内部控制、审计效率及有效性与新审计准则(一)

详细内容

本文试图以审计和内部控制的交叉渗透和互动发展为背景，透过内部控制的视角，探讨审计模式从制度基础审计、传统风险导向审计到现代风险导向审计的演进过程，尤其是在这个过程中有关审计效率和审计有效性的考虑与权衡。新近颁布的中国注册会计师审计准则体系，其核心在于全面引入现代风险导向审计模式。因而，本文最后在前述分析的基础上，对我国新审计准则体系进行相应的解读和评论。

　　一、内部控制与审计模式的演进

　　(一)内部控制的引入推动了账项基础审计模式向制度基础审计模式的嬗变，制度基础审计的发展反过来又引发了内部控制概念的不断修订

　　众所周知，直到19世纪末期，独立审计的基本模式仍然是账项基础审计，即详细地验证账簿中记录的交易。由于其时英国的独立审计最为发达，所以这种审计模式有时又被称为“英国式审计”。随着股份有限公司的发展，企业的规模越来越大，经济交易越来越复杂繁多，使得全面、详细的测试变得不太可行，于是就产生了选择性测试(抽样审计)。早期的选择性测试在抽取样本时，基本上是根据注册会计师的经验和认识进行判断性的抽样。在20世纪前期近30年的发展过程中，审计职业界逐渐认识到，根据对被审计单位内部控制的评价来选择进行测试的领域和数量，不仅能够比判断性抽样更为科学、合理，而且能够显著地减少审计的工作量。此后，制度基础审计模式(或称内控导向审计)开始逐步确立，审计与内部控制的交织发展也拉开了序幕。由于此时注册会计师职业的中心已经转向美国，所以此后的发展基本上以美国最为典型。

　　在制度基础审计模式从萌生到盛行的数十年中，随着审计的发展，审计职业界所界定的内部控制也在不断地发展。1936年，美国会计师协会(AIA，1957年更名为美国注册会计师协会(AICPA))首次提出了内部控制的概念。随后，麦克森一罗宾斯等一系列事件的爆发，促使审计职业界广泛关注内部控制问题。在这种背景下，AIA审计程序委员会(CAP)下属的一个专门委员会于1949年发表了一份关于内部控制的研究报告，给内部控制下了一个当时广为认可的权威定义。

　　在此后近十年的审计实践中，职业界反映该定义过于宽泛，会导致审计工作量和责任的加大。于是，CAP于1958年10月发布了第29号审计程序公告“独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制；1963年12月发布的第33号审计程序公告“审计准则与程序(汇编)”进一步明确注册会计师主要关注会计控制；1972年11月发布的第54号审计程序公告“审计师对内部控制的研究与评价”，对会计控制和管理控制的定义进行了修订和充实，并被收入新成立的审计准则执行委员会(AudSEC)同月发布的第1号审计准则公告“审计准则与程序汇编”之中。

　　20世纪六七十年代爆发的大陆售货机等一系列事件，尤其是水门事件后1977年《反国外贿赂行为法案》的颁布，使内部控制的重要性得到前所未有的强调。同时，区分会计控制和管理控制的做法受到越来越广泛的质疑。为此，AICPA下设的审计准则委员会(ASB，1978年取代AudSEC)于1988年4月发布了第55号审计准则公告“财务报表审计中对内部控制的考虑”，放弃了会计控制与管理控制的划分，提出了由控制环境、会计系统和控制程序三个要素组成的内部控制结构的概念。
　　制度基础审计既是一种程序驱动型的审计模式，又是一种理论驱动型的审计模式。它基于内部控制能保证财务报告可靠性的基本假设，来设计审计程序。当注册会计师拟信任被审计单位的内部控制时，首先针对内部控制制度的遵循情况进行符合性测试，然后根据符合性测试的结果确定实质性测试的性质、时间和范围。这样，内部控制实际上成了注册会计师设计审计程序、分配审计资源的指向标。毫无疑问，此时内部控制在审计模式中的地位是举足轻重的。

