浅议《企业内部控制审计指引》

财政部等五部委分别于2008年5月和2010年4月联合了《企业内部控制基本规范》和《企业内部控制配套指引》，并要求我国在境内外同时上市的公司自2011年1月1日起首先施行，在上海证券交易所、深圳证券交易所主板上市的公司自2012年1月1日起施行。这标志着我国企业内部控制规范体系全面建立和注册会计师内部控制审计制度与标准的确立。根据要求，我国内部控制审计制度刚刚迈入实务阶段，配套指引等规范文件是指导内部控制审计实务的主要依据。认真研究规范文件的合理性、兼容性对促进我国内部控制审计理论与实务的发展有着重要意义。笔者着重讨论《企业内部控制审计指引》中存在的一些问题以及其与其他配套指引、审计准则的兼容问题，并提出解决这些问题的建议。

一、指引的法律效力

指引第一章总则第一条规定，指引根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则制定。因此，指引的效力等级低于《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，指引不属于准则。然而，财务报表审计与内部控制审计地位相当，都是注册会计师的高水平保证鉴证业务。规范内部控制审计的指引法律效力等级低于规范财务报表审计的系列准则，既降低了指引的威信，又使我国会计审计准则体系缺乏完整性。为强化指引的技术规范地位，笔者建议将指引纳入审计准则体系，提高指引的法律地位。

二、审计目标的界定

指引总则第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师审计的范围应当覆盖企业内部控制整体而不应仅限于财务报告内部控制，注册会计师要对企业所有的内部控制的有效性发表意见，承担责任。而第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这又将注册会计师的报告责任缩小到财务报告内部控制和“注意到的非财务报告内部控制”。在指引最后所附的审计报告参考格式中，指引又对引言段、审计意见段和针对非财务报告内部控制的强调事项段的内容作出如下规定：

引言段：我们审计了××股份有限公司（下称“××公司”）××年×月×日的财务报告内部控制的有效性。

审计意见段：我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

针对非财务报告内部控制的强调事项段：需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。

可以看出，这三段报告内容将注册会计师的审计目标和审计责任进一步缩小到仅仅对财务报告内部控制进行审计、发表意见承担责任，注册会计师对非财务报告内部控制不承担任何责任。

纵观上述内容，指引在对注册会计师的审计目标的规定上显得较为混乱。总则部分要求注册会计师对“注意到的非财务报告内部控制”重大缺陷承担披露责任，而报告的措辞不要求注册会计师对非财务报告内部控制承担任何责任。这令读者感到无所适从，也会使司法部门在可能发生的审计失败案件的裁判中无法明确注册会计师的责任，有关部门亟需对该部分内容予以修订，明确注册会计师的审计目标和审计责任。

笔者认为，对非财务报告内部控制发表意见超过了注册会计师的专业胜任能力，要求注册会计师对非财务报告内部控制的重大缺陷进行披露会加大注册会计师的审计责任和审计风险。即使指引仅要求注册会计师披露“注意到的”非财务报告内部控制的重大缺陷，但因为国内目前尚未形成对非财务报告内部控制缺陷进行评价的依据或标准，“非财务报告内部控制重大缺陷”的判定无章可循，注册会计师也无法对非财务报告内部控制的合理性及有效性发表意见。基于以上原因，对注册会计师披露注意到的非财务报告内部控制重大缺陷的要求很难得到实施，建议指引删去这一要求，并适当修改总则部分对审计目标的界定，使总则部分与报告内容规定一致。

三、单独审计与整合审计的选择

指引规定，企业可以聘请两家会计师事务所分别对其内部控制和财务报表进行审计，也可以聘请一家会计师事务所同时对其内部控制和财务报表进行审计。注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（即整合审计）。

但内部控制审计与财务报表审计两者很难分开。对内部控制进行了解和评价是年报审计中风险评估的重要内容，注册会计师需要评估实施实质性程序发现的问题，利用内部控制审计的结果修改财务报表审计计划；在内部控制审计中，注册会计师要考虑识别出的财务报表错报对评价内部控制有效性的影响。所以，实务中实施单独审计几乎没有可能。

此外，内部控制审计和财务报表审计要在规定的相同的时间内完成，有些证据两种审计程序均需要收集，如果两种审计分开执行，会产生许多重复的审计工作，浪费审计资源，致使审计成本大幅度提高。因此，基于成本效益原则，企业也不会主张对内部控制单独审计。

同时，指引从计划审计工作到完成审计工作都立足于整合审计，实施单独审计的审计规范以及审计方法没有指导依据，单独审计也无从谈起。因此，从多个方面看，指引允许财务报表审计与内部控制审计分开执行的规范意义不大，建议修改指引该部分内容，强制要求企业将两种审计整合进行，降低审计成本，提高审计效率。

在整合审计之下，注册会计师就内部控制审计与财务报表审计同时开展诸多可以合并的工作，如：与被审计单位签署审计业务约定书，与治理层沟通，获取管理层声明等。对上述工作，中国会计审计准则体系中相应的准则给予了明确的规范，具体有中国注册会计师审计准则第1111号――审计业务约定书；中国注册会计师审计准则第1151号――与治理层的沟通；中国注册会计师审计准则第1341号――管理层声明等。然而，这些准则都明确规定，准则的适用范围仅限于财务报表审计。于是，针对内部控制审计的上述工作无准则规范。笔者建议，鉴于两种审计整合进行，有关部门应当修改用于规范这些整合进行的工作的准则，使准则的适用范围扩大到整合审计，发挥准则体系的规范合力。

