测试与设计内部控制的几点考虑——兼谈学习新审计准则的体会

内部控制与审计人员从三方面发生联系：一是审计人员凭借对内部控制的了解与测试，决定财务报表实质性测试的程度与方法。制度基础审计模式鲜明地表明了这种密切联系由来已久，测试内部控制是财务报表审计的重要环节。二是审计人员直接对内部控制进行测试并发表审计意见。美国《萨班斯-奥克斯利》法案404条款明确要求审计师对管理当局内部控制有效性评估报告发表审计意见，这样一来，测试内部控制不再是财务报表审计的中间手段，而直接成为审计目标。我国尽管尚未出台这种强制性法律要求，但已有这种趋势，一些事务所已为上市公司内部控制发表专项审核报告。三是咨询业务，审计人员直接帮助企业设计或完善内部控制。无论是哪一种联系，笔者认为，新发布的审计准则均有助于审计人员更有效地测试或设计内部控制。
　　一、审计人员和被审计单位存在着理解角度的偏差
　　通俗地说，内部控制就是一个组织（可以是企业、事业、行政或其他类型）为了达到既定目标而采取的一系列的控制方法、措施和程序。由于内部控制构成一个系统，不同机构研究内部控制时设定目标不同，形成的控制方法体系自然也不同，如美国COSO体系、加拿大COCO体系、英国的《公司治理指南》、全面质量管理（TQM）、ISO9000等。即使同一组织提出的内部控制体系也不断更新发展，比如：1995年，COSO委员会在美国注册会计师协会1988年提出的内部控制三分论（控制环境、会计系统、控制程序）基础上，提出五分论的内部控制（控制环境、风险评估、控制活动、信息与沟通、监控），2003年侧重风险管理，提出内部控制的八分论（内部环境、目标设定、事项识别、风险评估、风险回应、控制活动、信息沟通和监控）；1991年国际商业信贷银行破产后，次年英国提出关于公司治理等内容的Cabury委员会报告，1993年以此为蓝本出台了《公司治理操作指南》，1998年根据Harmpel委员会报告修订了指南，1999 Turnbull 委员会提出《公司董事内部控制指南》，2003年Higgs 委员会提出《非执行董事内部控制指南》，同年，英国考虑这几个委员会报告后，再次修订《公司治理操作指南》，2004年Myners委员会发布了对公司治理产生影响的《股份投票权》研究报告。
　　众多内部控制概念和其内涵的不断变化，使学术界本身对内部控制概念的认识就存在不同理解。COSO委员会内部控制框架在学术界和审计职业界的影响比较大，因此，审计人员与被审计单位进行沟通时，常以此框架的五要素或八要素为蓝本。例如，一些事务所内部控制调查表就是按照三（五）要素展开。但被审计单位从业人员基于日常经营管理过程的认识往往无法理解这种划分，双方容易产生误解或沟通困难。
　　此次发布的新审计准则专门制定了《了解被审计单位及其环境并评估重大错报风险》具体准则，实际上就是要求审计人员站在企业领导者和操作者的角度，分析被审计单位的战略、经营、执行和报告等环节存在的风险点，进而再归纳到内部控制要素中，并决定具体操作层面的审计测试重点。
　　由于在发生财务舞弊或者破产的公司丑闻中，总能找出该公司在控制环境（主要是公司治理层面）存在的诸多问题，因此，学者和法规建设中总是力图针对该环节提出若干建议或规定。而一些审计人员也认为，了解被审计单位及其环境就是要求对被审计单位的内部控制环境要素（如管理者的经营理念与作风、公司治理层面信息）直接进行评估，但笔者认为，这存在着极大的困难：第一，公司治理层面的信息往往不具有透明性，现实中相当多的审计业务中，审计人员往往只能接触到被审计单位财务人员，最多到财务最高负责人层面，很难接触到最高领导核心。第二，即使能够获得相关治理层面信息，在判断管理层的经营理念、作风是否存在风险方面，也具有极大主观性。即使是同一类的经营风格，在不同企业或社会大环境下，都可能引导企业快速发展或走向衰亡。第三，控制环境的构成往往是既成现实，没有相关书面记录，审计人员难以获得客观审计证据来支持其工作底稿的专业判断，万一发生法律诉讼，审计人员处于被动地位。因此，笔者认为，测试内部控制是难以直接测试控制环境的。本次出台的审计准则在此方面更为细化，并不只简单提及对控制环境的测试，而是着重说明需要了解与测试公司战略、程序等环节来间接地验证控制环境的内容。设计内部控制的业务委托更是如此，审计人员参与设计的往往是内部控制程序，或者是对公司战略某一部分提出建议，这只能在了解公司的战略、经营、报告和执行过程而得出。至于公司治理层面的权责分工不是外部专家所能左右的，这往往是公司资本结构决定的。
　　二、审计人员与被审计单位存在评价标准的不同
　　COSO委员会内部控制体系的目标为：（1）营业的效率与效果；（2）资产的安全性；（3）财务报告的可信程度；（4）相关法令的遵循。我国财政部出台的《内部会计控制基本规范》提出控制目标为：（1）财务报告的可信程度；（2）资产的安全性；（3）相关法令的遵循；（4）营业的效率和效果。二者内容并没有差别，只是次序不同。换言之，内部控制体系同时能满足上述目标时，这两种定位没有差别，但是当受制于成本效益而不得不进行取舍时，二者的关注点就有不同。COSO的资助方是企业财团，谋求盈利追求经营的效率和效果自然是首位，而作为国家财政财务秩序的维护者，财政部自然关注财务报告的可信程度。