内部控制鉴证取证模式：逻辑框架和例证分析

李媛媛+郑石桥

【摘 要】 内部控制鉴证的主题是内部控制制度。文章探究内部控制鉴证取证模式的逻辑框架，涉及内部控制鉴证标的、鉴证命题和鉴证程序。内部控制鉴证标的是制度的再分类，整体层面的制度，其鉴证标的是制度要素；业务层面的制度，通常以业务流程中的关键环节作为鉴证标的。内部控制鉴证命题是内部控制鉴证目标在鉴证标的上的落实，通常可分解为合规性、健全性和遵循性。内部控制鉴证取证一般采用命题论证型鉴证取证模式，以内部控制鉴证风险模型为基础，鉴证取证过程一般包括风险评估和制度测试两个步骤，发表合理保证鉴证意见。

【关键词】 内部控制鉴证； 鉴证取证模式； 鉴证载体； 鉴证取证； 鉴证意见

【中图分类号】 F239.0 【文献标识码】 A 【文章编号】 1004-5937（2017）22-0125-06

一、引言

内部控制鉴证属于制度审计，其鉴证主题是内部控制制度，本文探究内部控制鉴证取证模式。关于以制度为主题的鉴证，在鉴证发展史上有两类直接相关事宜，一是管理鉴证，二是内部控制鉴证（包括内部控制评估或评价）。管理鉴证孕育于20世纪30年代，但是，至今为止，并没有成为主流鉴证业务，作为其核心内容的内部控制鉴证却异军突起[ 1 ]。内部控制鉴证的鉴证取证存在许多有待研究的问题[ 2 ]。在管理鉴证和内部控制鉴证的诸多问题中，鉴证取证模式是最重要的问题之一。相关文献对于这个问题并没有系统的研究，本文研究内部控制鉴证取证模式的逻辑框架。

本文随后的内容安排如下：首先是简要的文献综述，梳理相关研究文献；在此基础上，从鉴证标的、鉴证命题和鉴证程序三个层级构建内部控制鉴证取证模式的逻辑框架；然后用这个逻辑框架来分析权威机构制定的内部控制鉴证规范对鉴证取证模式的规定，以一定程度上验证上述逻辑框架；最后是结论和启示。

二、文献综述

就本文关注的內部控制鉴证取证模式，相关研究主要涉及管理审计取证和内部控制审计取证。

关于管理审计取证的研究，主要关注两类问题，一是管理审计模式，二是管理审计取证技术。一般认为，管理审计模式应该是实现特定的审计目标所采取的管理审计策略、方式和方法的总称，它规定了管理审计取证工作的切入点，规定了管理审计人员在实施管理审计工作时从何处入手、如何入手、何时入手等。至于管理审计模式究竟是什么，有不同的看法，主要观点有二分法、三分法、四分法、五分法、六分法[ 3 ]。

关于内部控制审计取证的研究，主要关注内部控制评估技术，研究内容涉及数学方法在内部控制审计中的应用[ 4 ]、内部控制审计中的统计抽样方法[ 5 ]、内部控制审计记录方法[ 6 ]、内部控制审计风险模型[ 7 ]、内部控制审计业务的选择等[ 8 ]。

总体来说，关于内部控制鉴证取证模式还缺乏系统的研究。本文从鉴证标的、鉴证命题和鉴证程序三个层面构建内部控制鉴证取证模式的逻辑框架。

三、内部控制鉴证取证模式：逻辑框架

内部控制鉴证的鉴证主题是约束具体行为的制度，鉴证目标是制度的合规性和合理性①。在既定的鉴证目标和鉴证主题下，内部控制鉴证取证模式涉及三个主要问题：第一，鉴证标的，也就是鉴证实施的直接标的物之确定；第二，针对特定的鉴证标的，具体的鉴证目标是什么，也就是确定针对特定鉴证标的之鉴证命题；第三，如何证明每一个具体的鉴证命题，也就是确定和实施鉴证程序。

