【摘要】由于财务报表审计和内部控制审计都必须对企业内部控制进行了解和测试,二者工作可以相互利用和借鉴,所以将二者结合进行整合审计显得非常有必要。本文的主要贡献主要有三:第一是通过分析财务报表审计和内部控制审计的关系,寻找二者的区别和联系,分析整合审计的必要性。第二是通过案例分析,总结出五种情形,分析不同情况下的财务报表审计和内部控制审计意见。第三是通过提出切实有效的措施提高整合审计的可行性。
【关键词】整合审计,内部控制审计,风险导向,治理导向
一、财务报表审计与内部审计区别
2012年,纳入内部控制审计实施范围的853家上市公司中,除20家公司单独实施内部控制审计外,其余833家公司均采取内部控制审计和财务报表审计相互整合的形式。这表明,整合审计是目前上市公司内部控制审计的主流方式。在全面分析整合审计的必要性之前,必须在理论上探讨财务报表审计和内部控制审计的区别:
第一,审计意见的区别:财务报表审计仅需对财务报表不存在重大错报出具审计意见,虽然内部控制对财务报表不存在重大错报很重要,但财务报表审计报告一般不需要对外报告内部控制情况。而内部控制审计则需要对企业在财务和非财务方面的内部控制做出严格的评估,其侧重点不同导致了审计意见发表的区别:1、在内部控制审计中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报表的重大错报,注册会计师则出具无保留意见的财务报表审计报告。2、注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具非标准意见的内部控制审计报告。
第二,对于被审计单位的区别:财务报表审计是为了提高被审计单位财务报表的可信赖程度,对于关注被审计单位财务情况的银行而言更为关注;而内部控制审计是对保证企业财务报告质量良好和其他内部控制得到运行的审计,对于关注被审计单位治理的投资者而言更为关注,其有助于投资者在财务报表审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
第三,审计程序、审计内容的区别:1、对内部控制了解和测试的目的不同:注册会计师在财务报表审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型。在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。2、内部控制测试范围存在区别。注册会计师在财务报表审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以不进行内部控制测试程序。而在内部控制审计中,注册会计师必须进行内部控制测试程序,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。3、内部控制测试结果所要达到的可靠程度不完全相同。在财务报表审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,控制测试的样本量选择相对弹性较小。
二、整合审计的必要性分析
从上述审计意见的区别、对于被审计单位的区别,以及审计程序、审计内容的区别可以得知:内部控制审计独立于财务报表审计。但在审计技术、审计实务工作中,两者审计模式、审计程序等存在着很多可以相互借鉴之处,在一项审计中发现的问题还可以为另一项审计提供线索和思路。
目前,美国《萨班斯—奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报表审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯—奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将两者整合进行,具体原因如下:
第一,两种审计工作存在重合:内部控制审计是指注册会计师对内部控制设计和运行的有效性进行审计并发表审计意见,注册会计师要了解和测试内部控制获得内部控制在足够长的期间(可能短于财务报表涵盖的整个期间)内运行有效的证据。二者目前均采用风险导向审计模式,在财务报表审计中,注册会计师也必须了解内部控制,在评估认定层次重大错报风险时预期控制的运行是有效的,并在仅实施实质性测试程序不足以提供认定层次充分、适当的审计证据时实施控制测试。对于拟信赖的内部控制,注册会计师要测试其在整个审计期间内的有效性。因此整合审计可以减少审计工作量,提高审计效率。
第二,审计意见可以互相支持,提高审计质量。一方面,内部控制审计中,注册会计师在对内部控制有效性形成结论时,应同时考虑财务报表审计中控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而现有的内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。另一方面,在财务报表审计中,也要利用内部控制审计中控制测试的结果。内部控制审计中发现的缺陷会影响注册会计师做出的控制风险评估结论,进而影响实质性测试的性质、时间和范围。
三、整合审计案例分析
财务报表审计和内部控制审计之所以要整合,其核心在于财务报表审计需要对内部控制的了解与测试,而内部控制审计则是内部测试是否有效出具审计意见。所以以下通过案例分析财务报表审计和内部控制审计之间的联系和区别:
第一,北大荒2012年的内部控制审计意见中披露:北大荒及其子公司管理层逾越管理权限审批使用资金,未能对子公司实施有效控制。如:子公司黑龙杨岱旸投资管理公司向哈尔滨乔仕房地产开发公司提供乔迁借款50000万元,其中19000万元被该公司挪用,按合同约定有16000万元逾期未收回。(2)北大荒在资产减值测试、定期核对往来款项、依法取得涉税凭证和准确计缴税金等方面存在缺陷,未能有效执行《公司资产减值提取和资产损失处理内部控制制度》和《财务管理制度》等有关规定。因为上述事项,中瑞岳华会计师事务所对被审计单位的内部控制审计出具了否定意见。
