現代風險導向審計認為,審計風險由兩部分組成:財務報表包含重大錯報的風險,以及審計人員通過執行實質性測試仍未發現這些錯報的風險。對于前一種風險,審計人員無法加以控制只能予以評估,而對后一種風險審計人員可以通過選擇和執行實質性測試加以控制。為了將審計風險控制在相同的低水平上,可以對風險評估程序、控制測試和實質性程序采取不同的組合方式,其中某些組合方式將更富有效率和效果。審計人員究竟采用何種組合,取決于其對內部控制“設計和運行有效性”的判斷,以及對“控制測試更有效”還是“測試賬戶余額本身更有效”的判斷。
一、內部控制及其在審計中的運用
(一)內部控制標準站在不同的立場或角度,對內部控制的需要和認識不盡相同。出于對不同群體需要的考慮,COSO開發了一個實用的、能夠被廣泛接受的標準:內部控制――整合框架,將內部控制描述為為了達到3個目標所必需的5個組成部分:控制環境、風險評估過程、信息系統與溝通、控制活動以及對控制的監督。3個目標是:財務報告的可靠性、經營的效率和效果、相關法律法規的遵循。盡管這些目標各不相同,但可能相互交叉。一般而言,很多控制措施可能對應一個以上的目標。只有包含廣泛范圍的內部控制,才能滿足不同的目標,也才能被廣泛的接受。
(二)內部控制在審計中的運用現代風險導向審計要求審計人員以重大錯報風險的識別、評估和應對為審計工作的主線,提高審計工作的效率和效果。審計人員是在了解被審計單位及其環境(包括內部控制)的過程中識別與評估財務報表層次和認定層次的重大錯報風險,并針對不同層次的風險,分別采取總體應對措施和進一步審計程序。其中對內部控制實施的審計程序包括兩個步驟:對內部控制的了解和控制測試。前者是必須程序,后者是非必須程序。對內部控制執行的審計程序的性質和范圍,取決于審計人員對控制風險水平的判斷(如圖1所示)。
二、了解內部控制
(一)了解內控的含義對企業內部控制的了解是指,將內部控制與企業的其他信息(如以前年度的經驗)一起考慮,來評估控制的設計是否有效。“設計有效性”指的是一項控制單獨或連同其他控制是否能夠有效防止或發現并糾正重大錯報。對內部控制的了解還包括確定企業是否在實際應用這些控制。
(二)了解內控的范圍盡管內部控制關系到整個企業以及企業的各個經營單位或業務功能,但審計人員并不必了解與企業的每個經營單位或業務功能相關的內部控制。在評估控制風險時,審計人員最關心的是影響財務報表認定可靠性的控制。即如果某一內部控制程序產出的信息形成財務報告信息或檢驗財務報告信息,則這一內部控制程序是與財務報告相關的內部控制程序。如用來保護或維護資產免受非授權購買、使用或變賣的控制,通常既能夠滿足財務報告的目標,又能夠滿足經營的目標。審計人員在考慮這些控制時,通常局限于與財務報告可靠性相關的控制上。大多數與管理層各種決策過程的效率和效果相關的控制都與審計無關。如限制在企業的生產過程中過度使用原材料的措施,通常與審計無關,審計人員不必在了解內部控制和評估控制風險時予以考慮。
(三)了解內控的要求與財務報告相關的控制,在企業中被應用于各種層面。有些控制要素(如控制環境)在企業的較高層面運行,因此對很多乃至所有賬戶的余額都有影響。有些控制被應用到一個循環或一個循環中的整個交易類別,影響到相關交易產生的賬戶余額,而控制活動則在更低、更詳細的層面上運行,主要關注交易循環中的單個應用程序,并對特定賬戶余額和審計目標產生影響。不同控制組成部分,達到財務報表認定或審計目標的效果也不同。較高層面的內部控制是否有效將直接影響重要業務流程層面控制的有效性。因此,要求審計人員從被審計單位整體層面和業務流程層面分別了解被審計單位的內部控制。
(四)了解內控的技術方法審計人員應充分了解內部控制的5個要素,以便針對每個重要交易類別和賬戶余額進行初步風險評估。實務中常用的技術方法有:(1)觀察:指審計人員親臨工作現場,實地觀察有關人員的工作情況,以確定控制措施是否有效的方法。(2)詢問:指為了解公司內部控制設計是否有效,執行是否符合要求,而向有關人員詢問情況的方法,包括口頭詢問和書面詢問,并對詢問結果進行分析、判斷。(3)檢查:指抽取內部控制生成的記錄和文件,檢查內部控制是否有效實施的方法。如通過檢查借款審批單上的有關負責人簽字,核實資金支付是否經過恰當的授權審批。(4)穿行測試:指選取某一交易樣本,從該交易開始啟動到授權、記錄和處置,并經過信息處理系統,最終反映在財務報表的整個過程進行追蹤、測試。通過穿行測試,可以有助于審計人員對內部控制進一步詳細了解,并有助于判斷內控設計和執行的缺陷。
