「摘 要」 我国目前对内部控制鉴证服务的需求主要来自于证券监管部门。本文分析了我国目前对该项服务的需求和供给情况，综述了在相关规范制订过程中出现的若干重大争议，并进行了探讨。我们认为，这些争议和探讨有助于实现我国证券监管部门需求与会计服务行业供给之间的均衡，也为我国会计服务市场的发展以及对内部控制有关问题的认识提供了新的视角。

　　「关键词」 内部控制 鉴证服务 需求 供给

　　引言

　　财政部曾于2001年11月发布了《独立审计实务公告第X号——内部控制审核（征求意见稿）》（作为第五批独立审计准则项目之一） ，而在2002年2月，中国注册会计师协会以《内部控制审核指导意见》的中注协文件形式予以发布。导致这一变动的主要原因在于，在准则项目的征求意见过程中，会计理论界、实务界以及有关政策制订部门对内部控制鉴证服务的性质、对象、内容、范围等存在着许多重大争议，而这些争议还需要在未来阶段进一步探讨和协调，因此在第五届财政部独立审计准则中方专家咨询组与外方及港澳台专家咨询组第二次会议上，各位专家建议将该准则项目以中注协的指导意见形式发布。

　　本文综述了《内部控制审核（征求意见稿）》在征求意见过程中存在的主要争议，并提出有关探讨。我们认为，关于内部控制鉴证服务的许多争议不仅涉及到我国会计服务市场和会计服务行业的发展问题，在更深层次上也反映出我国会计界对内部控制理论体系的认识上还存在着不少差异。对有关争议的探讨有助于我们进一步思考在我国会计服务市场开展内部控制鉴证服务的一系列问题，也为会计界研究内部控制理论及实务提供了新的角度。

　　一、 内部控制鉴证服务的需求和供给：初步描述

　　（一）对内部控制鉴证服务的需求及其变动

　　我国对内部控制鉴证服务的需求最初来自于中国证监会，而目前的主要使用者也是中国证监会。我们初步查阅并汇总了中国证监会近年来对内部控制鉴证服务的需求以及各个具体要求（参见本文附录）。从该附录中可以初步了解到这种需求的基本特征、演变过程与现状。

　　第一个特征是：总体上看，从1999年至今，中国证监会对内部控制鉴证服务的需求范围不断扩大。在2001年初以前主要局限在拟公开发行证券的商业银行、保险公司和证券公司 ；而从证监会于2001年3月和4月发布的几项信息披露内容与格式准则来看，对内部控制鉴证服务的需求已经扩大到了在我国境内申请首次公开发行股票并上市的公司以及申请发行新股的上市公司范围 .第二个特征反映在内部控制鉴证服务的结果（即报告形式）要求上。从证监会于1999年11月19日发布的《证券公司年度报告内容与格式准则》来看，监管部门最早对内部控制鉴证服务提出的要求为“以管理建议书的形式对公司内部控制制度的完整性、合理性和有效性作出评价，并提出改进建议。”而在2000年11月发布的一批信息披露编报规则当中，对内部控制的外部评价要求则统一改为“以内部控制评价报告的形式作出报告。”在2002年2月4日发布的《证券公司年度报告内容与格式准则（修订）》对有关表述再次做出了细微改动，即“以内部控制评审报告的形式”出具报告。由于内部控制鉴证服务作为一种新兴服务，其需求形式是“作出评价”，于是证监会对报告形式的要求（及其变化）提出了一个问题，即应当如何界定“评价报告”或“评审报告”的性质？这一问题将在下文加以讨论。

　　第三点特征在于，中国证监会从一开始就提出了对内部控制制度的“完整性、合理性和有效性”的评价内容要求，这一要求到目前为止仍然没有发生变化，体现出相当的“刚性”。我们并不了解这“三性”要求的最初形成过程，但正是此项要求构成了本文将要讨论的主要争议之一，具体论述将在下文进行。

　　（二）对内部控制鉴证服务的供给

　　通过上述对有关需求的分析，我们不难发现，证监会的这种需求及其扩大趋势增加了我国会计服务市场的一种服务品种，即内部控制鉴证服务，而且这种服务具有类似于财务审计服务的强制性特征，尽管在实施范围上尚不如财务审计服务广泛或普遍；对会计服务行业而言，必须按照有关监管部门提出的要求出具内部控制评价（评审）报告；相应地，也对相关会计服务规则的制订提出了紧迫要求，具体表现为中国注册会计师协会于2001年度立项起草《独立审计实务公告第 号——内部控制审核（征求意见稿）》。

