关鉴航

[摘要]随着内部控制的逐渐完善，现代审计对内部控制的重视和信赖程度也将越来越高。在现代审计实践中，由于内部控制系统固有的局限性，使注册会计师审计对内部控制的依赖产生一定的风险。为了能够在审计过程中更好地利用内部控制，就要提高内部控制的有效性，逐渐完善内部控制制度，使审计风险降至最低。

[关键词]现代审计；内部控制；审计风险

[中图分类号]F239[文献标识码]A[文章编号]1004－9339(2010)01－0053－05

现代审计是以研究和评价内部控制为基础的审计，内部控制评价的结果被广泛应用于现代审计当中，是现代审计依赖的基础，这已成为现代审计的重要特征。研究现代审计对内部控制的信赖性，特别是对内部控制的有效利用，对完善审计内容、改进审计手段、提高审计质量、减少审计风险具有重要的意义。

一、内部控制的发展及对审计的影响

内部控制经历了较长时期的发展，其发展历程大致包括内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段、风险管理阶段五个阶段。内部控制发展过程的每一次完善和拓展都对审计产生了重大的影响，但影响的程度各不相同。

(一)内部牵制阶段

内部控制系统的最初形式是内部牵制系统，即一个人不能完全独立地支配和控制账户，每一位职员的业务必须是相互弥补、相互控制的关系。其目的是防止单位内部的错误和舞弊，保证其财产安全和运转的有效性。

在这一时期，由于企业规模较小，组织结构简单，业务量少且性质单一，获取审计证据的方法比较简单，详细审计是可行的。审计人员的主要工作就是对会计账簿、凭证及其有关资料进行详细审查，促使受托责任人在授权经营过程中做出诚实、可靠的行为，审计以账项基础审计为主，审计重心在资产负债表。由于在这一阶段审计主要依赖财务报表，内部控制没有与审计实践相结合，注册会计师审计基本不依赖内部控制。

(二)内部控制制度阶段

20世纪中叶，内部控制的发展进入到内部控制制度阶段。此阶段的内部控制区分为会计控制和管理控制两类，主要通过形成和推行一整套内部控制制度来实施控制。在这个阶段，西方民间审计进人现代审计阶段，很多国家形成了独立的审计准则，同时形成了规范化审计工作程序。审计模式也由账项基础审计发展到制度基础审计，即注册会计师根据对客户内部控制制度的研究、评价，确定实质性测试的性质、时间和范围，收集审计证据，形成审计意见。虽然审计实践刚刚开始真正与内部控制结合，但是制度基础审计就已经应运而生了，但只限于会计控制审计，对管理控制审计无法涉及，审计方法从初步的抽样审计发展为以测试内部控制为基础的抽样审计。内部控制开始对审计有了一定的辅助作用。

(三)内部控制结构阶段

此阶段把控制环境和会计制度、控制程序一同并列为内部控制的三要素，并且不再区分会计控制和管理控制。在此阶段，要求独立审计人员在进行内部控制评价时，不仅要评价会计系统和控制系统，而且要评价控制环境。

在此阶段，制度基础审计的弱点逐渐显示出来，即审计人员的注意力过分集中于被审计单位的具体内部控制制度上，并且过多依赖于对内部控制的测试，而忽视了如组织所处的内外部环境、管理当局所受到的压力等产生审计风险的其他环节。而在此时不断出现的审计诉讼也对审计人员提出了更高的要求——需要从多种渠道收集审计证据，为发表审计意见提供依据，降低审计风险。正是在这样的社会、经济环境背景下，审计界在内部控制结构概念的基础上提出并发展了风险基础审计模式，以满足社会公众的需要，并且使审计人员在审计中能够主动控制审计风险，提高审计工作的效率。风险基础体现的审计思路，是以项目的审计风险为质量控制依据，首先要研究理解企业经营及所从事的经济活动、企业的内部控制及其运行状况，然后通过对有关数据、信息的分析和检查，由概括到具体，由表及里地认识财务报表披露的信息与企业实际情况的关系，确定会计准则的遵循状况，审计全过程所收集到的证据、信息，以保证审计意见的合理与准确。

