(四)整合审计
审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
理解这一规定,要明确两点,一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
二、计划审计工作
(一)总体要求
审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。
在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:
1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况;
2.相关法律法规和行业概况;
3.企业组织结构、经营特点和资本结构等相关重要事项;
4.企业内部控制最近发生变化的程度;
5.与企业沟通过的内部控制缺陷;
6.重要性、风险等与确定内部控制重大缺陷相关的因素;
7.对内部控制有效性的初步判断;
8.可获取的、与内部控制有效性相关的证据的类型和范围。
此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。
(二)重视风险评估的作用
按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。
风险评估的理念及思路应当贯穿于整合审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