　　在《内部控制审核（征求意见稿）》立项起草之前或是制订过程中，已经有许多会计师事务所接受中国证监会要求的内部控制评价业务并出具了相应报告。由于在报告格式和内容上缺乏统一规范，这些报告在措辞或格式的表现形式上五花八门。尽管这种状况在证监会于2001年1月31日发布了《证券公司内部控制指引》之后有所改善（至少针对证券公司的内部控制评价而言），但仍有不少突出问题，例如在评价对象与范围的表述、注册会计师的评价责任、评价建议的有用性、评价意见的表述方式以及报告格式（详式报告还是简式报告）等方面，其后果可能导致注册会计师与被评价单位管理当局的责任划分不清、不利于保护注册会计师自身的正当利益以及无法满足监管部门的特定目的和需求。总体上看，在这一新兴的会计服务领域中，会计实务界明显缺乏共识和执业规则，该服务的供给缺乏足够的质量保证，由此触发了相关执业规则的供给。下文便主要侧重于探讨内部控制鉴证服务的规范以及在此过程中产生的一系列重大争议。

　　二、内部控制鉴证服务规则的制订及其争议

　　《内部控制审核（征求意见稿）》经历了独立审计准则组起草、多次研讨、广泛征求意见以及两次财政部独立审计准则中外方专家咨询组会议，形成了许多共识，也存在着不少争议。我们选择了其中比较突出的、至今尚存争议的若干问题进行探讨，希望对未来的有关政策制订起到一定的积极作用。

　　（一）关于内部控制鉴证服务的性质界定

　　前已述及，中国证监会对内部控制鉴证服务的性质界定有一个变化过程，从最早的“管理建议书”变化到“内部控制评价报告”或“内部控制评审报告”。独立审计准则制订部门对内部控制鉴证服务的潜在定性更早地形成于《独立审计准则实务公告第2号——管理建议书》（于1997年1月1日起施行），因为实务公告第2号的总则部分已经把“管理建议书”和专门接受委托的内部控制鉴证服务进行了区分，表现为“注册会计师接受委托，对内部控制专门进行审核，并提出管理建议，不适用本公告”。于是，独立审计准则制订部门对涉及内部控制的专门性鉴证业务既有别于独立审计准则框架中的“管理建议书”，同时在制订《内部控制审核（征求意见稿）》时又和中国证监会最初提出的内部控制“管理建议书”要求存在规则制订时间上的差异，这是因为《内部控制审核（征求意见稿）》的立项起草工作从2000年底开始，因此当时关注的是证监会对“内部控制评价报告”的新要求 .由于在我国现有的独立审计准则框架下无法对“评价”进行明确的性质界定；考虑到证监会提出的内部控制评价涉及到对“内部控制制度的完整性、合理性和有效性”发表意见 ，而独立审计准则制订部门又早已存在对内控鉴证服务的潜在定性，因此在规则制订初始便将内部控制鉴证服务界定为“审核”。

　　根据美国的会计服务框架，审核（examination）与审计的区别之一通常在于对象不同，例如审核对象可以是未来的会计信息（即盈利预测审核）或内部控制结构。但审核在取证范围上同样是广泛的，保证程度为高水平，意见表述形式为积极式，在报告的分发使用方面也是没有限制的（Arens和Loebbecke，1997）。正是由于这种认识，使得对内部控制鉴证服务的定性从一开始就非常沉重，加之对“内部控制制度的完整性、合理性和有效性”发表意见，因此在征求意见以及征求意见稿的形成过程中对注册会计师的审核责任尤为敏感，会计理论界和实务界纷纷指出：一方面，在我国证券市场的基石之一——公司治理结构远未具备一定基础的环境下，注册会计师从事该项业务风险过大，且成本极高，责任过重；另一方面，在我国企业内部控制规范尚未充分建立的情况下，注册会计师执行此项业务缺乏必要的尺度和标准。相应地，征求意见稿对内部控制的保证程度、意见表述形式以及报告的分发使用方面总是争议不断，即在目前甚至未来相当长一段时间内是否应提供较低的保证程度、消极的意见表述或有限的分发使用（这些问题在我们观察到的、许多实际的内部控制评价报告中体现得尤为突出）。

