发布时间:2023-10-05 10:22:26
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇审计方法和审计程序,期待它们能激发您的灵感。
为了论述方便,首先简要一下内部控制审计的分类。组织内部进行内部控制审计,不可能都针对整个内部控制系统进行,更多情况是对其中部分展开。按照涉及内部控制的范围,大致可分为如下三类: 1 、业务循环内部控制审计,所谓业务循环内部控制是指对某个业务循环实施的控制,这种审计按照经济组织的业务纵向展开,专门审计业务循环内部控制; 2 、非独立部门内部控制审计,这种审计专门针对某个不独立的部门或机构所涉及的内部控制,所谓不独立,是指财务上不独立,没有独立的财务机构,也不单独核算; 3 、独立单位内部控制审计,这种审计是对经济组织所属的独立单位的内部控制进行审计,独立单位是指财务上独立的,可以是投资中心或利润中心,也可以是子公司,单独设置财务机构的分公司,它们自己本身可能有一套内部控制,同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点,但在审计程序上,由于独立单位内部控制审计相对较复杂,程序最全面,因此以下即以其为蓝本讨论。
内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处,因为毕竟两者都是以内部控制为焦点而展开,但由于服务的目标不一致,在程序上也有差别。内部控制评价程序一般是: 1 、了解与记录内部控制; 2 、初步评价控制风险; 3 、实施符合性测试; 4 、评价内部控制的强弱。作为一种单独开展的审计,了解经济组织的基本情况这些准备工作是必须的,因为对内部控制需求越强烈的经济组织,其规模越大,这是必然的;在大规模的组织里,管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件,否则无从下手。同样大规模的组织内既存在针对整个组织的控制,也存在针对某个部分或某个下属机构的控制,内部审计人员也不可能都熟悉,因此了解内部控制也是必须的。在了解内部控制阶段,还必须初步分析所了解信息,以初步确定内部控制的健全性和有效性,规划要实施的符合性测试程序。接下来与内部控制评价程序一样,实施符合性测试,以获得遵循性的评价,同时最终确定健全性和有效性。最后归纳审计结果,提出审计报告。
总结上述,本文认为内部控制审计程序为: 1 、了解基本情况; 2 、了解内部控制; 3 、实施符合性测试; 4 、提出审计报告。下面即以该程序为主线展开讨论,其中提出审计报告在内部审计报告中讨论。
(二)了解基本情况
了解基本情况,是了解所要审计内部控制所涉及单位的基本情况,这些情况是展开审计的必要准备和基本条件,着整个审计的过程和结果。这些基本情况包括: 1 、单位所属的行业和沿革(着重于管理沿革); 2 、单位组织结构、各机构的人员规模和岗位结构; 3 、单位资产规模、生产经营或专业服务的特点规模; 4 、主营业务及辅助业务类别、业务量; 5 、财务机构及其工作组织;等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等来获得。
基本情况获得后,审计人员就要适当利用自己专业判断,确定以下: 1 、业务循环及其大致内容; 2 、必须控制的重要或经常发生的业务; 3 、内部控制应有的严谨程度; 4 、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程,确定的是审计展开的主线;重要或经常发生的业务是必须控制的,确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的,规模较小的单位内部控制程度就相应较低,衡量标准就不能太高,实际这就是确定衡量标准的,提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行,保证审计质量。
下一步工作是制定审计总体计划,其主要内容就是上述基本情况获得后审计人员所确定的内容,主要包括审计的范围,即业务循环及内容,审计的重点,即必须控制的重要或经常发生的业务,审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。
需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。 2001 年财政部的《内部会计控制基本规范》(征求意见稿)中提出,“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”,其中这些经济业务就是基本的业务循环划分,但有多样化的趋势,国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线,了解内部控制和符合性测试都按照它来组织,因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分: 1 、覆盖单位所有业务及其各个环节; 2 、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程; 3 、有利于审计的组织安排。
(三)了解内部控制
了解内部控制的内容
要了解内部控制,首先要解决内部控制的构架问题。 1988 年美国 AICPA 提出内部控制结构即控制环境、控制结构和会计系统,我国独立审计准则即采用这种观点。 1994 年 COSO 报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深,在内容上进一步完善,在内部环境上更注重员工的素质,增加风险评估强调要实现目标就必须分析相关风险,构成风险管理的基础,将会计系统扩大为信息与沟通,更强调信息的内部传达, 增加监控要素将内部控制的执行纳入进来。由于 COSO 报告提供出的内部控制很全面,更加接近内部控制的本质认识,而内部控制的建设要以先进理论为指导,与实际情况相结合,因此本文认为,在我们目前的条件下,我们应采用 COSO 报告的观点,以它的框架为指导,同时鉴于我国目前内部控制落后的情况,应更加注重控制作业和监控,即如何建立起健全有效的控制程序与政策以及它们的实际执行,在控制作业完善的带动下,风险评估和信息与沟通也逐步完善,同时逐步转变管理观念,提高员工素质,建立起合理的法人治理结构和具体组织结构,使控制环境得以改善。
由于内部审计充当监控的主要角色,内部控制审计就是履行监控的职责,因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险,对它进行评估后设置相应的控制作业来控制,而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险,实现控制目标,实际就是风险评估过程,因此风险评估不做了解,而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策,为了理解直观起见,本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统,因此信息与沟通可以合称为信息系统。总结上述,本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。
如上所述,了解内部控制以业务循环为主线展开的,即按业务循环逐个循环了解,这些循环构成单位整体,这是横向的;同时针对每个循环的控制,分别去了解它控制环境、控制程序与程序、信息系统,这是每个循环的控制的纵向构成,是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。
了解控制环境是了解影响内部控制其他要素的因素,提供内部控制构成基础好坏的证据,同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容,按照 COSO 报告,控制环境包括: 1 )、员工的诚实性和道德观; 2 )、员工的胜任能力; 3 )、董事会或审计委员会; 4 )、管理和经营方式; 5 )、组织结构; 6 )、授权和分配责任的方式; 7 )、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的,其中第 3 点是针对整个单位,实际在了解基本情况程序中就已进行。
了解控制程序与政策,就是了解控制目标实现风险所采取的措施,它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业,而每个作业都要设置若干控制程序和政策来控制,我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段,已经取得了业务循环大致内容的了解,在了解控制程序与政策阶段,应进一步了解,去获得足够信息来进一步确定业务循环内的各个作业,然后针对每个作业,去了解所采取的控制程序与政策。
了解信息系统只要是了解单位内外部信息记录载体,以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料,内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。
进行内部控制的了解可采取的方法与内部控制评价程序中的一样,大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。
初步分析健全性和有效性
在对内部控制获得了解后,就可以对其健全性和有效性进行初步分析,以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉,而重要或经常发生的作业则在了解控制程序与政策中已了解,通过了解控制程序与政策能知道它们是否设置控制。
初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标,然后再分析所了解到的控制程序与政策,看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。
初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试: 1 )对业务循环或关键控制点的控制初步评价为无效; 2 )在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循; 3 )在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循; 4 )虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试: 1 )相关业务大量发生的业务循环或关键控制点的控制; 2 )相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制; 3 )控制程序相对复杂的控制。规划结果应记入审计计划,并对审计计划做相应调整。
记录内部控制
制度基础审计理论中记录内部控制的方法主要有:文字叙述,调查表,核对表,流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录,一般是文字叙述,按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。
记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用,但以调查表最为常用。在本文中,即讨论调查表改进和特殊运用。
一般,调查表的调查是有审计人员根据自己的经验和被审计单位的情况自行设计的,但对于内部控制审计,本文认为,鉴于我国内部控制薄弱和人们对内部控制该如何知之甚少的情况,调查表应该引入标准内部控制作为导引,以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如 2001 年财政部的《加强货币资金内部控制的若干规定》(征求意见稿),就是标准的内部控制。对于各类型单位共有的业务或作业,如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业,如生产循环、销售及收款等主要针对制造业,则由行业主管部门或行业协会分别制订,供不同行业采用。在调查表中引入标准内部控制,要从权威部门制订的针对各业务或作业的标准内部控制中,按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策,作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制,对单位特殊的控制程序和政策可能就无法调查得到,而那些控制也是很重要的,因此有必要将调查表与文字叙述结合起来,加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行,用来记录单位的特殊做法。
(四)符合性测试
1 、符合性测试的实施
符合性测试包括设计测试和执行测试,设计测试即健全性和有效性测试,执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步,但由于了解阶段获得的信息可能不彻底,如通过询问得知对投资业务的控制,但是讲述人所述是否真是如此,是否全面,需深入了解,还由于有效性健全性初步分析结果需进一步获得证据确证,如通过分析认为对某控制点设置的控制能达到控制目标,但这个判断是否正确,还需要进一步了解实际情况,因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体,主要是检查内部控制是怎样执行的。
进行内部控制设计测试,主要要做如下工作:1 )更深层次地了解单位的内部控制,作出更准确的健全性和有效性评价;2 )获得进一步支持健全性和有效性初步评价结果的证据;3 )检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试,要特别注意如下事项:1 )对业务循环和关键控制点设计的控制是如何具体组织于实际的;2 )控制是否一贯执行;3 )是否由控制规定职务的人来执行,其中后两个是重中之中。
《独立审计准则第 5 号——内部控制与审计风险》中提供了三种符合性测试,即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制,三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主,同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重,而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者,检查控制信息载体就能了解到这两者,在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体,即针对每个业务循环所涉及的单证、报告、合同等控制信息载体,抽取其中部分,检查执行各个控制点下各个控制程序与政策留下的记录,推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行,基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定,样本采用随机选样或系统选样的办法选取。
2 、遵循性评价
遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念,遵循与不遵循只是它的两个极端,本文认为对遵循性的评价应采取评级的办法,以更好的反映遵循程度。遵循性级别最好分为四个到六个等级,等级太少难于准确衡量遵循程度,等级太多难于把握等级之间的差别,由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见,如遵循性分为 A 、 B 、 C 、 D 四个级别,被评为 A 级的,提出执行较好的意见, B 级提出应加强的意见, C 级提出应重点加强的意见, D 级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果,同时综合考虑通过观察询问得到的控制应用于实际的情况,运用自己的专业判断,评判其遵循性级别。
本文认为,评定级别只是一种手段,重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标,而发现控制具体应用于实际中存在的,以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。
3 、健全性和有效性评价
通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据,又可能获得确证初步评价结果的证据,因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料,对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。
健全性评价主要针对重要或经常发生的业务或作业,主要应注意三种情况: 1 、控制文件中没有规定控制,测试程序中也未发现实施了控制; 2 、控制文件中没有规定控制,经询问相关人员得知设置了控制,但经测试没有实施控制; 3 、没有控制文件,其他了解方法也不能得知是否设置控制,但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见,后一种应认为实际是健全的 , 但应提出健全控制文件的建议。
有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况,对采用了标准内部控制的也要做简要分析,因为标准内部控制可能不适于单位,而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标,本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定,如对现金收入的控制程序,根据保证资产的安全完整目标,分析确定其目标为保证现金收入以真实金额真正流入单位,根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录,根据提高运营效率确定目标为提高现金流入单位的速度,根据保证遵守国家规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应,有些系统目标对某些控制点可能不适用,如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关,根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。
对测试过程中发现的重大财产损失、效率低下、违法事件等问题,应特别注意分析其控制健全性和有效性原因,如果是因健全性和有效性导致的,那么这些问题既是健全性有效性初步分析的确证,又是分析评价和提出建设意见的重点。
健全性有效性评价的重点在意见的提出,是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体,分析的过程中意见也就可以有针对地提出,而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程,主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的,都是内部控制建立的方法,因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。
关于内部控制建立的具体方法本文不再详述,只提出一点意见。本文认为,在健全意见和有效性改进意见提出的过程中,应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及,为配合政府推动内部控制建设,对于特定业务或作业,应注意运用相应的标准内部控制,并与自己的实际情况结合起来,以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述 2001 年我国财政部《内部控制基本规范》(征求意见稿)中有规定,它们是: 1 ) 组织规划控制,包括合理的组织机构设置和不相容职务设置,不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查; 2 )授权批准控制,包括确立合理的授权批准范围、层次、责任和程序; 3 )文件记录控制,包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统,或类似的文件,以及这些文件的宣传认知; 4 )预算控制,包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的和反馈、预算的考核及奖罚体系; 5 )财产保全控制,包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险; 6 )职工素质控制,包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘; 7 )风险抵御控制,包括筹资风险、投资风险、合同风险、信用风险的评估与控制; 8 )内部报告控制,包括生产报告、经营报告、财务报告、特殊事件报告,以及报告的处理; 9 )信息系统控制,包括系统组织和管理、系统开发与维护、文件资料、数据、安全控制,输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。
六、内部审计报告
与其他审计报告一样,内部控制审计报告也是对审计结果的。在提出审计报告前,审计人员应重新检查在审计过程中获得的资料,做如下一些分析: 1 、 是否了解研究了单位所有重要控制; 2 、所作分析判断是否得到了测试的证实或有足够的证据支持; 3 、是否遗漏了其他需要考虑的最终评价的客观事实; 4 、最后的健全性有效性遵循性评价是否适当,有足够的证据支持; 5 、出现了那些因内部控制导致的重大问题,哪些人员严重违反内部控制且已致严重后果;等等。审计项目负责人还要复核审计底稿,之后就着手准备撰写审计报告。
内部审计报告应突出重点,一些细节问题只要通知当事人或主管人员就可以,不必在审计报告中反映,还应便于理解,一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下: 1 、单位基本情况简介; 2 、内部控制体系介绍; 3 、内部控制健全性有效性遵循性评价及具体意见; 4 、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制,运行良好的不必反映。报告格式本文认为无须固定,只要能充分反映出上述内容即可。
为了论述方便,首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计,不可能都针对整个内部控制系统进行,更多情况是对其中部分展开。按照涉及内部控制的范围,大致可分为如下三类:1、业务循环内部控制审计,所谓业务循环内部控制是指对某个业务循环实施的控制,这种审计按照经济组织的业务纵向展开,专门审计业务循环内部控制;2、非独立部门内部控制审计,这种审计专门针对某个不独立的部门或机构所涉及的内部控制,所谓不独立,是指财务上不独立,没有独立的财务机构,也不单独核算;3、独立单位内部控制审计,这种审计是对经济组织所属的独立单位的内部控制进行审计,独立单位是指财务上独立的,可以是投资中心或利润中心,也可以是子公司,单独设置财务机构的分公司,它们自己本身可能有一套内部控制,同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点,但在审计程序上,由于独立单位内部控制审计相对较复杂,程序最全面,因此以下即以其为蓝本讨论。
内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处,因为毕竟两者都是以内部控制为焦点而展开,但由于服务的目标不一致,在程序上也有差别。内部控制评价程序一般是:1、了解与记录内部控制;2、初步评价控制风险;3、实施符合性测试;4、评价内部控制的强弱。作为一种单独开展的审计,了解经济组织的基本情况这些准备工作是必须的,因为对内部控制需求越强烈的经济组织,其规模越大,这是必然的;在大规模的组织里,管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件,否则无从下手。同样大规模的组织内既存在针对整个组织的控制,也存在针对某个部分或某个下属机构的控制,内部审计人员也不可能都熟悉,因此了解内部控制也是必须的。在了解内部控制阶段,还必须初步分析所了解信息,以初步确定内部控制的健全性和有效性,规划要实施的符合性测试程序。接下来与内部控制评价程序一样,实施符合性测试,以获得遵循性的评价,同时最终确定健全性和有效性。最后归纳总结审计结果,提出审计报告。
总结上述,本文认为内部控制审计程序为:1、了解基本情况;2、了解内部控制;3、实施符合性测试;4、提出审计报告。下面即以该程序为主线展开讨论,其中提出审计报告在内部审计报告中讨论。
(二)了解基本情况
了解基本情况,是了解所要审计内部控制所涉及单位的基本情况,这些情况是展开审计的必要准备和基本条件,影响着整个审计的过程和结果。这些基本情况包括:1、单位所属的行业和历史沿革(着重于管理沿革);2、单位组织结构、各机构的人员规模和岗位结构;3、单位资产规模、生产经营或专业服务的特点规模;4、主营业务及辅助业务类别、业务量;5、财务会计机构及其工作组织;等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。
基本情况获得后,审计人员就要适当利用自己专业判断,确定以下内容:1、业务循环及其大致内容;2、必须控制的重要或经常发生的业务;3、内部控制应有的严谨程度;4、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程,确定的是审计展开的主线;重要或经常发生的业务是必须控制的,确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的,规模较小的单位内部控制程度就相应较低,衡量标准就不能太高,实际这就是确定衡量标准的问题,提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行,保证审计质量。
下一步工作是制定审计总体计划,其主要内容就是上述基本情况获得后审计人员所确定的内容,主要包括审计的范围,即业务循环及内容,审计的重点,即必须控制的重要或经常发生的业务,审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。
需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001年财政部的《内部会计控制基本规范》(征求意见稿)中提出,“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”,其中这些经济业务就是基本的业务循环划分,但目前有多样化的趋势,国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线,了解内部控制和符合性测试都按照它来组织,因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分:1、覆盖单位所有业务及其各个环节;2、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程;3、有利于审计的组织安排。
