（临沂市高级财经学校山东临沂276000中国海洋大学管理学院会计系山东青岛266100）

一、引言

近期的獐子岛8亿扇贝因冷水团不翼而飞的事件于2014年12月4日由大连证监局定性为存在内控不规范——其部分事项决策程序不规范、内部控制制度执行不规范。该事件在引起人们质疑的同时，也引发了人们对上市公司内部控制评价和审计的关注。《我国上市公司2013年实施企业内部控制规范体系情况分析报告》指出，内部控制审计报告披露存在内部控制审计结论中的非标准审计意见比例较低，内部控制评价结论与内部控制审计结论不一致，内部控制审计报告披露不规范和强调事项段的使用不规范等问题。上市公司存在审计师和管理层在内控审计的范围、缺陷标准的认定、内控有效性的结论等方面的标准不一、结论不同的问题，影响了投资者对于上市公司内部控制有效性的判断。

二、内部控制审计的发展

（一）国际内部控制审计的发展

内部控制审计的产生发展历经了三个阶段，分别是内部控制评价阶段、内部控制审核阶段、内部控制审计阶段。美国会计师协会1939年发布的《第1号审计程序公告》第一次在财务报表审计增加了对内部控制审查评价的内容。而账项基础审计模式向制度基础审计模式的转变也使内部控制由最初在财务报表审计中受到关注逐步转变为审计过程中一个关键性程序。

20世纪80年代，财务舞弊案的频发和全美反舞弊性财务报告委员会对评估内部控制有效性的建议，使SEC要求管理层在年度报告中报告对财务报表和内部控制的责任以及评估内部控制的有效性，但由于巨大的制度运行成本不了了之。直到1991年《联邦储蓄保险公司改善法》出台，强制要求大银行管理层报告内部控制有效性并由注册会计师对管理层的声明进行验证，曾反对内部控制报告的团体转而支持对内部控制相关信息的披露和审核。随着AICPA《财务报告内部控制的审核》的发布，美国实现了从财务报表审计中评价内部控制，到正式将内控审核规定为注册会计师单独承办的鉴证业务的第二次飞跃。

2002年萨班斯-奥克斯利法案（SOX）的颁布，让上市公司内部控制由自愿性披露转化为强制性披露。内部控制审核阶段进入了内部控制审计阶段。2003年，SEC发布了《最终规则》，正式提出了财务报告内部控制的概念，对管理层如何披露公司财务报告内部控制提出了具体要求。使财务报告内部控制自我评估和内部控制审计制度扩大到公众公司的同时，要求对公司财务报表进行审计的注册会计师事务所对公司管理层的财务报告内部控制评估报告提供鉴证报告。PCAOB于2004年发布了《第2号审计准则——与财务报表审计相关的财务报告内部控制审计》（AS NO.2），关注了财务呈报内部控制的审计工作，以及这项工作与财务报表审计的关系问题。其明确了内部控制审计概念并提出了整合审计的理念，建立了一个新型的内部控制审计体系框架。为追求成本效益最大化，PCAOB在2007年以AS NO.5取代了AS NO.2，其主要变化体现在进一步优化自上而下的审计方法、增加对舞弊控制的评价、强调穿行测试的重要性等方面。2006年，欧盟修订欧洲议会和欧盟理事会指令，明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷。日本在2007年发布了《财务报告内部控制评价与审计准则》。CICA也于当年发布了《与财务报表审计整合的财务报告内部控制审计》。现代审计因此进入了一个财务报表审计与财务报告内部控制审计并重的时代。

（二）我国内部控制审计的发展

2006年，上交所和深交所分别发布了内部控制指引，倡导上市公司披露内部控制自我评估报告和会计师事务所的审核评价意见。2008年5月，财政部、证监会、审计署、银监会和保监会联合颁布了 《企业内部控制基本规范》（财会[2008]7号）。2010年4月，五部委又联合发布了18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》，我国企业内部控制规范体系应用范围逐渐扩大。五部委要求，企业要对内部控制的有效性进行自我评价并出具年度自我评价报告，同时聘请事务所对其财务报告内部控制的有效性进行审计，出具审计报告。自2012年1月1日起施行的 《企业内部控制审计指引实施意见》在《企业内部控制审计指引》的基础上，对执行内部控制审计各个关键环节的要求进行补充和细化，从业务约定书签订，到总体审计策略和具体审计计划的制定、审计工作实施，以及控制缺陷评价，形成审计意见到最终的审计报告出具都进行了较为详细的规定。

