论文部分内容阅读
一、对无书面形式内部控制的辨析
《中国注册会计师审计准则第1231号—针对评估的重大错报风险采取的应对措施》第八条规定:
“当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);
(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。”
但是,在年度财务报表的审计实务中,一些注册会计师(以下简称:“CPA”)往往不认可被审计单位未能以书面形式存在,但实际执行的内部控制制度,常常错误认为,如果没有建立书面形式的内部控制制度,被审计单位就不存在内部控制,不值得或没有必要再对内部控制进行了解和评价,更无法进行控制测试。该观点不仅使得CPA对被审计单位内部控制的了解不能全面深入,评价也不能客观公正,而且还增加了后续实质性程序的工作量。
我们可以简单想象,如果企业没有内部控制,谁都可以到企业的仓库拿材料、要产品,甚至可以到企业的财务部门取钞票、开支票,如果这样,企业的资产、资金的安全将无法保障,生产经营活动将无法正常有序。但事实情况是,只要是处于生产经营状态的企业,要想取得企业的资产、资金,必须履行必要的申请、审核和批准手续。如员工要向所在企业借款,必须由员工自己填写申请、说明事由,并由企业管理人员对照内部管理规定进行审核,在按照一定批准权限办理批准手续后,最终还要经过现金会计对借款的凭据、手续进行完整性、规范性审核才可以获得借款;而如果是产品出库销往外地,必须在具备了销售合同、销售发票、收款或欠款手续、出库单及相关经办人员的签字证明,管理人员审核批准手续,并经仓库保管员最终审核相关凭据、手续是否齐备、规范后才可以让产品出库发往外地。所有这些都是内部控制,不仅有相应的制度进行规范和约束,而且还有专人负责审核审批,这就是每一家企业正常存在的“原生态”的内部控制。事实上,尽管这些以具体控制行为(活动)存在的内控制度在很多企业(特别是中小企业)不一定以书面形式存在,但是,却实实在在约束并规范着企业的经营行为。
事实上,任何处于正常经营状态且能够持续经营的企业都会有一定形式的内部控制,只是这些控制可能是非正式、非书面、简单的,但恰恰是被审计单位根据自身生产经营的特点和需要,在长期生产经营活动中逐步摸索和积累形成,且早已习惯、熟悉并遵循,适合企业自身特点、满足自身需要的约定俗成、行之有效、各具特点的控制活动(或行为)。正如《企业内部控制基本规范》第三条所规定的:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”企业实施的各项控制活动也正是企业“实现控制目标的过程”的体现。
尽管国家财政部、证监会、审计署等部门规定上市公司必须建立健全内部控制制度,迫使上市公司表面上都有了书面形式的内控制度,但在一些上市公司,书面形式的内控制度往往仅是供应付相关检查及接受审计时使用,实际执行的控制还是上市公司自己早已约定俗成并自认为行之有效的另一套控制活动。那么,对企业这种仅是停留在书面形式,实际执行的是另一套内部控制的情形,是不是可以认为建立健全了规范、完整的内部控制制度呢?回答当然是否定的。一味强调被审计单位必须有书面形式的内控制度,不认可被审计单位实际执行的各项内控活动也肯定是错误的,是教条主义。反之,以实际执行的内部控制取代必须建立健全的书面形式的内部控制,或一味信任实际执行的内控制度也是错误的。
但必须注意的是,如果企业严格按照国家出台的《企业内部控制基本规范》、《企业内部控制应用指引》等制定各项内部控制制度并认真实施,必然要设置很多控制岗位,同时还要安排更多相关人员去执行控制,这不仅会增加很多人力成本,而且还会因为需要履行各项控制程序而在一定程度上降低企业经营活动的运行速度,与企业尽可能节约成本费用、加快运行速度及提高经营效率的目标相悖,从而给一些盈利状况不佳,员工较少,岗位职责分工有限的企业增加困难,因此,这里就有一个如何权衡加强控制和约束成本对企业利弊影响的问题,即企业怎样能够在尽可能降低人力成本的情况下更好地实现控制目标。但现实情况是,很多企业(主要是中小企业)往往很可能仅是采用非正式和简单的控制方法和程序实现控制目标,最为典型的问题是很可能造成企业参与日常经营管理的业主(一般指在企业治理层和管理层兼职的股东)身兼多职,使得他们有更多机会同时直接参与多种管理和控制,容易产生凌驾于内部控制之上的舞弊风险。因此,这里不仅需要企业权衡不加强或简化内部控制很可能增加的舞弊风险,以及通过加强内部控制而增加的控制成本之间的利弊得失,而且也迫使CPA在识别由于舞弊导致的重大错报风险时必须重点考虑舞弊问题。
二、了解评价无书面形式内部控制的具体审计措施
那么,CPA究竟应该如何审计未能以书面形式存在,但企业确已执行多年,且行之有效、各具特色内部控制的被审计单位呢?
