程 欣，张 忱

（河海大学商学院，211100)

0 前言

证监会在2000年发布《公开发行证券公司信息披露编报规则》中，要求会计事务所对商业银行进行审计，并评价商业银行内部控制制度的合理性、完整性和有效性。2002年，《塞班斯-奥克斯利法案》的颁布要求要求企业的管理层对企业的内部控制进行评价并且要求注册会计师对内部控制进行审计。我国财政部于2010年颁发《关于印发企业内部控制配套指引的通知》，明确要求上市公司以及非上市大中型企业聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告，同时也要求企业对内部控制的有效性进行自我评价，并披露自我评价报告。那么是否能构架一个类似财务报表审计风险模型的内部控制审计风险模型来对企业的内部控制进行评估呢？

1 内部控制审计的定义

内部控制是被审计单位的董事会、管理层和其他相关人员设计与执行的政策及程序，来保证经营的效率和效果、对法律法规的遵守以及合理保证财务报表的可信赖程度。内部控制的目标是为了获取如下合理保证：1，经济有效地使用企业资源，以最优方式实现企业的目标，也就是经营的效率和效果即；2，财务报表的可靠性，这一目标与管理层履行财务报告编制责任有着密切的关系；3，在法律法规的框架下从事经营活动，即遵守适用的法律法规的要求。在本文中只需要讨论的与财务报表审计相关的内部控制。

美国反欺诈财务报告委员会联合美国注册会计师协会和英国财务部管理事会一直认为内部控制是：“由企业的治理层、管理层和其他人员实施的，用来为财务报告的可信赖程度、经营成效和效率、遵守法律法规三类目标的实现提供合理保证的一个过程”。在我国，于2011年印发的《企业内部控制审计指引》中明确表示，内部审计应该为：“企业委托注册会计事务所，对特定日期内部控制设计与运行的有效程度进行审计”。内部控制的审计是对控制过程的审计，而认定层次的财务报表的审计风险是对结果的审计。同时，对内部控制的审计意见也不是依赖于分析性程序和实质性测试。

同时，发现财务报表的重大错报并不是内部控制审计目标。美国注册会计师协会(AICPA)和美国公众公司会计监督委员会(PCAOB)分别发布的审计准则第15号（SSAE No.15）和第5号（AS No.5），两个准则均认为：注册会计师审计内部控制的目标是对内部控制有效程度发表意见。在企业的内部控制出现一个或多个缺陷（weakness），并且缺陷为严重的情况下，企业的内部控制就被当做无效。因此，注册会计师需要计划和执行检查，以获得充分恰当的证据，来形成表达一个意见的基础，并取得关于管理层认定表述的特定日期是否存在严重缺陷的合理保证。

2011年注册会计师协会颁布的《内部控制审计指引》第四条明确指出：会计师事务所执行内部控制审计工作，应当获取充分、适当的证据，为内部控制审计意见提供合理保证。在会计师事务所对内部控制有效程度发表审计意见的同时，会计事务所需要对在审计过程中发现的无关财务报告内部控制的缺陷在内部控制报告增加的“非财务报告内部控制重大缺陷描述段”进行披露。因此，获得充分、恰当的证据来判断内部控制设计、执行或运行有效性是否存在严重或重大缺陷，来为内部控制有效性出具鉴证意见是注册会计师在内部控制审计中的目标。所以在包括内部控制审计和财务报表审计的整合审计中，注册会计师需要利用的内部控制风险模型和财务报表审计风险模型不光在业务上，在目标上也有着显著的不同。本文试图为企业内部内部控制风险建立一个模型。

2 什么是内部控制的审计风险

类比于财务报表审计风险，内部控制的审计风险可以定义为“会计师事务所在企业的内部控制后有明显的缺陷时，对企业内部控制发表不恰当的审计意见的可能性”。内部控制的严重缺陷，主要原因是由于以下两方面，首先，设计和实施内部控制存在严重缺陷，二是在充分的设计和实施内部控制的前提下，内部控制的有效性是存在严重有缺陷。注册会计师需要考虑控制无论是在单独使用还是与其他其他控制一起使用的情况下，评价控制的设计是否合理，是否能有效地防止和纠正重大错报。某项控制存在于被审计单位且被审计单位正在使用是评价控制是否得到执行的标准。注册会计师的目标就是获知关于企业的内部控制系统是否存在严重缺陷。

可以从以下几方面获取审计证据来发现设计和运行中是否存在的重大缺陷：1，观察特定控制的应用；2，检查文件、报告和记录；3，对审计单位人员进行询问；4，追踪交易在财务报告信息系统中的处理过程。

