曹秀俊

摘要：内部控制的发展经历了内部牵制阶段、内部控制阶段、会计控制与管理控制阶段、结构阶段、整体框架阶段到现在的风险管理阶段。作为标准制定者的COSO委员会，从起初的八要素分析，发展到现在控制环境、风险评估、控制活动、信息与沟通以及监察的五要素框架，它在内控发展的进程中发挥了关键作用。我国财政部颁发的《内部控制基本规范》整合了八要素分析的内容，提出了内部环境、风险评估、控制活动、信息与沟通以及内部监督的五要素框架，它兼具了COSO报告八要素内容的实质和五要素框架的形式。与内部控制不断完善发展的同时，内部控制审计也经历了一次大的洗礼，文章就是建立在这个大的框架背景之上，着力解决内部控制审计过程中内控审计风险的识别与防范。

关键词：内部控制；审计；风险防范

一、相关概念

在社会商业化日新月异，企业资本极度膨胀的今天，“内部控制”似乎成了一个时髦词，越来越多地出现在公众的视野。要想解决本文重点——内部控制审计，就必须先将“内部控制”认识清楚。

国外方面，在经历了几个世纪的发展后，美国职业会计师协会中的AICPA（审计程序委员会）首次对内部控制进行了定义：内部控制包括组织设计及在资产保护，检验会计数据真实可靠等方面采取的一系列措施。但如此定义让很多的审计人员比较疑惑，甚至到了20世纪末审计人员对于内部控制的认识仍然比较混乱。直至美国COSO分别在1992年和2004年发布《内部控制——整体框架》和《企业风险管理——整合框架》两个框架对内部控制进行了详细界定，它们提出：内部控制是由企业董事会、管理层以及其他员工为获得高效的经营活动、可靠的财务数据、遵循相关法规三个主要目标而实施的企业活动和保障过程。随后，我国财政部联合内控委员会在2008年6月颁布了《企业内部控制基本规范》，該《规范》全面概括了内部控制的定义，在整合coso委员会八要素内容的基础上将其归纳为内部环境、风险评估、控制措施、信息与沟通以及内部监督五要素的框架。而本文结合高校案例着重于对内部控制审计进行叙述，所以引用《内部审计实务指南第4号——高校内部审计》中内部控制的解释：本指南所称内部控制是指为了实现教育事业发展目标，保证资金、资产、资源安全、完整，并得到合理有效利用；保证会计信息真实、准确，保证有关法律、法规、规章的贯彻实施而制定与实施的一系列控制方法、保证措施和业务程序。本文中出现的内部控制即可以等同于指南中对高校内部控制的解释。

那么内部控制审计是什么？通俗的讲，内部控制审计就是审计人员审查组织内部这五个要素，对内部控制五要素设计及运行的有效性进行审计。其实，在《内部审计实务指南第4号——高校内部审计》中将高校内部控制审计解释为内部审计机构为了促进完善内部控制，保证其有效执行而对本单位内部控制体系的健全性、有效性所进行的了解、测试和评价活动。此处总结出内部控制审计“顶天”、“立地”两个不同层面的解释，为下文的开展打好基础。

二、内部控制审计风险

在开始着手本文的写作时，本人曾遇到过疑惑：内部控制审计风险的防范中，内部控制风险是重点，还是单纯的审计风险是重点？作者想在此进行尝试，力求解决审计风险中囫囵吞枣的问题，寻求创新。

首先，必须针对内部控制风险做出解释，才能更好的找到答案。内部控制风险是阻碍内部控制功能发挥、影响目标实现最终导致内部控制失败的所有不确定因素的总和。这样的因素很多，总体来讲可以从内部环境，风险评估、控制活动、信息与沟通以及监督五大内部控制构成要素进行分析。内部环境方面：包括董事会和监事会的设置、企业管理层的管理理念和经营风格、员工职业道德操守和工作能力；风险评估：包括管理层能否准确识别和分析风险的影响因素，合理评估风险发生频率与破坏性；控制活动：包括内部不相容职务职责权限的划分、人力资源制度的运行；信息与沟通：包括有无畅通的沟通平台和渠道使上下互通信息；监督：包括内部控制程序和措施是否恰当、有无严格有效地监控、考核评价与监督体系等。一个企业要发挥内部控制功效，就必须从控制和防范内部控制风险开始。

