整合审计业务流程初探

摘　要：境内外同时上市的69家公司2011年起率先实施内部控制规范体系，2012年实施范围将扩大到在沪深两市主板上市的1400多家上市公司。本文阐述整合审计的作业流程，以期进一步支持注册会计师执行有效和高效的综合审计，特别是协助规模较小的会计师事务所初次实施整合审计。

关键词：内部控制审计；财务报表审计；整合审计；作业流程
　 境内外同时上市的69家公司2011年1月1日起率先实施内部控制规范体系，同时，财政部、证监会又选择了200多家在境内主板上市的公司进行试点，2012年实施范围将扩大到在深沪两市主板上市的1400多家上市公司，在未来的一到两年时间里，我国越来越多的企业需要披露注册会计师出具的内部控制审计报告。
 《企业内部控制审计指引》第五条指出，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。本文从计划整合审计工作、实施整合审计工作、评价控制缺陷和提出审计意见、形成审计报告四方面阐述整合审计的作业流程，以期进一步支持注册会计师有效和高效的执行综合审计的目标，特别是协助规模较小的会计师事务所初次实施整合审计。
 一、计划整合审计工作
 审计计划过程需要做出很多大量决策，这些决策也是整合审计工作有效和高效执行的关键。识别风险、确定重要账户和列报及其相关认定的原则，对于财务报表审计和财务报告内部控制审计而言是相同的。因此，一个综合的基础上进行审计计划，有助于实现整合审计的目标和消除冗余。
 （一）了解并评价被审单位基本情况
 风险评估是整个审计过程的基础，注册会计师应当考虑公司的规模和复杂性，识别、了解和测试对内部控制有重要影响的企业层面控制，初步识别财务报表的高风险领域。并将识别和评估的风险与拟实施的审计程序挂钩，将审计资源更多地集中在风险最大的领域。
 （二）制定并修改整合审计工作方案
　　注册会计师应当贯彻风险导向审计的思路，恰当地计划内部控制审计工作和财务报表审计工作，分别制定两种审计工作的总体审计策略和具体审计计划。
　　财务报表审计的总体审计策略用以确定审计范围、时间安排和方向，注册会计师在制定总体审计策略时应考虑审计范围、报告目标、时间安排及所需沟通的性质、审计方向、审计资源等事项；内部控制审计的总体审计策略应体现审计业务的特征、审计范围、报告目标、职业判断、初步业务活动的结果、执行业务所需资源的性质、时间安排和范围。
 （三）评估被审计单位内部控制自我评价工作
 注册会计师可以利用由管理层或者治理层对企业内部控制的有效性进行全面评价形成的内部控制评价报告。尽管不同企业的评价过程和评价报告的水平可能存在较大差异，对注册会计师发表内部控制审计而言，内部控制自我评价报告仍然被认为是提高审计效率的最佳机会之一。注册会计师应测试企业内部控制自我评价工作的质量和有效性，最终确定对评价报告的利用程度。
 二、实施整合审计工作
 （一）整合审计方法
 财务报表审计和内部控制审计都要求运用风险导向的审计理念，使用自上而下的审计方法，从企业的战略入手，综合考虑企业的环境和面临的经营风险，把握企业面临的各方面情况，以战略风险和经营风险为导向，并通过严密的逻辑推理，分析企业经济业务中可能出现的错误和舞弊行为，一步一步地推导和落实审计的范围和重点，并以此为出发点，制定审计策略，依据审计风险模型，制定与企业状况相适应的审计计划，以确保审计工作的效率和效果。
 自上而下的方法指导注册会计师重点关注可能造成财务报表及其相关披露存在重大错报的领域，始于财务报表层次，以注册会计师对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及其相关的认定。随后，根据其对被审计单位业务流程中风险的了解，选择相应的内部控制进行测试。
 （二）控制测试
　　财务报表审计要求，在评估认定层次重大错报风险时，如果预期控制运行有效，或者仅实施实质性程序不足以提供认定层次充分、适当的审计证据时，注册会计师应当实施控制测试，而内部控制审计的核心程序就是控制测试。两种审计都需要在风险评估的基础上对企业层面控制和业务层面控制进行测试，控制测试是整合审计的切入点和立足点。
