浅谈内部控制鉴证业务的几个争议问题

【摘要】随着我国资本市场的发展，企业经营环境和业务日趋复杂，内部控制作为影响企业经营效率和效果的重要方面，越来越受到关注。同时，关于内部控制鉴证业务的几个概念仍存在一些争议。本文通过对内控鉴证是合理保证业务还是有限保证业务，是直接报告业务还是基于责任方认定的业务，以及内部控制审计和财务报表审计的关系等一系列问题的说明，将有助于我们更加清晰地了解《企业内部控制审计指引》，同时对完善我国内部控制鉴证工作有着十分重要的意义。

【关键词】内部控制鉴证；财务报表审计；供求关系

近年来，随着我国资本市场的发展，企业规模和业务日趋复杂，相关利益各方更加关注企业经营和盈利状况，内部控制作为企业经营效率和效果的有力保证也越来越受到关注，对企业内部控制鉴证也提出了更高的要求。为了促进我国资本市场的发展，近年来，国家相关部门制定了一系列相应的法律法规来规范企业内控鉴证业务。但是，已经的指引、公告中对内控鉴证的一些概念问题仍然界定不清，主要包括：内控鉴证是合理保证业务还是有限保证业务；内控鉴证是基于责任方认定的业务还是直接报告业务。而这些争论的问题关系到内控鉴证制度能否达到预期的效率和效果。同时，内部控制审计与财务报表审计的关系也是一直受到关注的问题。2010年4月26日，财政部会同证监会，审计署，银监会和保监会共同了《企业内部控制审计指引》。该指引是在已经的指引、公告的基础上，对尚处于模糊，理论界和实务界仍存在争议的一些问题进行了重新界定，对注册会计师在实务操作中提出了更加详细、严格的要求。《企业内部控制审计指引》的实施对于推动企业内部控制建设，拓展注册会计师的业务范围，以及促进资本市场的健康发展都具有十分重要的现实意义。

一、内部控制鉴证问题的定位分析

1．内部控制鉴证业务应为合理保证业务。内部控制鉴证应该确定为何种保证程度的业务一直存在着两种争议。一些学者认为我国现阶段应将内控鉴证确定为有限保证业务，即内部控制审核。他们认为，和西方成熟的资本市场，完善的内部控制制度相比，我国资本市场还只是处于发展阶段，对内控的鉴证程序、方法等还不成熟，难以收集到合适的证据。因此，只能提供有限保证。同时，如果将内控鉴证定位为合理保证业务，需要注册会计师收集更多的证据，实施更复杂的审计程序。这样不仅导致成本增加，而且也可能超过注册会计师的能力范围。有些学者认为应将内控鉴证定位为合理保证业务。他们指出，从内控鉴证的需求方预期使用者考虑，他们需要注册会计师对内控鉴证提供一个较高质量的保证，因此，内控鉴证应定位为合理保证业务。同时，准则规定，财务报表审计是提供合理保证，内部控制作为财务报表审计中的必要审计程序，如果将其定位为有限保证，可能会对财务报表审计的合法性和公允性产生不利影响。除此之外，美国、日本等国家已经将内控鉴证定位为合理保证业务。这些国家的内控发展比我国成熟，其内控鉴证由有限保证发展为合理保证，是理论和实践检验的结果。我国也应该顺应这种发展趋势。从内控鉴证报告的供求双方考虑，应将其确定为合理保证业务。对需求方预期使用者而言，由于内部控制设计和运行的有效性直接关系到企业经营的效率和效果。投资者为了避免经济损失，需要注册会计师为企业内部控制的有效性进行鉴证，并提供合理保证。对供给方而言，注册会计师进行财务报表审计时，已经收集了大量的审计证据，他们已经具备为内部控制提供更高水平保证的能力。同时，由于内部控制审计和财务报表审计两者之间在最终目标，业务类型上也有相同性，内控审计可以利用财务报表审计的成果。这样注册会计师在提供高水平保证的同时也可以节约审计资源，降低成本。因此，将内控鉴证确定为合理保证业务有利于预期使用者、注册会计师各方。目前，我国的《企业内部控制审计指引》第四条规定，“注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证”也支持了笔者的观点：应将内控鉴证确定为合理保证业务。

