问：企业内部控制审计与财务报告审计有何联系？

    答：企业内部控制的了解和测试，及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此，内部控制审计和财务报告审计存在着多方面联系，主要体现在以下五个方面：

    一是两者的最终目的一致，虽然二者各有侧重，但最终目的均为提高财务信息质量，提高财务报告的可靠性，为利益相关者提供高质量的信息。

    二是两者都采取风险导向审计模式，注册会计师首先实施风险评估程序，识别和评估重大缺陷（或错报）存在的风险。在此基础上，有针对性地采取应对措施，实施相应的审计程序。

    三是两者都要了解和测试内部控制，并且对内部控制有效性的定义和评价方法相同，都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。

    四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中，需要评价这些重点账户和重要交易类别是否存在重大错报；在内部控制审计中，需要评价这些账户和交易是否被内部控制所覆盖。

    五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平，旨在检查财务报告中是否存在重大错报；在财务报告内部控制审计中确定重要性水平，旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同，因此二者在审计中确定的重要性水平亦相同。

    记者：既然两者存在多方面的密切联系，企业内部控制审计为什么是独立于财务报告审计的单独业务？在审计工作中，是否能够对二者实施整合审计？

    答：虽然二者存在着多方面的联系，但财务报告审计是为了提高财务报告的可信赖程度，重在审计“结果”；而内部控制审计是对保证企业财务报告质量的内在机制的审计，重在审计“过程”。审计对象、重点等的不同，使得二者存在实质性差异，内部控制审计独立于财务报告审计。二者差异主要体现在五个方面：

    首先，对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的，是为了判断是否可以相应减少实质性程序的工作量，以及支持财务报告的审计意见类型；在内部控制审计中评价内部控制的目的，则是为了对内部控制本身的有效性发表审计意见。

    第二，内部控制测试范围存在区别。注册会计师在财务报告审计中，根据成本效益原则可能采取不同的审计策略，对于某些审计领域，可以绕过内部控制测试程序进行审计。而在内部控制审计中，注册会计师则不能绕过内部控制测试程序进行审计，注册会计师应当针对每一审计领域获取控制有效性的证据，以便对内部控制整体的有效性发表意见。

    第三，内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中，对控制测试的可靠性要求相对较低，注册会计师测试的样本量也有一定的弹性。在内部控制审计中，注册会计师则需要获取内部控制有效性的高度保证，因此对控制测试的可靠性要求较严，样本量选择相对弹性较小。

    第四，两者对控制缺陷的评价要求不同。在财务报告审计中，注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中，注册会计师需要对内部控制缺陷进行严格的评估，将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。

    第五，审计报告的内容不同。在财务报告审计中，注册会计师一般不对外报告内部控制的情况，除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中，注册会计师应报告内部控制的有效性。

    从以上五个方面可以看出，两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异，这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中，两者审计模式、程序、方法等存在着相同之处，风险识别、评估、应对等大量工作内容相近，有很多的基础工作可以共享，在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此，这两项审计工作完全可以整合进行，而由同一家事务所进行整合审计，不仅有利于提高审计效果和效率，降低审计成本，减少重复劳动，而且可以避免审计判断出现不一致的情形，降低企业聘请不同事务所实施审计的负担。

    目前，美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计，将企业内部控制审计定位在整合审计。美国的一项调查也显示，企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%，将两项审计工作更好地整合起来则是其中的一个主要原因。为此，我国《企业内部控制审计指引》也提倡将二者整合进行。

记者：企业内部控制审计的主要内容有哪些？内部控制审计报告对投资人等利益相关者的价值何在？

    答：内部控制审计是会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计，并发表审计意见，审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素，以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等，全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整，以及用于保护资产安全的内部控制是否可靠。

    企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的，则出具无保留意见的内部控制审计报告；如果注册会计师认为企业内部控制存在重大缺陷，则出具否定意见内部控制审计报告；如果注册会计师审计范围受到限制，则应当解除业务约定或出具无法表示意见的内部控制审计报告。

    企业内部控制审计与财务报告审计两种意见类型相互关联，但并非一一对应。例如，在执行内部审计过程中，注册会计师发现企业财务报告内部控制存在重大缺陷，应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报，注册会计师则出具标准意见的财务报告审计报告。又如，注册会计师对企业财务报告发表否定意见，意味着财务报告的编制不符合适用的会计准则和会计制度的规定，这种情况下，企业的内部控制也通常存在重大缺陷，应该出具否定意见的内部控制审计报告。

    因此，企业内部控制审计能够比财务报告审计提供更进一步的信息，有利于投资者在财务报告审计意见类型基础上，深入分析企业内部控制情况、投资风险和投资价值。