内部控制鉴证目标：理论框架和例证分析

郑石桥

【摘 要】 内部控制鉴证目标是一个体系，从相关主体来说，包括利益相关者和鉴证者，前者的目标是终极目标，后者的目标是直接目标。从业务类型来说，内部控制鉴证包括内部控制评价、内部控制审计和内部控制审核，这三类鉴证有不同的利益相关者和鉴证者，从而有不同的终极目标和直接目标。关于内部控制评价，从利益相关者来说，终极目标是抑制制度缺陷；从评价者来说，直接目标是通过评价产品来满足利益相关者抑制制度缺陷的需求。关于内部控制审计或审核，从利益相关者来说，终极目标是抑制制度缺陷；从外部审计师来说，直接目标是通过内部控制审计或审核产品满足利益相关者抑制制度缺陷的需求。

【关键词】 内部控制评价； 内部控制审核； 内部控制审计； 内部控制鉴证终极目标； 内部控制鉴证直接目标

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）14-0122-05

一、引言

内部控制鉴证目标是通过内部控制鉴证得到的结果，这是内部控制鉴证的基础性问题。现有文献主要从鉴证者的角度讨论内部控制鉴证目标，未能考虑利益相关者的鉴证目标。笔者认为，内部控制鉴证目标是一个体系，既有利益相关者的目标，也有鉴证者的目标。同时，内部控制鉴证区分为内部控制评价、内部控制审核、内部控制审计，鉴证业务类型不同，鉴证目标和鉴证产品也不同。本文从相关主体和鉴证业务类型两个角度，将内部控制鉴证目标区分为终极目标和直接目标，在此基础上，分析内部控制鉴证目标体系。

随后的内容安排如下：首先是一个简要的文献综述，梳理内部控制鉴证目标相关文献；在此基础上，从相关主体和鉴证业务类型两个角度提出一个内部控制鉴证目标体系的理论框架；其次，用这个理论框架来分析权威文献对内部控制鉴证目标的规定，以一定程度上验证这个理论框架；最后是结论。

二、文献综述

内部控制鉴证包括内部控制评价、内部控制审计和内部控制审核，鉴证目标也包括上述三类。

关于内部控制评价目标有三种观点：一种观点认为，内部控制评价的目标是促使企业切实加强内部控制体系的建设和执行[ 1 ]。另一种观点认为，内部控制评价是对企业内部控制的再控制，所以，内部控制评价目标应当与内部控制目标相适应，内部控制评价目标的确定应当依据内部控制目标[ 2 ]。还有一种观点从宏观角度认知内部控制评价目标，认为内部控制评价目的有三个：为政府以及资本市场监管部门了解企业内部控制状况、制定相关的法律法规提供客观依据；对上市公司形成强有力的声誉制约，激励企业努力提高内部控制质量，保护投资者和其他利益相关者的权益；使企业了解内部控制状况，找出内部控制存在的薄弱环节，提高经营质量，为投资者提供投资依据，繁荣我国的资本市场[ 3 ]。

关于内部控制审计目标，现有文献主要涉及财务报告内部控制审计目标，一种观点认为，财务报告内部控制审计目标与财务报告审计目标具有一致性，无论是财务报表审计，还是财务报告内部控制审计，其终极目标是一样的[ 4 ]；内部控制审计和财务报表审计的共同目标都是为了向企业外部信息使用者提供決策有用的高质量的会计信息的合理保证，提高对外公布财务报表信息的质量[ 5 ]；内部控制审计的目的与财务报表审计的目的是相同的，都是为了合理保证财务报告的真实可靠，保证资本市场的秩序[ 6 ]。另外一些观点则区分了财务报告内部控制审计目标和财务报告审计目标，但是，对财务报告内部控制审计目标的观点不同。多数文献认为，财务报告内部控制审计的目标是注册会计师对与财务报告相关内部控制的有效性独立发表审计意见[ 7-9 ]；有的文献则认为，财务报告内部控制审计的目标是就管理层对财务报告内部控制有效性所作的评估表示意见[ 10 ]；还有的文献认为，上述两种观点都可行，只是在不同的选择下，审计主题不同，以内部控制报告为审计结论对象的间接报告方式审计，其目标是对经营者的内部控制有效性评价报告是否合法、公允进行评价，以内部控制为审计结论对象的间接报告方式审计，其目标是对企业的内部控制是否有效进行评价[ 11 ]。

上述关于内部控制鉴证目标的研究具有较大的启发性，然而，现有研究并未区分不同相关主体的目标，所涉及的基本上是审计师的目标。本文从相关主体和内部控制鉴证业务类型两个维度来探究内部控制鉴证目标。

