内部控制审计理论研究

引言

健全有效的内部控制可以合理保证企业经营效率与效果、财务报表的可靠性以及对相关法律法规的遵循。但是在二十一世纪初，美国等国家爆发安然、世通等一系列数额惊人的财务舞弊案件，对资本市场产生极大震动，其根本原因之一是内部控制失效导致的。美国为整顿资本市场秩序，重树社会公众对资本市场的信心，于2002年颁布了《萨班斯－奥克斯利法案》，该法案要求管理层对财务报告内部控制的评价报告随定期报告一同对外披露，同时要求公司内部控制必须经注册会计师审计。内部控制审计这一新型业务的开展将会对提高财务报告信息质量产生深远影响，这也正是本文研究内部控制审计问题的价值所在。

一、内部控制审计理论

在美国展开的内部控制审计的制度化，并不是安然、世通等财务舞弊事件所引起的特定国家的问题，而是通过这些偶然事件得以加速公司治理的必然发展。世界各国也同样存在内部控制审计制度化的必然性。美国内部控制审计的发展过程：文件化、测试、经营者评价报告、内部控制报告审计，其宗旨是从财务报告过程的控制以保证财务报告的可靠性，进而达到公司治理的目的。可见，我们有必要研究内部控制审计相关的基本理论。

（一）内部控制审计相关的概念界定

现代审计的主流是以财务报表审计为代表的对信息的检验。但是，随着企业经济活动的不断扩大和经济全球化的不断进展、社会民主意识对政府以及社会团体等机构的信息披露要求不断提高，审计范围越来越广泛，审计的类型越来越多，人们对审计的关心也越来越强。审计是为了确认有关行为是否妥当，或者该行为人所给的信息（陈述、认可）是否可靠，由独立第三者所进行的一种检验。审计对于注册会计师而言，主要是财务报表审计。SOX之后，美国开始实施财务报告内部控制审计，日本、加拿大等也在相继制定相关的审计准则并在适时推出这项制度安排，这说明除了传统的财务报表审计外，还将有一套新的审计制度安排，即内部控制审计。也就是说，需要对内部控制预期的目标实现进行检查和评价，即建立一个内部控制评价和报告体系，来提高内部控制的有效性，加强内部控制信息的透明度。所建立的内部控制评价与报告体系既要求管理层对内部控制的有效性进行评价，也要求中介机构对其进行审计。本文将内部控制审计、财务报表审计以及同时进行这两项审计时的整合审计的概念界定如下：

1.内部控制审计

笔者对本文的内部控制审计定义，在借鉴美国AS5“财务报告内部控制审计”概念的基础上，结合我国的具体情况，定义为：内部控制审计是指会计师事务所接受委托，对特定日期（通常与企业内部控制自我评价基准日一致）企业内部控制的有效性进行审计，并发表审计意见。为了形成审计意见的基础，审计人员必须计划和执行审计程序，获得合理保证，确定公司与财务报告有关的内部控制是否在管理当局评估的特定日期存在重大缺陷。这里内部控制审计的对象，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即“狭义的内部控制”。我们在文中的主题“内部控制审计”即指这里的狭义内部控制审计。

2.财务报表审计

财务报表审计属于鉴证业务，是指注册会计师按照审计准则的规定，通过计划和执行审计工作，对财务报表的下列方面发表审计意见：（1）财务报表是否按照适用的会计准则和相关会计制度的规定编制；（2）财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。注册会计师的审计意见旨在提高财务报表的可信赖程度。

3.整合审计

本文所研究的整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计，注册会计师通过整合计划和实施审计工作，以同时实现二者的目标：①获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；②获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

二、内部控制审计的业务特性

1.基于责任方认定的信息审计业务

审计有两大系列。其一是需要对审计客体的陈述或声明发表意见的审计，称之为信息审计；其二是需要对审计客体的行为、过程以及系统发表意见的审计，称之为非信息审计。财务报表审计，实质上是对经营者所作会计声明的审计，是一种典型的信息审计。信息审计和非信息审计并不是同一审计行为的两种表现类型，而是审计人基于不同审计主题采取了不同认识行为所形成的两大审计系列。根据审计的主题是已经用语言表现的声明还是未经语言表现的非声明事项，审计的认识对象可以分为两大范畴：其一，已经用语言表现的声明――责任方认定，是责任方对其责任范围内的业务活动及其结果进行评价或计量后形成和给出的认定。即在基于责任方认定的业务中，责任方对鉴证对象进行评价或计量，鉴证对象信息以责任方认定的形式为预期使用者获取。责任方认定是责任方将适当标准应用至鉴证对象的结果。比如，经营者（责任方）对财务状况、经营成果和现金流量（业务活动及其结果）进行确认、计量和列报（评价或计量）而形成的财务报表即为责任方的认定，该财务报表可为预期报表使用者获取，注册会计师针对财务报表出具审计报告注册会计师或者针对责任方认定提出结论，或者直接针对鉴证对象提出结论，无论采取何种方式提出结论，预期使用者都可以获取责任方认定；其二，未经语言表现的非声明事项――直接报告业务，是责任方没有给出认定，需要审计人员直接对审计对象进行评价或计量，形成审计结论的业务。在直接报告业务中，注册会计师直接对鉴证对象进行评价或计量，或者从责任方获取对鉴证对象评价或计量的认定，而该认定无法为预期使用者获取，预期使用者只能通过阅读鉴证报告获取鉴证对象信息。简而言之，直接报告业务是注册会计师直接应用适当的标准对鉴证对象进行评价并提出结论，预期使用者无法获取责任方认定。我们定义以责任方认定为主题的审计为信息审计，以直接报告业务的对象为主题的审计为非信息审计。信息审计是指通过获取与责任方认定的内容及依据有关的证据，验证责任方认定是否按照既定的标准恰当地反映了责任方所认定的企业等经济主体的活动及其结果，并对责任方认定是否可靠发表意见为目的的审计。比如，财务报表审计，内部控制审计等。非信息审计则是通过调查有关行为主体的行为内容行为过程和行为程序等，验证该行为妥当与否，法律等各种规范的遵守情况如何，效率如何等等，并对该行为、过程和程序给出调查结论为目的的审计。比如，舞弊审计等。