　　在这种争议之下，我们查阅了美国证券交易委员会（SEC）要求注册会计师提交的内部控制报告。以美国注册会计师协会制订的证券公司审计与会计指南 为依据，我们发现：其保证程度较低，并以消极保证的方式进行表述，同时对报告的分发和使用做出了严格的限制。以下是从一份向SEC提交的内部控制报告示例中的有关摘节：

　　“……我们对内部控制的考虑未必已披露出按照美国注册会计师协会所制定标准属于重大缺陷的所有内部控制事项。……在包括确保证券资产安全的控制措施在内的内部控制方面，我们没有发现按照上述界定所指的重大缺陷。”

　　“本报告仅供贵公司董事会、管理当局、美国证券交易委员会、[指定的自律组织]以及其他遵照1934年美国证券交易法17a-5条例（g）款对已登记证券经纪与交易商进行监管的监管机构使用。本报告并不希望、也不应被除了上述特定主体以外的其他任何方面使用。”

　　从上述示例中我们似乎可以感受到，美国证券监管部门对注册会计师提交的内部控制报告并未施加很重的压力和责任，这与SEC对内部控制报告的需求目标有关（见下文有关内容的分析）。由此可见，关于内部控制鉴证服务的定性争议，关键在于我们有必要了解报告需求者和使用者的政策制订初衷。从最早的“管理建议书”形式要求考虑，或许监管者希望借助于内部控制评价报告的形式发现公司存在的一系列问题。这也启发我们在对内部控制鉴证服务进行定性时可以采取“审核”以外的、其他性质的业务报告类型，在合理保护会计服务行业发展的前提下提供能够满足报告使用者需求的有效供给。当然，这个问题一方面涉及到我国独立审计准则框架的重构，另一方面也有待于各有关方面的共同探讨和协调。

　　（二）内部控制评价与会计报表审计中对内部控制的考虑之间的关系

　　紧接上面提出的问题，我们进一步考虑证券监管部门要求注册会计师提供内部控制报告的意图是什么？这里涉及到两个有关的概念：一是内部控制评价报告中涉及到的内控评价，另一个是会计报表审计中对内部控制的考虑。

　　在会计报表审计过程中，注册会计师往往需要了解被审计单位的内部控制，并运用控制测试评价控制风险，最终确定检查风险的大小和重要性水平的高低，实施相应的实质性测试。在此过程中，对内部控制做出评价的目的主要是合理确证会计报表不存在重大错报漏报。那么这种目的与内部控制评价报告中涉及到的内控评价是否一致呢？从目前监管部门对内部控制的评价要求来看，并不仅仅局限在财务报告的可靠性目标上，往往还涉及到了确保经营效果和效率以及遵循适当的法规等目标。因此《内部控制审核（征求意见稿）》将审核范围限定在了“与会计报表相关的内部控制”上的做法即使在形式上也与证券监管部门的需求之间存在较大分歧。

　　现在的问题是，如果我国证券监管部门将内部控制的评价要求限定在财务报告的可靠性目标上，那么“内部控制评价报告中涉及到的内控评价”与“会计报表审计中对内部控制的考虑”这两者能否实现目标上的统一？在《内部控制审核（征求意见稿）》征求意见过程中，许多观点认为这两者的目标是不一致的，即内部控制评价中内部控制是“结果”，而在会计报表审计中对内部控制的考虑是“手段”。但是我们在参考了SEC要求注册会计师提交的内部控制报告之后发现：美国证券监管部门对这两者之间的关系是统一的，因此其对内部控制报告的需求目的似乎与我国会计界及有关政策制订部门的理解存在一定差异。以下为一份向SEC提交的内部控制报告中有关段落的示例：

　　“在计划并实施对X公司（以下称”贵公司“）20X1年度（会计期末为12月31日）的合并会计报表审计过程中，我们考虑了贵公司包括确保证券资产安全的控制措施在内的内部控制情况，目的是为了在对合并会计报表发表审计意见时合理确定审计程序，而不是为了内部控制提供可信性保证。”

　　根据这段表述，美国证券监管部门要求注册会计师提供内部控制报告的目的显然在于强化注册会计师在执行会计报表审计过程中对内部控制的考虑，这两者的目标是一致并相互加强的。另一个明显的例证是，在SEC的内部控制报告示例中，有以下说明：

　　“如果注册会计师披露了存在着重大缺陷的情况，报告应当对注册会计师所关注到的缺陷做出描述，并指明这些缺陷将不会影响针对会计报表做出的审计报告。”