三、理论框架

（一）内部控制鉴证目标体系

内部控制鉴证属于广义审计，类似于审计目标，内部控制鉴证目标就是相关各方希望通过内部控制鉴证得到的结果。很显然，这种相关各方至少包括：第一，内部控制鉴证的利益相关者希望得到的结果，例如，委托代理关系中的委托人、代理人、投资人、政府监管部门等，这些利益相关者希望通过内部控制鉴证得到什么结果；第二，鉴证者希望通过内部控制鉴证得到什么结果。

从逻辑上来说，利益相关者的鉴证目标是鉴证者鉴证目标的基础，前者类似于顾客需求，后者类似于产品供给，没有顾客需求，也就没有产品供给。同时，鉴证产品供给要满足鉴证产品需求，不能满足鉴证需求的鉴证产品是没有生命力的。所以，从某种意义上来说，鉴证产品需求是基础性的，具有终极意义，是内部控制鉴证的终极目标；而鉴证产品供给是回应性的，是适应鉴证需求而产生的，决定鉴证产品内容、鉴证产品定位和鉴证产品种类，是内部控制鉴证的直接目标。总体来说，直接目标决定鉴证产品，而终极目标是鉴证产品消费之后的结果。

根据内部控制鉴证的发展状况，一般来说，内部控制评价①、内部控制审核、内部控制审计是主要的鉴证业务类型，每种鉴证业务类型都有利益相关者和鉴证者，所以，都有终极目标和直接目标，组合起来，大致如表1所示，形成内部控制鉴证目标体系。

（二）内部控制评价目标体系：终极目标

内部控制评价是各个组织的管理层主持的对本组织内部控制的评价，这种评价希望达到什么结果呢？

这里的利益相关者主要包括三方面：外部利益相关者、管理层、内部单位负责人，他们各有自己的鉴证目标。

从外部利益相关者来说，内部控制缺陷会影响管理层履行其经管责任，对外部利益相关者的利益带来负面影响。为此外部利益相关者有抑制内部控制缺陷的需求，其中的一个重要渠道就是希望管理层自己能对本组织的内部控制进行评价，及时发现制度缺陷，并在此基础上进行整改。

从管理层来说，内部控制评价区分为组织层面内部控制和内部单位内部控制。由于管理层本身的有限理性，组织层面内部控制的设计和执行也可能存在缺陷，通过对这个层面的内部控制鉴证，可以发现这些缺陷，从而有利于管理层更好地履行其经管责任。组织内部的各单位是管理层领导的下属单位，其负责人是管理层的代理人，由于有限理性、自利，再加上环境不确定性、信息不对称、激励不相容等因素的存在，内部单位的内部控制可能存在有意或无意的缺陷，这种缺陷当然会对管理层履行其经管责任不利，管理层当然希望及时地发现和整改这些内部控制缺陷。

从内部管理负责人来说，其是管理层的代理人，如果他要最大善意地履行经管责任，则完全有激励通过内部控制评价来发现内部控制缺陷。即使他领导的内部单位没有内部控制缺陷，通过内部控制评价也能表明这种情形，从某种意义上来说，这是一种信号传递，会增加管理层对其信任。

以上只是就一般情形而言，如果管理层或内部单位负责人由于自利而使得内部控制存在缺陷，而这种缺陷是有利于管理层或内部单位负责人的，则他们会抵制内部控制评价。另外，如果管理层或内部单位负责人对本组织的内部控制高度自信，可能也会认为内部控制评价不符合成本效益原则，没有价值。

从利益相关者来说，内部控制评价的终极目标是抑制制度缺陷。

（三）内部控制评价目标体系：直接目标

内部评价机构希望通过内部控制评价得到什么结果呢？前已叙及，直接目标是终极目标的基础，直接目标是为终极目标提供鉴证产品，终极目标是使用鉴证产品之后产生的效果。那么，内部控制评价要提供什么样的产品才能满足利益相关者抑制制度缺陷的需求呢？这需要从产品内容、产品定位和产品种类三个维度来考虑，其大致情形如表2所示。

