内部控制审计和财务报表审计之间存在多方面的共同点,例如:
(一)两者的终极目的一致。虽然各有侧重,但终极目的都是提高财务报表预期使用者对财务报表的信赖程度。
(二)两者都采用风险导向审计方法。注册会计师首先实施风险评估程序,识别和评估财务报表重大错报风险(包括由于舞弊导致的重大错报风险),在此基础上,针对评估的重大错报风险,通过设计和实施恰当的应对措施,获取充分、适当的审计证据。
(三)两者运用的重要性水平相同。注册会计师在财务报表审计中运用重要性水平,旨在计划和执行财务报表审计工作,评价识别出的错报对审计的影响以及未更正错报对财务报表和审计意见的影响,以对财务报表整体是否不存在重大错报获取合理保证;注册会计师在内部控制审计中运用重要性水平,旨在计划和执行内部控制审计工作,评价识别出的内部控制缺陷单独或组合起来是否构成内部控制重大缺陷,以对被审计单位是否在所有重大方面保持了有效的内部控制获取合理保证。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整,因此对于同一财务报表,在两种审计中运用的重要性水平应当相同。
(四)两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的,因此对于同一财务报表,在两种审计中识别的重要账户、列报及其相关认定应当相同。
(五)两者了解和测试内部控制设计和运行有效性的基本方法相同,都可能实施询问、观察、检查以及重新执行等程序。
二、不同点
内部控制审计是对内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露;财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。虽然内部控制审计和财务报表审计存在多方面的共同点,但财务报表审计是对财务报表进行审计,重在审计“结果”,而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计,重在审计“过程”。发表审计意见的对象不同,使得两者存在区别,例如:
(一)对内部控制进行了解和测试的目的不同
在财务报表审计和内部控制审计中,注册会计师都需要了解与审计相关的内部控制,并都可能涉及测试相关内部控制运行的有效性,但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制,是为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据,以支持对财务报表发表的审计意见;注册会计师在内部控制审计中了解和测试内部控制,是为了对内部控制的有效性发表审计意见。
(二)测试内部控制运行有效性的范围要求不同
在财务报表审计中,针对评估的认定层次重大错报风险,注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案,注册会计师可以不测试内部控制的运行有效性;如果采用综合性方案,注册会计师综合运用控制测试和实质性程序,因而需要测试内部控制的运行有效性。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定,当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);
(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
也就是说,如果以上两种情况均不存在,注册会计师可能对部分认定,甚至全部认定都不测试内部控制的运行有效性。
在内部控制审计中,注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见。
(三)内部控制测试的期间要求不同
首先,在财务报表审计中,针对评估的认定层次重大错报风险,如果注册会计师选择综合性方案,需要获取内部控制在整个拟信赖期间运行有效的审计证据,而在内部控制审计中,注册会计师对于基准日的内部控制运行有效性发表意见,则仅需要对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据。
其次,尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况,但在执行内部控制审计时,注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法,而应当在每一年度审计中测试内部控制(对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外)。
(四)对控制缺陷的评价和沟通要求不同
在内部控制审计中,注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中,注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
相应地,两者的沟通要求存在不同。在财务报表审计中:
1.注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷,致送书面沟通文件的时间可能根据注册会计师对治理层履行监督责任需要的考虑确定(对于上市实体,治理层可能需要在批准财务报表前收到注册会计师的沟通文件;对于其他实体,注册会计师可能会在较晚日期致送书面沟通文件,但需要满足完成最终审计档案的归档要求)。
2.注册会计师还应当及时向相应层级的管理层通报:
(1)已向或拟向治理层通报的值得关注的内部控制缺陷,除非在具体情况下不适合直接向管理层通报。此项应采用书面方式通报。
(2)在审计过程中识别出的、其他方未向管理层通报而注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷。此项对沟通形式没有强制要求,可以采用书面或口头形式。
在内部控制审计中:
对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通,书面沟通应在注册会计师出具内部控制审计报告前进行;如果注册会计师认为审计委员会和内部审计机构对内部控制的监督无效,应当就此以书面形式直接与董事会沟通。此外,注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷(包括注意到的非财务报告内部控制缺陷),并在沟通完成后告知治理层。
(五)审计报告的形式和内容以及所包括的意见类型不同
内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定,出具财务报表审计报告和内部控制审计报告。此外,内部控制审计报告不存在保留意见的意见类型,如果内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见;如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。