内控审计与财报审计如何“完美结合”

彭程

一、导读

在实践中，内控审计与财务报表审计结合起来应用会取得相互促进、相得益彰的效果。但如何将两者更好地结合起来业界还研究得不多，有关思路、措施等还较为零散，有必要進行一个系统化的整合。

二、两者结合可降低审计成本

2008年，财政部、证监会等五部委联合发布《企业内部控制基本规范》。2010年，五部委再次联合发布了《内部控制配套指引》并对我国企业提出具体要求：自2011年开始，上市公司需要逐步进行内控审计，注册会计师可以进行独立的内控审计，也可以将内控审计与财报审计相结合。

财报审计在我国发展时间较长，体系已经比较成熟，而内控审计出现较晚，还处于刚刚起步阶段。

虽然从审计范围、使用方法和审计流程上来看，财报审计和内控审计存在很大的不同，但从注册会计师为两种审计所提供的审计服务来看，内控审计和财报审计的目标都是保证鉴证业务的合理性，确保财务报表具有参考价值。因此，两种审计具有很大的相似之处，可以互相借鉴，进行有效结合。

将内控审计和财报审计相结合，可以更加有效地完成审计工作，降低成本，提高效率，提升审计结果的准确性。

三、两种审计在不同阶段的“结合”

内控审计与财报审计一样，都包括计划阶段、测试阶段、发现缺陷阶段和报告阶段。在不同的阶段，内控审计与财报审计相结合的侧重点也有所不同。

在计划阶段，内控审计工作主要涉及企业内部风险管理、企业审计工作所需时间等，财报审计工作主要包括制定详细的企业总体审计策划等。对企业而言，内控是否存在巨大风险或者漏洞，是以会计报告是否发生重大错报为依据的。

因此，在内控审计过程中需要对财报审计进行高度重视，并对财报审计工作进行详细了解。而如果注册会计师可以通过内控审计发现财报方面存在的重大问题，将利于财报审计的下一步进行。在审计计划的初期采取内控审计和财报审计相结合的方式，可降低审计成本，增强审计的准确性。

对审计进行测试是财报审计和内控审计的关键步骤。财报审计大多采用实质性测试的方法，内控审计大多使用控制测试的方法。实质性测试可以对审计结果进行一定的支持。但是，当财报审计认为财报内容可能具有重大风险而财报审计过程中存在程序缺失时，就需要内控审计控制测试的配合。

进行内控审计控制测试的主要目的是获取更加充足的证据，以对内控审计有效性和财报审计风险分析结果提出佐证。因此，只有内控审计和财报审计的测试有效进行，才能保证内控审计和财报审计相结合的有效性，确保审计结果的合理性。任何制度都存在一定的缺陷，内控制度也不例外。

内控缺陷可以划分为设计上的缺陷和因为运行不畅造成的缺陷，而缺陷的严重程度也会对内控产生重要影响。有些内控制度的缺陷会对企业生产经营产生严重的影响，而某些缺陷可能对企业生产经营只产生很小的影响。

因此，评估内控缺陷对于审计报告的出具具有重要意义。注册会计师在进行审计时需要了解内控缺陷的严重性，并确定缺陷到底会对内控产生什么影响。内控缺陷影响程度可以通过相关性分析等方式来确定。

在报告阶段，注册会计师需要综合分析证据价值、对控制的测试结果、财报中的风险等问题，不可随意了事。而根据我国内控审计的相关规定，将内控审计和财报审计相结合的审计，需要同时出具两份审计报告。在出具内控审计报告和财报审计报告时，需要注明该注册会计师同时进行了内控审计和财报审计，并说明审计意见类型。

四、内控审计与财报审计结合的“关键点”

为了将内控审计与财报审计进行“完美结合”，注册会计师在审计过程中应注意如下几点。

第一，注重划分审计界限。虽然相关规定明确可以同时进行内控审计和财报审计，但是内控审计和财报审计仍然存在着较为明显的不同。因此，需要明确划分内控审计和财报审计的审计界限，以防内控审计和财报审计独立性的缺失，影响审计报告结果的准确性。注册会计师在进行内控审计时不可直接使用财报审计的结论数据，同样在进行财报审计时也不可以直接引用内控审计的结果数据。

第二，从财报审计中查找内控审计的突破口。《企业内部控制审计指引》明确指出，注册会计师需要使用自上而下的审计手段进行内控审计。这种审计手段最先出现在财报审计领域。注册会计师要先对财报的风险进行整体评估，之后再逐步深入，把握重要项目的重点问题。而由于财务报表是注册会计师可以较快获得的一手资料，因此注册会计师需要快速找到财报审计的关键点。财报反映出的问题，在某些时候也是内部控制失效所致。因此，通过财报中反映出的问题还可以寻找到内控审计的突破口。

第三，注重财报细节把控，查找内部控制缺陷。在进行财报审计分析时，注册会计师一般会关注财务报表的各项内容，并对其中的重点项目进行重点分析。只有对财务报表中某些关键细节进行把握，才能更好地将内控审计与财报审计相结合，减少审计工作量。同时，在识别财务报表的重要项目后，注册会计师还需要清楚确定财务报表中存在风险的这些项目的可能来源及发生原因。对财务报表寻根究底的分析态度，有助于注册会计师快速发现财报中隐含的风险，找到企业内控存在的问题，做出正确的财报审计和内控审计判断。

每个公司的内控制度都不是十全十美的，或多或少都存在着一定的缺陷，某些重大的内控缺陷将导致企业面临极大的经营风险。在进行内控审计时，一旦发现了内控制度的缺陷，注册会计师就要准确判断，要通过综合测评等方式全面了解内控缺陷的严重性，并确定该内控缺陷对企业进行内控造成了哪些方面的影响。

