论述我国内部控制审计存在的困境和缺陷

论述我国内部控制审计存在的困境和缺陷

导读：我国的内部控制审计面临着审计范围的界限模糊、审计标准过于原则化、注册会计师的专业胜任能力不足三大困境。

摆脱困境的具体策略包括制定指南，明确财务报告内部控制与非财务报告内部控制的界限；授权企业制定内部控制具体标准；取消重大缺陷的认定，采用定性与定量相结合的方法认定内部控制重要缺陷和一般缺陷；多途径强化注册会计师培养，以提高注册会计师的专业胜任能力等等。

一、引言
2008年5月25日，财政部会同证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》（简称《基本规范》），为我国内部控制规范体系的构建提供了框架。《基本规范》第十条规定“接受企业委托从事内部控制审计的会计师事务所，应当根据规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。”
这一规定标志着内部控制审计正式进入我国注册会计师业务领域。为推进《基本规范》的实施，使内部控制规范发挥应有的作用，财政部再次会同证监会、审计署、银监会、保监会五部委于2010年4月15日印发了包括18项应用指引、1项评价指引和1项审计指引的《企业内部控制配套指引》（简称《配套指引》）。《配套指引》自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大至上海证券交易所、深圳证券交易所主板上市的公司施行。这意味着内部控制审计将于2012年度大幅度展开，并强制施行。根据《企业内部控制审计指引》（简称《审计指引》）的规定，内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。其中，内部控制应当涵盖财务报告内部控制和非财务报告内部控制，内部控制审计应是对企业整个内部控制系统实施审计，并对其设计的合理性、运行的有效性发表审计意见。但《审计指引》却区分了注册会计师应对财务报告和非财务报告内部控制审计所承担的责任，因此，内部控制审计必须明确区别财务报告与非财务报告内部控制。而两者的边界如何明晰？至今尚缺乏明确的指南。此外，内部控制审计还面临着内部控制规范体系还不够完善，内部控制审计标准还不够明确、不够具体，非财务报告内部控制本身的复杂性导致其缺陷难以被认定等诸多不利因素。这些不利因素将使注册会计师陷入判断标准缺乏、专业胜任能力不足等困境，在审计意见的发表上，容易引发与客户的严重分歧，出现“各持己见”“争论不休”的局面。

二、内部控制审计所面临的困境
（一）审计范围困境何谓内部控制？《基本规范》借鉴了COSO委员会发布的《内部控制整体框架》（COSO报告）的定义，即内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。它由内部环境、风险评估、控制活动、信息与沟通和内部监督五要素构成。其中，内部控制目标定位于合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整性，提高经营效率和效果，促进企业实现发展战略。由定义不难看出，企业内部控制贯穿于企业整个经营管理过程“，嵌入”企业经营管理的方方面面。换言之，内部控制在企业经营管理过程中无时不在、无处不在，但又难以触摸、准确把握，企业内部控制已经被泛化、抽象化了。在这种情况下，如果把企业内部控制整体作为鉴证对象，必将导致内部控制审计范围亦被泛化，在审计实践中难以准确把握审计的边界，给审计实务带来困难，相应地也将大幅度地增加审计成本。然而，若沿袭传统，将审计范围圈定于财务报告内部控制，却难以满足日益增长的投资者和其他利益相关者的审计需求。自2001年安然事件爆发，直至2008年全球性金融危机以来，代写会计硕士论文投资者和其他利益相关者越来越清楚地认识到仅仅关注财务报告的真实公允性是远远不够的，还应同时关注经营的合法合规、资产安全完整、企业战略目标的实现等等，单纯的财务报告审计目标已不能满足利益相关者的需求，市场需求的变化无形地将审计领域延伸到了整个的企业内部控制系统。但客观需求与主观约束的冲突客观存在，内部控制审计陷入了“两难”困境。
