企业内部控制整合审计的基本理论问题研究

●中南财经政法大学 熊 铎

企业内部控制整合审计的基本理论问题研究

●中南财经政法大学 熊 铎

内部控制审计是注册会计师对企业内部控制有效性进行评价的过程。企业通过邀请会计师事务所对其内部控制进行审计来提升财务信息的可靠程度。内部控制整合审计是对财务报表和内部控制联合进行的审计，其在实施上不仅是可行的，而且是十分必要的。内部控制整合审计主要包括审计目标、审计计划、审计模型、审计报表等方面的整合。本文就这些问题进行了深入探讨。

内部控制审计 内部控制整合审计审计模型

继美国发生安然事件/雷曼兄弟破产等轰动全球的金融事件，人们对于上市公司财务信息质量及其内部控制质量的关注和怀疑与日俱增。国际上要求审计内部控制的文件也相继出台，如今上市公司聘请会计师事务所对内部控制进行审计不仅是道德义务，更是法定职责。从审计的效率效果及成本收益等角度出发，将内部控制审计与财务报表审计联合进行的整合审计也逐渐成为主流。美国实施内部控制整合审计已有近十年时间，并取得了良好的效果。随之，在中国，内部控制整合审计也已经开始逐渐被各大事务所施行，但是各个整合环节的实施细节并不是十分清晰，本文就这个方做出了详细论述。

一、内部控制整合审计的基本理论

内部控制整合审计是同一家会计师事务所对公司不仅要进行财务报表审计，还要进行内部控制审计，注册会计师基于内部控制审计和财务报表审计的共性来对这两种审计进行整合，同时实现两者的目标。

（一）内部控制整合审计理论基础。内部控制整合审计的产生和发展主要基于成本效益最大化理论、审计需求理论和权衡与权变理论。成本效益理论是指企业在进行某项经营管理活动时先要考虑执行成本和预期收益之间的关系，只有当预期收益大于执行成本时，才有可能开展这项经营管理活动。我国要求注册会计师审计企业的内部控制，并出具审计报告。内部控制与财务报表联合审计可以节约成本，提高效率，符合成本效益理论原则。审计需求理论提出，随着经济的发展，为了满足市场审计需求，不断提高审计效率，将内部控制与财务报表整合审计是必然结果（时军，2013）。权衡与权变理论表明企业进行经济管理活动不仅需要权衡个人利益与组织利益的关系，还需要与时俱进，适应不断变化发展的环境。内部控制整合审计目标是为了提供高质量的财务信息，维护利益相关者的利益并促进企业的可持续发展，同时随着环境发展内部控制整合审计也不断改进，符合各方利益，因此从权衡与权变理论来看，内部控制整合审计也是合理的选择。

（二）内部控制整合审计的必要性及可行性。首先，财务报表审计和内部控制审计的最终目的都是为企业的利益相关者提供高质量的财务信息。再次，将这两种审计整合进行能够降低会计师事务所的运行成本，减少被审计单位的经济压力和工作负担。最后，因为内部控制审计与财务报表审计之间多种审计程序相同，结果可以相互利用相互验证，所以内部控制整合审计可以提高审计效率，降低审计风险，帮助注册会计师更快达到审计目标。可见，将内部控制审计与财务报表审计进行整合是十分必要的。

相对于内部控制整合审计的必要性，其可行性决定了内部控制整合审计是否可以顺利进行，具有更现实的意义，内部控制整合审计是可行的主要有下列四点原因。第一，内部控制审计和财务报表审计的终极目标都是为利益相关者提供高质量的财务信息，这是内部控制整合审计的根本。第二，内部控制审计与财务报表审计同属于基于责任方认定的鉴证业务，即基于责任方认定由注册会计师提供的合理保证业务，两者业务性质相同（谢晓燕，2009）。第三，两者在审计过程中有大量的内容都是相同或者相似的，这些审计程序得到的结果还可以相互验证，相互辅助，更有利于发挥审计的作用。例如，如果财务报表审计中发现某一认定存在重大错报，注册会计师即可推断出这部分的内部控制很有可能也存在重大缺陷。第四，财务报表审计和内部控制审计是由同一家会计师事务所执行的，这是内部控制整合审计的外部条件和基础。

