根据财政部等五部委《关于印发企业内部控制配套指引的通知》（财会[2010]11号）以及中国注册会计师协会印发的《企业内部控制审计指引实施意见》（会协[2011]66号）的相关规定，上市公司自2012年1月1日起应当向投资者提交审计报告与内部控制审计报告。《企业内部控制审计指引》第五条规定，注册会计师可将内部控制审计与财务报表审计整合进行。采用这一方式意味着同一时间内需要执行两项审计业务，对注册会计师提出了新的要求。

一、审计路径的选择

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》第二十八条规定，应当首先识别与评估财务报表层次的重大错报风险，进而下推到各类交易、账户余额和披露的认定层次。《企业内部控制审计指引》第十条规定，注册会计师应当按照“自上而下”的方法实施审计工作。《企业内部控制审计指引实施意见》第三条（一）款指出，在了解内部控制整体风险后，关注的重点应放在企业层面的控制上，逐步下移至重要账户、列报及其相关认定。可以看出，审计准则与内控指引的核心理念是首先从财务报表整体角度识别与评估重大错报风险（重大缺陷），再考虑识别与评估认定层次（具体业务环节）的错报风险，进而针对识别与评估的两类重大错报风险来设计进一步的审计程序。这种要求类似于“演绎推理”的审计路径：首先是判断“大前提”（财务报表层次）有无重大错报风险，其次是“小前提”（认定层次）有无重大错报风险，最后得出有无重大错报风险的结论，在此基础上确定进一步审计程序的性质、时间安排与范围。这是从整体的角度判断局部。但在目前的审计实践中，大多数审计人员习惯于先将全部科目测试完成，判断各个科目有无重大错报风险，进而判断财务报表有无重大错报风险。这是“自下而上”或是类似“归纳推理”的审计路径，是从局部角度判断总体。

从理论上说，上述不同审计路径的最终结果应当是一样的，但实际上却不尽然。审计人员采用“自下而上”的审计路径实施审计时，在完成各个科目的审计后本应再回到财务报表层次，将各自发现的个别科目的风险迹象进行综合分析，进而识别与评估财务报表总体的风险，但在实践中绝大多数审计人员没有这样做。个别风险迹象的存在可能预示着财务报表总体存在重大错报风险，也可能只是偶发的，对财务报表总体不产生重大影响。如果不对个别科目的风险迹象进行综合分析，实质上是未按照风险导向的审计理念实施审计，也无法识别与评估财务报表整体的重大错报风险。在当前管理层舞弊花样日新的情况下，这种从局部判断整体的审计路径必定会造成“百密一疏”的审计失败情况。

二、整合内部控制审计与财务报表审计应注意的问题

在财务报表与内部控制的整合审计中，实施财务报表层次识别与评估重大错报风险程序时，需要采取三位一体的分析方法，即从了解与测试内部控制、了解经营业务和分析、测试会计政策执行三个方面进行分析。

在了解与测试内部控制方面，需要了解企业的发展战略实施对企业业务变动的影响，结合业务变动测试财务状况的变化，包括市场布局与产品销售方式（分析与测试应收账款内列示的客户分布及数量、对客户的平均销售额与主要客户销售额的变化）、产品研发与技术更新（分析与测试产品品种变化与研发投入变化、单位成本变动情况）、设备投资与利用效率（测试固定资产与在建工程投资额、新增固定资产引起的产品数量增加或品种变化或质量改进、入库产品数量变动情况）等方面。在了解经营业务方面，需要分析企业资产构成（长短期资产与长短期资金的结构与配比等）、资产使用效率（应收账款周转率、存货周转率变动等）、生产能力（固定资产周转率、全员劳动生产率变动等）等对财务业绩的可持续支撑能力，进而分析企业发展战略实施是否能够达到预期目标。在分析与测试会计政策执行方面，需要分析企业会计政策的选择是否稳健（销售政策稳健程度、折旧和摊销方法等）、现金流量（年度经营性现金流入额与含税销售收入额比重等）、年度筹资金额（应付账款余额与存货余额比重等）、年度财务预算与执行（销售资金回收预算与实际执行情况）等资金流动情况是否能支持所列报的销售业绩。三位一体的分析是将单个的生产要素放到企业整体内去查看各要素之间的相互关系（即实施分析程序）是否合理，变动是否符合一般企业的规律，实现的财务业绩与管理层预期（包括战略规划实施、细分市场拓展、销售策略变动、资金预算与资金回收、销售计划与生产作业计划的衔接等）是否存在重大差异等内容，进而分析管理层在压力面前是否会因经营受阻而产生舞弊动机，以此来识别财务报表是否存在重大错报风险。

笔者认为，在财务报表层次识别重大错报风险时，需要从“顶层”的视角看问题。在内部控制审计方面，组织架构、发展战略、人力资源、社会责任与企业文化等方面属于驾驭具体经营活动控制的“顶层”。它们不是虚无缥缈并与财务业绩相脱离的，而是像水一样渗透到企业的各个业务环节并在会计记录中留下痕迹。如企业发展战略为开拓海外市场，则必然会发生派驻境外人员的费用，应收账款科目中海外客户资源必然发生变动等；在服务型企业内，人力资源政策（包括数量与层次结构）必然通过全员劳动生产力影响其业绩；企业社会责任意识必然影响到企业应付账款中供应商资源的变化（倾向于生产质量良好的供应商）、影响到对产品质量有重大影响的设备维修与更新（设备作业时间的变化导致产量变化）、质量控制制度的落实（质量检验部门与人员配备、质量检验业务统计资料是否齐全）、员工社会保险费缴纳情况的变化；企业文化一定会影响到员工是否能自觉执行企业内部控制制度，是否会形成“上有政策、下有对策”的不良局面等。但如果不从“顶层”视角看问题，也不花费一定的时间将单个结论进行综合分析与识别，不能深入理解单个风险迹象对财务报表整体风险识别的意义，那么财务报表层次风险识别结论是无法得出的，风险识别实质上也不能起到导向作用，也难以有效控制风险。所以有必要深入学习审计准则与内部控制审计指引，真正理解风险导向审计的实质要求，在有限的审计成本约束下设计最有效的进一步审计程序，将审计风险降低到可接受的低水平，避免出现审计失败情况。■

责任编辑 武献杰