(三)了解内部控制
了解内部控制的内容
要了解内部控制,首先要解决内部控制的构架问题。1988年美国AICPA提出内部控制结构即控制环境、控制结构和会计系统,我国独立审计准则即采用这种观点。1994年COSO报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展,在内容上进一步完善,在内部环境上更注重员工的素质,增加风险评估强调要实现目标就必须分析相关风险,构成风险管理的基础,将会计系统扩大为信息与沟通,更强调信息的内部传达,增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面,更加接近内部控制的本质认识,而内部控制的建设要以先进理论为指导,与实际情况相结合,因此本文认为,在我们目前的条件下,我们应采用COSO报告的观点,以它的框架为指导,同时鉴于我国目前内部控制落后的情况,应更加注重控制作业和监控,即如何建立起健全有效的控制程序与政策以及它们的实际执行,在控制作业完善的带动下,风险评估和信息与沟通也逐步完善,同时逐步转变管理观念,提高员工素质,建立起合理的法人治理结构和具体组织结构,使控制环境得以改善。
由于内部审计充当监控的主要角色,内部控制审计就是履行监控的职责,因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险,对它进行评估后设置相应的控制作业来控制,而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险,实现控制目标,实际就是风险评估过程,因此风险评估不做了解,而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策,为了理解直观起见,本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统,因此信息与沟通可以合称为信息系统。总结上述,本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。
如上所述,了解内部控制以业务循环为主线展开的,即按业务循环逐个循环了解,这些循环构成单位整体,这是横向的;同时针对每个循环的控制,分别去了解它控制环境、控制程序与程序、信息系统,这是每个循环的控制的纵向构成,是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。
了解控制环境是了解影响内部控制其他要素的因素,提供内部控制构成基础好坏的证据,同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容,按照COSO报告,控制环境包括:1)、员工的诚实性和道德观;2)、员工的胜任能力;3)、董事会或审计委员会;4)、管理哲学和经营方式;5)、组织结构;6)、授权和分配责任的方式;7)、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的,其中第3点是针对整个单位,实际在了解基本情况程序中就已进行。
了解控制程序与政策,就是了解控制目标实现风险所采取的措施,它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业,而每个作业都要设置若干控制程序和政策来控制,我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段,已经取得了业务循环大致内容的了解,在了解控制程序与政策阶段,应进一步了解,去获得足够信息来进一步确定业务循环内的各个作业,然后针对每个作业,去了解所采取的控制程序与政策。
了解信息系统只要是了解单位内外部信息记录载体,以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料,内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。
进行内部控制的了解可采取的方法与内部控制评价程序中的一样,大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。
初步分析健全性和有效性
在对内部控制获得了解后,就可以对其健全性和有效性进行初步分析,以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉,而重要或经常发生的作业则在了解控制程序与政策中已了解,通过了解控制程序与政策能知道它们是否设置控制。
初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标,然后再分析所了解到的控制程序与政策,看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。
初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试:1)对业务循环或关键控制点的控制初步评价为无效;2)在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循;3)在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循;4)虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试:1)相关业务大量发生的业务循环或关键控制点的控制;2)相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制;3)控制程序相对复杂的控制。规划结果应记入审计计划,并对审计计划做相应调整。
记录内部控制
制度基础审计理论中记录内部控制的方法主要有:文字叙述,调查表,核对表,流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录,一般是文字叙述,按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。
记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用,但以调查表最为常用。在本文中,即讨论调查表改进和特殊运用。
一般,调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的,但对于内部控制审计,本文认为,鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况,调查表应该引入标准内部控制作为导引,以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如2001年财政部的《加强货币资金内部控制的若干规定》(征求意见稿),就是标准的内部控制。对于各类型单位共有的业务或作业,如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业,如生产循环、销售及收款等主要针对制造业,则由行业主管部门或行业协会分别制订,供不同行业采用。在调查表中引入标准内部控制,要从权威部门制订的针对各业务或作业的标准内部控制中,按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策,作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制,对单位特殊的控制程序和政策可能就无法调查得到,而那些控制也是很重要的,因此有必要将调查表与文字叙述结合起来,加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行,用来记录单位的特殊做法。
(四)符合性测试
1、符合性测试的实施
符合性测试包括设计测试和执行测试,设计测试即健全性和有效性测试,执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步分析,但由于了解阶段获得的信息可能不彻底,如通过询问得知对投资业务的控制,但是讲述人所述是否真是如此,是否全面,需深入了解,还由于有效性健全性初步分析结果需进一步获得证据确证,如通过分析认为对某控制点设置的控制能达到控制目标,但这个判断是否正确,还需要进一步了解实际情况,因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体,主要是检查内部控制是怎样执行的。
进行内部控制设计测试,主要要做如下工作:1)更深层次地了解单位的内部控制,作出更准确的健全性和有效性评价;2)获得进一步支持健全性和有效性初步评价结果的证据;3)检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试,要特别注意如下事项:1)对业务循环和关键控制点设计的控制是如何具体组织应用于实际的;2)控制是否一贯执行;3)是否由控制规定职务的人来执行,其中后两个是重中之中。
《独立审计准则第5号——内部控制与审计风险》中提供了三种符合性测试方法,即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制,三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主,同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重,而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者,检查控制信息载体就能了解到这两者,在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体,即针对每个业务循环所涉及的单证、报告、合同等控制信息载体,抽取其中部分,检查执行各个控制点下各个控制程序与政策留下的记录,推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行,基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定,样本采用随机选样或系统选样的办法选取。
2、遵循性评价
遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念,遵循与不遵循只是它的两个极端,本文认为对遵循性的评价应采取评级的办法,以更好的反映遵循程度。遵循性级别最好分为四个到六个等级,等级太少难于准确衡量遵循程度,等级太多难于把握等级之间的差别,由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见,如遵循性分为A、B、C、D四个级别,被评为A级的,提出执行较好的意见,B级提出应加强的意见,C级提出应重点加强的意见,D级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果,同时综合考虑通过观察询问得到的控制应用于实际的情况,运用自己的专业判断,评判其遵循性级别。
本文认为,评定级别只是一种手段,重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标,而发现控制具体应用于实际中存在的问题,以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。
3、健全性和有效性评价
通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据,又可能获得确证初步评价结果的证据,因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料,对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。
健全性评价主要针对重要或经常发生的业务或作业,主要应注意三种情况:1、控制文件中没有规定控制,测试程序中也未发现实施了控制;2、控制文件中没有规定控制,经询问相关人员得知设置了控制,但经测试没有实施控制;3、没有控制文件,其他了解方法也不能得知是否设置控制,但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见,后一种应认为实际是健全的,但应提出健全控制文件的建议。
有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况,对采用了标准内部控制的也要做简要分析,因为标准内部控制可能不适于单位,而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标,本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定,如对现金收入的控制程序,根据保证资产的安全完整目标,分析确定其目标为保证现金收入以真实金额真正流入单位,根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录,根据提高运营效率确定目标为提高现金流入单位的速度,根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应,有些系统目标对某些控制点可能不适用,如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关,根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。
对测试过程中发现的重大财产损失、效率低下、违法事件等问题,应特别注意分析其控制健全性和有效性原因,如果是因健全性和有效性导致的,那么这些问题既是健全性有效性初步分析的确证,又是分析评价和提出建设意见的重点。
健全性有效性评价的重点在意见的提出,是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体,分析的过程中意见也就可以有针对地提出,而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程,主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的,都是内部控制建立的方法,因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。
关于内部控制建立的具体方法本文不再详述,只提出一点意见。本文认为,在健全意见和有效性改进意见提出的过程中,应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及,为配合政府推动内部控制建设,对于特定业务或作业,应注意运用相应的标准内部控制,并与自己的实际情况结合起来,以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述2001年我国财政部《内部会计控制基本规范》(征求意见稿)中有规定,它们是:1)组织规划控制,包括合理的组织机构设置和不相容职务设置,不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查;2)授权批准控制,包括确立合理的授权批准范围、层次、责任和程序;3)文件记录控制,包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统,或类似的文件,以及这些文件的宣传认知;4)预算控制,包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系;5)财产保全控制,包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险;6)职工素质控制,包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘;7)风险抵御控制,包括筹资风险、投资风险、合同风险、信用风险的评估与控制;8)内部报告控制,包括生产报告、经营报告、财务报告、特殊事件报告,以及报告的处理;9)电子信息系统控制,包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制,输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。
(五)内部审计报告
与其他审计报告一样,内部控制审计报告也是对审计结果的总结。在提出审计报告前,审计人员应重新检查在审计过程中获得的资料,做如下一些分析:1、是否了解研究了单位所有重要控制;2、所作分析判断是否得到了测试的证实或有足够的证据支持;3、是否遗漏了其他需要考虑的影响最终评价的客观事实;4、最后的健全性有效性遵循性评价是否适当,有足够的证据支持;5、出现了那些因内部控制导致的重大问题,哪些人员严重违反内部控制且已致严重后果;等等。审计项目负责人还要复核审计底稿,之后就着手准备撰写审计报告。
内部审计报告应突出重点,一些细节问题只要通知当事人或主管人员就可以,不必在审计报告中反映,还应便于理解,一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下:1、单位基本情况简介;2、内部控制体系介绍;3、内部控制健全性有效性遵循性评价及具体意见;4、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制,运行良好的不必反映。报告格式本文认为无须固定,只要能充分反映出上述内容即可。
关键词:关联方交易 审计方法 审计程序
随着市场经济的发展,企业关联方交易日益频繁,为企业财务情况和经营成果造成了巨大影响了。有的企业利用关联方交易的方式,粉饰会计报表,转移利润,逃避税负,为国家、投资者以及债权人造成了严重的经济损失。对此,只有加强对关联方交易的审计,才能真正保证企业的利益。
一、关联方交易类型
(1)商品的购买与销售。比如乙企业的产品由其母企业甲包销;子企业戊的产品主要供应给母企业丙的另一子公司己。
(2)购买或销售商品之外的其他资产。比如母企业甲将设备出售给子企业乙;子全额丁将其下属亏损企业卖给母企业戊。
(3)担保,主要是对于加工承揽、货物运输、买卖以及借贷等各种经济活动,通过采取保证、抵押等措施,确保真正实现其债权。在产生关联方关系以后,乙方为获得借贷、买卖等经济活动,为将相应的担保提供给另一方。比如甲企业以一栋办公楼为其关联企业乙提供银行贷款抵押,让乙企业得到贷款。
(4)提供资金,主要有股权投资、贷款等。比如当关联企业乙资金难以周转以后,甲企业把自有资金无偿借给乙使用。
(5)租赁,主要有经营租赁与融资租赁。如子企业向母企业租赁仓库一处,用作储运原材料与产成品。
(6),通常按照合同里面的相关条款,一方能够在另一方处某些事物,比如销售货物等。或一方代另一方签订合同等。
(7)关键管理人员薪酬,企业为关键管理者提供的报酬,也是一种关联方交易。如某企业本年度通过工资、福利、资金、特殊待遇以及有价证券等形式,为董事长、总经理、财务总监等支付的报酬总额。
二、关联方交易的风险分析
(一)关联方交易存在特殊性
相对于一般交易而言,关联方交易具有相对特殊性和隐蔽性,这是它的一个内在本质。再加上这种交易对企业的影响较大,同时它又十分的隐蔽,不易被审计人员识别。对于关联方交易而言,容易出现各类问题,主要是因为关联方交易隐蔽性很强,同时其不确定性与复杂性强。关联方交易的这种特征导致关联人与其他利益相关者之间沟通不畅,或者关联人不与其他利益相关者进行沟通,从而出现信息不对称。
(二)关联方交易审计程序不完善
关联方及其关联方交易极其复杂且隐蔽的,因此审计机构的审计人员对关联方交易的审计失败的可能性是比较高的,风险也比较大。所以,审计人员以及相关机构在对关联方交易进行审计前提高个人的专业胜任能力,在审计过程中保持应有的职业谨慎,工作结束后也要对关键控制点再次核查、给予高度的关注。在关联交易审计实施的过程中,审计人员可能没有对关联方交易的特殊性给予足够重视,而是根据以往的工作经验和传统的审计程序开展工作,甚至于说执行的审计程序并不合规,这样使得关联方交易的审计风险大为增加,审计质量也无法得到保障。
(三)审计人员能力有待提升
关联方交易的审计风险相对来说是比较大的,对审计人员的职业技能和专业胜任能力要求较高。审计人员在审计企业的关联方交易时,不仅要能够识别出哪些是企业的关联方,还应该具有判断企业是否存在利用关联方交易的财务舞弊行为的能力;此外,审计人员还要灵活的运用不同的审计程序和方法,这都要求审计人员具有较高的专业技能和敬业精神。从目前的审计现状来看,审计人员的专业技能、职业素质还有待提高。
三、关联方交易风险产生的原因分析
(一)监管不力
目前我国对关联方交易的监管还不够完善,重点只是放在信息披露上,且由于会计准则中对信息披露问题只做了一些原则性的规定,实际操作起来并不容易,这往往导致关联方企业之间非公允的交易不在监管之下。我国目前财务报告的信息披露状况存在混乱、披露不全,难以让报表使用者理解等问题,这些问题都会产生关联方交易审计风险。我国现行法律对违规的关联方交易处罚力度很小,其中大多都是类似通报批评等行政处罚措施,所以在没有严厉处罚措施的情况下很难威慑住那些违规行为。
(二)企业自身原因
企业不论业绩是好是坏,都有实施舞弊造假的动机,业绩好的企业通过关联方交易逃脱税收、转移资金,业绩差的企业通过其虚构收入,更有些企业通过其弥补亏损、摆脱证监会的重点监管,并规避股票的退市风险。可见,企业通过关联方交易舞弊的动机很强,他们为了隐藏非公允的关联交易,或虚假披露,或模糊披露,这给审计人员带来了大量的审计风险。除此之外,企业自身的管理制度不合理,或股权结构不完善,都会导致审计风险的产生。
四、企业关联方交易方法和程序
(一)关联方关系审计方法和程序
(1)开始审计中,到上级主管部门或前任注册会计师处进行查询,了解关联方及被审计单位的关联交易程度。
(2)在连续审计工程中,翻阅往年审计工作底稿,明确关联方名称。
(3)到被审计单位相关人员处询问,了解投资者、管理者、客商等关联方名称,掌握其与被审计单位的关系,看有无关联方。
(4)在审计过程中,对重大投资交易和资产重组业务进行审计,考虑交易程度和性质,判断能否形成新的关联方。
(5)对被审单位纳税申报表进行检查,将证监会、证交所和其他管理机构等全部资料提交上去,证实有无关联方。
(6)认真检查会计报表附注,掌握披露关联方关系的性质、交易类型与要素、交易金额与比例,以及未结算项目中的定价政策、金额或比例等。
(二)关联方交易审计方法和程序
(1)检查被审计单位和证监会、证交所相关文件,以及政府相关部门对关联方交易披露的档案资料,从而掌握出现的重大关联方交易。
(2)掌握与债权人、债务人、供应商以及客户等交易范围与性质,确认有无关联方没有被披露。
(3)检查有无已经出现交易,但未进行会计确认的事项。
(4)查看企业管理层出示的说明关联方交易的相关资料,检查说明的完整性和真实性。
(5)查看会计记录里面有无大宗、非正常经济业务,特别是要关注报告期末没有被确认的经济业务。
(6)对应收款项证明文件、银行证明等进行检查。
(7)对被审计单位的关联方交易进行确认,分析关联方交易的真实性。
(8)对截止日前后出现金额异常和较少出现的交易的真实性进行审查。
(9)对关联方交易出现的租赁、融资业务进行审查,有无出现转移正在研究或开发的项目,有无关联方间特许权的许可协议,有无关联方担保与托管合同。
(10)对被审计单位为相关管理者支付的报酬的金额与方式。
(11)对相关银行存款、借款凭证、合同等进行审查,双方有无担保关系。
(12)对被审计单位会计报表及附注进行检查,有无合理披露关联方交易。
(13)检查被审计单位对关联方交易的声明书,分析相关资料的完整性与真实性,是否充分披露会计报表中的关联方交易。
(14)如果有控制关系,对被审计单位会计报表附注内的披露事项进行检查,包括:企业股份与权益变化情况、企业经济类型与性质、企业注册地与法定代表人、企业主管业务等。
(15)企业出现关联方交易以后,要对被审计单位会计报表附注进行审查,内容是有无披露关联方关系的性质、交易类型与金额、定价政策等。
(16)检查有无充分披露企业股份和权益的变化过程,对会计报表有无披露相关项目的年初数、本年增加数、减少数以及年末数进行审查。此外,被审计会计报表披露关联方交易的金额或相应比例时,要将前后两年的比较数据披露出来。
(17)对同一个类型的关联方的合并披露进行审查,检查其合理性,是否存在对会计报表使用者带来重大误解的状况。
五、企业关联方交易风险防范措施
(一)建立签订关联方交易合同的审批制度
对于关联方交易企业而言,事前要认真考察,分析出交易对企业带来的利与弊,加强风险防范力度。一是企业要慎重考察并评价将要合作的关联方企业,了解其与自身的关联程度,并将最终控制人与利益主体确定下来。二是企业要分析出该关联方交易的最终受益方。三是若是企业因股权压力而失去关联方交易决定权后,要权衡出交易可能会对企业带来的影响,对交易进行严格审批,实行有效的风险预警机制。四是保证小股东能够行使自身权益,防止大股东利用非公允关联方交易的方式,将企业利润转移出去,提升关联方交易的透明性。
(二)加强对关联方交易执行过程的监管
为真正了解关联方交易进度的程度,企业要安排专人监督并跟踪关联方交易执行状况。一是企业要安排相关人员加强对关联方交易合同履行状况的监管,跟踪记录交易信息,和采购、销售以及出纳等工作负责人进行梳理、核对,将合同执行状况定期汇报给管理层,并严格检查交易质量。二是完善关联方交易执行档案,安排专人记录全部关联方交易执行进度的明细,并将相关数据统计好,及时报给企业管理层审核。三是企业财务部门要设置专门的独立执行小组,负责对企业关联方之间的资金往来与财务预算进行审核,确保充分披露出关联方交易定价依据和对企业利润的影响程度,并对关联方交易作出财务规划,加大对关联方及关联方交易的预算控制和财务审核力度,确保关联方交易的公允性。
(三)完善关联方交易后续影响的评价机制
在评价关联方交易后续影响时,要帮助企业制定更加科学的发展计划与目标。一是对非即时结算,特别是有较大结算时间跨度的关联方交易,必须及时跟踪交易为企业财务造成的后续影响。同时分析出可能让企业产生的财务收益与风险,对交易性价比作出评估,对比交易前后的预算,反思交易的价值与可用性,这有利于企业更好的选择和接受关联方交易。二是完善关联方交易绩效评价机制,落实对相关人员的奖惩措施,针对利用关联方交易舞弊的问题,必须加大惩罚力度。此外,针对事后评价性价比较高,能够为企业带来利益的关联方交易相关人员,则要给予一定的奖励。只有这样,企业的关联方交易才更具公允性,并更加公开化。
六、结束语
总之,规范关联方交易审计的方法和程序,能够提升企业会计信息质量,保证会计资料的可靠性与真实性,避免关联方之间通过不公平、不公正的关联方交易,损害公司及其他利益相关者的合法权益。
参考文献:
[1]张孝琼.浅谈外资企业关联方交易审计的难点、程序、方法[J].经营管理者,2013,(25):215
[2]纪丹阳.上市公司关联方交易审计风险的成因与防范[J].中国市场,2016,(01):104-106
[3]黄莹,黄甜.上市公司关联方交易的信息披露[J].财务与金融,2014,(04):54-58
[4]赵阿平.我国上市公司关联交易审计风险成因及控制对策研究[J].国际商务财会,2014,(09):87-90
Abstract: The significance of regulating internal audit procedures is described. The necessary standardization and standardized conditions to achieve and regulate the internal audit program's content are analyzed.
