尹欣

【摘 要】2010年4月26日以来，财政部等五部委要求上市公司“内部控制审计”以《企业内部控制审计指引》为指南。出于审计成本以及内部控制审计和财务报表审计的联系考虑，业界已渐开始将二者整合合并审计。但整合审计后仍有一些问题值得思考。

【关键词】内部控制审计；财务报表审计；整合审计

一、财务报表审计与内部控制审计的联系

（一）识别的重要账户及相关认定一致

审计时，注册会计师要考虑到重要账户及相关认定，也要剔除非重要账户及相关认定。倘若考虑到多报、少报风险后，某账户可能存在某一错报，该错报单独或连同其他错报将严重影响财务报表，即可视该账户为重要账户；倘若错报被认定可能存在于某财务报表中，且将引发财务报表的重大错报，该认定即为“相关认定”。《审计指引》对内部控制审计提出了相应的要求，对重要账户及其相关认定进行识别时，注册会计师必须对风险因素进行评价，这一点同财务报表审计所考虑的因素无差异。所以，二者所识别的重要账户及其相关认定一致。

（二）确定重要性水平一致

注册会计师在财务报表审计中的主要职责是对其中可能包含的重大错报进行检查。为此，他们需对重要性水平进行确定。而注册会计师在内部控制审计中的任务就是对其包含的重要缺陷进行检查。“重要缺陷”即内部控制中可能存在的、延迟发现的财务报表重大错报的控制缺陷的集合。《审计指引》对于内部控制审计与财务报表审计要求的确定审计重要性水平一致。

（三）工作起点和审计模式一致

注册会计师财务报表审计和内部控制审计中都选择“风险导向审计”模式，并且，风险评估都是第一步。前者首先识别、评估的重大错报风险，它包括财务报表与认定两个层次；同样的“风险导向审计”模式下，后者首先识别内部控制重大缺陷风险，再应对相应的风险。事实上，内部控制包含重大缺陷与否，即它应对两个层次的重大错报风险是否充分。从以上的分析可以看出，二者不管是在固有风险评估方法上，还是工作起点上都无差别。

（四）内部控制了解与测试法一致

不论是财务报表审计，还是内部控制审计，它们在内部控制了解和测试法上都表现为一致性。它们都借由程序对控制设计是否有效进行测试，其中，“穿行测试”是最为重要的；而在对控制运行是否有效进行测试时，也都会借由程序来实现。

二、财务报表审计与内部控制审计的区别

（一）测试目的不同

财务报表审计中，对重大错报中的控制风险要素进行评估是注册会计师了解、测试内部控制的初衷，以此为基础，再完成三方面的工作，先确定实质性程序性质；再确定审计时间安排；最后确定审计范围，进而支持财务报表审计。财务报表审计意见受内部控制影响时，注册会计师才会公布内部控制现状，否则将对外保密。而内部控制审计中，提出内部控制有效性的审计建议是注册会计师了解、测试的主要原因。与此对应，《审计指引》要求审计报告中，须由注册会计师说明被审对象的内部控制是否有效。因此，二者存在本质区别。

（二）测试范围不同

在成本效益原则下，注册会计师的财务报表审计策略会因认定不同而有所差异。针对不同的认定，他们既可能选择“综合性方案”，又可能选择“实质性方案”；换言之，审计证据既可以源于内部控制了解、测试，又可以来自于实质性程序。注册会计师遇到《审计指引》要求的两类情况时，会对被审对象的内部控制进行测试，否则，极有可能避开内部控制审计而采取其他相应的审计策略，所以说，针对全部认定的内部控制测试是没有必要的。而内部控制审计在测试范围的要求上则有所不同，为提出内部控制整体是否有效的权威意见，它要求注册会计师针对各相关认定获取控制是否有效的证据。也就是说，注册会计师避开内部控制的审计行为是不被允许的。

（三）测试时期不同

财务报表审计和内部控制审计中，前者要求注册会计师针对拟信赖的内部控制审计其在全部拟信赖期内是否有效运行；后者则要求注册会计师围绕着资产负债表日这一时点上审计内部控制是否有效。不讳言，注册会计师得出特定时间点上内部控制有效与否的审计意见有可能耗时很长。