为摆脱“两难”困境《，审计指引》采取了折衷策略，即在形式上把鉴证对象扩大到企业内部控制整体，实质上却将内部控制一分为二，区别对待。如《审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。《审计指引》并未要求注册会计师对非财务报告内部控制发表审计意见，也不要求注册会计师为之承担审计责任，注册会计师所承担的仅仅是重大缺陷的披露责任。在未明确非财务报告内部控制审计责任的前提下，机会主义必将驱使注册会计师仍将审计的重心置于财务报告内部控制的审计，在非财务报告内部控制审计上将支付尽可能少的审计成本，在整合审计中难以有效兼顾非财务报告内部控制的审计。
因此，披露“非财务报告内部控制重大缺陷”很可能流于形式，难以实现《基本规范》所设定的内部控制审计目标。这一规定同时表明，注册会计师对非财务报告内部控制所提供的保证是有限保证，并没有上升到鉴证层次，准确地说，是非财务报告内部控制的审核，而不是非财务报告内部控制的审计。所以说我国的内部控制审计还不是完整意义上的审计，《审计指引》的规定与《基本规范》的基本要求存在一定的冲突。撇开《审计指引》与《基本规范》的冲突，仅就财务报告与非财务报告内部控制的区分而言，现状是：理论上缺乏深入的研究，实务层面也没有明确的指南。从字面上分析，财务报告内部控制是与财务信息的真实公允性相关的内部控制，但实质上，任何内部控制缺陷或漏洞都有可能影响财务信息的真实公允性，财务报告内部控制与非财务报告内部控制的界限实质上很难划清。例如，管理层凌驾于内部控制之上，应属于非财务报告内部控制缺陷，但其经济后果必然反映在财务信息里，影响财务信息的真实公允性，是否也可以归为财务报告的内部控制呢？因此，财务报告与非财务报告内部控制间的关系是一个相互融合、互为作用、相互转化的动态关系，其间模糊的、漂移着的界限，必将给财务报告与非财务报告内部控制的划分带来困难，审计责任的认定亦是困难重重。
（二）鉴证标准困境内部控制审计属于鉴证业务，提供的是合理保证，要求将审计风险降至可接受的低水平，并发表积极的审计意见。作为一项独立的鉴证业务，内部控制审计同样必须具有独立的鉴证目标、鉴证对象、鉴证标准和鉴证报告。从鉴证业务要素上看，内部控制审计的另一个难点在于鉴证标准（即审计标准）的建设。目前，我国已经建立了含《基本规范》和《配套指引》在内的内部控制规范体系，从法律地位来看，该规范体系自然成为内部控制审计标准。但该规范体系是典型的原则导向的“游戏规则”。作为原则导向的规则，其显著特点是适应性、通用性强，只提供一般性、原则的规范，执行者可以依据规范，结合本企业实际灵活设计、执行，执行者具有较大的自由裁量权。
其不足显而易见，主要表现在可操作性较差，往往存在“柔性有余、刚性不足”，如果将其作为鉴证标准，因标准不具体，缺乏应有的“刚性”，极易产生认识偏差和观点分歧，出现判断上的困难。因此，仅仅以现行企业内部控制规范体系作为内部控制审计的标准，将会导致内部控制审计陷入鉴证标准困境。另外，我国企业内部控制审计的目标是对内部控制的设计与运行的有效性发表意见。就审计实务而言，就是要获取充分、适当的证据证明被审计单位内部控制的设计与运行是否存在缺陷，存在缺陷的严重程度如何，等等。何谓内部控制缺陷？缺陷的严重程度如何衡量？至今，无论在理论上，还是在实务层面都缺乏系统的研究，尤其在内部控制缺陷严重程度的划分上没有一个可供操作的、可量化的公认标准，大都停留在从定性的角度描述缺陷的严重程度，我国也不例外。如《企业内部控制评价指引》（简称《评价指引》）规定，内部控制缺陷包括设计缺陷和运行缺陷，根据缺陷的影响程度分为重大缺陷、重要缺陷和一般缺陷。一个或多个控制缺陷的组合可能导致企业严重偏离控制目标的，认定为重大缺陷；如果严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的，认定为重要缺陷；除重大、重要缺陷以外的其他缺陷则为一般缺陷。偏离控制目标的严重程度如何衡量？这里的“可能”是多大的可能？这些问题都需要具体化，也没有量化的标准，而是将这一标准的制定权授予了企业。如《评价指引》规定，缺陷认定的具体标准则由企业根据规范要求自行确定。企业确定具体的缺陷认定标准是否符合规范要求？是否客观、公正、合理？能否作为内部控制审计针对内部控制缺陷认定的标准？又应该由谁来认证企业制定的标准呢？政府？还是注册会计师？如果是政府，政府能完成这一浩大的工程吗？如果是注册会计师，符合独立性要求吗？这些问题均需要进一步研究，一一明确。在解决这一系列问题之前，内部控制审计必将处于缺陷认定的困境之中。如果内部控制缺陷认定存在困难，恰当的审计意见就难以形成，内部控制审计的目标也就难以实现。#p#分页标题#e#