下面，对表2中的内部控制评价产品作进一步阐述。

（1）内部控制评价产品内容。内部控制评价可以从两个维度来展开：第一，评价内部控制的合理性，也就是对内部控制是否能达到其拟达到的目标，同时还符合成本效益原则，如果在符合成本效益原则的前提下，能达到其拟达成的目标，则这种内部控制就是有效的，否则，就存在缺陷。这里的控制缺陷包括两方面的含义：其一，不能达到其拟达成的目标；其二，虽然能达到其拟达成的目标，但是，不符合成本效益原则。总体来说，内部控制合理性与内部控制有效性是从不同角度对内部控制状况的描述，合理性更加关注内部控制过程，而有效性更加关注内部控制结果，过程是结果的基础，所以，内部控制合理性和有效性是异曲同工的，它们的对立面是内部控制缺陷。第二，评价内部控制合规性。内部控制的建立和实施要遵守组织外部相关的法规法律制度，如果违背了这些法律法规制度，则内部控制制度本身就是不合规的，这种制度当然无从谈有效或合理。内部控制评价属于内部审计职责，所以，内部控制评价产品内容类似于审计目标的合规性和效益性（更恰当地说，这时的效益性应该是合理性，但是，一般来说，审计的直接目标通常界定为真实性、合法性和效益性）。

（2）内部控制评价产品定位。内部控制评价产品定位有两种选择，一是批判性评价，二是建设性评价。在批判性评价定位下，主要关注两个问题：一是揭示内部控制缺陷；二是根据制度缺陷的责任程度，对一些责任人进行处理处罚。上述两个问题解决之后，相关责任人得到了处理处罚，但是，制度缺陷可以依然存在。为此，建设性评价就产生了。建设性评价就是在批判性评价的基础上，再做进一步的工作。第一，提出制度缺陷完善建议；第二，对制度缺陷产生的原因进行整改；第三，跟踪整改结果，彻底了解整改情况，并在此基础上提出整改报告。从理论上来说，内部控制评价产品定位可以选择批判性定位或建设性定位，但是，一般来说，为了实现内部控制评价的终极目标，需要评价者选择建设性定位。

（3）内部控制评价产品种类。从产品种类来说，内部控制评价产品包括评價报告、评价决定、评价建议和评价整改报告。评价报告的主要信息包括内部控制是否存在缺陷、存在何种缺陷、缺陷的原因、缺陷的责任人，评价决定主要是对内部控制缺陷责任单位和责任人的处理处罚决定，评价建议是对存在缺陷的内部控制制度进行优化的建议，评价整改报告是对制度缺陷整改情况的报告。上述内部控制评价产品种类的选择依赖于内部控制评价产品定位，一般来说，如果是批判性产品定位，则主要是评价报告和评价决定；而在建设性产品定位下，则评价建议和评价整改报告都有用武之地。

从内部控制评价者来说，内部控制评价的目标是通过评价产品内容、产品定位和产品种类来满足利益相关者抑制制度缺陷的需求，产品内容包括内部控制有效性和合规性，产品定位包括批判性和建设性，产品种类包括评价报告、评价决定、评价建议和评价整改报告。

（四）内部控制审计或审核目标体系：终极目标

内部控制审计和内部控制审核都是外部独立机构实施的，前者是合理保证，后者是有限保证[ 12-13 ]，所以，本文将两者合并起来分析。利益相关者希望通过内部控制审计或审核得到什么结果呢？这里的利益相关者包括外部利益相关者和内部利益相关者，各类利益相关者都有自己的期望。

先来看外部利益相关者。投资者或供资者是第一类外部利益相关者，他们投资或供资于某组织，成为该组织的委托人，与该组织的管理层形成委托代理关系，而作为代理人的管理层由于自利或有限理性，再加上环境不确定性、激励不相容、信息不对称，该组织的内部控制完全可能存在缺陷。内部控制是实现该组织目标的制度保障，如果该组织的内部控制存在缺陷，则该组织的目标之达成就失去制度保障。所以，投资者或供资者为了实现其投资或供资之目标，有激励抑制该组织的内部控制缺陷，通过外部机构对该组织的内部控制进行审计或审核，鉴证是否存在内部控制缺陷是其中的重要手段。

除了投资者或供资者是外部利益相关者外，政府监管机构也是外部利益相关者或外部相关利益者的代表。一方面，监管机构出于保护投资者或供资者的利益，希望该组织的内部控制是有效的；另一方面，监管机构还希望该组织能依法运行，而内部控制的一个重要目标就是为该组织的依法运行提供合理保证。上述两方面结合起来，监管机构完全有激励抑制该组织的内部控制缺陷，而通过外部机构对该组织的内部控制进行审计或审核是其中的重要路径。

