审计研究2011年1期 ∗ 内部控制审计风险模型研究 雷英吴建友 【摘要】由于对内部控制的审计是对过程进行审计，它在概念上与对结果（财务报表）的审计有显著不 同，因此审计师需要一个不同的风险模型以对内部控制的审计提供概念上的指导。本文提出的内部控制审 计风险模型着重于严重弱点风险，而不是重大错报风险，从而帮助审计师在内部控制审计和整合审计中决 定内部控制审计程序的性质、时间和范围。 【关键词】内部控制审计风险风险模型 2010年4月，财政部联合证监会、审计署、银监会、保监会发布了《关于印发企业内部控制配套指引 的通知》（以下简称《配套指引》，包括《内部控制应用指引》、《内部控制评价指引》和《内部控制审计指 引》），要求执行《企业内部控制基本规范》和《配套指引》的上市公司和非上市大中型企业，应当对内部 控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的 有效性进行审计并出具审计报告。 根据《配套指引》的要求，我国对内部控制的审计将自2011年1月1日起在境内外同时上市的公司 实施，自2012年1月1日起在主板上市公司施行，但在实务中，由于2000年证监会发布《公开发行证券 公司信息披露编报规则第1号》第五条要求会计师事务所对商业银行内部控制制度的完整性、合理性和有 效性作出评价报告，并随招股说明书一并呈报中国证监会。因此，审计师已经在实务中应客户和监管要求 提供关于内部控制的审计服务。一些审计师在内部控制审计中，试图运用财务报表审计风险模型。但是， 该模型是根据财务报表审计，而不是内部控制审计设计出来的。对内部控制的审计是对过程而不是结果（财 务报表）的审计。同时，对内部控制的审计意见也不是依赖于分析性程序和实质性测试。由于这些概念上 的差异，财务报表审计风险模型难以作为内部控制审计的概念框架。因此，在内部控制和整合审计中，审 计师对内部控制的审计需要一个不同的模型。实质上，审计准则和相关文献都没有对整合审计中审计师需 要运用两个不同的风险模型进行阐述。本文拟对财务报告的内部控制审计风险模型进行探讨，以抛砖引玉。 一、研究背景及相关文献 早在20世纪70年代，理论和实务界已经在探讨不但要保证结果（财务报表）可靠，还要保证产生财 务报表的过程（关于财务报告的内部控制）可靠。因此，对内部控制进行审计不是一个新的观点，只是由 于成本效益的限制，没有予以具体实施。将内部控制的审计作为法定要求发轫于美国1991年的《联邦存 款保险公司改进法案》（FDICIA）。该法案第112款要求所有被保险的存款机构的管理层出具关于内部控制 有效性的书面认定，审计师需对这一认定按照一般公认鉴证准则的要求出具鉴证意见。中国证监会2000 年发布的《公开发行证券公司信息披露编报规则第1号》第五条规定：商业银行应建立健全内部控制制度， 并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性作出说明。商业银行还 应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提 出改进建议，并以内部控制评价报告的形式作出报告。内部控制评价报告随招股说明书一并呈报中国证监 会。所聘请的会计师事务所指出以上三性存在严重缺陷的，商业银行应予披露，并说明准备采取的改进措 施。美国2002年的《萨班斯法案》404条款则要求审计师对管理层出具的内部控制书面报告出具鉴证意见。 ∗雷英，华东理工大学商学院，邮政编码：200237，电子邮箱：leiwuying@163.com；吴建友，交通银行/上海国家会计学院。 79 审计研究2011年1期 美国注册会计师协会为规范审计师向遵循《联邦存款保险公司改进法案》的存款机构以及要求审计师 对内控鉴证的机构所提供的内部控制审计服务，出台了鉴证准则501（AT501）。公众公司会计监管委员会 （PCAOB）为规范审计师按《萨班斯法案》向上市公司提供的财务报告内部控制审计服务，于2003年出台 了审计准则第2号（ASNo.2），后于2007年出台了审计准则第5号（ASNo.5，替代ASNo.2）。美国注 册会计师协会也于2008年发布了鉴证准则第15号（SSAENo.15）取代AT501，以在主要方面与ASNo.5 保持一致。 公众公司会计监管委员会（2008）发布了征求意见稿以更正其风险分析准则。2009年底，公众公司会 计监管委员会发布了修正的征求意见稿。虽然这一征求意见稿提供了关于审计风险组成部分的定义及指 导，但并没有直接包括审计风险模型。 关于内部控制审计的文献主要集中在整合审计（以及执行《萨班斯法案》）的成本方面。研究显示整 合审计比单纯的财务报表审计的成本要高得多。Raghunandan和Rama（2006），以及Ett