上市公司内部控制鉴证 审核抑或审计

　　摘要：本文对内部控制审核与内部控制审计进行比较，然后通过回顾内部控制鉴证制度的演进阐述我国对内部控制鉴证业务性质的定位，通过对深市主板上市公司披露的2009年度内部控制鉴证报告进行统计分析，发现注册会计师对内部控制鉴证业务的性质认识不统一，最后提出了相关的建议。
　　关键词：内部控制鉴证 审计 审核
　　
　　自2006年我国对资本市场内部控制信息披露实施管制以来，上市公司披露的内部控制鉴证报告数量猛增，但是这些报告的标题和内容却五花八门，可比性较差，削弱了信息的有用性。究其原因，主要是注册会计师对内部控制鉴证业务性质的认识存在差异。现阶段内部控制鉴证业务是定位于审核抑或审计，这是一个有必要厘清的重要问题。本文拟对此问题进行理论分析和实证研究，旨在为提高我国上市公司内部控制鉴证制度的实施效果有所帮助。
　　一、内部控制审核与内部控制审计辨析
　　根据国际审计鉴证准则委员会（IASSB）的定义，鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强责任方之外的预期使用者对鉴证对象信息信任程度的一种业务，其中鉴证对象信息是对鉴证对象按照标准进行评价和计量的结果。在鉴证业务中，内部控制审核（Examination）与内部控制审计（Audit）的区别主要表现在以下五个方面：
　　一是保证水平不同。内部控制审核提供的是有限保证，而内部控制审计提供的是合理保证，合理保证的保证水平要高于有限保证。
　　二是鉴证对象不同。在内部控制审核中，注册会计师仅就企业管理当局对特定基准日的内部控制有效性的认定（即企业内部控制自我评价报告）进行审核，并发表审核意见。在内部控制审计中，注册会计师不仅要审计管理层的报告，还要出具一份有关公司内部控制效果的单独的、独立的意见。从鉴证对象看，注册会计师在内部控制审计业务中承担的责任显然要重于审核业务。
　　三是测试控制设计与运行有效性的程序不完全相同。内部控制审核包括询问、观察、检查、重新执行，内部控制审计。除了用到上述程序外，还必须实施穿行测试，以便为其审计意见提供充分适当的证据。美国公众公司会计监督委员会（PCAOB）的审计准则要求外部审计人员至少对每个重要交易实施一次穿行测试。穿行测试涉及从原始凭证追踪某笔交易，经企业的信息系统，直至它在企业财务报告上反映出来。而在审核业务中只是简单地了解企业内部控制，针对性不强，收集的证据的充分性和适当性要弱很多，因此无须执行穿行测试。
　　四是鉴证意见态度不同。内部控制审核是以消极方式发表鉴证意见，而内部控制审计是以积极方式发表鉴证意见。
　　五是社会影响不同。财务报告内部控制鉴证业务主要是为资本市场服务，其鉴证结果对整个社会有巨大而深远的影响。相比于内部控制审核，内部控制审计提供的保证水平较高，因而社会公众更多地依赖审计意见。内部控制审计的社会影响显然要比内部控制审核的大得多。
　　上述五个方面的差异，核心是保证水平不同。正是源于内部控制审计提供的保证水平高于内部控制审核提供的保证水平，才导致了注册会计师需要执行更加周密、严格的计划，收集更加充分适当的证据，以支持注册会计师以积极方式发表审计意见，同时也使得其社会影响更大，注册会计师承担的责任更重。
　　二、我国内部控制鉴证制度的演进—由审核到审计
　　2000年11月中国证监会发布《公开发行证券的公司信息披露编报规则》， 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告，并委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性及有效性进行评价，提出改进建议，并出具评价报告。这是我国首次确立上市公司内部控制专项审核制度。而后证监会以信息披露内容与格式的形式要求，将对内部控制鉴证扩大到了在境内申请首次公开发行股票并上市的公司以及申请发行新股的上市公司范围。2002年2月，为了规范注册会计师执行内部控制审核业务，国注册会计师协会颁布了《内部控制审核指导意见》。
　　2006年，沪深交易所先后出台《上市公司内部控制指引》，要求上市公司披露内部控制自我评价报告，深交所要求其所有主板上市公司的注册会计师在对公司进行年度审计时，就公司财务报告内部控制情况出具评价意见，而上交所仅要求会计师事务所出具对内部控制自我评估报告的核实评价意见。这标志着我国全面实施上市公司内部控制鉴证制度。虽然两份指引未明确说明内部控制鉴证业务的性质，但是从其规定的鉴证对象和注册会计师责任看，沪深交易所对内部控制的定位不同，上交所定位为审核，而深交所定位为审计。这表明这一时期政府监管部门对上市公司内部控制鉴证的性质尚未达成共识。
