2008年5月和2010年4月,財政部會同證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》,構(gòu)建了我國企業(yè)內(nèi)部控制規(guī)范體系,確立了注冊會計師執(zhí)行企業(yè)內(nèi)部控制審計制度和標準。內(nèi)部控制制度的建立,意味著監(jiān)管的重點從只注重財務報告本身可靠性轉(zhuǎn)向同時注重對保證財務報告可靠性機制的建設。
如何對內(nèi)部控制進行審計,涉及到內(nèi)部控制審計的思路。結(jié)合我國實施的風險導向?qū)徲嬎悸罚镀髽I(yè)內(nèi)部控制審計指引》第十條規(guī)定,注冊會計師應當按照“自上而下”的方法實施審計工作。“自上而下”的方法始于財務報表層次,以注冊會計師對財務報告內(nèi)部控制整體風險的了解開始,然后注冊會計師將關注重點放在企業(yè)層面的控制上,并將工作逐漸下移至重大賬戶、列報及相關的認定。
一、從財務報表層次初步了解內(nèi)部控制整體風險
可能導致企業(yè)財務報表產(chǎn)生重大錯報風險的因素,一般來說源于企業(yè)的外部環(huán)境和企業(yè)自身的環(huán)境。了解的內(nèi)容主要包括:(1)行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素;(2)企業(yè)性質(zhì)及對會計政策的選擇和運用;(3)企業(yè)的目標、戰(zhàn)略以及相關經(jīng)營風險;(4)財務業(yè)績的衡量和評價。
對企業(yè)外部環(huán)境的了解,主要是為獲取對企業(yè)的經(jīng)營狀況的總體認識。在這個環(huán)節(jié)獲取的情況,多數(shù)可能與評估企業(yè)財務報表層次的重大錯報風險有關。在對經(jīng)營狀況有了一個總體認識的情況下,注冊會計師針對企業(yè)的財務報表制定審計計劃就不會迷失方向。在了解企業(yè)時,就會把了解和調(diào)查的重點放在企業(yè)針對不利的外部環(huán)境時其管理層是否進行了適當?shù)娘L險評估和采取了合理的應對措施上面。
二、識別企業(yè)層面控制
通過了解企業(yè)與財務報告相關的整體風險,注冊會計師可以識別出為保持有效的財務報告內(nèi)部控制而必需的企業(yè)層面內(nèi)部控制。注冊會計師測試企業(yè)層面控制,應當把握重要性原則,至少應當關注:
1.與內(nèi)部環(huán)境相關的控制
內(nèi)部環(huán)境,即控制環(huán)境,包括治理職能和管理職能,以及治理層和管理層對內(nèi)部控制及其重要性的態(tài)度、認識和措施。在評價控制環(huán)境的設計時,注冊會計師應當考慮構(gòu)成控制環(huán)境的下列要素,以及這些要素如何被納入企業(yè)業(yè)務流程:(1)對誠信和道德價值觀念的溝通與落實;(2)對勝任能力的重視;(3)治理層的參與程度;(4)管理層的理念和經(jīng)營風格;(5)組織結(jié)構(gòu);(6)職權(quán)與責任的分配;(7)人力資源政策與落實。
2.針對董事會、經(jīng)理層凌駕于控制之上的風險而設計的控制
注冊會計師可以根據(jù)對企業(yè)舞弊風險的評估作出判斷,選擇相關的企業(yè)層面控制進行測試,并評價這些控制能否有效應對管理層凌駕于控制之上的風險。注冊會計師應當特別關注由于管理層凌駕于賬戶記錄控制之上,或規(guī)避控制行為而產(chǎn)生的重大錯報風險,并考慮企業(yè)如何糾正不正確的交易處理。
3.企業(yè)的風險評估過程
包括識別與財務報告相關的經(jīng)營風險和其他經(jīng)營管理風險,以及針對這些風險采取的措施。注冊會計師在對企業(yè)整體層面的風險評估過程進行了解和評估時,考慮的主要因素可能包括:(1)企業(yè)是否已建立并溝通其整體目標,并輔以具體策略和業(yè)務流程層面的計劃;(2)是否已建立風險評估過程,包括識別風險,估計風險的重大性,評估風險發(fā)生的可能性以及確定需要采取的應對措施;(3)是否已建立某種機制,識別和應對可能對企業(yè)產(chǎn)生重大且普遍影響的變化;(4)會計部門是否建立了某種流程,以識別會計準則的重大變化;(5)業(yè)務操作發(fā)生變化并影響交易記錄的流程時,是否存在溝通渠道以通知會計部門;(6)風險管理部門是否建立了某種流程,以識別經(jīng)營環(huán)境,包括監(jiān)管環(huán)境發(fā)生的重大變化。
