【摘 要】 内部控制鉴证内容主要关注鉴证什么，内部控制鉴证内容要服从鉴证目标之需要，同时，还要具有可鉴证性。根据上述原则，内部控制效率性、内部控制可靠性、内部控制有效性都不宜作为内部控制鉴证内容。内部控制缺陷性是内部控制目标偏离或超过容忍度的风险暴露，与内部控制鉴证目标高度相关，并且具有可鉴证性，所以，是内部控制鉴证内容。现行内部控制鉴证权威规范，是通过鉴证内部控制缺陷性，根据内部控制有效性和缺陷性的互补关系，得出有效性，其鉴证内容是内部控制缺陷性。

    【关键词】 内部控制鉴证； 内部控制效率性； 内部控制可靠性； 内部控制有效性； 内部控制缺陷性

    【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）16-0125-07

    一、引言

    内部控制鉴证内容主要关注鉴证什么，不同的鉴证内容选择会影响内部控制鉴证目标的最终达成，也会影响内部控制鉴证的取证模式及鉴证意见的形成，甚至还会影响鉴证责任。所以，内部控制鉴证内容是内部控制鉴证的一个基础性问题。

    根据现有研究文献，关于内部控制鉴证内容有多种观点，主流观点是内部控制有效性。本文认为，内部控制鉴证内容应该以内部控制鉴证目标为基础，由于种种原因，内部控制有效性可能难以鉴证，根据内部控制鉴证实务和权威规范的精神实质，内部控制鉴证内容应该是内部控制缺陷性，而不是有效性。

    本文随后的内容安排如下：首先是一个简要的文献综述；在此基础上，分析内部控制鉴证内容的可能情形，从内部控制鉴证目标出发，明确内部控制鉴证内容是内部控制缺陷性；然后，分析内部控制鉴证权威规范的相关规定，以进一步验证前面的理论逻辑分析；最后是结论和启示。

    二、文献综述

    内部控制鉴证内容主要关注鉴证什么。根据内部控制鉴证相关权威规范及研究文献，形成了多种观点，可以区分为“一性论”“二性论”“三性论”。

    “一性论”认为，内部控制鉴证内容是内部控制某一方面的属性，许多的内部控制鉴证相关权威规范及研究文献主张，内部控制鉴证的内容是内部控制有效性[1-12]，这是内部控制鉴证内容的主流观点。另有一些文献认为，内部控制鉴证内容是内部控制效率性[13-14]。还有一些观点认为，内部控制鉴证内容是内部控制可靠性[15-17]。

    “二性论”认为，内部控制鉴证内容是内部控制某两方面的属性，具体包括内部控制的健全性、有效性[18-19]；内部控制的健全性、执行性[20]；内部控制的健全性和有效性[21]；内部控制的有效性、经济性[22]。

    “三性论”认为，内部控制鉴证内容是内部控制某三方面的属性，具体包括内部控制的健全性、合理性、有效性[23-24]；内部控制的完整性、合理性和有效性[25-26]。

    上述这些研究文献及内部控制鉴证相关的权威规范对内部控制鉴证内容的规定或探讨对认知内部控制鉴证内容有较大的启发。然而，本文认为，内部控制鉴证内容，一方面要具有可鉴证性，另一方面要为内部控制鉴证目标服务。根据这两个原则，内部控制鉴证内容应该是内部控制缺陷性。

    三、内部控制鉴证内容是内部控制缺陷性：理论框架

    内部控制鉴证内容主要涉及鉴证什么，本文首先分析内部控制鉴证内容的选择原则；然后，用这些原则来分析内部控制鉴证内容的几种可能性，明确内部控制鉴证内容是内部控制缺陷性；在此基础上，分析内部控制缺陷性的涵义。

    （一）内部控制鉴证内容的选择原则

    本文前面的文献综述表明，关于内部控制鉴证内容有多种选择：内部控制效率性，内部控制可靠性，内部控制有效性。那么，究竟如何选择呢？笔者认为，内部控制鉴证内容的选择应该基于两项原则，一是服从内部控制鉴证目标，二是可鉴证性。