（一）内部控制鉴证取证：鉴证标的

鉴证标的是鉴证实施的直接标的物，也就是鉴证的靶子。内部控制鉴证的主题是约束行为的制度，其鉴证标的是制度的再分类。一般来说，制度可以分为两类：一是对所有具体行为都有约束力，一般称为整体层面的制度；二是针对特定具体行为的制度，一般称为业务层面的制度。

对于整体层面的制度，其鉴证标的应该是制度要素，也就是制度中界定的主要事项，一般以制度章节为划分标准，例如，公司章程是整体层面的制度，在章程中对股东会、董事会、监事会、经理层的权责分别进行了界定，股东会、董事会、监事会、经理层都可以单独作为鉴证标的。

对于业务层面的制度，一般会按业务类型来组织，所以，通常以业务流程中的关键环节作为鉴证标的。例如，预算制度一般会规范预算编制、预算执行、预算调整、决算等环节，这些环节都可以单独作为鉴证标的。

当然，在一些情形下，如果制度较为庞大，上述鉴证标的可以进行多层级的划分，一直要划分到具有相对清晰的鉴证总体和鉴证个体时，才能得到可实施的鉴证标的。如果对鉴证标的的划分过于粗略，则鉴证总体中包括的鉴证个体可能具有较大的差异，这会影响鉴证载体的选择，也会影响鉴证程序的有效实施。

鉴证标的确定之后，围绕每个标的，还要确定其鉴证总体和鉴证个体。制度标的个体，也就是鉴证个体，是该制度标的约束的每个特定行为，而全部特定行为之集合，就形成该内部控制鉴证标的之鉴证总体。特别要注意的是，鉴证总体和鉴证个体是以标的为对象确定的，不同的标的不宜混合起来形成鉴证总体，每个内部控制鉴证标的都要形成自己的鉴证总体和鉴证个体。例如，预算执行制度和预算调整制度，约束不同的预算行为，需要分别形成鉴证标的来判断其合规性和合理性，如果将二者混合起来形成一个鉴证标的，则不同属性的预算执行行为就在一个总体中，不宜于内部控制鉴证的有效开展。

鉴证总体和鉴证个体确定之后，还需要进一步确定鉴证载体。鉴证载体是关于鉴证个体的记载或记忆，它们是鉴证活动的直接实施对象，表现为资料、实物和人。一般来说，制度标的载体有四种形式：一是书面的规章制度，这些规章制度表明制度设计情形；二是制度相关的实物措施，这是实施制度的实物手段，例如，内部控制措施中的实物控制手段就属于这种情形；三是制度执行过程中形成的相关记录，表明制度执行情况及其效果，也包括制度评估记录和报告；四是相关人员形成的制度相关记忆，包括制度的设计健全性和执行符合性的看法或记忆。一般来说，来源于不同载体的鉴证证据，其证明力不同。endprint

一般来说，鉴证载体分为三种情形：一是有系统载体且有原始记录支持；二是有系统载体但无原始记录支持；三是无系统记录。对于一般的被鉴证单位来说，制度管理已经达到一定程度，各种形式的内部控制鉴证载体组合起来应该能形成一个系统且有原始记录支持的载体。

（二）内部控制鉴证取证：鉴证命题

鉴证命题是可以被定义并观察的现象，是鉴证目标在鉴证标的上的落实，是针对特定的鉴证标的需要获取证据来证明的事项，也称为具体鉴证目标。

内部控制鉴证的鉴证目标是制度合规性和合理性，也可分解为合规性、健全性和遵循性。合规性是指制度是符合既定标准的（这里的既定标准主要是外部机构颁布的相关法律法规及规章），如果存在不符合既定标准的制度，则该命题是伪；健全性是指制度是合理的，不存在重大缺陷，如果存在重大缺陷，则该命题是伪；遵循性是指制度得到了有效的执行，在执行中不存在重大缺陷，如果执行中存在重大缺陷，则该命题是伪。