2.合理保证的鉴证业务

国际审计与鉴证准则委员会（IAASB）将注册会计师的服务分为鉴证业务（Assurance Engagements）和非鉴证业务（Non-assurance，或者Related Services，相关服务）。

首先，内部控制审计既然是鉴证业务，当然需要具备IAASB国际鉴证业务框架中的所要求的五个要素。第一，三方关系人。管理层要对内部控制有效性进行评估（责任方），而注册会计师要对内部控制的有效性并出具报告（注册会计师），投资者、债权人、政府等根据审计报告做出决策（预期使用者）。第二，明确的鉴证对象。在内部控制审计业务中，注册会计师要对与财务报告有关内部控制的有效性发表审计意见，此内部控制则为鉴证对象，而内部控制的有效性则是鉴证对象信息。管理层既要负责设计维护本单位的内部控制，也要对内部控制的有效性负责。第三，用于评价或计量鉴证对象的标准。COSO于1992年的《内部控制－整体框架》作为评价内部控制的标准，PCAOB在AS5中也推荐采用该标准。因此，管理层和审计师必须就COSO框架的理解取得一致的认识，并在管理层报告和审计报告中对它们做出清楚的说明。在进行内部控制审计中，审计师必须对COSO框架有清晰而透彻的理解，才能够对管理层的评估过程做出职业判断，只有这样内部控制审计才能改进管理层报告的质量，并提高其有用性。第四，充分适当的证据。审计证据既是支持审计意见的客观基础和控制审计质量的重要工具，也是确定和解除审计师法律责任的重要依据。从某种意义上说，审计师的主要工作就是遵循审计准则的要求实施审计程序和收集、鉴证并评价审计证据的过程。客观地收集和评价审计证据构成了审计过程的核心，审计师形成任何审计结论和意见都必须以合理的证据作为基础。第五，书面鉴证报告。注册会计师在内部控制审计业务完成后，要向被审计单位提交书面审计报告，该报告最终要向社会公众公布。当然，注册会计师既可以和财务报表审计一起进行合并报告，也可以单独报告。

其次，内部控制审计是鉴证业务中的合理保证业务。从两方面来分析：第一，由于内部控制存在着固有的局限，因此不能为实现内部控制目标提供绝对保证，而只能是合理的保证。内部控制是一个过程，它固有的局限主要有：内部控制的设计和执行受制于成本与效益原则；内部控制一般仅针对常规业务活动而设计；即使设计完整的内部控制也可能因执行人的粗心大意、精力分散、判断失误以及指令的误解而失效；内部控制可能因执行人员相互勾结、内外串通而失效；内部控制可能因执行人员或屈从于外部压力而失效；内部控制可能因经营环境、业务性质的改变而消弱或失效等。正是由于这些固有局限的存在，使得审计人员无法防止或及时发现公司中的一般缺陷。审计人员只能在一定程度上确保内部控制有效性。另外，由于内部控制有效性的确认存在固有局限，审计人员对审计过程之中获得证据的确认也存在很多局限。审计人员所执行的测试以及他们的专业判断是固有局限存在的原因之一。因而，无论在什么情况下，审计人员都必须获取充分的审计证据，以为其发表独立审计意见提供合理的保证。第二，将内部控制审计定位为合理保证的鉴证业务，其保证程度比有限保证高，内部控制审计的目标是对公司财务报告内部控制的有效性发表意见，需要将业务风险降低该业务环境下可接受的低水平，作为对管理层结论积极发表意见的基础。为了取得合理的保证，注册会计师在内部控制审计过程中应该记录以下证据：对公司财务报告内部控制五个组成要素所取得的了解和对各个要素的设计所进行的评估；确定重要金额和披露以及主要交易类别的过程，包括确定需要测试的事业分布及地区分布的过程；在重要金额和披露以及主要交易类别中，与相关财务报表认定有关的错报关键点的识别过程；注册会计师依赖其他人工作的范围以及对他们胜任能力和客观性的评估；对审计测试中发现的任何控制缺陷的评价；可能引起审计报告改变的其他发现。内部控制审计要以积极方式发表意见。因而内部控制是合理保证而非有限保证的审计业务。