    1.服从内部控制鉴证目标。内部控制鉴证内容和内部控制鉴证目标存在相互影响，一方面，内部控制鉴证内容会影响内部控制鉴证目标之达成；另一方面，内部控制鉴证内容是为内部控制鉴证目标服务的，一定的内部控制鉴证目标要求与之相适应的内部控制鉴证内容。綜合来说，内部控制鉴证内容服从于内部控制鉴证目标。那么，内部控制鉴证目标是什么呢？由于本文的主题是内部控制鉴证内容，所以，这里不展开讨论。①一般来说，内部控制鉴证目标是一个体系，从相关主体来说，包括利益相关者和鉴证者，前者的目标是终极目标，后者的目标是直接目标。从业务类型来说，内部控制鉴证包括内部控制评价、内部控制审计和内部控制审核，这三类鉴证有不同的利益相关者和鉴证者，从而有不同的终极目标和直接目标。关于内部控制评价，从利益相关者来说，终极目标是抑制制度缺陷；从评价者来说，直接目标是通过评价产品来满足利益相关者抑制制度缺陷的需求。关于内部控制审计或审核，从利益相关者来说，终极目标是抑制制度缺陷；从外部审计师来说，直接目标是通过内部控制审计或审核产品满足利益相关者抑制制度缺陷的需求。内部控制鉴证内容应该围绕上述内部控制鉴证目标来确定。

    2.可鉴证性。内部控制鉴证内容需要具有可鉴证性，如果对选择的内部控制鉴证内容无法进行鉴证，当然也无法得出鉴证结果。如果非要以这种内部控制为基础来进行鉴证，可能出现内容变换，鉴证结果所对应的内容并不是拟鉴证的内容。例如，一些实证研究文献研究内部控制缺陷的影响因素，对于内部控制缺陷这个变量，用政府监管部门的处理处罚为计量，这种方法计量出来的内部控制缺陷，显然不是严格意义上的内部控制缺陷，只能是“已经受到监管部门处理处罚的内部控制缺陷”，而“没有受到监管部门处理处罚的内部控制缺陷”并没有包括在这种计量中，这显然是内部控制缺陷的变换。

    总体来说，内部控制鉴证内容一方面要服从于内部控制鉴证目标，另一方面要具有可鉴证性。

    （二）内部控制鉴证内容的几种可能性

    关于内部控制鉴证内容，根据现有文献归纳，大致有三种情形：内部控制效率，内部控制可靠性、内部控制有效性。我们分别来分析其作为内部控制鉴证内容的可行性。

    一些文献认为，内部控制的核心是内部控制效率性[13]，所以，内部控制鉴证内容应该是内部控制效率。李连华等[14]认为，内部控制效率是内部控制在设计和执行过程中所表现出来的控制成效的集合，与有效性（Effectiveness）相比，效率（Efficiency）概念更适合用于内部控制评价，内部控制评价应该以效率为核心概念来建立自己的理论体系和开发相应的评价工具，因为效率是一个量的比较概念，以此为基础进行内部控制的效果评价，可以提高评价的准确性，增加评价结论的信息含量。舒伟等[27]认为，内部控制有效性通过内部控制效率来实现，一方面可以通过延缓或阻止内控熵增来实现，另一方面可以增加内部控制系统整体的负熵值来实现。

    笔者认为，以效率性来鉴证内部控制是不合适的。效率性是指组织经营活动过程中投入资源与产出成果之间的对比关系，如果要鉴证内部控制效率性，就是要搞清楚内部控制的投入资源和产出成果。第一，内部控制效率性难以鉴证。对于内部控制来说，无论是投入资源，还是产出成本，都很难确定。由于内部控制与组织的管理体系融于一体，许多情形下，无法区分哪些是内部控制，哪些不是内部控制。既然很难区分内部控制与管理体系，当然也就很难区分内部控制的资源投入和产出成果。一些实证研究文献将管理成本作为内部控制成本，这显然是扩大了内部控制的范围，但是，要将管理成本区分为内部控制成本和非内部控制成本是难以做到的。第二，即使在有些情形下，能计量内部控制资源投入和产出成果，按投入产出对比关系来评价内部控制也是不合适的。一般来说，内部控制投入存在边际效益递减，当一个单位的内部控制较差时，较少的投入也会有较大的产出；而当一个组织的内部控制达到一定的程度时，内部控制投入的边际产出会降低，从而投入产出比也会下降。用投入产出比只能反映内部控制水平不同阶段的投入产出情况，并不能反映内部控制的整体水平，因为这个内部控制整体水平是内部控制累计投入的结果，而不仅仅是增加投入的结果。第三，内部控制效率性与内部控制鉴证目标有一定的距离。尽管内部控制鉴证目标可以从不同的主体来考虑，但是，总体来说，是通过发现制度缺陷来抑制制度缺陷。所以，中心问题是内部控制缺陷，而不是内部控制效率。基于以上原因，笔者认为，以效率性来鉴证内部控制是不合适的。