（三）专业胜任能力困境内部控制审计对注册会计师专业胜任能力提出的挑战，使之面临困境的因素主要体现在以下三个方面：
1.审计证据的获取刘玉廷博士（2010）认为，内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一。其实，内部控制缺陷，尤其是非财务报告内部控制缺陷的认定，不仅是企业内部控制评价工作面临的挑战，也是内部控制审计面临的重大挑战。由于信息的非对称性，在信息的占有上，评价优于审计。内部控制评价是企业管理层（内部人）实施的，具有显著的信息优势；会计论文网而内部控制审计是由注册会计师（外部人）实施的，在信息的获取或占有上明显处于劣势。从这一角度看，内部控制审计面临的挑战远大于内部控制评价。只不过评价与审计面临挑战的实质不同，内部控制评价所面临的挑战可能更多的来源于自我评价的约束，而内部控制审计所面临的主要问题是信息（或证据）的获取，发现并认定内部控制缺陷。
2.复杂环境的透视《基本规范》要求，企业应当按照内部环境、风险评估、控制活动、信息与沟通、内部监督五要素建立与实施有效的内部控制。与之相对应，内部控制审计自然也需要按照五要素对被审计单位内部控制的设计和运行的有效性实施审查，获取充分、适当的审计证据。而内部控制五要素涵盖了企业经营管理系统的所有方面，尤其是企业实施内部控制的基础———内部环境，不仅包含了治理结构、机构设置及权责分配、内部审计、人力资源政策，还包括企业文化。对如此丰富、复杂的内部环境进行评估、审查，无疑是对注册会计师的专业胜任能力的一种巨大挑战，对注册会计师的综合素质、经营管理经验、执业水平与经验、职业判断能力、沟通与谈判能力等均提出了极高的要求。在高度专业化的今天，注册会计师可能难以胜任这高度一体化的内部审计工作。
3.可借鉴经验的缺乏对非财务报告内部控制实施审查并披露发现的缺陷，是我国内部控制规范体系赋予注册会计师业务的新内容。虽然美国国会于2002年7月发布了《萨班斯—奥克斯利法案》（SOX），其中的302和404条款要求对内部控制实施审计，开启了内部控制审计之先河，但其核心仍然是财务报告内部控制，并未要求对非财务报告内部控制实施审计。此外，日本、加拿大等要求对内部控制实施审计的国家均未要求对内部控制整体发表审计意见。同时，虽然传统的财务报表审计需要了解被审计单位的内部控制，关注内部控制的设计与运行的有效性，但长期以来注册会计师所关注的也只是财务报告内部控制，风险评估也是针对财务报告内部控制进行的。因而，缺乏针对非财务报告内部控制审查的经验，也没有国际上的执业经验可供借鉴。以上因素的共同影响，致使注册会计师缺乏应有的内部控制审计能力，尤其是对财务报告内部控制的审计方面，明显存在专业胜任能力不足。审计能力不足必然制约审计质量，如果这一矛盾难以在短期内解决，内部控制审计可能难以达到预定的目标。

三、应对困境的策略思考针对我国内部控制审计面临的三大挑战，笔者提出以下应对策略：
（一）在划分财务报告与非财务报告内部控制的界限方面给予更明确的指南虽然传统的财务报表审计是建立在内部控制审查基础上的风险导向审计，但其核心是财务报告内部控制的审查，并不要求明确区分财务报告与非财务报告内部控制。直至今日，无论是审计理论，还是审计实务，均没有对财务报告与非财务报告内部控制的定义进行深入研究，对两者的界限也没有进行深入的探讨。从现行的《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》可见一斑，准则所要求了解的应该是内部控制整体，并没有强调财务报告内部控制。而《审计指引》区分了财务报告内部控制和非财务报告内部控制，并赋予了注册会计师不同的责任，即审计责任和披露责任。因此，内部控制审计必须明确区分财务报告和非财务报告内部控制。正如前文所述，由于财务信息处于企业信息链的末端，具有综合性，任何一个内部控制缺陷，如果产生了相应的经济后果都会在财务信息中体现，该项控制即与财务报告相关，都可以将其归为财务报告内部控制，明确区分财务报告与非财务报告内部控制并非易事。所以，必须加强对财务报告与非财务报告内部控制定义与界限划分的研究，为内部控制审计实务提供更具体、更明确的指南。