而在2012年北大荒审计报告中披露事项:北大荒公司合并资产负债表其他应收款年末余额中,有69375万元属于对合并范围之外房地产开发公司的借款。截至本报告日,我们对北大荒公司对该等其他应收款计提的坏账准备 13636 万元未能获取充分的审计证据以判断北大荒公司对这些其他应收款计提的坏账准备是否足够和充分。故中瑞岳华会计师事务所对北大荒出具了保留的审计意见,这与内部控制审计报告中提及的减值事项也有密切的关系。
第二,江淮汽车2012年的内部控制审计意见中披露:经向国家质检总局备案,根据江淮汽车董事会2013年3月28日第三届十二次会议审议通过的《关于召回部分同悦轿车的议案》,江淮汽车拟自2013年3月30日起召回2008年11月15日至2011年12月31日生产的同悦轿车117072辆。因为上述事项,华普天健会计师事务所出具了带强调事项段的无保留意见的内部控制审计报告。由于上述事项并未影响企业财务报表是否存在重大错报,华普天健会计师事务所对企业2012年的财务报表审计出具无保留意见。
第三,深天地2012年的内部控制审计意见中披露:2013年3月15日,深建字(2013)39号文责令深圳市天地混凝土有限公司(南山区西丽镇茶光路北站)停业整顿一年。深圳市住房和建设局在2012年预拌混凝土生产企业资质动态核查中发现深圳天地远东混凝土有限公司实际处于无生产场所、无设备、无人员状态,已不符合资质条件要求。因为上述事项,大华会计师事务所出具了带强调事项段的无保留意见的内部控制审计报告。由于上述事项使得注册会计师必须在财务报表审计报告中体现审计报告使用者注意该事项,可能影响企业财务报表是否存在重大错报,所以大华会计师事务所对企业2012年的财务报表审计出具带强调事项段的无保留意见,强调事项段与企业内部控制审计报告相同。
从上市公司财务报表审计意见和内部控制审计意见可以发现,二者审计意见并非完全一致,在实例中主要分为五种组合情况:
1、企业内部控制不存在缺陷,则注册会计师根据财务报表审计测试的结果,对企业是否存在重大错报出具审计意见。
2、企业内部控制存在缺陷,该内部控制缺陷与财务报表相关,故二者都需要出具非标准审计意见。
3、企业内部控制存在缺陷,该内部控制缺陷与财务报表无关,所以内部控制审计意见需要出具保留或者否定意见,财务报表审计可以出具标准审计意见。
4、企业内部控制审计内部控制存在缺陷,该内部控制缺陷并不与财务报表审计直接相关,但是注册会计师认为该内部控制缺陷对公司的影响仍然存在不确定性,故财务报表审计需要出具带有强调段的无保留意见。
5、企业内部控制存在缺陷,与此相关的内部控制也影响到了企业财务报表,但被审计单位已按照注册会计师的要求对财务报表进行了调整,注册会计师在出具否定意见的内部控制审计报告时,可以出具带强调事项段的财务报表审计报告。
四、结论与建议:整合审计的可行性
从上述财务报表审计和内部控制审计之间的理论和实例分析,我们发现财务报表审计和内部控制审计存在着很强的关系性。注册会计师在最后出具财务报表审计意见时,如果发现重大错报,只要被审计单位最后同意审计调整,注册会计师即可出具无保留意见的审计报告。内部控制审计则不同;在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否出具无保留意见的审计报告。对于注册会计师,为了更好地实施整合审计,着重需要从以下几个方面入手:
1、在计划审计工作:注册会计师应当初步确定可接受的重要性水平。判断内部控制是否存在重大缺陷是以控制能否及时防止或发现财务报表出现重大错报为依据的。因此,财务报表审计与内部控制审计中对于重要性水平的判断是相同的。
2、风险评估程序:风险评估是整合审计的基础。财务报表审计中,注册会计师应充分识别和评估财务报表重大错报风险,以设计和实施进一步的审计程序应对评估的错报风险。风险评估同时也贯穿于整个内部控制审计过程,企业层面控制对内部控制的有效性起决定性作用,影响着内部控制审计中业务层面控制测试及财务报表审计中实质性测试的范围。
3、注册会计师的风险应对包括实质性测试和控制测试:选择拟测试的控制时,注册会计师应考虑证据的性质及获得的难易程度。如果有两个以上控制能应对相关认定的错报风险,则没有必要测试所有控制,应当选择更容易获得运行有效证据的控制进行测试。当存在一项或多项重大缺陷时,内部控制即被认定为无效。如果注册会计师识别了控制缺陷,在财务报表审计中注册会计师会直接实施实质性测试程序,而在整合审计中,注册会计师还应进一步评价内部控制,进行控制测试,确定该控制缺陷单独或组合起来是否构成内部控制重大缺陷,以获得足够的证据支持对财务报告内部控制发表审计意见。
4、审计结论及出具审计报告:在审计结论阶段,注册会计师应综合地评价发现的错报及识别的控制缺陷,并考虑是否获得了足够证据支持对财务报表是否存在重大错报及内部控制是否存在重大缺陷发表审计意见。整合审计中每一部分审计的结果会支持其他部分审计的结论,注册会计师做出控制是否有效的结论应基于所有方面获得的控制相关信息,包括:内控审计中控制测试的结果、报表审计中的控制测试、由错报发现的控制缺陷及管理层识别的控制缺陷。这些信息既影响财务报告内部控制有效性的结论,也影响财务报表审计中的控制风险评估。在综合评价财务报表重大错报风险和控制缺陷后,分别出具财务报表审计意见和内部控制审计意见。
参考文献:
[1]陈文化:《内部控制审计与财务报表审计整合时应注意的问题》[J].中国注册会计师.2011.4
[2]蔡春、杨晓磊、刘更新:《关于构建治理导向审计模式的探讨》[J].会计研究2009.2
