审计视角下内部控制的演进

2014-09-26何欣惟

经济研究导刊 2014年21期

关键词：风险导向审计审计内部控制

何欣惟

摘要：从审计的视角研究内部控制的演进过程，分别从内部控制的早期发展和初始形态入手，探究内部控制理论和实践的分野以及内部控制的概念演进，并总结出内部控制概念的整合和拓展以及对审计的影响。

关键词：内部控制；审计；风险导向审计

中图分类号：F239.0 文献标志码：A 文章编号：1673-291X（2014）21-0124-02

一、内部控制的发展脉络

（一）内部控制的渊源和早期发展

内部控制，作为一个完整概念，直到20世纪30年代才被人们提出、认识和接受。但内部控制的由来却源远流长，内部控制的基本思想和初级形式在此前悠久的人类社会发展历程中皆有迹可循。可以说，自从人类群体活动和组织出现，就产生了对组织的成员及其活动进行控制的需要。

内部控制思想的发轫最早可以追溯到公元前3600年至公元前3200年的苏美尔文化时期。另外，在古埃及、古波斯、古希腊、古罗马和古代中国都能找到原始内部牵制制度的雏形。

（二）内部控制的初级形态：内部牵制

20世纪以前，内部控制的管理实践已经存在，只是盛行的观念和实务都仅停留在内部牵制（internal check）层面。

二、审计视角下的内部控制

（一）内部控制理论和实践的分野

“内部控制”一词的出现源于审计工作的需要，内部控制的要求也首先应用在会计工作中。但随着内部控制理论的不断完善，内部控制不再仅仅局限于会计范畴，逐渐扩展到其他领域。

20世纪以后，审计职业界出于摆脱全面查核、提高审计效率的考虑，开始关注内部控制，最终确立了内部控制导向的制度基础审计模式。内部控制与审计的交叉与融合，成为了推动内部控制理论与实践发展的最主要的力量。

（二）内部控制的概念演进

1.内部控制的引入推动了账项基础审计模式向制度基础审计模式的嬗变，制度基础审计的发展反过来又带来了内部控制概念的不断修订完善。直到19世纪末期，独立审计的基本模式仍停留在账项基础审计，即详细地验证账簿中记录的交易。由于当时英国的独立审计最为发达，所以这种审计模式又被称为“英国式审计”。但随着股份有限公司的发展，企业的规模越来越大，交易事项越来越繁杂，使得全面、详细的测试变得不太可行。

制度基础审计模式从萌生到盛行的数十年间，随着审计理论的发展，审计职业界所界定的内部控制也在不断地发展。1936年，美国会计师协会（AIA，1957年更名为美国注册会计师协会（AICPA））首次提出了内部控制的概念。随后，麦克森·罗宾斯公司舞弊案等一系列事件的爆发，使得审计职业界将注意力投向内部控制问题。在此背景下，AIA审计程序委员会（CAP）下属的一个专门委员会于1949年发表了一份关于内部控制的研究报告，报告中明确了内部控制的定义，并在当时被公认为是最权威的定义。

在此后近十年的审计实践中，职业界反映该定义过于宽泛，会导致审计工作量和责任的增加。于是，CAP于1958年10月发布了《第29号审计程序公告》界定了独立审计师评价内部控制的范围，将内部控制划分为会计控制和管理控制；1963年12月发布的《第33号审计程序公告》，进一步明确注册会计师主要关注会计控制；1972年11月发布的《第54号审计程序公告》中，对会计控制和管理控制的定义进行了修订和充实，新成立的审计准则执行委员会（AudSEC）在同月发布的第1号审计准则公告中也收录了该定义。

20世纪六七十年代大陆售货机等一系列事件相继爆发，尤其是水门事件后《反国外贿赂行为法案》的颁布，使内部控制的重要性得到前所未有的强调。同时，区分会计控制和管理控制的做法也受到越来越广泛的质疑。为此，AICPA下设的审计准则委员会（ASB，1978年取代AudSEC）于1988年4月发布了第《55号审计准则公告》，放弃了对会计控制与管理控制的划分，首次以“内部控制结构”替代“内部控制”，并提出了内部控制结构由控制环境、会计系统和控制程序三个要素组成。内部控制迈入了新的发展阶段。

制度基础审计既是一种程序驱动型的审计模式，又是一种理论驱动型的审计模式。它基于内部控制能保证财务报告可靠性这个基本假设，来设计审计程序。当注册会计师拟信任被审计单位的内部控制时，首先针对内部控制制度的遵循情况进行符合性测试，然后根据符合性测试的结果确定实质性测试的性质、时间和范围。这样，内部控制实际上成了注册会计师设计审计程序、分配审计资源的指向标。