三、内部控制审计目标的定位

SOX颁布之后，美国开始实施财务报告内部控制审计。AS NO.5第三段规定，财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见。之所以选择财务报告控制概念，首先是由于将内部控制的目标集中在财务报告可靠性上，更有利于保护广大投资者的利益；其次，内部控制的核心目标是合理保证财务报告的可靠性；最后，历史上注册会计师对管理层内部控制评估的检查、评价或鉴证的范围从来就是针对内部控制。根据我国《企业内部控制审计指引》的规定，内部控制审计是指会计师事务所接受委托，对特定基准日被审计单位内部控制设计与运行的有效性进行审计。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这里内控审计包含了两个目标，不仅要对财务报告内部控制有效性发表意见，还要评价非财务报告内部控制有效性。笔者认为，针对我国内控审计市场现状来说，这一目标是否具有现实性还有待商榷。与非财务报告内部控制相关的评价活动类似于私人物品，而财务报告内部控制具备了公共物品的非排他性和非竞争性的基本特征，具有公共物品的性质。内部控制审计的性质是提供类似于公共物品的服务，这种性质决定了内部控制审计的目标是评价与财务报告可靠性有关的内部控制的有效性，而不是全部内部控制的有效性。

内部控制有三大目标：（1）财务报告的可靠性；（2）经营的效率和效果；（3）遵守适用的法律法规要求。然而，注册会计师对内部控制的有效性进行审计的终极目标是为了保证财务报告及其相关信息的真实可靠，公允反映。根据SEC对财务报告内部控制的定义——首席执行官和首席财务官就符合公认会计准则外部使用目的之财务报告的可靠性和财务报告的编制提供合理保证而制定或监督制定并由发行人董事会、管理层和其他人员实施的程序。而非财务报告内部控制主要是满足企业自身的需要，如保证企业在法律法规的框架下从事经营活动，保证经营的效率和效果等。现今的法律和诉讼体系对于内控的合规性目标就已经产生了一定的监督和保证作用，而对经营效率目标的保证的内部控制活动一方面具有私密性的特征，另一方面，注册会计师的鉴证业务主要是针对财务报告而言，其目的是查错揭弊和验证财务报表的真实性和公允性，主要发挥降低信息风险、信息增值和信息甄别的作用。对于企业经营效率和效果的内部控制进行有效性保证，似乎已经超出了注册会计师的业务和能力范围，也无形中增加了注册会计师的执业风险。

因此，笔者认为内部控制审计的具体目标应为对财务报告内部控制的设计与运行的有效性发表审计意见。而与非财务报表内部控制有关的设计与评价活动则主要由企业内部审计完成，或者作为非注册会计师的非鉴证业务如内部控制咨询等。但需要强调同一事务所不可同时涉及内部控制咨询与内部控制审计业务，否则将因为自我评价的不利影响，损害内控审计的独立性和审计意见的可信性。

四、内部控制审计与财务报表审计

（一）内部控制审计与财务报表审计的区别

1.审计目标及范围不同。内部控制审计目标是注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见。财务报表审计的目标是注册会计师通过对财务报表是否按照适用的会计准则和相关会计制度的规定编制和是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量进行审计并发表审计意见。

针对财务报告内部控制在某一基准日有效性的审计，审计人员应当获取财务报告内部控制在足够长期间运行有效性的证据，可以短于财务报告期。在财务报表审计中，注册会计师也必须了解内部控制，但仅在下列两种情况下才应当实施控制测试程序：一是在评估认定层次重大错报风险时，认为控制的运行是有效的；二是仅依靠实施实质性程序不足以提供认定层次充分、适当的审计证据。控制测试的范围一般为整个报告期。

此外，内部控制审计中要关注内部控制期后事项。在基准日后至审计报告日前（以下简称期后期间），内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或因素，并获取被审计单位关于这类变化或因素的书面声明。但在财务报表审计中，并未要求对影响内部控制的期后事项加以关注。

2.对内部控制有效性评价结论的准确程度要求不同。AS NO.5将财务报告内部控制审计定位为合理保证的鉴证业务，因此，不仅要求注册会计师了解内部控制，评价和测试内部控制有效性以确定控制风险的高低，还要收集充分适当的审计证据判断内部控制的设计和执行是否都符合所采用的内部控制评价标准。因此，内部控制审计对内部控制有效性评价结论具有较高的准确程度。财务报表审计只是为了衡量控制风险的高低，将其作为实质性程序性质、时间和范围的确定依据，不需要单独对财务报告内部控制的有效性提供报告，因此对内部控制的有关评价相对来说准确度和信赖度较低。

3.审计报告的内容不同。内部控制审计报告审计意见没有保留意见这一类型，只有无保留意见、否定意见和无法表示意见三种审计意见类型，并且在满足两种条件时，对内部控制出具无保留意见的内部控制审计报告：一是在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制；二是注册会计师已经按照 《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。然而，对内部控制发表了否定意见并不表明财务报表一定存在重大错报。注册会计师应该确定被出具否定意见的内部控制审计报告对财务报表审计意见的影响，并在内部控制审计报告中予以说明。