关键词:内部审计程序;意义;必要条件;内容
Key words: internal audit procedures;significance;necessary condition;content
中图分类号:F239 文献标识码:A文章编号:1006-4311(2010)21-0008-01
1规范内部审计程序的重要意义
规范内部审计程序具有重要的意义。第一,规范内部审计程序是保证审计质量,降低审计风险的客观要求。审计程序是确定审计方法的前提,只有设计出科学、合理、规范、符合客观实际的审计程序,才能高效地实施审计,才能将保证内部审计质量和降低审计风险的要求落实到审计工作各阶段、各环节和各步骤的内容。第二,规范内部审计程序是提高审计工作效率、减少内部审计资源消耗的有效途径。只有严格而又灵活的内部审计程序,才能将内部审计理论与内部审计人员的经验和职业判断有机结合起来,最大限度地提高审计工作效率。第三,规范内部审计程序是树立内部审计职业形象的要求。通过规范内部审计程序,提高审计工作效率和审计质量,达到维护内部审计职业信誉、树立内部审计职业形象的目的。
2实现内部审计程序规范化和标准化的必要条件
2.1 潜心研究和借鉴《审计机关审计项目质量控制办法(试行)》2004年2月10日,国家审计署李金华审计长了审计署6号令,要求自2004年4月1日起在审计署机关及派出、派驻机构试行《审计机关审计项目质量控制办法》。该办法规定了从审计方案的制定、审计证据的取得、审计日记和审计工作底稿、审计报告的撰写和审计项目质量责任全过程的审计质量控制。
2.2 制定出适合中国石油行业特点的内部审计程序中国石油集团内部审计不同于国家审计,也不同于注册会计师审计,中国石油集团必须制定出适合中国石油行业特点的审计质量控制办法和审计质量管理体系,系统地规范中国石油集团内部审计的全过程,实现审计全过程的质量控制,以达到审计质量水平的提高和飞跃。
2.3 持续改进,逐步形成一套操作性强的审计质量管理体系社会在不断发展,企业在不断变化,规范的内部审计程序应不断修改、补充和完善,最终形成一套切实可行的内部审计质量管理体系。只有这样,内部审计机构才能够与时俱进,才能够不断改进,才能够不断提升审计水平,才能够更好的实现服务与监督并重的职能,才能够促进中国石油企业实现更高的价值。
3规范内部审计程序的内容
3.1 审计计划阶段内部审计机构应根据企业长远发展目标和年度审计目标,结合企业内部审计资源,制定出科学的、合理的年度审计工作计划,确定年度内将要开展审计项目的类型、审计目的、审计范围、审计方式和审计覆盖面等,并测算出年度审计任务预计发生的审计费用。经审批后严格进行实施。实施过程中定期分析计划执行情况,找出计划变化的原因,并及时调整计划。
3.2 审前准备阶段①制定审计方案。②规定审前调查程序。③制定作业计划。④规定审计组进驻前准备事项。
3.3 审计实施阶段①规范审计组进点会议和退出会议工作程序。审计程序中应规定审计组进驻被审计单位召开进点会议和退出会议工作程序,规定递交给被审计单位负责人对提供审计资料真实性和合法性的《承诺书》;规定审计组成员的统一服装要求;规定审计组退出会议要简要总结审计组的审计工作开展情况、宣读交换意见稿审计报告、征求被审计单位对审计报告的意见等程序。②规范审计方法。为了提审计效率,应规定审计人员在审计过程中根据审计目标规定具体的审计方法和步骤。如:规定经济责任审计项目中由审计组长和主审与被审计单位负责人、领导班子进行谈话的内容和谈话提纲;规定财务收支审计项目每一个会计科目的审计程序,以便使每一位内部审计人员对照会计科目的审计程序即可知审计方法;规定审计抽审所属单位数量的比例和抽审资金量的比例等。③规范审计工作日记的撰写要求。规定审计人员在审计实施过程中在每天结束之前记录审计日记,并规定审计日记应该记录的内容和记录时间要求。④规范审计工作底稿的编制要求。规定编制审计工作底稿的规范性要求,除了要规范审计工作底稿的格式、字体、排版外,还应规定审计工作底稿各要素的具体要求,目标是可以直接粘贴到审计报告中加以应用。⑤规定审计组定期汇报工作进展情况。内部审计机构管理部门为了及时掌握审计组的工作动态和审计人员的身体状况情况,规定审计组定期进行汇报和总结审计组工作开展情况,规定汇报撰写提纲和汇报内容撰写要求等。
3.4 审计报告阶段①规范审计报告的格式及撰写。内部审计机构应参照《国家行政机关公文处理办法》,规定审计报告统一的格式,包括对字体、字号、排版、标点符号等进行规范;规定每种类型的审计报告撰写提纲和撰写要求,规范使用报告语言等。②规范审理程序。内部审计机构,应制定出对审计项目的审理程序,规定审计组离开审计现场后的规定时间内将审计资料移交给审理人员,由审理人员检查审计资料是否齐全、是否规范,检查审计工作底稿的编制是否符合规定、查证事实是否透彻、审计判断是否准确、判断依据是否合理,检查交换意见稿的审计报告格式是否规范、报告语言是否精炼、条理是否清晰、审计意见是否正确和审计意见是否具有操作性等。
一、明确审计范围和内容
对财务报表层次的重大错报风险审计,必须明确审计范围和具体内容,这是审计财务报表层次重大错报风险的基础。审计范围涉及被审计单位及其环境等方面,一般包括:一是行业状况、法律环境、监督环境和其他外部因素。二是被审计单位的性质、会计政策的选择与运用。三是被审计单位的目标、战略和相关经营风险。四是被审计单位财务业绩的衡量与评价。五是被审计单位的内部控制。明确这些范围,对确定审计重要性水平,识别财务报表存在的错报领域,以及设计并实施进一步审计程序等都具有重要的意义。
在上述范围内,CPA应针对被审计单位审计业务的具体情况,结合相关的审计经验,确定审计的具体内容。
行业状况方面,应把握以下审计内容:被审计单位所在行业的市场供求与竞争状况;生产经营的季节性和周期性;产品生产技术的发展变化;能源供应与成本;行业的关键指标与统计数据等等。
被审计单位的性质方面,审计的主要内容包括:所有权结构;组织结构;治理结构;经营活动;筹资和投资活动。审计所有权结构,有助于查明关联方关系的存在,以及关联方交易核算的恰当性。复杂的组织结构会产生财务报表的合并,商誉的减值和长期股权投资核算等问题,因此,CPA应当关注由此可能产生的重大错误风险。
会计政策的选择与运用方面,主要包括被审计单位对会计政策选用的合法性和恰当性。内容包括:对重大和异常交易进行会计核算使用的方法;在缺乏权威性标准的领域,采用重要会计政策产生的影响;新颁布的企业会计准则和相关会计制度何时采用以及如何采用等等。
内部控制方面,重点审计内部控制各组成要素是否能够有效防止或发现各类交易、账户余额、列报与披露中存在的重大错报。这些要素包括控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督。
二、有效运用获取重大错报风险审计相关信息的方法
重大错报风险审计的范围涉及面广,内容多,各内容复杂程度不一,因此,要获取被审计单位重大错报风险审计的相关信息,必须运用适当的方法。这些方法主要包括:询问、观察与检查,分析程序和穿行测试等。
方法运用主要考虑两点:一是“巧用”。不同的方法有不同的适用范围,同一方法运用的场合、方式也有不同。如询问,应当考虑不同类别、级别的人员,在询问的内容、技巧上的差异。要多采用“引导式”,运用时,要做好事前设计。例如,对舞弊审计询问时,不是直接与可能涉及舞弊的管理人员讨论舞弊的情况,而是设计一些常规问题,让相关人员回答,从中获取被审计事项的有关线索,这样不会引起舞弊者的警觉。二是“结合用”。各种方法虽有其适用的范围,但它们服务于审计过程并非“独立作战”,而是与其他方法结合使用。如为取得评价有关内部控制设计和执行情况的审计证据,仅运用“观察”是不足以对其做出客观评价的,还应当将“观察”与其他方法结合使用,提高各种方法运用的“组合效应”。
三、合理估量重大错报风险水平
由审计风险模型:审计风险=重大错报风险×检查风险可知,在审计风险既定的情况下,检查风险与评估的重大错报风险水平呈反比关系。重大错报风险水平越高,可接受的检查风险水平越低。CPA必须设计、实施更多的审计程序,收集更多的审计证据,将检查风险控制在可接受的低水平,反之亦然。由此可见,合理估量报表层次重大错报风险水平,是一个尽可能节约审计成本与努力降低审计风险的判断过程。因此,审计时要考虑以下两点:
(一)不应将报表层次重大错报风险水平简单设定为最高值,而直接进行实质性测试
如果简单设定重大错报风险水平为最高值,然后直接进行实质性测试,会形成不利后果:一是使“了解被审计单位及其环境”的审计程序走过场,容易使重大错报“藏而不露”,这为审计工作留下隐患。二是增加审计成本。直接进行实质性测试无疑带有盲目性,测试的范围广,样本多,造成审计资源浪费。
(二)应合理确定重大错报风险水平
要合理确定报表层次重大错报风险水平,CPA应首先对审计范围内的具体内容进行全面分析,评价它们对财务报表整体产生的影响及其影响程度,然后选择一定的方法确定财务报表层次重大错报风险水平。
从实际运用来说,可按审计风险模型对报表层次重大错报风险水平从两方面粗略估量:
1.按风险发生的频率和严重程度,将重大错报风险水平分为高、中、低三个等级,在审计风险水平既定的情况下,对应的检查风险分别为低、中、高。CPA依据对被审计单位和环境的了解,以及对评估具体内容的深入分析,判断该审计业务归属的相应等级,然后,设计并实施进一步审计程序的总体方案。
2.采用“评分法”来确定。评分法是以选定的财务报表层次重大错报风险的影响因素为评分对象,按照其影响程度分别赋予不同的分值,然后调查、了解评分对象的实际状况,并逐项评分。若采用百分制评分,积分在80分以上,则认为是高风险;积分在60—80分之间,认为是中等风险;积分低于60分,则认为是低风险。同样,CPA根据其评分值的高低,设计并实施进一步审计程序的总体方案。
四、拟定总体应对措施
由于影响财务报表层次重大错报风险的因素是多方面的,且每一因素对财务报表产生的影响是广泛的,一般情况下,难以限于某一具体认定,因此,对报表层次重大错报风险审计后,应采取总体应对措施。这些措施主要包括:一是在审计组中分派一些经验丰富或职业技能过硬的人员或专家。二是对审计组成员强调在收集和评价审计证据过程中,要保持职业怀疑态度。三是对审计组及其人员,加强监督和指导,严格操作程序和规范。四是采取“意外之举”实施某一审计程序,以免被审计者对程序的事先了解,给审计事项造成影响。五是考虑对拟实施审计程序的性质、时间和范围做出总体修改。
五、设计认定层次重大错报风险的进一步审计程序
财务报表层次重大错报风险以及所采取的总体应对措施,对实施进一步审计程序具有重大影响,因此,CPA应针对认定层次重大错报风险设计进一步审计程序,以将检查风险降到可接受的水平。
进一步审计程序是指审计各类交易、账户余额、列报与披露等认定层次重大错报风险时实施的审计程序,包括控制测试和实质性程序。CPA设计进一步审计程序,应当考虑下列因素:一是重大错报发生的可能性;二是风险的重要性;三是各类交易、账户余额、列报与披露的特征;四是被审计单位采用的特定控制的性质。尤其要区分是人工控制还是自动化控制。
设计进一步审计程序,主要是确定进一步审计程序的性质、时间和范围。
(一)确定进一步审计程序的性质。
进一步审计程序的性质是指进一步审计程序的目的和类型。目的说明的是通过控制测试来确定内部控制运用的有效性,还是通过实质性程序来发现认定层次的重大错报。类型说明的是进一步审计程序中运用的技术手段,包括检查、观察、询问、函证、重新计算、重新执行和分析程序。CPA应根据认定层次错报风险的大小,选择进一步审计程序。风险越高,通过实质性程序获取审计证据的可靠性的要求越高,从而影响审计程序类型。
(二)确定进一步审计程序的时间。
进一步审计程序的时间是指进一步审计程序何时实施,是在期末还是在期中实施。确定何时实施,应关注下列事项:控制环境;错报风险的性质和重要性;与审计证据相关的期间。一般地,当重大错报风险较高时,CPA应当考虑在期末实施实质性程序。重大错报风险并不高时,可考虑在期中实施进一步审计程序。期中实施会有助于CPA在审计工作初期,识别重大事项,及时加以解决。需要明确的是,如果在期中实施了进一步审计程序,CPA还应当针对剩余期间获取审计证据。
(三)确定进一步审计程序的范围
进一步审计程序范围是指实施某项审计程序的数量或规模。在确定审计程序的范围时,CPA应当考虑下列因素:审计重要性水平、评估的重大错报风险、计划取得的保证程度。当保证程度提高,重大错报风险增加时,CPA应当扩大审计程序的范围。
关键词:分析性程序,审计
分析性测试,是审计人员取得审计证据的一种审计手段,是帮助审计人员全面把握被审计单位财务状况、科学评估审计重点的技术方法,也是总体评价审计发现、检查审计成果合理性的有效手段。分析性程序一般作为审计取证的一种辅助手段使用。本文将对分析性程序在审计实务中的运用展开探讨。
一、分析性审计程序的特点
分析性审计程序既可以降低审计成本,又可以提高审计效率,分析性审计程序的特点主要表现在以下方面:
(一)分析性审计程序是获得审计证据更为客观的方法
分析性审计程序的运用是基础会计信息以及非会计信息之间的内在关系,其内在关系是客观存在的,在一般情况下,这种关系也是稳定的,只要注册会计师分析得当,充分发挥自己的创造力,从分析性程序中发挥其自身的创造力,运用自身的职业判断,分析性审计程序就可以提供更为客观的审计证据,也能够对审计对象业务中的关键因素和主要关系做更好的理解,通过了解被审计单位的报表数据的潜在关系,为以后的审计工作提供指导。
(二)分析性审计程序可以节省审计成本,提高审计效率
分析性程序可以耗费更少的审计资源提供相同的或者相对更好的审计证据,分析性程序有时会被描述成发现和形成证据的技术,同传统的会计报表细节抽样审计方法是不同的。分析性审计程序是利用信息间的内在关系来判断数据的合理性,并不局限于审计对象的财务报表,而细节抽样方法主要是通过对存在的证据进行收集以及检查来证实注册会计师的判断,两者相比,成本是不同的。分析性审计程序通过模型的构建以及会计师的经验以及知识就可以判断,可以大大的节省审计资源,而且在电算化的时代,通过利用电脑,分析性审计程序的优势能够发挥出来,在节省审计资源的基础上也可以大大提高审计效率。
二、分析性审计程序的关键
分析性审计程序的关键在于分析以及比较,要分析所收集数据之间可能存在的关系,即相关性,而且要保证搜集数据的可靠性,并且剔除其中的不合理因素。然后利用审计人员积累的经验以及收集的合理标准,对照分析被审计单位提供的资料以及信息,从中发现异常的变动、不合常理的趋势或者比率。
(一)应考虑数据之间的关系以及比较基准
运用分析性审计程序的一个基本前提就是数据之间存在着某种关系,因此,在进行分析性程序时,首先要分析所收集数据之间存在的关系,即财务信息各构成要素之间的关系,以及财务信息与相关非财务信息之间的关系。财务信息各要素之间存在相关性以及内部勾稽关系,例如应付账款与存货之间通常有稳定的关系;当然某些财务信息与非财务信息之间也存在内在联系,例如存货与生产能力之间的关系,以此来判断存货总额的合理性。其次,应该考虑数据信息之间的比较基准。在运行分析性审计程序时,注册会计师要注意将被审计单位本期的实际数据与上期或者以前期间的可比数据进行比较来判断是否存在异常,在运用以前期间的可比会计信息时,注册会计师要注意被审计单位内部以及外部的相关变化。也可以将自己的预期数据与被审计单位财务报表上反映的金额或者比率进行比较,可以发现异常情况,这都是分析性审计程序的关键点。
(二)要合理确定分析性审计程序的应用方式
分析性审计程序在所有的会计报表审计的计划阶段和报告阶段都必须使用,在审计测试阶段可以选择使用,但是注册会计师在审计的过程中要合理确定分析性审计程序的应用方式。应用方式主要有以下几种:首先,可以采用比较分析法,可以用于实际与预算计划进行比较,发现实际与预算的差异,分析原因;将本期同上期比较,判断本期指标的是否存在异常;同业比较,判断被审计单位数据指标的正常性。其次,可以采用趋势分析法,可以用于财务审计中的问题揭示以及管理审计中的前景预测。第三,可以采用科目分析法,通过选择借方或贷方科目编制对照表来登记对应科目,查明对应关系是否正确并且分析造成错误的原因,主要应用于容易发生错误以及弊端的会计科目。第四,可以采用回归分析法。通过回归分析方法,可以计量预测的风险和准确性水平,量化注册会计师的预期值。
三、分析性审计程序在审计实务中的具体运用
(一)分析性审计程序在风险评估阶段的具体运用
在风险评估阶段,利用分析性审计程序的目的是帮助注册会计师发现财务报表中的异常变化,或者与其发生而未发生的变化,识别潜在的重大错报风险领域,通过对被审计单位重大错报风险的评估帮助注册会计师设计进一步审计程序的性质、时间和范围,以提高审计效率和效果。首先,要选择适当的数据关系,在风险评估阶段,分析程序就要识别那些可能表明财务报表存在重大错报风险的异常变化,因此所使用的数据汇总性比较强,在此阶段,分析性审计程序的主要对象通常包括对账户余额变化的分析,使用分析性审计程序的精确程度以及比较的指标范围,要根据被审计单位的情况以及注册会计师自身的素质而定。其次,要对搜集的数据进行分析,通过对预期关系的数据进行分析,能够让注册会计师进一步了解被审计单位的基本情况,有助于注册会计师了解重大事项或者决策对公司财务报表的影响。第三,根据分析性审计程序,注册会计师应该识别是否有异常的数据关系或者意外的波动,因为这都可能是重大审计风险的预警信号。如果出现异常的数据关系或者波动,要作为重点审查项目进行调查,在询问被审计单位管理人员的基础上,考虑运用检查、观察等其他审计程序,获取充分的审计证据。超级秘书网
(二)分析性审计程序在实质性程序中的具体运用
