2008年5月和2010年4月，财政部会同证监会、审计署、银监会和保监会发布的《企业内部控制基本规范》和《企业内部控制配套指引》确立了注册会计师内部控制审计制度和标准。内部控制审计制度的确立，意味着监管的重心从只注重财务报告本身可靠性转向同时注重对保证财务报告可靠性机制的建设。笔者拟结合主持研究和起草《企业内部控制审计指引》的经历谈几点体会。

一、制定《企业内部控制审计指引》的意义

内部控制审计，是指会计师事务所接受企业委托，对企业特定基准日内部控制设计与运行的有效性进行审计，并对内部控制的有效性发表意见。相对于传统的财务报表审计业务而言，内部控制审计是一种新兴业务，制定《企业内部控制审计指引》，为注册会计师执行内部控制审计工作提供执业指导，既是落实内部控制审计制度的需要，也是规范注册会计师执业的需要。

（一）落实内部控制审计制度

在当今错综复杂的经营环境下，企业面临着各种各样的经营风险。多数经营风险都会产生财务后果，进而影响财务报表。例如，开发新产品或服务失败出现的损失，新产品存在瑕疵导致的负债，客户群的减少增加的应收款项坏账准备。因此，企业需要设计、执行和维护内部控制，以应对对企业实现目标和战略产生不利影响的经营风险。

但是从目前来看，许多企业内部控制薄弱，没有建立有效的内部控制，或设计的内部控制没有得到有效执行。加之内部控制的固有限制，无论内部控制如何有效，都只能为企业实现目标提供合理保证。这些限制包括在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。此外，内部控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避。

因此，为了合理保证内部控制得到合理设计和有效执行，必须对内部控制进行评价和审计。根据《企业内部控制基本规范》的规定，执行企业内部控制规范体系的企业，应当对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所依照相关审计标准对其财务报告内部控制的有效性进行审计，出具审计报告。《企业内部控制审计指引》就是对内部控制审计制度的具体落实。

（二）规范注册会计师执业

注册会计师执行一项新业务，必须有相应的执业标准来规范，否则执业质量无从保证。《企业内部控制基本规范》和《企业内部控制审计指引》出台之前，财政部、证监会、人民银行、证券交易所等部门陆续出台过有关内部控制的指导文件，对企业设计和实施有效的内部控制提出要求。同时，证监会针对企业上市和上市公司再融资，要求公司提交注册会计师出具的内部控制审计报告。为及时给注册会计师执行内部控制审计业务提供指导，中注协于2002年2月发布了《内部控制审核指导意见》。

随着《企业内部控制基本规范》的发布，内部控制审计成为一种有较大市场的鉴证业务，改变了公司只在上市或再融资时才委托注册会计师对内部控制进行审计的局面。同时，改变了内部控制审计是财务报表审计“附属品”的看法。这意味着内部控制审计从原来的一次性业务变成了与财务报表审计一样的经常性业务。根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，借鉴美国公众公司会计监督委员会第5号审计准则，中注协于2008年年初开始起草新的企业内部控制审计指引，先后6次向有关方面征求意见，以保证指引的高质量。

二、《企业内部控制审计指引》的主要内容

《企业内部控制审计指引》共7章、35条，并附有4份不同意见类型的内部控制审计报告。主要内容如下：

1.计划审计工作。在计划审计工作阶段，规范的内容主要包括注册会计师如何评估舞弊风险、调整审计工作、应对舞弊风险、利用其他相关人员的工作、确定重要性水平和对利用服务机构的考虑。

2.实施审计工作。在实施审计工作阶段，规范的内容主要包括注册会计师如何按照自上而下的方法实施审计工作，识别企业层面控制，识别重要账户、列报及其相关认定，了解错报的可能来源，选择拟测试的控制，测试控制设计的有效性，测试控制运行的有效性。