(四)内部控制整体框架阶段

20世纪80年代，内部控制进入内部控制整体框架阶段。在此阶段，内部控制有三项目标和五大要素。三项目标是：财务报告的可靠性、经营的有效性和效率性以及遵守适应法律法规；五大要素即控制环境、风险评估、控制活动、信息与沟通和监控。此阶段的内部控制成为普遍认可、最全面的内部控制概念。

在这一阶段，审计人员将内部控制五要素纳入审计范围，通过对环境和风险的分析、评价，综合运用各种审计技术，搜集审计证据，形成审计意见。注册会计师审计得到了前所未有的快速发展和完善，审计证据也更具有说服力。内部控制成为现代审计的测试内容，而不是仅仅作为评价审计风险和确认实质性测试的时间、性质、范围的参照手段。内部控制成为审计的基础，审计对内部控制的依赖进一步加强。

(五)风险管理阶段

内部控制整体框架的提出对独立审计人员的审计范围和审计方法做了明确规定，特别是强调和关注审计风险，表明以风险为导向的审计方法是审计发展的必然趋势，审计从最初的账表审计发展到现在的风险导向审计。

现代风险导向审计模式强调企业是整个社会经济生活的一个部分，其所处的经济环境、行业状况、经营目标、战略和风险都将会对会计报表产生重大影响。审计风险主要来源于企业会计报表的错报风险，而错报风险又主要来源于整个企业的战略管理风险和经营活动风险。所以，要充分理解审计风险，审计人员必须从企业的战略分析人手，充分识别企业内外部风险，理解内外部风险对于会计报表认定的影响，把内部控制的分析对象扩大到整个企业的风险管理范围内再实施相应的审计程序。

由于审计人员是在对每个审计项目进行内部控制的了解，或在必要的情况下进行内部控制测试的基础上对会计报表发表审计意见的，因此，能促使被审计单位遵循相关的内部控制规范，及时发现内部控制中存在的问题，并促使被审计单位改进，这些都进一步促进了内部控制在企业中的应用与发展。与此同时，完善的内部控制也为注册会计师的审计提供方便，审计和内部控制可以相互促进发展。

二、内部控制与现代审计的关系

现代审计与传统审计的根本区别就在于，它是以对内部控制的了解和评价为基础来确定对账表余额测试的范围和程度的。因此，现代审计与内部控制有着密不可分的联系。

(一)内部控制是现代审计的评审对象

内部控制的主要目的在于纠错防弊，保证财务报告的可靠性，这与审计的目标不谋而合。在长期的审计实践中，人们逐渐发现，企业资产的安全与否，会计资料的正确与否，同企业的会计制度和内部控制制度系统有着密切的关系；如果企业内部控制制度系统较为健全、有效，则资产、会计资料出现错弊的可能性就大大减少，审计工作因而易于进行，审计风险也较小。因此，审计人员开始将注意力转移到会计制度和内

部控制制度系统的可信性方面。

在现代审计业务中，审计人员不论是在审计工作开始准备的阶段，还是在审计工作深入展开的阶段，都必须把内部控制制度的检查放在重要的地位，通过对内部控制的评价确定审计程序，从而提高审计的效率和效果。审计人员通常先对被审计单位的内部控制制度做一番全面的了解，然后才能确定审计工作的范围，明确审计工作的重点。把失去控制和控制薄弱的业务系统或控制环节列入审计范围，把失控点和控制弱点以及与此有关的业务及资料列入审计重点。审计范围和审计重点确定后，审计人员就可以根据审计方案的要求以及必审项目及业务环节的实际情况，确定采用适当的审计技术和方法。对于列人审计重点和范围的项目，一般采用详细审计方法，或者在采用抽样审计方法时，选择较大规模的样本；如果内部控制比较健全，未被列入重点审计的范围，就可以采用抽样审计的方法。由此可见，内部控制制度评价既是对经济活动进行组织、制约和考核的工具，也是审计人员用来确定审计程序的主要依据。

