【摘要】本文回顾比较了现阶段我国相关法规对内部控制鉴证对象与内容的若干规定，并就此方面对财政部发布的《企业内部控制鉴证指引（征求意见稿）》提出自己的看法，认为意见稿中内部控制鉴证内容与鉴证对象存在较大的偏离。

　　【关键词】内部控制；鉴证；指引；对象；内容

　　2008年6月28日，财政部会同证监会、审计署、银监会、保监会共同发布了《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内施行，同时要求执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。基于此，《企业内部控制鉴证指引》等配套指引征求意见稿相继出台。本文比较了现阶段我国相关法规对内部控制鉴证对象与内容的规定，并就此对《企业内部控制鉴证指引（征求意见稿）》提出自己的看法。

　　一、我国相关法规对内部控制鉴证对象与内容的规定

　　当前，我国有关内部控制鉴证的法规包括《上市公司发行新股招股说明书》、《关于做好证券公司内部控制评审工作的通知》、《内部控制审核指导意见》和《内部审计具体准则第5号——内部控制审计》，以下按时间顺序予以介绍。

　　2001年4月，中国证监会发布的《上市公司发行新股招股说明书》第59条规定：“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见，同时应披露注册会计师关于发行人内部控制制度评价报告的结论性意见。”这是我国首部要求注册会计师对企业内部控制进行鉴证的法规，其对内部控制鉴证的对象界定为“管理层内部控制评估报告”，对鉴证内容并未提及。

　　2001年10月，中国证监会又发布了《关于做好证券公司内部控制评审工作的通知》（以下简称为《通知》），《通知》第1条要求“证券公司应当根据《证券公司内部控制指引》及公司自身的业务情况、财务状况和管理水平，加强内部控制的稽核、检查与完善，聘请有证券执业资格的会计师事务所对公司内部控制进行评审，以防范风险并促进公司内部控制水平的提高。”可见，《通知》对证券公司内部控制鉴证的对象定位于“证券公司的内部控制”，这就决定了其鉴证的内容“包括但不限于：合规经营、公司治理、环境控制、业务控制、财务控制、资金控制以及电子信息系统控制等。”《通知》发布的目的是促进证券公司规范发展，有效防范和化解风险，维护证券市场的安全与稳定，因而鉴证对象和内容范围均较为广泛，并强调了侧重于风险控制的薄弱环节。

　　2002年2月，中国注册会计师协会在《独立审计实务公告第X号——内部控制审核（征求意见稿）》的基础上，单独发布了《内部控制审核指导意见》（以下简称为《意见》）。根据《意见》第2条：“内部控制审核是指注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见。”可见，《意见》将内部控制鉴证对象定位于“管理层对特定日期与会计报表相关的内部控制的自评报告”。《意见》中没有明确内部控制鉴证的内容，只是列示出注册会计师制定计划时应考虑的各种要素。值得一提的是，《意见》对内部控制鉴证对象的界定明显早于2004年3月美国公众公司会计监管委员会（PCAOB）的第2号审计准则《与财务报表合并执行的财务报告内部控制审计》，甚至早于其2003年3月发布的征求意见稿以及2002年7月的《萨班斯－奥克斯利法案》，这在我国审计理论发展过程中是不多见的。PCAOB的第2号审计准则以及2007年6月取代它的第5号审计准则第1条对内部控制鉴证对象的界定均为“财务报告内部控制有效性的管理层评估”，这与《意见》的界定如出一辙，“与会计报表相关的内部控制”与“财务报告内部控制”只是表述不同而已，没有实质性的区别。

　　2003年6月，中国内部审计协会发布了《内部审计具体准则第5号——内部控制审计》。其第1条规定：“为了规范内部审计人员审查与评价被审计单位的内部控制，根据《内部审计基本准则》制定本准则。”该准则将内部控制鉴证的对象界定为“内部控制”，鉴证的内容则全面采用COSO委员会的内部控制五要素框架。

　　最后，分析一下最新的《企业内部控制鉴证指引（征求意见稿）》（以下简称为《指引》）。根据《指引》第2条，“本指引所称企业内部控制鉴证，是指会计师事务所接受委托，对企业内部控制的有效性进行鉴证，并发表鉴证意见。”显然，《指引》中内部控制鉴证的对象是“内部控制”。《指引》中鉴证的内容分为两部分：企业层面的控制测试和流程层面的控制测试，明显是借鉴了PCAOB的第5号审计准则。

