内部控制审计风险模型研究.pdf

《内部控制审计风险模型研究.pdf》由会员分享，可在线阅读，更多相关《内部控制审计风险模型研究.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 79 审计研究 2011 年 1 期内部控制审计风险模型研究 雷 英 吴建友【摘 要】由于对内部控制的审计是对过程进行审计，它在概念上与对结果（财务报表）的审计有显著不同，因此审计师需要一个不同的风险模型以对内部控制的审计提供概念上的指导。本文提出的内部控制审计风险模型着重于严重弱点风险，而不是重大错报风险，从而帮助审计师在内部控制审计和整合审计中决定内部控制审计程序的性质、时间和范围。【关键词】内部控制 审计风险 风险模型 2010 年 4 月，财政部联合证监会、审计署、银监会、保监会发布了关于印发企业内部控制配套指引的通知（以下简称配套指引，包括内部控制应用指引、内部控制评价指引和内部控

2、制审计指引），要求执行企业内部控制基本规范和配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。根据配套指引的要求，我国对内部控制的审计将自 2011 年 1 月 1 日起在境内外同时上市的公司实施，自 2012 年 1 月 1 日起在主板上市公司施行，但在实务中，由于 2000 年证监会发布公开发行证券公司信息披露编报规则第 1 号第五条要求会计师事务所对商业银行内部控制制度的完整性、合理性和有效性作出评价报告，并随招股说明书一并呈报中国证监会。因此，审计师已经在实务中应客户

3、和监管要求提供关于内部控制的审计服务。一些审计师在内部控制审计中，试图运用财务报表审计风险模型。但是，该模型是根据财务报表审计，而不是内部控制审计设计出来的。对内部控制的审计是对过程而不是结果（财务报表）的审计。同时，对内部控制的审计意见也不是依赖于分析性程序和实质性测试。由于这些概念上的差异，财务报表审计风险模型难以作为内部控制审计的概念框架。因此，在内部控制和整合审计中，审计师对内部控制的审计需要一个不同的模型。实质上，审计准则和相关文献都没有对整合审计中审计师需要运用两个不同的风险模型进行阐述。本文拟对财务报告的内部控制审计风险模型进行探讨，以抛砖引玉。一、研究背景及相关文献 早在 20

4、 世纪 70 年代，理论和实务界已经在探讨不但要保证结果（财务报表）可靠，还要保证产生财务报表的过程（关于财务报告的内部控制）可靠。因此，对内部控制进行审计不是一个新的观点，只是由于成本效益的限制，没有予以具体实施。将内部控制的审计作为法定要求发轫于美国 1991 年的联邦存款保险公司改进法案（FDICIA）。该法案第 112 款要求所有被保险的存款机构的管理层出具关于内部控制有效性的书面认定，审计师需对这一认定按照一般公认鉴证准则的要求出具鉴证意见。中国证监会 2000年发布的公开发行证券公司信息披露编报规则第 1 号 第五条规定：商业银行应建立健全内部控制制度，并在招股说明书正文中专设一部

5、分，对其内部控制制度的完整性、合理性和有效性作出说明。商业银行还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并以内部控制评价报告的形式作出报告。内部控制评价报告随招股说明书一并呈报中国证监会。所聘请的会计师事务所指出以上三性存在严重缺陷的，商业银行应予披露，并说明准备采取的改进措施。美国 2002 年的 萨班斯法案 404 条款则要求审计师对管理层出具的内部控制书面报告出具鉴证意见。雷英，华东理工大学商学院，邮政编码：200237，电子邮箱：；吴建友，交通银行/上海国家会计学院。80 审计研究 2011 年 1 期 美国注册会计师协会

6、为规范审计师向遵循联邦存款保险公司改进法案的存款机构以及要求审计师对内控鉴证的机构所提供的内部控制审计服务，出台了鉴证准则 501（AT 501）。公众公司会计监管委员会（PCAOB）为规范审计师按萨班斯法案向上市公司提供的财务报告内部控制审计服务，于 2003 年出台了审计准则第 2 号（AS No.2），后于 2007 年出台了审计准则第 5 号（AS No.5，替代 AS No.2）。美国注册会计师协会也于 2008 年发布了鉴证准则第 15 号（SSAE No.15）取代 AT 501，以在主要方面与 AS No.5保持一致。公众公司会计监管委员会（2008）发布了征求意见稿以更正其风