    一些文献认为，内部控制鉴证的核心问题是内部控制可靠性（Reliability）。内部控制可靠性评估，一方面可以为优化内部控制设计提供基础，另一方面可以用于审计程序设计，知道了内部控制的可靠程度，为实质性测试设计提供了基础[15-16]。一些文献还研究了内部控制可靠性的判断或模拟模型[17，29]。

    笔者认为，以可靠性来评价鉴证内部控制也是不合适的。其原因有两个方面，第一，可靠性难以鉴证。可靠性是在一定时间内、在一定条件下，系统无故障地执行指定功能的能力或可能性，可通过可靠度、失效率、平均无故障间隔等来评价其可靠性。就内部控制来说，其可靠度、失效率、平均无故障间隔，是从不同的角度来描述内部控制可靠性，但是，这些变量，都难以计量。以资产安全目标为例，内部控制维护资产安全的功能是否具有可靠性呢？可能通过其维护资产安全的可靠度、失效率、平均无故障间隔这些不同的角度来计量。无论从何种角度来计量，其前提条件是知道资产安全的真实状况，如果不知道资产安全的真实状况，可靠度、失效率、平均无故障间隔都无法计量。从现实来说，资产安全的真实状况可能无法知晓，人们只能知晓已经发现的资产不安全事项，对于未发现的资产不安全事项是不知道的。例如，对于贪污行为，未发现前是不知晓的，只有发现后才知道这种行为，如果一直未能发现，则一直不知道这种行为。很显然，我们不能将“不知道”作为“未发生”。第二，鉴证内部控制可靠性与内部控制鉴证目标有一定的偏离。内部控制鉴证目标是通过发现内部控制缺陷来抑制内部控制缺陷，主要关注的是内部控制缺陷，而不是内部控制可靠性。

    关于内部控制鉴证内容的主流观点认为，内部控制鉴证内容是内部控制有效性或效果性，内部控制相关权威文献持这种观点，大量的学术文献也持这种观点。

    从权威文献来说，国外的权威文献，例如，COSO-IC[1-2]，COSO-RM[3]，INTOSAI[4-5]，GAO[6]都使用了“Internal Control Effectiveness”，并且认为，需要从内部控制目标达成程度来判断内部控制有效性（An effective internal control system provides reasonable assurance that the organization will achieve its objectives）。国内相关的权威文献也是如此，《企业内部控制评价指引》第二条规定，“内部控制評价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。《企业内部控制审计指引》第二条规定，“内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计”[7]。

    从学术文献来说，很多文献涉及内部控制有效性的内涵和计量。关于内部控制的内涵，有结果观和过程观，多数学术文献都认为，内部控制的有效性是指内部控制为相关目标的实现提供的保证程度或水平[9-10，12，28，30]，这属于结果观。但是，也有些文献从内部控制过程认识内部控制有效性，杨洁[31]认为，内部控制有效性是以持续监督为基础、完成内部控制制度计划和达到计划结果的程度，以PDCA循环理论为基础，内部控制有效性包括内部控制设计、内部控制执行、内部控制检查和内部控制改进四个方面。内部控制有效性的两个方面，一是内部控制制度本身的有效性，二是在执行过程中的有效性[32]。

    关于内部控制有效性计量有计量模型和计量指标两种情形。一些文献提出了内部控制有效性计量模式，David et al.[33]提出用the time of detection（TD）、The time that the damage caused by the event is fixed（TF）、The time limit after which（TW）来测量内部控制有效性，Ramos[34]提出，利用横轴表示实体内部控制重要的目标、纵轴表示内部控制五个可靠性水平的二维法来评价内部控制有效性的模型。关于内部控制有效性计量指标，主要是一些实证研究文献使用不同的变量来计量内部控制有效性，主要有四种思路，一是通过分析业务流程，找出每个关键控制点，对每一控制点的主要控制措施的有效性进行测试，根据测试结果对整体内部控制有效性进行评价[35]；二是以内部控制要素为评价对象，对内部控制要素是否存在以及运行效果进行评价[36]；三是围绕内部控制目标实现程度，根据目标选取评价指标，建立综合评价指标[37]；四是将自愿披露的内部控制缺陷和审计师对内部控制报告的审核意见等作为内部控制有效性的评价指标[38]。

