张亮

摘 要：对于内部控制的审计主要针对审计过程，以保证严重弱点风险的降低。在概念上，明显地区别于对财务报表的结果审计。因此，审计人员需要以不同的风险模型来知道内部控制的审计过程。笔者试就严重弱点风险对内部控制审计风险模型进行探讨。决定在内部控制审计与整合审计中的框架与路径。

关键词：内部控制；审计风险；风险模型

一、内部控制审计风险模型研究的背景

20世纪70年代，随着商品经济的发展。人们对于报表的要求不仅仅停留在对于结果即财务报表本身的可靠度上，也眼神到了财务报表产生的过程即对于财务报表的内部控制上。因此，对于财务报表的内部控制也应进行审计。由于成本和人力所限，最终未能落实。但是在美国出台于1991年的《联邦存款保险公司改进法案》中，要求必须在被保险的存款机构必须出具关于其内部控制过程的书面认定。必须由审计师对该认定出具有效的鉴定意见。而在2001年，在我国证监会发布的《公开发行证券公司信息披露编报规则第1号》中，其第五条规定：商业银行应建立健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性进行说明。研究表明，整合审计的成本要远高于财务报表的审计成本。而其主要原因是审计过程中整体概念框架的缺失。所以，寻找一种关于内部控制审计的风险模型来作为在审计过程中内部控制的方法可以解决上述问题，节约审计成本。形成一种制度性和工具性的方法。

二、内部控制审计风险模型

（一）对模型的需求

财务报表的审计与内部控制的审计较为不同。财务报表的审计主要倾向于评价的最终输出。而内部控制设计偏重于评价过程。如果仅仅进行内部审计的控制，那么审计师不必纯粹进行与账户和交易类别的测试。财务报表的审计风险模型对于提升内部控制审计实务的一致性有较大提升。在审计过程中，需要一个经过验证的程序和工具来对审计过程进行控制。财务报表的审计风险模型应按照审计人员的实质性测试程度来确定。同样的，审计师也应该依照一个框架对内部控制的审计进行控制。这可以提高内部控制审计对于实务的表达程度。能够使审计人员抓住内部控制审计过程中的主要矛盾，方便确定工作重点。

（二）内部控制审计的目标

内部控制审计并不以发现重大错报为首要目的。在美国注册会计师协会的有关规定中指出：“审计师检查内部控制的目标是形成关于内部控制有效性的意见。如果存在一个或多个严重弱点，企业的内部控制就不能被视为有效。”因此，为了保证意见形成的有效性。审计师需要对于内部审计过程和模型进行严密的审查与严格的执行。以此来保证证据的有效性。而在我国《内部控制审计指引》中，其第四条明确指出：“注册会计师执行内部控制审计工作，应当获得充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段予以披露。”综上所述，在内部控制审计中，审计人员的目标是对于隐藏的内部控制设计、执行等有着缺陷的部分进行有效获得，充分掌握其恰当证据，以出具关于内部控制有效性的鉴证意见。

（三）内部控制审计中的风险

在内部控制审计概念下，主要的风险是由于审计人员对内部控制的效果产生的误判而发表了不恰当意见，影响了内部控制审计的准确性。审计人员的主要目的是通过审计，获知企业的内部控制系统是否有严重的缺陷。当审计人员认为在企业的内部控制中的未被发现的风险依然较高，那么对于内部控制过程，审计人员就不能发表无保留意见。而内部控制审计风险模型的建立就是对于审计人员提出工作的方向与深度。保证未发现的风险对于审计过程以及企业的影响降到最低。

依照前文对于内部控制审计风险的描述，我们可以知道，审计师对被测试项目的决定依据就是把审计风险模型的建立放在内部控制审计的基础上。而内部控制的设计与执行是产生严重弱点的主要原因。通过有效的模型运作，可以避免严重缺陷。

审计人员首先需要对控制设计进行充分有效地评价，包括对控制缺失的识别。并且对控制能否对于设计和执行中的严重弱点进行测试。审计人员使用包括问询、对流程图的分析、对书面记录的查阅、穿行测试以及观察等方式来进行审计。有时，这些手段是作为控制测试来对数据进行分析。同时对审计程序的时间和范围进行控制。

（四）内部控制审计风险模型

严重弱点或重大缺陷的产生，需要有以下条件：（1）由于固有风险的存在未能充分设计内部控制程序；（2）未能充分执行内部控制程序；（3）未能有效运作内部控制。为了保证内部控制的有效性。审计人员需要排除以上三种情况。而内部控制审计风险模型又由以下三个主要部分组成。

1.固有风险

固有风险是指在审计过程中，控制未能有效进行时财务报表的产生重大错报的风险。如果报表本身的固有风险比较低，则对内部控制的依赖性也较低。但是，在实务中，大部分的交易类别的固有风险通常不会很低。对固有风险进行分析时，审计人员需要假定一个值，来描述监督控制的有效性，并用控制测试的手段对此证实。并且在过程中对此假定进行修正。

2.控制设计和执行风险

审计人员在对内部控制的执行进行分析时，需要根据固有风险来对控制设计的可行性进行判断。在审计过程中，需要对监督控制的有效性进行修正。在此过程中，为了降低企业在审计过程中的固有风险，减小对审计内部控制的依赖，应该加强内部控制，以此预防和修正审计中的差错。而固有风险的降低，也可以预防重大错报等的产生。

3.控制运作有效性风险

审计人员需要综合判断固有风险、内部控制审计总体风险来对控制运作的有效性进行调整。以此对控制测试的程度进行决定。相似于财务报表审计中的风险检查。而只有充分设计和执行控制时，才可以对其进行控制测试。所以，判断内部控制的有效性时，应以充分设计执行为前提来进行判断。

三、在内部控制审计和整合审计中对该模型的使用

《内部控制审计指引》中第五条规定：“设计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（整合审计）”在独立的内部控制审計中，内部控制审计风险模型可以直接应用。在进行整合审计的过程中，需要以内部控制审计风险模型为决策模型，以此来对控制测试的程度进行判断。在内部控制审计测试执行后，审计人员如果未发现严重弱点，风险较低。那么相应地，财务报表的重大错报风险也较低。证明内部控制在消除风险过程中的有效性。对重大错报的预防性加强。如果审计人员在整合审计中，对内部控制的有效性发表无保留意见。则在测试中假设较低的错报风险。如果认为有较高的重大错报风险，审计人员就需要从内部控制审计的风险模型中入手，对内部控制在审计过程中发挥作用的有效新进行重新评估。

四、结语

通常意义上对内部控制的审计模型的建立，也就是针对过程进行的审计，能够在审计过程中有效地预防和降低严重弱点风险，可以为审计人员在内部控制审计和整合审计中提供指导的作用。（作者单位：薛城区审计局）

参考文献：

[1] 财政部会计司.2010.企业内部控制规范讲解[M].北京：经济科学出版社，第一版.

[2] 谢荣、吴建友.2004.现代风险导向审计理论研究与实务发展[J].会计研究（4）：47-51.

[3] 李爽、吴溪.2005.后中天勤时代的中国证券审计市场[J].会计研究（6）：10-15.

[4] 林斌、饶静.2009.上市公司为什么自愿披露内部控制鉴证报告？[J].会计研究（2）：45-52.

[5] 刘峰、张立民、雷科罗.2002.我国审计市场的制度安排与审计质量需求[J].会计研究（12）：22-27.

[6] 刘继红.2009.国有股权、盈余管理与审计意见[J].审计研究（2）：32-39.