（二）制定规则导向的内部控制标准，使内部控制审计标准具体化，降低职业判断风险现行企业内部控制规范体系实为原则导向的规范体系，在内部控制设计和运行中发挥着重要的、原则性的指导作用，但作为鉴证标准，尚需要进一步具体化，以便于衡量被审计单位的内部控制，提高审计判断的客观性和准确度。如何建立内部控制具体标准？有两个途径可供选择：一是在国家层面制定统一的内部控制具体标准；二是由企业根据已发布的企业内部控制规范体系，结合本企业实际（包括所处行业的特点、企业规模、组织架构、内部控制的特别要求、企业管理惯例等）自主制定，经权威机构（如行业组织）认证之后执行。因企业的具体情况千差万别，不可能做到整齐化一，全国统一的标准只能束缚企业行为，所以第二条路径才是理性的选择。即企业应根据企业内部控制规范体系的原则要求，设计符合本企业特点与管理要求的内部控制。唯有制定个性化、科学合理的内部控制具体标准，才能为内部控制审计提供明确的、具体的、可操作的鉴证标准。另一方面，注册会计师在执行内部控制审计过程中会遇到各种典型案例，这些案例的成功处理就是以后内部控制审计的很好判例。因此，注册会计师应当注意收集、整理成功的典型审计案例，积极着手内部控制审计案例库建设，为将来的内部控制审计提供判例依据。
（三）取消内部控制重大缺陷的分类，量化重要缺陷和一般缺陷的判断标准我国企业内部控制规范体系将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。从三种缺陷的定义看，明显存在界限模糊的弊端，尤其是重大缺陷与重要缺陷的区分，无论是评价，还是审计都难以准确认定，这必然给审计判断带来困难。另外，区分重大缺陷与重要缺陷的现实意义不仅不明显，反而会使信息使用者感到迷茫。因此，采用“两分法”，根据内部控制缺陷的性质及其产生经济后果的重要性，将其划分为重要缺陷和一般缺陷，并从质和量两个方面加以认定。缺陷性质的认定可采用关键控制点认定法，即明确各项关键业务，如果关键业务缺乏有效控制，出现缺陷，即可认定为重要缺陷；从量上看，可借鉴我国《注册会计师审计准则第1221号———重要性》关于重要性水平的确定标准。如果一项或多项内部控制缺陷的组合导致的经济后果超过了以下标准，即可认定为重要缺陷：（1）对于以营利为目的的企业，来自经常性业务的税前利润或税后净利润的5%，或总收入的0.5%；（2）对于非营利组织，费用总额或总收入的0.5%；（3）对于共同基金公司，净资产的0.5%。如果被审计单位的内部控制存在缺陷，但无论是在质的方面，还是在量上都不满足重要缺陷认定标准的，则认定为一般缺陷。有了公认的量化标准，才能有效避免注册会计师与被审计单位在缺陷认定上的分歧，当定量认定与定性认定相互补充、相互印证时，将大大提高缺陷认定的说服力。
（四）加强“复合型”注册会计师培养，丰富注册会计师企业管理的实践经验，提升执业能力内部控制审计对注册会计师来说既是机遇，也是挑战。注册会计师只有加强综合素质培养，不断积累企业经营管理的实践经验和内部控制审计的执业经验，不断提高执业质量和执业水平，才能抓住机遇，应对复杂的内部控制审计。在加强注册会计师综合素质和执业能力培养过程中，应注意做好以下几点：（1）注册会计师必须加强专业理论学习，会计毕业论文范文不断提高专业理论水平，拓宽知识面，全面、系统地掌握管理学、金融学、系统论、控制论、企业文化、公司治理、信息技术等领域的理论知识，将自身打造成名副其实的“复合型”高级会计人才；（2）注册会计师必须深入企业调查研究，积极参与企业经营管理，亲历内部控制设计与运行过程，通过企业实践掌握内部控制规律，积累实际的企业管理经验；（3）注册会计师和会计师事务所必须做好审计案例的剖析与总结工作，探寻内部控制缺陷的“多发地”和“弱点”，总结经验教训，为内部控制审计提供活生生的判例，为注册会计师业务培训提供典型案例。