　　二、内部控制鉴证对象的争论

　　综上比较，内部控制鉴证对象大体可分为四种，由难到易依次排列为：内部控制、管理层对内部控制的评估报告、财务报告内部控制、管理层对财务报告内部控制的评估报告。如此排列的原因在于“财务报告内部控制”的范围和难度明显要小于“内部控制”，而“管理层出具的评估报告”则可以使审计师按图索骥，适当减轻工作量。

　　此外，有观点认为“财务报告内部控制”与“管理层对财务报告内部控制的评估报告”是等效的，不必区分，如PCAOB认为对二者的审计是审计师相同的职业服务，前者是过程，后者是结果。但笔者认为，如果等同对待，就不能排除审计师对“管理层对财务报告内部控制的评估报告”发表无保留意见，而对“财务报告内部控制”发表否定意见的情形发生，这很容易影响到审计报告使用者做出正确的理解和决策。

　　目前，理论界主流观点之争在于内部控制鉴证对象是“内部控制”还是“管理层对财务报告内部控制的评估报告”。《意见》和PCAOB第5号审计准则采用的是“管理层对财务报告内部控制的评估报告”，《通知》和《指引》采用的是“内部控制”。为何《指引》要知难而进？根据财政部的解释：“我国企业内部控制鉴证指引，不同于美国公众公司会计监管委员会（PCAOB）公布的第5号审计准则。美国内控审计的定位在于财务报告的真实性。就我国企业而言，这种定位失去了建立与实施内控体系的本质意义。内控审计的目标，应当与内部控制的目标一致，财务报告真实性只是内控审计的目标之一，而切实防范重大风险、促进企业实现发展战略才是内控审计的根本出发点。” 显而易见，伴随着具有里程碑意义的《企业内部控制基本规范》的出台，《指引》将内部控制鉴证对象界定为内部控制整体，体现出二者在思想体系上的高度一致。在这一点上，我国的《指引》目的明确，立意高远，初步实现了“立足国情，实行创新”的起草原则。

　　三、《指引》中内部控制鉴证内容与对象的偏离

　　内部控制鉴证在我国毕竟仍处于探索阶段、起步阶段，还需要一个逐步适应、分步实施、不断完善的过程。平心而论，《指引》的目标实现起来难度颇大，仅在征求意见稿阶段，就已初露端倪。《指引》虽试图实现对企业内部控制整体的有效性发表意见，但在行文中较多的模仿PCAOB的第5号审计准则，内容主要阐述如何对财务报告内部控制进行鉴证。

　　例如，《指引》的核心部分——鉴证内容分为企业层面控制的测试与流程层面控制的测试两部分，起草者仅以“流程层面”字样替换了“重大账户和披露及其相关认定”，内容上则全盘接收了PCAOB第5号准则的“识别整体层面控制”、“识别重大账户和披露及其相关认定”、“测试控制”三部分的主体内容。

　　再如，内部控制相关缺陷的定义完全落脚于报表错报，最典型的当属重大缺陷，根据《指引》第51条：“重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。”类似的错误不一而足，《指引》第19条规定：“在计划内部控制鉴证工作时，注册会计师应当使用与财务报表审计相同的重要性水平。”显然，起草者完全将“财务报告内部控制有效性”与“内部控制的有效性”等量齐观。

　　诚如《企业内部控制规范起草说明》中所指出的“企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体”，“从政府监管和资本市场监管的角度看，即使是当今世界最发达的国家，也将财务报告内部控制作为企业管理层内部控制自我评估和注册会计师评价的主体” ，但“财务报告内部控制”毕竟不能与“内部控制”直接等同。对内部控制整体进行鉴证，这对起草者而言肯定是一个难题，但既然确定这一方向，就要勇敢走下去，否则，偏离过大，难免给人以张冠李戴的感觉。

　　【参考文献】

　　[1] ZETA-CIA研究中心译.美国公众公司会计监管委员会审计及相关专业实务准则（第一辑）.北京：法律出版社，2007.11.

　　[2] 李爽，吴溪. 内部控制鉴证服务的若干争议探讨. 中国注册会计师，2003，（5）：8－11.

　　[3] 唐宇，陈广垒. 美国内部控制鉴证制度的演变及其对我国的启示. 新理财，2007，（11）：70-73.

　　[4] 毛敏. 内部控制鉴证服务的中美比较. 财会月刊，2006，（1）：53-54.