7、险分析准则。2009 年底，公众公司会计监管委员会发布了修正的征求意见稿。虽然这一征求意见稿提供了关于审计风险组成部分的定义及指导，但并没有直接包括审计风险模型。关于内部控制审计的文献主要集中在整合审计（以及执行萨班斯法案）的成本方面。研究显示整合审计比单纯的财务报表审计的成本要高得多。Raghunandan 和 Rama（2006），以及 Ettredge 等（2006）发现萨班斯法案404 条款的要求显著提高了审计费用。Coates（2007）的研究显示在 404 条款下，执行成本越高，在初始年度之后下降的幅度就越大。Bierstaker 等（2009）指出“毫无疑问，审计准则第 5号的主

8、要动机是降低遵循成本”。至于成本上升的原因到底是审计师执行了更多的工作还是审计服务市场需求的变化所导致的，还没有形成明确的研究结论。很可能是两者兼而有之（Huang 等，2009）。公众公司会计监管委员会已经在努力降低整合审计的成本。比如，其于 2007 年发布的审计准则第 5号在很大程度上是对审计准则第 2 号高成本的反应。但是，对于为什么整合审计比财务报表审计的成本要高得多还不是很明确。联邦存款保险公司改进法案的要求与萨班斯法案的要求非常相似。但是，执行联邦存款保险公司改进法案的成本却没有引起较多的争论，而且针对联邦存款保险公司改进法案的研究也较少。在关于财务报告的内部控制的审计中，缺少一

9、个概念框架很可能也是审计成本较高的原因之一。因此，向审计师提供一个关于内部控制审计风险模型作为概念框架，从而决定控制测试的性质、时间和范围很可能是一个有效的方法。二、内部控制审计风险模型（一）对模型的需求 内部控制审计与财务报表审计有较大的差异。内部控制审计主要涉及评价过程，而财务报表审计则主要涉及评价结果。如果只是审计内部控制（不是整合审计），则审计师没有必要执行关于账户和交易类别的实质性测试。即使是在整合审计中，实质性测试主要是被设计为测试财务报表的认定，而不是内部控制的有效性（虽然实质性测试的结果可能会引导审计师发现内部控制的缺陷）。在内部控制审计中，控制测试是审计师使用的主要程序。而财

10、务报表审计风险模型则被设计为帮助审计师确定控制和实质性测试的程度，包括确定实质性测试所必须的保证水平，这一审计风险模型不能直接运用于内部控制测试。正如财务报表审计风险模型提供给审计师一个概念框架，从而帮助审计师决定财务报表审计测试的程度，对内部控制的审计也需要一个框架以助于审计师决定控制测试的程度。这一模型将有助于提供内部控制审计实务的一致性，使审计师着重于内部控制审计的主要因素，并决定测试的范围。（二）内部控制审计的目标 在讨论建议的模型之前，有必要描述内部控制审计的目标。内部控制审计目标并不是要发现重大错报。公众公司会计监管委员会发布的审计准则第 5 号（AS No.5）和美国注册会计师协

11、会发布的审计准则第 15号（SSAE No.15）均指出：审计师检查内部控制的目标是形成关于内部控制有效性的意见。如果存在一个或多个严重弱点（material weakness），企业的内部控制就不能被视为有效。因此，为形成表达一个意见的 美国注册会计师协会（AICPA）的鉴证准则 SSAE No.15 和公众公司会计监管委员会（PCAOB）审计准则第 5 号（AS No.5）只适用于整合审计；鉴证准则 101 号（AT 101）目前适用于不是整合审计时关于内部控制的测试。我国内部控制审计指引既适用于单独的内部控制审计，也适用于整合审计。对很多样本的测试是双重目的，既有控制测试也有实质性测试，

