整合审计的内涵及应用可行性研究

程恺之

◆基金项目：国家社科基金重大项目“国家治理视角下国有资本经营预算制度研究”（项目编号：14ZDA027）；国家社科基金重点项目“国有资本授权关系及实现模式研究”（项目编号：14AJY005）；科技成果转化和产业化——

北京市国有企业预算管理体系完善对策及实施（项目编号： PXM2013_014213_000099）；北京市教委创新团队项目“投资者保护的会计实现机制及其效果研究”（项目编号： IDHT20140503）；北京工商大学国有资产管理协同创新中心项目（项目编号： GZ20130801）；科研基地建设-科技創新平台-现代商科特色项目（项目编号：PXM2015_014213_000063）；北京市社科重大项目“国有企业混合所有制改革理论与实现路径研究”（项目编号：15ZDA51）

◇中图分类号：F239.1 文献标识码：A文章编号：1002-5812（2017）03-0010-04

摘要：整合审计是国际上普遍采用的审计方式，我国也发布了相关的法律法规，要求上市公司必须聘请注册会计师对内部控制的有效性进行审计。无论是在财务报表审计还是在内部控制审计中，与财务报告相关的内部控制的有效性都是审计师关注的重点和核心部分，两种审计不仅应该整合进行，而且存在着广泛的整合点。文章通过案例说明：对于传统的财务报表审计来说，内部控制审计并不是“额外的工作”，两者的整合有助于提高审计效率，也有利于增强外部信息使用者的信赖程度，获取更多的信息。

关键词：整合审计 内部控制审计 财务报表审计 内部控制

一、整合审计的概念及由来

虽然内部控制一直是财务和法律领域的重要议题，但是直到21世纪初，世界各国才纷纷出台规范内部控制审计的强制性法律法规。虽然各国的要求有所不同，但是在风险管理的框架下将其与传统的财务报表审计进行整合是它们共同的特点。整合审计不仅受到法律法规的推动，而且也反映了会计信息系统的内在需求。内部控制作为公司治理结构的体现和重要组成部分，一直受到各界的广泛关注，而内部控制真正成为管理者经营责任的一部分，并要求审计师对其有效性进行审计，则是本世纪初一系列会计丑闻的直接后果。

2002年一系列的公司丑闻，尤其是安然和世通事件的爆发，不仅揭示出企业内部控制的重大缺陷，而且严重影响到资本市场的稳定发展，美国股市剧烈震荡。为了保证上市公司财务丑闻不再发生，美国在2002年7月出台了《萨班斯-奥克斯利法案》并第一次要求对有关财务报告的内部控制进行审计，其中备受关注和争议的404条款规定，管理层应当评价并在企业年报中报告内部控制情况，并且必须聘请会计师事务所对其年度报告（包括内部控制报告）进行审计并出具针对财务报表和内部控制的审计意见，两种审计不应当分开进行。该项条款强制在美国的上市公司建立有效的内部控制体系并聘请会计师事务所进行审计。根据萨奥法案同时创立了美国公众公司会计监督委员会（PCAOB），委员会制定了适用于上市公司的审计准则，并在2004年3月和2007年5月发布了规范内部控制审计的准则，对审计方式、内容和与财务报表审计的关系作出了具体的规范。萨奥法案的通过给我国在美上市公司提出了严峻的挑战，同时也给国内企业敲响了警钟。健全的内部控制体系不仅能够抵御经营风险、为企业的高效经营提供恰当的保护，也能够从公司治理方面为完善我国资本市场做出贡献。所以，财政部等五部委也联合出台了一系列法律法规，一方面积极吸收借鉴国外先进的经验和模式，另一方面又结合我国国情进行了改进，对企业建立有效的内部控制体系及两种审计过程的整合作出了具体的规范。

财务造假严重损害了社会公众的利益，为了恢复投资者的信心，政府部门和准则制定机构把健全有效的内部控制体系作为提高财务信息可靠性的重要途径。内部控制的有效性必然是内部控制审计关注的核心内容，而在传统的财务报表审计中，注册会计师为了评估重大错报风险，需要对被审计单位及其所处的内外部环境进行初步的了解，具体内容包括行业状况、企业文化、会计政策、战略及控制等许多方面，而这其中最重要的部分就是内部控制及其环境。那么，两者关注的内部控制的范围有何区别？下面试对两种审计中需要关注的内部控制的范围进行论述。

