内部控制鉴证内容的边界：理论框架和例证分析

郑石桥

【摘 要】 内部控制鉴证内容是内部控制缺陷性，具有时间边界和范围边界，就时间边界来说，从内部控制鉴证目标出发，内部控制鉴证取证应该覆盖特定时期；从内部控制鉴证可行性出发，内部控制鉴证结论只能是内部控制在该时期动态移动的累计状况，也就是该时期的期末状况。就范围边界来说，内部控制鉴证内容是鉴证需求和鉴证能力的均衡，既可以鉴证全部内部控制，也可以只选择某一部分内部控制；但是，内部控制鉴证只能就不同的内部控制目标分别形成鉴证结论，内部控制作为一个整体难以形成鉴证结论。

【关键词】 内部控制鉴证内容； 内部控制时点有效性； 内部控制时期有效性； 财务报告内部控制； 整体内部控制

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）17-0128-05

一、引言

内部控制鉴证是通过鉴证内部控制缺陷性，根据内部控制有效性和缺陷性的互补关系，确定内部控制有效性，所以，内部控制鉴证内容是内部控制缺陷性①。然而，这里的内部控制缺陷性究竟是定位于某一时点还是某一时期？是定位于全部内部控制还是财务报告内部控制？上述这些问题的不同选择就界定了内部控制缺陷性的边界。而这个边界的确定为内部控制鉴证的全过程奠定了基础，也是内部控制鉴证责任的基础。

现有文献对这些问题有一定的研究，出现多种观点。本文在这些观点的基础上，从内部控制鉴证目标、内控制鉴证需求、内部控制鉴证可行性出发，提出关于内部控制鉴证内容之边界的一个理论框架。随后的内容安排如下：首先对相关文献做简要回顾，梳理内部控制鉴证边界的相关观点；在此基础上，提出一个理论框架，分析内部控制鉴证内容的时间边界和范围边界；然后，用这个理论框架来分析内部控制鉴证权威规范的相关规定，以对上述理论框架做一定的验证；最后是结论和启示。

二、文献综述

内部控制鉴证内容的边界主要涉及两个问题，一是时间边界，也就是内部控制鉴证是针对于特定时期的内部控制，还是针对特定时点的内部控制；二是范围边界，也就是内部控制鉴证是针对全部内部控制，还是针对财务报告内部。关于上述两个边界，有不同的观点。

关于时间边界，有三种观点，时期观认为，“内部控制鉴证是针对特定时期的内部控制，鉴证意见是关于整个期间的内部控制是否有效”[1-4]；时点观认为，“内部控制鉴证是针对特定时点的内部控制，鉴证意见是关于该特定时点的内部控制是否有效”[5]；结合观認为，“内部控制鉴证的取证应该覆盖一个特定时期，但是，发表鉴证意见只能针对特定时点”[6-8]。

关于范围边界，主要是围绕注册会计师实施的内部控制审计的范围，同样有三种观点，一种观点认为，“注册会计师只能审计财务报告内部控制，对财务报告内部控制发表意见”[9-13]，本文称为财务报告观；另外一种观点认为，“注册会计师应该审计全部内部控制，对全部内部控制发表意见，而不应该只是财务报告内部控制”[1-3，14-15]，本文称为全部观；还有一种观点认为，“注册会计师以财务报告内部控制审计为主，但是，对于审计过程中发现的非财务报告内部控制重要缺陷，要予以关注”[4，8]，本文称为兼顾观。

上述这些观点对于认识内部控制鉴证内容的边界有很大的启发，本文在这些观点的基础上，从内部控制鉴证目标、内部控制鉴证需求和内部控制鉴证可行性出发，提出关于内部控制鉴证内容之边界的理论框架。