12、审计师需要分别评价测试结果。81 审计研究 2011 年 1 期基础，审计师需要计划和执行检查，以获得充分恰当的证据，取得关于管理层认定表述的特定日期是否存在严重弱点的合理保证。即使在报表没有严重错报的情况下，仍然可能存在内部控制的严重弱点。我国内部控制审计指引第四条指出：注册会计师执行内部控制审计工作，应当获得充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对内部控制有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。因此，审计师在内部控制审计中的目标是获得关于未发现的内部控制

13、设计、执行或运作有效性的严重弱点或重大缺陷的充分、恰当的证据，以为内部控制有效性出具鉴证意见。（三）内部控制审计中的风险 在对内部控制的审计中，对风险的定义在理论上应当是“对内部控制的有效性发表了一个不恰当的意见的风险”。审计师的目标是获得关于企业的内部控制系统是否有严重弱点。如果审计师认为未被发现的严重弱点的风险没有被降低到较低水平，审计师就不能对内部控制发表无保留意见。因此，在内部控制审计中，对风险的实务操作性的定义是“企业内部控制存在严重弱点而审计师没有发现的风险”。按照上述内部控制审计风险的定义，建立内部控制审计风险模型作为内部控制审计的概念框架的意义就是帮助审计师决定需要测试什么，以

14、及将测试进行到哪种程度，以将未发现严重弱点的风险降低到足够低的水平。而严重弱点的产生主要是由于内部控制的设计和执行中存在严重弱点，或者对于充分设计和执行的内部控制，其运作有效性存在严重弱点。审计师需要充分评价控制设计（包括识别控制缺失），并充分测试控制是否被执行来识别设计和执行中的严重弱点。一般性的审计程序包括问询（经常是基于问卷或其他辅助工具）、分析流程图、阅读书面记录、观察、穿行测试和文件检查。这些风险分析程序有时是作为控制测试。审计师一般通过测试内部控制运作的有效性来发现控制运作有效性中的严重弱点。充分计划和执行的控制测试需将缺乏有效性而审计师没有发现的风险降至审计师的可接受水平。而一个

15、恰当的内部控制审计风险模型将有助于审计师采取恰当的审计程序（性质）评估内部控制的设计和执行，测试内部控制运作有效性，以及决定这些审计程序的时间和范围。有观点认为在有关风险分析的审计准则已经要求审计师测试控制。对于财务报表审计，美国注册会计师协会发布的审计准则 AU 314 号了解企业及其环境并评估重大错报风险，以及中国注册会计师审计准则 1211 号了解企业及其环境并评估重大错报风险都要求审计师获得关于内部控制五要素（根据 COSO框架）的充分理解，评价控制的设计以及判断它们是否被有效执行。执行和运作的有效性是有区别的。在财务报表审计中，只有在审计师准备依赖控制变更实质性测试的性质、时间和范围

16、时，审计师才需要测试控制运作的有效性。在整合审计中，审计师需要测试控制，以出具关于内部控制的无保留意见。（四）内部控制审计风险模型 一个严重弱点（或重大缺陷）只有在以下情况下才会出现：（1）由于固有风险，内部控制没有被充分设计；（2）内部控制没有被充分执行；（3）充分设计和执行的内部控制没有有效运作。由于一般提到审计风险即为财务报表审计风险，为了与财务报表审计风险区分开来，本文使用内部控制审计风险（Internal Control Audit Risk，简称 ICAR）这一新的术语。为对内部控制发表无保留意见，审计师需确信以上三种情形都不存在。下述公式提出了建议的内部控制审计模型：ICARIR

17、CDIRCOER ICAR 是指审计师对内部控制发表了不恰当的审计意见的风险。在实务中，正如财务报表审计风险模型一样，审计师更多关注的是审计师得出被审计单位内部控制没有严重弱点，但事实上存在严重弱点而审 AS 2 和 SSAE No.15 将内部控制的缺陷分为重要缺陷（significant deficiency）和严重弱点（material weakness）。内部控制审计指引则将控制缺陷分为一般缺陷、重要缺陷和重大缺陷。这里，严重弱点等同于重大缺陷，下同。一些关于控制执行的测试也提供了关于有效性的证据。这里沿用财务报表审计风险模型采用的乘数方式，而事实上，正如财务报表审计风险模型本身不是乘