对于内部控制审计或审核来说，内部利益相关者是操持该组织的管理层。一方面，由于有限理性，其设计和执行的内部控制可能存在缺陷，而这种缺陷会影响其最大善意履行经管责任，所以，管理层可能有激励通过外部机构来抑制其内部控制缺陷，而外部机构鉴证其内部控制是否存在缺陷是重要的手段。另一方面，如果管理层认为其内部控制不存在缺陷，通过外部机构的鉴证，会将这种结果传递给外部利益相关者，从而有利于增加管理层自身及其所操持的这个组织的信誉和美誉，所以，管理层并不排斥内部控制审计或审核。当然，如果管理层也可能由于对组织的内部控制过度自信或自利动机，排斥内部控制审计或审核。

从外部和内部利益相关者来说，都有激励通过外部机构对内部控制进行鉴证，发现并整改内部控制缺陷，内部控制审计或审核的终极目标是抑制制度缺陷。

（五）内部控制审计或审核目标体系：直接目标

外部审计师在内部控制审计或审核中的目标称为直接目标，那么，外部审计师希望通过内部控制审计或审核得到什么结果呢？总体来说，就是提供令利益相关者满意的审计或审核产品。这需要从产品内容、产品定位和产品种类三个维度来考虑，其大致情形如表3所示。

下面，对表3中的内部控制审计或审核产品作进一步阐述。

（1）内部控制审计或审核产品内容。关于内部控制状况，外部审计师给利益相关者提供哪些信息呢？一般来说，要包括两方面的信息：第一，由于内部控制缺陷的存在会影响利益相关者的利益，所以，利益相关者首先需要了解内部控制是否存在缺陷，也就是说，内部控制能否为其拟实现的目标提供合理的基础，这类目标称为合理性或有效性；第二，如果内部控制本身违背相关法律法规，也可能会损害利益相关者的利益，所以，利益相关者需要了解内部控制是否存在违法违规，这类目标称为合规性。

（2）内部控制审计或审核产品定位。内部控制审计或审核产品定位有两种选择，一是批判性评价，二是建设性评价。批判性评价定位下，外部审计师主要揭示内部控制缺陷。建设性评价就是在批判性评价的基础上，提出制度缺陷完善建议，跟踪整改结果，并在此基础上提出整改报告。从理论上来说，内部控制审计或审核产品定位可以选择批判性定位或建设性定位。但是，外部审计师类型会影响其内部控制审计或审核产品定位，一般来说，政府审计机关通常会选择建设性定位，而民间审计组织则要根据合约的规定来确定其定位，通常情形下会选择批判性定位，即使选择建设性定位，跟踪整改结果并在此基础上提出整改报告的可能性也不大。

（3）内部控制审计或审核产品种类。从产品种类来说，内部控制审计或审核产品包括审计或审核报告、审计或审核建议和审计或审核整改报告。审计或审核报告的主要信息包括内部控制是否存在缺陷、存在何种缺陷、缺陷的原因，审计或审核建议是对存在缺陷的内部控制制度进行优化的建议，审计或审核整改报告是对制度缺陷整改情况的报告。上述内部控制审计或审核产品种类的选择依赖于内部控制审计或审核产品定位，一般来说，如果是批判性产品定位，则主要是审计或审核报告；而在建设性产品定位下，则审计或审核建议和审计或审核整改报告都有用武之地。

从外部审计师来说，内部控制审计或审核的目标是通过内部控制审计或审核产品内容、产品定位和产品种类来满足利益相关者抑制制度缺陷的需求，产品内容包括内部控制有效性和合规性，产品定位包括批判性和建设性，产品种类包括评价报告、评价建议和评价整改报告。

四、例证分析：我国权威规范对内部控制鉴证目标的规定

本文以上从内部控制鉴证业务类型和相关主体两个维度分析内部控制鉴证目标体系，下面用这个理论框架来分析我国权威规范對内部控制鉴证目标的规定，以一定程度上验证本文的理论框架。

（一）内部控制评价

财政部、证监会、审计署、银监会、保监会发布的《企业内部控制评价指引》（财会〔2010〕11号）规定，“内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。

中国内部审计协会发布的《内部审计具体准则2201——内部控制审计》（中国内部审计协会公告2013年第1号）规定，“内部控制审计是内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动”。这里的控制审计，显然就是内部控制评价。

上述两个权威规范显示，内部控制评价目标是对内部控制有效性形成评价结论。本文前面指出，评价者的直接目标通过评价产品内容、产品定位和产品种类来实现，对内部控制有效性形成评价结论，属于评价产品内容中的有效性或合理性。

（二）内部控制审核

中国注册会计师协会发布的《内部控制审核指导意见》（会协〔2002〕41号）第二条规定，“内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见”。似乎审计师是对管理层内部控制评价结论发表意见。然而，在审核报告范例中，却有如下范例：“我们认为，贵公司按照X标准于X年X月X日在所有重大方面保持了与会计报表相关的有效的内容控制。”