(二)内部控制推动审计方法的不断变革

现代审计工作是在有限的时间和合理的成本条件下进行的，并且，审计主体对审计结论负有相应的责任，承担一定的风险。因此，审计工作不但需要强调审计结论准确，同时又要讲究审计的效率，从而如何准确高效地做好审计工作是摆在审计人员面前的一个重要的课题。

现代企业内部控制制度的完善为审计方法的变革提供了可能性。过去在审计工作中，往往是对被审单位全部会计账目、凭证以及各项经济指标逐项详细审查，但随着企业经营规模的不断扩大，这种传统的审计方法已经不可能了。基于成本效益原则，大量抽样审计的方法曾用来代替详细审计，但是采用这种方法所抽查的业务量还是很大，而且抽查的资料是由审计人员主观选取的，难免以偏概全，存在的弊病也很明显。近半个世纪以来，由于现代企业广泛推行内部控制制度，因而审计工作也逐步由详细审计和大量抽样审核开始转向依赖企业内部控制系统，转向以内部控制测试作为审计的基础。内部控制审计测试着重审核各项数据所据以产生的制度是否合理、严密，以及是否认真执行了这些制度，从中了解内部控制中的缺点或薄弱环节，再有的放矢地制订进一步的审计计划。这相应地减少了对经济业务和会计资料的核查，而把企业内部控制评价列入审计工作的重要内容。以内部控制的审计评价为基础开展审计工作，有力地推动了审计方法、审计技术和审计实践的不断完善和发展，在有效降低审计风险的同时，还收到了缩小审计范围，节省审计人力、时间和成本的效果。

(三)内部控制是现代审计的重要发展

内部控制扩展了审计对象，推动了现代审计的发展。内部控制制度是现代企业的产物，主要内容包括：岗位责任制、内部牵制制度、各种工作程序、手续制度和内部审计制度等。以前的审计往往着重于对某项经济业务的会计数据的真实性进行审查，现代审计则转向以内部控制制度测试为基础，着重了解和评价内部控制制度，对内部控制制度进行健全性和符合性测试，根据审查内部控制制度的健全程度及其缺陷所在，确定审计的范围、程序和方法。

通过对内部控制的审计评价，促进企业内部控制系统的完善。内部控制作为审计工作的重要内容和首审部分，审计人员通对它进行审计评价，发现其存在的缺陷和薄弱环节，指出其可能存在的问题和影响，一方面通过审计意见交换或审计结论传递给企业管理当局，帮助企业完善管理，克服弊端，消除隐患；另一方面，对存在比较严重问题或者内部控制失败的要公布审计报告或者报告其主管部门，通过外部压力对企业进行整顿，促使企业完善内部控制系统。

三、现代审计对内部控制依赖性的有效利用

在审计实践中，由于内部控制固有的局限性，即使内部控制制度再健全，也只能对财务报告的可靠性提供一定程度的合理保证，而不可能起绝对保证的作用，审计人员对此应有充分认识。企业内部控制系统存在的固有局限性，使注册会计师审计对内部控制的依赖产生一定的风险。为了使注册会计师能够在审计过程中更好地利用内部控制，就要提高内部控制的有效性，完善内部控制制度，使审计风险降至最低。

(一)进一步加强和完善企业内部控制，为现代审计提供有力的安全保障

审计是在企业提供相关资料的基础上进行的，所以解决内部控制局限性的根本是企业建立完善和执行有效的内部控制制度，从而为注册会计师的审计工作提供方便和保障。企业可以从优化企业内部控制环境、提高管理人员素质、发挥内部审计作用等方面提高内部审计的有效性。

第一，优化企业内部组织结构，建立与现代企业制度相一致的内审体系。构建科学有效的内部控制框架，必须根据企业的实际情况，认真组织和领导内部控制的设计和执行，设置科学合理的组织结构，完善以董事会为主体的内部控制系统，全面行使董事会的职权，履行董事会的职责，充分发挥董事会的监督、引导作用，确保内部控制的实施有一个积极的控制环境。高层领导认真执行内部控制制度，不同级层的管理人员负责不同的内部控制的执行，做到每一项制度都有人负责，一旦出现问题，逐级追查下去都可以找到责任人，执行人员自然会认真履行职责，这样就可以提高内部控制的有效性。