    那么，内部控制有效性是否适合作为内部控制鉴证内容呢？笔者认为，尽管内部控制权威文献和许多的学术文献都持这种观点，但是，内部控制有效性还是不宜作为内部控制鉴证内容，其原因如下：第一，内部控制有效性的过程观，并未能提出计量方法，事实上，也不能只是從内部控制过程来计量内部控制有效性，因为过程毕竟是为结果服务的，同时，结果可能还受到一些过程之外的因素影响。第二，各种实证研究中提出的内部控制有效性计量指标，只是根据文章所涉及主题及数据的可得性来提出替代变量，这些变量可能涉及到内部控制有效性的某些方面，但是，并不能从整体上替代内部控制有效性。第三，内部控制有效性是难以鉴证的。因为效果性或有效性是指系统实际取得成果与预期取得成果之间的对比关系，主要关注的是既定目标的实现程度。根据这个定义，要鉴证内部控制有效性，必须有两个前提条件，一是搞清楚内部控制各项目标的预期情况，二是搞清楚内部控制各项目标的真实情况。只要搞清楚上述两方面的情况之后，将内部控制目标的真实情况与预期情况进行比较，就可以确定其目标达成情况了。然而，上述两方面的情况能否搞清楚呢？由于目标的预期情况是预告设定的，所以，预先给各项内部控制目标设定一个目标值，这是不存在困难的。问题是，要搞清楚这些目标的真实达成状况，就不一定能实现了[39]。

    以我国的内部控制权威规范为例，《企业内部控制基本规范》第三条规定，“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。《行政事业单位内部控制规范（试行）》第四条规定，单位内部控制的目标主要包括：“合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防腐败，提高公共服务的效率和效果。”上述这些目标中，经营效率和效果、发展战略、公共服务的效率和效果都可能体现为一些量化指标，而这些指标是可以根据一些数据计算出来的，所以，对于这些目标来说，可以通过内部控制目标的达成状况与目标值之间的比较来确定相关内部控制的有效性。但是，这里要特别注意的是，这些目标除了受到内部控制系统的影响外，还受到许多外部因素的影响，在一些情形下，这些外部因素甚至是主要因素，所以，通过这些目标的达成状况来判断内部控制有效性是存在问题的。除了上述目标之外的其他目标，经营管理或经济活动合法合规、资产安全和使用有效、财务报告及相关信息真实完整、有效防范舞弊和预防腐败，这些目标的真实状况可能是难以知晓的，反映这些目标达成状况的前提是要了解有多少偏离目标的“已经发生的偏离事项”，不能将“已经发现的偏离事项”作为“已经发生的事项”，而通常情形下，人们只是知道“已经发现的偏离事项”，不知道究竟有多少“已经发生的偏离事项”。例如，某内部单位统计信息虚假，这显然影响了信息真实完整目标，但是，如果该弄虚作假行为没有被发现，则其对信息真实完整目标的影响也就无法计量。

    综合上述三方面的原因，笔者认为，内部控制有效性不宜作为内部控制鉴证内容。

    通过本文前面的分析，根据服从内部控制鉴证目标和可鉴证性两个原则，内部控制效率性、内部控制可靠性、内部控制有效性都不适宜作为内部控制鉴证内容。那么，内部控制鉴证内容是什么呢？笔者认为，内部控制鉴证内容是内部控制缺陷性（Deficiency）。其理由如下：第一，内部控制缺陷性与内部控制鉴证目标具有良好的对应关系。内部控制鉴证目标就是通过发现内部控制缺陷来抑制内部控制缺陷，将内部控制鉴证内容确定为内部控制缺陷，就直接服务于内部控制鉴证目标了。第二，内部控制缺陷性具有可鉴证性。其基本思路是寻找内部控制过程中的缺陷，并分析这些缺陷对内部控制目标已发生或潜在的影响程度，确定缺陷严重程度，在此基础上，对内部控制整体有效性形成结论。关于内部控制缺陷的鉴证思路相关内容较多，这里不展开讨论，本人另有专文讨论②。随后内容中，将展开分析内部控制缺陷和缺陷性的涵义。