三、内部控制鉴证内容的时间边界和范围边界：理论框架

内部控制鉴证内容是内部控制缺陷性，然而，这里的内部控制缺陷性却有一个边界问题，究竟是定位于某一时点还是某一时期？是定位于全部内部控制还是财务报告内部控制？并且，一般来说，上述两个维度的问题要同时考虑。所以，内部控制缺陷性边界就呈现多种组合，大致如表1所示。那么，在多种组合中，究竟如何选择呢？

（一）时间边界——是特定期间还是特定时点？

关于时间边界，有时期观、时点观、结合观，不同观点各有其理由。

时期观的主要理由如下：“某一时点有效的内部控制并不能说明它能保证年度财务报告的可靠性，也不能保证企业在整个期间内守法经营；内部控制与财务报表审计整合进行，应当与财务报告所覆盖的期间相一致；预期使用者希望内部控制鉴证是对特定期间内部控制的有效性发表意见”[1-4]。

时点观的主要理由包括：“很多控制在运行后是无迹可查的，审计程序往往只能获取时点的证据，当然也就只能针对该时点内部控制的有效性发表意见；内部控制鉴证服务的目标和功能是有限的，财务报告的可靠性、遵循法规以及保证经营效率与效果等目标并不能过分依赖于内部控制的外部鉴证来完成，更多的责任仍在于企业管理当局建立健全内部控制并有效执行；对整个年度的内部控制做出测试和评价，其成本是极其高昂的，也无法实现；内部控制审计相当于体检，只能对某一时点内部控制是否存在重大缺陷发表意见；与PCAOB-AS5的要求一致”[5]。

结合观认为，“在确定内部控制鉴证的时间范围时，应考虑鉴证业务委托人、被鉴证单位和审计师三方的相互作用。内部控制审计中的审计轨迹、审计证据和审计成本都不允许注册会计师对一个较长期间的内部控制的有效性发表意见。所以，需要从三方的互动中寻求平衡，平衡的结果是，从程序上要求注册会计师应在特定期间对内部控制进行了解和有限测试，从结果上要求注册会计师针对特定时点的内部控制的有效性发表意见”[8]。

笔者认为，内部控制鉴证需要就内部控制状态得出结论，而内部控制状态是动态的，在一个时期的不同时点，其状况可能发生变化，所以，状态只能是时点状态，而不可能是时期状态，从内部控制鉴证可行性出发，总体来说，只能就时点得出鉴证结论，而不能就时期得出鉴证结论。例如，某钢铁企业的原料管理系统，2011年，采用定期盘存制，通过期末盘点来确定本期消耗，由于钢铁原料的特征，依靠人工进行的期末盘点不可靠，所以，通过期末盘点来确定的本期消耗也不可靠。2012年3月，在对2011年年报进行审计时，注册会计师认为，该公司原料管理系统存在重大缺陷，财务报告内部控制整体无效，对2011年财务报告内部控制发表否定性意见。由于这个否定性意见，2012年6月，该公司对原料管理系统进行改进，增加了加料计量系统，通过这个加料计量系统，能较可靠地确定原料消耗量，所以，其原料管理系统从实地盘存制改为永续盘存制。该项改造工作于2012年8月15完成。2013年3月，在审计2012年年报时，注册会计师认为，该项改造有效，该公司的原料管理系统不再存在缺陷。在上述案例中，该公司原料管理系统的时点状况是：2012年8月15号之前，存在重大缺陷；2012年8月15号之后，不存在缺陷。如果说，内部控制要以时期为基础来发表意见，注册会计师如何发表意见？就2012年来说，该公司原料管理系统有两种状况，一种是存在重大缺陷，一种是不存在缺陷。显然，无法就整个时期的内部控制状况发表意见，只能就控制的时点状况发表意见，一般来说，这个时间状况应该是最近的时点。endprint

