内部控制鉴证业务:争议与选择

　　一、内部控制鉴证业务的性质
　　
　　内部控制鉴证应当界定为何种性质的业务，是合理保证的鉴证业务（内部控制审计），还是有限保证的鉴证业务（内部控制审核），一直是学术界和职业界争议的话题。张龙平、刘光忠（2010）认为，财务报告内部控制审计作为一种新的制度安排，在美国经历了三个阶段：财务报表审计中的内部控制评价阶段、内部控制审核阶段和内部控制审计阶段。美国公众公司会计监督委员会（PCAOB）发布的AS No.2及其后的AS No.5要求注册会计师对企业内部控制进行审计，而之前美国注册会计师协会（AICPA）发布的SSAE No.2仅要求注册会计师对企业内部控制进行审核。在我国，中国注册会计师协会印发的《内部控制审核指导意见》认为，内部控制审核是指注册会计师接受委托，就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见。显然，指导意见将内部控制鉴证业务的性质定位于有限保证，而财政部等五部委发布的《企业内部控制审计指引》却把内部控制鉴证业务的性质界定为合理保证。日本企业会计审议会发布的《内部控制评价与审计准则》也是把内部控制鉴证作为合理保证的鉴证业务。这表明职业界和监管层对内部控制鉴证业务性质的认识经历了一个由有限保证到合理保证的演变。
　　目前，各国倾向于把内部控制鉴证业务界定为合理保证的鉴证业务（内部控制审计），我们认为主要是基于以下原因：第一，鉴证业务环境决定了鉴证业务的需求和供给。首先，本世纪初安然、世通等公司的财务舞弊事件发生后，人们逐步认识到健全有效的企业内部控制对于预防财务舞弊、保护投资者利益的重要性。政府监管机构、投资者甚至社会公众要求企业对外披露其内部控制信息，并要求注册会计师提高对企业内部控制有效性的保证程度以增强企业披露的内部控制信息的可靠性和可信度。注册会计师职业作为一种依附型职业，要想继续生存和获得长远发展，必须满足预期使用者对内部控制鉴证业务的需求。再者，尽管将内部控制鉴证业务界定为合理保证的业务，注册会计师所承担的鉴证业务的风险相对更大些，但是所获取的审计证据却更为充分和适当，可以为内部控制鉴证提供更高程度的保证。这样，注册会计师不可避免地要提高内部控制鉴证业务的保证程度，促使内部控制审核向内部控制审计转变。第二，内部控制鉴证的保证程度要与财务报表审计的保证程度相一致。目前，各国允许内部控制审计与财务报表审计整合进行。在内部控制审计过程中所取得的审计证据可以作为财务报表审计中的内部控制评价的审计证据使用，财务报表审计过程中所取得的审计证据也可以作为内部控制审计的证据使用。这样，在内部控制审计与财务报表审计的整合进行中，注册会计师为财务报表审计提供合理保证，相应地也要为内部控制审计提供合理保证；否则，分别在内部控制审计和财务报表审计中所获取的审计证据的充分性以及适当性会存在差异，导致审计证据的交叉运用价值降低。将内部控制鉴证业务的性质定位于合理保证，要求注册会计师对企业内部控制的设计和运行实施更为详尽的审计程序，获取更为充分适当的审计证据，从而为财务报表审计提供更为可靠的依赖基础。更为重要的是，这样有助于督促企业更加重视内部控制的健全和完善。
　　
　　二、内部控制鉴证业务的类别
　　
　　内部控制鉴证业务应当划分为基于责任方认定的业务还是直接报告业务，也是学术界和职业界一直在探讨的问题。美国AS No.5认为，在财务报告内部控制审计中，注册会计师的目标是对公司财务报告内部控制的有效性发表意见”，但是其又指出本准则为注册会计师审计管理层针对财务报告内部控制有效性作出的评估设立要求和提供指导。可见，PCAOB虽然倾向于将内部控制鉴证业务划分为直接报告业务，但在AS No.5中却未作出清晰、明确的界定，仍然留有将内部控制鉴证业务归类为基于责任方认定的业务的“痕迹”。日本《内部控制评价与审计准则》规定，承担财务报表审计的审计人员，对管理层进行的财务报告内部控制有效性的评价结论进行审计的目的，在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则，在所有要点上是否适当表明内部控制有效性的评价结论，将基于审计人员自身取得的审计证据进行判断的结果作为意见，予以表明。显然，日本企业会计审议会对内部控制审计的类别归属采用了基于责任方认定的业务的观点。在我国，从《内部控制审核指导意见》到《企业内部控制审计指引》，内部控制鉴证业务的类别归属经历了由基于责任方认定的业务向直接报告业务演变的过程。