二、注册会计师对内部控制的关注

根据COSO 2013的定义，内部控制是治理层、管理层和其他人员设计与执行的政策及程序，使得企业在合法合规的基础上提升经营效益，同时为外部信息使用者提供可靠的财务信息。内部控制的三个维度是：目的、要素、组织结构，这三个维度相互交叉，把整个内部控制分成了一个个具体的部分。注册会计师在进行财务报表审计和内部控制审计时就需要判断：应当关注哪一部分的内部控制？

在财务报表审计中，注册会计师需要了解和测试企业的内部控制体系，其中必然包括为了保证财务信息可靠程度的内部控制措施，但是，是否保障财务报表可靠性并不是注册会计师判断关注与否的唯一标准。而且即使某项控制与财务报表无关，但无效的内部控制可能会给企业带来经营风险、法律风险，最终也可能影响到企业的控制环境或文化，同样会造成财务报表的不真实。注册会计师在确定一项控制或者几项控制的组合是否与审计相关时，不仅要考察该项控制是否会影响财务报告的可信程度，更重要的是运用职业判断来划定具体的范围和边界。注册会计师了解企业内部控制的目的是评估财务报表的重大错报风险。在必要的情况下，如果这一主观评估出来的风险很高，那么就需要额外的、有事实支撑的审计证据，而不是单纯对风险或者说概率进行评估，控制测试就为注册会计师提供了获取审计证据的途径。既然需要了解的内部控制不一定全部为了保障财务信息的可靠性，那么我们就可以进一步得出结论，需要测试的控制也不限于与财务报告相关的内部控制。综上所述，对于财务报表审计中需要关注的内部控制和与财务报告相关的内部控制这两个概念来说，两者的范围相互重叠，但不存在一方包含另一方的关系，所以，即使面对同样的企业，由于工作经验、团队人员和事务所文化所造成的职业判断方面的差异，不同的审计师关注的内部控制一定是不一样的。

在内部控制审计中，注册会计师理所当然地应当关注被审计单位的内部控制。虽然在具体的审计方式和关注范围上中美两国的规定存在差异，但是内部控制审计主要关注的部分还是为了保证财务报表信息可靠性的内部控制措施。美国萨奥法案404条款仅仅要求管理层满足财务报告内部控制这一个方面的要求，并评价其最近一年控制的有效性，注册会计师在审计企业年度报告的同时应当测试和评价财务报告内部控制。两国的准则都要求注册会计师对企业财务报告内部控制的有效性发表意见，区别在于：AS NO.5规定两种审计不仅应当同时进行，而且需要以整合的方式相互促进，但是，在评估控制缺陷的过程中，即使某项控制存在缺陷，只要注册会计师判断该项控制不会合理可能地（reasonable possibility）造成财务报表重大错报，注册会计师就不需要测试该项控制；我国的《企业内部控制审计指引》虽然没有规定必须整合两种审计，但是在审计报告中的特殊事项段应当披露所有的内部控制重大缺陷，无论是否与财务信息的可靠性相关。所以，我国的内部控制审计关注的是内部控制的整体，无论该项控制是否与财务报告有关，只要一项内部控制存在缺陷，就一定会影响到审计意见的发表，或者在重大事项段中被披露，进而引起信息使用者的关注，而美国的准则规定注册会计师只需要关注与财务报告有关的内部控制，而与财务报告无关的内部控制不会影响到审计过程，也不需要在审计意见中披露其可能存在的重大缺陷，也就是说，只要一项内部控制有助于保证财务报告的可靠性，那么就应当在内部控制审计中对其进行了解和必要的测试，而如果某项控制与财务报告的可靠性无关，那么内部控制审计就不需要关注它。因此，我们可以得出结论：在内部控制审计工作的实施方式上，美国强制要求由同一会计师事务所整合两种审计过程，而我国没有规定必须以整合的方式实施两种审计工作。同时，中美两国内部控制审计都是为了保证报表能够提供可靠的财务信息，而我国将整个内部控制体系作为考察的对象，如果一项控制或控制组的重大缺陷不会影响财务报表的可靠性，那么就不会影响审计意见，但是，内部控制体系中存在的任何重大缺陷都会反映在报告之中。