然而，以时间为基础发表鉴证意见，并不意味着只收集时点证据。从内部控制鉴证目标来说，其最终目标是通过发现内部控制缺陷来抑制内部控制缺陷。为了实现这个鉴证目标，内部控制鉴证的威慑作用要覆盖整个时期，所以，其审计取证要覆盖整个时期，通过审计取证，对内部控制发挥动态移动的威慑作用，通过这些证据所获得的内部控制状态也是动态移动的，发表审计意见时，只是针对动态移动的最终时点。所以，此时的内部控制状况是动态移动的累计状况，也就是鉴证委托人、被鉴证单位和审计师三方动态博弈的累计状况。

所以，从内部控制鉴证目标目标来说，内部控制鉴证的审计取证要覆盖整个时期，获取内部控制的动态移动状况；从内部控制鉴证可行性出发，只能就内部控制动态移动的累计状况发表意见。

与此相关的另外一个问题是，既然内部控制鉴证的审计取证要覆盖整个时期，那么，审计密度如何确定呢？例如，一个年度有365天，需要在这个期间的哪些时点、多少时点获取审计证据呢？这涉及到审计的时间范围，一般应由审计师根据内部控制鉴证需求和职业判断来确定，也可以由审计师与被鉴证单位商定，属于审计合约和审计方案的一部分[16]。

总体来说，关于内部控制鑒证内容的时间边界，有如下结论：从内部控制鉴证目标出发，内部控制鉴证取证应该覆盖特定时期，这些证据表明内部控制在该时期的动态移动状况；从内部控制鉴证可行性出发，内部控制鉴证结论只能是内部控制在该时期动态移动的累计状况，也就是该时期的期末状况。

（二）范围边界——是全部内部控制还是财务报告内部控制？

关于范围边界，有财务报告观、全部观和兼顾观，不同观点各有其理由。

财务报告观的主要理由包括：“将内部控制的目标集中在财务报告可靠性上，更有利于保护广大投资者利益；SEC认为，SOX法案404条款中内部控制的核心是针对财务报告的；即使将内部控制审计的边界定为财务报告内部控制这一比较狭窄的范围，也会给上市公司增加大量的报告义务和成本负担；从历史上看，注册会计师对内部控制的检查或鉴证的范围从来只是针对财务报告内部控制；目前，美国、日本和加拿大等国家均要求注册会计师就财务报告内部控制发表意见，尚无一例要求对内部控制整体发表意见；对财务报告含相关信息的内部控制之外的其他内部控制，注册会计师目前可能因专业能力限制而不能执行提供合理保证的审计业务；只对财务报告内部控制进行审计，有利于规避注册会计师的责任”[9-13]。

全部观的主要理由有：“利益相关者关注的不只是财务报告目标，除了财务报告目标外，他们还关注合规目标、资产安全目标、经营目标和战略目标；管理层内部控制评价报告是针对内部控制整体而不是仅限于财务报告内部控制；多数内部控制的政策和程序并非仅针对报告目标而设计，很难明确划分财务报告内部控制，无论是横向分离还是纵向分离，都无法从内部控制系统中分离出一个所谓的财务报告内部控制系统”[1-3，14-15]。

兼顾观认为，内部控制审计范围必须考虑注册会计师的执业水平与能力，必须考虑制度的实施成本。从理论上说，既然称之为内部控制审计，其审计对象应涵盖内部控制整体。但内部控制审计这种制度安排，必须立足于国情，必须考虑企业的接受程度和承受能力，必须考虑注册会计师的执业水平与能力，必须考虑制度的实施成本。将内部控制审计的内容边界仅限于财务报告内部控制，尽管能满足监管机构的要求，但无法满足其他利益关系人的要求。只有将两者兼顾起来，即以企业财务报告内部控制为主体，同时兼顾非财务报告内部控制，才是我国现阶段的现实选择。注册会计师应当对财务报告内部控制发表审计意见，并对审计过程中注意到的非财务报告内部控制的重大缺陷，在审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