　　我们倾向于将内部控制鉴证业务划分为直接报告业务，主要是基于以下缘由：第一，降低审计成本的考虑。基于责任方认定的业务的逻辑顺序是：首先，责任方按照标准对鉴证对象进行评价和计量，形成责任方认定，注册会计师获取该认定；然后，注册会计师根据适当的标准对鉴证对象再次进行评价和计量，并将结果与责任方认定进行比较；最后，注册会计师针对责任方认定提出鉴证结论，或直接对鉴证对象提出结论。而在直接报告业务中，无论责任方认定是否存在、注册会计师能否获取该认定，注册会计师在鉴证报告中都将直接对鉴证对象提出结论。可以看出，如果将内部控制鉴证业务定位为基于责任方认定的业务，那么，注册会计师在内部控制鉴证业务中需要实施更为复杂的审计程序，需要消耗更多的审计资源，审计成本相应增加。第二，将内部控制鉴证业务归为基于责任方认定的业务，可能会引起预期使用者的误解。如果企业的内部控制设计和运行存在缺陷，而责任方在企业内部控制评价报告中对其内部控制的缺陷进行了如实披露，那么注册会计师就要对企业的内部控制评价报告发表无保留的审计意见。并非所有的预期使用者都具有完备的内部控制知识结构，而且预期使用者更倾向于关注注册会计师的内部控制鉴证报告，而不是企业管理层的内部控制评价报告，这样就有可能引起少数预期使用者的误解，认为注册会计师出具了无保留意见的内部控制鉴证报告，则企业内部控制设计和运行就不会存在缺陷，而事实上却存在缺陷。
　　
　　三、内部控制鉴证的时间范围
　　
　　内部控制鉴证业务的时间范围主要有时点观和时期观两种。美国AS No.5在附录B中指出，为了对截至某一时点的财务报告内部控制发表意见，注册会计师应当获取财务报告内部控制在一段足够长期间内有效运行的证据，这个期间可能短于公司财务报告涵盖的整个期间（通常为一年）。日本《内部控制评价与审计准则》要求，审计人员对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则，对财务报告内部控制的评价在所有的要点上是否合理列示，通过内部控制审计报告表明意见。这一意见，是对期末日的财务报告内部控制有效性的评价表明的意见。在我国，注册会计师协会发布的《内部控制审核指导意见》采用了时点观，财政部等五部委发布的《企业内部控制审计指引》也采用了相同的观点，但财政部会计司、中注协在解读《企业内部控制审计指引》时指出，注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。注册会计师所采用的内部控制审计的程序和方法，也体现了这种延续性。在学术界，吴水澎、陈汉文、邵贤弟（2000）认为应当对企业内部控制进行整个年度的审计与报告，理由是某一时点有效的内部控制不能保证年度财务报告的可靠性或企业在整个经营期间内守法经营；李爽、吴溪（2003）认为对整个年度的内部控制作出评价，其成本是极其高昂的，而且也是不可能的，因此，注册会计师应当对内部控制特定时点的有效性发表意见，但要对合理期间的内部控制进行测试；刘明辉、何敬（2009）运用管理学中的“有限理性”对注册会计师的内部控制鉴证行为进行分析，并从法的合理性角度探讨内部控制鉴证业务相关制度安排，认为注册会计师应当对企业特定期间的内部控制进行了解和有限测试，并对特定时点有效性发表意见。
　　我们认为，内部控制鉴证业务的时间范围应当采用时点观，但需要体现企业内部控制向前的延续性，主要是因为：第一，正如李爽、吴溪（2003）所指出的，内部控制鉴证的功能是有限的，财务报告的可靠性、遵循法规以及保证经营效率与效果等目标并不能过分依赖于内部控制的外部鉴证来完成，更多的责任仍在于管理层建立健全内部控制并努力实现其有效执行；而且，对整个年度的内部控制作出评价，其成本是极其高昂的，也是无法实现的。第二，内部控制鉴证业务不同于财务报表审计，企业内部控制系统运行后留下的控制轨迹较少，这样注册会计师应用内部控制鉴证程序获得的更多的是审计时点的证据，而较少获得支持企业内部控制在整个期间内运行有效性的证据。这样，注册会计师仅能对企业特定时点的内部控制的有效性发表鉴证意见。
　　(作者单位:东北财经大学会计学院)