实质性分析程序与细节性测试都可以用于收集审计证据,以此来识别财务报表认定层次的重大错报风险,实质性分析程序不仅仅是细节性测试的一种补充,在某些审计领域,如果重大错报风险较低而且数据之间具有稳定的预期关系,注册会计师可以单独使用实质性分析程序获取充分、适当的审计证据。首先,注册会计师在确定实质性分析程序对特定认定的适用性时,要考虑评估的重大错报风险,评估的重大错报风险水平越高,注册会计师应当越谨慎使用实质性分析性程序。另外在对同一认定实施细节测试的同时实施实质性分析程序可能是适当的。其次,要保证数据的可靠性。注册会计师在运用实质性分析程序对已经记录的金额或者比率做出预期时,需要采用内部或者外部的数据,这样数据的可靠性直接影响根据数据形成的预期值,注册会计师计划获取的保证水平越高,对数据可靠性的要求也就越高,这样分析程序就越有效。第三,要做出预期的准确程度,准确程度是对预期值与真实值之间接近程度的度量,分析程序的有效性很大程度上取决于注册会计师形成的预期值的准确性,因此,在执行分析性审计程序时,要做出预期的准确程度,保证精确度。
(三)分析性审计程序在总体复核阶段的具体运用
在审计完成阶段,注册会计师需要通过执行分析程序对财务报表进行整体符合,以此来判断审计结论是否恰当以及财务报表的整体是否公允:首先,是对财务报表重要比率的分析,在前期审计阶段,注册会计师获得了与财务报表相关的各项财务数据以及非财务数据,在总体复核阶段,注册会计师可以利用这些数据进行全面分析,总体把握财务报表的合理性。其次,可以通过对被审计单位的报表审定数同行业平均数据或者以前年度的数据进行比较,来判断财务报表上的数据是否合理。第三,要确定资产负债表日后事项是否对会计报表上的数据产生影响,进而确定报表数据是进行调整,还是披露。
参考文献:
[1]锁琳,浅谈分析性复核程序在固定资产和累计折旧审计中的运用[J].邵阳学院学报,2007,(05)
关键词:审计效率;结构标准化;审计效果;职业判断;审计业务再造;风险导向审计
19世纪80年代,审计职业迅速发展,专业队伍大量扩充,许多审计理论探讨都集中于审计程序结构的安排及其定量化上(W.Robert Kneehel,2007)。会计师事务所设计并执行了高度结构化的审计程序(Imhoff,2003),这意味着机械的审计决策,它把注册会计师的行动限制在特定的任务中。审计程序结构化极大地降低了审计成本,提高了审计效率(Efficiency),但注册会计师失去了职业判断,审计效果(Effective)得不到保证。21世纪初国内外会计造假事件频频,审计程序结构化就被指责为审计失败的罪魁祸首。会计师事务所进行审计业务流程再造,考虑降低审计成本的同时,必须注意到审计程序安排的效果。
一、审计业务流程再造:一个审计效率与审计效果的函数
近年来国内外一连串会计造假事件使注册会计师职业陷入信任危机。(zeft,2003)审计服务能增加价值吗?人们指责注册会计师的同时,又期望注册会计师能为证券市场“混乱”的局面提供一个解决办法(Power,2003)。重塑注册会计师职业在资本市场中的地位,提升注册会计师职业的竞争能力,近几年是注册会计师职业发展的一个分水岭。
20世纪80年代以前管理会计的发展历程基本上可以分为50年代的执行性管理会计和50年代之后的决策性管理会计两个阶段。在执行性管理会计阶段,管理会计追求的是“效率”(Effective),强调把事情做好,从而降低成本。在决策性管理会计阶段,管理会计追求的是“效益”(Efficiency),强调首先把事情做对(Doing Right Thing),然后再把事情做好(Doing Thing Right),从而达到企业“价值最大化”的财务目标。(聂新军、张立民,2008)从注册会计师审计服务竞争力角度思考,就是以最少的审计资源耗费完成审计战略目标,最终满足顾客——审计委托人的需求。我们以ACI代表“审计服务竞争力指数”,以S代表“审计委托人满意度”,以C代表“审计资源耗费”,建立注册会计师审计服务竞争力模型:
审计服务竞争力指数(ACI)=审计委托人满意度(S)/审计资源耗费(C) (1)
模型(1)显示,增加“审计服务竞争力指数”的ACI值,可以提高等式右边分子“审计委托人满意度”的S值,即选择增加审计委托人价值的项目做(DoingRightThing),一切组织行为均以增加“顾客价值”为目标。ACI值的提升也可以通过降低等式右边分母“审计资源耗费”的C值获得,即把所选择的事情做好(Doing Thing彤ght),以最高的效率完成审计计划。在审计战略决策的过程中。审计项目的选择是关键,如果会计师事务所选择的项目不是委托人需要的,那么审计服务提供的越多,质量越好,因为方向背道而驰,浪费的审计资源将越大。“S”值提高的同时“C”值降低,审计服务才是“物美价廉”、高性价比的产品,如此才具有旺盛的竞争力。
审计服务是通过具体的审计业务流程完成的,提高审计服务的竞争力必须有一个高效的审计业务流程。怎样才能根据经济环境的变化做好审计业务流程再造?审计业务流程必须能够增加审计的价值(张立民、聂新军,2007)。同时审计成本又最低。我们把模型(1)的“审计委托人满意度”的S值换成“审计效果”Effective值,把“审计资源耗费”的C值换成“审计效率”EffiEiency值,建立审计业务流程再造模型:
审计业务流程再造指数(ASAI)=审计效果(Effective)/审计效率(Efficiency) (2)
审计业务流程再造指数ASAI值等于“审计效果“Ef-fective值除以“审计效率”Efficiency值。注册会计师审计程序业务流程再造过程中,必须考虑到审计效果与审计效率两个方面。
二、审计程序结构标准化:提高审计效率
Bamber,Snowbll和Tubbs(1989)把审计结构描述为审计“人员、任务和指令”的严格安排,以达到对组织工作更精确和预先的控制的目的。Cushing和Loebbccke(1986)认为审计结构包括“人员、任务和指令的安排”与“审计技术”两个部分。审计技术又包括审计工具和决策助手。对于会计师事务所管理层(Management)来说,审计结构标准化能够有效地降低审计成本,对于会计师事务所审计从业人员(Practitioner)来说,机械化的审计决策方法简化了审计程序。
1.“自上而下”降低审计成本的驱动。1990年代,审计客户给注册会计师施加巨大压力以减少收费(zeft,2003),同时,内部审计的出现加剧了注册会计师审计收费的压力,内部审计给审计客户提供了一种成本更加低廉的信息质量可靠性保证的服务。注册会计师审计服务市场表现出明显的低价竞争特征,事务所维持审计租金变得困难重重(Hay & Knechel,2005),它们都想取得长期客户关系以获得未来的经济利益(De Angelo,1981;Simon & Francis,1988)。然而,当客户费用意识增加时。审计计划及其执行受到愈来愈大的压力,标准化“成本固定”的审计程序似乎是适时的应对措施,会计师事务所努力使审计程序形式化。
审计结构的增加体现在审计程序的许多方面。统计抽样的精炼(Felix,Gfimlund,Koster,& Roussey,1990),风险基础测试(Kreutzfeldt & Wallace。1990),分析程序(Knech-el,1988)。决策助手(Messier & Hansen,1987),以及持续经营评估(Mutchler & Williams。1990)等都是该信念的自然产物。增加审计结构是会计师事务所管理层控制宽泛的和多样化审计操作的最好方法,为降低审计程序中对判断的严重错误,大型会计师事务所管理层自上而下下达命令给具体的审计从业人员(Knechel,2000)。从审计效率角度上说,结构多比结构少好,标准化审计结构严格控制了审计成本。在审计失败案件中。标准化审计结构甚至被认为是审计工作严谨的代名词,因此,标准化审计结构对审计结论更有防御性(WMlaee,1983)。
2.“自下而上”简化审计程序的要求。引起审计程序标 准化的另一原因是会计师事务所审计从业人员(Practi-tioner)自下而上的结构要求。会计师事务所新聘从业人员没有执业经验,他们期望审计工作是一些不需要思考的、“勾勾划划”的、按部就班的形式化程序。标准化的审计程序免除了审计从业人员对不确定的和不明确的审计环境的职业判断。他们的任务就是按照标准的审计程序操作,这大大降低了他们的责任和风险(Bamber et a1.,1989)。
在美国,20世纪80年代会计师事务所的扩充导致公司雇佣越来越多的员工,其中大部分是应届大学毕业生(Imhoff,2003)。这批1985年左右网上招聘的毕业生大都习惯于学校以计算为主的会计业务练习,这种机械的方法只适合于学校里低级会计课程(Big Eight White Paper,1989)。在参加工作进入充满不确定性的审计职业,没有那种清楚而确定的环境。这让许多新人审计从业人员感到不适。缺少实务经验的审计专业人士希望事务所对他们的职责和工作中作出确切的安排。从而产生了对审计结构标准化的内在需求。因此,即使没有上面管理层的推动,审计程序结构仍然在悄无声息地标准化,以减少审计从业人员对审计环境中模棱两可和不确定性的把握(Francis,1994)。
3.审计程序标准化的局限性。审计程序标准化,操作性强,可以统一作为专业整体的审计师行为,如同规则导向下的会计准则,标准化审计程序很容易被规避。标准化审计程序具体表现出以下局限性:第一。标准化审计程序抹杀了审计工作的灵活性。习惯于标准程序的审计人员不太可能跟上舞弊和掩饰手段方面的革新。即使他们认识到了,标准化操作原则可能不会给予他们足够的灵活性,以追查可能发现的线索或错误行为。第二,标准化审计程序抹杀了审计从业人员的创造性和职业判断,准则不可能就所有的事项和状况进行规定,如果准则没有明文规定,审计人就无所适从。第三,审计程序调整成本高。调整标准化的审计程序,以适应一个不断变化的环境和审计技术将花费更多代价。
当形式主义弥漫于整个审计程序结构时,审计职业判断和特别事件的个性化处理就显得无关紧要了(Lemon et al.,2000)。极端地说,此时职业判断和灵活性的缺失对审计实务威胁到达功能性障碍的程度。Fischer(1996)实验研究发现,审计人员好像对审计技术深层次方面的问题不加以讨论。Healy和Palepu(2003)注意到:“审计被标准化方式的一个重要的问题是——它使审计师把他们承担的职责退位到信息处理工作”。结果是。较多的机械化工作和较少的职业判断,更加快速的审计商业化。这种局面为新一轮的审计内部流程再造播下革命的种子。
三、审计职业判断与风险导向审计:聚焦审计效果
审计实务界通过机械的和固定的结构以标准化审计程序,从而提高审计效率(Cushing & Loebbecke,1986)。随着世界经济全球化,以及企业经济业务越来越复杂,企业间的结合更紧密了,而且企业更加依靠于技术了。会计公司也许豪赌他们高度结构化审计方法的效能,虽然审计程序被现代技术武装到牙齿,但事实证明它们的愿望并没有实现,20世纪90年代审计程序结构标准化为十年后审计失败系列案埋下了祸根。
1.注册会计师审计回到历史原点:职业判断。财务报表审计是以财务报表的公允反映为审计主题的信息审计,财务报表是通过对企业发生的经济业务按照会计规则进行辨别、认识、计量和描写等高度专业性质的会计加工而形成的信息。经济业务是企业各个部门的业务人员为了实现企业目标而进行的行为的经济表现。企业有各种各样内容的经济业务,对应于经济业务的会计处理也多种多样。虽然在系统性的会计规则框架下会计处理是有据可循的过程,可是在什么样的情况下选择什么样的会计规则的决定必然伴随着主观判断。所以会计行为是在正确认识经济业务事实的基础上,通过运用特定的会计规则,将该经济业务变换为信息的过程。经营者和会计人员的判断对会计规则的选择和运用具有非常大的影响。而财务报表是通过受他们的判断影响的会计过程编制而成的(谢少敏,2006)。
审计是会计工作的延伸(胡玉明,2002)。审计在这样充满主观判断的领域。通过评价注册会计师自身获取的证据,对经营者选择和运用会计规则判断是否符合被审计单位实际情况。为了做到从公正的立场(即不受企业方面的干涉或压力的影响)对会计报表发表意见,注册会计师必须具备相应的专业能力和实务经验,否则注册会计师很容易被被审计单位牵着鼻子走。只有充分的专业能力和丰富的实务经验相辅相成,才能独立地进行恰当的审计判断。
审计程序结构的好处来自于自动、机械的判断,审计程序方面加入结构通常表现为正式的决策帮助、检查表和强制性程序、计算机一辅助等形式。然而,职业经验表明,藉由指导审计师行为的严格的辅助通常不能获得成功,从而标准化审计程序时常遭到有足够洞察力的注册会计师的抵抗,他们意识到威胁,这些工具在审计中不可能替代他们的工作。成功的决策辅助系统应该提高对判断的使用(比如,记忆辅助),而不是替代职业判断(Knechel,2000)。
2.审计业务流程再造:风险导向审计。注册会计师迫于削减(Cutback)审计成本的压力不断地使审计程序标准化,这样,即便是新招聘的助理人员也能按部就班的行事,但这样的工作并没有增加对利益相关者(Stakehold-ers)的价值(W.Robert Knechel,2007)。一家国际会计公司内部研究发现,尽管他们尽了最大努力控制成本,但过度不必要的和多余的审计工作仍然存在,分派给低级审计人员的工作表现的更为明显(Knechel,Rouse,& Schelleman,2005)。
随着企业财务欺诈案的不断出现,鉴于传统审计方法不能达到审计的效果(满足审计委托人的需要),国外一些会计师事务所在20世纪90年代开始进行新一轮审计业务流程再造,这就出现了现代风险导向审计。现代风险导向审计是以战略观和系统观为指导思想、以被审计单位的重大错报风险评估为基础、充分考虑企业经营风险的一种新的审计模式。其核心思想可以概括为:审计风险主要来源于企业财务报告的错报风险,而错报风险主要来源于整个企业的经营风险,因此,有效的审计应该是建立在对企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础上,通过综合评价经营风险以确定实质性测试的范围、时间和程序。我国2007年1月1号开始实施的中国注册会计师审计准则第1101号《财务报表审计的目标和一般原则中》第十六条中规定:“被审计单位在实施战略以实现其目标的过程中可能面临各种经营风险,注册会计师应当重点关注可能影响财务报表的经营风险。”
现代风险导向审计方法具有以下特征:一是要求对被审计单位生存能力和经营计划进行分析,从宏观上把握审计面临的风险:二是注重运用分析性程序来识别可能存在的重大错报风险:三是在评价内部控制有效的情况下,减少对接近预期值的账户余额进行测试,注重对例外项目进行详细审计:四是扩大了审计证据的内涵。注册会计师形成审计结论所依据的证据既包括实施控制测试和实质性测试获取的证据,也包括了解企业及其环境获取的证据。注册会计师需要对客户的“剩余风险”进行分析,剩余风险直接反映与客户具体会计认定有关的固有风险,可以考察客户内部流程的质量(即指出流程不可靠的地方),同时指出在某种压力下管理层做出有违财务报告和公司治理的行为。(如图1)这可以指导注册会计师安排进一步审计程序,从而消除审计程序流程中不必要的审计作业(W.Robert Knechel,2007)。
关键词:审计风险准则 风险导向 重大错报风险 风险评估 审计证据
一、前言
2006年财政部颁布了《中国注册会计师执业准则》,标志着我国在建立适应社会主义市场经济发展要求,顺应国际趋同新形势的道路上迈进了一大步。为了更好地指导注册会计师有效地识别、评估和应对审计风险,准则框架体系全面渗透着风险导向审计的理念,要求注册会计师将风险导向审计的观念贯穿于审计全过程。传统审计方法的主要缺陷在于注册会计师重视被审计单位的内部环境,但忽视其所处的外部环境;重视审计单位的控制风险但忽视其固有风险。事实上我国注册会计师面临的情形是被审计单位及其所处环境的日趋复杂。行业状况、法律环境与监管环境以及其他外部因素,都会对注册会计师审计质量产生重大影响。在复杂环境下或被审计单位内部控制不健全时,如果继续采用传统审计模式,局限于控制测试和实质性测试,把审计的主要资源集中在具体交易事项和余额细节测试上。极易引发审计风险。因此,新执业准则要求注册会计师了解被审计单位及其内外部环境,同时注重检查风险和固有风险(即重大错报风险),重点关注存在重大错报风险的领域,达到避免触发审计风险的目的。新执业准则体系的核心内容为以下准则,简称审计风险准则,分别为:《中国注册会计师执业准则第1101号――财务报表审计的目标和一般原则》(以下简称第1101号准则,下同)、《中国注册会计师执业准则第1211号――了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师执业准则第1231号――针对评估的重大错报风险实施的程序》、《中国注册会计师执业准则第1301号――审计证据》。
二、审计风险准则修订的主要内容