其次，我们来分析审计风险。审计风险是指财务报表存在重大错报而审计人员发表不恰当审计意见的可能性。根据秦荣生（2007）的解释。

审计风险在系统导向审计时期被列为下面的等式：

1. 审计风险=固有风险*控制风险*检查风险

他在文献中将固有风险解释为假设不存在任何内部控制活动时，财务数据产生重大错报的可能性，可理解为约束性风险。控制风险是指内部控制未能发现错报的可能性，可理解为酌量性风险。检查风险区别于上述的两项风险，约束性风险和酌量性风险在内部控制测试环节触发，而检查风险在实质性程序中触发，它是指财务数据产生错报而未被实质性程序发现的可能性。

审计风险在经营风险导向审计阶段，审计风险被表达成下列等式：

2. 审计风险=重大错报风险*检查风险

重大错报风险是指财务数据在实施进一步实质性程序前就已经存在重大错报的可能性，检查风险的定义与上文一致。

在总结了上面一大段的概念，本文将在之前研究的基础上对内部控制审计风险做出新的定义。从前文的逻辑来看，假定每个组织内部都有设计与运行内部控制制度，那么系统导向审计阶段的审计风险就可以换算为：审计风险=内部控制风险*检查风险；而此时经营风险导向阶段等式中的重大错报风险也可以等同于内部控制风险，因为良好内部控制制度的运行理论上可以防止重大错报风险的发生。因此可以列出下列等式：

3. 审计风险=内部控制风险*检查风险

有了这个等式，就可以回答前文的疑问。可见，审计风险包括了内部控制风险，审计风险不只是单纯的审计风险，也包括内部控制设计与运行风险。

三、内部控制审计风险识别

根据我国发布的内部控制审计指引，将内部控制审计归纳为会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。指引中明确指出，对内部控制设计与运行的有效性进行测试，要同时实现下列目标：

1. 获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。

2. 获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

不难看出，以上两点对审计人员的胜任能力要求有着很高的要求。而与此同时，一些客观存在并影响内部控制审计风险的因素也会导致最后的审计结果。因此，在此基础之上，我将内部控制审计风险归纳为主观风险和客观风险。

（一）客观风险

产生内部控制风险的因素很多，之前的研究一般從内部控制，风险评估、控制活动、信息与沟通，内部监督等五大要素进行分析。而我们在关注这五个要素的同时，也关注控制主体、执行主体以及大环境的影响因素，具体来说这些客观因素包括：

1. 管理层经营水平与员工素质

管理层经营能力与员工素质决定着企业内部控制制度的设计与执行情况，两者分别属于顶层设计与底层基础。在管理层方面应重点了解单位领导人在相关行业的工作经验和学历，对于内部控制的态度以及是否曾经涉嫌违反财经法规、是否有凌驾于内部控制制度之上的可能等。也可以适当了解以前年度与管理层沟通中遇到的问题和障碍，作为对管理层经营水平了解的切入点，全面的深入企业内部。员工方面，他们是制度执行的直接参与者，直接决定内部控制执行效果，因此，对于员工在内部控制制度运行情况审查过程中的行为与心理应该加以重视。

例如在工程竣工结算审计中，往往会出现工程量变化或者施工方案变化，但是各单位分管领导没有办理工程签证单，导致最后财务无法支付相关工程款的情况。同样的在财务审计过程中，报销环节出现的应报未报、虚假报销，不在报销范围反而得以报销的情况数不胜数。这些无不反映了工作人员工作水平欠缺以及管理人员经验不足的现状。

2. 行业背景与相关政策法规

作为审计工作初步业务活动后的进一步程序，审计人员应该对被审计单位内部控制设计及运行有效性情况进行全面了解，这也是实施内部控制审计的一个重要前提。了解重点包括：被审计单位的行业现状和发展前景，经营理念及其目标等。只有做好了内部审计工作的第一步才能保证整个审计工作的有效性。另外，国家针对相关行业发布的政策法规也应该是审计人员关注的重点，主要是测试企业有没有完成社会要求的能力，有没有抵御不确定外部因素、外部风险的内部控制制度设计。

随着“依法治校”的提出，各个高校单位设立章程，通过后方能拥有更自由的发展空间。这些是大的背景，往小的方面深入，例如我校要求工程合同金额大于3万元就必须经过审计，职称评审费不得报销等类似的各项规定，审计人员在审计过程中应该详细了解。