二、内部控制整合审计的内容

（一）内部控制整合审计的目标整合。企业实施内部控制以合理保证企业经营管理活动合法合规、财务信息真实完整，保障资产安全、提高经营效率和效果。企业内部控制的有效性就是内部控制为其目标提供合理保证的程度。内部控制审计即是对内部控制的设计有效性、执行有效性和结果有效性进行评价。因此，在我国内部控制审计主要需要达成以下三个目标：第一，对企业内部控制的质量进行客观评价，形成关于内部控制有效性的意见，为政府、资本市场监管部门等了解公司内部控制状况提供依据。政府和资本市场管理部门在制定相关法律法规制度的时候有据可循，有理可依。第二，如今公司面临的一大成本即声誉成本，一旦企业声誉下降，公司就将遭受巨大损失。内部控制审计可以对上市公司形成强有力的声誉制约，从而激励公司努力提高内部控制质量，完善其内部控制以保护投资者、债权人等利益相关者的权益。第三，企业通过了解自身的内部控制状况，改进存在的薄弱环节，提高经营效率和质量（张先治、戴文涛，2011）。

财务报表审计的目标是保证企业按照规定的会计基础编制财务报表，并在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。虽然内部控制审计是为内部控制不存在重大缺陷或实质性漏洞提供合理保证，而财务报表审计是为财务报表不存在重大错报提供合理保证，这两者目标的侧重不同，但是两者目标的共性则更为重要。可以看出，两者的终极目标都是为了向财务报表使用者获取的决策相关财务信息的质量提供合理保证。将两者进行整合审计能够强化两者的共同目标，提高工作效率。

（二）内部控制整合审计的计划整合。高质量的审计计划能够帮助注册会计师高效率的管理审计资源，达到好的审计工作效率效果，顺利完成审计工作。内部控制审计计划主要包括风险评估、风险应对、评估舞弊等。财务报表审计计划包括总体审计计划和具体审计计划。在对这两者进行整合审计时，应当有效协同两者审计计划以达成共同审计目标。首先，在制定计划初期，注册会计师应当评估对内部控制和财务报表均产生重大影响的项目。其次，对于在内部控制审计中应当考虑的重要因素，同样应当在财务报表审计中重点关注。再次，舞弊风险是注册会计师在内部控制与财务报表审计中都必须考虑的问题，注册会计师应当谨慎评价企业的控制是否能够应对并识别由舞弊导致的重大错报风险，并评价管理层凌驾于控制之上的控制。最后，在计划审计工作时，应对内部控制审计与财务报表审计使用相同的重要性水平，这是计划审计实施中最重要的部分。

（三）内部控制整合审计的模型整合。审计风险模型是审计实施的概念框架，能够为注册会计师决定审计测试的程度提供帮助。如今事务所在进行内部控制整合审计时，对内部控制审计运用的风险模型与财务报表审计运用的风险模型相同，即传统的财务报表审计风险模型。但是将财务报表审计风险模型用于内部控制审计并不十分恰当。因为内部控制审计是对内部控制这一过程进行审计，而非对内部控制导致的结果进行审计，这与对结果审计的财务报表审计差异较大。同时，对内部控制的审计意见也不依赖于分析性程序和实质性测试。

内部控制审计风险可定义为内部控制存在重大缺陷或实质性漏洞而注册会计师审计后发表不恰当审计意见的可能性。因此，建立特有的内部控制审计风险模型就是为了指导注册会计师对公司的内部控制进行什么测试，测试到什么程度从而将内部控制审计风险降低到可接受的低水平。内部控制中存在的缺陷主要是存在于内部控制的设计和执行环节，如果内部控制没有得到有效设计或者有效设计的内部控制没有被充分执行，都表明内部控制中存在缺陷，需要注册会计师予以关注。所以在注册会计师对内部控制执行控制测试时，首先要评价控制的设计是否完善、健全，是否能够有效地防止财务报表中的重大错报。当可以认定该项控制的设计十分有效时，注册会计师还要通过询问、观察、穿行测试等审计程序来评价控制执行的力度。一个恰当的内部控制审计模型将有利于注册会计师在恰当的审计时间范围内，运用恰当的审计程序来评估和测试内部控制设计与执行的有效性。内部控制存在缺陷一般源于以下三种原因：内部控制没有被合理设计；内部控制没有被有效执行；充分设计和有效执行的控制程序没有有效运作。基于此，雷英（2011）提出了一个可供参考的内部控制审计风险模型：ICAR=IR×CDIR×COER。其中ICAR是内部控制审计风险；IR是固有风险，这里的固有风险与财务报表审计风险模型中的固有风险一致；CDIR是设计执行风险，即内部控制没有被合理设计或者合理设计的内部控制没有被有效执行的可能性；COER是运作有效性风险，即充分设计和有效执行的控制程序没有有效运作的可能性。