　　2008年6月，财政部等五部委联合发布我国最具权威性的《企业内部控制基本规范》，其中第十条要求会计师事务所对企业内部控制的有效性进行审计，出具审计报告。《基本规范》对内部控制鉴证的定位与美国SOX法案相同，这将中国的内部控制鉴证推向了保证程度最高的审计业务，中国的内部控制鉴证正式从审核转变为审计。2010年4月，财政部等发布《企业内部控制审计指引》，首次对注册会计师执行内部控制审计业务进行专门规范。至此，从制度层面上说，我国上市公司内部控制鉴证业务性质的定位已完全明确。
　　显然，我国内部控制鉴证经历了由审核向审计转变的发展轨迹，这种转变虽然会增加企业的成本，同时也对注册会计师的专业胜任能力提出了更高的要求，但是有助于加强公司治理，提高财务报告质量，保护投资者利益，符合企业和社会的长远利益。
　　三、内部控制鉴证业务性质认同度调查
　　如前所述，深交所对内部控制鉴证定位为审计，这与2008年颁布的《企业内部控制基本规范》一致，那么，实践中注册会计师是否均认同这一定位呢？我们以2009年度深市主板上市公司披露的内部控制鉴证报告为样本来研究这一问题。
　　2009年度深市共有485家上市公司，其中96家披露了注册会计师的内部控制鉴证报告。从报告标题来看，使用的报告标题有10余种之多，其中使用最广泛的是“内部控制鉴证报告”，共42份，占总数的43.75%， 其次是“内部控制审核报告”，共23份，占总数的23.96%，其余的使用“内部控制制度报告”、“内部控制审核评价意见”、“专项报告”以及“专项说明”等名称。由此可见，注册会计师对内部控制审计业务性质的认识存在分歧。值得注意的是，没有一份报告采用“审计报告”作为标题，由于审计业务在鉴证业务中要求的保证程度最高，注册会计师面临的法律风险最大，因此在专门的内部控制鉴证指引出台前，事务所很有可能出于规避风险的考量而弃用这一名称。
　　从报告的内容来看，96份鉴证报告可以划分成三种范式，一是审计报告，共75份，占比是78.13%，报告对被审单位内部控制的有效性以积极方式发表审计意见；二是审核报告，共5份，占比是5.21%，报告强调提供的保证水平为有限保证，其保证程度低于合理保证；三是其他鉴证业务报告，共16份，占比是16.67%，报告强调不是对内部控制专门审核，仅就管理当局提供的内部控制自我评价报告与注册会计师对该公司财务报表的审计发现在重大方面是否一致发表意见。以上统计结果说明注册会计师未一致认同将内部控制鉴证业务定位为审计，近四分之一的注册会计师将内部控制鉴证业务定位为审核或保证程度更低的其他鉴证业务。上述现象反映出深交所的《上市公司内部控制指引》没有得到全面的贯彻执行。
　　四、结论与建议
　　内部控制审计与内部控制审核在保证程度、鉴证对象、测试程序、鉴证意见态度等诸多方面存在差异。我国上市公司内部控制鉴证制度最初定位为审核，后发展为审计，制度创新的目的是最大限度的促进企业内部控制建设，提高上市公司内控信息披露的质量。在对深市主板市场上内部控制鉴证报告进行统计分析后，我们发现我国注册会计师还没有对内部控制鉴证业务的性质形成统一的认识。因此，我国有关的政府监管机构和行业协会还需要针对内部控制审计业务加大对注册会计师的宣传和培训，加强对内部控制审计业务的监管，促使内部控制审计业务质量不断提高。
　　参考文献:
　　①蔡吉普. 我国上市公司内部控制信息披露的实证研究[J]．审计与经济研究，2005（3）:85—88
　　②方红星. 强制披露规则下的内部控制信息披露－基于沪市上市公司2006年年报的实证研究[J]．财经问题研究，2007（12）:58—64
　　③林斌，饶静．上市公司为什么自愿披露内部控制鉴证报告？——基于信号传递理论的实证研究[J]．会计研究，2009（2）:45—52
　　④[美]迈克尔 拉莫斯著，李海风译.如何遵循SOX404条款—评估内部控制的效果[M]，第1版．北京：中国时代经济出版社，2007:3—14
　　⑤袁秋云.沪市上市公司2008年内部控制鉴证报告分析[J]．财经界，2009（9）:10—11
　　⑥中国会计学会编. 企业内部控制自我评价与审计[M]. 第1版．大连：大连出版社，2010：69—91
　　（刘俊萍，1974年生，贵州都匀人，贵州财经学院会计学院副教授。研究方向：内部控制）