试论内部控制的发展：基于审计视角

丁红霞

摘要：自从人类活动和人员需要控制时，内部控制就已经产生了。但是自从20世纪中叶，内部控制与审计相互作用起，内部控制才得到了飞速的发展，另一方面，内部控制对于审计模式的发展也起到了举足轻重的作用。内部控制与审计的相互作用、相互影响，从而促进了二者的共同发展。

关键词：内部控制 审计模式 审计视角 内部控制框架

一、引言

20世纪中叶，审计和内部控制的发展不断交织，进而互动和耦合，直接导致了制度基础审计模式的诞生。此后，内部控制逐渐确立了在审计中的地位，成为推动审计模式演变和探索审计理论与方法的重要因素之一。

二、审计视角下内部控制的发展

（一）内部控制与制度基础审计的相互作用

直到19世纪末期，独立审计的基本模式仍然是账项基础审计，即详细地验证账簿中记录的交易。由于当时英国的独立审计最为发达，所以这种审计模式有时又被称为“英国式审计”。随着股份有限公司的发展，企业的规模越来越大，经济交易越来越复杂繁多，使得全面、详细的测试变得不太可行。于是，就产生了选择性测试（抽样审计）。早期的选择性测试在抽取样本时，基本上是根据注册会计师的经验和认识进行判断性的抽样。在20世纪前期近30年的发展过程中，审计职业界逐渐认识到根据对被审计单位内部控制的评价，来选择进行测试的领域和数量，不仅能够比判断性抽样更为科学、合理，而且能够显著地减少审计的工作量。此后，制度基础审计模式（或称内控导向审计）开始逐步确立，审计与内部控制的交织发展也拉开了序幕。由于此时注册会计师职业的中心已经转向美国，所以此后的发展基本上以美国最为典型。

在制度基础审计模式从萌生到盛行的数十年中，随着审计的发展，审计职业界所界定的内部控制也在不断的发展。1936年，美国会计师协会［AIA，1957年更名为美国注册会计师协会（AICPA）］首次提出了内部控制的概念。随后，麦克森——罗宾斯等一系列事件的爆发，促使审计职业界广泛关注内部控制问题。在这种背景下，AIA审计程序委员会（CAP）下属的一个专门委员会于1949年发表了一份关于内部控制的研究报告，给内部控制下了一个当时广为认可的权威定义。即“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。

在此后近十年的审计实践中，审计界反映，该定义过于宽泛，会导致审计工作量和责任的加大。于是，CAP于1958年10月发布了第29号审计程序公告“独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制；1963年12月发布的第33号审计程序公告“审计准则与程序（汇编）”进一步明确注册会计师主要关注会计控制；1972年11月发布的第54号审计程序公告“审计师对内部控制的研究与评价”，对会计控制和管理控制的定义进行了修订和充实，并被收入新成立的审计准则执行委员会同月发布的第1号审计准则公告“审计准则与程序汇编”之中。

20世纪六七十年代爆发的大陆售货机等一系列事件，尤其是水门事件后《反国外贿赂行为法案》的颁布，使内部控制的重要性得到前所未有的强调。同时，区分会计控制和管理控制的做法受到越来越广泛的质疑。为此，AICPA下设的审计准则委员会于1988年4月发布了第55号审计准则公告“财务报表审计中对内部控制的考虑”，放弃了会计控制与管理控制的划分，提出了由控制环境、会计系统和控制程序三个要素组成的内部控制结构的概念。

制度基础审计既是一种程序驱动型的审计模式，又是一种理论驱动型的审计模式。它基于内部控制能保证财务报告可靠性的基本假设，来设计审计程序。当注册会计师拟信任被审计单位的内部控制时，首先针对内部控制制度的遵循情况进行符合性测试，然后根据符合性测试的结果确定实质性测试的性质、时间和范围。这样，内部控制实际上成了注册会计师设计审计程序、分配审计资源的指向标。毫无疑问，此时内部控制在审计模式中的地位是举足轻重的。

（二）内部控制在传统风险导向审计模式中的地位

20世纪70年代的“诉讼爆炸”，使得审计职业界开始着重研究审计风险问题，而对审计风险模型的探索是其标志性活动。ASB于1981年6月发布的第39号审计准则公告“审计抽样”认为，审计风险由固有风险、控制风险、分析性复核风险和细节测试风险四个要素组成；1983年12月发布的第47号审计准则公告“实施审计工作中的审计风险和重要性”，将审计风险概括为固有风险、控制风险和检查风险三要素的乘积，成为通行的审计风险模型。一般认为，此时审计模式已经逐渐摆脱制度基础审计模式，开始进入风险导向审计模式，即根据对审计风险的评估，来确定审计程序的性质、时间和范围。

风险导向审计是一种理论驱动的审计模式，它从分析审计风险出发，根据注册会计师对被审计单位固有风险、控制风险的评估，结合预期的审计风险水平，来确定可接受的检查风险水平，并以此为基础设计审计程序、分配审计资源。但是早期，注册会计师的眼光仅仅放在审计业务本身的风险上，而且对固有风险的评估由于缺乏清晰的范围界定和明确的操作指引往往难以有效进行，实践中注册会计师往往不加评估就消极地将固有风险定为高水平，机械地套用审计风险模型。而从理论上讲，针对财务报表整体的风险评估主要有赖于对固有风险的评估，这样就会使风险评估实质上仅仅针对交易、余额和列报等认定层次，造成风险评估和审计程序设计“只见树木、不见森林”的情形。同时忽略对固有风险影响因素（包括一些重要的环境、背景情况）的全面了解和对固有风险的评估，就很难把握住真正的高风险领域，从而使整个审计工作侧重局部、迷失方向。