3.评价控制缺陷。在评价控制缺陷阶段，规范的内容主要包括内部控制缺陷的分类、重大内部控制缺陷的迹象、注册会计师如何评价内部控制缺陷。

4.完成审计工作。在完成审计工作阶段，规范的主要内容包括获取管理层书面声明、书面声明的内容、对内部控制形成初步意见。

5.出具审计报告。在出具审计报告阶段，规范的主要内容包括内部控制审计报告要素以及出具标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见内部控制审计报告的条件。

6.记录审计工作。在形成工作记录时，主要规范注册会计师在审计工作底稿中记录的内容：（1）内部控制审计计划及重大修改情况；（2）相关风险评估和选择拟测试的内部控制的主要过程及结果；（3）测试内部控制设计与运行有效性的程序及结果；（4）对识别的控制缺陷的评价；（5）形成的审计结论和意见。

三、《企业内部控制审计指引》对几个重大问题的处理

与财务报表审计相比，内部控制审计有其特殊性。因此，在起草《企业内部控制审计指引》时，我们对其中几个重大问题进行了深入研究。

（一）关于审计的范围

内部控制审计的范围涉及注册会计师的工作范围，即注册会计师是对企业财务报告内部控制进行审计，还是对企业所有内部控制进行审计。财务报告内部控制，是指企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。企业所有内部控制，是指企业为了合理保证经营合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略而设计和执行的内部控制。

如何在指引中确定内部控制审计的范围，我们重点考虑了以下因素：

一是注册会计师的胜任能力。注册会计师的专长领域主要在会计、审计、税法、财务管理、公司战略、财务报告内部控制等方面。对于其他领域的内部控制，如生产安全内部控制、产品质量内部控制、环境保护内部控制等，超出了注册会计师的知识、技能和经验，需要其他领域的专家进行鉴证。

二是成本效益的约束。美国公众公司会计监督委员会通过对第2号内部控制审计准则实施情况的研究表明，注册会计师对财务报告内部控制的审计带来巨大的效益，推进了公司治理和内部控制的完善，提高了财务报告质量；但另一方面，巨大的收益也伴随着巨大的成本，执行财务报告内部控制审计的费用超出了预期，大幅增加了企业的成本。因此，美国公众公司会计监督委员会对第2号内部控制审计准则的要求进行了修改，简化了程序，提出新的第5号内部控制审计准则。如果将内部控制审计的范围扩展至其他方面，势必进一步加剧审计的成本效益矛盾。

三是投资者的需求。注册会计师对内部控制进行审计的主要目的是满足投资者等信息使用者的需求，保护投资者权益。如果财务报告内部控制有效，可以使投资者对上市公司财务报告的可靠性有更多的信心，从而帮助投资者进行投资决策。并且，如果注册会计师认为财务报告内部控制没有问题，则意味着财务报表有重大问题的可能性大大降低，这在逻辑上是一致的，给投资者的信息也是一致的。

四是对非财务报告内部控制审计的做法。从国外的情况看，内部控制审计主要局限在财务报告内部控制。目前国际上尚未形成对非财务报告内部控制有效性进行评价的依据或标准，在判断上存在较大的主观因素，结果缺乏可比性，对投资者的作用也很不确定。

综合考虑国外的成功经验、注册会计师的胜任能力、审计的标准、成本和效益、投资者需求等因素，我们在指引中提出了注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

（二）关于整合审计

企业可以聘请两家会计师事务所分别对其内部控制和财务报表进行审计，也可以聘请一家会计师事务所同时对其内部控制和财务报表进行审计。指引中规定，注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（即整合审计）。但在实务中，由于内部控制审计和财务报表审计的关联性，注册会计师更适合于进行整合审计，因此，指引从计划审计工作到完成审计工作，都立足于整合审计。

首先，内部控制审计与财务报表审计可以同时进行。在执行内部控制审计时，注册会计师需要对内部控制设计和运行的有效性进行测试；在执行财务报表审计时，注册会计师也需要了解内部控制，并在需要时测试内部控制。这是两种审计的相同之处，也是需要整合的部分。但由于两种审计的目标不同，在整合审计中，需要注册会计师设计控制测试，以同时实现两种审计的目标：（1）获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见；（2）获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。