（二） 主观风险

审计风险由风险评估和控制活动两个关键要素组成，主要集中在企业内部控制活动实施过程中。风险评估是确认和分析实现企业营业目标过程中的相关风险，企业要完成目标就要积极地识别、分析相关风险，合理确定风险应对策略，在风险评估的基础上采取下一步的控制活动。控制活动有助于实现企业目标，它是指企业根据风险评估结果，采取必要措施，包括一系列控制活动，如预算控制、不相容职务分离控制、授权审批控制等。根据这些表述，我们可以将主观风险归纳为：

1. 审计人员专业胜任能力

内部控制风险主要在于风险评估和控制活动两个环节，评估主体是审计人员，控制活动设计主体也是审计人员，因此我将内部控制风险归纳为主观风险，其中最重要的影响因素就是审计人员的专业胜任能力。中国注册会计师协会颁布的《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》评估准则中对审计人员的专业能力作了相关规定，要求审计人员应当了解被审计单位及其环境，包括内部环境和外部环境，以此识别相关风险并实施进一步的实质性程序。而除了规范性的步骤，审计人员在一些关键环节作出的专业判断才能体现出注册会计师的专业胜任能力，这些职业判断包括考虑会计政策的选择和运用是否恰当、评价审计证据的充分性和适当性、确定重要性水平、确定实施实质性程序等。这些职业能力需要一方面说明了解被审计单位基本情况及其控制环境是一个贯穿于整个审计过程始终的动态过程，具有连续性；另外一方面说明，审计人员的专业胜任能力决定着审计目标的完成。这种风险不同于其他风险，主要是源于它取决于审计人员在独立判断的基础上设计的审计程序。

2. 审计人员的职业道德

前面讲到审计风险包括内部控制风险以及检查风险，如果这两类风险关乎到内部控制设计运行和审计人员的水平，那么职业道德风险就属于第三种独立风险，它是价值观风险。无论制度设计再完美，审计程序、实质性测试环节做的再好，只要审计人员的道德偏离正轨，那么这次审计目标就难以完成。当然，这样的情况在高校中鲜有发生，因为这涉及到国家公务人员编制问题，编制一方面是优越之处，同时也是一种约束。

四、内部控制审计风险的防范

（一）强化内部控制设计与执行

任何企事业单位都已经过了肆意增长的时代，当务之急是要加强内部控制，实现由粗放增长向节约增长转变。要想实现这样的精细增长就必须建立完善的内部控制制度，坚决执行，抵御内外部的风险冲击。而这一切的基础在于人治，首先要提高管理层经营水平，从顶层框架入手，进行制度设计；其次，加强员工能力培养，增强价值认同感，打牢基础。由此，才能让内部控制制度“设计有方，执行有力，协同提升”。结合到高校情况，高校应该强化内部专业技术人员的培训，制定培训计划，出台考核标准，鼓励参加证书考试，定期组织校际专业岗位人员交流等。

（二）强化审计人员的专业胜任能力与职业道德建设

社会经济在发展，不断出现新的常态，这就要求审计人员在执业过程中不断进步，是自己具备新常态下的专业胜任能力。首先要具备怀疑能力，也就是风险意识。其次要能够将丰富的专业知识运用到风险评估、控制活动等的重要控制环节，能够合理地确认重要性水平，实施进一步的审计程序以及实质性程序。最重要的是，要保持职业道德，保持专业性与独立性，让精神和灵魂超越眼前的利益与诱惑，确保审计质量。

另外，不断加强职业道德教育也应该纳入年度计划，例如我校审计处就在加强审计人员专业能力与职业道德建设方面做了尝试，在工作年度之初制定全处学习计划，由领导制定起草学习内容，分章节交由每一个审计工作人员，安排在每个星期的学习会上进行讲授，分享学习心得。

内部控制审计就像是孙悟空头上的紧箍咒，但目前状况来看，这个紧箍咒远未达到预期的效果，鉴于美国已将内部控制审计工作上升到立法层次，我国已然还有漫漫长路要走。

参考文献：

[1]内部审计实务指南第4号——高校内部审计[S]

[2]秦荣生.内部控制与审计[M].经济科学出版社，2007.

[3]杨有红，王宏.内部控制审计实证研究与案例分析[M].经济科学出版社，2008.

[4]阎达五，杨有红.内部控制框架的构建[J].会计研究，2001（02）.

（作者单位：南京师范大学审计处）