(一)一分为二、实事求是
CPA不仅不能再简单认为此类被审计单位没有内控,但也不能全盘认可这种“原生态”的内控,必须一分为二,既要看到原生态内部控制简明、实用、针对性强、宜于执行、节约成本等给企业带来的有利一面,但也要看到“原生态”内控可能存在的完整性、规范性、科学性不足等固有缺陷,以及很可能因其容易产生舞弊风险而导致重大错报风险等问题。因此,CPA对此类被审计单位务必保持必要的职业谨慎,在首次接受此类企业的年报审计业务时,一定要实事求是地提出必要的整改意见,次年再次接受审计时,必须检查被审计单位对整改意见的落实情况,并根据对内部控制的整改和完善情况对财务报表可能存在的重大影响发表相应的审计意见。
(二)因地制宜、有的放矢 在使用年报审计软件审计该类被审计单位时,对审计软件上设计好的控制目标、控制活动及审计程序等不能也不应该简单甚至全部套用,只能在对同类企业进行审计时借鉴审计软件对内部控制设计的相关内容或问题的提示,必须因地制宜、合理借鉴。在对“原生态”内控的被审计单位审计时,必须对被审计单位实际存在的各种各样、实际执行的控制活动进行专门的记录、分析、评价及判断。
(三)全面了解、抓住重点
CPA要全面熟悉被审计单位的生产经营情况和企业目标,通过主动询问、观察和检查等方式了解被审计单位在整体层面对内部控制的设计,记录所了解的控制目标、控制活动及执行情况(注意,因企业没有书面形式的内部控制,所以,这是CPA了解和获取被审计单位整体层面内部控制情况的主要或唯一途径),评价被审计单位整体层面内部控制的设计和执行情况,记录发现的被审计单位控制要素存在的缺陷以及对审计可能产生的影响。但必须注意的是,由于此类内控“原生态”企业业务流程的清晰度很可能不足,CPA可能很难识别出更多清晰的业务流程,所以,对整体层面内部控制的了解可能成为CPA了解被审计单位内部控制的主要内容,在很大程度上要比对业务流程层面内部控制的了解更为重要。
(四)深入实际、检查评价
通过主动询问、观察、检查等方式,清晰识别、合理划分被审计单位各业务循环中与财务报告相关的业务流程,记录所获得的了解。按照被审计单位的各业务流程分别了解、询问、观察并记录被审计单位实际执行的各项具体的控制目标、控制活动、控制性质、控制频率等情况,检查和评价相关内部控制是否能够应对特别风险?与控制相关的风险是高还是低?对实现控制目标是否有效?同时记录在了解和评价被审计单位业务流程层面对控制的设计和执行过程中识别的风险,以及拟采取的应对措施。
(五)测试评价、分析判断
CPA应了解被审计单位与审计相关的内部控制,以及受相关控制活动影响的交易类别、账户余额和披露及其认定,评估被审计单位对控制的设计是否有效、控制是否得到执行、对控制的执行是否有效。CPA在业务流程层面应执行如下步骤:①确定被审计单位的重要业务流程和重要交易类别;②了解重要业务流程,并记录获得的了解;③确定可能发生错报的环节;④识别和了解相关控制;⑤执行穿行测试,证实对业务流程和相关控制的了解;⑥进行初步评价和风险评估。通过以上对审计单位业务流程层面相关控制活动的了解和测试,在评价相关控制活动是否得到较好执行,是否能够较好实现控制目标后,CPA还要再据了解和测试的情况,分析、判断是否需要测试控制运行的有效性。
(六)关注缺陷、防范风险
在上述工作中,CPA需始终关注被审计单位有无值得关注的内部控制缺陷的迹象,如是否识别出被审计单位内部控制未能防止的管理层舞弊(无论是否重大),管理层是否已对以前已沟通的值得关注的内部控制缺陷采取适当的纠正措施等。对从业务流程层面识别出的各类控制缺陷,CPA不仅应汇总至控制缺陷汇总表确定该缺陷单独或连同其他缺陷是否已构成值得关注的缺陷,而且还应考虑对审计工作的影响,是否需要修改计划,同时还要向管理层或治理层进行适当沟通。但需要注意的是,由于内部控制重大缺陷导致财务报告重大错报风险的可能性较大,所以,CPA还要特别注意防范可能由内部控制重大缺陷产生的审计风险。
作者单位:
南通富士通微电子股份有限公司
江苏省南通市注册会计师协会
《中国注册会计师审计准则第1231号—针对评估的重大错报风险采取的应对措施》第八条规定:
“当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);
(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。”