　　上述报告范例中的措辞体现出SEC要求的、注册会计师将内部控制评价与其会计报表审计相联系的协调性。我们认为，SEC的这种政策取向有助于明确内部控制鉴证服务的性质和作用，即这种内控评价报告是为了注册会计师在对会计报表发表审计意见时合理确定审计程序，而不是为了内部控制提供可信性保证 ，因此对我国证券监管部门具有积极的借鉴意义：（1）能够有效促使注册会计师在会计报表审计过程中进一步地（或实质性地）关注被审计单位的会计相关控制及其对会计报表的潜在影响，在一定程度上提高会计信息质量 ；（2）便于我国内部控制评价标准的协调与形成；（3）能够在注册会计师擅长的领域内发挥其作用。SEC的这种观点对于独立审计准则制订部门同样具有一定的启示：在《独立审计准则实务公告第2号——管理建议书》中，是否有必要在“管理建议书”和专门接受委托的内部控制鉴证服务之间做出截然区分，或者说是否有必要考虑对“管理建议书”的界定及其适用范围进行修正？

　　（三）关于内部控制“完整性、合理性和有效性”的含义界定

　　我国会计界对内部控制的性质、内容、结构体系等的讨论在近年来开展得尤为热烈，在探讨证监会提出的内部控制“完整性、合理性和有效性”问题上则争论得更加激烈。首先，何为内部控制的“完整性”？有没有一套适用于各种组织形式的会计主体的完整内控？这是征求意见稿讨论过程中存在的一个重大争议。事实上，不同组织形式的会计主体之所以需要内部控制，是为了实现该主体的特定控制目标，各主体的控制目标差异往往导致内部控制具体做法的差异，此外，内部控制还应建立在成本效益原则的基础上，因此并不存在完美无缺的内部控制（吴水澎、陈汉文、邵贤弟，2000a）。还有相当一部分观点提出，即使是同一个会计主体，对于不同的管理者，由于其管理风格和管理水平的不同，内部控制所发挥的作用也是存在差异的，相应地，评价内部控制的“完整性”就显得缺乏必要了。

　　其次，内部控制的“合理性”和“有效性”一般指内部控制设计上的合理性和执行的有效性。对这一点的争议主要在于设计合理与执行有效的标准是什么？财政部已于2001年6月发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》，而根据财政部内部会计控制建设的总体思路，这只是内部会计控制规范的开始（刘玉廷，2001），从而我国企业的内　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　部会计控制规范体系尚待在未来若干年内逐步建立。同时我们还注意到，即使在证监会于2001年1月发布的《证券公司内部控制指引》中也没有对内部控制的“完整性、合理性和有效性”做出明确的界定。除了内部控制评价标准上的不完备性，被评价单位采用的内部控制标准由谁制订（财政部、中国证监会、政府其他有关部门、甚至是企业管理当局）同样是一个重大问题。鉴于以上问题在目前阶段尚难以解决，因此在征求意见的最终阶段还是考虑待我国基本建立起适应我国经济发展要求的内部会计控制规范体系后，由有关方面共同探讨、协调，以便确定公认、合理的内部控制评价标准。

　　（四）关于内部控制的评价内容

　　内部控制的评价是否限于会计相关控制，还是扩展到内部控制的各个环节？根据证监会在《证券公司内部控制指引》中的提法，公司内部控制的主要内容包括：环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。显然，这些内容中已经包含了会计相关控制以外的其他控制，如环境控制中的治理结构控制、管理思想控制、员工素质控制等。而财政部发布的《内部会计控制规范》在定位上采用了“以单位内部会计控制为主，同时兼顾与会计相关的控制”的意见，并不包括组织结构控制和人员素质控制等内容（刘玉廷，2001）。相应地，在内部控制评价内容上采用财政部的标准与采用证监会的标准存在一定的差异。征求意见过程中，会计理论界和实务界普遍认为，以我国注册会计师行业目前的执业水平而言，将内部控制评价范围限定在会计相关控制方面还是合理的，如果要对会计控制以外的其他控制做出评价，则有必要考虑自身的胜任能力和法律责任。因此，征求意见稿在总则部分强调了对“与会计报表相关的内部控制”进行审核。这一点显然与目前证监会的要求存在一定距离，从而也构成了一项主要争议。

[1] [2] 下一页