从上面的讨论中可以得出结论，为了保证财务信息的可靠性，两种审计共同关注的中心和支点就是企业内部控制的有效性。既然如此，那么能不能将两种审计整合进行？这样的整合审计能为企业、会计师事务所以及投资者带来怎样的效果呢？

三、整合审计的必要性与可行性

既然法律法规要求企业聘请注册会计师审计内部控制的有效性，那么应当如何进行内部控制审计呢？显然，与整合的方式相比而言，如果将两种审计分开进行，总的审计投入一定会更高，也会增加整个社会的成本。从目前的实证证据中可以看出，单独进行的内部控制审计并不能提高两种审计的效率和质量，也没有对财务报表审计目标的实现起到显著的积极作用。

内部控制在两种审计流程中的地位和作用决定了两者的最大整合點，还是能进行整合的根本原因。财务报表审计需要了解被审计单位及其环境，作为关注对象中的核心部分，被审计单位的内部控制包括设计和执行情况两个部分。在此基础上，注册会计师应当首先评估内部控制体系以及单项控制或控制组中存在的重大错报风险，并针对不同层次的重大错报风险设计和实施应对措施。报表层次的重大错报风险主要与控制环境有关，注册会计师应当据以确定与报告环境和企业整体有关的措施；认定层次的重大错报风险主要与某一单项控制或控制组有关，应当利用具体的测试和程序来确定内部控制是否有效、财务报表是否存在错报。而在内部控制审计中，首先应当评估内部控制在特定领域存在重大缺陷的风险，而内部控制又可以分为企业层面的内部控制和业务层面的内部控制。审计师应当根据特定领域内评估的风险确定控制测试的范围和程度。从两种审计的流程中可以看出，了解内部控制是共有的程序，据此评估出的风险都分为两种类型（报表层次和企业层面、认定层次和业务层面），由此确定的风险应对程序中又都包括控制测试。所以，内部控制在两种审计流程中的地位、结构、作用都是相似的，可以进行整合。

除了上述的最大整合点，财务报表审计和内部控制审计在其他方面也存在着广泛的整合点：（1）两者都属于鉴证业务，注册会计师都需要鉴定和证明鉴证对象信息是否符合标准，并发表能够提供合理保证程度的意见。（2）两者的最终目标相同，都是为了提高财务报表的可靠性。当外部使用者利用财务报表信息作出决策时，审计意见不仅可以增强其对财务报表信息的信赖程度，而且可以在受到不真实信息误导的时候追究审计师的责任。（3）在审计计划的制订中，两者的重要性水平相同，AS NO.5规定，在内部控制审计的计划过程中，审计师使用的重要性水平应当与财务报表审计中的重要性水平相同。同时，两种审计计划中也都需要确定审计范围、审计方向等。（4）两者都以风险为导向，要求在风险评估的基础上应对风险。在两种审计的实施过程中，注册会计师都应当以风险评估为基础，确定所需的审计证据的范围和程度。在内部控制审计中，评估某一项控制或者控制组合的重大缺陷，可以得到一个主观的评估概率，也就是存在重大缺陷的风险。注册会计师利用这一概率确定下一步的审计措施，高风险领域必然需要更多的关注。而在财务报表审计中，评估的重大错报风险越高，可接受的检查风险越低，需要的审计证据越就多，同样也需要更多的审计关注。（5）两者的审计报告可以合并入年报当中。虽然企业可以将内部控制审计报告单独披露，但是也可以将其作为年报的一部分与财务报表审计报告一起披露。

