程 欣，張 忱

（河海大學(xué)商學(xué)院，211100)

0 前言

證監(jiān)會在2000年發(fā)布《公開發(fā)行證券公司信息披露編報規(guī)則》中，要求會計事務(wù)所對商業(yè)銀行進(jìn)行審計，并評價商業(yè)銀行內(nèi)部控制制度的合理性、完整性和有效性。2002年，《塞班斯-奧克斯利法案》的頒布要求要求企業(yè)的管理層對企業(yè)的內(nèi)部控制進(jìn)行評價并且要求注冊會計師對內(nèi)部控制進(jìn)行審計。我國財政部于2010年頒發(fā)《關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知》，明確要求上市公司以及非上市大中型企業(yè)聘請會計師事務(wù)所對財務(wù)報告內(nèi)部控制的有效性進(jìn)行審計并出具審計報告，同時也要求企業(yè)對內(nèi)部控制的有效性進(jìn)行自我評價，并披露自我評價報告。那么是否能構(gòu)架一個類似財務(wù)報表審計風(fēng)險模型的內(nèi)部控制審計風(fēng)險模型來對企業(yè)的內(nèi)部控制進(jìn)行評估呢？

1 內(nèi)部控制審計的定義

內(nèi)部控制是被審計單位的董事會、管理層和其他相關(guān)人員設(shè)計與執(zhí)行的政策及程序，來保證經(jīng)營的效率和效果、對法律法規(guī)的遵守以及合理保證財務(wù)報表的可信賴程度。內(nèi)部控制的目標(biāo)是為了獲取如下合理保證：1，經(jīng)濟(jì)有效地使用企業(yè)資源，以最優(yōu)方式實現(xiàn)企業(yè)的目標(biāo)，也就是經(jīng)營的效率和效果即；2，財務(wù)報表的可靠性，這一目標(biāo)與管理層履行財務(wù)報告編制責(zé)任有著密切的關(guān)系；3，在法律法規(guī)的框架下從事經(jīng)營活動，即遵守適用的法律法規(guī)的要求。在本文中只需要討論的與財務(wù)報表審計相關(guān)的內(nèi)部控制。

美國反欺詐財務(wù)報告委員會聯(lián)合美國注冊會計師協(xié)會和英國財務(wù)部管理事會一直認(rèn)為內(nèi)部控制是：“由企業(yè)的治理層、管理層和其他人員實施的，用來為財務(wù)報告的可信賴程度、經(jīng)營成效和效率、遵守法律法規(guī)三類目標(biāo)的實現(xiàn)提供合理保證的一個過程”。在我國，于2011年印發(fā)的《企業(yè)內(nèi)部控制審計指引》中明確表示，內(nèi)部審計應(yīng)該為：“企業(yè)委托注冊會計事務(wù)所，對特定日期內(nèi)部控制設(shè)計與運(yùn)行的有效程度進(jìn)行審計”。內(nèi)部控制的審計是對控制過程的審計，而認(rèn)定層次的財務(wù)報表的審計風(fēng)險是對結(jié)果的審計。同時，對內(nèi)部控制的審計意見也不是依賴于分析性程序和實質(zhì)性測試。

同時，發(fā)現(xiàn)財務(wù)報表的重大錯報并不是內(nèi)部控制審計目標(biāo)。美國注冊會計師協(xié)會(AICPA)和美國公眾公司會計監(jiān)督委員會(PCAOB)分別發(fā)布的審計準(zhǔn)則第15號（SSAE No.15）和第5號（AS No.5），兩個準(zhǔn)則均認(rèn)為：注冊會計師審計內(nèi)部控制的目標(biāo)是對內(nèi)部控制有效程度發(fā)表意見。在企業(yè)的內(nèi)部控制出現(xiàn)一個或多個缺陷（weakness），并且缺陷為嚴(yán)重的情況下，企業(yè)的內(nèi)部控制就被當(dāng)做無效。因此，注冊會計師需要計劃和執(zhí)行檢查，以獲得充分恰當(dāng)?shù)淖C據(jù)，來形成表達(dá)一個意見的基礎(chǔ)，并取得關(guān)于管理層認(rèn)定表述的特定日期是否存在嚴(yán)重缺陷的合理保證。