如果注册会计师认为被审计单位控制设计合理并得到执行，那么注册会计师应对这些控制在控制执行期间内是否得到一贯执行进行测试。即需要通过控制测试确定企业内部控制运行的有效程度，也就是所实施的内部控制是否能够有效防止或发现并纠正重大错报风险。注册会计师应该从以下三方面获取审计证据来发现有效性是否存在重大缺陷：1，控制由谁执行，以何种方式；2，在所审计期间的相关时间点控制是怎样运行的；3，控制的执行是否是一贯的。

3 内部控制的审计风险模型

根据上述分析，一个或数个重大缺陷可能出现的情况有：（1）由于固有错报的存在，内部控制没有能够合理设计；（2）内部控制的执行不够充分；（3）在内部控制被充分设计和执行的情况下，内部控制没有能够有效运作。那么注册会计师对内部控制发表不恰当审计意见的风险（Internal Control Audit Risk, ICAR）就应当与下列风险有关：

1）控制设计和执行风险（CDER, Control Design and Execution Risk），CDER指的是注册会计师对内部控制没有被充分设计或执行的可能性分析。注册会计师在判断控制的充分性时，需考虑在内控无效或者没有执行内控时，财务报表认定层出现差错的概率。随着固有风险的降低，对控制的需求也将变弱；相应的随着固有风险的增加，企业越需要内控来防止、发现以及改正错报。。设计和执行的充分程度与ICAR的高低成反比。

2）固有风险（IR, Intrinsic Risk），即注册会计师对“固有风险是指在不考虑内部控制结构的前提下，由于内部因素和客观环境的影响，一个审计认定单独或连同其它相关认定发生重大错报的可能性分析。固有风险即存在于报表层，如控制环境，也可能存在于认定层，例如单个账户余额或项目等。如果固有错报越重大，则ICAR则越大；如果固有错报较低，则ICAR则较小。

3）有效性风险（ER, Effectiveness Risk），在设计和执行充分的条件下，内部控制在一定期间内的执行程度不足导致的难以防止和更正重大错报的风险的分析。在ICAR一定的条件下注册会计师根据IR和CDER的程度来确定ER风险高低，进而确定控制测试的强度。这与审计风险=重大错报风险×检查风险中的检查风险相似。

由此可以确定内部控制审计模型：

ICAR＝IR×CDER×ER

需要指出的是，控制测试是注册会计师认为内部控制已经被充分设计和执行的前提下实施。如果认为企业的内部控制没有被充分地设计和执行，注册会计师需评估这一控制缺陷是否能够构成严重缺陷。

4 审计模型在整合审计中的应用

在注册会计师协会颁布的《内部控制审计指引》中第五条规定，审计师既可以单独进行内部控制审计，也可以将内部控制与财务报表进行整合审计。这说明内部控制审计业务和财务报表审计业务和目标都不相同，但是内部审计和财务报表审计这两种业务可以整合在一起进行。

注册会计师在整合审计中先后使用内部控制风险和财务报表审计风险两个模型来确定审计风险。第一步，注册会计师用内部控制审计风险模型测试控制的有效性。第二步，注册会计师在基于财务报表审计模型的基础上判断实质性测试的有效性。因为有效的内部控制可以有效地防止、发现和更正财务报表的重大错报，减少固有风险，所以如果在内部控制测试后发现内部控制存在严重缺陷的风险低于重要性水平，那么财务报表层次蹲在重大的可能性也相应较低。又如果注册会计师认为重大错报风险并非较低，则预期将发现严重缺陷，注册会计师应当收集足够的证据，并以内部控制审计风险模型作为判断的依据，对内部控制的有效性发表鉴证意见。

5 结论

内部控制审计准则应该在以下几个方面予以改进：（1）财务报表审计的风险模型和内部控制的审计风险模型有明显不同，前者只是针对于财务报表审计，而不适用于针对内部控制的审计；（2）在制定审计准则时明确所讨论的是哪一种风险，例如是内部控制的严重缺陷风险或者财务报表认定层的重大错报风险，并贯彻一致性地运用。

[1]财政部会计司.2010.企业内部控制规范讲解[M].北京：经济科学出版社，第一版.

[2]Ettedge，M.，C.Li，and L.Sun.2006.The Impact of Internal Control Quality on Audit Delay in the SOX Era[J].Auditing：A Journal of Practice and Theory 25：1-24.

[3]Abraham D. Akresh.A Risk Model to Opine on Internal Control［J].Accounting Horizons，2010.