关于企业内部控制审计的几个问题

一、企业内部控制定义的解读
    
    按照《企业内部控制基本规范》(以下简称“基本规范”)有关内部控制是“由企业…实施的、旨在实现控制目标的过程”的定义，以及“基本规范”和“配套指引”中的相关内容，笔者建立了一个企业内部控制过程分析模型(见图一)。这个模型表明，企业在实施控制目标的过程中包含着“五个要素”、“两个层面”、“八个节点”和“两个机制”等内容。
    

图1 内部控制过程分析模型

上述模型中的“五个要素”就是COSO框架中的五个要素。所谓“两个层面”就是指内部控制自上而下分企业层面和业务层面。“八个节点”是指识别、评估、应对、措施、设计、运行、评价和改进。所谓“两大机制”：一是“识别→评估→应对→措施”的风险控制机制；二是“设计→运行→评价→改进”的自我完善机制。
    这个分析模型对内部控制审计较为实用，至少可以为注册会计师内控审计实战提供以下支持：一是内控五要素在企业实现目标过程中所处的位置和作用；二是五要素之间的内在联系；三是内控审计的整体思路和切入点；四是内控各组节点及其内在的逻辑关系；五是为对内控做出有效或无效判断提供证据；六是寻找内控无效的原因；七是缺陷发生的节点及产生缺陷的原因；八是更好地为企业提供内控审计增值服务；九是合理利用审计资源提高审计效率。
    (一)自我完善机制：设计→运行→评价→改进
    过程方法应当是“设计→运行→评价→改进”的持续循环，系统在不断循环中得到自我完善。系统的自我完善机制比完善的系统更重要。
    设计——在对实现目标过程中存在的不确定性进行评估的基础上，制定行动“计划”；
    运行——按照计划开始“行动”，内部控制设计后，执行就成为关键环节；
    评价——在执行中还应对设计和执行本身进行不断的“评价”，及时发现存在的不足，见微知著，总结经验教训；
    改进——根据测试的结果，对系统进行持续“改进”，不断自我完善。
    (二)风险控制机制：识别→评估→应对→措施
    系统在实现目标过程中充满着不确定性，“识别→评估→反应→措施”是系统实现目标过程中的一种控制风险的方法和机制。
    识别——既要“识别”风险，还要发现机会；
    评估——“评估”风险大小，事件对目标实现的影响程度；
    应对——根据风险大小做出适当的“反应”，包括：回避、预防、接受、转移等应对策略；
    措施——有针对性地设计并执行适当的“控制活动”去对冲风险。
    二、自上而下审计方法的解读
    
    《企业内部控制审计指引》(以下简称“审计指引”)要求注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。笔者认为，自上而下的审计方法要求将企业内部控制系统作为一个有机的整体来对待，先看整体，再看部分；先看宏观，再看微观；先看全过程，再看某一个阶段。从系统与环境、系统与相关系统、系统内部结构的相互依赖、相互制约中，去揭示企业内部控制系统的特征和运行状况。
    对业务层面控制的研究必须放在企业层面控制的整体中，从它和整体的各个部分的联系、制约中去加以研究。“审计指引”要求注册会计师在实施审计过程中将企业层面控制和业务层面控制的测试结合进行。注册会计师对一个企业内部控制系统的正确认识来自于从整体到部分，再从部分到整体的反复过程。
    如何判断内部控制的有效性，是注册会计师实施内部控制审计的关键环节。“审计指引”将企业内部控制的有效性分为设计与运行的有效性。笔者认为，企业内部控制有效性审计可以通过综合分析该系统与环境、系统与相关系统、系统内部结构三个层面的关系，来判断系统设计和运行的有效性。有效的内部控制系统应当在这三个层面上达到有效性的统一。注册会计师在实施企业内部控制审计时要树立以下三个系统理念：
    一是与时俱化——内控系统随环境变化而变化。内控是企业内部环境中的系统。环境始终对系统起主导性作用，内控系统总是主动适应环境的变化，系统需要为适应企业内部环境而不断调整其内部结构。运营风险源自于企业与环境的信息不对称。注册会计师不但要“了解你的客户”，还应“了解客户所在的环境”。内控系统要与企业的经营规模、业务范围、行业特点等相适应，内控活动要与可能的风险保持对称，其内部结构随企业内部环境的变化而变化。有效的内控系统应当与企业战略目标保持一致，在企业实现战略目标过程中发挥积极作用。
    二是整体有效——企业内控的有效性应当是整体有效。内控的内在结构决定着系统整体的功能和有效性。内控的各部分有效，整体不一定就有效，结构合理才是一个有效的内控系统。内控系统的有效性不是其组成部分的简单相加，而应当是1+1＞2，即整体大于部分之和。有效的内控系统应当具有合理、有序、简洁和高效的内部结构。各内控子系统缺陷的组合所导致偏离控制目标的程度，是判别内控整体有效性的重要标准。
    三是协同作用——企业内控与其他系统相互协同。企业是一个由若干子系统组成的有机整体，内控系统仅是企业整体中的一部分。各子系统有着各自的功能和目标。内控系统与其平行系统相互配合、相互依存，共同为企业的战略目标发挥协同效应。注册会计师不但要了解内控系统，还应了解内控系统与其平行系统之间的联系。有效的内控系统应当与企业其他系统保持协同作用。
    三、企业内控有效性的职业判断
    
