段 敏,刘 威

（东北财经大学研究生院,辽宁 大连 116025）

一、引言

2010年4月26日,财政部会同证监会、审计署、银监会和保监会共同发布了《企业内部控制审计指引》,本指引在《企业内部控制鉴证指引》的基础上,对未界定清晰而理论界存在争议的概念进一步厘清,对会计师事务所实际操作提出了更详尽、规范的要求。

在《企业内部控制审计指引》（简称《内控审计指引》）发布前,理论界对以下关于内控鉴证的定位问题一直存有争议：（1）内控鉴证是合理保证业务还是有限保证业务？（2）内控鉴证是基于责任方认定业务还是直接报告业务？（3）鉴证对象是一个时点还是一个时期概念？（4）内控鉴证中的内部控制是与财务报告相关的内控还是内控框架中的概念？

《内控审计指引》对以上问题做出明确界定,本文结合指引及笔者自身观点,首先利用2008年及2009年深市公司的内控相关数据分析我国内控鉴证的现状,然后试图从理论分析入手,利用2009年深市的内控数据对以上问题进行一一论证。

二、我国深市公司内控鉴证现状

2008年6月28日,财政部会同证监会、审计署、银监会和保监会共同发布了《企业内部控制基本规范》,自2009年7月1日（后推迟至2010年1月1日）起在上市公司范围内施行,同时要求执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。本文通过巨潮资讯网披露的年报、内部控制自评报告及内部控制鉴证报告,对2008年和2009年深市上市公司相关情况做统计及分析,如表1和表2所示。

表1 2008年深市公司的内控自评与审计情况

表2 2009年深市公司的内控自评与审计情况

对比2008年和2009年深市公司对内控进行鉴证的比率大幅度上升,可见,《内部控制基本规范》的出台,对我国上市公司内控建设、披露的规范和促进发挥了重大的作用,也使得越来越多的公司自愿地重视内控建设和披露,有利于公司经营的风险防范和战略目标的实现。观察表2发现,2009年深市公司仍有约 56％的公司未聘请会计师事务所对公司内部控制进行鉴证并出具审计意见,这与该年《企业内部控制审计指引》尚未颁布、注册会计师专业胜任能力尚达不到对内控这种特殊鉴证对象出具合理保证意见是分不开的,而且在金融危机背景下,上市公司建立完善内部控制并聘请事务所鉴证的成本负担过大,很可能影响公司正常经营也是不可忽略的原因。

总之,对内部控制进行审计是必然的趋势,是国民经济健康发展、公司治理不断进步的必然要求,我国应加强内控审计配套制度及法律、法规的建设,加强对上市公司及事务所的宣传、培训力度,以提供更多的高质量的内控审计报告。

三、理论与数据分析结合的内控鉴证定位

内控鉴证定位问题一直是讨论的热点,笔者认为内控鉴证为基于责任方认定更合理。

1.内部控制鉴证为合理保证业务

合理保证业务是将业务风险降低至该业务环境下可接受的低水平,对鉴证对象提供高水平的保证,并以积极方式发表审计意见。虽然一些学者认为内控鉴证是有限保证业务,但是笔者认为,将内控鉴证定义为审计业务,即合理保证业务,是具有理论依据的。

第一,随着公司经营环境的日趋复杂,业务的多样化及公司的规模化,内部控制的有效程度对企业的经营效率和效果有很大影响。预期使用者在评估企业存在风险时,对内控的关注是一个重大方面。因此,对内控的有效性提供高质量的保证,是满足预期使用者的需求的。

第二,内部控制有效与否,也关系到财务报表的真实性和完整性。CPA对财务报告进行审计时,无论在评估重大错报风险还是符合性测试阶段,都会利用到内部控制。那么,对内部控制进行有限保证,而对以内控为基础生产的财务报表提供合理保证是不符合逻辑的。

第三,美国资本市场较我国成熟,其内部控制发展比我国起步较早,发展较规范。在其内控鉴证发展史上,对内控鉴证的态度是从有限保证到合理保证,用合理保证取代有限保证,必定也是经实践和理论验证的结果。