18、数关系，而只是用乘数方式作为观念的指导（谢荣、吴建友2004），内部控制审计风险模型各要素也不是乘数关系，只是各要素以乘数方式表示，作为概念框架。82 审计研究 2011 年 1 期 计师没有发现。IR 为固有风险（Inherent Risk，IR），即审计师对“在没有相关的控制的情况下，一个相关的认定单独或连同其它认定发生重大错报的可能性”的分析。CDIR 为控制设计和执行风险（Control Design and Implementation Risk，CDIR），即审计师对内部控制没有被充分设计或执行，以防止或更正重大错报的风险的分析。COER 为控制运作有效性风险（Control Op

19、erating Effectiveness Risk，COER），即审计师对已经恰当设计和执行的内部控制，由于运作不足，难以防止和更正重大错报的风险的分析。审计师可以在审计计划阶段分析 IR、CDIR 和 COER，并在终结审计阶段予以综合分析 ICAR，以考虑是否取得了关于这些风险的足够保证。以下对内部控制审计风险模型的三个构成部分予以探讨。1.固有风险 固有风险是假设没有控制的情况下财务报表发生重大错报的风险。固有风险既包括适用于整个报表的总体风险因素，特别是控制环境，也包括适用于单个账户余额特定认定的固有风险。如果固有风险比较低，则不论控制是多么的无效，存在严重弱点的风险也较低。这主要是

20、因为在判断一个缺陷是否构成严重弱点时，需要整体判断内部控制不能阻止或发现并更正重大错报的可能性和严重程度。但是，绝大部分交易类别或账户余额的固有风险通常并不低。在分析固有风险时，审计师需要假设被审计单位员工的胜任能力，对相关控制监督的充分性等控制环境相关要素的完善程度，并通过控制测试予以证实。因为这些与控制环境相关的控制一般对交易类别和账户余额的重大错报有普遍性的影响，所以审计师需要将他们包括在控制风险的分析中，并通过控制测试对事先了解所作的假设予以修正。2.控制设计和执行风险 在分析内部控制的设计和执行时，审计师需要根据固有风险的情况判断控制设计和执行的充分性。也就是说，审计师在判断控制的充

21、分性时，需考虑如果没有内控，可能会出现哪些差错。如果固有风险很高，企业需要较强的内控来防止、发现和改正差错。随着固有风险的降低，对控制的需求将减弱。3.控制运作有效性风险 审计师需要根据对总的内部控制审计风险、固有风险和控制设计与执行风险的判断，决定控制运作有效性风险的高低，从而决定控制测试的程度。因此，它与财务报表审计中的检查风险类似。审计师需要使用 1 减去检查风险来决定控制测试的保证程度。模型显示，审计师只在控制被充分设计和执行时，才进行控制测试。如果审计师判断控制没有被充分地设计和执行，审计师即已经判断存在控制缺陷，并需评估这一控制缺陷是否构成严重弱点。因此，对控制运作有效性风险进行判

22、断的前提条件是控制被充分设计和执行。三、在内部控制审计和整合审计中使用这一模型 内部控制审计指引第五条规定，审计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（整合审计）。理解这一规定，要明确两点：一是内部控制审计与财务报表审计是两种不同的审计业务，两种审计的目标不同；二是内部控制审计与财务报表审计可以整合进行。在单独的内部控制审计中，审计师可以直接运用内部控制审计风险模型。在整合审计中，审计师需要先后使用两个风险模型。审计师首先需要使用内部控制审计风险模型作为决策框架来决定控制测试的程度。然后，审计师再使用财务报表审计风险模型作为决策框架来判断实质性测试的程度。审计师

