2008年5月和2010年4月,財政部會同證監會、審計署、銀監會和保監會發布的《企業內部控制基本規范》和《企業內部控制配套指引》,構建了我國企業內部控制規范體系,確立了注冊會計師執行企業內部控制審計制度和標準。內部控制制度的建立,意味著監管的重點從只注重財務報告本身可靠性轉向同時注重對保證財務報告可靠性機制的建設。
如何對內部控制進行審計,涉及到內部控制審計的思路。結合我國實施的風險導向審計思路,《企業內部控制審計指引》第十條規定,注冊會計師應當按照“自上而下”的方法實施審計工作。“自上而下”的方法始于財務報表層次,以注冊會計師對財務報告內部控制整體風險的了解開始,然后注冊會計師將關注重點放在企業層面的控制上,并將工作逐漸下移至重大賬戶、列報及相關的認定。
一、從財務報表層次初步了解內部控制整體風險
可能導致企業財務報表產生重大錯報風險的因素,一般來說源于企業的外部環境和企業自身的環境。了解的內容主要包括:(1)行業狀況、法律環境與監管環境以及其他外部因素;(2)企業性質及對會計政策的選擇和運用;(3)企業的目標、戰略以及相關經營風險;(4)財務業績的衡量和評價。
對企業外部環境的了解,主要是為獲取對企業的經營狀況的總體認識。在這個環節獲取的情況,多數可能與評估企業財務報表層次的重大錯報風險有關。在對經營狀況有了一個總體認識的情況下,注冊會計師針對企業的財務報表制定審計計劃就不會迷失方向。在了解企業時,就會把了解和調查的重點放在企業針對不利的外部環境時其管理層是否進行了適當的風險評估和采取了合理的應對措施上面。
二、識別企業層面控制
通過了解企業與財務報告相關的整體風險,注冊會計師可以識別出為保持有效的財務報告內部控制而必需的企業層面內部控制。注冊會計師測試企業層面控制,應當把握重要性原則,至少應當關注:
1.與內部環境相關的控制
內部環境,即控制環境,包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和措施。在評價控制環境的設計時,注冊會計師應當考慮構成控制環境的下列要素,以及這些要素如何被納入企業業務流程:(1)對誠信和道德價值觀念的溝通與落實;(2)對勝任能力的重視;(3)治理層的參與程度;(4)管理層的理念和經營風格;(5)組織結構;(6)職權與責任的分配;(7)人力資源政策與落實。
2.針對董事會、經理層凌駕于控制之上的風險而設計的控制
注冊會計師可以根據對企業舞弊風險的評估作出判斷,選擇相關的企業層面控制進行測試,并評價這些控制能否有效應對管理層凌駕于控制之上的風險。注冊會計師應當特別關注由于管理層凌駕于賬戶記錄控制之上,或規避控制行為而產生的重大錯報風險,并考慮企業如何糾正不正確的交易處理。
3.企業的風險評估過程
包括識別與財務報告相關的經營風險和其他經營管理風險,以及針對這些風險采取的措施。注冊會計師在對企業整體層面的風險評估過程進行了解和評估時,考慮的主要因素可能包括:(1)企業是否已建立并溝通其整體目標,并輔以具體策略和業務流程層面的計劃;(2)是否已建立風險評估過程,包括識別風險,估計風險的重大性,評估風險發生的可能性以及確定需要采取的應對措施;(3)是否已建立某種機制,識別和應對可能對企業產生重大且普遍影響的變化;(4)會計部門是否建立了某種流程,以識別會計準則的重大變化;(5)業務操作發生變化并影響交易記錄的流程時,是否存在溝通渠道以通知會計部門;(6)風險管理部門是否建立了某種流程,以識別經營環境,包括監管環境發生的重大變化。
4.對內部信息傳遞和財務報告流程的控制
注冊會計師應當從下列方面了解與財務報告相關的信息系統:(1)對財務報表具有重大影響的各類交易;(2)在信息技術和人工系統中,交易生成、記錄、處理和報告的程序;(3)與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目;(4)信息系統如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況;(5)企業編制財務報告的過程,包括作出的重大會計估計和披露。財務報告流程的控制可以確保管理層按照適當的會計準則編制合理、可靠的財務報告并對外報告。
5.對控制有效性的內部監督和自我評價
企業對控制有效性的內部監督和自我評價可以在企業層面上實施,也可以在業務流程層面上實施,包括:對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執行人員的監控活動,以及將信息系統記錄數據與實物資產進行核對等。
三、識別業務層面控制
注冊會計師測試業務層面控制,應當把握重要性原則,結合企業實際內部控制各項應用指引的要求和企業層面控制的測試情況,重點對生產經營活動中的重要業務與事項的控制進行測試。注冊會計師應首先確定企業的重要業務流程和影響重大賬戶的重要交易類別,了解重要交易從發生到記入賬目的整個流程,與重大賬戶及其相關認定相結合,在重要交易整個流程中確定錯報可能會在什么環節發生,即確定相應的控制目標;然后根據確定的審計測試策略,計劃對內部控制進行進一步了解和評估,對重要交易流程中設計的防止或發現并糾正可能錯報的相關控制加以識別;再通過執行穿行測試,來證實對重要交易流程和相關控制的了解,并確定相關控制是否得到執行;最后對相關控制的設計和是否得到執行進行評價,以確定進一步的審計程序。
四、了解錯報的可能來源
在識別重要賬戶、列報及其相關認定時,還需要確定對財務報表產生重大影響的潛在錯報的可能來源。注冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定潛在錯報的可能來源。注冊會計師應重點關注是否存在下列情況:(1)因某種需要而粉飾財務狀況和經營成果;(2)為某些目的而低估收入或高估費用;(3)管理層凌駕于控制之上;(4)非正常的關聯方經濟往來。
五、選擇擬測試的控制
注冊會計師需要評價控制是否足以應對評估的每個相關認定的錯報風險,并選擇其中對形成審計結論具有重要影響的控制進行測試,測試控制運行的有效性。是否選擇某項控制進行測試取決于該項控制單獨或合并起來是否足以應對相關認定的錯報風險。在評估認定層次重大錯報風險時,預期控制的運行是有效的;或僅實施實質性程序不足以提供認定層次充分、適當的審計證據時,注冊會計師應當通過詢問、觀察、檢查、穿行測試和重新執行等實施控制測試。
六、小結
“自上而下”的方法描述了注冊會計師在識別風險以及擬測試的控制時的連續思維過程,但并不一定是注冊會計師執行審計程序的順序。“自上而下”的審計方法,是一項全新的審計思路,可以大大提高審計的效率和效果。
