理過程中，內部審計作為企業內部控制的一個重要組成部分，具有監督內部控制其他環節的職責。內部審計應有的作用不僅在于監督企業的內部控制是否被執行，還應該幫助企業進行控制環境的營造，成為內部控制過程設計的顧問，在幫助管理層更有效地達到預期控制目標的過程中，發揮著較大的作用。因此，內部審計人員在了解、評估內部控制的風險水平方面，較會計師事務所的注冊會計師更加深入與恰當。《企業內部控制審計指引》第九條明確規定，注冊會計師利用企業內部審計人員的工作，可以相應減少可能本應注冊會計師執行的工作。在內部控制審計時間有限、審計經驗不足、審計業務復雜等情況下，只有加強與企業內部審計部門的聯系，較為深入地了解內部控制，謹慎而合理地評估內部控制風險水平，才能合理控制內部控制審計風險。

（三）有效整合內部控制審計業務與財務報告審計業務

由于中國企業的內部控制報告都包含在企業財務報告之中，因此審計主體主要還是由注冊會計師在對企業的財務報告進行審計的同時，整體地對報告中相應的內容進行評價，因此，實施內部控制審計的主體與實施財務報告審計的主體是一致的。當前主流的財務報告審計方法是風險導向審計，要求注冊會計師在實施進一步審計程序之前，應當首先了解被審計單位及其環境（包括內部控制），并評估內部控制的風險水平，然后再根據內部控制的風險水平決定下一步的審計程序。既然對內部控制的了解和評估是企業財務報告審計的必要環節，我們不如把內部控制審計與財務報告審計整合進行。一方面可以避免重復審計，減少被審計單位的檢查負擔，節約審計成本；另一方面還有利于注冊會計師統籌控制審計風險水平。因此筆者認為，同一家客戶的內部控制審計與財務報告審計應當由同一家會計師事務所執行。

參考文獻：

［1］Weili Ge， Sarah Mcvay. The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act［J］. Accounting Horizon， 2005，（Sep）：137-158.

［2］Andrew J.， Leone. Factors Related to Internal Control Disclosure［J］. Journal of Accounting and Economics， 2007，（Sep）：224-237.

［3］Ogneva M.， Raghunandan K.， Subramanyam K. R.. Internal Control Weakness and Cost of Equity : Evidence From SOX Section 404 Disclosures［J］. The Accounting Review， 2007，（82）：1255-1297.

［4］Patterson E.R.， Smith J.R.. The Effects of Sarbanes-Oxley Act on Auditing and Internal Control Strength［J］. The Accounting Review， 2007，（82）：427-455.

［5］饒盛華. 加強企業內部控制是當務之急——ST鄭百文的警示［J］.中國注冊會計師，2001，（6）：52-54.

［6］張立民，錢華，李敏儀.內部控制信息披露的現狀與改進——來自我國ST上市公司的數據分析［J］.審計研究，2003，（5）：10-15.

［7］陳關亭，張少華.論上市公司內部控制的披露及其審核［J］.審計研究，2003，（6）：34-38.

［8］張剛，周云鵬.內部控制審核報告分析［J］.廣東經濟管理學院學報，2004，（6）：67-69.

［9］楊有紅，汪薇.2006年滬市公司內部控制信息披露研究［J］.會計研究，2008，（3）：35-42.

［10］楊德明，王春麗，王兵.內部控制、審計鑒證與審計意見［J］.財經理論與實踐，2009，（3）：60-66.

［11］鄧美潔，吳國萍.美國內部控制審計制度及其對我國的啟示［J］.稅務與經濟，2011，（4）：69-72.

［12］袁敏.上市公司內部控制審計：問題與改進——來自2007年年報的證據［J］.審計研究，2008，（5）：90-96

［13］潘芹.內部控制審計對審計意見的影響研究——基于2009年我國A股公司數據［J］.財會月刊，2011，（3）：80-82.

責任編輯、校對：秦學詩