23、在执行内部控制审计测试后，如果得出存在未发现严重弱点的风险较低的结论，则财务报表重大错报风险也较低。这是因为有效的内部控制可以克服固有风险，从而防止、发现和更正重大错报。在整合审计中，如果审计师预期对内部控制的有效性发表无保留意见（没有发现严重弱点的风险很低），审计师一般将会假设较低的重大错报风险，从而计划实质性测试。如果审计师根据对内控设计和执行的理解执 关于控制缺陷的认定标准，企业内部控制规范讲解（财政部会计司，2010）从定性和定量的角度做了阐述。在审计师采用统计抽样的情况下，需要采用控制运作有效性风险来评估是否将控制风险设定得太低，或用 1 减去控制运作有效性风险作为控制测试的保证程度

24、。83 审计研究 2011 年 1 期行整合审计，并认为重大错报风险不是较低（这主要是由于审计师预期将发现控制无效，从而不能克服固有风险），预期将发现严重弱点，则审计师需要内部控制审计风险模型作为判断的概念框架，从而收集足够的证据，以对内部控制的有效性发表鉴证意见。在整合审计中，当审计师认为内部控制的设计和执行是有效的（初步分析认为控制设计和执行有效，以及财务报表重大错报风险为低），则审计师需要测试内部控制运作的有效性。如果经过充分测试，审计师认为控制运作有效，审计师一般也就认为未发现严重弱点的风险为低。因此，审计师足以对内部控制的有效性发表审计意见，并进而计划财务报表审计的实质性程序。四、小

25、结 对内部控制的审计是对过程进行审计，它在概念上与对结果（财务报表）的审计有显著不同。本文提出的内部控制审计风险模型，由固有风险、控制设计和执行风险，以及控制运作有效性风险构成。整个模型着重于严重弱点风险，而不是重大错报风险，有助于审计师在内部控制审计和整合审计中决定内部控制审计程序的性质、时间和范围。内部控制审计准则应该在以下几个方面予以改进：（1）明确说明财务报表审计的风险模型只是适用于财务报表审计，不适用于内部控制的审计；（2）在制定准则时，使用风险这一术语时，需要清晰地表明其所讨论的是哪一个风险（比如，重大错报风险或严重弱点风险），并一致性地运用；（3）提供在整合审计中使用财务报表审计

26、风险模型和内部控制审计风险模型的指南。主要参考文献：财政部会计司.2010.企业内部控制规范讲解M.北京：经济科学出版社，第一版.谢荣、吴建友.2004.现代风险导向审计理论研究与实务发展J会计研究（4）：47-51.Bierstaker，J.C.，J.E.Hunton，and J.C.Thibodeau.2009.Do Client-Prepared Internal Control Documentation and Business Process Flowcharts Help or Hinder an Auditors Ability to Identify Missing Cont

27、rols?J.Auditing：A Journal of Practice and Theory 28：79-94.Coates，J.C.，IV.2007.The Goals and Promise of the Sarbancs-Oxley ActJ.The Journal of Economic Perspectives 21（1）：91-116.Ettedge，M.，C.Li，and L.Sun.2006.The Impact of Internal Control Quality on Audit Delay in the SOX EraJ.Auditing：A Journal of

28、Practice and Theory 25：1-24.Huang，H.W.，K.Raghunandan，and D.Rama.2009.Audit Fees for Initial Audit Engagements before and after SOXJ.Auditing：A Journal of Practice and Theory 28：171-190.Raghunandan，K.，and D.Rama.2006.SOX Section 404 Material Weakness Disclosure and Audit FeesJ.Auditing：A Journal of P

29、ractice and Theory 25：99-114.Research on Internal Control Audit Risk Model Lei Ying Wu Jianyou Abstract：The audit of internal control is an auditing of process，which is conceptually different from the audit of outputs（financial statements）.Hence the auditor needs a different risk model to provide a

30、conceptual framework for internal control audits.The model of this paper focused on the risk of material weakness，rather than the risk of material misstatement.This model provides the auditor a method to determine the appropriate nature，timing，and extent of testing in internal control audit and integrated audit.Keywords：internal control，audit risk，risk model