有效的财务报告内部控制为企业按照公认的会计准则提供真实可靠的财务报表提供合理保证。本文借鉴美国的内部控制审计准则，提出了注册会计师内部控制审计的基本思路，并结合国内内部控制审计的发展现状，对我国如何更好地开展内部控制审计提出建议。    一、注册会计师内部控制审计的程序和方法
    按照美国内部控制审计准则第5号（AS.5），内部控制审计工作要从计划审计工作开始，使用自上而下的方法识别重要的账户、列报及相关认定，了解重大错报的可能来源，选择拟测试的控制，进行控制测试，评价控制缺陷，形成审计意见，出具审计报告。具体到注册会计师的内部控制审计工作的实施，本文分别从使用管理层评价为起点、整合审计和使用自上而下的方法三个方面加以分析：
    （一）注册会计师应与管理层进行交流，协调工作，以管理层的评价及相关文件作为审计工作的起点。
    根据AS.5，注册会计师不需要考虑管理层的评价过程的恰当性及对管理层的评价发表审计意见，但这并不意味着注册会计师的审计要抛开管理层评价。注册会计师在内部控制审计中首先要根据已有信息评价财务报表重大错报的风险，使用管理层的自我评价。管理层所做的内部控制自我评价与注册会计师的内部控制审计工作有紧密的联系，AS.5中规定，注册会计师在财务报告内部控制审计中应该使用与管理层的内部控制评价相同的公认的控制框架；同时根据证券交易委员会（SEC）发布的管理层内部控制评价的解释性指引，管理层也要采用风险导向、自上而下的方法进行自我评价。通过管理层的内部控制自我评价，注册会计师可以较快并系统地了解被审计单位的内部控制。注册会计师应从了解管理层最近的内部控制评价程序开始，尽早决定管理层评价能否可以有效利用。值得注意的是，按照SEC及美国公众公司会计监察委员会（PCAOB）的要求，注册会计师在财务报告内部控制审计过程中不能影响管理层的评价过程以及评价结论。
    （二）整合审计工作。
    注册会计师应当将财务报告内部控制审计和财务报表审计整合进行，以获得足够的证据支持对内部控制的有效性及财务报表是否公允表达发表审计意见。计划的编制是审计工作的起点，注册会计师应该基于整合的理念计划内部控制审计与财务报表审计，如同一次审计，这样可以使注册会计师减少实质性测试的工作量来补偿内部控制审计增加的工作量。两种审计中做出的风险评价及识别的重大账户、列报及相关认定是相同的，如在报表审计中应收账款作为重大账户，在内部控制审计中也将应收账款作为重大账户，这为整合审计提供了基础。
    执行基于整合的两种审计，有些审计程序可以同时实现实质性测试及内部控制测试的目标。如在对管理层做出的会计估计的审计中，注册会计师要识别管理层估计考虑的因素、获得数据的来源及其可靠性、相关性、充分性，在实质性测试的同时，注册会计师使用同一套审计工作底稿可以获得这些数据及考虑的因素相关的内部控制有效性的证据。而注册会计师在对财务报表附注中固定资产披露的准确性及完整性进行实质性测试的同时，可以进行披露相关控制的测试。又如在测试银行存款余额调节表时，注册会计师会执行实质性测试——重新编制一部分调节表，这样同时会获得编制调节表控制及监督控制有效性的证据。
    注册会计师在计划内部控制审计方法时要对财务报告内部控制的有效性及风险等作出初步判断。财务报表审计中实质性测试的结果及以往年度审计中的经验会影响注册会计师在内部控制审计中做出风险评价及内部控制是否有效的结论。注册会计师不能根据实质性测试没有发现重大错报推断该项内部控制有效，但实质性测试发现重大错报而现有的内部控制不能防止和发现财务报表的重大错报，表明内部控制可能存在重大缺陷。
    （三）使用风险导向，自上而下的方法进行内部控制审计。
    风险导向，自上而下的方法是有效实施内部控制审计的关键。PCAOB针对内部控制审计准则第2号（AS.2）实施过程中给上市公司带来的巨大的成本负担，在新的内部控制审计准则第5号（AS.5）中要求注册会计师使用自上而下的审计方法，以注册会计师对财务报告内部控制整体风险的了解开始，将重点关注企业层面控制，引导注册会计师将注意力放在具有合理可能性发生重大错报的账户、列报及相关认定上。按照AS.2，最早的内部控制审计往往采用所谓的“自下而上”的方法，注册会计师首先进行风险评价，然后在流程层面测试应对这些风险的控制，这种方法下注册会计师增加了对不会导致财务报表重大错报风险的控制测试不必要的工作量。