2．内部控制鉴证应为直接报告业务。按照提出结论的对象不同，内控鉴证业务有两种不同的选择：基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中，注册会计师对管理层内部控制评价报告进行审计，其责任在于确定管理层内控评价报告的恰当性，关注的重点是内控评价报告是否符合要求。而在直接报告业务中，注册会计师直接对企业内部控制进行审计并对内部控制的有效性发表意见，其责任在于确定内部控制是否有效，关注的重点是内部控制设计与运行的有效性。一些学者认为应将内控鉴证定位为基于责任方认定的业务，他们指出，内部控制最初目标就是为了加强预期使用者对基于责任方内控认定的信任程度，从而要求注册会计师对其责任方认定发表意见，本质上，这就是基于责任方认定的业务。同时，如果将内控鉴证定位为直接报告业务，将不利于管理层了解和管理、规范企业的内部控制，预期使用者也无法了解管理层对内控的态度。有些学者认为应将内控鉴证定位为直接报告业务。其理由是，在直接报告业务中，注册会计师不仅仅局限于了解管理层对内部控制评价报告中的内容，而且能够了解企业内部控制中的其他问题。而这些问题有时是影响内部控制设计和运行有效性的关键因素。将内部控制鉴证定位为直接报告业务更为合适。内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部控制。在直接报告业务中，审计意见的类型直接取决于内部控制的有效性。这与目的正好相符。而在基于责任方认定的业务中，注册会计师是对基于管理层的内控评价报告进行审计并提出意见，如果被审计单位的内部控制存在缺陷而管理层在内控评价报告中已经作出披露，注册会计师仍可以出具无保留意见的审计报告。只有当被审计单位内部控制存在缺陷而管理层未发现或未作出适当披露，注册会计师才能出具其他意见的审计报告。因此，这将可能误导预期使用者对企业内部控制有效性的理解。《企业内部控制审计指引》第二条规定，“本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。”此规定正好说明了是对内部控制设计与运行的有效性发表审计意见，即直接报告业务。

二、内部控制审计与财务报表审计的关系

从近年来的一系列关于内控鉴证业务的规定中可以看出，对内控鉴证业务的规定越来越趋向于财务报表审计的规定。这说明对内控鉴证业务要求越来越高。虽然两者审计对象不同，各自发表独立的审计意见。但是，通过对财务报表审计与内部控制审计的比较可以看出，两者审计的最终目的相同，都是为外部信息使用者提供高质量的审计信息。同时，审计程序也有相同之处。因此，两者可以相互利用其工作成果。这就意味着，内部控制审计和财务报表审计可以进行整合。在保证审计质量，提高审计效率的同时，节约审计资源和降低成本。基于以上理由，《内部控制审计指引》第五条规定，“注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行。”

随着我国资本市场的发展，内部控制在企业发展中将起到越来越重要的作用。因此，企业利益各方对内部控制的要求越来越高。五部委联合的《企业内部控制审计指引》中对一些争议概念的清晰界定，将有助于注册会计师更加规范、高质量地完成内部控制鉴证业务。同时，该指引的对于推动我国内部控制建设，发展注册会计师业务的理论创新具有十分重要的现实意义。

参考文献

[1]财政部等五部委．企业内部控制规范[J]．北京：中国财政经济出版社，2010

[2]中国注册会计师协会．审计[J]．北京：经济科学出版社，2011

[3]刘明辉．内部控制鉴证：争论与选择[J]．会计研究．2010（9）

[4]孙文刚．内部控制鉴证的对象与内容兼评《企业内部控制指引（征求意见稿）》[J]．会计之友．2009（9）

[5]段敏．内部控制鉴证业务的定位分析[J]．审计月刊．2010（12）

[6]谢晓燕，张心灵，陈秀芳．我国企业内部控制审计的现实选择――基于内部控制审计与财务报表审计关联的分析[J].财会通讯．2009（3）