如上文所述，作为内部控制审计框架的内部控制审计风险模型与财务报表审计风险模型并不一致，所以应当在内部控制整合审计中先后使用两个风险模型。注册会计师先使用内部控制审计风险模型来判断并决定控制测试的程度，然后使用财务报表审计风险模型来判断实质性测试的程度。注册会计师在测试了内部控制审计模型后，如果可以得出未发现的重大缺陷风险较低的结论，则可以推断重大错报风险也较低，从而在财务报表审计中假设较低的重大错报风险，提高审计效率。但是当注册会计师做出内部控制设计执行有效这个结论时，需要执行控制测试来验证注册会计师的判断，只有在经过充分测试验证了其判断时，才可以将此结论予以运用。

（四）内部控制整合审计的方法程序整合。注册会计师在财务报表审计中采用风险导向审计方法对财务报表进行审计，这就要求注册会计师以识别、评估和应对重大错报风险为审计主线，提高审计的效率。注册会计师在内部控制审计中采用自上而下的方法对其进行审计，首先了解评估内部控制整体风险，然后从公司层面下移到各个账户、列报和认定层次。当公司层面的控制设计并运作良好时，注册会计师就可以减少认定层次的控制测试和财务报表审计中实质性测试的范围。如果发现公司内部控制某些控制点可能存在重大缺陷，注册会计师就应当增加认定层次的控制测试和财务报表审计中实质性测试的范围。

内部控制审计程序包括风险评估程序和控制测试，财务报表审计程序包括风险评估程序、控制测试和实质性程序。因此，将内部控制审计与财务报表审计程序整合起来，可以互相利用工作成果，提高效率，节约成本并降低风险，一举多得。在财务报表审计中，注册会计师必须要进行风险评估来评估各层次的重大错报风险，其中最重要的就是了解被审计单位内部控制和以信赖内部控制为基础的控制测试。这些工作也是内部控制审计的基础。由此可见，审计程序整合的关键点就是在内部控制测试方面。注册会计师实施其他审计程序发现被审计单位存在错报，则可以合理推断存在错报处可能存在控制缺陷，反之亦然。

（五）内部控制整合审计的报告整合。在注册会计师收集并评价了各种可靠来源的证据以后，需要对内部控制的有效性及财务报表的公允性和合法性做出评价，发表审计意见并出具审计报告。内部控制审计意见只包含无保留意见、否定意见和无法表示意见，相较于财务报表审计意见，注册会计师并不能对内部控制出具保留意见。值得注意的是，在整合内部控制和财务报表审计报告时，注册会计师针对两者发表的意见类型可以不相同。因为在财务报表审计中发现错报并不一定代表内部控制存在重大缺陷，比如说较小的错报或偶然性错报等，但是如果错报是广泛重大或发生频率较高，一般意味着内部控制存在缺陷。同理，内部控制存在缺陷并不一定意味着财务报表项目会存在重大错报。所以，在出具内部控制整合审计报告时，如果内部控制审计意见与财务报表审计意见不一致，应当分别出具意见不同的审计报告。内部控制审计报告可以单独出具，也可以合并在财务报表审计报告中一并出具。审计报告出具后，还应当处理好内部控制审计和财务报表审计工作底稿的归档工作。在内部控制整合审计中，是由一家会计师事务所对公司的内部控制和财务报表执行审计，所以这两套底稿应当共同归档，并建立交叉索引，可以提高归档效率，节约审计成本。

三、结论

本文通过探讨内部控制整合审计基本理论和内部控制整合审计的具体内容，得出了以下结论：审计目标整合的实施点是提高财务质量；审计计划整合的实施点是内部控制审计与财务报表审计使用相同的重要性水平；在内部控制整合审计中应当先后使用财务报表审计风险模型和内部控制审计风险模型；审计方法整合的实施点是风险导向，自上而下；审计程序整合的实施点控制测试；审计报告整合的实施点是编制合并或者独立的审计报告。■

1.雷英、吴建友.2011.内部控制审计风险模型研究.[J]审计研究，1。

2.时军.2012.我国内部控制整合审计发展与实施问题研究.[J]中国注册会计师，12。

3.谢晓燕、张龙平、李晓红.2009.我国上市公司内部控制整合审计研究.[J]会计研究，9。

4.张先治、戴文涛.2011.中国企业内部控制评价系统研究.[J]审计研究，1。