第二，定期考核与评估内部控制系统的执行情况。为了保证内部控制的有效性，并且不断完善内部控制，企业要定期对内部控制系统的实施进行检查和考核。同时还要发挥内部审计的作用，把内部审计作为企业内部控制制度的重要组成部分，通过内部审计对企业内部控制制度进行系统的检查和评估，协助企业各个管理部门有效地履行职责。

第三，内部控制制度必须随企业的发展而不断地进行更新与完善。内部控制系统虽然是对企业内部经济活动的控制，但企业是社会经济的一部分，企业管理者应该关心社会发展，根据国家政策的变化及时地调整内部控制系统，对于系统中过时的部分及时更新，对于不起作用的部分及时废止，在节约资源的同时使内部控制得到完善。

总之，企业只有建立了相对完善的内部控制，建立在内部控制基础上的各种审计模式才能得以开展，也只有这样；审计人员才能结合审计目标，对内部控制进行研究与评价，从而提高审计的效率和效果。”

(二)有效评价企业内部控制制度是现代审计依赖内部控制的前提

随着审计技术的发展，对企业内部控制的评审及控制风险评价已成为审计的重要组成部分。注册会计师准备依赖被审计单位内部控制之前要对其进行了解和测试。只有完善有效的内部控制才是可以利用的，所以对内部控制的有效评价是审计依赖内部控制的重要前提。评价被审计单位的内部控制可以采取以下几种方法：

第一，健全性测试。即审计人员进驻被审计单位听取汇报，查阅有关规章制度，了解和描述内部管理制度是否健全、完善、合理，控制环节是否完整。根据测试调查表进行评价，分析这些制度措施是否得到了实施。经过这些程序之后，审计人员可以找到企业内部控制的薄弱环节。健全性测试要求审计人员具有丰富的管理理论和实践经验，因此审计人员必须加强平时的知识积累和学习。

第二，符合性测试。即对企业内部控制的实施情况进行测试，证实被审计单位设置的内部控制点、目标、措施是否在实际业务处理过程中被落实和有效执行。从而判断内部控制是否有效，确定控制措施能否真正发挥作用。

第三，进行综合评价。通过前两个阶段的工作，审计人员根据掌握的情况，对内部控制制度健全性和符合性测试的结果进行深入分析，全面综合评价，按控制点是否健全来评价有无失控或控制薄弱环节，进一步发现内部控制方面存在的问题，提出完善内部控制制度的建议，撰写审计报告。

审计人员通过对被审计单位内部控制的评价，可以发现内部控制制度的薄弱环节和失控点，在识别和了解控制之后，注册会计师需要评价控制设计的合理性，并确定其是否得到执行。注册会计师评价的结果可能是：(1)所涉及的控制单独或连同其他控制能够防止或发现和纠正重大错报，并得到执行；(2)控制本身的设计是合理的，但没得到执行；(3)控制本身的设计是无效的或缺乏必要的控制。如果是第一种结果，注册会计师可以信赖这些控制，减少拟实施的实质性程序。如果拟更多地信赖这些控制，需要确信所依赖的控制在整个拟信赖的期间都是有效地发挥了作用，即注册会计师应对这些控制在该期间内是否得到一贯运行进行测试。如果测试的结果进一步说明内部控制是有效的，注册会计师可以认为相关账户发生重大错报的可能性较低，对相关账户及认定实施实质性程序的范围也将减少。如果注册会计师认为内部控制是无效的，则不需要测试控制运行的有效性，而直接实施实质性程序。

综上所述，以测试内部控制为基础的抽样审计成为传统审计转变为现代审计的一项重要标志。注册会计师在审计时，首先要研究和评价被审计单位的内部控制，这已成为现代审计的重要特征。内部控制制度的弱点就是现代审计的重点，通过审计发现内部控制制度的薄弱环节，可以比较准确地确定审计的范围和重点，为注册会计师开展审计工作、编制审计计划、执行审计程序和步骤等方面提供方便。

责任编辑：纪国义