●审计署驻武汉特派员办事处 王攀艺

内部控制审计和财务报表审计被称为是资本市场信息披露制度的两道保障线，在国外很多国家这两道防线都得到了有效的整合。在我国，财务报表审计已经形成了较为规范的准则和制度，也得到了广泛的执行，但是相比而言，内部控制审计发展较晚，2006年才得以引进，2008年、2010年得到了进一步完善。目前，《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制审计指引》、《企业内部控制评价指引》、《企业内部控制配套指引》等构成了我国企业内部控制审计的规范体系。而《企业内部控制审计指南（征求意见稿）》于2011年8月发布，指导性地提出了整合审计的思路，但我国目前还没有对整合审计的具体规定和指引、有效的流程规范等。在我国，要提高审计效率和降低审计成本，进行财务报表审计和内部控制审计的整合势在必行。本文探讨了我国整合审计的必要性和重要性，阐述了整合审计的实施步骤和流程，最后提出在整合审计中应该注意的几个问题。

一、整合审计的概念

整合审计并不是一种新的审计方式，只是由同一家会计师事务所对被审计单位进行财务报表审计和内部控制审计，通过设置一套审计程序、方法和流程，执行两种审计的目标，简单来说，就是出具一份审计报告，对财务报表审计和内部控制审计的目标进行阐述，即一套程序、一套流程，两个目标——内部控制有效性、财务报表公允性和合法性。事实上，整合审计就是在财务报表审计、内部控制审计合计的基础上，有效地进行资源整合，对重复的步骤予以删减，对重复的流程预计简化，设计合适的环节，同时实现两种审计目标。

从国际上同行的做法来看，整合审计由同一家会计师事务所作出财务报表审计和内部控制审计，又有两种做法：一是同一注册会计师和工作组来执行从审计计划、实施到发表意见等所有流程，例如日本的整合审计。二是审计的流程可以由不同的注册会计师或者工作组来进行，各司其职，共同完成整合审计，例如美国的整合审计则是第一种或者第二种都可以。我国侧重于第一种。

对财务报表审计和内部控制审计进行整合，是有一定的理论基础的，并不是简单地相加或者相减。二者整合的根基在于二者都需要对企业的内部控制进行相关测试和评估，以测试内部控制是否设计可靠、是否运行等。内部控制审计中，必须对内部控制的有效性发表审计意见，即测试被审计单位的控制环境、内部控制等；而财务报表审计中的某些关键环节也需要对内部控制进行测试。例如，了解交易环节的具体内部控制及其测试，风险评估程序中对被审计单位内部控制及其环境的了解等，这表明财务报表审计中内部控制测试也是必不可少的内容。实际上，两种审计都存在这样的内部控制测试的审计内容，测试环节和步骤也是相似或者相通的。例如，内部控制审计获取的内部控制有效与否的证据，可以作为财务报表审计的相关依据，而财务报表审计中发现的一些问题，也可以成为内部控制审计的相关线索。因此，基于这样的关系，为了减少交易成本、组织管理成本等，审计工作者可以减少重复审计环节和程序，对财务报表审计和内部控制审计中的相关步骤和程序进行简化或者互相利用，提高审计的效率和质量。

二、我国开展整合审计的可行性和必要性分析

2010年我国内部控制相关指引的出台，使得内部控制审计的要求从自愿性发展成了强制性，对审计主体提出了更高的要求，也是的内部控制审计和财务报表审计的整合变得可行和必要。下面，笔者分别从审计主体、审计客体和审计信息的使用者三个方面来阐述整合审计的可行性和必要性。

从审计主体方面来看，内部控制审计和财务报表审计的整合的可行性和必要性，是出于成本效益、效率和风险控制的角度来考虑的。我国目前无论是财务报表审计还是内部控制审计，都是采用自上而下的风险导向审计模式，对内部控制风险的测试、评估和识别等流程和方法大致相同。例如，内部控制审计风险思路是：从报表层次了解控制整体风险——识别控制层面——识别重要账户、列报、相关认定——了解错报来源——进行控制测试；而财务报表审计的审计思路为：了解被审计的单位及其环境——评估重大错报风险——进一步审计——控制测试和实质性测试。可见，两种审计风险思路大致相同，而此思路下设计的审计流程、程序都具有关联性，例如都是对观察、询问、检查、函证、重新计算、分析等方法的运用，对于审计主体来说，出于成本效益和效率的考虑，都会对重复的步骤进行整合。另外，前文阐述了整合的根源在于两种审计的成果可以互相利用，审计人员可以结合财务报表审计对内部控制进行评价，查出的问题可以为内部控制提供线索，可以针对内部控制缺陷来评估重大错报风险等。我国内部控制审计还处于起步阶段，审计主体的职业风险较大，出于风险控制的考虑，审计主体也更愿意对两种审计进行整合，使得每一部分的结论都可以互相印证和支持，降低审计风险。

