武玲玲　杨良

[提要] 内部控制制度作为企业的一项重要制度安排，在提升企业管理水平，预防财务舞弊和确保财务信息真实可靠方面发挥着重要作用。本文通过对比美日关于内部控制审计准则的相关规定，对我国内部控制审计准则规定中的一些问题进行探讨，以期对相关制度的调整和完善提供参考。

关键词：内部控制；内部控制审计；整合审计

中图分类号：F239 文献标识码：A

收录日期：2016年11月1日

一、引言

2002年美国接连爆发的安然、世通财务舞弊事件，震惊了世界，一时间举事哗然，且极大地打击了独立第三方力量的公信力和投资者对于上市公司对外公布的经审计的财务报表的信心。迫于各方的压力，同年7月份，美国国会颁布了“萨班斯-奥克斯利法案”（即SOX法案）。其中的301和404条款格外引人注目，这两项条款都对公司的内部控制提出了新的要求。SOX301条款规定上市公司必须在企业的内控系统中引入审计委员会制度，而且为了保证其独立和无偏性，对审计委员会成员的任职资格也做出了相应的限制，必须为独立董事。审计委员会负责外部审计师的聘任，并且在审计过程中遇到的一些重大的会计事项也需要及时向审计委员会报告。SOX404条款规定上市公司的管理层每年要对公司内部控制的有效性进行评价，出具自评报告，并要求负责公司财务报告审计的事务所对管理层的评价进行鉴证并出具报告。随后，美国又出台了一系列关于实施内部控制审计具体操作规范方面的规定，内部控制审计由此逐渐进入人们的视野，并引发了理论和实务界广泛热烈的探讨。

与美国相比，我国的内部控制审计制度起步较晚。2008年6月28日，财政部会同银监会、保监会、证监会、审计署制定并印发《企业内部控制基本规范》；2010年4月26日，财政部、证监会、审计署、银监会及保监会联合发布了《企业内部控制配套指引》，其中包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。基本规范、应用指引、评价指引和审计指引三个类别构成了一个相辅相成的整体，标识着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。但内部控制审计相较于财务报表审计而言还是一个新兴的行业，仍有许多理论和实务问题需要探讨解决，本文将对我国内部控制审计有关的几个问题进行探讨。

二、内部控制审计业务类型的判断

2010年财政部等五部委联合发布的配套指引系列之《企业内部控制审计指引》中指出：要求注册会计师对特定基准日的内部控制设计和运行的有效性进行审计。此规定并没有确切的指出内部控制审计的业务类型，注册会计师在实施内部控制审计的时候仍然有不统一和理解上的歧义。即第一种情况注册会计师直接对被审计单位内部控制有效性进行评价，然后出具审计报告；第二种情况注册会计师依据管理层出具的内部控制自我评价报告，对管理层的自评报告进行审计，判断管理层自评报告的真实可靠和有效性，是否符合企业实际情况，并出具审计报告。虽然在这两种情况下，注册会计师都要对被审计单位的内部控制有效性进行评价，都有助于提高被审计单位内部控制的效率，但是在具体审计过程中，从审计计划的制定到审计程序的执行，乃至审计报告的出具方式，都有着很大的区别。比如在出具审计报告的意见类型上，如果是第一种情况，只有注册会计师对被审计单位的内部控制进行审计，通过执行必要的审计程序，发现被审计内部控制存在且运行有效，才能为被审计单位出具无保留意见的审计报告，其他情况下都不得出具此种意见类型；而在第二种情况下，注册会计师是对管理层出具的自评报告进行评价，判断管理层出具的自评报告与企业内部控制实际情况的相符程度，只要管理层自评报告中叙述的内容与企业内控实际情况相符，那注册会计师应该为被审计单位的内部控制出具标准无保留意见的审计报告，即在第二种情况下，注册会计师是对管理层发表的关于企业内部控制有效性意见进行审计，即使被审计单位内控无效，但是管理层已经在自评报告中做出了如实的陈述，那注册会计师依然要发表标准无保留意见。在这种情况下，由于没有对内部控制审计业务的类型做出具体的界定，内控审计标准不统一，不同企业对外公布的经审计的内部控制审计报告就没有可比性，自然会对内控审计报告的使用者造成误解，不利于使用者做出决策。

对比美国和日本在这一方面的规定，我们发现，日本在这一方面的界定比较明确，日本的企业会计审议会在2007年发布的《财务报告内部控制评价与审计准则》中强调注册会计师是对管理层出具的自评报告进行审计，即对管理层的认定进行再认定，但无需对全部内部控制的有效与否发表意见。日本采用这种做法的理由也非常简单，主要是为了节约审计的成本，减轻注册会计师和企业的负担。美国2002年出台的萨班斯法案中的404条款规定：注册会计师是对管理层做出的自评报告进行评价并出具审计报告。而美国的PCAOB根据SOX法要求发布了AS2审计准则，其中指出审计的目标是注册会计师对管理者的评价进行验证，对企业内部控制的有效性直接发表意见。

笔者更倾向于采用“内部控制审计是对管理层的评价进行验证和评价的过程”这种观点，即第二种情况。原因如下：（1）国际趋同。随着经济全球进程的加速，世界经济越来紧密的联系在一起，越来越多的国内企业走出去，越来越多的国外企业走进来，跨国集团公司之间经济交往越来越密切，为了方便跨国集团不同子公司之间的交流，我们的会计准则在逐步的与国际接轨，基本实现国际趋同，而我们的内部控制审计也应该朝这个方向努力；（2）强调设计执行和维护必要的内部控制是管理层的责任。注册会计师如果直接对企业内部控制的有效性进行审计，容易给报表使用者造成误解，认为注册会计师应该对企业内部控制的有效性负责而不是管理层；（3）如果内部控制审计准则要求注册会计师直接对被审计单位内部控制设计和运行的有效性发表意见，那要求管理层发布内部控制自我评价报告的意义何在？是否会显得有点多余？