    （三）内部控制缺陷和缺陷性的涵义

    从功能上来看，内部控制是为其目标提供适宜的保证程度，如果没有达到拟提供的保证程度，就是内部控制目标偏离，这种偏离就是内部控制缺陷。那么，内部控制为什么不能为目标之达成提供其拟提供的保证程度呢？也就是说，为什么会出现内部控制目标偏离呢？其原因是没有有效地抑制对内部控制目标有负面影响的风险因素，也就是说，存在超过容忍度的风险暴露。所以，从这个意义上来说，内部控制缺陷也就是超过容忍度的风险暴露（Risk Exposure）。从内部控制目标偏离来认知的内部控制缺陷是结果视角，从风险暴露来认知的内部控制缺陷是过程视角，二者具有因果关系，正是因为有超过容忍度的风险暴露，内部控制目标才有偏离。但是，二者之间的关系并不是简单的线性关系，而是呈现复杂的非线性关系，主要体现在以下两个方面：

    第一，风险暴露对目标偏离的影响有或有性（Contingency）和时滞性。虽然风险因素会影响内部控制目标之达成，但是，这种影响呈现或有性，只是一种可能，并不一定会发生，即使发生，也不是时时刻刻都发生，所以，风险暴露造成内部控制目标偏离具有或有性。也正是因为这个原因，已经存在的内部控制缺陷，可能表明有超出可容忍的风险暴露，但是，如果风险因素并没有真正发生，则这种风险暴露给内部控制目标偏离只是形成潜在影响，虽然在当期没有发生，但是，也许在今后会发生，这种影响具有时滞性。正是因为风险暴露对目标偏离的影响有或有性和时滞性，鉴证内部控制缺陷就不能只考虑已经发生的目标偏离，还要考虑风险暴露可能存在的潜在偏离。

    第二，风险暴露之外的因素也可能影响内部控制目标偏离。内部控制目标有多种，总体来说，可以分为合规合法性目标、资产安全性目标、信息真实完整性目标、业务经营目标、战略目标。这些目标中，前三个目标，内部控制要为其提供合理保证；而业务经营目标和战略目标，内部控制并不能为其提供合理保证，其原因是，前面三个目标受内部控制之外的因素影响较少，其成败主要是由内部控制来决定，而业务经营目标和战略目标除了受内部控制的影响之外，还受到两类影响的因素，一是受组织内部管理控制系统的影响，二是受外部因素的影响。不少的情形下，管理控制系统和外部因素的影响可能还大于内部控制系统的影响。正是由于这个原因，业务经营目标和战略目标偏离，不一定是内部控制有缺陷。所以，对于不同的内部控制目标，其目标偏离的原因不同，风险暴露在其中的作用也不同，不能简单地根据目标偏离来判断内部控制缺陷。正是这个原因，在判断内部控制缺陷时，对于不同的内部控制目标要有不同的偏离容忍度，业务经营目标和战略目标偏离容忍度要高些。

    以上分析了内部控制缺陷，那么什么是内部控制缺陷性呢？内部控制缺陷性是指内部控制缺陷所造成的内部控制目标偏离程度，也就是内部控制缺陷程度。虽然不同组织的规模不同，但对于内部控制缺陷的不能只是从规模上来认知，而还要从程度上认知，既知道总体规模，又知道对目标的影响程度，二者结合起来，对内部控制缺陷及其整体状况就有了全面的认知。所以，对内部控制整体的鉴证意见，要以缺陷性为基础来形成。

    最后，为了进一步认清内部控制缺陷性，我们还需要分析内部控制有效性和内部控制缺陷性的关系。一般来说，内部控制有效性是从内部控制目标达成程度来衡量，如果内部控制提供了其拟提供的保证程度，则认为内部控制是有效的。而内部控制缺陷性恰恰是内部控制目标偏离程度，如果偏离程度超出了可容忍范围，则认为内部控制是存在缺陷的。内部控制有效性和缺陷性之间的关系如图1所示。

