商业环境因快速的技术创新而迅速演变，企业正面临着前所未有的问题。在这个日益相互关联的世界中，内部控制已经变得至关重要——不仅仅是为了确保业务运行的效用和效率，还需加强财务报告的可靠性、确保合法合规以及保护数据的完整性。

　　出于对内控领域的兴趣，大约六年前，我们开始与在职或曾经的审计师就内部控制问题进行交流。令我们惊讶的是，这些外部审计师似乎对“控制”“控制测试”，甚至对“计算机技术”等概念都抱有一种反感情绪。我们曾和一位“四大”的审计经理探讨，他表示对客户实施内部控制测试最让人忧心的是耗费时间多，他希望能更加依赖內部审计师的工作成果。

　　因此我们提出问题：内部控制测试自动化策略是否有助于外部审计师更多依赖内部审计师的工作？举例来说：假设内部审计师未能发现重大问题，使用自动化测试策略是否可以提高外部审计师对内部审计师的信任度，以便更加依赖内部审计师的工作成果？

　　这是一个重要的问题，当外部审计师能更多地依赖内部审计师的工作时，公司可以节省资金——外部审计师将对测试控制收取较少的费用。我们回顾了学术文献，以寻找答案。虽然我们发现了一些描述如何实施自动化测试策略的文章，但是我们没有找到关于检查这些系统的有用性或有效性的研究，特别是让外部审计师能更加依赖内部审计师的研究。因此，我们设计了一个研究项目来寻找答案。

        针对一系列倍受关注的财务欺诈丑闻，美国国会于2002年颁布了《萨班斯—奥克斯利法案》（SOX），内部控制开始受到重视。SOX第404条要求大型上市公司如加快披露公司（accelerated filers，公开发行股票在7,500万美元及以上，7亿美元以下的公司为加快披露信息，披露时间要求为75天——译者注），管理层必须负责建立和维持适当的内部控制。此外，外部审计师必须评估和报告内部控制对财务报告的有效性。虽然SOX仅要求外部审计师审查财务报告内部控制的“重大缺陷”，但据SOX创建的美国公众公司会计监督委员会（PCAOB）却要求外部审计师须以书面方式通知董事会和管理层任何有关内部控制的“重大缺陷”或“重要缺陷”。PCAOB第2201号《与财务报告审计相融合的内部控制审计》（AS2201即原PCAOB第5号审计准则——AS5）中，其将重要缺陷定义为与财务报告相关的内部控制的缺陷或缺陷的集合，虽然其在重要性方面不如重大缺陷，但足以引起公司财务报告监管负责人的关注。

　　自SOX提案伊始至颁布实施，就有反对意见称各种变革会导致审计成本增加。因为由外部审计师负责调查和报告被审计公司内部控制的有效性，就需要更多的审计工作量或审计工时。由此我们进行了一项实验性研究，研究由IMA^®（美国管理会计师协会）赞助，并得到霍夫斯特拉大学FrankG.Zarb商学院暑期研究资助的支持，研究内容是：当内部审计师未能发现内部控制的重要缺陷时，外部审计师对内部审计师工作的看法和依赖程度会如何变化（完整研究发表在Journal of Information Systems 2016年春季刊中，名为“The ffect ofFrequency and Automation of Internal Control Testing on External Auditor Reliance”）。研究表明：内部审计职能减少了审计重复工作，降低了外部审计费用，被研究的所有聘任外部审计师的公司都因此而获益。

内部审计职能

　　在后SOX时代，有力的内部控制有益于公司管理，因为它有助于实现资产安全性、财务报告可靠性、合法合规性以及支持运营效率等管理目标。事实上，纽约证券交易所要求上市公司必须有内部审计职能，由负责评估和改善内部控制、风险管理和治理流程有效性的内部审计师来组成。

　　公司可以加强其内部审计职能。但就像公司其他领域一样，有力的内部审计职能也需要资源投入。对于任何投资决策，管理层都会问：收益是否能超过成本？在内部审计职能方面，回答这个问题并不容易。虽然技术的快速发展促使可以加强内部审计职能的新工具或软件产生，但企业未必愿意在此方面投资，因为让内部审计师加强内部审计职能这一投资对公司的收益很难描述和量化。但是，有力的内部审计职能必会在改进风险评估、确保合法合规、防止和检测舞弊以及确保内部控制正常运行等各方面为公司带来好处。美国注册会计师协会（AICPA）在“审计准则公告”（SAS）第128号《利用内部审计师的工作》（SAS No.128）中阐明，有力的内部审计职能具有显著的优点。公告指出：审计准则允许外部审计师依赖具有足够能力、客观、高质量完成工作的内部审计师的工作成果，或把内部审计师当做助手。