但是，两者必然存在着差异，因为如果不存在差异就没必要将两者区分开来。首先，两者的目标不同，内部控制审计的目标是对内部控制的有效性发表意见，同时支持对控制风险评估的结果；财务报表审计的目标是对财务报表的编制和列报发表意见。其次，两者的鉴证对象不同，财务报表审计的鉴证对象是被审计单位的三张财务报表所反映的企业目前的状态以及上一个会计期间所取得的成果，而内部控制审计的鉴证对象是被审计单位内部控制的健全性和有效性。再次，即使评估出来的重大错报风险很低，实质性程序也是财务报表审计中不可少的环节，而控制测试只是在特定条件下才需要实施；但在内部控制审计中，控制测试是核心程序。总的来说，财务报表审计是为了增强财务信息的可靠性，重在审计“结果”；而内部控制审计是为了保证内部控制的有效性，重在审计“过程”。

所以，两种审计从根本性质上来说可以整合，在目标、计划、实施程序和报告方面也存在着许多整合点，完全可以将两者整合进行。同时，差异的存在也是重要的，而且两种审计的差异恰恰意味着通过实施内部控制审计，使更多的信息被披露了出来，不仅使投资者能够了解企业内部控制的有效性，更增强了财务报表的可靠程度。综上所述，整合审计不仅是必要的、可行的，而且在适当的整合方法下可以为投资者、企业和整个社会提高效率，带来收益。

四、整合审计的实际应用案例

（一）2014年中国内部控制审计意见概况

2012年8月14日财政部、证监会下发的《关于2012 年主板上市公司分类分批实施企业内部控制规范体系的通知》中规定，规范的企业内部控制体系应当逐步在所有上市公司中推广开来。按照国有企业、大型非国有企业、所有主板上市公司的顺序，2014年是所有主板上市公司强制披露内部控制自我评价报告以及内部控制审计报告的第一年，统计结果见表1。

从表1中可以看出，在审计师出具的内部控制审计意见中，以标准无保留审计意见为主。在19份否定意见中，有5家上市公司（烯碳新材、泰达股份、柳化股份、航天通信、柳钢股份）的年度财务报表审计意见为标准无保留意见，且这5家企业的两种审计均由同一会计师事务所进行，即都采取了整合审计的方式。那么，为什么在这些企业的财务报告内部控制很可能已经失效的情况下，财务报表却在所有重大方面按照企业会计准则的规定编制，客观地反映了企业目前的状况以及上一个会计期间所取得的成果的情况呢？

（二）泰达股份审计意见的差异

天津泰达股份有限公司于1996 年11 月28 日在深圳证券交易所挂牌上市交易。截至2016年第二季度末，公司总资产为300.36亿元。泰达股份目前拥有8家控股子公司，并参股8家公司，行业涉及化学加工、环保产业、金融、城市建设等。天津泰达股份有限公司前身是天津美纶化纤厂，1992 年7月20 日实行股份制试点， 通过定向募集股份设立天津美纶股份有限公司。泰达股份目前的第一大股东为天津泰达集团有限公司，共持有泰达股份有限公司32.9%的股权。

2014年，泰达股份改聘普华永道中天会计师事务所，并在3月20日公布了关于重大会计差错更正的公告，在4月11日又更新了该公告，普华永道会计师事务所对该公告执行了有限保证的鉴证业务。普华永道为泰达股份出具了标准的财务报表审计意见和否定的内部控制审计意见。报告中披露的缺陷包括：资产减值评估过程未执行，或没能发现客观的减值证据；部分子公司未审核分析应付未付工程款、施工成本归集和分摊、施工进度、收入确认原则、在建工程是否达到可使用状态；对财务人员的培训也不够到位。这些重大缺陷已使得企业的内部控制不能合理保证财务报告和相关信息的真实完整性。而且在2014年底，泰达股份并没有进行内部控制的整改，上述重大缺陷问题依然存在，所以，审计师在内部控制审计报告中出具了否定意见。同时报告中还披露，公司2014年度的财务报表中对可能出现的错报、漏报进行了合理的关注和调整，不存在重大的可靠性问题。