其次，内部控制审计与财务报表审计两者很难分开。在执行财务报表审计时，注册会计师可以利用内部控制审计的结果修改实质性程序的性质、时间安排和范围；在确定实质性程序的性质、时间安排和范围时，慎重考虑识别出的控制缺陷。在执行内部控制审计时，注册会计师需要评估实施实质性程序发现的问题的影响；最重要的是考虑识别出的财务报表错报对评价内部控制有效性的影响。因此注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。

再次，由于内部控制审计和财务报表审计要在规定的时间内一同完成，同时企业要在同一时间同时公布审计报告和内部控制审计报告，因此，企业聘请两家会计师事务所分别对其内部控制和财务报表进行审计，无论是从审计时间、审计成本还是从审计协调来看都是不可取的。

（三）关于审计基准日

内部控制审计基准日，即注册会计师评价内部控制在某一时日是否有效所涉及的基准日。关于注册会计师对财务报告内部控制发表意见针对的日期或期间也有两种观点，即是对截至某基准日内部控制的有效性发表意见，还是对企业整个期间内部控制的有效性发表意见。指引规定注册会计师需要对特定基准日内部控制的有效性发表意见。之所以如此规定，是基于以下考虑：

一是注册会计师不可能对企业内部控制在某个期间段（如一年）内每天的运行情况进行描述，然后发表审计意见，这样做不切实际，并且无法向信息使用者提供准确清晰的信息，甚至会误导使用者。例如，注册会计师可能在5月份对内部控制进行测试，发现问题后提请企业进行整改；如6月份整改，内部控制在整改后要运行一段时间（如一个月），8月份注册会计师再对整改后的内部控制进行测试。如果注册会计师对此过程进行描述，则很可能形成长式审计报告，从而难以形成简明有用的审计意见。

二是注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。按照指引的规定，注册会计师在对特定基准日内部控制的有效性发表意见前，需要获取内部控制在一段足够长的时间有效运行的证据，这段时间可能比企业财务报表涵盖的整个期间（通常为一年）短些，但必须足够长。因此，虽然是对企业12月31日（基准日）内部控制的设计和运行发表意见，但这里的基准日不是一个简单的时点概念，而是考虑了内部控制在此前的有效性，以及向前的延续性。

（四）关于自上而下的审计方法

如何对内部控制进行审计，涉及到内部控制审计的思路。是借鉴传统财务报表审计方法，还是借鉴现代风险导向审计方法，需要作出取舍。经过研究国外现行的做法，结合我国实施的风险导向审计思路，决定采用自上而下的审计方法。指引规定，注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始，然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。详细来讲，分为以下步骤：

首先，从财务报表层次初步了解可能导致财务报表发生错报的风险，以及从整体上了解企业财务报告内部控制风险。从关注可能造成财务报表错报的风险开始，分析这些风险事项和领域，然后针对这些事项和领域以及对企业内部控制整体风险的了解，进一步确认相关的关键流程和控制。

第二，通过了解企业与财务报告相关的整体风险，可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外，由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，因此，注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。

第三，识别重要账户、列报及其相关认定。判断某账户或列报是否为重要账户或列报或者某认定是否为相关认定，应当依据其固有风险，而不应首先考虑相关控制的影响。

第四，在识别重要账户、列报及其相关认定时，还需要确定对财务报表产生重大影响的潜在错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。

第五，选择拟测试的控制。注册会计师需要评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成审计结论具有重要影响的控制进行测试。是否选择某项控制进行测试取决于该项控制单独或合并起来是否足以应对相关认定的错报风险。

自上而下的审计方法，是一项全新的审计思路，可以大大提高审计的效率和效果。

（五）关于审计工作底稿

内部控制审计工作底稿，是注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论作出的记录。注册会计师编制审计工作底稿可以为审计工作提供充分、适当的记录，作为出具审计报告的基础；同时，也为注册会计师证明其按照指引的规定执行了审计工作提供证据。