(一)第1101号准则 第1101号准则是在借鉴国际审计与鉴证准则第200号的基础上,对原《独立审计准则第1号――会计报表审计》进行修订而形成的。其主要内容有:会计责任和审计责任、审计的目标、审计范围、职业怀疑态度、审计风险及模型。(1)明确区分注册会计师的责任,公司管理层和治理层的责任。新准则规定,对财务报表发表审计意见是注册会计师的责任;在被审计单位治理层的监督下,按照适用的会计准则和相关会计制度的规定编制财务报表是被审计单位管理层的责任。此外,准则条款还特别强调了财务报表审计不能减轻被审计单位管理层和治理层的责任。(2)明确财务报表审计目标。新准则规定,财务报表审计的目标是注册会计师通过执行审计工作,对财务报表的下列方面发表审计意见:财务报表是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。这个规定与原有的规定没有太大区别,但是新准则中明确提出,财务报表审计属于鉴证业务,注册会计师的审计意见旨在提高财务报表的可信赖程度。(3)修订审计范围的定义。新准则指出,财务报表的审计范围是指注册会计师为实现财务报表审计目标,根据审计准则和职业判断实施的恰当的审计程序的总和。在确定拟实施的审计程序时,注册会计师应当遵守与财务报表审计相关的各项审计准则。恰当的审计程序是指审计程序的性质、时间和范围是恰当的。一是审计程序的性质指审计程序的目的和类型。目的包括:通过了解被审计单位及其环境,识别、评估重大错报风险;通过实施控制测试,明确内部控制运行的有效性;通过实施实质性程序,发现认定层次的重大错报。类型则包括检查、观察、询问、函证、重新计算、重新执行和分析程序。二是审计程序的时间是指注册会计师何时实施审计程序,或指审计证据适用的期间或时点。三是审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。审计范围受到限制是指由于客观原因或者被审计单位施加的限制,注册会计师未能实施根据审计准则和职业判断应当实施的审计程序,从而未能获取充分、适当的审计证据。(4)要求注册会计师在审计过程中始终保持职业怀疑态度,并明确在财务报表审计中注册会计师只能提供合理保证。新准则要求,在计划和实施审计工作时,注册会计师应当保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。新准则指出,注册会计师按照审计准则的规定执行审计工作,能够对财务报表整体不存在重大错报获取合理保证。由于审计中存在的固有限制影响注册会计师发现重大错报的能力,注册会计师不能对财务报表整体不存在重大错报获取绝对保证,即只能提供合理保证。(5)引进新的审计模型。新准则对审计风险模型作了重大改变,将原审计风险模型修正为:审计风险:重大错报风险x检查风险,审计风险取决于重大错报风险和检查风险,是两者的综合风险。重大错报风险要求注册会计师站在风险的高度上把握审计过程,以风险为导向进行审计,强化了风险意识,注册会计师对于重大错报风险的评估贯穿于审计的整个过程。改变后的审计风险模型使得注册会计师从更高的层次上把握重大错报风险,要求注册会计师必须了解被审计单位及其环境(包括内部控制),以充分识别和评估财务报表重大错报风险,并针对评估的重大错报风险设计和实施进一步审计程序(包括控制测试和实质性测试),以降低注册会计师的审计风险。在目前经济不确定性增大的环境下,显然新的审计风险模型更能满足风险控制的要求,并且可操作性较强。
(二)第1211号准则 第1211号准则是在借鉴国际审计与鉴证准则第315号基础上出台的新准则,将取代我国原有的《独立审计准则第21号――了解被审计单位情况》、《独立审计准则第9号――内部控制与审计风险》和《独立审计准则第20号――计算机信息系统环境下的审计》,以克服旧准则相互分离、缺乏有机融合的缺陷。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。注册会计师如何了解被审计单位及其环境,了解哪些具体的内容,了解后如何对重大错报风险进行评估,如何将了解和评估的过程、结果与管理层和治理层进行沟通,在审计工作底稿中应当对哪些内容进行记录,本准则对这些问题做了明确规范,其修订的主要内容有:(1)注册会计师审计的总体要求:了解被审计单位及其环境是必要程序;了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;了解的程度应当足够实现了解的目的。与独立审计准则中的规定不同,了解被审计单位及其内外部环境是注册会计师审计过程中必须实施的程序,
也是风险导向审计的核心。(2)风险评估程序的概念及项目组内部讨论的要求。风险评估程序是指为了解被审计单位及其环境而实施的程序。风险评估程序包括:询问被审计单位管理层和内部其他相关人员;分析程序;观察和检查。注册会计师在了解被审计单位及其环境的整个过程中,结合了解的内容和被审计单位业务的特点运用相应的风险评估程序,并利用风险评估程序所获取的信息评估重大错报风险,并可能随着不断获取审计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序,实施风险评估程序之后项目组内部必须进行讨论。注册会计师通过风险评估程序了解被审计单位及其环境后,需要对财务报表重大错报风险进行评估,评估重大错报风险需要运用专业判断,必须由项目组内部讨论来完成,项目组内部讨论可以有效降低审计风险。在原准则中,评估固有风险、控制风险也需要专业判断,但并没有需要项目组共同讨论的规定。一是讨论的目标。项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报地可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。二是讨论的内容。项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。三是参与讨论的人员。注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应当参与讨论。项目组的讨论不要求所有成员每次都参与讨论,参与讨论人员的范围受项目组成员的职责、经验和信息需求的影响。四是讨论的时间和方式。项目组应当根据审计的具体情况,在整个审计过程中,持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个过程中保持职业怀疑态度,警惕表明舞弊或错误导致的重大错报可能已经发生的信息或其他迹象,并对这些迹象进行追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或有关针对风险实施的审计程序的信息。(3)注册会计师应尽到的相关职责。对注册会计师应当从哪些方面了解被审计单位及其环境作了详细的定义:行业状况、法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。这些内容是新准则的重要内容,值得注意的是对被审计单位的了解不仅局限于被审计单位的内部控制。对以上新准则中有相应的章节进行具体的阐述,使得注册会计师思考的是究竟哪些方面去了解被审计单位,而不像原有准则中是比较模糊的概念,这样做可以有效防止了解的不彻底影响审计工作,低估重大错报风险。(4)明确了注册会计师了解内部控制的定位。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。因为注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。(5)明确了注册会计师评估两个层次的重大错报风险。在对重大错报风险进行识别和评估后,注册会计师应当确定识别的重大错报风险是与特定的各类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。如被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。(6)提出了特别风险的概念,需要特别考虑的重大错报风险即为特别风险,并根据风险的性质、潜在错报的重要程度和发生的可能性判断风险是否属于特别风险。如风险是否属于舞弊风险;交易的复杂程度;风险是否涉及重大的关联方交易等。(7)提出了对仅通过实质性程序无法应对的重大错报风险的处理方法。仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。(8)将了解被审计单位及其环境过程中获得的信息记录与工作底稿中。此类信息包括项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以便得出的重要结论;对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;在财务报表层次和认定层次识别、评估出的重大错报风险;识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
(三)第1231号准则 第1231号准则是在借鉴国际审计与鉴证准则第330号的基础上出台的一个全新的准则,将取代原有的《第21号――了解被审计单位情况》、《第9号――内部控制与审计风险》和《第20号――计算机信息系统环境下的审计》。根据《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》的要求,注册会计师在审计过程中应当贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中《第1211号――了解被审计单位及其环境并评估重大错报风险》规范了注册会计师通过实施风险评估程序,识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险,注册会计师针对已评估的财务报表层次的重大错报风险如何确定总体应对措施,针对已评估的认定层次的重大错报风险如何设计和实施进一步审计程序,进一步审计程序的性质、时间、范围如何确定和实施,如何评价实施审计程序收集的审计证据的充分性和适当性,在审计工作底稿中将对哪些审计工作进行记录等,对这些问题的明确规范是第1231号准则的核心内容。其修订的主要内容有:总体要求、针对重大错报风险的总体反应、审计程序的不可预见性、总体方案和进一步审计程序、控制测试的相关要求、实质性程序及相关要求、审计的相关要求、审计工作记录。(1)明确提出了对注册会计师审计的两个总体要求:审计程序的总体要求,注册会计师应
当对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序;职业判断的总体要求,注册会计师在确定总体应对措施以及设计和实施进一步审计程序的性质、时间和范围时应当运用职业判断。(2)首次提出了注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;分派更有经验或具有特殊技能的审计人员,或利用专家的工作;提供更多的督导;在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;对拟实施审计程序的性质、时间和范围作出总体修改。(3)强调审计程序的不可预见性要求。注册会计师针对评估的财务报表层次重大错报风险确定的总体应对措施中强调增强审计程序的不可预见性,因此,注册会计师在设计拟实施审计程序的性质、时间和范围时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对重大错报风险的进一步审计程序更加有效,注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。(4)首次提出了两种总体方案和进一步审计程序的概念。两种总体方案分别为实质性方案和综合性方案,实质性方案是指注册会计师实施的进一步审计程序以实质性程序为主;综合性方案是指注册会计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。而所谓的进一步审计程序是相对风险评估程序而言的,是注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。(5)重新界定了注册会计师实施控制测试的两种情形,当存在下列情形之一时,注册会计师应当实施控制测试:在评估认定层次重大错报风险时,预期控制的运行时有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。(6)强调了实施控制测试获取审计证据的重要性。即认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。(7)增加了“重新执行”的控制测试取证方法。根据第1301号审计证据准则,注册会计师获取审计证据的具体程序中将六种具体的取证方法修改为八种,即检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。其中增加了“重新执行”控制测试的取证方法。(8)严格限制了注册会计师无限期或过长时间内不实施测试的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。(9)首次明确区分“控制运行的有效性”与“控制是否得到执行”。注册会计师在了解被审计单位及其环境时需要实施风险评估程序。注册会计师在确定控制是否得到执行而实施的某些风险评估程序可能提供有关控制运行有效性的审计证据。注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率。两者的区别如(表1)所示。(10)首次明确期中进行控制测试的考虑。如果注册会计师在期中实施控制测试程序,即使注册会计师已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末,以确保针对期中至期末这段剩余期间获取充分、适当的审计证据。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:首先,获取这些控制在剩余期间变化情况的审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间没有发生变化,注册会计师可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,注册会计师需要了解并测试控制的变化对期中审计证据的影响。其次,确定针对剩余期间还需获取的补充审计证据。针对期中已获取过审计证据的情况,如果这些控制在剩余期间发生了变化,注册会计师应当考虑下列因素:评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多;在期中测试的特定控制。如对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效姓的审计证据;在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据;剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多;在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多;控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。(11)明确了实质性程序概念和内容。实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。(12)明确了对于特别风险的专门应对程序。如果认为评估的认定层次重大错报风险是特别风险,注册会计师应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。(13)首次提出了是否在期中实施实质性程序。注册会计师如果在期中实施了实质性程序,仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末,注册会计师应当考虑是否在期中实施实质性程序。(14)指明了财务报表审计是一个累计和不断修正的过程。随着计划的审计程序的实施,如果获取的信息与风险评估时依据的信息有重大差异,注册会计师应当考虑修正风险评估结果,并据以修改原计划的其他审计程序的性质、时间和范围。(15)明确了注册会计师应当针对评估的风险设计细节测试。如在针对存在或发生认定设计细节测试时,注册会计师应当选择包含在财务报表金额中的项目,并获取相关审计证据;针对完整性认定设计细节测试时,注册会计师应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。(16)明确了审计工作记录要求。注册会计师应当针对评估的重大错报风险实施的程序进行充分的审计工作记录。包括记录:对评估的财务报表层次重大错报风险采取的总体应对措施;实施进一步审计程序的性质、时间和范围;实施进一步审计程序与评估的认定层次重大错报风险的联系;实施进一步审计程序的结果。
(四)第1301号准则 第1301号准则是在借鉴国际审计与鉴证准则第500号的基础上,对我国原有的《独立审计准则第5号――审计证据》进行修订而形成的。此次重大修订的内容有:(1)拓展了审计证据的内涵。原审计证据准则将审计证据定义为“注册会计师在执行审计业务过程中,为形成审计意见所获取的证据”。原审计证据准则对审计证据的内涵界定比较窄,注册会计师收集
的审计证据更多体现的是与财务报表会计记录相关的信息。修订后审计证据准则将审计证据定义为“注册会计师为了得到审计结论、形成审计意见而使用的所有信息”。新审计证据准则对审计证据的内涵要宽泛得多,不仅包括与财务报表会计记录相关的信息,还包括其他信息。如(图1)所示。
其中,第一类审计证据是“财务报表依据的会计记录中含有的信息”。会计记录中含有的信息是最基本信息。构成了财务报表最主要的内容,一般包括对初始分列的记录和支持性记录,如支票、电子资金转账记录、发票、合同、总账、明细账、记账凭证和未在记账凭证中反映的对财务报表的其他调整,以及支持成本分配、计算、调节和披露的手工计算表和电子数据表。第二类审计证据是“其他信息”。其他信息是用来印证会计记录中含有的信息是否真实、完整,指导注册会计师如何识别、评估财务报表重大错报风险,一般包括:注册会计师从被审计单位内部或外部获取的会计记录以外的信息,如被审计单位会议记录、内部控制手册、函证函的回函、分析师的报告、与竞争者的比较数据等;通过询问、观察和检查等审计程序获取的信息,如通过检查存货获取存货存在性的证据等;自身编制或获取的可以通过合理推断得出结论的信息,如注册会计师编制的各种计算表、分析表等。(2)引进了“认定”的概念。原审计证据准则未将“认定”写进准则,整个审计准则体系对“认定”概念重视不够,新审计证据准则引入“认定”概念,并要求注册会计师详细运用认定指导具体审计目标,根据具体审计目标来设计和确定进一步审计程序。(3)将获取审计证据的程序区分为总体程序和具体程序。原审计证据准则只列了六种具体的取证方法。修订后的审计证据准则将注册会计师获取审计证据的程序区分为总体程序和具体程序,总体程序增加了风险评估程序,即包括风险评估程序、控制测试和实质性程序;具体程序中将六种具体的取证方法修改为八种,具体包括的内容前文已述及。其中,将“监盘”程序进行细分,因为“监盘”是“检查记录或文件”、“检查有形资产”、“观察”等具体审计程序的复合程序;增加“重新执行”具体程序;将原来的“计算”和“分析性复核”分别修改为“重新计算”和“分析程序”。(4)新增风险评估程序。根据风险导向审计准则体系的要求,注册会计师应当通过了解被审计单位及其环境识别重大错报风险,并针对评估的重大错报风险设计和实施进一步的审计程序,因此,在修订后的审计证据准则中增加“风险评估程序”,以此为手段通过了解情况作为评估财务报表层次和认定层次重大错报风险的基础。但风险评估程序并不能识别出所有的重大错报风险,虽然它可作为评估财务报表层次和认定层次重大错报风险的基础,但并不能为发表审计意见提供充分、适当的审计证据。为了获取充分、适当的审计证据,注册会计师还需要实施进一步程序,包括实施控制测试(必要时或决定测试时)和实质性程序。(5)新增“重新执行”的具体审计程序。重新执行是指注册会计师以人工方式或使用计算机辅助审计技术,重新独立执行作为被审计单位内部控制组成部分的程序或控制。如注册会计师利用被审计单位的银行存款日记账和银行对账单,重新编制银行存款余额调节表,并与被审计单位编制的银行存款余额调节表进行比较。