日前颁布的《内控审计指引》亦支持了笔者的观点,将内控鉴证业务指定为合理保证业务：“注册会计师执行内部控制审计工作,应当获取充分恰当的证据,为发表内部控制审计意见提供合理保证”[1]。另外,从本指引的名字上我们也可以看出,内控鉴证被定义为审计业务,而审计本身就是合理保证业务。

我国实务界经验更倾向于对内控鉴证提供合理保证。表3数据显示,388家对内控出具审计意见的深市公司中,356家的内控鉴证意见为合理保证类型,仅有32家会计师事务所提供了有限保证的内控鉴证报告。数据对比可以看出,事务所大部分认为内控鉴证为合理保证业务。同时笔者认为,之所以仍有32家事务所出具有限保证意见,可能是从降低风险和成本的角度,有限保证的鉴证结论对注册会计师似乎更有吸引力。总之,随着《内控审计指引》的出台,提供合理保证的内部控制鉴证意见是必然的趋势,而表3统计数据也说明普及内控鉴证为合理保证业务具有可行性。

表3 事务所对合理保证与有限保证的处理

2.内部控制审计为基于责任方认定的鉴证业务

《内控审计指引》将内控鉴证业务划定为直接报告业务：“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计”,“按照本指引的要求,在实施审计工作的基础上,对内部控制的有效性发表审计意见,是注册会计师的责任”[1]。在内控审计报告中体现为：“我们接受委托,对 ××股份有限公司 ××年 ×月 ×日的财务报告内部控制进行审计”,“我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”[1]。

指引将内控审计定义为直接报告业务,其优势为增强 CPA在审计工作中的自主独立性,使得其工作范围不仅限于自评报告的部分,更可能发现公司内控中的其他问题,更好地促进公司内控的发展与完善。但笔者却认为此处仍待商榷,划分为基于责任方报告业务更为合理。

第一,判断鉴证业务是直接报告还是基于责任方认定,关键是该责任方认定是否可以获得。如果注册会计师无法从管理者获取其对内部控制有效性的评价报告（责任方认定）,或者虽然注册会计师能获得该报告,但预期使用者无法获得该报告,CPA只能直接针对内控有效性进行评价并发表意见,预期使用者通过阅读鉴证报告获得内部控制有效性的信息,这是直接报告业务。但是,如果预期使用者能够获得责任方认定,那么无论 CPA针对责任方认定还是内部控制直接发表意见,都是基于责任方认定的业务。而根据《企业内部控制基本规范》,要求上市公司对内控有效性进行评价,那么我们认为预期使用者是通过公开途径获得此责任方认定的,因此内控审计作为基于责任方认定的鉴证业务更合理。

第二,如果定义为直接报告业务,不利于调动公司管理层对内部控制自评的积极性,不利于管理层了解企业的内部控制,不利于内控的完善与发展。

第三,若定义为直接报告业务,可能导致预期使用者更加关注内控审计报告而不是公司的自评报告,不利于预期使用者了解管理层对内控的把握与控制。

第四,对内控的有效性直接进行评价,对于CPA来说,需要花费更多的人力和物力来对鉴证对象提出审计意见,不仅增加了成本,而且使得 CPA承担了更重的责任,“深口袋”现象会愈演愈烈。

其实,从起源来看,最初的内控审计的目的是为了加强预期使用者对责任方内控认定的信任度,从而需要独立第三方的注册会计师对其责任方认定发表意见,即基于责任方认定。

从2009年深市数据亦能看出,在实践中基于责任方认定的应用更广泛。表4数据表明,我国现阶段的内控审计工作大部分是在责任方认定的基础上进行的。那么,对于我们提供的理论分析和数据验证所支持的基于责任方认定业务和《内控审计指引》所规定的直接报告业务之间的差异,我们相信,实践是检验真理的惟一标准,如果新指引试行效果理想,则我们必须从理论上更进一步研究其合理性；如果试行效果不佳,国家必定也会根据实际情况进行及时调整。

表4 事务所对直接报告和基于责任方认定的选择

3.鉴证对象的时点概念

《内控审计指引》指出：“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计”[1]。在内控审计报告中则体现为：“我们接受委托,对 ××股份有限公司 ××年 ×月 ×日的财务报告内部控制进行审计”[1]。可见,鉴证对象是一个时点的概念,即一般是企业会计年度的终了日——12月31日。