但是,在年度财务报表的审计实务中,一些注册会计师(以下简称:“CPA”)往往不认可被审计单位未能以书面形式存在,但实际执行的内部控制制度,常常错误认为,如果没有建立书面形式的内部控制制度,被审计单位就不存在内部控制,不值得或没有必要再对内部控制进行了解和评价,更无法进行控制测试。该观点不仅使得CPA对被审计单位内部控制的了解不能全面深入,评价也不能客观公正,而且还增加了后续实质性程序的工作量。
我们可以简单想象,如果企业没有内部控制,谁都可以到企业的仓库拿材料、要产品,甚至可以到企业的财务部门取钞票、开支票,如果这样,企业的资产、资金的安全将无法保障,生产经营活动将无法正常有序。但事实情况是,只要是处于生产经营状态的企业,要想取得企业的资产、资金,必须履行必要的申请、审核和批准手续。如员工要向所在企业借款,必须由员工自己填写申请、说明事由,并由企业管理人员对照内部管理规定进行审核,在按照一定批准权限办理批准手续后,最终还要经过现金会计对借款的凭据、手续进行完整性、规范性审核才可以获得借款;而如果是产品出库销往外地,必须在具备了销售合同、销售发票、收款或欠款手续、出库单及相关经办人员的签字证明,管理人员审核批准手续,并经仓库保管员最终审核相关凭据、手续是否齐备、规范后才可以让产品出库发往外地。所有这些都是内部控制,不仅有相应的制度进行规范和约束,而且还有专人负责审核审批,这就是每一家企业正常存在的“原生态”的内部控制。事实上,尽管这些以具体控制行为(活动)存在的内控制度在很多企业(特别是中小企业)不一定以书面形式存在,但是,却实实在在约束并规范着企业的经营行为。
事实上,任何处于正常经营状态且能够持续经营的企业都会有一定形式的内部控制,只是这些控制可能是非正式、非书面、简单的,但恰恰是被审计单位根据自身生产经营的特点和需要,在长期生产经营活动中逐步摸索和积累形成,且早已习惯、熟悉并遵循,适合企业自身特点、满足自身需要的约定俗成、行之有效、各具特点的控制活动(或行为)。正如《企业内部控制基本规范》第三条所规定的:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”企业实施的各项控制活动也正是企业“实现控制目标的过程”的体现。
尽管国家财政部、证监会、审计署等部门规定上市公司必须建立健全内部控制制度,迫使上市公司表面上都有了书面形式的内控制度,但在一些上市公司,书面形式的内控制度往往仅是供应付相关检查及接受审计时使用,实际执行的控制还是上市公司自己早已约定俗成并自认为行之有效的另一套控制活动。那么,对企业这种仅是停留在书面形式,实际执行的是另一套内部控制的情形,是不是可以认为建立健全了规范、完整的内部控制制度呢?回答当然是否定的。一味强调被审计单位必须有书面形式的内控制度,不认可被审计单位实际执行的各项内控活动也肯定是错误的,是教条主义。反之,以实际执行的内部控制取代必须建立健全的书面形式的内部控制,或一味信任实际执行的内控制度也是错误的。
但必须注意的是,如果企业严格按照国家出台的《企业内部控制基本规范》、《企业内部控制应用指引》等制定各项内部控制制度并认真实施,必然要设置很多控制岗位,同时还要安排更多相关人员去执行控制,这不仅会增加很多人力成本,而且还会因为需要履行各项控制程序而在一定程度上降低企业经营活动的运行速度,与企业尽可能节约成本费用、加快运行速度及提高经营效率的目标相悖,从而给一些盈利状况不佳,员工较少,岗位职责分工有限的企业增加困难,因此,这里就有一个如何权衡加强控制和约束成本对企业利弊影响的问题,即企业怎样能够在尽可能降低人力成本的情况下更好地实现控制目标。但现实情况是,很多企业(主要是中小企业)往往很可能仅是采用非正式和简单的控制方法和程序实现控制目标,最为典型的问题是很可能造成企业参与日常经营管理的业主(一般指在企业治理层和管理层兼职的股东)身兼多职,使得他们有更多机会同时直接参与多种管理和控制,容易产生凌驾于内部控制之上的舞弊风险。因此,这里不仅需要企业权衡不加强或简化内部控制很可能增加的舞弊风险,以及通过加强内部控制而增加的控制成本之间的利弊得失,而且也迫使CPA在识别由于舞弊导致的重大错报风险时必须重点考虑舞弊问题。
二、了解评价无书面形式内部控制的具体审计措施
那么,CPA究竟应该如何审计未能以书面形式存在,但企业确已执行多年,且行之有效、各具特色内部控制的被审计单位呢?