    图1中，横线表示内部控制目标的达成程度从0%至100%这个区间，已经达成的内部控制目标就是有效性，而未能达成的内部控制目标就是缺陷性。然而，对于内部控制的鉴证意见，要依赖A点的位置而定，A点表示拟达成的内部控制目标，也就是拟提供的保证程度，即拟容忍的最大偏离程度。如果A点位于图中所示位置，表示实际偏离小于可容忍偏离，或者是实际提供的保证程度高于拟提供的保证程度，则内部控制是有效的。如果A点向右位移，越过有效性和缺陷性的分界线至B点，则实际偏离大于可容忍偏离，或者是实际提供的保证程度低于拟提供的保证程度，则内部控制是存在缺陷的。

    虽然说内部控制有效性和缺陷性是互补关系，但是并不能说内部控制鉴证内容选择有效性或缺陷性都是可以的，其原因是，由于无法知道有些内部控制目标的真实达成状况，所以，有效性不具有可鉴证性。相反，内部控制缺陷性则具有可鉴证性，可能通过缺陷性来鉴证内部控制有效性，从100%减去内部控制缺陷性就是有效性[9，40]，所以，对内部控制整体有效性发表形成意见，并不意味着内部控制鉴证内容是内部控制有效性，而是通过鉴证内部控制缺陷性，根据内部控制有效性和缺陷性关系，得出有效性，其鉴证内容还是内部控制缺陷性。

    四、内部控制鉴证内容是内部控制缺陷性：权威规范相关内容分析

    本文以上根据内部控制鉴证内容选择的目标服从原则和可鉴证原则，分析了各种可能的内部控制鉴证内容，最后给出的结论是，内部控制缺陷性是内部控制鉴证内容。下面，分析我国内部控制鉴证权威规范对内部控制鉴证内容的规定，以验证上面的理论逻辑分析。

    目前，关于内部控制鉴证的权威规范有三个，分别是《企业内部控制评价指引》《企业内部控制审计指引》《企业内部控制审计指引实施意见》，由于《企业内部控制审计指引实施意见》是依据《企业内部控制审计指引》制定的，所以，本文仅仅分析《企业内部控制评价指引》《企业内部控制审计指引》。

    （一）《企业内部控制评价指引》规定的内部控制评价内容

    《企业内部控制评价指引》第二条规定，内部控制评价，“是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。根据这个规定，似乎内部控制评价的内容是内部控制的有效性。然而，根据其后面的内容，并非如此。第十二条规定，“内部控制评价一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。”第十六条规定，“内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。”从这些规定可以看出，内部控制评价的中心内容是内部控制缺陷。可见，根据《企业内部控制评价指引》的精神实质，是从100%减去内部控制缺陷性对有效性发表意见，内部控制评价的内容是内部控制缺陷性。

    （二）《企业内部控制审计指引》规定的内部控制审计内容

    《企业内部控制审计指引》第二条规定，内部控制审计，“是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计”。第十四条规定，“注册会计师应当测试内部控制设计与运行的有效性。”根据上述规定，似乎内部控制审计的内容是内部控制有效性。然而，《企业内部控制审计指引》的精神实质并非如此。第二十条规定，“内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。”第三十条规定，“注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。”根据这些条款的规定，注册会计师是根据内部控制缺陷的严重程度来确定内部控制有效性的意见，存在重大缺陷，是发表否定意见的前提，这里的否定意见就是内部控制无效，而不存在重大缺陷，则是内部控制有效的前提。所以，这里的精神实质，还是从100%减去内部控制缺陷性来对有效性发表意见，内部控制审计的审计内容是内部控制缺陷性。

    综合上述《企业内部控制评价指引》和《企业内部控制审计指引》，笔者认为，我国内部控制权威规范所规定的内部控制鉴证内容是内部控制缺陷性，这与本文的理论逻辑分析结论相一致。

    五、结论和启示

    内部控制鉴证内容主要关注鉴证什么，是内部控制鉴证的一个基础性问题。内部控制鉴证内容，一方面要具有可鉴证性，另一方面要服从内部控制鉴证目标的需要。根据这些原则，本文分析内部控制鉴证内容的可能情形，并最终认为内部控制鉴证内容是内部控制缺陷性。

