郑宽晨 南京医科大学附属南京儿童医院

摘要：我国《企业内部控制审计指引》规定，注册会计师可以单独执行内部控制审计，也可以将内部控制审计与财务报表审计整合进行。基于内部控制审计与财务报表审计的共性，整合审计是国际上普遍的做法，他有利于提高审计效率，降低审计成本，更好的向信息使用者提供正确完整的信息。本文分析了整合审计的可行性，并对两种审计中的重要程序如何执行整合进行探讨。

关键词：内部控制审计 财务报表审计 整合审计

2008年6月，我国由财政部等五部委联合下发《企业内部控制基本规范》，2010年4月26日，五部委又联合发布企业内部控制配套指引，包括《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制审计指引》，由此内部控制审计成为我国注册会计师的又一项鉴证业务。在《企业内部控制审计指引》中规定注册会计师可以单独执行内部控制审计，也可以将内部控制审计与财务报表审计整合进行。基于内部控制审计与财务报表审计的共性，整合审计是国际上普遍的做法，他有利于提高审计效率，降低审计成本，更好的向信息使用者提供正确完整的信息。

一、整合审计的可行性

整合审计是指注册会计师执行被审计单位的财务报表审计和内部控制审计，通过制定整合的审计流程，计划和实施审计工作，同时实现对内部控制有效性、财务报表的公允性和合法性发表审计意见的目的。由于财务报表审计和内部控制审计之间的联系使二者的整合在实践中存在了可行性。

第一，审计目标存在重合。在内部控制审计中，审计目标是对内部控制的有效性发表意见，为财务报告内部控制不存在重大缺陷提供合理保证。在财务报表审计中，审计目标是财务报表是否在所有重大方面按编制基础编制发表审计意见，为财务报表不存在重大错报提供合理保障。内部控制审计与财务报表审计的目标虽各有侧重，但终极目标都是为了向公司外部信息使用者提供对决策有用的会计信息提供合理保证，提高对外公布的财务报表信息的质量。目标的一致性为二者的整合提供了必要的前提条件。

第二，审计方法存在重合。内部控制审计采用是自上而下审计方法，该方法要求注册会计师首先应了解并测试企业层面控制、业务层面控制，通过上述程序找出可能会导致财务报表发生重大错报的账户、列报及认定，体现了风险导向的特点。在财务报表审计中，注册会计师采用风险导向审计模式，首先实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险，在此基础上，分别予以应对。从上面分析可以看出，两种审计都贯穿了风险导向的审计理念。

第三，审计工作存在重合。内部控制审计要了解和测试内部控制获得内部控制在足够长的期间内运行有效的证据。在财务报表审计中，注册会计师需要了解内部控制，在预期控制的运行是有效的或在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制，注册会计师要测试其在整个审计期间内的有效性。因此，两种审计单独进行会导致审计工作重复，而将两者整合可以减少审计工作量，提高审计效率。

第四，内部控制审计与报表审计的结果可以互相利用、互相支持，提高审计质量。内部控制审计中注册会计师在对内部控制有效性形成结论时，应考虑财务报表审计的结果，若财务报表审计的结果表明相关账户或认定中存在重大错报，而现有的内部控制不能防止或发现并纠正重大错报，则通常表明内部控制存在重大缺陷。而在财务报表审计中也会利用内部控制审计中控制测试的结果。如果内部控制审计中发现的企业存在控制缺陷，注册会计师在财务报表审计中做出的风险评估结论，实质性测试的性质、时间和范围都将受到影响。

由于内部控制审计与财务报表审计在审计目标、审计方法、审计工作上存在重合，注册会计师执行审计时可以相互利用工作成果、相互印证审计结论。因此，内部控制审计与财务报表审计的整合在操作上具有可行性。

二、审计程序的整合要点

（一）审计计划的整合

内部控制审计和财务报表审计都需要编制计划，但由于审计的具体目标不同，计划的内容会各有所侧重。内部控制审计的审计计划主要考虑风险评估、选择拟测试的控制、确定测试所需收集的证据、舞弊风险及利用相关人员工作等方面。在财务报表审计中，计划审计工作则包括针对审计业务制定总体审计策略和具体审计计划。总体审计策略用以确定审计范围、时间和方向，具体审计计划包括项目组成员拟实施的审计程序的性质、时间和范围，具体应当包括风险评估程序、计划实施的进一步审计程序和其他审计程序。由于是同一会计事务所对同一被审单位进行两项审计，尽管两者审计的审计计划内容存在差异，但是在制定计划时考虑的内容有很多相同之处，比如公司的基本状况、风险评估程序、了解内部控制、选择拟测试的控制、确定测试所需收集的证据、重要性水平的选定等。因此注册会计师可以对审计计划进行整合，编制一份审计计划，对不同的部分分述，相同或相关的部分进行整合列示。