上述各项鉴证目标落实到具体的鉴证标的，就形成了该鉴证标的需要获取鉴证证据来证明的事项，也就是该鉴证标的需要鉴证证据来验证的鉴证命题。如果某个命题获取了相应的鉴证证据，则该命题就得到了证明，如果某鉴证标的的全部鉴证命题都得到了证明，则该鉴证标的就得到了鉴证。如果某鉴证主题的全部鉴证标的都得到了鉴证，则该鉴证主题的鉴证目标就达到了。

（三）内部控制鉴证取证：鉴证程序

鉴证程序就是从鉴证载体中为每个鉴证命题获取鉴证证据的技术方法。鉴证程序的实际实施对象是鉴证载体，由于鉴证载体不同，鉴证程序的选择也不同。前已述及，一般来说，对于内部控制鉴证，应该能形成一个有系统且有原始记录支持的载体。在这种情形下，鉴证取证一般采用命题论证型鉴证取证模式，鉴证取证过程一般包括两个步骤：风险评估和制度测试。初看起来与风险导向模式下的会计报表审计程序类似，但是就其实质内容来看，二者存在较大差异。

1.风险评估

这里的风险是制度风险，也就是制度不能达到其目标的可能性，例如，内部控制无效的可能性。一般来说，制度要达到其目标，需要具有两个属性：一是合规性，也就是符合外部权威机构颁布的相关法律法规和规章；二是合理性，也就是制度不存在显著的缺陷或瑕疵，也称为有效性。而制度风险之产生，要么是制度明显违反外部权威机构颁布的相关法律法规和规章；要么是存在显著的缺陷或瑕疵。所以，制度风险就是制度违规及存在缺陷或瑕疵的可能性。

风险评估是以一定的审计风险模型为基础，对相关风险进行评价。目前，关于内部控制鉴证的鉴证风险模型还没有相关研究，关于内部控制鉴证风险模型有少数文献涉及。Akresh[ 7 ]认为，内部控制审计是审计财务报告的生成过程，而财务审计是审计内部控制过程的产出，所以，二者应该有不同的风险模型；内部控制鉴证风险是内部控制中有重大缺陷，而审计人员未能发现，这一风险可以分解为固有风险、控制设计和执行风险、控制运行效果风险。雷英和吴建友[ 9 ]借鉴上述文献，提出了财务报告内部控制审计风险模型，赵宇[ 10 ]也提出了类似的内部控制审计风险模型。受上述文献的启发，本文提出内部控制鉴证风险模型如公式（1）所示：

IAR=IR×IDIR×IDR （1）

公式（1）中，IAR（Internal control attestation Risk）表示内部控制鉴证风险，是对内部控制鉴证发表错误鉴证意见的可能性，主要是指当制度存在重大缺陷（包括违规，下同）时，鉴证意见认为不存在重大缺陷；IR（Inherent Risk）表示固有风险，是在没有制度的情形下，制度目标不能达成的可能性；IDIR（Institution Design and Implementation Risk）表示制度不能达成制度目标的可能性，也就是制度存在重大缺陷的可能性，事实上也就是制度失败的可能性；IDR（Institution Detection Risk）表示制度测试风险，是指审计人员不能发现已经存在的制度重大缺陷的可能性。

需要说明的是，这里沿用财务报表审计风险模型采用的乘数方式，正如谢荣和吴建友[ 11 ]指出，财务报表审计风险模型本身不是乘数关系，而只是用乘数方式作为观念的指导，内部控制鉴证风险模型各要素也不是乘数关系，只是各要素以乘数方式表示，作为概念框架。

根据内部控制鉴证风险模型，内部控制鉴证的风险评估要做四项工作：第一，确定内部控制鉴证风险（IAR），也就是选择可接受的内部控制鉴证风险水平。一般来说，依赖内部控制鉴证结果的利益相关者越多，制度越重要，可接受的内部控制鉴证风险水平越低。第二，评估固有风险（IR），也就是评估在没有制度的情形下，制度目标不能达成的可能性。第三，评估制度失败风险（IDIR），也就是评估制度设计及执行是否存在重大缺陷。第四，根据上述各步骤的结果，确定可容忍的制度测试风险水平（IDR）。当然，在上述风险评估中，也可以将固有风险和制度失败风险合并评估。

