2010年4月26日，财政部等五部委联合发布了内部控制配套指引，同时提出了自2011年起逐步在上市公司中开展内部控制审计的要求，内部控制审计成为我国注册会计师的一项重要的独立鉴证业务。从国外内部控制审计的实施效果来看，内部控制审计带来的高成本是制约其发展的瓶颈，因此积极探索内部控制审计方法，引导注册会计师提高内部控制审计的效率效果是确保内部控制审计顺利实施的关键。美国内部控制审计准则中提出的整合审计，即要求由同一家会计师事务所同时执行同一公司的财务报表审计与内部控制审计，是美国内部控制审计发展过程中积累的重要经验，值得我们借鉴。本文在分析整合两种审计的必然性的基础上，进一步探讨了如何开展整合审计。

一、整合审计的必然性

整合审计是指注册会计师应计划和实施控制设计及运行有效性的测试，以获得充分、适当的证据支持其对财务报告内部控制是否有效发表意见；为财务报表审计做出控制风险评估。这两种审计之间的联系决定了应将两者整合进行：

首先，两种审计工作存在重合。内部控制审计是指注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见，注册会计师要了解和测试内部控制获得内部控制在足够长的期间（可能短于财务报表涵盖的整个期间）内运行有效的证据。在财务报表审计中，注册会计师也必须了解内部控制，在评估认定层次重大错报风险时预期控制的运行是有效的，并在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制，注册会计师要测试其在整个审计期间内的有效性。因此，两种审计单独进行会导致审计工作重复，而将两者整合可以减少审计工作量，提高审计效率。

其次，内部控制审计与报表审计的结果可以互相利用、互相支持，提高审计质量。一方面，内部控制审计中，注册会计师在对内部控制有效性形成结论时，应同时考虑财务报表审计中控制测试的结果，若财务报表审计的结果表明相关认定中存在重大错报，而现有的内部控制不能防止或发现并纠正重大错报，则通常表明内部控制存在重大缺陷。另一方面，在财务报表审计中，也要利用内部控制审计中控制测试的结果。内部控制审计中发现的缺陷会影响注册会计师做出的控制风险评估结论，进而影响实质性测试的性质、时间和范围。

二、整合审计的程序与方法

内部控制审计与报表审计整合的关键在于对内部控制的了解与测试，但整合审计的思路应始终贯穿整个审计过程。美国公众公司会计监察委员会（PCAOB）将整合审计程序划分为五个主要部分——初步业务活动、审计计划、风险评估、风险应对、审计结论及出具审计报告，下面本文着重对后四部分进行分析说明：

（一）计划审计工作：在审计计划阶段，注册会计师应当初步确定可接受的重要性水平。判断内部控制是否存在重大缺陷是以控制能否及时防止或发现财务报表出现重大错报为依据的，因此，财务报表审计与内部控制审计中对于重要性水平的判断是相同的。当会计师事务所接受委托对同一家企业同时执行财务报表审计和内部控制审计时，应结合两种审计制定审计计划，促进审计过程及审计结果的整合。

（二）风险评估程序：风险评估是整合审计的基础。财务报表审计中，注册会计师应充分识别和评估财务报表重大错报风险，以设计和实施进一步的审计程序应对评估的错报风险。风险评估同时也贯穿于整个内部控制审计过程，注册会计师应使用风险导向、自上而下的审计方法选择拟测试的控制。其中，企业层面控制对内部控制的有效性起决定性作用，影响着内部控制审计中业务层面控制测试及财务报表审计中实质性测试的范围。