(一)一分为二、实事求是
CPA不仅不能再简单认为此类被审计单位没有内控,但也不能全盘认可这种“原生态”的内控,必须一分为二,既要看到原生态内部控制简明、实用、针对性强、宜于执行、节约成本等给企业带来的有利一面,但也要看到“原生态”内控可能存在的完整性、规范性、科学性不足等固有缺陷,以及很可能因其容易产生舞弊风险而导致重大错报风险等问题。因此,CPA对此类被审计单位务必保持必要的职业谨慎,在首次接受此类企业的年报审计业务时,一定要实事求是地提出必要的整改意见,次年再次接受审计时,必须检查被审计单位对整改意见的落实情况,并根据对内部控制的整改和完善情况对财务报表可能存在的重大影响发表相应的审计意见。
(二)因地制宜、有的放矢 在使用年报审计软件审计该类被审计单位时,对审计软件上设计好的控制目标、控制活动及审计程序等不能也不应该简单甚至全部套用,只能在对同类企业进行审计时借鉴审计软件对内部控制设计的相关内容或问题的提示,必须因地制宜、合理借鉴。在对“原生态”内控的被审计单位审计时,必须对被审计单位实际存在的各种各样、实际执行的控制活动进行专门的记录、分析、评价及判断。
(三)全面了解、抓住重点
CPA要全面熟悉被审计单位的生产经营情况和企业目标,通过主动询问、观察和检查等方式了解被审计单位在整体层面对内部控制的设计,记录所了解的控制目标、控制活动及执行情况(注意,因企业没有书面形式的内部控制,所以,这是CPA了解和获取被审计单位整体层面内部控制情况的主要或唯一途径),评价被审计单位整体层面内部控制的设计和执行情况,记录发现的被审计单位控制要素存在的缺陷以及对审计可能产生的影响。但必须注意的是,由于此类内控“原生态”企业业务流程的清晰度很可能不足,CPA可能很难识别出更多清晰的业务流程,所以,对整体层面内部控制的了解可能成为CPA了解被审计单位内部控制的主要内容,在很大程度上要比对业务流程层面内部控制的了解更为重要。
(四)深入实际、检查评价
通过主动询问、观察、检查等方式,清晰识别、合理划分被审计单位各业务循环中与财务报告相关的业务流程,记录所获得的了解。按照被审计单位的各业务流程分别了解、询问、观察并记录被审计单位实际执行的各项具体的控制目标、控制活动、控制性质、控制频率等情况,检查和评价相关内部控制是否能够应对特别风险?与控制相关的风险是高还是低?对实现控制目标是否有效?同时记录在了解和评价被审计单位业务流程层面对控制的设计和执行过程中识别的风险,以及拟采取的应对措施。
(五)测试评价、分析判断
CPA应了解被审计单位与审计相关的内部控制,以及受相关控制活动影响的交易类别、账户余额和披露及其认定,评估被审计单位对控制的设计是否有效、控制是否得到执行、对控制的执行是否有效。CPA在业务流程层面应执行如下步骤:①确定被审计单位的重要业务流程和重要交易类别;②了解重要业务流程,并记录获得的了解;③确定可能发生错报的环节;④识别和了解相关控制;⑤执行穿行测试,证实对业务流程和相关控制的了解;⑥进行初步评价和风险评估。通过以上对审计单位业务流程层面相关控制活动的了解和测试,在评价相关控制活动是否得到较好执行,是否能够较好实现控制目标后,CPA还要再据了解和测试的情况,分析、判断是否需要测试控制运行的有效性。
(六)关注缺陷、防范风险
在上述工作中,CPA需始终关注被审计单位有无值得关注的内部控制缺陷的迹象,如是否识别出被审计单位内部控制未能防止的管理层舞弊(无论是否重大),管理层是否已对以前已沟通的值得关注的内部控制缺陷采取适当的纠正措施等。对从业务流程层面识别出的各类控制缺陷,CPA不仅应汇总至控制缺陷汇总表确定该缺陷单独或连同其他缺陷是否已构成值得关注的缺陷,而且还应考虑对审计工作的影响,是否需要修改计划,同时还要向管理层或治理层进行适当沟通。但需要注意的是,由于内部控制重大缺陷导致财务报告重大错报风险的可能性较大,所以,CPA还要特别注意防范可能由内部控制重大缺陷产生的审计风险。
作者单位:
南通富士通微电子股份有限公司
江苏省南通市注册会计师协会