本站原创一、内部控制审计与财务报表审计的关系
(一)理论研究综述美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础.MichaelS.GoldStein(2004)在研究美国财务报告内部控制审计与财务报表审计整合框架之后提出了审计师实施审计时的基本步骤和关键业务操作.ColleenLayther(2009)认为美国公众公司会计监督委员会的整合审计是关于财务报表与财务报告内部控制审计予以合并的准则,其要求上市公司会计监管委员会审查审计人员的公正性受到公众的欢迎,并对目前审计准则要求审计人员发表两种审计意见提出质疑.
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果.程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序.陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见.裘宗舜、周洁(2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持.谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合.张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量.
(二)内部控制审计与财务报表审计的关系财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、流量状况的会计形式的表述.财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动.财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序.内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加.如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用.二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见.但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的.
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础.财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性.财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务.注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务.内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动.管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见.
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序.整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险.同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性.
(二)整合审计的可行性内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性.内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见.财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成.(2)审计业务内容的相关性.内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序.同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计.
(3)审计业务主体的一致性.AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时发布,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理.由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础.
(三)整合审计的实施关键《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成.但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计.
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善.内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后发布AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见.财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考.
(1)审计目标的整合.财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见.我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率.企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告.内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的.财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都怎么写作于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能.
(2)审计计划的整合.内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标.一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作.二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域.三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据.四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平.
(3)审计业务的整合.前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内.从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证怎么写作的两种审计活动.在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件.
(4)审计程序的整合.内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点.需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性.内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试.
(5)审计方法的整合.财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法.财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试.财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上.因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢.