《企业内部控制审计指引》中存在的问题

□文/夏萍萍

（苏州大学东吴商学院 江苏·苏州）

一、内部控制审计的概念界定

《企业内部控制审计指引》第二条规定:“内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。”从常识来说，定义中“特定基准日”是指某个时点，而非对财务报表涵盖的整个期间。关于内部控制审计时间的确定，学术界也有不同的观点。

观点一:应对特定基准日内部控制的有效性进行审计，针对特定时点相关内部控制的有效性发表意见（李爽、吴溪，2003）。他们认为:内部控制是一个连续动态的过程，虽然部门控制运行后能够留下控制轨迹，如批准销售、发货等，但也有很多控制在运行后是无迹可查的。注册会计师在审计内部控制时所使用的审计程序往往只能获取时点的证据，当然也就只能针对该时点内部控制的有效性发表意见。同时，若对整个年度的内部控制做出测试和评价其成本极其昂贵，实践性较差。

观点二:应对特定时期内部控制的有效性进行审计，针对特定时期相关内部控制的有效性发表意见（吴水澍，2000；潘秀丽，2001）。他们认为虽然内部控制的有效性是就某一时点而言的，但某一时点有效的内部控制并不能保证年度财务报告的可靠性，也不能保证企业在整个期间内守法经营。

然而，本文认为应对特定时期内部控制设计与运行的有效性进行审计，针对特定基准日的相关内部控制的有效性发表意见。内部控制是持续运行的，不存在仅在某一时点上有效的内部控制，评价某一时点上的内控没有任何意义。对此，笔者认为，如果注册会计师只需要对某一时点的内部控制进行审计并发表意见，审计成本低一些，注册会计师的相关责任也更小一些，但是，由于财务报告中所反映的相关交易和事项并非全在12月31日发生。因此，影响财务报告编制过程的并不仅仅局限于12月31日的内部控制。事实上，尽管许多财务报告舞弊（如利用虚构交易、提前确认收入等手法进行收入舞弊）多发生于期末，但也往往是在邻近资产负债表日的一段时间内发生，而不仅仅局限于12月31日。因此，注册会计师对邻近资产负债表日的一段时间内的内部控制均应保持高度的关注。更重要的是，内部控制是一个动态化的过程，企业环境和内部控制均处于不断变化当中，如果只对某个时点的内部控制进行评价，将会降低评价结果的相关性，而且也容易产生无法验证的问题。因此，笔者认为，注册会计师只对资产负债表日（或其他特定日期）的内部控制的有效性发表意见，显然是不恰当的。注册会计师应该要考察企业足够长的时间内内部控制设计和运行情况。例如，注册会计师在5月份对企业的内部控制进行测试，发现问题后提请企业进行整改，如6月份整改，企业的内部控制在整改后要运行一段时间（假设至少需一个月），8月份注册会计师再对整改后的内部控制进行测试。所以说，注册会计师要在一年的不同时点内对内部控制的有效性获取证据，并更新这些证据，以支持期末发表的内部控制有效性的意见。

所以，本文认为内部控制审计的概念应该界定为:内部控制审计是指会计师事务所接受委托，对特定时期内部控制设计与运行的有效性进行审计。

二、内部控制审计的业务范围界定

内部控制审计的范围问题，主要指注册会计师是对企业财务报告内部控制进行审计，还是对企业所有内部控制进行审计。《企业内部控制审计指引》规定注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。可见，我国内部控制审计主要是对财务报告的内部控制进行审计，而非对内部控制整体进行审计。国内众多学者也支持此观点（谢晓燕，2009；刘明辉，2010等）。他们认为将内部控制的目标集中在财务报告可靠性上，更有利于保护投资者利益。同时，目前美国和日本等国家均要求注册会计师就财务报告内部控制发表意见，尚无一例要求对内部控制整体发表意见，将内部控制鉴证定位为财务报告内部控制审计业务符合国际惯例。

但是，本文认为内部控制审计应立足于企业内部控制的整体而非仅财务报告内部控制。内部控制审计的范围，决定了注册会计师的工作范围，也决定着审计的质量、成本和责任。一方面为了遏制内部控制各种可能的外部性，为财务报表使用者提供尽可能多的附加信息，促进被审计单位全面加强内部控制建设，内部控制审计应当以整个内部控制为审计单位；另一方面从理论上说，既然称之为内部控制审计，那么内部控制审计的目标就应当与内部控制的目标一致，而不应仅仅局限于财务报告目标。美国内控审计的定位在于财务报告的真实性。就我国企业而言，这种定位失去了建立与实施内控体系的本质意义。内部控制的目标包括经营管理合法合规目标、资产安全目标、财务报告及相关信息真实完整目标、提高经营的效率和效果目标、促进企业实现发展战略目标，而不仅限于为财务报告的可靠性提供合理保证。财务报告真实性只是内控审计的目标之一，而切实防范重大风险、促进企业实现发展战略才是内控审计的根本出发点。从内容上来讲，内部控制并不都是与财务报告有关的，如质量控制、人力资源控制、运营分析等并不一定直接与财务报告相关。所以，内部控制审计对象应涵盖内部控制整体。再者，将内部控制审计的内容仅限于财务报告内部控制只能满足监管机构的要求，但无法满足其他利益关系人的要求。利益相关者关注的不只是报告目标，他们还关注合规性、安全性和战略目标。利益相关者希望对公司内部控制运行情况有更加全面的了解，这样就有利于他们做出决策。最后，企业多数内部控制的政策和程序并非仅针对报告目标而设计，有时很难将这些内部控制与财务报告内部控制区分开来。

总之，财务报告有效性并不等同于内部控制有效性。对内部控制整体进行审计，实践起来肯定是一个难题，但既然确定这一方向，就要勇敢走下去，而不能因为一时困难就偏离正确的方向。

[1]财政部等五部委.企业内部控制规范.中国财政经济出版社，2010.

[2]李爽，吴溪.内部控制鉴证服务的若干争议与探讨.中国注册会计师，2003.5.

[3]潘秀丽.对内部控制若干问题的研究.会计研究，2001.6.

[4]谢晓燕，张心灵，陈秀芳.我国内部控制审计的现实选择——基于内部控制审计与财务报表审计关联的分析.财会通讯，2009.3.