　　管理层一旦意识到有力的内部控制的重要性，以及外部审计师依靠内部审计职能可以降低审计费用，就会利用技术手段来实施内部控制测试策略，以检查、预防和弥补内部控制的重要缺陷。再次重申，管理层必须决定通过投资新技术实施内部控制测试策略是否值得。

　　实施各种内部控制测试策略的好处是否能超过成本？我们无意回答此问题，但我们将分析不同内部控制测试系统的优劣差异。

计算机化的内部控制测试

　　对于内部控制测试，公司有各种备选方案。以前，管理层通过检查实体文件的方式来手工测试内部控制。如今，快速的技术变革给企业带来了新的问题。随着大数据出现和大量数据收集能力的提高，公司开始转向使用计算机化的内部控制测试，而且不限于测试特定样本。有两个常用的计算机内部控制测试系统，一个是“连续控制监控（CCM）系统”，一个是“审计命令语言（ACL）系统”。

　　CCM系统是嵌入会计信息系统的审计模块，是完全计算机化的系统。CCM可以实时检测内部控制的缺陷并向内部审计师发出预警信息，内部审计师就可以在内部控制的薄弱环节出现重大缺陷前通知管理层和董事会。CCM的缺点是将其嵌入现有系统中的复杂性和成本，需要重新配置CCM并进行系统更新，需要专门人员（如IT专家），并且CCM只能对自动控制系统进行检测。

　　ACL系统是一种更便宜的CCM系统替代方案。ACL是一个通用的的审计软件包，审计师在内部审计中可自定义查询条件，提取和分析数据。和CCM比起来，学习使用ACL更加容易，并且ACL只需最少量的用户定制。和CCM一样，ACL可以执行自动测试，比手工测试更加快速和有效。内部审计师通常是在ACL中创建查询，定期测试内部控制而不是实时测试。有些情况下，如数据结构比较复杂时，ACL的实施也需要用到IT专家。

我们的研究

　　我们招募了141名至少有两年审计经验的外部审计师参加我们的在线实验。该研究探讨了外部审计师对内部审计职能的依赖程度。更具体地说，我们试图了解如何通过实施不同的内部控制测试策略，来改善外部审计师对内部审计师的能力、工作绩效和客观性的看法，以及外部审计师对内部审计职能的依赖。计算机化测试策略同时包含CCM（自动化，实时控制测试）和ACL（自动化，每周控制测试）。我们还引入了第三种测试策略——由内部审计人员每周对内部控制进行手工控制测试。

　　本次实验的参与者均为外部审计师，平均年龄为33岁，平均外部审计经验为7年。84％的参与者有注册会计师（CPA）资格，20％的参与者是审计员职位，38％的参与者是审计经理或高级审计主管职位。本次实验的参与者还具有计算机化测试策略方面的经验：其中59％的参与者曾接触过CCM；60％的参与者表示具有ACL控制测试方面的经验；44％的参与者同时接触过CCM和ACL。

　　我们给实验参与者提供案例资料，假设由他们担任虚拟公司的外部审计师。然后我们告诉参与者，公司的内部审计师在内部控制测试过程中未能发现重要控制缺陷，需要参与者所在的外部审计团队来找出缺陷。

　　在实验的第一步，案例资料表明：内部审计师对其工作岗位具有适当的资格和教育，并直接向审计委员会报告。因此外部审计师可以推断内部审计师虽具有胜任能力和客观性，但在内部控制测试中表现不佳。在实验的第二步，案例材料进一步表明：公司采用了三种补救测试策略——CCM、ACL或每周手工测试中的一种。

　　为了掌握外部审计师的看法，我们要求他们根据胜任能力、工作表现和客观性来评价内部审计职能的质量。而且，我们还问询参与实验的外部审计师其对内部审计师实施的内部控制测试的依赖程度。

　　实验表明，在得知内部审计师在内部控制测试中表现欠佳的情况下，外部审计师将内部审计师的工作表现评价为低质量。在进一步得知虚拟公司实施了某种内部控制测试策略后，外部审计师对内部审计师工作表现的评价有所上升，对于采用低频率测试的ACL的评价的上升程度高于采用高频率测试的CCM。

　　十分奇怪的是，外部审计师好像确实倾向于选择低频率计算机化测试。这种偏好不仅影响了对内部审计人员工作表现的评价，而且似乎影响了对内部审计职能的胜任能力和客观性的评价，尽管在案例材料中这两方面因素并未变化。