上述内容显示，内部控制审核的目标是对特定日期会计报表相关的内部控制有效性发表意见，而不是对管理层内部控制认定发表意见。本文前面指出，外部审计师的直接目标通过审核产品内容、产品定位和产品种类来实现，对内部控制有效性形成审核结论，属于审核产品内容中的有效性或合理性。

（三）内部控制审计

财政部、证监会、审计署、银监会、保监会发布的《企业内部控制审计指引》（财会〔2010〕11号）规定，“内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计”。

上述内容显示，内部控制审计目标是对内部控制有效性形成评价结论。本文前面指出，外部审计师的直接目标通过审计产品内容、产品定位和产品种类来实现，对内部控制有效性形成审计结论，属于审计产品内容中的有效性或合理性。

总体来说，我国权威规范界定的内部控制鉴证目标包括在本文提出的理论框架之中，但是，主要涉及内部控制鉴证直接目标，未涉及终极目标。

五、结论

内部控制鉴证目标是一个体系，既有利益相关者的目标，也有鉴证者的目标。本文从相关主体和鉴证业务类型两个角度，将内部控制鉴证目标区分为终极目标和直接目标，在此基础上，分析内部控制鉴证目标体系。

从相关主体来说，包括利益相关者和鉴证者，前者的目标称为终极目标，后者的目标称为直接目标。利益相关者的鉴证目标是鉴证者鉴证目标的基础，前者类似于顾客需求，后者类似于产品供给，鉴证产品需求是基础性的，具有终极意义，是内部控制鉴证的终极目标；而鉴证产品供给是回应性的，是适应鉴证需求而产生的，决定鉴证产品内容、鉴证产品定位和鉴证产品种类，是内部控制鉴证的直接目标。

从业务类型来说，内部控制鉴证包括内部控制评价、内部控制审计和内部控制审核，这三类鉴证有不同的利益相关者和鉴证者，从而有不同的终极目标和直接目标。

关于内部控制评价，从利益相关者来说，内部控制评价的终极目标是抑制制度缺陷；从内部控制评价者来说，内部控制评价的目标是通过评价产品内容、产品定位和产品种类来满足利益相关者抑制制度缺陷的需求。产品内容包括内部控制有效性和合规性，产品定位包括批判性和建设性，产品种类包括评价报告、评价决定、评价建议和评价整改报告。

关于内部控制审计或审核，从外部和内部利益相关者来说，都有激励通过外部机构对内部控制进行鉴证，发现并整改内部控制缺陷，内部控制审计或审核的终极目标是抑制制度缺陷；从外部审计师来说，内部控制审计或审核的目标是通过内部控制审计或审核产品内容、产品定位和产品种来满足利益相关者抑制制度缺陷的需求，产品内容包括内部控制有效性和合规性。产品定位包括批判性和建设性，产品种类包括评价报告、评价建议和评价整改报告。

【参考文献】

[1] 牛爱民.构建企业内部控制评价体系研究[J].山东社会科学，2009（6）：132-134.

[2] 戴文涛，王茜，谭有超.企业内部控制评价概念框架构建[J].财经问题研究，2013（2）：115-122.

[3] 张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011（1）：69-78.

[4] 谢盛纹.PCAOB财务报告内部控制审计准则具体实施中的问题[J].会计之友，2007（9）：94-95.

[5] 谢晓燕，张心灵，陈秀芳.我國企业内部控制审计的现实选择：基于内部控制审计与财务报表审计关联的分析[J].财会通讯，2009（3）：125-127.

[6] 韩丽荣，郑丽，周晓菲.我国企业内部控制审计目标的理论分析及现实[J].吉林大学社会科学学报，2011（9）：125-131.

[7] 刘明辉.内部控制鉴证：争论与选择[J].会计研究，2010（9）：43-50.

[8] 董凤莉，任国瑞.财务报告内部控制审计要素及实施问题探讨[J].商业会计，2011（12）：27-28.

[9] 周曙光.内部控制审计与财务报告审计比较研究[J].商业会计，2011（12）：31-32.

[10] 张龙平，陈作习.美国内部控制审计制度的理论分析及启示[J].中南财经政法大学学报，2009（1）：89-94.

[11] 谢少敏.内部控制审计报告方式的理论分析[C].中国会计学会审计专业委员会2010年学术年会论文集，2010.

[12] 张龙平，陈作习，宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究，2009（2）：75-80.

[13] 黄秋菊.对我国《企业内部控制审计指引》有关问题的探讨[J].中国注册会计师，2014（3）：66-72.