    關于内部控制鉴证内容的可能情形有四：内部控制效率、内部控制可靠性、内部控制有效性、内部控制缺陷性。以效率性来鉴证内部控制是不合适的。其原因是，第一，内部控制效率性难以鉴证。第二，即使在有些情形下，能计量内部控制资源投入和产出成果，按投入产出对比关系来评价内部控制也是不合适的。第三，内部控制效率性与内部控制鉴证目标有一定的距离。以可靠性来评价来鉴证内部控制也是不合适的。其原因有两个方面，一是可靠性难以鉴证；二是鉴证内部控制可靠性与内部控制鉴证目标有一定的偏离。关于内部控制鉴证内容的主流观点认为，内部控制鉴证内容是内部控制有效性或效果性，本文认为，内部控制有效性还是不宜作为内部控制鉴证内容，其原因是内部控制有效性难以鉴证。

    内部控制缺陷是内部控制目标偏离或超过容忍度的风险暴露，与内部控制鉴证目标高度相关，并且具有可鉴证性，所以，是内部控制鉴证内容。现行内部控制鉴证权威规范，是通过鉴证内部控制缺陷性，根据内部控制有效性和缺陷性的互补关系，得出有效性，其鉴证内容是内部控制缺陷性。

    本文的研究看似理论探讨，其结论具有较大的实践意义。既然内部控制鉴证内容是缺陷性，如何寻找缺陷、如何判断缺陷、如何对缺陷进行分级，就是内部控制鉴证的核心。如何寻找缺陷涉及内部控制鉴证的取证模式和程序，而如何判断缺陷、如何对缺陷进行分级涉及内部控制缺陷认定和分级，从某种意义上来说，内部控制鉴证就是一个寻找缺陷并对缺陷进行分级的过程，将内部控制缺陷性作为内部控制鉴证内容，抓住了内部控制鉴证的真谛。●

    【参考文献】

    [1] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-integrated framework[A].1994.

    [2] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-integrated framework[A].2013.

    [3] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Enterprise risk management -integrated framework[A].2004.

    [4] INTOSAI（The International Organisation of Supreme Attestation Institutions）.Guidance for reporting on the effectiveness of internal controls：SAI experiences in implementing and evaluating internal controls[A].1997.

    [5] INTOSAI（The International Organisation of Supreme Attestation Institutions ）.Guidelines for internal control standards for public sector[A].2004.

    [6] GAO（United States Government Accountability Office）. Standards for internal control in the federal government[A].2014.

    [7] 财政部，证监会，审计署，等.关于印发企业内部控制配套指引的通知[A].2010.

    [8] 谢盛纹.《萨班斯法案》下的内部控制审计内容与方法[J].财政监督，2007（3）：62-64.

    [9] 陈汉文，张宜霞.企业内部控制的有效性及其评价方法[J].审计研究，2008（3）：48-54.

    [10] 张颖，郑洪涛.我国企业内部控制有效性及其影响因素的调查与分析[J].审计研究，2010（1）：75-81.

    [11] 钟玮.我国企业内部控制有效性研究[D].财政部财政科学研究所博士学位论文，2011.

    [12] 姚刚.内部控制审计论[M].北京：中国财政经济出版社，2013：10.

    [13] 林钟高，徐虹.分工、控制权配置与内部控制效率研究[J].会计研究，2009（3）：64-71.

    [14] 李连华，唐国平.内部控制效率：理论框架与测度评价[J].会计研究，2012（5）：16-21，93.

    [15] BARRY E C. A mathematical approach to the analysis and design of internal control systems[J].The Accounting Review，1974，49（1）：24-41.

    [16] GEORGE B. Reliability modeling of internal control systems[J]. The Accounting Review，1975，50（4）：747-757.

    [17] 徐志强.简论内部控制可靠性判断模型[J].审计理论与实践，2003（1）：44-45.

    [18] 刘祝高.商业银行内部控制评审的主要内容和评审方法[J].中国审计信息与方法，1999（8）：27-28.

    [19] 戴春友.人民银行内部控制审计的内容、程序和方法探讨[J].金融经济，2009（2）：72-74.

    [20] 燕丽征.对内部控制制度评审的内容和标准[J].陕西审计，2001（1）：31.

    [21] 段光明.企業内部控制评估的要求与内容[J].财政监督，2006（11）：46-47.

    [22] 杨有红.内部控制评价的目的与内容[J].首席财务官，2009（2）：17.

    [23] 董晓军.企业内部控制审计的内容与方法[J].审计月刊，2007（11）：32-33.

    [24] 吴明芳.对高校内部控制审计评价内容及指标体系的探讨[J].无锡职业技术学院，2010（4）：66-68.

