龙 霞

自2012年1月1日起，《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），在上海证券交易所、深圳证券交易所主板上市公司施行。要求上市公司应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。这一规定，改变了公司在上市或再融资时才委托CPA对内部控制进行审计的局面。同时，也改变了内部控制审计是财务报表审计“附属品”的看法。这将极大地促进内部控制审计这一新兴鉴证业务的发展壮大。

2012作为内部控制审计这一新兴业务的初始实施之年，会计师事务所如何更好地实现内部控制审计与财务报表审计融合，提高审计工作效率，帮助并促进被审计单位内部控制水平的改善，是本文试图解决的问题。

一、明确内部控制审计与财务报表审计的异同

《企业内部控制审计指引》强调，内部控制审计的目的是对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。而财务报表审计中的内部控制评审，是指CPA在进行财务报表审计时，应当对被审计单位内部控制进行了解，必要时进行内部控制的控制测试，为编制审计计划时能准确确定审计重点和抽样审计提供可靠依据。内部控制评价是财务报表审计的重要环节，而内部控制审计是一种独立的审计类型。两者在审计对象和审计方法上都有许多相同点和不同点。

在审计对象上，内部控制审计要对财务报表层次的内部控制有效性进行审计并发表意见；财务报表审计则必须借助内部控制评价生成高质量的审计报告。两者的最终目的都是为报表使用者提供高质量的信息服务。但是内部控制审计是以被审计单位内部控制自我评估报告为直接审查对象，而财务报表审计审计对象直指被审计单位的财务状况、经营成果和现金流量，不需要专门为此发表审计意见。

在审计方法上，内部控制审计延用了财务报表审计的基本方法：风险导向审计法。除此之外，内部控制审计还需采用被审计单位内部控制自我评价程序和文档等方法。

二、加强内部控制审计与财务报表审计的整合

（一）审计计划整合

CPA制定恰当、精准的审计计划，有助于在内部控制审计和财务报表审计中有效利用审计资源，如期顺利完成审计工作。整合时，CPA首先应当评价某些事项，如被审计单位行业状况、法律环境等，是否对内部控制和财务报表都具有重要影响，是否影响后续审计工作。其次要注意两种不同类型审计计划侧重点的整合。内部控制审计计划中要了解和评价内部控制，进行风险评估，关注存在重大缺陷的高风险审计领域，财务报表审计计划可以充分利用内部控制审计计划的成果。同时，财务报表审计计划侧重考虑舞弊风险，在制定和执行审计计划时考虑是否存在由舞弊导致的重大错报风险，是否存在管理层凌驾于控制之上的风险。内部控制审计计划也应充分使用这一成果。

（二）审计实施整合

审计实施整合分为了解被审计单位及其环境、控制测试和实质性测试程序三个阶段。

按照现代风险导向审计理论，CPA应了解被审计单位及其环境，包括内部环境和外部环境。内部控制审计和财务报表审计可以共享这一阶段成果。

在控制测试阶段，财务报表审计进行控制测试是有前提的：在了解被审计单位内部控制后，只对准备信赖的内部控制执行控制测试，并且它只针对各类交易和事项、期末余额、列报等认定进行测试。控制测试作为内部控制审计的核心程序，在内部审计审计中没有任何前提，要求对所有重要账户、各类交易和列报，都必须进行内部控制测试，除了测试与财务报表相关的控制以外，还要对其他非财务报告内部控制的有效性进行测试。可以看出，内部控制审计在控制测试阶段的范围比财务报表审计的范围更全面。因此，财务报表审计可以利用内部控制审计在控制测试阶段的成果。

在实质性测试程序阶段，财务报表审计中CPA必须进行实质性测试程序，包括对各类交易、账户、余额、列报的分析性测试程序和细节测试。分析性测试程序要求财务报表数据是真实、可靠的，如果内部控制失效，该程序毫无意义。因此，当内部控制审计认为财务报表内部控制有效性存在重大缺陷，可以不进行分析性测试程序。另外，当细节测试的结果报表存在错报，可以进一步验证内部控制审计结果的合理性。因此，这一阶段两种审计类型的成果可以相互借鉴。

（三）审计报告整合

CPA在完成财务报表审计和内部控制审计工作后，应当分别出具财务报表审计报告和内部控制审计报告。这两种报告都有无保留意见、保留意见、否定意见和无法表示意见四种意见类型。

三、重视自身业务质量建设，关注企业风险

会计师事务所在同时承接财务报表审计和内部控制审计时，要加强事务所内部不同工作组资源协调，成果共享；如不同事务所分别承接财务报表审计和内部控制审计，则需要加强不同事务所之间的沟通合作。总之，面对新的审计形势，会计师事务所需要更加重视自身业务质量控制和风险管理，并关注企业风险，帮助被审计单位改善内部控制管理水平，才能更好服务财务报告信息使用者。

从业务流程来看，在业务承接阶段，事务所应充分了解和评价客户，对于信誉差、风险高的客户可拒之门外。在审计计划阶段，要进一步了解被审计单位的基本情况，选派独立性强、业务能力强的审计小组成员执行审计项目，制定周密合理的审计计划，充分考虑财务报表审计和内部控制审计的侧重点。在审计实施阶段，要搜集充分、有力的审计证据，编制完整、简洁、清晰的审计工作底稿，以期实现财务报表审计业务和内部控制审计业务工作成果相互利用。在审计报告阶段，根据前期审计过程，发表恰当的财务报表审计报告和内部控制审计报告。

从业务能力来看，要提高CPA的专业胜任能力。首先应完善人员聘用机制，高素质人才是审计质量的重要保证；其次要加强CPA的职业道德教育和后续培训，认真钻研新的财经法规和制度，特别是《企业内部控制审计指引》等相关规定，在拓展事务所业务的同时，又保证审计质量。

从业务质量来看，要实现为报表使用者提供高质量的信息服务这一目标，内部控制审计和财务报表审计都应从制度安排上，帮助并促进被审计单位内部控制水平的改善。只有提高被审计单位的内部控制水平，才能有助于提升财务报表及相关信息的可靠性，保障被审计单位资产的安全完整以及促进其对法律法规的遵循，才能实现会计师事务所、被审计单位及会计信息使用者的共赢。因此，会计师事务所要切实关注被审计单位经营管理风险，重视内部控制审计，对被审计单位内部控制设计和运行的有效性进行测试，提出合理的审计建议。