内部控制审计与财务报表审计整合要点浅析
内部控制审计与财务报表审计整合要点浅析 2008年7月,财政部等五部委联合发布的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合发布的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。 一、风险评估程序:财务报表审计以内部控制审计为依据 (一)财务报表审计风险评估程序 风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。 (二)内部控制审计风险评估程序 内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。 (三)两种审计在风险评估程序的整合要点 内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高了审计效率,降低了审计成本。 二、控制测试程序:内部控制审计为财务报表审计提供结论 (一)控制测试程序并非财务报表审计的必需程序 财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的,但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。 (二)两种审计控制测试程序的区别 在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。 (三)两种审计在控制测试程序的整合要点 注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。 三、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持 (一)财务报表审计实质性测试程序对内部控制审计控制测试程序的影响 经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如 果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索