三、审计风险准则对注册会计师的影响
(一)对注册会计师审计理念的影响注册会计师审计的主线始终是对重大错报风险的识别、评估与应对。注册会计师为了实现审计目标。在计划和实施审计工作时,应当保持职业怀疑态度,充分考虑可能导致会计报表发生重大错报的情形。在审计和实施进一步审计程序时,注册会计师应当将审计程序的性质、时间及范围与识别和评估的风险相联系,以防止机械利用程序表从形式上迎合独立审计准则对审计程序的要求。注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性测试。注册会计师对重大错报风险评估是一种判断,并且内部控制存在固有限制,无论评估的重大错报风险结果如何,注册会计师必须针对重大的各类交易、账户余额、列报和披露实施实质性程序,不得将实质性测试只集中在例外事项上。
一、说服性审计证据的形成原因
(一)审计程序的性质审计程序是注册会计师在审计过程中的某个时期,对将要获取的审计证据如何进行搜集的详细指令。审计程序的性质是指审计程序的目的和类型。一是审计程序的目的。注册会计师通常实施的审计程序包括:风险评估程序、控制测试、实质性程序。按照会计准则和相关会计制度规定,重大错报风险由被审计单位方面的原因造成的,注册会计师无法改变其实际水平,只能通过实施风险评估程序,了解被审计单位及其环境,进而评估财务报表层次和认定层次的重大错报风险。注册会计师还应实施控制测试,以获取内部控制运行有效性的审计证据,根据控制测试的结果对实施风险评估程序得到的重大错报风险的评估水平作进一步修正,并相应修正拟实施的实质性程序的性质、时间和范围,通过实施实质性程序控制检查风险的实际水平,最终将审计风险降至可接受水平。二是审计程序的类型。审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序,注册会计师可以运用具体的方法和手段,获取发表审计意见所需的审计证据,但实施这些审计程序大多只能收集说服性而非结论性的审计证据。
(二)审计程序的时间审计程序的时间是指注册会计师何时实施审计程序,或审计证据适用的期间或时点,从这两个方面出发,分析说服性审计证据的形成原因。注册会计师无法在资产负债表日执行所有的审计程序,有时由于审计委托的滞后,全部审计工作都只能在资产负债表日之后开始,注册会计师需要根据执行审计程序时获取的审计证据推断被审计单位资产负债表日的有关情况。例如,注册会计师在资产负债表日后盘点现金,再根据盘点结果和资产负债表日至盘点日的现金收支情况(可能存在重大错报)倒推出被审计单位在资产负债表日的现金余额,此时盘点现金获取的审计证据对于资产负债表日现金的“真实性”审计目标而言是说服性而非结论性的。
(三)审计程序的范围审计程序的范围是指实施审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。在审计工作中,注册会计师可以使用审计抽样、选取特定项目和选取全部项目的方法,确定测试项目。出于成本和时间等因素的考虑,注册会计师通常大量运用审计抽样的方法,从总体中选取样本进行测试,再通过样本结果推断总体特征。审计抽样将导致抽样风险的存在,可能与总体全部项目实施同样审计程序得出的结论存在差异。因此,通过审计抽样获取的审计证据是说服性而非结论性的。根据对被审计单位的了解、评估的重大错报风险以及所测试总体的特征等,注册会计师可以从总体中选取大额或关键项目、超过某一金额的全部项目、被用于获取某些信息的项目或被用于测试控制活动的项目等进行测试。当总体由少量的大额项目组成,或存在特别风险且其他方法未提供充分、适当的审计证据,或由于信息系统自动执行的计算或其他程序具有重复性,对全部项目进行检查符合成本效益原则时,注册会计师还可能考虑选取全部项目进行测试。无论是选取特定项目还是选取全部项目进行测试都不会导致抽样风险,但由于注册会计师不是鉴定文件记录真伪的专家,或可能采用不适当的审计程序,或因误解审计证据而没有发现误差等,非抽样风险总是存在的,注册会计师仍可能得出错误结论,获取的审计证据只是说服性而非结论性的。
二、审计证据说服力的决定因素
(一)适当性证据的适当性是指证据可信的程度。如果注册会计师认为证据非常适当,这些证据会有助于注册会计师确信财务报表的列示公允。例如,注册会计师盘点存货所取得的证据比管理当局向注册会计师提供的数据更为适当,证据的适当性只与选择的审计程序有关,选择较大的样本规模或者不同的总体项目不能提高证据的适当性,只有通过选择含有适当性证据特征中的一个或多个高质量的审计程序才能够提高。一是相关性,可靠的审计证据必然会与注册会计师测试的审计目标相关。例如,注册会计师关注客户对已发货物但没有向顾客开出账单的情况,注册会计师选取一定数量的销售发票副联并将每张销售发票与有关的发货凭证进行核对,所取得的证据与完整性目标无关,则不能认为是该目标的可靠证据。相关的程序应是抽取一定数量的发货凭证并与相关的销售发票副联进行比较,以确定是否每张发货凭证均已开出发票。第二个审计程序是相关的,而第一个程序不相关,因为发货是用于确定销售业务是否发生以及应开出账单的一般标准。通过将发货凭证与销售发票副联进行核对,注册会计师可以确定发出的货物是否已经开出账单给顾客。注册会计师只能在某一具体审计目标条件下考虑相关性,大多数审计证据与多个审计目标是相关性的。二是提供者的独立性。从企业外部的渠道取得证据比从企业内部的渠道取得证据更为可靠。例如,一般外部证据(如注册会计师与银行,律师与顾客进行的信息沟通)比询问客户取得的答复更为可靠。同样,来自于客户以外的单位的凭证比客户编制并且从未离开过客户的凭证更为可靠。三是客户内部控制的有效性。客户内部控制有效时所取得证据比内部控制薄弱情况下取得的证据更为可靠。例如,与存在缺陷的内部控制相比,如果销售和开单的内部控制有效,注册会计师可以根据销售发票和发货凭证取得更适当的审计证据。四是注册会计师直接取得的信息。注册会计师通过监盘、观察、计算和审阅直接取得的证据比间接取得的信息更为可靠。五是提供信息的人员的资格。尽管信息来源于独立的渠道,只有在提供信息的人员具备相应资格的情况下,取得证据才是可靠的。因此,与律师的沟通和向银行寄送询证函比向不熟悉业务的人员进行应收账款函证更为可靠。如果注册会计师没有能力评价证据,那么注册会计师直接取得的证据也可能是不可靠的。六是客观性。客观的证据比需要大量判断以确定其是否正确的证据更为可靠。客观证据的例子包括应收账款和银行存贷款余额的函证、实地盘点证券和现金、加总应付账款清单以确定合计数是否与总账余额一致。主观证据的例子包括:客户律师提供的、讨论针对客户的未决诉讼可能结果的信函、监盘存货时观察过时存货、询问信用部门经理长期应收账款的可收回性。评价主观证据的可靠性时,提供证据的人员是否具备相应资格至关重要。七是及时性。审计证据的及时性指的是搜集证据的时间或者审计涵盖的期间。对于资产负责表账户来说,接近资产负责表日取得的证据比较可靠。例如,注册会计师在资产负责表日盘点可流通证券所取得的证据比资产负责表日之前两个月进行盘点更为可靠。对于利润表账户来说,从被审计的整个期间选取样本所取得的证据比从该期间的某一时段选取样本更为可靠。如对全年的销售业务随机抽样所取得的证据比从该年前6个月选取样本更为可靠。
(二)充分性取得证据的数量决定了证据的充分性。主要通过注册会计师选取的样本规模来衡量证据的充分性。对于某一审计程序,从100个样本中取得的证据通常比从50个样本中取得的证据更为充分。决定恰当审计样本规模的因素有多个,其中最重要的两个因素是注册会计师对错报的预期值和客户内部控制的有效性。例如,假定在审计某公司时,注册会计师认为由于客户所从事行业的性质,该公司很可能存在过时的存货,注册会计师在这类公司的审计中抽取的,关于过时存货的样本比那些存货过时可能性低的公司要多。同样,与记录固定资产业务的内部控制存在缺陷的公司相比,如果注册会计师认为客户方面的内部控制有效,在固定资产购置业务的审计中就可以采用较小的样本规模。除了样本规模以外,被测试的单个项目也会影响证据的充分性。包含大额项目、发生错误可能性高的项目和能够代表总体的项目的样本对应的证据通常是充分的证据。相反,很多注册会计师认为只有在总体中金额较大的项目占其合计比例较高时,仅包含这些金额较大项目的样本对应的证据才是充分的。
一、持续审计对持续监控的利用
对会计流程实施持续监控,审计人员可以利用管理层实施的持续监控系统,也可以通过在会计流程中内嵌审计模块(EAM)来实现。这两种监控方式的运作模式基本相同,都是通过对系统及其会计系统和业务流程的控制设置和业务数据进行分析,识别控制缺陷和异常交易,并通过邮件或手机短信的方式向审计人员、企业内部相关责任人发送预警,以期他们采取进一步的行动。
从内部审计的角度来看,EAM和持续监控在功能上存在交叉,这是由内部审计部门在内部控制监控中的作用决定的。因为内部审计部门既可以是管理层内部控制监控系统实施中的主要参与者,也可以是内部控制监控职能的执行者。国际内部审计师协会(IIA)在第3号全球技术审计指南《持续审计》中,详细地阐述了持续审计与持续监控之间的依存关系,提出在持续审计中,充分利用持续监控,能够同时满足对控制程序的有效性和用于决策的信息的可靠性和相关性确认的需要。
不过,根据COSO《内部控制系统监控指南》的观点,当前很多企业没有很好地利用持续监控程序,或者总体上缺乏必要的监控程序,这就给依赖持续监控而运行的持续审计实施带来障碍。在这种情况下,内部审计部门可能会主动帮助管理层建立持续监控程序,虽然他们并不拥有该程序的所有权。持续审计是一种在较高频率上进行审计的方式,实现审计程序自动化是开展持续审计的必要条件。内部审计部门无论是为了满足审计的需要来开发EAM,还是为了帮助管理层实施持续监控系统,都应该考虑将更多的现有审计程序整合进EAM或者持续监控系统,也即如何将现有审计程序实现自动化,进而实现审计流程对会计流程的嵌入。
二、审计流程嵌入的基本思路
审计是一种充斥着职业判断的工作,由于计算机对审计程序执行刚性与人工处理柔性之间的差异,使得在将审计流程转换成计算机可执行程序时,必须对现有审计流程进行重构。审计流程重构主要是将当前针对会计流程的手工审计程序和审计判断的可规范部分与不可规范部分相分离,目的在于减少对非正式审计判断技术的依赖,以使审计程序尽可能实现自动化。
(一)规范审计程序
要实现审计程序自动化,首先必须对现有的手工审计程序进行规范化。规范化就是通过建立一种统一的审计方式,减少不同审计人员对于具体审计程序理解和运用上的差异,借以提升审计程序执行上的准确性和一致性。
根据自动化的实现可能性与程度,手工审计程序可分为可直接实现自动化、不可能实现自动化和具备实现自动化潜力三类。一般来说,那些用于完成常规的、重复性的结构化工作的审计程序都可以实现自动化。对于那些既不能分离出可自动化部分,也不能利用计算机来实现对审计职业判断的模拟,或者必须由人工来完成的部分,是不能实现自动化的。某些审计程序虽然需要运用审计人员的职业判断,但这种职业判断具有一定的逻辑性,可以通过计算机实现模拟,这类审计程序可以通过进行重构实现规范化,进而使之具备实现自动化的潜力。
对审计程序进行规范就是针对具备自动化潜力的审计程序部分。这种规范化并非消除审计职业判断的空间,而是通过考虑审计人员在不同审计环境下执行审计程序的各种可能情形,将这些情形内化于计算机审计程序中,用一种统一的方式来执行,而不能由审计人员根据自身偏好进行选择。对于那些需要审计人员进行逻辑推理和形式思维才能完成的工作,可能需要借鉴构建审计专家系统时采用的方法,如知识工程学。由于规范化的最终目的是将人工审计程序转换为计算机可执行的程序,所以,在软件设计人员所进行的审计程序设计中,需要有经验丰富的审计人员的参与。
(二)利用基线来实现审计程序自动化
某些审计程序想要实现规范化,不是在技术上不可行,就是成本太高,此时可以考虑采用对基线的监控来实现审计程序的自动化。如果规范化的审计程序是自动化“审计面”,那么通过基线所进行的监控则是自动化“审计点”。基线是对某个时点系统和业务流程设置的一个参照,它是作为后续审计过程中的参照标准。在系统运行过程中,通过将后续时点与基线进行比较,识别偏离基线的情况,借以实现审计自动化。这种方式的优势在于容易实施、成本较低。不足之处在于其审计覆盖面狭窄,且仅仅对那些限制性的控制设置起作用。在进行基线设置的时候,可以采用前次全面审计的结果,也可以通过对内部控制系统进行重新评估来获取。企业经营环境的变化,要求基线也随之调整,这就需要大量的手工工作来验证基线的有效性。所以,在基线设置中还需要在风险和成本之间进行权衡。一般来说,参数值越固定,越适用于基线监控。基线设置并非一蹴而就,在初始设置运行之后的一段时间内需要对监控结果进行仔细分析,审慎决定是否应该对当前基线值进行添加、删除或者修改,直到系统平稳运行为止。控制基准设定好之后,还应定期对其进行评估。
(三)确定持续审计活动的执行频率
持续审计活动的频率将会从对详细交易的实时或接近实时的评价到对详细交易、快照或者综合数据的周期性评价。高频率的持续审计可以提供较高水平的认证,因为持续审计的高频率将导致留给不符合要求的调整或者进行交易的时间有限,而且,执行一些高频率的审计程序,可以减少对那些不能够实现自动化的审计程序的依赖。因此,审计人员可以考虑在持续审计的频率和范围之间进行权衡。
持续审计相对于传统审计之所以能够在一个更高的频率上执行,是因为自动化的持续审计测试可以降低执行风险评估和控制确认的成本。审计频率将不仅取决于所检查的系统或者流程的风险水平,也取决于审计程序的自动化程度和可以使用的资源。比如拥有关键控制的系统可能需要对交易数据进行实时分析;支持年度审计计划的风险评估可能每季度进行一次;用于支持单项审计和对审计建议的追踪可能会在一个特定的基础上进行。
(四)强化持续审计系统生成的警报管理
持续审计系统是企业预警管理系统的一种,该系统一旦发现控制异常或风险增加的情况,会自动生成警报,然后通过电子邮件、短信或自动电话系统通知审计人员,并选择性的通知企业内部相关责任人或管理人员,以促使问题及时得到纠正,防止形成重大控制缺陷或重大风险,从而提升内部控制系统的“免疫力”。警报需要记录的细节应该包括所检测到的结果、关于将要采取什么行动的决策、谁应该被告知、应该何时被告知、期望得到响应的日期。警报有轻重缓急之分,审计人员应该先将这些审计结果进行排序,然后再按照顺序执行。审计警报管理关键不在于如何将警报发送给相关人员,而在于如何解决“警报涌现”的问题。如果出现警报大规模涌现,将不利于审计人员和企业相关人员对这些问题的处理。最糟糕的是,警报涌现可能使得企业相关人员决定全部忽略警报或强迫审计师关闭信息警报开关。产生警报涌现的原因可能是审计系统中发送警报的控制参数设定错误,或者设定的过于保守。通常一个持续审计系统在初次实施的时候,会出现警报涌现的情况,但并不能据此作出结论,因为持续审计系统初次设置的参数通常具有一定的主观性和片面性。在出现这种情况时,应该先对例外报告进行调查,然后对相应的控制参数进行调整,如此反复,不断完善。如果在系统平稳运行一段时间后,再次发生警报涌现,则可能是企业经营环境发生变化的信号,需要重新对原有的控制参数进行评估和调整。
三、审计流程嵌入在我国会计信息化建设中的相关考虑
2009年4月财政部印发的《关于全面推进我国会计信息化工作的指导意见》中提出,未来5-10年要实现大型企事业单位会计信息化与经营管理信息化融合,同时要根据企事业单位内部控制规范的要求,将内部控制流程、关键控制点等固化在信息系统中,促进各单位内部控制规范制度的设计和运行,并形成自我评价报告。2011年9月9日财政部的《会计改革与发展“十二五”规划纲要》中重点要求“全面推进会计信息化建设,为会计科学化和精细化管理提供助力”,则再次重申了企业要实现内部控制信息化、内部控制评价报告信息化和内部控制审计信息化。
虽然上述两个文件没有要求将审计流程嵌入会计流程,却明确提出了要将会计流程、业务流程和内部控制流程进行融合。从效率和效果方面考虑可看出,将审计流程嵌入会计流程,通过对会计流程、业务流程和内部控制流程进行实时监控,实现持续审计,无疑是内部审计的发展方向。国际上,普华永道的调查,以及ACL公司和IIA的联合调查都表明,持续审计已经受到了广泛的重视,许多大公司内部审计部门已经开始部分采用了持续审计。IIA和ISACA还专门了进行持续审计的指南。在我国,一些特大型企业,如中国石油天然气集团公司,已经能够通过信息化手段随时掌握全国各地加油站交易等相关信息,以此实现集团对所属各单位业务流程的实时监控。
将审计流程嵌入会计流程,需要进行大规模的定制。目前一些主流ERP软件厂商(如SAP、Oracle)推出的“治理、风险管理和法规遵循”解决方案,能够与他们的ERP软件进行集成,实现对业务流程的持续监控。许多ERP软件还内嵌了一些持续监控模块。但这些应用只能局限于某个特定的ERP软件。