笔者认为，内部控制鉴证是针对全部内部控制，还是财务报告内部控制，或是其他某部分内部控制，主要决定于内部控制鉴证需求和鉴证能力，只要有鉴证需求，并且还有鉴证能力，则内部控制无论是整体还是其中的一部分，都可以作为鉴证范围。例如，一些单位还进行廉政内部控制评估，这种评估就是针对与廉政相关的内部控制；也有一些单位进行舞弊风险评估，这种评估针对的就是与舞弊相关的内部控制。不少单位的内部审计部门对本单位的内部控制进行评估，针对的就是全部内部控制。所以，内部控制鉴证的范围边界本身没有谁优谁劣的问题，是内部控制鉴证需求和鉴证能力的均衡。

然而，从内部控制鉴证可行性角度来看，内部控制鉴证则需要按不同的内部控制目标分别进行，不能将不同的内部控制目标作为一个整体，就内部控制整体发表意见，只能就内部控制各目标分别发表鉴证意见。下面，来详细分析这个问题。

不同的内部控制权威规范所界定的内部控制目标稍有差异，以我国《企业内部控制基本规范》为例，第三条规定，“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。很显然，对于不同的内部控制目标，内部控制提供的保证程度不同，从另一方面来说，也就是可容忍风险暴露程度不同。对于合法合规目标、资产安全目标、信息真实完整目标，提供的是合理保证，允许的可容忍风险暴露程度很低；对于经营目标，其保证程度是“提高”，保证程度较低，对于战略目标，保证程度是“促进”，很显然，这两个目标的保证程度较低，允许的可容忍风险暴露程度较高。为什么会有这种程度不同之规定呢？主要的原因是，对于合法合规目标、资产安全目标、信息真实完整目标来说，内部影响因素也存在，但是，内部控制系统能有效地应对内外因素，而经营目标和战略目标则不然，许多外部因素是内部控制系统无法有效应对甚至无能为力的，对于这些目标，内部控制系统只能发挥一定的作用，并不能保证其达到某种状态[17]。我国的《行政事业单位内部控制规范（试行）》确定的内部控制目标也是如此，第四条规定，“单位内部控制的目标主要包括：合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防腐败，提高公共服务的效率和效果”。对于合法合规目标、资产安全和使用有效目标、财务信息真实完整，内部控制能提供合理保证，允许的可容忍风险暴露程度较低；而防范舞弊和预防腐败目标、公共服务的效率和效果目标，受到许多外部因素的影响，内部控制系统无法有效应对甚至无能为力，所以，保证程度较低，允许的可容忍风险暴露程度较高。endprint

既然不同的内部控制目标，允许的可容忍风险暴露程度不同，很显然，内部控制缺陷性也就呈现差异化，对于同一企业或行政事业单位来说，可能是某些方面的内部控制目标风险暴露程度低于可容忍程度，内部控制不存在重大缺陷，该目标相关的内部控制是有效性；而与此同时，另外一些方面的内部控制控制目标则是风险暴露程度高于可容忍程度，内部控制存在重大缺陷，该目标相关的内部控制是无效的。但是，内部控制作为一个整体，则无法形成是否有效的结论。当然，现实生活是复杂的，在有些情形下，内部控制的所有目标都不存在重大缺陷，所以，可以认为内部控制是整体有效的。但是，这并不能解决不同目标出现不同情形时如何形成整体结论的问题。

总体来说，关于内部控制鉴证内容的范围边界，有如下结论：内部控制鉴证内容是鉴证需求和鉴证能力的均衡，既可以鉴证全部内部控制，也可以只选择某一部分内部控制；但是，由于内部控制对于不同的内部控制目标提供的保证程度不同，影响内部控制目标的外部因素不同，内部控制鉴证只能就不同的内部控制目标分别形成鉴证结论，内部控制作为一个整体难以形成鉴证结论。