第四，把握企业整体风险，寻找有效的审计方式。内控审计和财报审计相结合的方式，可以促进注册会计师更快速、更准确地把握企业整体风险，寻找更加有效的审计方式。同时，有效的审计手段将会减少注册会计师的审计工作量，减少注册会计师审计“绕弯”情况的出现。另外，对企业整体风险的把握有利于审计的顺利进行。只有整体把握风险，才能集中力量寻找审计工作中的关键问题，最终出具合理有效的审计报告。

第五，加强学习培训，合理配置审计小组成员。内控审计在我国起步较晚，审计模式并没有完全成熟。这对于很多注册会计师而言也是一个全新的领域，需要对该方面的审计流程进行重新学习。而将内控审计和财报审计相结合，对注册会计师提出了更高的要求。如果没有把握内控审计或财报审计中的任何一个方面，将会造成整体审计分析结果存在偏差，为注册会计师行业带来较大风险。同时，审计小组的人员配置将直接影响审计结果的准确性。因此，会计师事务所需要合理挑选审计小组成员，并进行相应的培训，降低注册会计师的从业风险，提高审计报告质量。

五、在实际中如何完成

首先，《标准》和《职业道德规范》是对内部审计活动开展质量保证检查的标准。 接下来是应收集证据证明内部审计活动应符合《标准》和《职业道德规范》中的原则和要求，以保证目标的达成。最后，发布评估结果报告，传达质量保证检查的成效。

总之，最终的要求是必须对内部审计活动进行审计：对证据的客观审查。如《标准》所述，自我评估和由组织内部其他充分了解内部审计实务的人员进行的评估是质量保证和改进程序的重要组成部分。当然，为了取得更好的效果，质量保证检查也应该由来自组织外部、合格且独立的评估人员或评估小组实施。如：来自同行业公司、外部服务机构、或者拥有专业能力和素养的个人。只有满足这些要求，首席审计官（CAE）才可以认为其有效开展内部审计的质量保证工作。

审计领域指组织内所有可审计实体的集合。可审计实体可以是一个经营场所、部门、职责、财务报表、法律法规符合性或众多的其他实体。如果一个实体能够为组织创造或增加价值，那么应当将它纳入审计领域。换言之：可审计实体为完成组织目标管理一种或多种风险。相反，如果一个实体与组织目标、风险无关，那么它就不属于审计领域。在管理风险的活动中，可审计实体的角色可以是一种降低风险的形式，比如：控制风险、转化风险（即：帮助组织转移风险、利用风险取长补短），或者监督这两者中的某些方面。

在《国际内部审计专业实务框架》（以下简称IPPF）中，内部审计的新任务包括：“增加价值和改善组织的运营”。此新任务与可审计主体的描述一致。大多数内部审计活动采用风险导向的方法，这有助于他们完成这项新任务。《国际内部审计专业实务标准》（以下简称《标准》）的词汇表中的将风险定义为“对实现目标产生影响的事件发生的可能性”。

因此，任何有助于降低负面事件发生的可能性或减少其不利影响（保护价值）、增加实现组织目标可能性（增加价值）的活动都应包括在审计领域。所以，这为审计领域中应包括内部审计活动提供了合理支持。再次明确一点：在组织活动中，如果内部审计活动有真正价值、在组织治理中担任重要角色、满足可审计主体的标准，那么内部审计活动就应包括在审计领域。一旦组织的内部审计活动作为审计领域的一部分，即使内部审计活动遵循了《标准》，也需要以风险为基础来确定审计的频率，至少每五年进行一次外部评估。

在质量保证检查的程序中，详细记录了执行该检查的步骤，并且与内部审计的确认服务的程序相一致。最后，和任何其他审计报告一样，质量保证评估的结果应该报告给主要利益相关者。如果通过质量评估发现了“未遵循”的情况，CAE应提供整改方案，并将改进措施反馈给主要利益相关者和审计委员会。

上述规定似乎是合理的而且是基于《标准》的。但是，2015年发布的一项针对全球内部审计从业人员调查中，只有42%的受访者表示其所在组织对内部审计活动的质量保证检查符合《标准》1300条款关于质量保证和改进程序的要求。

六、我們应该注意的

首先，在内部控制审计的内容方面，此次修订将内部控制审计按照审计范围分为全面内部控制审计和专项内部控制审计，并从组织层面和业务层面对内部控制审计的内容作了较为细致的规定。其中组织层面内部控制审计的内容主要按照内部控制五要素进行规范，同时借鉴、吸收了《企业内部控制评价指引》中有关内部控制评价内容的规定，力求与《企业内部控制基本规范》及配套指引相衔接。

其次，在内部控制审计的程序和方法方面，强调了内部审计人员在实施现场审查前，可以要求被审计单位提交最近一次的内部控制自我评估报告。内部审计人员应当结合内部控制自我评估报告，确定审计内容及重点，实施内部控制审计。再次，在内部控制缺陷的认定方面，专章规定了内部控制缺陷的认定，对缺陷认定的方法、缺陷的种类和缺陷的报告等内容进行了规定。

最后，在内部控制审计报告方面，专章规定了内部控制审计报告，要求全面内部控制审计报告一般应当报送组织董事会或者最高管理层，包含有重大缺陷认定的专项内部控制审计报告应当报送董事会或者最高管理层；经董事会或者最高管理层批准，内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。

【参考文献】

[1]魏环宇.中国会计教育与启示[J].高教探索，2002，（3）：37.

[2]吴冰蓉. 内部控制与审计[N] . 中国青年报，2010.05

[3]屈家豪，张浩.财务审计应用[M]. 北京：国防工业出版社，2008.3

[4]何莉. 工程审计风险综述[J].中国青年研究，2009.11