(五)初步評價在了解了足夠的內部控制信息后,審計人員通過檢查所設計的控制程序在良好運行條件下,能否達到目標來評價控制設計的有效性。當某項控制的設計或運行不能使管理層或員工在正常行使其職責過程中及時防止或發現錯報時,表明存在某項內部控制缺陷。設計缺陷包括以下兩種情形:(1)為達到實現控制目標的必要控制措施未實施;(2)現有控制的設計不適當,以至于盡管控制按照設計運行,但控制的目標經常不能實現。審計人員對控制的評價結論可能是:(1)控制設計合理,并得到執行;(2)控制設計合理,未得到執行;(3)控制設計無效或缺乏必要的控制。
(六)示例由于企業的規模和復雜程度及控制的性質各不相同,對內部控制的了解也存在差異。本文列示了對大中型企業內部控制的了解。
(1)對整體層面內部控制的了解。對整體層面內部控制的了解主要針對控制環境、風險評估、與財務報告相關的信息系統與溝通以及監督四個要素進行,這些要素在企業的較高層面運行,通常與企業的所有交易均相關。在具體實施時,審計人員要分析每個控制要素的具體內容,針對各自的影響因素,確定相應的控制目標,并根據不同的控制目標,了解和記錄被審計單位采取的相關控制措施,進而判斷控制設計是否合理。表1列示了實務中對“控制環境”要素的了解和評價。
(2)對業務流程層面內部控制的了解。與其他控制要素不同,控制活動均在業務層面上進行,一般只針對數量大或風險高的交易類別及某些特定賬戶余額和審計目標,其關系到特定的經營過程和相關交易及賬戶,因而比運轉在較高層面、較為概括的控制更加直接地影響企業的財務報告目標。實務中通常首先針對各循環的控制目標,將常用的控制活動與被審計單位的控制活動進行比較,并評價控制活動對實現控制目標是否有效。其次,進行穿行測試,以確定控制是否得到執行。表2列示了對銷售和收款循環中控制活動的了解和評價。
三、實施控制測試
(一)控制測試的含義與目的控制測試指測試控制運行的有效性。運行有效性是指如何運用一項控制,其是否在本期自始至終處于運行狀態,以及什么人負責其運行。作為進一步審計程序的類
型2_--,控制測試并非在任何情況下都需要實施。審計人員實施控制測試是基于以下兩個目的:一是出于成本效益的考慮。在評估認定層次重大錯報風險時,如果預期控制的運行是有效的,那么與該控制有關的財務報表認定發生錯報的可能性就不會很大,審計人員就可以減少相應的實質性程序。二是為了獲取另一類的審計證據。當僅實施實質性程序獲取的審計證據無法將認定層次重大錯報風險降低至可接受的低水平時,審計人員應當實施控制測試,以獲取控制運行有效性的證據。
(二)控制測試的確定實務中控制測試的具體運用包括兩種情形:一是了解內部控制同時執行控制測試;二是為降低控制風險的評估水平而執行額外的控制測試。審計人員究竟決定怎樣進行測試以及測試哪些控制,主要依據對控制風險的初步評估。評估的控制風險水平越低,就越需要有關控制有效運行的證據。
(1)了解內部控制同時執行控制測試。如果將控制風險初步評估為低于最大值,但不是低水平,那么審計人員就會將控制測試限制在企業層面的控制和業務層面的監督控制上。而大多數業務中,審計人員通過了解內部控制時執行的程序,能夠取得某些企業層面控制有效運行的證據,來支持控制風險低于最大值的評估結論,因此,就不需要執行進一步的控制測試。在了解控制的同時所執行的控制測試通常不是針對控制活動進行的,因此不能提供充足的證據來支持控制風險為低水平的評估結論。
(2)執行額外的控制測試。為了將控制風險評估為低水平,審計人員可能會需要進行額外的控制測試。額外的控制測試是針對控制活動進行的。因為控制活動是應用在更低、更詳細的層次上,而且相對于控制的其他組成部分來說,控制活動對特定審計目標和交易循環中賬戶余額有更直接的影響,因此,控制活動的測試對支持低水平的控制風險評估來說是必不可少的。但是測試控制活動通常比測試其他組成部分的控制,需要投入更多的審計精力。因此,除非審計人員已經確定可以取得證據,來支持賬戶余額或交易類別的完整性、準確性以及存在性或發生性這三個目標的控制風險評估為低水平,而且證據的取得方式是有效率的,否則通常不會測試控制活動。在滿足以上要求的情況下,審計人員就能省略或大大削減上述目標相關的實質性測試。
(三)控制測試的程序審計人員在進行控制測試時使用的技術方法、執行測試的時間及測試數量,取決于對支持具體控制風險評估結果的必要證據的判斷。審計人員在做這些決定時,應該考慮證據的來源、證據的及時性以及其他相關證據是否存在。
