内部控制评价理论论文

「摘要」对企业内部控制有效性进行评价并出具审核报告是我国注册会计师的一项新业务，急需对由此引起的相关理论与实务问题进行探讨。本文从内部控制评价的性质、范围、目标、评价标准、责任划分等九方面探讨了与内部控制评价相关的理论问题，以期对我国注册会计师相关鉴证准则的制定和实务工作的开展提供支持。

「关键词」内部控制；审核目标与范围；审核标准；审核阶段

内部控制因在确保会计信息的真实可靠、资产的安全完整和业务活动的有效进行，防止舞弊欺诈行为、实现经营管理目标等方面具有重要作用而日益受到国家和社会的重视。我国《会计法》有和关规定明确要求各单位根据国家法律法规和规范，建立符合本单位业务特点和管理要求的内部控制制度。与此同时，对内部控制有效性的说明与独立外部评价也引起相应重视。中国证监会要求商业银行、保险公司、证券公司对其内部控制的完整性、合理性、有效性作出说明，要求从2001年起“公开发行股票商业银行应对其内部控制制度的完整性、合理性与有效性作出说明。商业银行还应委托所聘请的会计师事务所对其内部控制制度，尤其是其风险管理系统的完整性、合理性与有效性进行评价，提出改进意见，并出具评价报告。”在将来，所有上市公司及国有大中型企业均需聘请注册会计师对内部控制有效性进行评价并发表意见。但目前我国注册会计师对内部控制评价的做法很不统一和规范。本文拟对与内部控制评价相关的理论问题进行探讨。

一、内部控制评价的性质

在美国等审计较发达国家，将注册会计师业务分为鉴证（attestation）与非鉴证两类。鉴证业务是指注册会计师受托对由另一人所负责的书面认定的可靠性提供书面结论所执行的一种业务，包括审计（auditing）、审核（examination）、审阅（review，也译“复核”）、执行商定程序（agreeduponprocedures）等；非鉴证业务包括税务服务、管理咨询、会计服务等。审计业务要对认定作出积极的、较高程度的但不是绝对的保证；审核或复核业务一般对认定作出消极的、中等程度的保证，但在美国，审核业务也可对认定作出积极的保证；执行商定程序业务一般不对认定作保证，只报告所发现事实，但在有些情况下也可同时对认定作出消极的、中等程度的保证。在国际审计准则中，将注册会计师业务分为审计与相关业务两类，其中相关业务包括复核、执行商定程序和编表等。我国《注册会计师法》将注册会计师业务分为审计业务和会计咨询及会计服务业务两类，其中审计业务又包括审查会计报表，验证企业资本，办理企业合并、分立、清算等事宜中的审计及其他法律、行政法规规定的审计业务。

按照国际通行做法，注册会计师执行与内部控制相关的业务既可是执行鉴证业务中的审核或执行商定程序业务，也可以是执行非鉴证业务中的管理咨询业务，但不能是鉴证业务中的审计或审阅业务。这是因为对内部控制的评价不能实施会计报表审计中通常所采用的重要审计程序如盘点、函证、计算、分析性程序等，因此，内部控制评价不属于审计性质。由于在审阅业务中主要采用询问和分析性程序，而对内部控制评价无法实施分析性程序，且仅采用询问程序却又不能发现内部控制存在的问题，因此，对内部控制执行审阅业务无实际意义。

那么，我国注册会计师执行内部控制评价究竟应定位为什么性质的业务？关键要看内部控制评价的目的。由于注册会计师进行内部控制评价要对管理当局关于内部控制有效性（完整性、合理性和有效性）的书面认定作出积极的较高程度的保证，因此，内部控制评价应属于审核业务性质，而不是执行商定程序或管理咨询业务。在美国，把对管理当局关于内部控制有效性书面认定的评价界定为审核业务。目前我国有人主张用“内部控制评审”来描述此类业务是不可取的，因为“评审”一词含义甚广，无法归入合适的通行业务种类。

二、内部控制构成要素及其对审核工作的影响

在我国对内部控制构成的认识主要有三种。第一种是“内部控制制度论”（InternalControlSystem），认为内部控制包括内部会计控制制度和内部管理控制制度；第二种是“内部控制结构论”（InternalControlStructure），认为内部控制包括控制环境、会计系统和控制程序；第三种是“内部控制成分论”（InternalControlComponents），认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五成分构成。目前占上风的是第二种观点。但在美国，对内部控制的认识已由第二种观点过渡到第三种观点。各种观点对内部控制构成内容的认识差距较大。如第一种观点一般不将管理哲学与经营方式、组织机构、董事会、人事政策与实务、外部影响等环境因素作为内部控制的构成内容；第二种观点则没有将新技术、顾客需求或期望的改变、竞争、经济环境的变化等对企业经营和管理产生影响的风险因素作为内部控制的构成内容。