4.对注册会计师的要求不同。内部控制审计是贯彻实施企业内部控制规范体系的重要制度安排，同时也改变了我国会计师事务所业务结构单一的局面，为注册会计师行业做强做大提供了新的业务增长点，其对注册会计师的职业判断能力和专业胜任能力都有了更高的要求。与财务报表审计中了解和测试内部控制不同，报表审计中只需要简单了解内部控制以确定控制风险，而内部控制审计相对风险较高，而且鉴证对象是非财务数据，不像财务报表审计中可以精确的量化评价。注册会计师需要掌握标准、规范且成熟有效的内控评价或审计流程及方法论，并熟悉内部控制规范和评价标准，类似的缺陷可能在某些公司归属于重大缺陷，而在另外一些公司却被归属于重要缺陷，甚至一般缺陷。内控缺陷的评价是内控审计的重点和难点，在评价内部控制缺陷是否重大时，需要注册会计师进行大量的职业判断。而报表审计中对于内部控制的了解和评价仅限于确定控制风险的大小，不用认定内部控制缺陷类型，要求的有效性结论也不需要太精确。因此，注册会计师应该加强内部控制方面的职业判断能力和专业胜任能力并注重内控审计方法和程序的掌握。

（二）内部控制审计与财务报表审计的联系

1.最终目的相同。和财务报表审计一样，注册会计师在对内部控制的有效性进行审计的最终目的都是为了保证财务报告及其相关信息的真实可靠，公允反映。两者都是收集充分适当的证据提供鉴证服务，向公司外部信息使用者提供决策有用的高质量会计信息提供合理保证，降低信息风险。内部控制审计是审计财务信息的生产流程，而报表审计是审计财务信息的本期成果，其共同目的都是提高对外公布的财务报表信息的质量。

2.程序关联。两者都要了解和测试内部控制，并且对内部控制有效性的定义和评价方法相同。财务报表审计中，为了解和评价被审计单位的内部控制情况，注册会计师可以采用询问被审计单位人员、观察特定控制的运用、检查文件和报告、追踪交易在财务报告信息系统中的处理过程（穿行测试）等方法。内部控制审计中，也需要综合运用询问、观察、检查相关文件及重新执行、穿行测试等程序。注册会计师可以利用内部控制审计所取得的审计证据和内部控制有效性评价中发现的缺陷来决定财务报表审计中进一步审计程序的性质、时间和范围。

3.方法相同且有交叉。两者都采取风险导向审计模式，注册会计师首先实施风险评估程序，识别和评估重大缺陷（或错报）存在的风险。在此基础上，有针对性地采取应对措施，实施相应的审计程序。注册会计师在内部控制审计中采用的是自上而下的方法。与财务报表审计方法一样，这种审计方法也是基于全面风险管理基础的以风险为导向的审计方法选择。自上而下的方法始于财务报表层次，以注册会计师对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。一是从财务报表层次初步了解内部控制整体风险；二是识别、了解和测试企业层面控制；三是识别重要账户、列报及其相关认定；四是了解潜在错报的来源并识别相应的控制；五是选择拟测试的控制。

在审计流程上，注册会计师都要先制定审计计划，评估内部控制整体风险，确定重要性水平，识别重要账户、列报及其相关认定，确定执行内部控制审计业务所需资源的性质、时间安排和范围，收集充分适当的审计证据并出具鉴证报告。两者均要识别重点账户、重要交易类别等重点审计领域且确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平，旨在检查财务报告中是否存在重大错报；在财务报告内部控制审计中确定重要性水平，旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同，因此二者在审计中确定的重要性水平亦相同。

五、结论

内部控制审计强化了上市公司信息披露，提高了财务信息质量，是贯彻实施企业内部控制规范体系的重要制度安排，同时也改变了我国会计师事务所业务结构单一的局面，为注册会计师行业做强做大提供了新的业务增长点。我国的内部控制审计也正处于摸索阶段，还有许多地方值得探讨和改进。要在明确内部控制审计目标的基础上，结合我国资本市场和审计市场的实际情况，不能完全对西方的内控审计条文实行“拿来主义”。在内部控制审计和财务报表审计的整合方面，还需要更加深入的研究整合的程序与方法，使内部控制审计不但不成为上市公司的成本和负担，还能与财务报表审计一起发挥成本效益最大化的作用，更好地保护投资者的利益。

普华永道中国金融业市场主管合伙人表示：“站在企业的角度，将内部控制审计与财务报表审计结合起来进行，不但有助于降低企业的审计成本，节省企业的时间及人工投入，更有助于企业完善与财务报告相关流程的管理，促进企业财务报告信息质量的提升。”由同一家事务所进行整合审计，不仅有利于提高审计效果和效率，降低审计成本，减少重复劳动，而且可以避免审计判断出现不一致的情形，降低企业聘请不同事务所实施审计的负担。而上文分析的内部控制审计与财务报表审计的区别和联系也印证了可以将内部控制和财务报表整合审计，这也是美国内部控制审计所采用的审计方式。将两者整合起来进行审计，一方面可以有力提升财务报表审计和内部控制审计的效果和效率。另一方面，内部控制审计与报表审计的结果在多个方面可以互相利用、互相支持，达到更好的审计质量。