上述风险评估要在两个层面开展：一是整体层面，也就是以制度整体作为评估对象进行风险评估，这个层面的风险评估主要用于鉴证总体计划或鉴证策略的制定；二是鉴证标的层面，以每个鉴证标的为对象进行风险评估，这个层面的风险评估主要用于针对鉴证标的的鉴证方案或具体鉴证计划的制定。

2.制度测试

制度测试是以鉴证标的层面的风险评估为基础，为每个鉴证标的确定具体鉴证方案并实施。这里的制度测试，类似于风险导向财务报表审计中的控制测试，鉴证方案主要涉及针对特定鉴证标的的鉴证程序的性质、时间和范围。内部控制鉴证程序的性质，是指选择何种类型的鉴证程序来进行控制测试，主要考虑因素是可容忍的制度测试风险和鉴证载体的具体情形；内部控制鉴证程序的時间，是指鉴证程序的实施时间及鉴证证据所涵盖的时期，主要考虑因素是可容忍的制度测试风险及制度的实施特征；内部控制鉴证程序的范围，是指鉴证样本的规模，主要考虑因素是可容忍的制度测试风险。endprint

一般来说，由于有系统化的鉴证载体且有原始记录支持，在实施所有的鉴证程序之后，能够获得充分适当的鉴证证据，以支持发表合理保证的鉴证意见。但是，由于内部控制鉴证中对于缺陷的判断涉及大量的主观判断，鉴证人、被鉴证单位及利益相关者对缺陷标准的认识可能不同，从而鉴证意见的可接受程度会受到影响。

归纳起来，在有系统化的鉴证载体且有原始记录支持的情形下，内部控制鉴证的鉴证取证逻辑框架如图1所示。

四、内部控制鉴证取证模式：我国内部控制审计取证模式分析

本文从鉴证标的、鉴证命题和鉴证程序三个层面提出了一个内部控制鉴证取证模式的逻辑框架。然而，这个框架是否正确呢？我们用这个框架来分析财政部和中国注册会计师协会等权威机构颁布的《内部控制审计指引》和《内部控制审计指引应用指南》对内部控制审计取证的规定，看权威机构对内部控制审计取证的规定与本文的逻辑框架是否具有一致性，通过这个分析，一定程度上验证本文的逻辑框架。

从逻辑上来说，内部控制审计可以按直接报告业务来实施，也可以按基于责任方认定业务来实施，不同业务属性下，审计主题不同，审计标的也不同，从而审计取证也不同。目前，除了日本等少数国家外，大多数国家都将内部控制审计作为直接报告业务，此时，内部控制本身是审计主题。本文按直接报告业务来分析内部控制审计取证。

（一）内部控制审计标的

内部控制审计标的是内部控制审计的实施对象，由于内部控制是一个庞大的体系，所以，其审计标的具有层级性。根据《内部控制审计指引》和《内部控制审计指引应用指南》，按自上而下的方式进行内部控制审计，以制造业为例，归纳起来，审计标的及其总体和个体如表1所示。

审计标的确定之后，还需要确定审计载体。没有审计载体，获取审计证据就很困难。内部控制审计载体是被审计单位对内部控制活动之记载或记忆，是内部控制审计活动直接实施的资料、实物和人。一般来说，这些标的有四种形式：一是书面的内部控制制度，这些制度表明内部控制设计情形；二是内部控制相关的实物措施，这是以实物手段建立起来的控制；三是内部控制执行过程中形成的相关记录，表明内部控制执行情况；四是相关人员形成的内部控制相关记忆。对于内部控制总体和个体，都可以从上述相关的审计载体中找到相关信息。上述四个方面的载体，组合起来，应该能支持内部控制审计取证。当然，从不同载体获取的审计证据，其证明力存在差异。