四、内部控制鉴证内容的时间边界和范围边界：相关权威规范分析

本文以上提出了一个关于内部控制鉴证内容边界的理论框架，下面，用这个理论框架来分析我国的内部控制鉴证相关权威规范的规定，以一定程度上验证这个理论框架。

（一）内部控制鉴证内容的时间边界

《企业内部控制评价指引》第二十六条规定，“企业应当以12月31日作为年度内部控制评价报告的基准日”。根据这个规定，内部控制评价是对特定时点的内部控制状况形成评价意见。但是，第十三条规定，“企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施”。第十六条规定，“企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定”。根据这两条的规定，内部控制评价获取的审计证据，并不只是针对12月31日这个特定时点，而是分布于全年的不同时点。

《企业内部控制审计指引》第二条规定，“内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计”。根据这个规定，内部控制审计只是对特定基准日内部控制状况发表意见。然而，第十七条规定，“注册会计师在确定测试的时间安排时，应当在下列两个因素之间进行平衡，以获取充分、适当的证据：尽量在接近企业内部控制自我评价基准日实施测试；实施的测试需要涵盖足够长的期间”。根据这项规定，内部控制审计证据并不只是反映基准日内部控制状况，而是要涵盖足够长的期间。

总体来说，《企业内部控制评价指引》和《企业内部控制审计指引》要求对特定时点的内部控制状况形成结论，但是，关于内部控制状况的证据获取并不只是限于这个特定时点的内部控制状况，而是扩展到这个时期的多个时点。这与本文的理论框架相一致。

（二）内部控制鉴证内容的范围边界

关于内部控制鉴证内容的范围边界，我们相关的权威规范有三种情形：一是全部内部控制，二是财务报告内部控制，三是财务报告内部控制兼顾非财务报告内部控制。

1.内部控制鉴证内容是全部内部控制

2001年4月，证监会发布的《上市公司發行新股招股说明书》第五十九条规定，“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见，同时应披露注册会计师关于发行人内部控制制度评价报告的结论性意见”。

2010年，财政部等五部委发布的《企业内部控制评价指引》第五条规定，“企业应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价”。

2013年，中国内部审计师协会发布的《第2201号内部审计具体准则——内部控制审计》第八条规定，“内部控制审计按其范围划分，分为全面内部控制审计和专项内部控制审计”。全面内部控制审计，是针对组织所有业务活动的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。专项内部控制审计，是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。

2.内部控制鉴证内容是财务报告内部控制

2002年2月，中国注册会计师协会发布的《内部控制审核指导意见》规定，“注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见”。

3.内部控制鉴证内容是财务报告内部控制兼顾非财务报告内部控制

2010年财政部等五部委发布的《企业内部控制审计指引》第四条规定，“注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段予以披露”。

根据这些不同的内部控制鉴证范围之规定，有三点启示，第一，内部控制鉴证内容的范围具有多种性，并不是只有一种选择，既可以是全部内部控制，也可能是财务报告内部控制甚至其他某部分内部控制。第二，当内部控制鉴证内容是全部内部控制时，有两种情形，一是IPO时，二是管理层内部控制评价时，这两种情形都不存在不同的内部控制目标会有不同的鉴证结论的情形。在IPO时，投资者对企业要进行全面了解，不能容忍内部控制的某些方面存在重大缺陷，所以，所有的内部控制目标的鉴证结论必须都是有效的。在管理层内部控制评价时，管理层的主要目的是发现缺陷并推进整改，所以，是否有一个关于内部控制整体有效性的意见并不重要。正是由于这些原因，本文理论分析中剖析的不同方面的内部控制有效性不同，从而难以对内部控制整体形成结论的情形不会发生。所以，可以将内部控制整体作为鉴证内容。第三，当内部控制鉴证内容是财务报告内部控制时，这种情形下一般是对外披露内部控制鉴证结论，注册会计师要承担严格的法律责任，同时，还要考虑鉴证成本，并且，要求对发现的非财务报告内部控制重大缺陷也予以披露。endprint

