内部控制审计与报表审计比较

【关键词】内部控制审计；报表审计；整合审计

　　根据财政部《关于印发企业内部控制配套指引的通知》规定，《企业内部控制审计指引》（以下简称审计指引）自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。实施企业内部控制审计，是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排，是注册会计师行业开拓执业领域、进一步做大做强新的业务增长点。

　　《企业内部控制审计指引》第五条规定，注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行。但是，需要指出的是，在整合时要注意两者的区别，因为内部控制审计和传统的财务报表审计在很多方面存在不同。

　　一、审计目标

　　审计目标是指在一定的历史环境下，审计主体通过审计实践活动所期望达到的境地或最终结果。不同形式的审计活动，其审计目标也不相同。

　　（一）内部控制的审计目标

　　审计指引对内部控制审计有明确的定义，即会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。在实施审计工作的基础上，注册会计师对内部控制的有效性发表审计意见。因此，内部控制审计的目标是内部控制的“有效性”。如果在收集了充分、适当的审计证据之后，注册会计师不能证明企业的内部控制存在重大缺陷，被审计单位的内部控制就可被认为是有效的；否则，则认为被审计单位的内部控制无效。

　　（二）财务报表的审计目标

　　注册会计师审计准则第1101号准则指出，财务报表审计的目标是注册会计师通过执行审计工作，对财务报表的下列方面发表审计意见：财务报表是否按照适用的会计准则和相关会计制度的规定编制；财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。由此可知，财务报表审计的目标是对企业的财务报表的“合法性”和“公允性”发表意见，“合法性”是针对会计准则等相关制度是否得到遵循而言，“公允性”则是针对财务报表是否公允反映被审计单位的财务状况和经营成果而言的。

　　（三）两者的比较

　　通过对比内部控制审计和财务报表审计的对象，不难发现两者目标的差异。内部控制审计是对被审计单位内部控制的审计，而财务报表审计是对被审计单位财务报表情况的审计，对被审计单位的关注点不同，也就形成了不同的审计目标。

　　二、对企业内部控制的侧重

　　（一）内部控制审计对内部控制的侧重点

　　内部控制审计活动中，对企业内控涉及和运行有效性发表意见是了解和测试内部控制的直接目的。内部控制活动就是内部控制审计的对象，因此对被审计单位的内部控制情况进行了解和测试，是必须也是必要的。了解和测试内部控制是整个内部控制审计过程的重点，因此对内部控制测试结果可靠性的要求较高。

　　（二）财务报表审计对内部控制的侧重点

　　财务报表审计采用风险导向审计模式。了解和测试内部控制是为了实现对重大错报风险的评估，最终服务于对财务报表发表审计意见。财务报表审计中，对企业内部控制的测试并非必须，只有在两种情况下才要求必须对内部控制测试：即在评估认定层次重大错报风险时，预期控制运行是有效的；或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。

　　（三）两者的比较

　　内部控制审计和财务报表审计并非是完全割裂开来的两种审计活动，对内部控制的共同关注是两者的重要契合点，因此有必要对两种审计活动在内部控制方面侧重进行分析。

　　注册会计师应当对财务报告内部控制的有效性发表审计意见，对内部控制审计中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。财务报表审计时控制测试中的控制对象即财务报告内部控制，而非财务报告内部控制是财务报表审计时所不考虑的。

　　三、审计方法

　　（一）内部控制审计方法

　　《企业内部控制审计指引》规定注册会计师应按照自上而下的方法实施审计工作。这就要求在业务层面之前，审计人员应首先了解并测试企业层面的控制。利用企业层面的评估结果，可以确定其他必要的测试。通过评估企业层面内部控制，显示内部控制设计良好且运行有效，对业务层面的控制测试就可适当减少。通过这种方法，审计人员将注意力集中于内部控制的高风险领域。

　　（二）财务报表审计方法

　　财务报表审计采用风险导向审计模式，审计人员了解被审计单位的基本情况，要通过询问、观察、检查文件或记录、等审计程序，并评估出被审计单位报表层次和认定层次的重大错报风险，并实施总体应对措施以应对报表层次重大错报风险，实施进一步审计程序以应对认定层次重大错报风险。

　　（三）两者的比较

　　两种审计都是风险导向审计，都对企业的风险分为两个层面，不同的是，内部控制审计的两个层面分别是企业层面和业务层面的控制，财务报表审计是报表层次和认定层次的风险。总体上，两种审计在审计方法的整体思路是一样的。

　　四、审计报告

　　（一）内部控制审计报告

　　内部控制审计报告可分为四种意见类型，包括标准审计报告、带强调事项段的审计报告、无法表示意见的审计报告和否定意见的审计报告，无保留意见的审计报告类型。内部控制审计发表意见并对外披露企业内控是否有效时应采用正面、积极的方式。

　　（二）财务报表审计报告

　　财务报表审计报告的意见类型有标准审计报告、带强调事项段无保留意见审计报告、保留意见的审计报告、无法表示意见的审计报告和否定意见的审计报告。财务报表审计的审计报告向外披露，但是财务报中通常不对外披露企业内部控制的情况，除非是内部控制影响到对财务报表发表的审计意见。审计人员没有义务实施专门审计程序以发现内控缺陷，但当发现内控缺陷时，应当向企业管理层或治理层提交管理建议书说明情况。

　　（三）两者的比较

　　内部控制审计意见类型比报表审计意见类型少了一个保留意见的审计报告类型，原因可能是内部控制审计是对注册会计师对企业内部控制设计和执行“有效性”发表意见，而并不是对企业已经自评过的文件或制度发表意。当实施了必要的审计程序后，未发现重大缺陷可发表无保留意见过带强调事项段的无保留审计意见，发现了重大缺陷即发表否定意见，审计范围受到限制即发表无法表示意见；而报表审计情况则不同，企业管理层已声明发布的财务报告是“合法的”、“公允的”，注册会计师是对企业已做出结论的财务报告发表意见，可以对企业已经做出的结论发表保留意见的审计报告。

　　内部控制审计报告和财务报表审计报告均对外披露。内部控制审计报告评价了企业内部控制有效性，而财务报表审计报告对财务报告合法性和公允性的鉴证，通常不对外披露企业内控情况，这是两种审计的目标所决定的。

　　五、结论

　　财务报表审计是为了提高财务报告的可靠性而实施的，重在对“结果”审计；内部控制审计是对企业内控设计和执行的有效性进行的审计，重在对“过程”审计。审计对象、重点等的差异，使两者在具体的审计目标、审计实施过程的侧重点、审计报告类型等方面存在实质性差异。在技术层面，两者审计模式、程序、方法等存又有相通之处。因此，内部控制审计和财务报表审计可以进行整合，但是要注意两者的异同，避免混淆内部控制审计和报表审计中的控制测试。

　　参考文献

　　[1]财政部,证监会,审计署,银监会,保监会.企业内部控制审计指引[J].2010,4.

　　[2]刘玉延,王宏.提升企业内部控制有效性的重要制度安排——关于实施企业内部控制注册会计师审计的有关问题[J].会计研究,2010(7).

　　[3]赵红英.论内部控制审计与财务报表审计整合[J].财会通讯,2010(9).

　　[4]陈文化.内部控制审计与财务报表审计整合时应注意的问题[J].中国注册会计师,2011(4).