（二）内部控制审计命题

内部控制审计命题是内部控制审计目标在内部控制审计标的上的落实，也就是针对特定的内部控制审计标的需要获取证据来证明的事项，也称为内部控制具体审计目标。

一般认为，内部控制审计目标是鉴证内部控制有效性，也就是对内部控制目标之达成的保证程度，凡是能按既定保证程度达成目标的，内部控制就是有效，否则就是无效。实际操作中，从内部控制有效性的对立面来实施，也就是寻找内部控制缺陷，凡是存在重大缺陷的，内部控制就是无效。如何确认内部控制缺陷呢？根据《内部控制审计指引》和《内部控制审计指引应用指南》，内部控制缺陷主要体现为两个方面：一是内部控制设计缺陷，包括内部控制制度设计明显违反相关法律法规，或者内部控制制度设计不足以防范其拟防范的风险；二是内部控制执行缺陷，主要是设计的内部控制未能得到有效执行。当然，内部控制的判断离不开内部控制目标，不同的内部控制目标选择，会有不同的内部控制缺陷判定结果。例如，《内部控制审计指引》和《内部控制审计指引应用指南》主要关注财务报告内部控制，在这种定位下，其内部控制目标主要是财务信息真实完整性，凡是不能达成这个目标的，就是内部控制缺陷。

内部控制审计命题就是将上述设计缺陷和执行缺陷落实到每个审计标的，确定每个审计标的的具体审计目标，以制造业为例，归纳如表2所示。

（三）内部控制审计程序

审计命题确定之后，需要选择审计程序来获取审计证据。根据《内部控制审计指引》和《內部控制审计指引应用指南》，内部控制审计程序包括计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作，共六个步骤。

审计取证主要涉及计划审计工作和实施审计工作这两个步骤。计划审计工作主要内容包括：审计业务约定书；审计项目组；计划审计工作所需要评价的事项；重要性水平；识别重大账户、重大列报和相关认定；识别重大业务流程；了解企业内部控制评价及利用他人的工作；审计计划。这些工作中，计划审计工作所需要评价的事项，重要性水平，识别重大账户、重大列报和相关认定，识别重大业务流程，了解企业内部控制评价及利用他人的工作，都是风险评估；而审计计划就是根据风险评估的结果制定审计总体计划（或称为总体审计策略）和具体审计计划（或称为审计方案）。

实施审计工作主要内容包括：评估企业层面控制，识别业务层面控制，选择拟测试的控制，测试内部控制，评价控制偏差。这些内容共同组成制度测试。

总体来说，《内部控制审计指引》和《内部控制审计指引应用指南》规范的内部审计取证，与本文前面提出的内部控制鉴证取证逻辑框架具有一致性。

五、结论和启示

本文从鉴证标的、鉴证命题和鉴证程序三个层面探究内部控制鉴证取证模式的逻辑框架。在既定的鉴证目标和鉴证主题下，内部控制鉴证取证模式涉及三个主要问题：第一，鉴证标的，也就是鉴证实施的直接标的物之确定；第二，针对特定的鉴证标的，具体的鉴证目标是什么，也就是确定针对特定鉴证标的之鉴证命题；第三，如何证明每一个具体的鉴证命题，也就是确定和实施鉴证程序。

鉴证标的是鉴证实施的直接标的物，也就是鉴证的靶子。内部控制鉴证标的是制度的再分类，一般分为两类：一是对所有具体行为都有约束力，一般称为整体层面的制度；二是针对特定具体行为的制度，一般称为业务层面的制度。对于整体层面的制度，其鉴证标的应该是制度要素，也就是制度中界定的主要事项。对于业务层面的制度，一般会按业务类型来组织，所以，通常以业务流程中的关键环节作为鉴证标的。如果制度较为庞大，上述鉴证标的可以进行多层级的划分，一直要划分到具有相对清晰的鉴证总体和鉴证个体时，才能得到可实施的鉴证标的。制度标的个体，也就是鉴证个体，是该制度标的约束的每个特定行为，而全部特定行为之集合，就形成该内部控制鉴证标的之鉴证总体。制度标的载体有四种形式：一是书面的规章制度；二是制度相关的实物措施；三是制度执行过程中形成的相关记录；四是相关人员形成的制度相关记忆。一般来说，各种形式的内部控制鉴证载体组合起来，应该能形成一个系统且有原始记录支持的载体。endprint