应该说，三因素的审计风险模型在理论上是科学的，但此审计模式与实践相脱节。在实际执行中真正关注的往往只有控制风险和检查风险两个因素。这样，尽管审计模式不同，但实质性的审计程序与制度基础审计没有本质区别。内部控制在传统风险导向审计模式中实质上仍然处于核心地位。

（三）在现代风险导向审计模式中，内部控制仍然起着不可替代的重要作用

20世纪八九十年代，由于诉讼风险和职业责任的加大，审计职业界开始把风险的目光从审计业务风险本身扩充到被审计单位的经营风险，并由此引发了风险导向审计模式的升级换代。

国际领先的会计师事务所（主要是当时的“五大”）率先开展了对现代风险导向审计模式的探索，其中最为突出的是毕马威。毕马威的研究小组于1997年提出了以战略系统观组织审计的观点，并开发出了名为“经营计量过程”的风险基础战略系统审计方法。几乎与此同时，安永开发了“经营环境分析技术”，安达信开发了“经营导向审计”，普华永道开发了“普华永道审计方法”，德勤开发了“AS/2”审计工具。而现代风险导向审计模式的最终确立则以IAASB于2003年底正式颁布首批审计风险准则为标志。

现代风险导向审计模式克服了传统模式的不足，着重强调注册会计师在充分了解被审计单位及其环境（包括所处的行业、法律和监管背景、单位的性质、目标、战略和经营风险，以及内部控制等）的基础上，从财务报表整体和认定两个层次上评估重大错报风险。然后针对评估的重大错报风险设计进一步审计程序，通过控制检查风险，最终将剩余风险控制在预期的审计风险水平上。

顺应这种思路上的转变，对审计风险模型进行了新的概括，即：审计风险=重大错报风险×检查风险。应该说，新模型立足于重大错报风险，回归了本原，突出了审计的根本目标——合理保证经审计的财务报表不存在重大错报。但是，新模型只是角度和思路的转换，并不是对三因素模型的否定。尤其是，它并不意味着摈弃对控制风险和内部控制的考虑。实际上，在风险评估程序中，对内部控制的了解是了解被审计单位及其环境的重要内容之一。而对内部控制的了解，也是决定进一步程序采取实质性方案还是综合性方案的直接依据。如果决定采取综合性方案，则先进行控制测试，根据控制测试的结果决定实质性程序的性质、时间和范围。显然，综合性方案下的进一步审计程序，实际上类似于内控导向审计。由于不拟信赖内部控制的情形毕竟是特例，加上在一些情况下仅仅依靠实质性程序并不能获取充分适当的审计证据，所以采用综合性方案是主流的和典型的。从这个角度看，内部控制即使在现代风险导向审计模式中，仍然起着不可替代的重要作用。当然，这与内部控制在防止财务报表重大错报方面的作用是分不开的。

三、内部控制概念的整合与拓展及其对审计的影响

为了研究财务报告舞弊问题，AICPA等五个组织于1985年组建了Treadway委员会。该委员会于1987年专门成立了发起组织委员会（COSO），负责整合各种内部控制概念。COSO经过多年的研究，于1992年9月正式发布了著名的《内部控制——整合框架》（1994年作出局部修订），提出了包括三个目标（经营的效率和有效性、财务报告的可靠性、对法律法规的遵循）、五个要素（控制环境、风险评估、控制活动、信息与沟通、监控）的内部控制整合框架。

随着这个框架被广泛接受，ASB于1995年12月发布了第78号审计准则公告“财务报表审计中对内部控制的考虑：对第55号审计准则公告的修订”，全面采用了该框架对内部控制的定义。目前，国际和主要西方国家的审计准则、金融监管机构的监管准则，乃至美国2002年SOX法案所提出的财务报告内部控制报告、证实与验证的要求，采用的都是这个框架。

内部控制概念的整合，有助于明确审计中所考虑的内部控制的概念和内容，使得对内部控制的了解和测试有了明确的指引，结束了长期以来尽管一直倚重内部控制、但是对其概念、范围和内容莫衷一是的尴尬。

2004年9月，COSO正式发布了《企业风险管理——整体框架》，它包含并扩充了1992年的框架，提出了包括四个目标（战略、经营、报告、合规）、八个要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）、三个层次（企业、战略业务单元、子公司）的框架。尽管COSO声称该框架无意立即取代1992年的框架，但是新框架的前景如何，会不会最终取代1992年的框架，尤其是进入审计准则之中，尚须拭目以待。

我国2006年颁布的审计准则体现的是1992年的框架，但是我国2008年颁布的企业内部控制基本规范采用的虽是五要素的形式，但体现的却是八要素的内容。无论经济如何发展，审计与内部控制之间也不会分道扬镳，相信内部控制会与审计继续相互影响、相互作用，继而一并发展。

参考文献：

1.刘明辉主编.审计[M].大连：东北财经大学出版社，2008.

2.秦荣生编著.内部控制与审计[M].北京：中信出版社，2008.

3.李凤鸣.内部控制学[M].北京：北京大学出版社，2002.