四、审计基准日的确定

为简化报告内容，增强审计报告有用性的同时降低注册会计师的责任，指引要求注册会计师应当对截至某基准日内部控制的有效性发表意见，而不是对企业整个期间内部控制的有效性发表意见。但为了实现审计目标，对截至某基准日内部控制的有效性发表意见，注册会计师不能仅测试基准日这一天的内部控制，而是需要评价在足够长的时间中内部控制设计和运行的情况。而对于“足够长的时间”，指引却没有给出具体的规范，注册会计师在测试控制时，对测试涵盖的时间范围的选取只能根据职业判断进行估计，选取时间范围的随意性较大。企业很可能利用在时间范围选择上的随意性，在审计基准日很短的时间前为应付审计故意粉饰内部控制系统，审计结束后又恢复原状，从而蒙混过关，获得无保留意见的审计报告。因此，笔者建议指引规定一个测试应涵盖的最短运行期间，保证企业的内部控制系统在特定基准日前一段时间的稳定性。

五、工作底稿的整理

由于指引允许企业聘请两家会计师事务所分别对其内部控制和财务报表进行审计，在内部控制审计工作底稿的形成方面，指引要求注册会计师对内部审计工作底稿单独归档，形成独立的工作底稿，内部控制审计工作底稿不与财务报表审计工作底稿合并。然而，由于财务报表审计与内部控制审计联系密切，单独进行审计的可行性不大。对内部控制审计的工作底稿单独归档容易打断两种审计之间的内在联系，使阅读底稿的人员难以把握注册会计师在整合审计中的整体思路，也给注册会计师整理工作底稿带来不便。相反，如果注册会计师将内部控制审计与财务报表审计的工作底稿合并成一套底稿，既能减轻整理工作底稿的工作量，又可以一目了然地呈现出审计中整合审计的思路和两种审计的良好衔接，提高工作底稿的信息质量。因此笔者建议指引禁止单独审计的同时，要求注册会计师将内部控制审计工作底稿嵌入财务报表审计工作底稿，制成一套工作底稿。

六、审计指引与基本规范及应用指引的配合

审计指引第十条要求注册会计师在审计过程中使用自上而下的方法。自上而下的方法要求注册会计师在实施审计过程中从财务报表层次开始，向下将重点推进到企业层次的控制上，最终将工作逐渐下移至重大账户、 列报及相关的认定等业务层次的控制上。由此可见，指引要求注册会计师在审计时采用纵向深入的审计思路。

然而，一方面，指引对“财务报表层次”、“企业层面”与“业务层面”内部控制中没有给出明确界定或列举，概念本身的抽象性使得实务中注册会计师与企业管理人员对三个层次内部控制的理解和界定具有很大的主观性。另一方面，我国企业应当按照《内部控制基本规范》（以下简称“基本规范”）和《企业内部控制应用指引》（以下简称“应用指引”）建立和实施包括财务报告内部控制在内的内部控制体系。基本规范大量借鉴COSO框架，将内部控制分为控制环境、风险评估、控制活动、信息和沟通、内部监督五个要素。已的应用指引基于内部控制原则和内部控制“五要素”，对企业建立内部控制系统做出指引，可以分为“内部环境类”、“控制活动类”、和“控制手段类”三类。无论是“五要素”还是“三类指引”均是对企业内部控制的横向解剖，基本规范和应用指南都是从横向、平面的角度指导内部控制的建立。基于横向思路建立起来的内部控制系统，加大了注册会计师理解各单个内控系统在整体内控系统中地位的难度，不便于注册会计师采用纵向审计思路对企业内部控制系统进行分类和选择需要测试的控制。因此基本规范、应用指南与审计指引的思路不一致带来横向建立内部控制与纵向评价审计内部控制的矛盾。

为解决上述两个问题，笔者认为，相关部门首先应当对“财务报表层次”、“企业层面”与“业务层面”三类内部控制给出明确统一的定义或者说明。其次要把现行的应用指引针对的内部控制系统按照“财务报表层次”、“企业层面”与“业务层面”三类内部控制分类汇总，这样既划分了“财务报表层次”、“企业层面”与“业务层面”内部控制的界限，避免了不同主体理解的分歧，又方便企业建立内部控制时兼顾横向和纵向两种思路，提高内部控制系统的设计水平，也提高注册会计师审计时运用自上而下的审计思路理解、测试三个层次内部控制的效率，从而降低审计风险。

［本文系中南财经政法大学基本科研业务费青年教师资助项目“后金融危机时代下的会计准则等效研究”阶段性研究成果］

参考文献：

［1］李明辉、张艳： 《上市公司内部控制审计若干问题之探讨

――兼论我国内部控制鉴证指引的制定》，《审计与经济研究》2010年第3期。

［2］刘玉廷：《全面提升企业经营管理水平的重要举措――解读〈企业内部控制配套指引〉》（节选）， 《中国总会计师》2010年第5期。

［3］杨志国：《关于〈企业内部控制审计指引〉制定和实施中的几个问题》，《中国注册会计师》2010年第9期。

［4］黄秋菊：《关于我国〈企业内部控制审计指引〉的几点思考》，《审计月刊》2010年第9期。

［5］张宜霞、舒惠好：《内部控制国际比较研究》，中国财政经济出版社2006年版。

［6］PCAOB．Auditing Standard No．5一An audit of internal control over financial reporting that is integrated with an audit of financial statements and related independence rule and con-forming amendments［S］．2007.