(1)控制測試技術方法。進行控制測試時,可以使用的技術方法有詢問、觀察、檢查文件和記錄以及重新執行。除了重新執行,其他用來進行控制測試的方法和那些用于了解控制的方法完全一樣。可見,為評價控制設計和確定控制是否得到執行而實施的某些風險評估程序并非專為控制測試而設計,但可能提供有關控制運行有效性的審計證據。通常基于觀察、詢問和檢查文件記錄而進行的測試,能夠提供足夠的證據,來證明相關控制的運行是有效的。只有當詢問、觀察和檢查程序結合在一起仍無法獲得充分的證據時,審計人員才考慮通過重新執行來證實控制是否有效運行。
(2)控制測試范圍。控制測試中應用的程序應該足夠廣泛,以支持對控制風險的評估。如審計人員詢問銷售經理,如何審核和調查毛利率異常的報告,如果僅僅詢問銷售經理是否對差異做了調查,是不充分的。通常還應該詢問:報告是怎樣審核;是否每個報告都經過審核;如何調查報告上的項目;哪些問題導致出現這些異常情況等。
(3)證據的時效性。如果在控制測試中使用觀察技術,審計人員應該考慮到,從測試中獲取的證據僅僅與觀察發生的時點相關。該證據不足以評價在非測試期間控制的有效性。在這種情況下審計人員會決定執行其他的控制測試,來獲得控制在整個審計期間運行有效的證據。如審計人員會在某個時點觀察存貨的盤點,并檢查其他時間段內用于記錄存貨盤點的文件。
(4)控制的持續運行。在評估控制測試是否支持計劃的實質性控制范圍時,審計人員需要確定相關控制在本期內是否持續運行。由于手工控制和計算機控制的特點不同,其控制風險也存在差異。手工應用的控制更容易發生隨機失敗。當評估這些控制時,審計人員應取得證據,證明其被用于不同的時間和地點。當然這些測試不需要很廣泛。在某些情況下,對監督控制的測試,能夠提供手工執行控制持續運行的有效證據。而且,獲取有關持續運行的證據,并不必總是將測試拓展至整個期間。如某項控制包括審核和追蹤異常報告,那么只要特定要求得到了遵守,如報告了“已收到但沒有出具發票的貨物”,就表明該項控制是連續的。對于計算機控制,如果已經進行了測試,并且發現其運行有效,那么就提供了程序化的會計和控制流程在整個期間內持續運行的證據。
(四)控制測試結果的評估審計人員應從以下幾個方面評估控制測試的結果:(1)計劃的控制風險估計水平是否已經達到。如果審計人員發現某個審計目標重大錯報風險比預期的高,就必須考慮需要從實質性測試中取得的保證。(2)考慮出現偏離或缺陷的原因。如果控制測試揭露以前描述過的控制中出現了偏離或缺陷,審計人員應該考慮出現的原因,是有意還是無意。有意的偏差或缺陷可能意味著存在欺詐行為,審計人員要考慮其對管理層和員工的正值性和其他審計內容的影響。如果是無意的偏差或缺陷,審計人員應考慮如何修改實質性測試計劃的內容。(3)綜合考慮控制的所有組成部分。不同的控制組成部分,通過不同的方式對內部控制起作用。只有企業層面的內部控制組成部分有效,內部控制的整體才有效。如果審計人員推斷整個企業的內部控制是有效的,那么內部控制的其他低層次方面被越權或忽略以及出現錯報的風險也會比較低。這個結論能幫助審計人員確定其他審計程序的性質、時間和范圍。
(五)示例實務中,應針對不同的控制目標及被審計單位的控制活動,考慮控制執行的頻率,采取相應的程序獲取證據,以評價控制活動是否有效,是否支持控制風險的評估水平。表3列示了對控制活動進行的測試和評價。
四、存在問題及對策
(一)內部控制評價缺乏標準我國現實條件下并不存在具有普遍指導意義的內部控制標準規范,尚未形成完整的內部控制整體框架。現實中,至少存在包括證監會、財政部、人民銀行、證券交易所等部門或主管單位發布的關于內部控制標準的規范文件。上述各規范中關于“內部控制”的定義不盡相同,企業選擇的內部控制標準就存在差異。這將導致審計人員對內部控制評價的困擾,進而影響內部控制評價的合理性。
(二)企業對內部控制的認識存在偏差實踐中,有些企業認為內部控制就是根據有關部門及主管單位的要求而制定的各項規章制度,只要制定了相應的制度規定,就已經建立了企業內部控制;也有些企業認為有關的分工體系、審批授權制度,就是內部控制制度;甚至有些企業根本就缺乏應有的內部控制。這種內部控制內容混亂的現象,導致審計人員對內部控制評價缺乏應有的基礎。
針對以上問題,筆者認為:首先,應根據我國企業的具體狀況,以COSO報告的內容為參考,制定一個統一的、能被廣泛接受的內部控制標準。其次,企業應該加強內部控制建設,根據相關法律法規要求,結合自身的特點制定一套較為科學的內部控制制度,從而為審計人員開展內部控制評價提供基礎。