（三）注册会计师的风险应对包括实质性测试和控制测试：选择拟测试的控制时，注册会计师应考虑证据的性质及获得的难易程度。如果有两个以上控制能应对相关认定的错报风险，则没有必要测试所有控制，而应选择更容易获得运行有效证据的控制进行测试。当存在一项或多项重大缺陷时，内部控制即被认定为无效。因此，如果注册会计师识别了控制缺陷，即使在财务报表审计中将一个或多个相关认定的控制风险评价为最高水平，也不能排除注册会计师对内部控制出具无保留审计意见。这种情况下，在财务报表审计中注册会计师会直接实施实质性测试程序，而在整合审计中，注册会计师还应进一步评价内部控制，进行控制测试，确定该控制缺陷单独或组合起来是否构成内部控制重大缺陷，以获得足够的证据支持对财务报告内部控制发表审计意见。

（四）审计结论及出具审计报告：在审计结论阶段，注册会计师应综合地评价发现的错报及识别的控制缺陷，并考虑是否获得了足够证据支持对财务报表是否存在重大错报及内部控制是否存在重大缺陷发表审计意见。整合审计中每一部分审计的结果会支持其他部分审计的结论，注册会计师做出控制是否有效的结论应基于所有方面获得的控制相关信息，包括：内控审计中控制测试的结果、报表审计中的控制测试、由错报发现的控制缺陷及管理层识别的控制缺陷。这些信息既影响期末财务报告内部控制有效性的结论，也影响财务报表审计中的控制风险评估。PCAOB发布的审计准则第5号《与财务报表审计相整合的财务报告内部控制审计》（AS5）规定，可以选择单独或合并出具内部控制审计报告及财务报表审计报告，而按照我国《企业内部控制审计指引》的要求，两种审计报告应该分别出具。笔者认为，还应要求在各自报告中说明已同时审计了企业的内部控制（或财务报表）及发表的审计意见类型。但需要注意的是，对内部控制发表了否定意见并不表明财务报表一定存在重大错报（例如被审计单位已按照注册会计师的要求对财务报表进行了调整）。注册会计师还应确定被出具否定意见的内部控制审计报告对财务报表审计意见的影响，并在内部控制审计报告中予以说明。

三、相关建议

美国证券交易委员会（SEC）要求公司对财务报告内部控制的有效性进行自我评价，管理层只需识别并测试用来实现财务报告目标的相关控制，并提供证据（包括文件等）来支持评价结论，为注册会计师的内部控制审计工作提供帮助。我国的《企业内部控制评价指引》则着眼于全面提高公司的经营管理水平，要求公司围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制（包括财务报告内部控制及非财务报告内部控制）的有效性进行全面评价。按照评价指引，财务报告相关控制的评价包含在对信息与沟通的评价中。因此，尽管《企业内部控制审计指引》要求注册会计师对企业内部控制自我评价进行评估，判断企业内部审计人员及内部控制评价相关人员的工作的可利用程度，以相应减少注册会计师的工作，但笔者认为，企业的自我评价工作对注册会计师的帮助仍是有限的，为使注册会计师能够提高整合审计的效率和审计质量，特提出以下建议：

1.运用风险导向审计思路，重视企业层面控制测试。注册会计师应首先从财务报表层面识别重大错报风险，再选择单独或组合起来足以应对评估的某项相关认定重大错报风险的控制进行测试。应重点关注企业层面控制，在初次审计中，注册会计师可以通过与管理层交流初步了解内部控制各组成部分，识别企业层面控制；连续审计中可以利用以往对公司的了解识别重大错报风险应对风险的控制。

2.灵活安排在期中进行控制测试。两项审计业务必然导致审计工作量的增加，为提高审计质量并按时出具审计报告，笔者认为，注册会计师可以安排在期中进行控制测试。但是注册会计师获得期中控制有效的证据后，要得出特定日期财务报告内部控制有效性的结论，还要获得有效证据证明剩余期间控制的运行情况。如果与控制相关的风险越高，则应选择越接近审计基准日的日期实施相关的控制测试。

3.注册会计师每年重点的内部控制测试范围应该适当变化，在以后年度更多注意公司控制与风险的变动，侧重于以前年度未审查项目及业务发生变化的项目。除针对特别风险的控制外，一般不必每年对同一控制进行同等程度的测试。■

责任编辑 刘忻