2011年注冊會計師協(xié)會頒布的《內(nèi)部控制審計指引》第四條明確指出：會計師事務(wù)所執(zhí)行內(nèi)部控制審計工作，應(yīng)當(dāng)獲取充分、適當(dāng)?shù)淖C據(jù)，為內(nèi)部控制審計意見提供合理保證。在會計師事務(wù)所對內(nèi)部控制有效程度發(fā)表審計意見的同時，會計事務(wù)所需要對在審計過程中發(fā)現(xiàn)的無關(guān)財務(wù)報告內(nèi)部控制的缺陷在內(nèi)部控制報告增加的“非財務(wù)報告內(nèi)部控制重大缺陷描述段”進(jìn)行披露。因此，獲得充分、恰當(dāng)?shù)淖C據(jù)來判斷內(nèi)部控制設(shè)計、執(zhí)行或運(yùn)行有效性是否存在嚴(yán)重或重大缺陷，來為內(nèi)部控制有效性出具鑒證意見是注冊會計師在內(nèi)部控制審計中的目標(biāo)。所以在包括內(nèi)部控制審計和財務(wù)報表審計的整合審計中，注冊會計師需要利用的內(nèi)部控制風(fēng)險模型和財務(wù)報表審計風(fēng)險模型不光在業(yè)務(wù)上，在目標(biāo)上也有著顯著的不同。本文試圖為企業(yè)內(nèi)部內(nèi)部控制風(fēng)險建立一個模型。

2 什么是內(nèi)部控制的審計風(fēng)險

類比于財務(wù)報表審計風(fēng)險，內(nèi)部控制的審計風(fēng)險可以定義為“會計師事務(wù)所在企業(yè)的內(nèi)部控制后有明顯的缺陷時，對企業(yè)內(nèi)部控制發(fā)表不恰當(dāng)?shù)膶徲嬕庖姷目赡苄浴薄?nèi)部控制的嚴(yán)重缺陷，主要原因是由于以下兩方面，首先，設(shè)計和實施內(nèi)部控制存在嚴(yán)重缺陷，二是在充分的設(shè)計和實施內(nèi)部控制的前提下，內(nèi)部控制的有效性是存在嚴(yán)重有缺陷。注冊會計師需要考慮控制無論是在單獨(dú)使用還是與其他其他控制一起使用的情況下，評價控制的設(shè)計是否合理，是否能有效地防止和糾正重大錯報。某項控制存在于被審計單位且被審計單位正在使用是評價控制是否得到執(zhí)行的標(biāo)準(zhǔn)。注冊會計師的目標(biāo)就是獲知關(guān)于企業(yè)的內(nèi)部控制系統(tǒng)是否存在嚴(yán)重缺陷。

可以從以下幾方面獲取審計證據(jù)來發(fā)現(xiàn)設(shè)計和運(yùn)行中是否存在的重大缺陷：1，觀察特定控制的應(yīng)用；2，檢查文件、報告和記錄；3，對審計單位人員進(jìn)行詢問；4，追蹤交易在財務(wù)報告信息系統(tǒng)中的處理過程。

如果注冊會計師認(rèn)為被審計單位控制設(shè)計合理并得到執(zhí)行，那么注冊會計師應(yīng)對這些控制在控制執(zhí)行期間內(nèi)是否得到一貫執(zhí)行進(jìn)行測試。即需要通過控制測試確定企業(yè)內(nèi)部控制運(yùn)行的有效程度，也就是所實施的內(nèi)部控制是否能夠有效防止或發(fā)現(xiàn)并糾正重大錯報風(fēng)險。注冊會計師應(yīng)該從以下三方面獲取審計證據(jù)來發(fā)現(xiàn)有效性是否存在重大缺陷：1，控制由誰執(zhí)行，以何種方式；2，在所審計期間的相關(guān)時間點(diǎn)控制是怎樣運(yùn)行的；3，控制的執(zhí)行是否是一貫的。

3 內(nèi)部控制的審計風(fēng)險模型

根據(jù)上述分析，一個或數(shù)個重大缺陷可能出現(xiàn)的情況有：（1）由于固有錯報的存在，內(nèi)部控制沒有能夠合理設(shè)計；（2）內(nèi)部控制的執(zhí)行不夠充分；（3）在內(nèi)部控制被充分設(shè)計和執(zhí)行的情況下，內(nèi)部控制沒有能夠有效運(yùn)作。那么注冊會計師對內(nèi)部控制發(fā)表不恰當(dāng)審計意見的風(fēng)險（Internal Control Audit Risk, ICAR）就應(yīng)當(dāng)與下列風(fēng)險有關(guān)：

1）控制設(shè)計和執(zhí)行風(fēng)險（CDER, Control Design and Execution Risk），CDER指的是注冊會計師對內(nèi)部控制沒有被充分設(shè)計或執(zhí)行的可能性分析。注冊會計師在判斷控制的充分性時，需考慮在內(nèi)控?zé)o效或者沒有執(zhí)行內(nèi)控時，財務(wù)報表認(rèn)定層出現(xiàn)差錯的概率。隨著固有風(fēng)險的降低，對控制的需求也將變?nèi)酰幌鄳?yīng)的隨著固有風(fēng)險的增加，企業(yè)越需要內(nèi)控來防止、發(fā)現(xiàn)以及改正錯報。。設(shè)計和執(zhí)行的充分程度與ICAR的高低成反比。