既然内部控制存在如此多的缺陷，并导致审计师出具了否定意见，那么为什么财务报表却实现了公允反映，其审计意见也是标准无保留的呢？从公司的公告中我们可以推测，注册会计师在对本年和以往年度的财务报表进行审计和审阅的过程中，将内部控制审计进行了整合：首先，了解和测试内部控制揭露了内部控制存在的重大缺陷。为了应对重大缺陷所导致的高错报风险，审计师必须实施一定的风险应对措施，其中最主要的就是实质性程序。通过细节測试和实质性分析程序，审计师发现了重大的会计差错，并协助公司改正了本年和以往年度财务报表中存在的重大错报。所以，在改正了所有重大的会计差错后，2014年的年报真实可靠地反映了企业的状况，以前年度的报告也得到了重述。直观地看，实质性程序是财务报表审计独有的，也是两种审计意见存在差异的直接原因。虽然2014年内部控制缺陷没有完成整改，但是通过实质性程序，注册会计师得到了足够的审计证据，可以证明企业的财务报表实现了公允的反映。

审计意见的差异反映了两种审计对象之间的联系和区别。财务报表审计的对象是企业的财务信息，内部控制审计的对象是企业内部控制的有效性，财务报表是“结果”，可能存在重大错报，而内部控制是“过程”，可能存在重大缺陷。虽然两者之间存在相关性，即重大缺陷经常导致重大错报的发生，且重大错报经常意味着重大缺陷的存在，但两者之间并没有必然的因果关系。审计师首先对企业内部控制的健全性和有效性进行了解和测试，即使认为内部控制存在重大缺陷，也只是意味着企业有着很高的重大错报风险，但是在实施了足够的实质性程序之后，审计师同样有可能得出没有重大错报的结论。换句话说，即使企业的内部控制被出具否定意见，企业的财务报表仍然可以公允地反映企业的财务状况和经营成果。这样看来，与传统的财务报表审计相比，整合审计不仅额外提供了内部控制审计意见，而且种两审计意见的组合也具备相当的信息含量。

五、研究结论及启示

公众对会计信息质量的担忧使得企业的利益相关者纷纷关注内部控制的有效性，这又迫使企业的管理层建立有效的内部控制体系，进行自我评价。在此基础上，企业的管理层还必须雇佣会计师事务所对内部控制体系是否健全有效进行审计。为了增强投资者的信心，企业必须建立并披露有效的内部控制体系，同时，内部控制审计也是传统的财务报表审计的有效补充，不仅可以支持控制风险的评估结果，也让信息使用者对企业财务信息的生产过程和结果有了更深的认识。为了避免单独进行的内部控制审计所带来的高额成本，将两种审计整合进行就成为了必然趋势，而且两种审计拥有广泛的整合点，这又使得整合存在现实的可能性。

同时，两种审计又由于存在明显的差异，使得它们能够相互补充，为投资者披露更多的信息。如果由同一会计师事务所进行整合审计，那么企业内部控制体系的有效性必将得到充分的考虑，这提高了审计效率，也有助于企业和外部信息使用者理解错报风险、内部控制重大缺陷之间的联系和区别。而且，作为两种审计之间差异的外在表现形式，不同的审计意见组合又传递出了许多额外的信息。尤其是对于我国的内部控制审计而言，全面的审计要求必将改善企业的经营水平，提高财务信息质量，并最终使得投资者、企业和整个社会都能从中获益。J

参考文献：

[1]PCAOB.An Audit of Internal Control Over Financial Reporting that is Integrated with An Audit of Financial Statements[S].Auditing Standard No.5，2007.

[2]COSO.Internal Control-Integrated Framework（2013），http：//www.coso.org.

[3]何芹.内部控制审计意见、财务报表审计意见及内部控制自评结论——比较分析与数据检验[J].中国注册会计师，2015，（02）.

[4]丁红燕，王竹泉.我国上市公司内部控制审计：现状及改进策略[J].财务与会计，2015，（08）.

[5]何芹.内部控制与财务报表整合审计的再思考——兼谈财务报表审计准则与内部控制审计指引的比较[J].中国注册会计师，2012，（04）.

[6]吴燕.浙江省上市公司内部控制审计报告研究[J].商业会计，2014，（19）.

[7]吴寿元.企业内部控制审计研究[D].财政部财政科学研究所，2012.

[8]谢晓燕，张龙平，李晓红.我国上市公司整合审计研究[J].会计研究，2009，（09）.