　　为了对特定基准日财务报告内部控制的有效性发表意见，注册会计师通常在接近资产负债报日实施控制测试，实施的测试需要涵盖足够长的期间，以获取充分适当的证据。
　　考虑到如果内部控制存在重大缺陷或重要缺陷，整改后的内部控制需要在基准日前运行足够长的时间，尤其在第一年承接内部控审计业务时，注册会计师应当尽早与被审计单位沟通这一情况，并合理安排控制测试的时间。例如，在特定基准日前三个月完成其中测试工作，并针对剩余期间实施审计程序，将控制运行有效性的审计证据延伸至期末。
 （三）实质性程序
 由于内部控制存在固有局限性，无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各类交易、账户余额和披露实施实质性程序。执行审计程序对财务报表内部控制发表意见亦不能削弱这一要求。
　　在执行内部控制审计时，注册会计师需要评估实施实质性程序发现的问题对评价内部控制有效性的影响。如果控制测试和实质性程序获得的审计证据能够相互印证，则表明与该认定相关审计结果更加可靠；如果两种来源的审计证据不一致，则表明审计证据可能不可靠，应当追加必要的审计程序。
　　注册会计师旨在对财务报告内部控制有效性发表意见，没有必要执行足以指出全部控制缺陷的程序。
　　（四）审计工作底稿
　　注册会计师应当分别形成内部控制审计工作底稿和财务报表审计工作底稿，并建立交叉索引。注册会计师在执行和记录实质性程序的同时，可以获取与这些程序相关的控制有效性的证据，并记录在相同的工作底稿。
三、评价控制缺陷
　　在计划和执行审计时，不要求注册会计师查找那些单独的一个缺陷或几个缺陷之和不构成重大缺陷的控制缺陷。但注册会计师必须评估发现的每一个控制缺陷的严重程度。作为此评估的一部分，注册会计师应在管理层的评估日之前确定：这些缺陷单独或组合起来，是否构成重大缺陷。企业执行的补偿性控制是否具有同样的效果。
四、提出审计意见和形成审计报告
 （一）形成审计意见
　　注册会计师应当确定已 就财务报表整体是否不存在由舞弊或错误导致的重大错报得出结论获取合理保证，并对财务报表是否在所有重大方面按照适用的会计准则和相关会计制度编制形成审计意见；并通过评价来自各种渠道的审计证据，对财务报表内部控制有效性发表意见。
　　（二）与管理层、治理层沟通相关事项
　　注册会计师必须以书面形式向管理层和治理层通报审计中发现的所有重大缺陷和实质性漏洞和财务报告内控缺陷。如果注册会计师认为，审计委员会和内部审计机构对财务报告内控的监督是无效的，必须以书面形式向董事会通报该结论。书面沟通应当在内部控制审计报告出具前进行。
　　（三）出具审计报告
　　注册会计师在完成整合审计工作后，应当评价根据审计证据得出的结论，分别对内部控制和财务报表出具审计报告，并签署相同的日期。
　　财务报告内部控制是指企业为了合理保证财务报表及其相关信息真实完整而设计和运行的内部控制，如果注册会计师对财务报表发表了非无保留意见，则表明内部控制未能防止发现或纠正财务报表认定层次的重大错报，应当对内部控制发表非无保留意见的报告。
　　如果内部控制存在重大缺陷，注册会计师应当考虑在内控方面的负面意见对财务报表的审计意见是否存在影响，并财务报表审计报告中予以披露。
　　如果对财务报表的意见未受到财务报告内控有效性方面负面意见的影响，注册会计师应在财务报表审计报告中增加强调事项段，指出已经考虑了内部控制存在的重大缺陷，但是该缺陷并不影响对那些财务报表的报告的意见。
 综上所述，如果对整合审计实施得当，审计证据和结论可以相互参照，有利于提高审计效率，节约审计成本，确保审计质量。
参考文献：
[1] 刘玉廷、王宏，《CPA审计是提升内控有效性的制度安排》，中国会计视野，2010年6月
[2] 张龙平、陈作习，《财务报告内部控制审计与财务报表审计的整合研究》，审计月刊，2009年第5期
[3] 谢晓燕、张龙平、李晓红，《我国上市公司整合审计研究》，会计研究，2009年9月
[4] 杨志国，《关于<企业内部控制审计指引>制定和实施中的几个问题》，财务与会计，2010年10月