（二）风险评估程序的整合

由于风险评估程序是内部控制审计和财务报表审计的一个重要且必不可少的程序，因此该程序是两种审计的关键整合点。风险评估程序贯穿于整个内部控制审计过程，注册会计师应使用风险导向、自上而下的审计方法选择拟测试的控制。内部控制审计中，风险评估的目的是为确定存在重大缺陷的高风险领域；评估的结果是要确定重要的账户、列报和相关认定、选择拟进行测试的控制，以及确定针对特定控制所需收集的证据；风险评估的范围是企业整体内部控制。财务报表审计中，注册会计师应充分识别和评估财务报表重大错报风险，以设计和实施进一步的审计程序应对评估的错报风险。风险评估程序的目的是为了识别和评估财务报表层次的重大错报风险；评估的结果是要确定重要性水平、设计和实施进一步审计程序；风险评估的范围是与财务报表相关的重大错报风险；评估的程度是以能否识别和评估财务报表重大错报风险为衡量标准。可见，内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计。在审计实务中，可以将两种审计在此程序需要完成的工作整合进行，即财务报表审计充分利用内部控制审计所获得的更为广泛的信息，对内部控制的了解可完全利用内部控制审计的所获取的信息，从而提高审计效率，降低审计成本。

（三）控制测试

内部控制审计是对企业控制有效性进行测试，审计要求测试所有与重要账户、交易和列报相关的内部控制，还要求对审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露，这说明内部控制审计既要求测试与财务报告相关控制的有效性，还要求测试其他非财务报告内部控制的有效性。内部控制审计中，注册会计师需要获取能够证明内部控制有效的高度相关的证据，对控制测试可靠性的要求较高，样本量较大且选择弹性较小。对于财务报表审计而言，控制测试并非必需的程序，仅在注册会计师拟信赖被审计单位控制有效性以及仅实施实质性程序并不能提供认定层次充分、适当的审计证据时要进行控制测试。财务报表审计对控制测试可靠性的要求相对较低，测试的样本量相对较小且存在一定弹性。综合上面的分析，内部控制审计中对控制测试的深度和广度均大于财务报表审计，因此内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论。

（四）实质性程序

财务报表审计的实质性测试与内部控制审计的控制测试是相互支持的，两种审计所取得的审计证据及得出的审计结论可相互利用。如果财务报表审计中发现的某些账户或认定中存在错报甚至重大错报，这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报，就意味着在错报相应的控制点上可能存在内部控制缺陷。而内部控制审计的控制测试结果对财务报表审计实质性测试程序的亦有影响，在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定实施重点审计指明方向。因为如果发现内部控制存在某项重大缺陷，则财务报表在相应的账户就可能存在重大错报，既而影响财务报表审计中实质性测试的时间、性质和范围，相应地，审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。因此，将两种审计所取得的审计证据及得出的审计结论相互利用，能提高审计效率，降低审计风险，最大限度地保证审计质量。

（五）舞弊事项审计的整合

内部控制审计和财务报表审计都要求对舞弊迹象进行特别关注，因此对舞弊风险的考虑也是关键的整合点之一。两种审计都要进行舞弊风险评估，了解内部控制的过程可能帮助注册会计师及时发现舞弊风险。管理层舞弊均被确定为高风险领域，有专门的应对措施，从而在一定程度上降低了审计失败的可能性。在财务报表审计中，注册会计师通过实施审计程序来评估被审计单位在财务报表方面是否存在舞弊行为。在内部控制审计中，注册会计师应该考虑依据在财务报表审计中对舞弊风险的评估结果来决定拟测试的相关控制，以确认是否存在管理层凌驾于控制之上或因内控制度漏洞导致舞弊的控制缺陷。同样，注册会计师也应该在财务报表审计中考虑控制测试的结果。如果确实存在舞弊控制缺陷，注册会计师可能需要实施进一步程序以查明是否确实存在舞弊并导致财务报表发生重大错报。因此，两种审计的舞弊风险评估程序可以合并执行，对于应对舞弊导致的重大错报风险，两种审计可相互利用审计证据及审计结论。

（六）完成审计工作的整合

注册会计师在出具审计报告前，内部控制审计和财务报表审计都需要就有关事项与企业进行必要的沟通，对此工作可以进行必要的整合。在沟通过程中，注册会计师应与企业就内部控制存在的问题及影响、财务报告存在的问题及影响进行充分的沟通。

在形成审计结论、出具审计报告阶段，财务报告审计中，注册会计师应综合地评价发现的错报及识别的控制缺陷，并考虑是否获得了足够证据支持对财务报表是否存在重大错报发表审计意见。内部控制审计中，注册会计师同样应综合地评价发现的错报及识别的控制缺陷，对内部控制是否存在重大缺陷发表审计意见。两种审计中每一部分审计的结果会支持其他部分审计的结论，包括：内控审计中控制测试的结果、财务报表审计中由错报发现的控制缺陷及管理层识别的控制缺陷。这些信息既影响期末财务报告内部控制有效性的结论，也影响财务报表审计中的控制风险评估。因此两种审计的审计结论，应该综合考虑两种审计的获得各种审计证据。

三、结论

内部控制审计与财务报表审计是联系紧密而又相互区别的两项鉴证业务，注册会计师应在厘清两者审计异同点的基础上将其进行整合，达到证据相互利用、结果相互印证的效果。综合本文的分析，整合审计将发挥审计的协同效应，提高审计效率、节约审计成本，从根本上提高财务信息的质量。

参考文献：
[1]谢晓燕，张龙平，李晓红．我国上市公司整合审计研究[J]．会计研究，2009(9):88-94
[2]俞潇敏．内部控制审计与财务报表审计的比较与整合[J]．商业会计．2011(7):41-42
[3]申晓静．论内部控制审计和财务报表审计的整合[J]．管理观察.2013(7）:156-157