从审计的客体，被审计单位来看，也需要整合审计。一是由同一家会计师事务所来进行两种审计，不仅可以获取价格上的优势，降低审计成本，还将带来很多的便利。例如，避免被重复取证，重复进行控制测试、重复进行某项交易的认定等，相比较两家事务所不同时间来对企业进行两种审计而言，可以获取时间上的便利，只需要安排企业进行一次协调即可，为企业也减少了不少成本。二是这两种审计的最终目标是一致的，无论是不存在错报，还是内部控制有效，都是为了被审计单位的财务信息真实、公允和可靠。

从审计信息的使用者来看，整合审计也是势在必行。审计信息的使用者的最终目的是解决和企业的信息不对称的问题，获取有用、公允、可靠、及时的财务数据，这都取决于审计信息的质量，而整合审计刚好满足这一要求，对两种审计的信息质量起到了互补的效果。无论是统一注册会计师还是非同一注册会计师，都可以从一种审计的结果中获取另一种审计所需要的判断信息或者将实施的信息指导，有效地验证审计结论，提高审计质量，有效地验证审计证据的可靠性和真实性。

综上而言，无论是被审计单位，还是审计主体，还是审计信息的使用者、财务会计信息的使用者，都需要审计的整合。因此，财务报表审计和内部控制审计的整合，成为一种必然，有其可行性和必要性。

三、我国整合审计的几点思考

目前已有的文献对整合审计的实施思路、业务流程等都做出了探讨，认为需要对审计目标、审计计划、报告和实施等各个环节进行设计和综合考虑。笔者在学习已有文献和探讨的基础上，对我国企业实施整合审计提出几点意见。

（一）避免教条化和照搬照抄。整合并不是简单地相加相减，我们在推行整合审计时要避免教条化和照搬照抄。财务报表审计和内部控制审计毕竟是两种不同的审计，两者之间还是存在诸多差异的，不能简单地对相关审计程序和环节进行删减。以风险评估为例，两者虽然都是风险导向型的，都需要进行风险评估，但是还是存在较大的差异，在进行整合时要充分了解主要不同点。内部控制审计的风险评估目的是确定存在重大缺陷的高风险领域，而财务报表审计的风险评估要求是识别和评估财务报表存在重大的错报风险；内部控制审计对内部控制进行测试主要是为了测试控制设计的有效性和运行的有效性，而财务报表审计主要是为了运行有效性。因此，并不能简单地在整合审计中，采用某一种审计的风险评估流程和步骤，而是要进行有效的整合，例如，对于财务报表审计中内部控制运行有效的测试不必要单独进行，可以整合到内部控制审计中，因为内部控制审计的测试，不仅包括了运行有效性测试，还包括设计有效性测试。

（二）突出对差异的考虑。现有的很多研究，已经对财务报表审计和内部控制审计中可以整合的方面进行了深入研究，笔者认为，对二者的差异性更要关注，以便于整合审计中漏掉而难以实现的优势和目标。经过笔者的简要分析，审计目标、审计计划、审计业务的承接、实施以及报告阶段，都有较大的差异性，毕竟是两种不同的审计。尤其要强调在审计计划、实施和报告阶段，要设计好程序和步骤流程，对二者的差异性重点关注。例如，业务约定书就要体现差异性，内部控制审计业务约定书要单独签订或者单独约定收费项目；审计计划在协同的同时，更加要突出二者的差异，满足内部控制审计和财务报表审计各自的个性需求，例如控制测试的详尽程度等；审计报告可以采用同一审计报告，也就是整合审计报告，也可以分开出具，即分别出具财务报表审计报告和内部控制审计报告，财务报表审计报告的意见分为四大类，必要时可以增加补充信息提醒使用者注意，而内部控制审计意见只有三大类，即只有无保留意见、否定意见和无法发表意见，并且没有补充段落以提醒注意。

2012年开始，由注册会计师对企业的内部控制进行审计成为了一个强制性的法定要求，这无论是对注册会计师来说，还是被审计单位来说，都是一个挑战，也是一个机遇，出于成本效益、风险、审计质量等的考虑，整合审计成为了一种必然趋势。美国和日本的整合审计相对来说比较完善和成熟。一般认为，整合审计的时间应该是在每年的4月30日之前，这是符合了财务报表审计的时限要求。笔者认为，随着审计的不断完善和发展，整合审计还可能涉及到验资、专项设计和资产评估等。■

1.何芹.2012.内部控制与财务报表整合审计的再思考——兼谈财务报表审计准则与内部控制审计指引的比较[J].中国注册会计师，4。

2.杨凤、王宗萍、黄保华.2012.关于整合审计实施思路的几点思考[J].会计之友.12下。