程 欣，張 忱

（河海大學商學院，211100)

0 前言

證監(jiān)會在2000年發(fā)布《公開發(fā)行證券公司信息披露編報規(guī)則》中，要求會計事務所對商業(yè)銀行進行審計，并評價商業(yè)銀行內部控制制度的合理性、完整性和有效性。2002年，《塞班斯-奧克斯利法案》的頒布要求要求企業(yè)的管理層對企業(yè)的內部控制進行評價并且要求注冊會計師對內部控制進行審計。我國財政部于2010年頒發(fā)《關于印發(fā)企業(yè)內部控制配套指引的通知》，明確要求上市公司以及非上市大中型企業(yè)聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告，同時也要求企業(yè)對內部控制的有效性進行自我評價，并披露自我評價報告。那么是否能構架一個類似財務報表審計風險模型的內部控制審計風險模型來對企業(yè)的內部控制進行評估呢？

1 內部控制審計的定義

內部控制是被審計單位的董事會、管理層和其他相關人員設計與執(zhí)行的政策及程序，來保證經(jīng)營的效率和效果、對法律法規(guī)的遵守以及合理保證財務報表的可信賴程度。內部控制的目標是為了獲取如下合理保證：1，經(jīng)濟有效地使用企業(yè)資源，以最優(yōu)方式實現(xiàn)企業(yè)的目標，也就是經(jīng)營的效率和效果即；2，財務報表的可靠性，這一目標與管理層履行財務報告編制責任有著密切的關系；3，在法律法規(guī)的框架下從事經(jīng)營活動，即遵守適用的法律法規(guī)的要求。在本文中只需要討論的與財務報表審計相關的內部控制。

美國反欺詐財務報告委員會聯(lián)合美國注冊會計師協(xié)會和英國財務部管理事會一直認為內部控制是：“由企業(yè)的治理層、管理層和其他人員實施的，用來為財務報告的可信賴程度、經(jīng)營成效和效率、遵守法律法規(guī)三類目標的實現(xiàn)提供合理保證的一個過程”。在我國，于2011年印發(fā)的《企業(yè)內部控制審計指引》中明確表示，內部審計應該為：“企業(yè)委托注冊會計事務所，對特定日期內部控制設計與運行的有效程度進行審計”。內部控制的審計是對控制過程的審計，而認定層次的財務報表的審計風險是對結果的審計。同時，對內部控制的審計意見也不是依賴于分析性程序和實質性測試。

同時，發(fā)現(xiàn)財務報表的重大錯報并不是內部控制審計目標。美國注冊會計師協(xié)會(AICPA)和美國公眾公司會計監(jiān)督委員會(PCAOB)分別發(fā)布的審計準則第15號（SSAE No.15）和第5號（AS No.5），兩個準則均認為：注冊會計師審計內部控制的目標是對內部控制有效程度發(fā)表意見。在企業(yè)的內部控制出現(xiàn)一個或多個缺陷（weakness），并且缺陷為嚴重的情況下，企業(yè)的內部控制就被當做無效。因此，注冊會計師需要計劃和執(zhí)行檢查，以獲得充分恰當?shù)淖C據(jù)，來形成表達一個意見的基礎，并取得關于管理層認定表述的特定日期是否存在嚴重缺陷的合理保證。

2011年注冊會計師協(xié)會頒布的《內部控制審計指引》第四條明確指出：會計師事務所執(zhí)行內部控制審計工作，應當獲取充分、適當?shù)淖C據(jù)，為內部控制審計意見提供合理保證。在會計師事務所對內部控制有效程度發(fā)表審計意見的同時，會計事務所需要對在審計過程中發(fā)現(xiàn)的無關財務報告內部控制的缺陷在內部控制報告增加的“非財務報告內部控制重大缺陷描述段”進行披露。因此，獲得充分、恰當?shù)淖C據(jù)來判斷內部控制設計、執(zhí)行或運行有效性是否存在嚴重或重大缺陷，來為內部控制有效性出具鑒證意見是注冊會計師在內部控制審計中的目標。所以在包括內部控制審計和財務報表審計的整合審計中，注冊會計師需要利用的內部控制風險模型和財務報表審計風險模型不光在業(yè)務上，在目標上也有著顯著的不同。本文試圖為企業(yè)內部內部控制風險建立一個模型。

2 什么是內部控制的審計風險

類比于財務報表審計風險，內部控制的審計風險可以定義為“會計師事務所在企業(yè)的內部控制后有明顯的缺陷時，對企業(yè)內部控制發(fā)表不恰當?shù)膶徲嬕庖姷目赡苄浴?。內部控制的嚴重缺陷，主要原因是由于以下兩方面，首先，設計和實施內部控制存在嚴重缺陷，二是在充分的設計和實施內部控制的前提下，內部控制的有效性是存在嚴重有缺陷。注冊會計師需要考慮控制無論是在單獨使用還是與其他其他控制一起使用的情況下，評價控制的設計是否合理，是否能有效地防止和糾正重大錯報。某項控制存在于被審計單位且被審計單位正在使用是評價控制是否得到執(zhí)行的標準。注冊會計師的目標就是獲知關于企業(yè)的內部控制系統(tǒng)是否存在嚴重缺陷。

可以從以下幾方面獲取審計證據(jù)來發(fā)現(xiàn)設計和運行中是否存在的重大缺陷：1，觀察特定控制的應用；2，檢查文件、報告和記錄；3，對審計單位人員進行詢問；4，追蹤交易在財務報告信息系統(tǒng)中的處理過程。