2.内部控制在传统风险导向审计模式中实质上仍然处于核心地位。20世纪70年代的“诉讼爆炸”，使得审计职业界开始着重研究审计风险问题，对审计风险模型的探索就是其标志性活动。ASB在1981年6月发布的《第39号审计准则公告》中指出，审计风险由固有风险、控制风险、分析性复核风险和细节测试风险四个要素组成；1983年12月发布的《第47号审计准则公告》，将审计风险进一步概括为固有风险、控制风险和检查风险三要素的乘积，成为通行的审计风险模型。一般认为，此时审计模式已经逐渐摆脱制度基础审计模式，开始进入风险导向审计模式，即根据对审计风险的评估，来确定审计程序的性质、时间和范围。

在应用早期，由于注册会计师的注意力集中在审计业务本身的风险上，而且因为固有风险的清晰范围界定和具体操作指引的缺失，注册会计无法对固有风险进行有效评估，所以实践中注册会计师往往消极地将固有风险定为高水平，机械地套用审计风险模型。

20世纪八九十年代，由于诉讼风险和职业责任的加大，为防范风险，审计职业界开始把目光从审计业务本身的风险扩展到被审计单位的经营风险，并由此引发了风险导向审计模式的升级换代。

国际领先的会计师事务所（主要是当时的“五大”）率先开展了对现代风险导向审计模式的探索，其中最为突出的是KPMG。KPMG的研究小组于1997年提出了以战略系统观组织审计的观点，并开发出了名为“经营计量过程”（BMP）的风险基础战略系统审计方法。endprint

现代风险导向审计模式克服了传统模式的不足，着重强调注册会计师在充分了解被审计单位及其环境（包括所处的行业、法律和监管背景、单位的性质、目标、战略和经营风险，以及内部控制等）的基础上，从财务报表整体和认定两个层次上评估重大错报风险。

三、内部控制概念的整合与拓展及其对审计的影响

为了研究财务报告舞弊问题，AICPA等五个组织于1985年组建了Treadway委员会。该委员会于1987年专门成立了发起组织委员会（COSO），负责整合各种内部控制概念。COSO经过多年的研究，于1992年9月正式发布了著名的《内部控制——整合框架》（1994年作出局部修订），提出了包括三个目标（经营的效率和有效性，财务报告的可靠性，对适用法律法规的遵循）、五个要素（控制环境，风险评估，控制活动，信息与沟通，监控）的三棱锥形框架。

随着这个框架被广泛接受，ASB于1995年12月发布的《第78号审计准则公告——财务报表审计中对内部控制的考虑：对第55号审计准则公告的修订》，全面采用了该框架对内部控制的定义。目前，国际和主要西方国家的审计准则、金融监管机构的监管准则，采用的都是这个框架。

内部控制概念的整合，有助于明确审计中所考虑的内部控制的概念和内容，使得对内部控制的了解和测试有了统一的标准和明确的指引，结束了长期以来尽管一直倚重内部控制，但是对其概念、范围和内容众说纷纭、莫衷一是的尴尬。

2004年9月，COSO正式发布了《企业风险管理——整合框架》，它扩充了1992年的框架，重新提出了包括四个目标（战略、经营、报告、合规）、八个要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）、三个层次（企业，战略业务单元，子公司）的三维矩阵形框架。尽管COSO声称该框架无意立即取代1992年的框架，但是新框架的应用前景如何，会不会最终取代1992年的框架，尤其是能否进入审计准则之中，尚须拭目以待。

参考文献：

[1] ASB.第78号审计准则公告“财务报表审计中对内部控制的考虑：对第55号审计准则公告的修订”[Z].1995-12.

[2] ASB.第39号审计准则公告[Z].1981-06.

[3] ASB.第47号审计准则公告[Z].1983-12.

[4] ASB.第55号审计准则公告[Z].1988-04.

[5] CAP.第29号审计程序公告[Z].1958-10.

[6] CAP.第33号审计程序公告[Z].1963-12.

[7] CAP.第54号审计程序公告[Z].1972-11.

[8] COSO制定，方红星，主译.内部控制—整合框架[M].大连：东北财经大学出版社，1992.

[9] COSO制定，方红星，主译.企业风险管理—整合框架[M].大连：东北财经大学出版社，2004.

[10] 方红星.内部控制、审计与组织效率[J].会计研究，2002，（7）：41-44.

[11] 李凤鸣.内部控制学[M].北京：北京大学出版社，2002.