三、内部控制审计与财务报表审计的关系

内部控制审计是否应该和财务报表审计放到一起进行呢？即是否进行整合审计。我国在2008年发布的《内部控制基本规范》中规定：可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。因此在我国并没有强制要求上市公司实施整合审计，上市公司既可以单独聘请会计师事务所进行内部控制审计，也可以由同一会计师事务所将内部控制审计和财务报表审计整合在一起实施审计。而在美国，萨班斯法案的404条款、PCAOB发布的审计准则都要求公司要实施整合审计。在日本，由日本的企业会计审议会在2007年发布的《财务报告内部控制评价与审计准则》中不但要求企业实施整合审计，且规定两种审计由同一会计师完成以节约审计成本。

针对此问题，笔者支持上市公司实施整合审计。原因如下：（1）两种审计证据共用，节约审计成本，提高审计效率。目前我们国家执行的是风险导向审计，注册会计师在审计前都要了解被审计单位及其环境，评估重大错报风险。换言之，注册会计师在审计前都要对企业内部控制设计的合理性和执行的有效性获取审计证据。获取的审计证据可以同时服务于内控审计和财务报表审计，因此减少了审计程序的重复，节约了审计成本，进而也会减轻注册会计师和被审计单位的负担；（2）两种审计信息共享，相互促进，提升审计的质量。首先，内部控制审计过程中主要对企业内部控制的有效性进行评价，在实施内部控制审计的过程中，会对企业内部控制系统的薄弱环节和风险点有更深层次的了解。而这些相关信息都可以共享到财务报表审计当中，众所周知，风险评估是财务报表审计的重要组成部分，共享的关于内控有效性的信息提高了风险评估的可靠性。因此，更有利于注册会计师根据风险评估的结果设计和执行进一步审计程序，提高审计的质量，将审计风险降低至可接受的低水平；其次，注册会计师在对财务报表实施审计程序的过程，也是对被审计单位的环境和认识的修正过程，通过财务报表审计程序的具体实施，对被审计单位具体业务的了解，可能会发现之前对被审计单位内部控制认识的偏差之处，找出新的企业内控方面的漏洞，这些信息又会反馈到内部控制审计当中，有助于实现内部控制审计的目标，提高内部控制审计的质量。

四、静态审计与动态审计

审计是一种检查和监督活动，具体审查的对象不同，其方法和采用的程序也有差别。财务报表审计是对已经发生过的经济业务进行审计，通过对经济业务发生后留下的轨迹资料如账簿凭证的审查，来证实企业经济业务的公允和合法性。显然财务报表审计是一种静态的审计，在静态审计下，审计的对象所反映的内容是不变的。内部控制审计与财务报表审计的不同，差别主要由企业的内部控制本身的特点造成。企业的内部控制是许多过程的集合，审计的目的是证明其是否设计上合理且被审计单位一贯执行。这样就带来一个问题，注册会计审计的对象是某一特定时点的内部控制有效性审计呢？还是对某一期间的内部控制有效性审计？时点审计和时期审计显然在审计范围和审计程序的设计上是不同的。时点审计的范围较时期审计小，相对应实施的审计程序更少些，审计成本相对低些。

我国在《企业内部控制基本规范》中的规定：企业应当结合内部监督情况，定期对内部控制有效性进行自我评价，出具内部控制自我评价报告。此规定中并没有明确指出评价是特定日期的内部控制还是特定期间的内部控制。对此学术界争论的声音很多。有学者认为内部控制是一个连续动态的系统，单单用某一时间点的内部控制的有效来代表企业整个会计年度的有效性是否不太妥当？但是，也有其他的观点认为对企业整个会计年度的内部控制进行审计成本是否太高？而且企业内部控制有效性、财务报告信息的真实可靠性的提高，最终依靠的还是企业管理层的努力，不可过分的依赖外部审计师的审计。两种观点各有各的道理，如果注册会计师对特定时点的企业内部控制进行审计，审计的范围可能小些，审计成本相对低一些，但是内部控制在某一时点有效并不等同于内部控制一贯有效，而对整个会计年度的内部控制进行审计成本又太高，不符合成本效益的原则。或者制度的规定可以在这个方面做一下折中处理，像某些学者提出的观点那样：规定内部控制审计涵盖一个期间但是强调资产负债表日。或许这样的做法更合理一些。

五、总结

理论和实践的经验都表明，企业的内部控制制度在提升企业的管理水平，预防财务舞弊和确保财务信息真实可靠方面发挥着重要的作用。但是再好的制度，如果没有任何的监督和约束，也无法发挥预想的作用。通过注册会计师这一独立的第三方力量，来对企业的内部控制制度运行效果进行监督检查，已经成为全世界的共识。我国也相继出台发布了一些规定，但是如上文所列，在这些规定当中，还有许多需要完善和进一步提升探讨的地方。希望通过制度的不断完善，消除误解，统一标准，提高效率和制度的可操作性，让内部控制审计制度真正成为企业运行过程中的“交通警察”。提高财务报表审计的质量，保护投资人利益，维护市场正常秩序。

主要参考文献：

[1]郑伟，朱晓梅，季雨.整合审计下内部控制审计水平与财务重述[J].审计研究，2015.6.

[2]张影.日本内部控制审计及其对中国的启示[J].上海立信会计学院学报，2010.4.

[3]张宜霞.财务报告内部控制审计收费的影响因素研究[J].会计研究，2011.12.

[4]张龙平，陈作习，宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究，2009.2.