内部控制鉴证命题是内部控制鉴证目标在鉴证标的上的落实，也称为制度具体鉴证目标。内部控制鉴证的鉴证目标是制度合规性和合理性，也可分解为合规性、健全性和遵循性。上述各项鉴证目标落实到具体的鉴证标的，就形成了该鉴证标的需要鉴证证据来验证的鉴证命题。

由于内部控制鉴证一般存在一个系统且有原始记录支持的载体，鉴证取证一般采用命题论证型鉴证取证模式，鉴证取证过程一般包括风险评估和制度测试两个步骤。

这里的风险是制度风险，也就是制度不能达到其目标的可能性，表现为制度违规及存在缺陷或瑕疵的可能性。风险评估要在两个层面开展：一是整体层面，也就是以制度整体作为评估对象进行风险评估，这个层面的风险评估主要用于鉴证总体计划或鉴证策略的制定；二是鉴证标的层面，以每个鉴证标的为对象进行风险评估，这个层面的风险评估主要用于针对鉴证标的的鉴证方案或具体鉴证计划的制定。

制度测试是以鉴证标的层面的风险评估为基础，为每个鉴证标的确定具体鉴证方案并实施，主要涉及针对特定鉴证标的的鉴证程序的性质、时间和范围。

一般来说，由于有系统化的鉴证载体且有原始记录支持，在实施所有的鉴证程序之后，能够获得充分适当的鉴证证据，以支持发表合理保证的鉴证意见。

财政部和中国注册会计师协会等权威机构颁布的《内部控制审计指引》和《内部控制审计指引应用指南》对内部控制审计取证的规定，与本文的逻辑框架具有一致性。

我国的内部审计和政府审计强调对体制、机制和制度的合理性进行判断，并在此基础上提出审计建议，以促进体制、机制和制度的优化，这个方向是正确的，然而，如何获取充分适当的审计证据来支持审计人员的体制、机制和制度的判断，并没有得到重视。本文的研究显示，内部控制鉴证取证有其独特性，为了内部控制鉴证的切实有效，必须探究内部控制鉴证取证的特征和规律，总结制度鉴证的最佳实务，在此基础上，制定内部控制鉴证准则。

【参考文献】

[1] 王光远.受托管理责任与管理审计[M].北京：中国时代经济出版社，2004.

[2] 郑卓如，郑石桥.内部控制评估：文献综述和未来研究方向[J].会计之友，2013（3）：22-27.

[3] 郑石桥.管理审计方法[M].大连：东北财经大学出版社，2012.

[4] NICHOLS D R.A model of auditors preliminary evaluation of internal control from audit data[J].The Accounting Review，1987，62（1）：183-190.

[5] HAM J， LOESLL D， SMIELIAUSKA W. A note on the neutrality of internal control institutions in audit practice[J].Contemporary Accounting Research，2010，2（2）：311-317.

[6] BIERSTAKER J， JANVRIN D， LOWE D J.An examination of factors associated with the type and number of internal control documentation formats[J].Advances in Accounting，2008，23（7）：31-48.

[7] AKRESH A D.A risk model to opine on internal control[J].Accounting Horizons，2010，24（1）：65-78.

[8] 謝少敏.内部控制审计报告方式的理论分析[C].中国会计学会审计专业委员会2010年学术年会论文集，2010.

[9] 雷英，吴建友.内部控制审计风险模型研究[J].审计研究，2011（1）：79-83.

[10] 赵宇.浅析企业内部控制审计风险[J].中国商贸，2012（36）：83-84.

[11] 谢荣，吴建友.现代风险导向审计理论研究与实务发展[J].会计研究，2004（4）：47-51.endprint