    [25] 李爽，吴溪.内部控制鉴证服务的若干争议与探讨[J].中国注册会计师，2003（5）：8-11.

    [26] 王宏.论企业内部控制评价的主体及内容[J].江西社会科学，2012（3）：186-189.

    [27] 舒伟，曹健，左锐.内部控制有效性机理研究——基于熵与耗散结构理论的解释[J].西安财经学院学报，2015（4）：28-33.

    [28] 郑石桥，徐国强，邓柯，等.内部控制结构类型、影响因素及效果研究[J].审计研究，2009（1）：81-86.

    [29] 郑石桥，裴育.内部控制判断一致性和内部控制可靠性模拟的文献综述[J].审计与经济研究，2006（1）：44-48.

    [30] 朱彩婕，张代宝.内部控制有效性問题探讨[J].山东经济，2007（9）：45-47.

    [31] 杨洁.基于PDCA循环的内部控制有效性综合评价[J].会计研究，2011（4）：82-87.

    [32] 穆叶赛尔·木衣提，李小燕.企业内部控制有效性评价方法述评[J].山西财经大学学报，2010（11）：183-184.

    [33] DAVID B，et al.Measuting the effectiveness of an internal control system[Z].2004.

    [34] RAMOS M.How to comply with Sarban-Oxley Section 404[M].John Wiley&Sons，Inc，2004.

    [35] 戴彦.企业内部控制评价体系的构建——基于A省电网公司的案例研究[J].会计研究，2006（1）：69-76.

    [36] 骆良彬，王河流.基于AHP的上市公司内部控制质量模糊评价[J].审计研究，2008（6）：84-90.

    [37] LEONE J A.Factors Related to Internal Control Disclosure： A discussion of ashbaugh，collins，and kinney（2007）and Doyle，Ge，and McVay（2007）[J].Journal of Accounting and Economics，2007，44（1/2）：224-237.

    [38] BOTOSAN C A. Disclosure level and the cost of equity capital[J].The Accounting Review，1997，72（3）：323-349.

    [39] 李宇立.内部控制缺陷研究——理论分析和经验证据[M].北京：中国财政经济出版社，2013：5.

    [40] 杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究，2011（3）：76-80.

• 解读图形折叠，探讨突破策略
• 探究解题思路，贯通教学设计
• 对一道几何综合题的探究与拓展
• 初中数学面积问题的归类探析
• 核心素养引领下的中考函数复习策略
• 浅论让美丽的错误开出绚烂的学习之花
• 强化集约教学思想，优化初中数学课堂
• 基于活动教学的生成性资源运用研究
• 试析初中数学“探究式”教学策略
• 浅谈初中数学概念学习的心理障碍及疏导
• 初中数学课堂教学精致化的研究
• 妙用反例促教学
• 论精练教学语言下的高效数学课堂
• 注重变式教学，提升学生的思维能力
• 构建初中数学课堂“微”教学之我见
• 能力为本，注重考查核心素养
• 提升初中生数学猜想能力“三借助”
• 初中数学教学与信息技术融合的途径探究
• 初中数学课堂学生倾听能力的培养策略
• 数学教学中渗透数学思想方法的教学策略
• 引导发现法教学：提高初中生数学学习能力的有效途径
• 初中几何教学中合作学习的实践研究
• 立足三个“精心”提升复习效率
• 浅析数学课堂教学中的“留白”艺术
• 核心素养背景下数学有效教学的几点思考
• skiings
• ski jump
• ski jumped
• ski jumper
• ski jumpers
• ski jumping
• ski jumps
• skilful
• skilfully
• skilfulness
• skilfulnesses
• ski-lift
• ski lift
• ski lifts
• skill
• skilled
• skillessness
• skil-lessnesses
• skillet
• skillets
• skillful
• skillfully
• skillfulness
• skillfulnesses
• skillless
• r2022090410003218
• r2022090410003219
• r2022090410003220
• r2022090410003222
• r2022090410003223
• r2022090410003224
• r2022090410003226
• r2022090410003227
• r2022090410003229
• r2022090410003230
• r2022090410003231
• r2022090410003232
• r2022090410003233
• r2022090410003235
• r2022090410003236
• r2022090410003237
• r2022090410003238
• r2022090410003239
• r2022090410003240
• r2022090410003241
• r2022090410003243
• r2022090410003244
• r2022090410003246
• r2022090410003247
• r2022090410003248