　　(二)内部控制在传统风险导向审计模式中实质上仍然处于核心地位

　　20世纪70年代的“诉讼爆炸”，使得审计职业界开始着重研究审计风险问题，而对审计风险模型的探索是其标志性活动。ASB于1981年6月发布的第39号审计准则公告“审计抽样”认为，审计风险由固有风险、控制风险、分析性复核风险和细节测试风险四个要素组成；1983年12月发布的第47号审计准则公告“实施审计工作中的审计风险和重要性”，将审计风险概括为固有风险、控制风险和检查风险三要素的乘积，成为通行的审计风险模型。一般认为，此时审计模式已经逐渐摆脱制度基础审计模式，开始进入风险导向审计模式，即根据对审计风险的评估，来确定审计程序的性质、时间和范围。

　　风险导向审计是一种理论驱动的审计模式，它从分析审计风险出发，根据注册会计师对被审计单位固有风险、控制风险的评估，结合预期的审计风险水平，来确定可接受的检查风险水平，并以此为基础设计审计程序、分配审计资源。但是早期，注册会计师的眼光仅仅放在审计业务本身的风险上，而且对固有风险的评估由于缺乏清晰的范围界定和明确的操作指引往往难以有效进行，实践中注册会计师往往不加评估就消极地将固有风险定为高水平，机械地套用审计风险模型。而从理论上讲针对财务报表整体的风险评估主要有赖于对固有风险的评估，这样就会使风险评估实质上仅仅针对交易、余额和列报等认定层次，造成风险评估和审计程序设计“只见树木、不见森林”的情形，同时忽略对固有风险影响因素(包括一些重要的环境、背景情况)的全面了解和对固有风险的评估，就很难把握住真正的高风险领域，从而使整个审计工作侧重局部、迷失方向。而此时逐渐风行的分析性审计技术，尽管有助于从总体上把握一些重要的关联和趋势，但是它毕竟需要强大的基础数据作为支持，而且所获取的审计证据本身证明力较低。对分析性复核的过分依赖和滥用，会从客观上抑减细节测试的范围和数量，最终影响审计质量。

　　因此，我们一般把早期的风险导向审计模式称为传统风险导向审计模式。它也因为上述缺陷和不足以及实践中频繁发生的审计失败事件而受到指责。

　　(三)在现代风险导向审计模式中，内部控制仍然起着不可替代的重要作用
　　20世纪八九十年代，由于诉讼风险和职业责任的加大，审计职业界开始把考虑风险的目光从审计业务风险本身扩充到被审计单位的经营风险，并由此引发了风险导向审计模式的升级换代。

　　国际领先的会计师事务所(主要是当时的“五大”)率先开展了对现代风险导向审计模式的探索，其中最为突出的是KPMG。KPMG的研究小组于1997年提出了以战略系统观组织审计的观点，并开发出了名为“经营计量过程”(BMP)的风险基础战略系统审计方法。几乎与此同时，安永开发了“经营环境分析技术”(BEAT)，安达信开发了“经营导向审计”，PWC开发了“普华永道审计方法”，德勤开发了“AS／2'’审计工具。而现代风险导向审计模式的最终确立则以IAASB于2003年底正式颁布首批审计风险准则为标志。

　　现代风险导向审计模式克服了传统模式的不足，着重强调注册会计师在充分了解被审计单位及其环境(包括所处的行业、法律和监管背景、单位的性质、目标、战略和经营风险，以及内部控制等)的基础上，从财务报表整体和认定两个层次上评估重大错报风险。然后针对评估的重大错报风险设计进一步审计程序，通过控制检查风险，最终将剩余风险控制在预期的审计风险水平上。