一、认定与确定审计目标
审计目标是在一定历史环境下,通过审计实践活动所期望达到的境地或最终结果。包括财务报表的总目标以及与各类交易、账户余额、列报相关的具体审计目标两个层次。审计目标的确定,对注册会计师的审计工作发挥着导向作用,界定了注册会计师的责任范围,直接影响注册会计师计划和实施审计程序的性质、时间和范围,决定了注册会计师如何发表审计意见。出于对自身利益的关心,财务报表使用者常常担心管理层提供带有偏见、不公正甚至欺诈的财务报表,从而向外部的注册会计师寻求鉴证服务。因此,报表的使用者的需求决定了财务报表总审计目标是对财务报表整体的合法性和公允性发表意见。
财务报表审计是对管理层认定的再认定,是对财务报表与既定标准(如会计准则)的比较,确定它们的符合程度,得出审计结果,并把审计结果以财务报表形式传递给报表使用者的过程。而财务报表是管理层对财务报表组成要素进行认定的结果。注册会计师的基本职责就是确定被审计单位管理层对其财务报表的认定设计审计具体目标,实施相应的审计程序,取得证据完成对财务报表各项认定的确定、最后才能形成审计意见,出具审计报表。因此,认定与审汁目标密切相关。
二、认定与规划审计程序
合理规划审计程序的目的在于保证审计质量的同时提高审计效率,这意味着审计师在相似效率的不同方法中选择最有效率的方法。注册会计师可以针对不同的审计目标,采取相应的审计程序,获取认定层次充分、适当的审汁证据,最终对财务报表整体不存在重大错报发表审计意见。审计程序一般分为风险评估程序、控制测试程序和实质性测试程序。新审计准则规定:注册会计师为获取充分、适当的审计证据,应当实施风险评估程序以此作为评估财务报表和认定层次重大错报风险的基础。并指出注册会计师应当在了解被审计单位及其环境的整个过程中识别风险,并考虑识别的风险与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。如果是后者,则属于财务报表层次的重大错报风险。对财务报表层次的重大错报风险,注册会计师应采取总体应对措施,而且要考虑报表层次重大错报风险对认定层次总体审计方案的影响。对认定层次的重大错报风险,采取进一步的审计程序,包括实施控制测试以确定被审计单位内部控制在防止或发现并纠正认定层次重大错报方面的有效性,以及实施实质性审计程序直接用以发现认定层次重大错报。可见,风险评估程序主要是识别和评估哪些认定可能出错,而控制测试和实质性程序是验证认定是否恰当。控制测试与实质性测试之间也有着密切的关系。如果审计人员认为被审计单位内部控制的可靠性高,则实质性程序的工作量就可以大大减少;反之,实质性程序的工作量就会增加。
(一)风险评估程序与认定的关系实施风险评估程序是为了识别两个层次的重大错报风险,其最终目的是确定重大错报风险与认定的关系,进而为规划控制测试程序和实质性测试程序奠定基础。在了解被审计单位及其环境的基础上,审计人员在设计和实施审计测试前必须适当地评估重大错报风险,而不能不评估重大错报,风险就直接进行审计测试,也不能简单地直接将重大错报风险设定为最高水平,进而实施更广泛的实质性测试。因为不弄清认定层次的重大错报风险,实施实质性测试很难查出财务报表中的重大错报。因此,评估财务报表的重大错报风险是审计工作的起点,风险评价的结果将影响实质性测试审计程序的性质、时间和范围。审计师应当运用各项风险评估程序,(1)在了解被审计单位及其环境的整个过程中识别风险,并将识别的风险与各类交易、账户余额和列报相联系,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定;(2)内部控制环境好坏所带来的风险往往与财务报表层次的重大错报风险相关,对财务报表产生广泛影响,与多项认定相关,难以限于交易、账户余额和列报层次的认定。同时,由于控制有助于防止或发现并纠正认定层次的重大错报,在评估重大错报风险时,审计师还应当将所了解的某一控制活动与特定认定相联系。
(二)控制测试程序与认定的关系财务报表层次重大错报风险难以限于某类交易、账户余额、列报的特点,意味着此类风险可能对财务报表的多项认定产生广泛影响,并相应增加审计师对认定层次错报风险的评估难度。因此,审计师评估的财务报表层次重大错报风险以及采取的总体应对措施对拟实施进一步审计程序的总体方案具有重大影响。拟实施的进一步审计程序的总体方案包括实质性方案和综合性方案,实质性方案是指审计师实施的进一步审计程序以实质性程序为主,综合性方案是指审计师在实施进一步审计程序时,将控制测试与实质性程序结合使用。一般来讲,当评估的财务报表层次重大错报风险属于高风险水平时,拟实施进一步审计程序的总体方案往往更倾向于实质性方案。各类交易、账户余额、列报认定层次的重大错报风险存在差异,使用的审计程序也有差别,需要审计师区别对待,并设计具有针对性地进一步审计程序。通常情况下,审计师处于成本效益的考虑可以采用综合性方案设计进一步审计程序,即将测试控制运行的有效性与实质性程序结合使用,但在某些情况下,审计师必须通过实施控制测试。才可能有效应对并评估某一认定的重大错报风险;而在另一些情况下,审计师可能认为仅实施实质性程序就是适当的。总之,控制测试是否执行、如何执行都取决于两类重大错报风险与认定的关系,财务报表层次的重大错报风险与认定的关系属于普遍和一般,各类交易、账户余额、列报认定层次重大错报风险与认定的关系属于个别和特殊,后者更具体、更直接决定了进一步的审计程序的性质、时间和范围。此外,在设计控制测试程序时,审计师不仅应当考虑与认定直接相关的控制,还应当考虑这些控制所依赖的与认定间接相关的控制,以获取支持控制有效性的审计证据。
关键词:审计;风险;程序
一、审计风险的具体内涵
尽管目前对重要性原则的表述不尽相同,但其认识基本一致,即如果信息的错报或漏报影响到报表使用者的判断或决策,那么该信息就是重要的。在理解重要性的具体内涵时,必须认识到由于审计方法或审计成本的限制,财务报表审计只能起到合理保证的作用,注册会计师在审计过程中必须站在财务报表使用者的角度上,考虑在具体的审计环境下,财务报表的某项错报是否足以改变或影响财务报表使用者的相关决策,所以运用重要性的关键是确定多少金额及以上的错报会影响到信息需求者的决策。在我国的审计实务中,结合重要性标准的具体含义做进一步延伸界定为重要性水平,这也是审计实务工作者对重要性的习惯性表述,而这种做法与重要性的含义逻辑上一致。
现代风险导向审计实务模式下,注册会计师确定两个层次的重要性水平,就某一特定的被审计单位而言,出具真实公允的财务报表是被审计单位管理当局的责任,而报表中的错报漏报到多大程度会影响到报表使用者的判断决策是客观存在的,这个尺度只有管理当局最清楚。但这个客观的重要性水平是一个非常抽象的标准,对注册会计师而言具有不可确知性,只能利用对被审计单位的理解和职业判断进行评估。目前没有尺度去评价CPA所估计的重要性水平是接近还是偏离客观重要性水平,所以伴随CPA这种职业判断的审计风险接踵而来,不仅如此,不同的报表使用者容许报表中存在的错报或漏报严重程度不尽相同,但在实践中,注册会计师用统一的量化的重要性判断标准来指导审计实务,将承担一定的审计风险,实践中重要性水平的确定和注册会计师承担审计风险存在必然联系。
针对具体认定层次风险严重性和可能性,确定进一步的审计程序,CPA通过实施具体的审计程序,收集到充分适当的审计证据来控制检查风险水平,所以从审计人员角度看,确定各个认定层次的重要性水平,但能否查出各个认定层次的错报漏报是否超过重要性水平这本质上属于审计检查风险。对重大错报风险水平进行恰当评估基础上,只有将审计检查风险降到可接受范围之内,才能达到审计后的报表容许的错报或漏报在重要性水平之下,审计风险在可承受范围之内。
二、审计程序的界定
审计计划阶段确定的重要性水平,可接受的审计风险水平,最终都是在为注册会计师实施审计程序范围的大小服务。而随着审计程序实施范围的不断加深及对被审计单位具体情况的不断了解,注册会计师不断修正审计计划阶段确定的重要性水平和审计风险水平。所以审计程序范围与计划阶段确定的重要性水平、审计风险水平具有相对应的关系。
现代风险导向审计模式下,审计程序按实施的目的分为风险评估、控制测试、实质性测试。风险评估程序是以了解被审计单位及其环境并进行恰当评估重大错报风险为起点和导向,获得包括对企业外部、内部环境的风险的初步了解和识别,并根据初步评估结果,计划和实施控制测试程序,然后根据风险评估程序和控制测试的结果,计划和实施实质性测试程序。现代风险导向审计新理念是增强风险评估的新导向和进一步审计程序的针对性。如果初步评估重大错报风险水平较高,则CPA应实施更多实质性测试而相应减少控制测试的范围,把从宏观着眼识别和评估出的重大错报风险与微观的某类交易、账户余额及列报认定相联系,通过实施具体的细节测试和分析性测试,将认定层次的错报或漏报查出,控制检查风险水平,通过将组成财务报表三个认定层次的超过重要性水平的错报或漏报查出,才能合理保证财务报表整体不存在重大错报,审计风险也能降低到可接受范围之内。
三、审计风险与审计程序的关系
在既定的、可接受的审计风险水平一定的前提下,初步评估的重大错报风险与检查风险水平成反向关系。检查风险是指CPA未能发现某一认定存在错报,该错报单独或连同其他错报是重大的可能性小,即该错报在重要性水平之下,这样注册会计师承担的检查风险水平会很低。如果注册会计师发现某项认定单独或连同其他错报认定发生超过重要性水平的错报的可能性大,CPA需要实施的审计范围就越大,实施的审计程序类型就要更多一些。当重大错报风险水平偏低,CPA估计的重要性水平可以偏高,虽然重要性水平判断风险增加,但由于重大错报风险水平降低,也可抵消重要性水平估计偏高所带来的审计判断风险,从而使审计风险降低至可接受水平。融合前者重要性水平与审计风险成反向关系,利用层次分析法界定评定重要性水平、重大错报风险水平和检查风险水平之间的关系。
【关键词】审计工作底稿 编制问题 建议
审计工作底稿是审计证据的载体,是注册会计师在执行审计业务过程中形成的审计工作记录和获取的审计资料,是影响审计工作质量和目标实现的关键环节。通过编制审计工作底稿,把注册会计师也已收集的数量众多但又不系统、没有终点的审计资料,系统地加以归类编号、索引整理,从而使审计工作结论有证可循,有据可依。它形成于整个的审计过程,同时是整个审计过程的反映。注册会计师依据编制的审计工作底稿形成审计结论、发表审计意见、出具审计报告,同时也可以依据审计工作底稿编制的水平和质量来评价考核执业的CPA专业能力、工作业绩、知识水平;行业监管机构通过检查编制的审计工作底稿来确定被检查机构的业务质量、明确审计责任。
所以在整个审计工作中,无论是对审计师还是监管机构而言,审计工作底稿的编制都具有弥足重要的地位和作用,为此,独立审计准则也将其放在了比较突出的地位。但是由于我国注册会计师行业的发展还不够完善,在当前的独立审计实践中,注册会计师审计工作底稿的编制还存在许多缺陷,影响审计质量,本文就我实际参加的审计过程中发现的工作底稿编制问题进行分析与探讨。
一、审计工作底稿编制简介
依据《中国注册会计师审计准则第1131号——审计工作底稿》(财会(2010)21号)所述,审计工作底稿是指注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论作出的记录。
准则第3条规定,在符合本准则和相关审计准则要求的情况下,审计工作底稿能实现下列目的:提供证据,作为注册会计师得出实现总体目标结论的基础;提供证据,证明注册会计师按照审计准则和相关法律法规的规定计划和执行了审计工作。同时,审计工作底稿还有助于项目组计划和执行审计工作,有助于负责督导的项目组成员履行指导、监督与复核审计工作的责任,便于项目组说明其执行审计工作的情况,便于事务所实施质量控制复核与检查,便于监管机构和注册会计师协会实施执业质量检查。
准则要求注册会计师应及时编制审计工作底稿,记录实施的审计程序和获取的审计证据,确保未曾接触该项审计工作的有经验专业人士清楚了解审计程序的性质、时间安排和范围,实施审计程序的结果和获取的审计证据,审计中遇到的重大事项和得出的结论,以及在得出结论时作出的重大职业判断。在极其特殊的情况下,如果认为有必要偏离某项审计准则的相关要求,注册会计师应当记录实施的审计替代程序是如何实现相关要求的目的以及偏离的原因。
审计工作底稿的归档期限为审计报告日后六十天内,会计师事务所应当自审计报告日起,对审计工作底稿至少保存十年。
通过统计万方数据库文献数量,发现关于审计底稿研究的问题并不多,而关于审计底稿编制方面研究的更少,而且主要是一些事务所成员或是审计局等实践机构进行的研究。图1和图2分别是万方数据库关于关键词“审计底稿”研究文献按年(包括学位论文、期刊论文、会议论文)和按期刊的数量统计。
图1 万方数据库统计审计底稿研究数量(按年统计)
图2 万方数据库统计审计底稿(1996年-至今)研究数量(按期刊统计)
二、审计工作底稿编制中存在的问题
本人在事务所参与审计项目的过程中,查阅了多位同事的审计工作底稿,又综合分析了2010年、2011年、2012年以来所里的审计工作底稿,发现存在一些共性的审计工作底稿编制问题。主要包括以下三方面:
(一)审计计划与审计程序脱节
从审计链条角度来看,具体科目需要执行的审计程序,是根据审计策略中的重要科目、重要认定作出的。实际执行的审计程序应当严格按照计划执行,不应漏执行、少执行或者盲目执行计划工作中的任何程序,除非有符合测试程序的特殊情况。但遗憾的是,目前看到的实际执行的审计程序与计划所需要执行的审计程序是脱节的,并没有说明“为什么要做”。
(二)审计程序执行不到位
所里现行的业务规范体系明确规定了审计过程中需要执行的必要程序和补充程序,必要程序是为满足监管部门要求的最少程序,不一定满足报表审计需要,所以还需要补充程序进行完善。但是依目前编制的审计底稿情况看,程序的执行是不够到位的,不能证实相关认定。比如某些往来科目仅进行了往来明细的分析和函证,并未对明细项的账龄或是坏账准备分析,或是进行了坏账和账龄分析少了函证程序,有些项目可能遗漏了披露事项,或者是披露事项不全面充分,仅仅披露了某一部分。
(三)审计工作底稿逻辑混乱
从目前底稿复核情况,底稿逻辑性是比较混乱的,特别是底稿索引十分欠缺,往往是有底稿无索引,而且存在有底稿无结论、或是无底稿有结论以及结论与程序不匹配的问题。逻辑性混乱主要体现为一些盲目执行的审计程序,并没有指出实施此审计程序的缘由或是由此审计程序证明相关认定充分。由于审计人员专业能力的欠缺,对审计底稿的性质不能充分理解,对审计索引的重要性关注程度不够,忽视了审计索引的填写,甚至某些索引与所指内容不能匹配,或是审计所填索引并不存在。
三、规范审计工作底稿编制的建议
通过阅读大量的审计底稿相关文献,参考事务所诸位项目经理和项目主管的经验建议,结合本人的实践经验和专业知识积累,针对上述共性的审计底稿编制问题,本人提出如下建议对策,主要包括以下三方面:
(一)加强计划阶段的工作
针对上述问题一所出现的状况,我们主要是应该加强计划阶段的工作。主要从两方面执行:一方面是项目启动会不论大小,一定要坚持开。良好的开端是成功的一半,项目启动会是一个项目的开始,多数是由项目经理负责组织和召开的,通过项目启动会的召开我们可以了解项目相关的实施任务和计划,让我们明确未来要做的工作。二是一定要树立具体审计程序来源于审计策略书中的“重要科目和重要认定部分”这一观念。对应的,具体各子项目审计策略书或审计计划中也需要增加相应内容。
(二)重视单位业规的学习
针对上述问题二所出现的状况,主要是应加强审计底稿编制人员对业务规范体系的学习。事务所的业务规范体系是单位针对具体的审计科目或是程序需要执行的审计程序的规定,它全面而又具体的规定了所有项目需要执行的认定程序,是编制审计工作底稿的可靠依据。审计人员在编制审计工作底稿之前,一定要加强对单位业规的学习,对于必要程序,一定要执行到位,一定要根据认定选择相应程序,避免出现审计程序执行不到位的情况出现。
(三)提出如下具体底稿框架
针对上述问题三所出现的状况,作者提出如下具体的审计工作底稿框架。
具体的审计工作底稿第一页应为总括页。总括页应按照如下审计思路编制:为什么做-准备怎么做-做的成果-审计结论。具体来说有如下部分:
1.总领表和明细表。这一部分主要是增减变动原因分析、项目明细数据列示和分析以及四步分析法,四步分析法主要包括建立期望值、确定无需进一步分析的差异额、计算变动差异以及差异分析四部分。
2.审计重要认定及拟实施程序。主要包括存在性、权利与义务、计价和分摊、列报等重要认定及拟实施的实质性测试程序。本表也可以是替代程序表,各项目组长可根据实际情况具体确定,也可以二者并存。
3.具体的实施程序及结论。对于这部分内容,应将相应的程序与索引底稿勾稽起来。主要按以下线路进行:程序1-索引底稿页1-程序1的结论(经审计,对XX认定未发现重大问题;或经调整后,XX认定无重大问题等等)。具体的索引和审计程序应当相对应,以后的各个程序均按此线路执行编制。
4.审计调整事项说明。此步骤列明需要作出的调整事项及其索引,并保证其事项与索引匹配。
5.审计总结论。根据以上执行的审计程序,根据我们的专业经验,作出恰当的审计判断,得出审计结论。例如:经审计,各项重大认定未见重大异常,本科目可以确认等等。具体底稿第二至第N页则为具体程序页,均应索引到总括页。总体来说,索引必须在现场作出并有效索引。
以上是针对一般审计程序编制审计底稿的意见,针对专项审计项目,由于审计对象特殊,无法采用标准底稿格式,只能参考底稿格式、需要项目组坚持灌输风险导向审计的理念去解决问题。
考虑到项目可能由于各种原因前期了解不足,准备工作不充分,审计对象、目标不明确,在现场客户要求又相当紧迫的情况下,审计工作底稿质量很有可能会降低,应对方法是加强现场随机计划,调整审计思路及修正审计计划的工作比重,通过现场启动会总结及调整会议等方式贯彻审计底稿编制思路,提高效率。
参考文献
[1]叶才伦.审计工作底稿与审计日记、审计证据的关系[J].中国审计,2004(5).