（四）测试结果可靠度不同

财务报表审计中，计划由拟信赖的内部控制测试中获得的保证度决定了注册会计师所选择的样本量，其样本量的选择空间较大；而内部控制审计中，注册会计师须确保内部控制有效性，相对来说，样本量的选择空间不大。这就是二者表现在测试结果可靠度方面的差异。

三、如何做好内部控制审计和财务报表审计的整合

（一）借鉴西方先进经验，积极整合审计

由同一事务所整合审计，既避免重复工作，又降低审计成本；也易统一审计判断意见，被审对象将免于被干扰。不同于管理咨询及审计业务间的独立性冲突，同一事务所整合审计，须同时承担审计责任，不会顾此失彼，因此，二者独立性并不受影响。西方早已颁布法令要求如此做法，美国审计师普遍认为，执行《萨班斯-奥克斯利法案》后，主要因二项审计的整合才使被审计对象次年的成本下浮46%。而我国《审计指引》也提倡整合审计，为此应充分借鉴西方经验，贯彻《审计指引》精神，在确保审计中识别重要账户和相关认定、确定重要性水平、风险评估基础工作都相同情况下，积极整合审计。

（二）调整财务报表审计的审计策略，同时实现审计目标

两类审计目标不同，整合审计时，注册会计师要测试内部控制运行是否有效，要同时获取两方面的充分证据，一是要支持其发表的内部控制是否有效的审计意见；二是要对财务报表审计中评估控制风险的结果予以支持。它们的测试范围、测试期、样本量都是不同的，因此，改变财务报表审计的审计策略是非常必要的，为同时实现两个审计目标，应尽可能选择综合性策略应对更多认定。选择综合性方案，可以降低财务报表审计的实质性测试成本为手段，使内部控制审计徒增的成本部分抵销。事实上，国内的注册会计师更偏爱于运用实质性方案，审计时大多会避开内部控制。为了做好整合审计，需要他们尽快更新、丰富审计技能，在现有的基础上，对综合性方案熟练掌握和运用。

（三）相互印证、利用审计结果

整合审计要求相互印证、利用二者的审计证据。注册会计师于内部控制审计中形成内部控制是否有效的总结性结论时，不应忽视财务报表审计中全部围绕着控制运行是否有效的测试结果。相对的，注册会计师在评估财务报表审计的控制风险时，也不应忽视内部控制审计中全部围绕着控制运行是否有效的测试结果。倘若某项控制缺陷通过内部控制审计识别出来，注册会计师应评价它是否影响财务报表审计的实质性程序。注册会计师在内部控制审计中应对财务报表审计的实质性程序结果是否影响控制的有效性结论做出评价，《审计指引》要求评价内容涵盖注册会计师所选择的同实质性程序相关的风险，这里的风险主要是舞弊等重大违纪行为；关联方交易问题；管理层是否公正地选择会计政策，做出会计估计；实施实质性程序发现错报与否等。

（四）整合审计队伍

2012年，我国全面推开A股上市公司内部控制审计，考虑到内部控制审计和财务报表审计的必然联系，为了在节省成本的同时，确保审计质量，我国中断了此前的由两个项目组分别对财务报表和内部控制进行审计的平行作业模式，转而要求一个项目组整合审计，并要求项目组内部以业务循环为标准进行分工，责令同一循环内的控制及实质性测试基本都由同一人完成，从而实现控制测试有机结合实质性测试；而审计专家则需负责测试信息技术控制及应用控制。这对会计师事务所而言，挑战也是前所未有的。为此，整合审计队伍是十分必要的。只有做好审计队伍的整合，才能将整合审计的各环节有机衔接，从而确保整合审计的顺利完成。

【参考文献】

[1]财政部.企业内部控制审计指引[S].2010.

[2]冯香云等.财务报告内部控制审计若干问题研究[D].财政部财政科学研究所，2015.