　　顺应这种思路上的转变，对审计风险模型进行了新的概括，即：审计风险=重大错报风险×检查风险。应该说，新模型立足于重大错报风险，回归了本原，突出了审计的根本目标——合理保证经审计的财务报表不存在重大错报。但新模型只是角度和思路的转换，并不是对三因素模型的否定，尤其是它并不意味着摈弃对控制风险和内部控制的考虑。实际上，在风险评估程序中，对内部控制的了解是了解被审计单位及其环境的重要内容之一；而对内部控制的了解，也是决定进一步程序采取实质性方案还是综合性方案的直接依据。如果决定采取综合性方案，则先进行控制测试，根据控制测试的结果决定实质性程序的性质、时间和范围，显然综合性方案下的进一步审计程序实际上类似于内控导向审计。由于不拟信赖内部控制的情形毕竟是特例，加上在一些情况下仅仅依靠实质性程序并不能获取充分适当的审计证据，所以采用综合性方案是主流的和典型的。从这个角度看，内部控制即使在现代风险导向审计模式中，仍然起着不可替代的重要作用。当然，这与内部控制在防止财务报表重大错报方面的作用是分不开的。

　　(四)内部控制概念的整合与拓展及其对审计的影响
　　为了研究财务报告舞弊问题，AICPA等五个组织于1985年组建了Treadway委员会。该委员会于1987年专门成立了发起组织委员会(COSO)，负责整合各种内部控制概念。COSO经过多年的研究，于1992年9月正式发布了著名的《内部控制——整合框架》(1994年作出局部修订)，提出了包括三个目标(经营的效率和有效性，财务报告的可靠性，对适用法律法规的遵循)、五个要素(控制环境，风险评估，控制活动，信息与沟通，监控)的三棱锥形框架。随着这个框架被广泛接受，ASB于1995年12月发布了第78号审计准则公告“财务报表审计中对内部控制的考虑：对第55号审计准则公告的修订”，全面采用了该框架对内部控制的定义。目前，国际和主要西方国家的审计准则，金融监管机构的监管准则，乃至美国2002年SOX法案所提出的财务报告内部控制报告、证实与验证的要求，采用的都是这个框架。内部控制概念的整合，有助于明确审计中所考虑的内部控制的概念和内容，使得对内部控制的了解和测试有了明确的指引，结束了长期以来尽管一直倚重内部控制，但是对其概念、范围和内容莫衷一是的尴尬。

　　2004年9月，COSO正式发布了《企业风险管理——整合框架》，它包含并扩充了1992年的框架，提出了包括四个目标(战略，经营，报告，合规)、八个要素(内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，监控)、三个层次(企业，战略业务单元，子公司)的三维矩阵形框架。尽管COSO声称该框架无意立即取代1992年的框架，但是新框架的前景如何，会不会最终取代1992年的框架，尤其是如何进入审计准则之中，尚须拭目以待。

　　二、审计模式演进过程中对审计效率与审计有效性的考虑与权衡

　　审计效率指的是审计投入与产出之间的关系。从实体形态上讲，它主要表现为为支持审计意见而执行审计程序、收集审计证据的数量属性；从价值形态上讲，它直接体现为审计成本和审计收入之间的关系。审计有效性指的是审计工作实现其目标的程度，主要表现为审计程序、审计证据和审计意见的质量属性，即执行的审计工作与发表的审计意见之间的内在关联性如何，能不能合理保证被审计的财务报表不存在重大错报。审计效率和审计有效性是考察审计工作的两个维度。追求有效性是审计的根本要求和终极约束；追求效率是审计的直接要求和现实约束。对于审计而言，最理想的状态是在保证审计有效性的前提下提高审计效率。但审计效率和审计有效性一般是矛盾的。例如，大量的细节测试是保证审计有效性的有效途径，但是它会降低审计效率；借助分析程序有助于提高审计效率，但是过分依赖分析程序会削弱审计有效性。因此，审计职业界时刻面临着对二者的考虑和权衡。