如果注冊會計師認為被審計單位控制設計合理并得到執(zhí)行，那么注冊會計師應對這些控制在控制執(zhí)行期間內是否得到一貫執(zhí)行進行測試。即需要通過控制測試確定企業(yè)內部控制運行的有效程度，也就是所實施的內部控制是否能夠有效防止或發(fā)現(xiàn)并糾正重大錯報風險。注冊會計師應該從以下三方面獲取審計證據(jù)來發(fā)現(xiàn)有效性是否存在重大缺陷：1，控制由誰執(zhí)行，以何種方式；2，在所審計期間的相關時間點控制是怎樣運行的；3，控制的執(zhí)行是否是一貫的。

3 內部控制的審計風險模型

根據(jù)上述分析，一個或數(shù)個重大缺陷可能出現(xiàn)的情況有：（1）由于固有錯報的存在，內部控制沒有能夠合理設計；（2）內部控制的執(zhí)行不夠充分；（3）在內部控制被充分設計和執(zhí)行的情況下，內部控制沒有能夠有效運作。那么注冊會計師對內部控制發(fā)表不恰當審計意見的風險（Internal Control Audit Risk, ICAR）就應當與下列風險有關：

1）控制設計和執(zhí)行風險（CDER, Control Design and Execution Risk），CDER指的是注冊會計師對內部控制沒有被充分設計或執(zhí)行的可能性分析。注冊會計師在判斷控制的充分性時，需考慮在內控無效或者沒有執(zhí)行內控時，財務報表認定層出現(xiàn)差錯的概率。隨著固有風險的降低，對控制的需求也將變弱；相應的隨著固有風險的增加，企業(yè)越需要內控來防止、發(fā)現(xiàn)以及改正錯報。。設計和執(zhí)行的充分程度與ICAR的高低成反比。

2）固有風險（IR, Intrinsic Risk），即注冊會計師對“固有風險是指在不考慮內部控制結構的前提下，由于內部因素和客觀環(huán)境的影響，一個審計認定單獨或連同其它相關認定發(fā)生重大錯報的可能性分析。固有風險即存在于報表層，如控制環(huán)境，也可能存在于認定層，例如單個賬戶余額或項目等。如果固有錯報越重大，則ICAR則越大；如果固有錯報較低，則ICAR則較小。

3）有效性風險（ER, Effectiveness Risk），在設計和執(zhí)行充分的條件下，內部控制在一定期間內的執(zhí)行程度不足導致的難以防止和更正重大錯報的風險的分析。在ICAR一定的條件下注冊會計師根據(jù)IR和CDER的程度來確定ER風險高低，進而確定控制測試的強度。這與審計風險=重大錯報風險×檢查風險中的檢查風險相似。

由此可以確定內部控制審計模型：

ICAR＝IR×CDER×ER

需要指出的是，控制測試是注冊會計師認為內部控制已經(jīng)被充分設計和執(zhí)行的前提下實施。如果認為企業(yè)的內部控制沒有被充分地設計和執(zhí)行，注冊會計師需評估這一控制缺陷是否能夠構成嚴重缺陷。

4 審計模型在整合審計中的應用

在注冊會計師協(xié)會頒布的《內部控制審計指引》中第五條規(guī)定，審計師既可以單獨進行內部控制審計，也可以將內部控制與財務報表進行整合審計。這說明內部控制審計業(yè)務和財務報表審計業(yè)務和目標都不相同，但是內部審計和財務報表審計這兩種業(yè)務可以整合在一起進行。

注冊會計師在整合審計中先后使用內部控制風險和財務報表審計風險兩個模型來確定審計風險。第一步，注冊會計師用內部控制審計風險模型測試控制的有效性。第二步，注冊會計師在基于財務報表審計模型的基礎上判斷實質性測試的有效性。因為有效的內部控制可以有效地防止、發(fā)現(xiàn)和更正財務報表的重大錯報，減少固有風險，所以如果在內部控制測試后發(fā)現(xiàn)內部控制存在嚴重缺陷的風險低于重要性水平，那么財務報表層次蹲在重大的可能性也相應較低。又如果注冊會計師認為重大錯報風險并非較低，則預期將發(fā)現(xiàn)嚴重缺陷，注冊會計師應當收集足夠的證據(jù)，并以內部控制審計風險模型作為判斷的依據(jù)，對內部控制的有效性發(fā)表鑒證意見。

5 結論

內部控制審計準則應該在以下幾個方面予以改進：（1）財務報表審計的風險模型和內部控制的審計風險模型有明顯不同，前者只是針對于財務報表審計，而不適用于針對內部控制的審計；（2）在制定審計準則時明確所討論的是哪一種風險，例如是內部控制的嚴重缺陷風險或者財務報表認定層的重大錯報風險，并貫徹一致性地運用。

[1]財政部會計司.2010.企業(yè)內部控制規(guī)范講解[M].北京：經(jīng)濟科學出版社，第一版.

[2]Ettedge，M.，C.Li，and L.Sun.2006.The Impact of Internal Control Quality on Audit Delay in the SOX Era[J].Auditing：A Journal of Practice and Theory 25：1-24.

[3]Abraham D. Akresh.A Risk Model to Opine on Internal Control［J].Accounting Horizons，2010.