4.對內(nèi)部信息傳遞和財務報告流程的控制
注冊會計師應當從下列方面了解與財務報告相關的信息系統(tǒng):(1)對財務報表具有重大影響的各類交易;(2)在信息技術和人工系統(tǒng)中,交易生成、記錄、處理和報告的程序;(3)與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目;(4)信息系統(tǒng)如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況;(5)企業(yè)編制財務報告的過程,包括作出的重大會計估計和披露。財務報告流程的控制可以確保管理層按照適當?shù)臅嫓蕜t編制合理、可靠的財務報告并對外報告。
5.對控制有效性的內(nèi)部監(jiān)督和自我評價
企業(yè)對控制有效性的內(nèi)部監(jiān)督和自我評價可以在企業(yè)層面上實施,也可以在業(yè)務流程層面上實施,包括:對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執(zhí)行人員的監(jiān)控活動,以及將信息系統(tǒng)記錄數(shù)據(jù)與實物資產(chǎn)進行核對等。
三、識別業(yè)務層面控制
注冊會計師測試業(yè)務層面控制,應當把握重要性原則,結(jié)合企業(yè)實際內(nèi)部控制各項應用指引的要求和企業(yè)層面控制的測試情況,重點對生產(chǎn)經(jīng)營活動中的重要業(yè)務與事項的控制進行測試。注冊會計師應首先確定企業(yè)的重要業(yè)務流程和影響重大賬戶的重要交易類別,了解重要交易從發(fā)生到記入賬目的整個流程,與重大賬戶及其相關認定相結(jié)合,在重要交易整個流程中確定錯報可能會在什么環(huán)節(jié)發(fā)生,即確定相應的控制目標;然后根據(jù)確定的審計測試策略,計劃對內(nèi)部控制進行進一步了解和評估,對重要交易流程中設計的防止或發(fā)現(xiàn)并糾正可能錯報的相關控制加以識別;再通過執(zhí)行穿行測試,來證實對重要交易流程和相關控制的了解,并確定相關控制是否得到執(zhí)行;最后對相關控制的設計和是否得到執(zhí)行進行評價,以確定進一步的審計程序。
四、了解錯報的可能來源
在識別重要賬戶、列報及其相關認定時,還需要確定對財務報表產(chǎn)生重大影響的潛在錯報的可能來源。注冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發(fā)生的領域和原因,確定潛在錯報的可能來源。注冊會計師應重點關注是否存在下列情況:(1)因某種需要而粉飾財務狀況和經(jīng)營成果;(2)為某些目的而低估收入或高估費用;(3)管理層凌駕于控制之上;(4)非正常的關聯(lián)方經(jīng)濟往來。
五、選擇擬測試的控制
注冊會計師需要評價控制是否足以應對評估的每個相關認定的錯報風險,并選擇其中對形成審計結(jié)論具有重要影響的控制進行測試,測試控制運行的有效性。是否選擇某項控制進行測試取決于該項控制單獨或合并起來是否足以應對相關認定的錯報風險。在評估認定層次重大錯報風險時,預期控制的運行是有效的;或僅實施實質(zhì)性程序不足以提供認定層次充分、適當?shù)膶徲嬜C據(jù)時,注冊會計師應當通過詢問、觀察、檢查、穿行測試和重新執(zhí)行等實施控制測試。
六、小結(jié)
“自上而下”的方法描述了注冊會計師在識別風險以及擬測試的控制時的連續(xù)思維過程,但并不一定是注冊會計師執(zhí)行審計程序的順序。“自上而下”的審計方法,是一項全新的審計思路,可以大大提高審計的效率和效果。