    内控有效性是注册会计师开展企业内部控制审计工作的核心问题。根据上述“内部控制过程分析”模型及“内控整体有效”的观点，笔者认为，注册会计师在判断内控系统是否有效时，可以从过程、要素和机制三个方面来进行职业判断。
    一是过程有效。有效的企业内控系统不仅仅是“设计和运行有效”，而应当是“全过程”的有效。所谓全过程有效包括识别、评估、应对、措施、设计、运行、评价和改进等八个节点全部有效，内控的“设计和运行”只是其中的两个节点。在“设计”的前面有“风险识别”、“风险评估”和“应对策略”等节点，有效的内控措施设计是建立在风险评估基础上的。在“运行”的后面有“评价”、“改进”环节。所有这些环节组成内控系统的一个自然逻辑过程，表现在企业的管理流程和业务流程之中，其中的任何一个节点无效都会影响到内控系统的有效性。也就是说，如果内控系统无效，那一定是在某个或多个节点上存在着重大缺陷。
    二是要素有效。要素是过程中的要素，过程是要素作用的过程。企业内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。内控有效应当是指这五个要素在同一时空中全部有效。反之，如果一个内控系统无效，那一定是某个或多个要素存在着重大缺陷。系统是一定环境中的系统，系统实现目标的过程总在一定环境中进行。系统实现目标的过程就是与环境相适应的过程。企业内部环境对内部控制建设起到至关重要的作用。内控环境包括法人治理结构、用人和绩效政策、合规和执行文化等。在法人治理不健全的企业，核心人物的内控理念决定着内控系统的有效性。
    三是机制有效。系统中五个要素和八个节点不是孤立地存在着，每个要素和节点在系统中都处于一定的位置上，起着特定的作用。企业内部控制系统是一种机制，内控的五大要素、各个节点是一个有机的整体。企业内控机制有：“识别→评估→应对→措施”的风险控制机制；“设计→运行→评价→改进”的自我完善机制。有效的内控系统是指这两个机制全部有效。
    “设计→运行→评价→改进”就是PCDA循环，实际上它是有效进行任何一项工作的合乎逻辑的自然程序。系统需要在“设计→运行→评价→改进”不断循环中得到持续改进和自我完善，以确保系统目标的实现。自我完善机制实质上属于负反馈系统。系统的自我完善机制比完善的系统更重要。有关企业内部控制的自我完善机制在“基本规范”中也有明确的要求。
    “识别→评估→应对→措施”运用于对未来的不确定性事件的控制，目的是为了发现机会，识别风险，控制风险。“识别→评估→反应→措施”是系统实现目标过程中的一种控制风险的方法和机制。企业最大的风险是不知道会遇到什么风险，不能识别风险才是最大的风险。企业风险控制机制是一个过程，“基本规范”在第二十条至第二十七条中，对风险控制机制进行了详细的描述。
    四、企业内控审计的时间策略
    
    内控审计风险源自审计师与内控系统的信息不对称，对企业内控审计的核心问题是“了解你的客户”。注册会计师与所要审计的内部控制系统处于同一时空中，不必像考古专家那样被动地“事后还原”，完全可以采用即时观察，实时获取所需的证据。内部控制审计不同于会计报表审计，应调整将大部分审计程序都集中在基准日后实施的做法。
    笔者认为，对内部控制审计的时间策略，可以采取“分散与集中相结合”的审计计划安排。内控审计不能为程序而程序，应更加注重审计程序的实质效果。“分散与集中相结合”的审计时间安排，可以找到审计目标、审计风险和审计成本之间的平衡点，在提高审计效率的同时，还可以为企业提供更多的内控审计增值服务。
    内控审计时间安排的基本思路是将审计程序前移，以实时分散测试为主，以事后集中测试为辅。项目主审应对企业内控进行持续跟踪，将审计程序分散在审计期间的各个时点。对企业层面内控中的重要环节、重要业务内控的关键点，实施即时测试，及时取证。譬如，对董事会与内控相关的议程、审计委员会会议、重要风险评估、重要内控设计、重大经营活动和事项、内控自我评价等，派员实时观察并及时获取审计证据。项目主审要持续关注和掌握企业内控环境相关的法人治理、用人政策、制度执行力、内控合规文化等方面的动向，及时对企业的内控环境做出综合判断，并以此指引和修订审计计划。
    平时的分散测试主要是针对企业层面内部控制，包括内控环境、风险评估、信息与沟通、内部监督等要素。项目主审应根据分散测试的结果，及时修订、完善审计计划，在分散测试的基础上，制定出详细的企业生产经营活动中的重要业务与事项的控制测试程序，适时组织力量集中对业务层面的风险评估和控制活动实施测试。在集中测试时的审计资源要相对集中用在重要业务单位、重大业务事项和高风险领域。
    在平时的分散测试中，主要是针对企业内部控制设计的有效性或存在的缺陷，以获取充分、适当的证据。在接近审计基准日期间所安排的集中测试中，主要是对企业内部控制执行的有效性或存在的缺陷，以获取充分、适当的证据。项目负责人综合“分散”和“集中”所获的审计证据，可为其对内部控制有效性发表的意见提供支持。
    （作者单位： 中审亚太会师事务所浙江万邦分所）