2）固有風(fēng)險（IR, Intrinsic Risk），即注冊會計師對“固有風(fēng)險是指在不考慮內(nèi)部控制結(jié)構(gòu)的前提下，由于內(nèi)部因素和客觀環(huán)境的影響，一個審計認(rèn)定單獨(dú)或連同其它相關(guān)認(rèn)定發(fā)生重大錯報的可能性分析。固有風(fēng)險即存在于報表層，如控制環(huán)境，也可能存在于認(rèn)定層，例如單個賬戶余額或項目等。如果固有錯報越重大，則ICAR則越大；如果固有錯報較低，則ICAR則較小。

3）有效性風(fēng)險（ER, Effectiveness Risk），在設(shè)計和執(zhí)行充分的條件下，內(nèi)部控制在一定期間內(nèi)的執(zhí)行程度不足導(dǎo)致的難以防止和更正重大錯報的風(fēng)險的分析。在ICAR一定的條件下注冊會計師根據(jù)IR和CDER的程度來確定ER風(fēng)險高低，進(jìn)而確定控制測試的強(qiáng)度。這與審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險中的檢查風(fēng)險相似。

由此可以確定內(nèi)部控制審計模型：

ICAR＝IR×CDER×ER

需要指出的是，控制測試是注冊會計師認(rèn)為內(nèi)部控制已經(jīng)被充分設(shè)計和執(zhí)行的前提下實施。如果認(rèn)為企業(yè)的內(nèi)部控制沒有被充分地設(shè)計和執(zhí)行，注冊會計師需評估這一控制缺陷是否能夠構(gòu)成嚴(yán)重缺陷。

4 審計模型在整合審計中的應(yīng)用

在注冊會計師協(xié)會頒布的《內(nèi)部控制審計指引》中第五條規(guī)定，審計師既可以單獨(dú)進(jìn)行內(nèi)部控制審計，也可以將內(nèi)部控制與財務(wù)報表進(jìn)行整合審計。這說明內(nèi)部控制審計業(yè)務(wù)和財務(wù)報表審計業(yè)務(wù)和目標(biāo)都不相同，但是內(nèi)部審計和財務(wù)報表審計這兩種業(yè)務(wù)可以整合在一起進(jìn)行。

注冊會計師在整合審計中先后使用內(nèi)部控制風(fēng)險和財務(wù)報表審計風(fēng)險兩個模型來確定審計風(fēng)險。第一步，注冊會計師用內(nèi)部控制審計風(fēng)險模型測試控制的有效性。第二步，注冊會計師在基于財務(wù)報表審計模型的基礎(chǔ)上判斷實質(zhì)性測試的有效性。因為有效的內(nèi)部控制可以有效地防止、發(fā)現(xiàn)和更正財務(wù)報表的重大錯報，減少固有風(fēng)險，所以如果在內(nèi)部控制測試后發(fā)現(xiàn)內(nèi)部控制存在嚴(yán)重缺陷的風(fēng)險低于重要性水平，那么財務(wù)報表層次蹲在重大的可能性也相應(yīng)較低。又如果注冊會計師認(rèn)為重大錯報風(fēng)險并非較低，則預(yù)期將發(fā)現(xiàn)嚴(yán)重缺陷，注冊會計師應(yīng)當(dāng)收集足夠的證據(jù)，并以內(nèi)部控制審計風(fēng)險模型作為判斷的依據(jù)，對內(nèi)部控制的有效性發(fā)表鑒證意見。

5 結(jié)論

內(nèi)部控制審計準(zhǔn)則應(yīng)該在以下幾個方面予以改進(jìn)：（1）財務(wù)報表審計的風(fēng)險模型和內(nèi)部控制的審計風(fēng)險模型有明顯不同，前者只是針對于財務(wù)報表審計，而不適用于針對內(nèi)部控制的審計；（2）在制定審計準(zhǔn)則時明確所討論的是哪一種風(fēng)險，例如是內(nèi)部控制的嚴(yán)重缺陷風(fēng)險或者財務(wù)報表認(rèn)定層的重大錯報風(fēng)險，并貫徹一致性地運(yùn)用。

[1]財政部會計司.2010.企業(yè)內(nèi)部控制規(guī)范講解[M].北京：經(jīng)濟(jì)科學(xué)出版社，第一版.

[2]Ettedge，M.，C.Li，and L.Sun.2006.The Impact of Internal Control Quality on Audit Delay in the SOX Era[J].Auditing：A Journal of Practice and Theory 25：1-24.

[3]Abraham D. Akresh.A Risk Model to Opine on Internal Control［J].Accounting Horizons，2010.