[2]孟庆良,王立新.审计工作底稿编制问题探析[J].中国注册会计师,2007(5).
[3]中注协专业标准部.审计工作底稿[J].中国注册会计师,2007(6).
[4]严少斌.审计底稿三个环节的挂意事项[J].财务与会计,2012(11).
[5]苏安梅,王微伟.IPO审计中风险评估底稿的运用[J].财务与会计,2012(11).
[6]郭自元.如何规范编制审计取证单和审计工作底稿[J].审计与理财,2013(1).
[7]张璐怡.中注协召开《小型企业财务报表审计工作底稿编制指南》论证会[J].财务与会计,2012(12).
[8]方娟.影响审计工作底稿编制质量的原因及对策[J].河南科技,2011(9).
[9]陈丽.审计工作底稿复核制度探析[J].科教导刊,2011(35).
[10]程净.审计工作底稿的常见缺陷[J]审计与理财,2004(8).
[11]陈友梅.审计工作底稿中两个问题的探讨[J].财务与会计,2009(3).
[12]黄金.审计工作底稿编制应完整[J].中国审计,2004(11).
[13]刘力云.审计工作底稿编制方面存在的问题及分析[J].中国审计,2003(15).
[14]童日民.编写审计日记与工作底稿的几点体会[J].审计与理财,2007(9).
(一)风险导向工程审计体系建设理念和策略 所谓以风险为导向的工程审计,是指是一种有别于财务基础审计和制度基础审计的审计模式。它以识别工程项目实施全过程中存在的重点风险要素为导向,在确定的风险水平基础上,决定实质性测试的程度和范围。
所谓工程审计体系的建设,是指在充分分析和研究现阶段工程项目存在风险的基础上,辅之以ERP等信息系统为查证手段,建立一套风险导向审计的理论体系,编制一套符合企业自身工程项目特点的审计程序表。
在体系建设的过程中,内审部门可遵循“风险把控为核心、信息系统为依托、程序到位为落脚点”的整体策略,具体表现为:一是研究并剖析工程项目实施全过程中存在的各类风险节点。该项研究在认真分析自身现有工程项目的风险评估的基础上,从风险管理总目标出发,进一步延伸至各单项风险的管理目标,综合分析评审影响工程项目活动的各种风险因素,为后续审计重点的制定明确方向,指引着风险基础审计工作的开展。二是推进信息系统在工程审计过程中的深化应用。充分利用企业内部相关职能部门已开展实施的ERP等信息系统,通过对关键管控流程的测试以及重要功能数据的分析,明确审计方向和范围,使审计贯穿至工程管理的全过程,进而提高工程审计效果和效率。三是在风险导向的基础上编制工程审计程序表。该项工作从各单项风险及其风险管理应对策略出发,针对投资立项、勘察设计、招标投标、工程建设、竣工决算等环节设计出审计程序,给出具体审计方法和可能审计结果,重点评价应对策略是否得到有效地执行以及执行的结果如何。
(二)风险导向工程审计体系建设范围和目标 首先就范围而言,内审部门在构建工程审计体系的过程中,可参照了我们国家目前涉及内部控制管理的最高纲领性文件,即《企业内部控制基本规范》和《企业内部控制应用指引第11号――工程项目》的制度精神,实施范围应涵盖工程立项、设计、招标、建设、竣工验收以及后评价等六个阶段的风险节点和审计程序。
其次就目标而言,构建工程审计体系的目标应该是:“规避风险发生、完善内控制度、提升管理水平、服务公司决策”。以风险评估和内控测试为主线,以及结合信息系统的利用,分别对工程立项、工程设计、工程招标、工程建设、工程验收等工程管理的全过程制定详尽的审计程序,最终使得工程审计水平和效率得到进一步提升,更好地发挥内部审计监督、服务职能。
二、风险导向工程审计体系构建
(一)遵照风险导向原则,梳理审计工作流程 根据一般企业工程项目管理现状,建议内审部门可制定如下的审计工作基本流程:
图1 内部审计工作基本流程
(二)主要流程内容及关键节点说明 按照《企业内部控制应用指引第11号――工程项目》的文件精神,在审计实务操作中将工程项目全过程划分为立项、设计、招标、建设、验收以及后评价等环节。同时结合风险导向审计的理论,需要在审计的准备、实施、报告、后续管理等各阶段中分别实施风险识别与度量、内控措施与测试、审计程序与执行、管理评价与反馈等四个步骤。进而在上述各阶段中找出每个环节的重大风险节点、测试其内控制度设计和执行情况、针对性执行实质性的审计程序,最终对其形成审计报告和管理建议。
(1)工程立项阶段 。工程立项属于项目决策过程,是对拟建项目的必要性和可行性进行技术经济论证,对不同建设方案进行技术经济比较并做出判断和决定的过程。
主要风险评估节点:未按规定权限和时限履行内部立项审批程序,导致流程不合规;缺乏可行性研究,或流于形式,导致决策不当,难以实现预期效益;项目评审流于形式,误导项目决策,导致项目的投资失败等。
主要内部控制措施:工程项目应纳入年度投资计划,及时报批并取得有效批准文件;决策机构应当对项目进行集体审议。必要时,可以成立专家组或委托专业机构进行评审等。
主要风险审计程序:通过查阅立项批准文件,检查项目是否按规定权限履行了公司内部立项审批程序,审批权限是否合规,是否存在越权审批,是否存在先建后批,甚至是否存在未经批准擅自建设的情况;通过查阅可研报告、评审意见等资料,检查项目内容是否完整、真实、科学等。
(2)工程设计阶段。项目立项后,能不能保证工程建设的质量、进度、成本、安全,设计工作起着关键的作用。
主要风险评估节点:设计单位不符合项目资质要求,导致设计主体不合法;工程设计与后续施工未有效衔接,导致技术方案未得到有效落实,影响工程质量,造成工程变更,发生重大经济损失等。
主要内部控制措施:外聘设计单位,建设单位应当引入竞争机制,尽量采用招标方式;建立严格的初步设计审查和批准制度,通过严格的复核、专家评议等制度,层层把关,确保评审工作质量等。
主要风险审计程序:通过查阅设计单位的资质证书等,检查其是否具备相应的专业能力、项目经验等;通过比对设计方案以及结合期后竣工决算资料等,检查设计工作是否有效、内容是否完整、数据是否准确等。
(3)工程招标阶段。招标阶段是工程项目实施过程中舞弊行为的高发环节,因此在审计中应特别予以注意。
主要风险评估节点:未履行招标程序或人为肢解建设项目,导致招标项目不完整,或逃避公开招标;招标人与投标人串通投标,存在舞弊行为,导致工程质量、进度难以达到规定标准等。
主要内部控制措施:建立健全招投标管理制度,明确应当进行招标的工程项目范围、招标方式、招标程序等要求;对招标信息采取严格的保密措施,防止串通舞弊的行为发生等。
主要风险审计程序:通过查阅工程项目基本信息,检查是否存在未履行招标或招标程序不合规的情况;通过查阅招标文件、开标记录、评标报告、决标报告、中标通知书等资料,必要时实施访谈、调查等程序,检查是否存在舞弊情况等。
(4)工程建设阶段。工程建设指的是施工阶段,主要工作有:工程施工、工程监理、物资管理、资金管理。
主要风险评估节点:工程施工不到位、工程监理不落地,导致质量、安全保障手段缺失;工程物资质次价高,不符合设计标准和合同要求,导致影响工程质量和进度;资金使用管理不规范,项目资金不落实,导致工程延迟或中断等。
主要内部控制措施:完善各类工程管理文件,加强对施工、监理等单位的有效监管;通过集中招标等方式,加强对工程物资的质量和成本控制;建立工程价款结算制度,明确工作流程和职责权限划分,并切实遵照执行等。
主要风险审计程序:通过调查施工单位资料、复核监理工作记录等,检点工序、施工技术、隐蔽工程等是否执行到位;通过查阅招标资料、供应商信息等,检查工程物资是否质量保证、价廉物美;通过查阅财务系统、原始凭证等,检查资金的支付是否合理、合规等。
(5)工程验收阶段。工程验收是指工程项目竣工后由建设单位会同设计、施工、监理单位等,对该项目是否符合规划设计要求以及工程施工和设备安装质量等进行全面检验的过程。
主要风险评估节点:竣工验收不规范,质量检验把关不严,导致工程存在重大质量隐患;工程造价信息不对称,技术方案不落实,概预算脱离实际,导致项目投资失控;未及时办理了资产交付手续,导致资产损失或减值风险等。
主要内部控制措施:应当建立健全竣工验收各项管理制度,明确竣工验收的条件、标准、程序、组织管理和责任追究等,未通过竣工验收的,不得投入使用;应当指派有资质的中介机构以及有执业胜任能力的人员,对工程结算资料的真实性、完整性、合理性等进行审查;应当及时办理资产移交手续,结转固定资产、归集竣工材料等。
主要风险审计程序:通过查阅竣工验收鉴定报告等,检查工程项目是否在规定的时间,按照规定的程序通过正式验收;通过查阅财务竣工决算报告等,检查相关资料是否完整、内容是否真实、计算是否准确,反映的总投资额是否正确;通过查阅基建工程归档资料,检查项目是否按照规定流程及时办妥移交及归档程序等。
(三)体系建设相关要点总结 (1)预先识别风险节点,正确把握审计方向。基于现代风险导向审计理论,结合各类工程项目的特征情况以及对应的内控制度,要求内审部门在审计项目启动前必须充分考量工程项目的工作流程和业务特点,综合分析评估影响工程项目实施过程中的质量风险、进度风险、造价风险、安全风险等各类风险因素,为后续审计重点的制定明确方向。(2)重新梳理审计流程,纵向厘清审计思路。为了更好地实现审计方法的创新,目前的审计流程区别与传统的按照招标投标、财务管理、合同管理、物资管理、工程造价等横向业务板块划分的审计方式,而是在风险导向的基础上对工程项目的全过程进行流程风险节点梳理,进而改为按照立项、设计、招标、建设、验收以及后评价这样的纵向时间顺序来安排审计步骤,做到更好地厘清审计思路,优化审计方法。(3)充分借助信息系统,全面提升审计效率。随着企业ERP经营管理环境和工程业务管控系统的全面实施和深化,使得内审部门完全可以利用ERP等信息系统的“信息共享、全程控制、在线监督、辅助分析”功能,通过对系统中业务流程、审核程序、关键数据等的分析和研究,进而确定审计的范围和重点。并且将远程审计和现场审计相结合,有效提高审计效率,保证审计质量,减少审计风险。(4)详尽设计审计程序,严格确保程序到位。为了确保各项审计程序能够在外勤现场落实到位,内审部门在对工程项目全过程分析梳理的基础上,可设计一整套审计程序表。这套程序表即纵向涵盖自立项开始到最后后评价等六个阶段,同时每张表还需横向揭示风险节点、提示信息手段、列示审计程序。在此基础上,即便是刚接手工程审计的人员,也能迅速知悉自己应该审阅哪些资料、查证哪些系统、执行哪些程序、达到哪些目标。(5)合理配置人力资源,有效达成审计目标。审计人员素质的高低是决定审计工作质量优劣的重要因素之一。鉴于工程项目具有专业性强、数据量大、涉及面广等特点,决定了工程审计是一项综合性很强的工作。为此在针对工程审计时,一般需配置懂工程、会财务、通信息的审计团队,必要时还可从职能部门调配相应的专业人士配合开展审计工作,进而确保工程审计目标的有效达成。
三、风险导向工程审计体系评估与改进
(一)工程审计体系评估方法 为了促进工程审计工作持续科学发展,现阶段内审部门可遵循“风险把控为核心、信息系统为依托、程序到位为落脚点”的策略,搭建工程审计的规范流程,并不断研究、探索、创新审计方法,不断实践、发现、总结审计经验,以期形成系统、完善、高效的审计体系。
(二)工程审计体系评估存在的问题 (1)风险导向审计理论尚待进一步深化。由于我国引入风险导向审计的时间尚短,特别是涉及工程方面的风险导向审计理论体系尚在摸索过程中,因此对工程项目全过程的流程梳理以及关键风险节点的识别还有待继续深入。并且即便针对目前已关注到的质量风险、进度风险、安全风险等重要风险因素也是以定性为主,而不能做到有效量化。
(2)信息化审计手段尚待进一步固化。ERP等信息系统虽然在相关职能部门已经得到了应用,但是根据内审人员实地调研往往发现,部分管控环节尚未严格按照系统设置的要求进行流程固化。同时内审人员对上述信息系统的利用效率和利用效果还不成熟,需要内审人员逐步消化、理解、提升。
(3)各阶段具体审计程序尚待进一步优化。虽然针对工程项目立项、设计、招标、建设、验收以及后评价等各个环节都分别设计了详尽的审计程序,但在实践过程中还是发现了较多的审计程序亟待优化,比如某些风险节点与信息手段、审计程序之间的对应性较弱;再如部分审计程序有待进一步细化审计途径和量化审计样本量等。
(三)工程审计体系评估的改进 (1)持续梳理业务流程,更好地识别风险要素。目前仍将继续加强内审人员对风险导向审计理论的学习和实践,提升自身的业务水平。同时重视与相关职能部门的沟通与协调,掌握工程项目的流程特点及最新动态,有效甄别出关键风险节点,以期设计出一套科学、合理的工程项目风险量化评价指标。
(2)持续推进信息化程度,更好地提升审计效率。为了推进信息化在工程项目中不断深入,内审部门首先应利用审计手段敦促职能部门普及和固化对工程环节全过程的计算机控制;其次更需内审人员加快对ERP等信息系统的熟悉程度以及对审计软件的利用程度,全面提升审计效率。
(3)持续细化审计程序,更好地达成审计目标。通过目前对工程审计程序表在实务过程中的反复实践,不断地发现问题、分析缺陷、优化程序,使得风险节点、信息手段、审计程序等高度匹配、进而确保审计目标的有效达成。