    注册会计师应该基于风险评价，确定重要账户、列报及相关认定，选择拟测试的控制。注册会计师在审计工作最初就要仔细设计风险评价程序以识别相关的风险。风险评价过高会导致注册会计师执行不必要的测试程序，风险评价过于详细则会把与对财务报告内部控制的整体有效性发表审计意见不相关的风险包含在内，注册会计师没有责任获得充分、适当的证据，以支持对每一单项控制的有效性发表意见。注册会计师应将识别的风险从低到高进行排序，以按照风险的大小适当安排分别应投入的审计工作量，也有助于注册会计师分析预期要投入的总审计工作量是否恰当。因为越接近审计基准日越可以获得更充分有效的证据，注册会计师应该安排接近于审计基准日测试风险较大的控制，并且将该控制测试覆盖更长的一段时间，以减少风险。
    只有控制的设计和运行都有效，注册会计师才能得出控制有效的结论。当注册会计师发现控制设计无效就没有必要测试控制运行是否有效；发现控制没有有效运行就应该停止进一步计划该控制的测试。注册会计师应结合以前年度审计中获得的知识进行审计工作，每一控制不需要每年同等程度地进行测试。注册会计师得出控制有效的结论所需要的测试取决于该控制相关的风险的大小。AS.5认为经常进行穿行测试是最有效方式，穿行测试是指跟踪交易的发生到最终被反映到企业财务记录中的整个处理过程。
    有效审计还意味着注册会计师在准则许可的情况下最大程度地利用他人工作。注册会计师应当评估是否利用他人工作及利用程度，利用他人工作的程度取决于相关控制的风险及注册会计师对拟利用其工作的人员的专业胜任能力和客观性的评价。注册会计师还可以灵活地在期中安排控制测试的时间，提高整合审计的效果，有利于财务报表审计中采用控制信赖方法，且能更早地识别控制缺陷，使得公司有机会在期末之前补救控制缺陷。注册会计师获得了期中控制有效的证据，要得出特定日期财务报告内部控制有效性的结论还要获得有效证据证明剩余期间控制的运行情况，当剩余期间控制失效的可能性较低时，注册会计师可只实施询问程序。
    二、我国内部控制审计的发展状况及建议
    2001年10月，证监会在《关于做好证券公司内部控制评审工作的通知》中要求证券公司聘请会计师事务所对内部控制进行评审。2006年证监会发布的《首次公开发行股票并上市管理办法》中要求IPO公司要由注册会计师出具无保留意见的内部控制鉴证报告。证监会对于证券公司和IPO公司内部控制评审的要求中包括了财务报告内部控制之外其他重大方面的控制。2006年上交所、深交所分别发布了《上市公司内部控制指引》，鼓励注册会计师在对公司进行年度审计时，就公司财务报告内部控制情况出具评价意见。财务报告内部控制审计是一项新的鉴证业务，且有别于财务报表审计的定量、精确审计，更多依赖于注册会计师的定性分析，对注册会计师的能力提出了更高的要求，相关的审计理论也亟待完善。为我国注册会计师能更好地进行内部控制审计，本文提出以下建议：
    随着我国的财务报告内部控制审计指引的推出，有关部门要专门组织《内部控制基本规范》及内部控制审计相关的业务培训，使注册会计师理解内部控制审计的要求。报表审计与财务报告内部控制整合审计的复杂性使得审计工作要面临许多重要的判断，因此注册会计师应该在计划阶段让更多的IT、税务等各方面的专家甚至是管理层包括进来，以减少注册会计师内部控制审计经验少带来的风险。注册会计师对每一阶段的审计都要及时整理，判断两种审计的相互影响。基于整合审计的考虑，由相同的注册会计师进行控制测试和实质性测试，这样基于内部控制测试的结果可以提高实质性测试的计划和执行。
    注册会计师在内部控制审计中要使用管理层评价。而目前我国上市公司披露的管理层自我评价流于形式，缺少信息含量，建议监管部门尽早出台明确的管理层自我评价标准及详细的指引，准确表达管理层的评价结论。同时应强制要求管理层的自我评价详细披露已发现的重大缺陷，如：重大缺陷的发现时间；是管理层还是注册会计师发现的；已采取或计划采取的补救措施及什么时间完成；已采取的补救措施取得的进展；对当期及前期财务报表的影响程度；什么科目受到影响。管理层还应详细报告内部控制在报告期内的变动，使得管理层评价真正提供有价值的信息。有价值的管理层的自我评价报告有利于注册会计师提高内部控制审计的效率效果。

作者：中国人民大学商学院 王美英 来源：《财务与会计》2009年第11期