总体来说，我国内部控制鉴证相关规范对内部控制鉴证内容的范围的规定具有多种性，这与本文的理论框架相一致。

五、结论和启示

内部控制鉴证内容是内部控制缺陷性，首先鉴证内部控制缺陷，然后，根据内部控制有效性和缺陷性的互补关系，确定内部控制有效性。然而，内部控制缺陷性究竟是定位于某一时点还是某一时期？是定位于全部内部控制还是财务报告内部控制？本文从内部控制鉴证目标、内控制鉴证需求、内部控制鉴证可行性出发，提出关于内部控制鉴证内容之边界的一个理论框架。

关于内部控制鉴证内容的时间边界，从内部控制鉴证目标出发，内部控制鉴证取证应该覆盖特定时期；这些证据表明内部控制在该时期的动态移动状况，从内部控制鉴证可行性出发，内部控制鉴证结论只能是内部控制在该时期动态移动的累计状况，也就是该时期的期末状况。

关于内部控制鉴证内容的范围边界，内部控制鉴证内容是鉴证需求和鉴证能力的均衡，既可以鉴证全部内部控制，也可以只选择某一部分内部控制；但是，由于内部控制对于不同的内部控制目标提供的保证程度不同，影响内部控制目标的外部因素不同，内部控制鉴证只能就不同的内部控制目标分别形成鉴证结论，内部控制作为一个整体难以形成鉴证结论。

本文的研究看似理论探索，其实有较大的实践意义，从时间上来说，虽然是对时点的内部控制状况形成结论，但是，事实上是一个时期的动态累计，鉴证证据需要覆盖该时期的多个时点；从范围来说，具有多种选择，是内部控制鉴证需求和鉴证能力的均衡。正是由于这种特征，使得内部控制鉴证作为制度审计，具有了审计属性，需要按审计思维来实施。

【参考文献】

[1] 吴水澎，陈汉文，邵贤弟.企业内部控制理论发展与启示[J].会计研究，2000（5）：2-8.

[2] 潘秀丽.对内部控制若干问题研究[J].会计研究，2001（6）：22-25.

[3] 陈关亭，杨芳.上市公司内部控制报告调查研究[J].审计理论与实践，2003（7）：24-26.

[4] 李明辉，张艳.上市公司内部控制审计若干问题之探讨——兼论我国内部控制鉴证指引的制定[J].审计与经济研究，2010（3）：38-47.

[5] 李爽，吴溪.内部控制鉴证服务的若干争议与探讨[J].中国注册会计师，2003（5）：8-11.

[6] PAUL J W.Exploring PCAOB Auditing Standard 2：Audits of Internal Control[J].CPA Journal，2005，75（5）：22.

[7] 刘明辉，何敬.内部控制鉴证的时点与时期之争[J].中国注册会计师，2009（8）：31-33.

[8] 刘明辉.内部控制鉴证：争论与选择[J].会计研究，2010（9）：43-50.

[9] 张龙平，陈作习，宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究，2009（2）：75-80.

[10] 谢晓燕，张心灵，陈秀芳.我国企业内部控制审计的现实选择——基于内部控制审计与财务报表审计关联的分析[J].财会通讯，2009（3）：125-127.

[11] 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究，2010（5）：3-16.

[12] 杨志国.内控审计指引让财报更靠谱[N].中国证券报，2010-08-12.

[13] 韩丽荣，郑丽，周晓菲.我国企业内部控制审计目标的理论分析及现实[J].吉林大学社会科学学报，2011（9）：125-131.

[14] 孙文刚.内部控制鉴证的对象与内容——兼评《企业内部控制鉴证指引（征求意见稿）》[J].会计之友，2009（1）：24-25.

[15] 白华，高立.财务报告内部控制：一个悖论[J].会计研究，2011（3）：68-75.

[16] ARENS A A，RANDAL J E，BEASLEY M S.Auditing And Assurance Services： An Integrated Approach[M]. 14th Edition. Prentice-Hall，Inc，2011.

[17] 陳汉文，张宜霞.企业内部控制的有效性及其评价方法[J].审计研究，2008（3）：48-54.endprint