内控鉴证的时点与时期之争一直是理论界的热门话题[2]-[5],虽然指引将其规定为时点,但究竟哪种界定更具有实践合理性和可行性,笔者认为仍是一个值得探讨的问题：从内控留下的轨迹和审计证据的可获得性方面看,时点概念对于审计工作来说更切实可行；从审计成本、CPA责任和 CPA工作的重点来看,时点概念更符合成本效益原则；但是从内控审计的目标和预期使用者的期望来看,时期概念似乎更具备合理性,毕竟证明内部控制在一个时点上有效,并不能由此推出在整个期间都是有效的,而基于内控而进行的经营活动和生产的财务报告都是对于时期内内控有效性的体现,时点概念显然不合理。

理论方面,时点与时期观点各执一词,那么实务界如何处理这一问题呢？事务所在实际审计工作中大部分采取时点概念,如表 5所示。

表5 事务所内控审计对时点与时期的选择

内部控制是一个过程,CPA凭借其运作过程中留下的轨迹及证据针对时期概念发表审计意见的风险较大,但有些学者认为“公司经营状况及财务报表的准确相关性是与整个期间内的内部控制联系的,仅针对时点发表意见,并不足以证明其有效程度”也是有道理的。因此,笔者认为,基于审计难度和成本的考虑,我们更倾向于对内部控制出具时点概念的保证,而基于预期使用者的角度,我们有理由期望 CPA在对内控时点有效性发表意见的同时,应取得恰当的证据,将内部控制的有效性延伸至整个会计期间。

4.鉴证对象——财务报告相关的内部控制

《内控审计指引》指出：“注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述的’予以披露”[1]。可见,指引将鉴证对象确定为财务报告相关的内部控制。

内部控制的目标包括合理保证企业经营管理合法、合规,资产安全,财务报告及相关信息真实、完整,提高经营效率和效果,促进企业实现发展战略。将鉴证对象确定为仅财务报告目标的内部控制而非全面目标下的内部控制原因如下。

第一,预期使用者最关注的是企业财务信息可靠性和相关性,使其为他们的决策提供有力支持,而财务报告内部控制作为财务报表真实、完整的强大后盾,也是预期使用者所关注的。虽然预期使用者可能也会关心企业的经营风险、战略目标和生产销售控制等,但是预期使用者更关心的是财务数据,因此相对也会更关注财务报告相关的内部控制的有效性。

第二,注册会计师的专业胜任能力限制。注册会计师具有财务和审计等方面的专业知识,并且在财务报表审计过程中需要对财务报告相关的内部控制进行测试,对财务目标相关的内部控制进行鉴证尚在 CPA的能力范围内。而对于企业其他经营方面的内部控制设置的合理性和执行的有效性可能超出了 CPA的能力范围,需要借助专家的帮助。

当前,事务所更倾向于提供财务报告目标的内控鉴证服务。表6数据显示,CPA基于自身胜任能力及审计风险的考虑,大部分针对财务报告相关的内部控制发表意见,但是对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述的”予以披露。

表6 事务所对财务报告内控与全面内控出具审计意见的情况

四、结语

随着我国资本市场的发展,内部控制将起到越来越重要的作用,《内控审计指引》的出台,为注册会计师清晰地界定了内控审计的范围、遵循原则、步骤及责任等,对我国上市公司的内控建设和披露具有重大意义。对于本文探讨的问题,指引虽然已经予以确定,但个别问题仍然在理论上和实践中存在可辨性,制度的制定总是遵循“肯定—否定—否定之否定”的动态过程,理论也要在实践中得到检验,关于内部控制鉴证的定位问题,笔者相信还有待于进一步研究。

[1]财政部,证监会,审计署,等.企业内部控制规范[S].北京：中国财政经济出版社,2010.64,71,73.

[2]刘明辉.内部控制鉴证：争论与选择[J].会计研究,2010,（9）.

[3]刘明辉,何敬.内部控制鉴证的时点与时期之争[J].中国注册会计师,2009,（8）：31-33.

[4]孙文刚.内部控制鉴证的对象与内容[J].会计之友,2009,（1）：24-25.

[5]李爽,吴溪.内部控制鉴证服务的若干争议探讨[J].中国注册会计师,2003,（5）：8-11.