　　我们本来预计外部审计师会认为连续测试计算机化系统（如CCM）要比低频率测试的系统更可靠，因为连续测试可以为管理层提供内部控制重要缺陷的实时预警。毕竟，什么措施能比24小时监控更有效？为什么外部审计师会认为低频率计算机化测试比高频率计算机化测试更好呢？

　　我们推测，外部审计师之所以更喜欢定期测试策略，是因为这种测试需要内部审计师更多的亲自参与，定期运行查询，而不是由系统自动连续测试。另一种可能的解释是：外部审计师可能会下意识地怀疑，内部审计师是否能够处理从持续测试缺陷的CCM系统中不断反馈的标记项目。又或许，更先进的技术震慑住了外部审计师，而他们认为对内部审计师来说这种震慑更加严重。

　　虽然我们只能推测为什么外部审计师似乎更倾向于低频率的计算机化测试，但ACL系统和CCM系统的计算机化测试策略，确实都提高了外部审计师对内部审计工作的依赖度。尽管我们发现如果内部审计师使用ACL，外部审计师会更多地依赖内部审计师的工作，但CCM这种实时系统依然对公司有许多好处，他们必须考虑这些好处是否能超过额外的实施成本。

　　我们进一步审查了当外部审计师了解到虚拟公司实施了三种内部控制策略之一以补救内部审计师的工作缺陷时，他们对内部审计师胜任能力和客观性的看法。尽管两步实验的案例材料都将内部审计师描述为具有胜任能力和客观性，但是当采用的计算机控制测试是ACL而不是CCM时，外部审计师对内部审计师胜任能力和客观性的评价更高。研究结果表明，对外部审计师来说，控制测试的频率比由谁来执行控制测试更重要——无论是通过计算机自动化执行，还是通过人来手工执行。

　　我们还预计外部审计师将因自动化内部控制测试策略的采用而增加对内部审计师的依赖，因为CCM和ACL可以测试公司全部数据，从而使外部审计师更有信心发现数据中存在的任何问题。研究结果与我们的预期相符，外部审计师在得知虚拟公司实施了CCM或ACL后，提高了对内部审计职能的依赖。这是一个重要发现，因为它表明无论管理层采取哪种测试策略，都会给公司带来好处。

对实践的影响

　　外部审计师对内部审计职能强度的看法影响其相关决策，当外部审计师判定内部审计师的工作结果为低质量时，外部审计师会减少对内部审计师的依赖。较之像CCM这样高频率的测试策略，当一家公司实施低频率的内部控制测试策略（如ACL）时，外部审计师会更加依赖内部审计师。

　　通过使用CCM或ACL实现更高质量的内部审计功能，这明显会使公司的收益最大化。同时，这一行为能通过让外部审计师增强对内部审计职能的依赖性来降低审计费用，从而为公司节省资金。公司还将获得额外效益，如改进风险评估、检测舞弊和改善合法合规性等。

　　所以问题变为：“应由谁来执行计算机化内部控制测试，是内部审计师还是外部审计师？”由内部审计师执行测试的优点是：公司可以随时应对出现的问题。等待外部审计师发现问题是被动式策略，而不是主动式策略，而且被动式策略本质上更昂贵。

　　技术进步和全球化、互联化经济转型，导致了大数据的扩张——数据如此庞大和复杂，以至于传统的数据处理和应用程序难以处理。基于大数据在当今世界的重要性，企业正在更多地关注数据分析和有效阐释所收集数据细微差别的方法。或许我们可以这样认为：在这个数据源源不断的新时代，CCM以及ACL系统将是至关重要的。

　　然而，为了确保所有公司的数据完整性，准则制定方是否应该强制要求企业使用比人类更快速和更高效的测试系统？或者管理层是否应该在战略层面上任定在公司实施这些技术是否有益？这些问题依然没有答案，但是在这个瞬息万变的世界里，正是它们充当了思想的食粮。

Maia Farkas，博士，美国加州州立大学圣马丁分校工商管理学院会计系助理教授，IMA董事会成员。联系方式：(760）750-4227或mfarkas@csusm.edu。

Rina Hirsch，CPA、博士，美国霍夫斯特拉大学Frank G.Zarb商学院商务会计、税务与法律研究系助理教授，IMA长岛分会成员。联系方式：（516）463-763或rina.hirsch@hofstra.edu。

李晓政 译，游雅淳 校