由于内部控制审计更多的是建立在整合审计的基础上，如何形成内部控制审计工作底稿成为实施指引的关键。目前有两种看法：一种是将内部控制审计工作底稿并入财务报表审计工作底稿，形成一套工作底稿；另一种是，无论是否实施整合审计，内部审计工作底稿单独归档，形成独立的工作底稿。

指引采取了后一种做法，即如果企业聘请两家会计师事务所分别对其内部控制和财务报表进行审计，毫无疑问，两家会计师事务所应当分别形成内部控制审计工作底稿和财务报表审计工作底稿。如果由一家会计师事务所同时对其内部控制和财务报表进行审计，注册会计师还是应当分别形成内部控制审计工作底稿和财务报表审计工作底稿，只不过整合审计部分形成的工作底稿既可以归档到内部控制审计工作底稿中，也可以归档到财务报表审计工作底稿中，两套工作底稿之间建立交叉索引，以减轻注册会计师编制工作底稿的负担。

四、实施《企业内部控制审计指引》需要正确理解的两个关系

（一）处理好企业内部控制自我评价和注册会计师审计之间的关系

按照《企业内部控制基本规范》的规定，企业既要对内部控制进行自我评价，同时也要聘请注册会计师对其内部控制进行审计。因此，注册会计师在执行内部控制审计业务时要处理好企业内部控制自我评价与内部控制审计之间的关系。

内部控制评价和注册会计师审计是两种不同的责任。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师在执行内部控制审计时，不得代企业设计内部控制，也不得代企业进行内部控制自我评价。

两者的工作可以互相利用。一方面，在执行内部控制审计时，注册会计师通过评估企业内部控制自我评价工作，可以判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作。如果决定利用其工作，则可以相应减少本应由注册会计师执行的工作。在决定利用他人工作前，注册会计师需要对相关人员的专业胜任能力和客观性进行充分评价。当然，无论是否利用企业的自我评价工作，会计师事务所均应对发表的审计意见承担全部责任。另一方面，注册会计师在执行内部控制审计时，从独立的第三方角度可能会发现企业自我评价没有发现的控制缺陷，提请企业予以整改。此时，企业需要正确认识注册会计师的内部控制审计工作，正确对待注册会计师的工作结果，认真审视企业的内部控制，通过整改落实，使内部控制更加完善合理。

（二）处理好内部控制审计报告与财务报表审计报告之间的关系

按照整合审计的要求，注册会计师要同时为企业的财务报告内部控制和财务报表发表审计意见。正确认识两种审计报告之间的关系，可以帮助信息使用者更好地理解企业的财务信息，做出更明智的决策。

财务报表是企业财务信息的载体，是企业财务状况、经营成果和现金流量的结果体现。财务报告内部控制是保证企业财务报告可靠性的机制和程序，为财务报表的真实可靠提供机制保障。所以，一般情况下，如果注册会计师对企业的财务报告内部控制发表无保留意见，则企业的财务报表不存在重大错报的可能性很高。同样地，如果企业的财务报告内部控制存在重大缺陷，则难以保证财务报表不存在重大错报。

如果注册会计师对企业财务报表发表无保留意见，即财务报表不存在重大错报，此时，企业的财务报告内部控制有两种情况，一种情况是财务报告内部控制有效运行，能够及时防止或发现并纠正重大错报，此时，注册会计师对财务报告内部控制可能发表无保留意见；另一种情况是财务报告内部控制并没有有效运行，但财务报表尚未出现重大错报，或虽出现重大错报但注册会计师在财务报表审计工作中发现了重大错报并且企业已经更正，在这种情况下，注册会计师对财务报告内部控制可能发表非无保留意见。

如果财务报表存在重大错报，注册会计师对其发表了非无保留意见，则可以肯定企业财务报告内部控制存在重大缺陷，此时，注册会计师也需要对财务报告内部控制发表非无保留意见。■

（本文作者系中国注册会计师协会副秘书长）

责任编辑 武献杰