注册会计师应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
上述五个要素是相互关联的。控制环境是所有员工在被审计单位中从事经营业务活动、履行控制职责的一种基调,是其他要素的基础。在这种基调下,管理部门评价影响实现本单位目标的经营风险。实施控制活动是为了确保管理部门针对经营风险做出的各种指令得以贯彻执行。同时,管理部门应收集包括财务信息在内的各种相关信息并在单位内、外部进行沟通,最后还要对内部控制的整个设置和执行过程进行监督,并根据情况的变化对内部控制进行适当修改。
(第三节)内部控制评审
一、内部控制评审的含义
审计人员对内部控制进行评审,旨在确定被审计单位的内部控制制度的健全性、运行的有效性及相应的控制风险,从而决定对它的信赖程度,进而确定采用抽样检查还是详细检查,以及抽样规模和样本的数量。
将内部控制评审运用于审计实践中,可以有效地提高审计效率,降低审计风险。在此基础上产生的制度基础审计是现代审计的一个重要标志。所谓制度基础审计,就是以被审计单位的内部控制作为设置审计程序的切入点,通过对内部控制的调查、测试和评价,来确定会计报表项目余额检查的深度和广度,并最终达到验证报表项目余额真实性的目的。制度基础审计既是审计程序中的一个重要步骤,又是整个审计工作的前提和基础。进行制度基础审计,首先必须对能否依赖制度检查作出决策,这种决策实际上需要建立在制度的调查之上。早期的审计工作,多采用详查法,通过对被审计单位的全部业务和账项逐一进行全面审查,据以得出审计结论。这种方法固然能保证审计的质量,但随着企业规模的扩大、会计核算业务的复杂,详查法的运用在工作效率上遇到了严重阻碍。于是,审计人员开始寻求抽样审查的途径,即从被审计单位的全部业务及账项中抽取一部分样本加以详细审查,并根据抽样审查的结果推断出会计报表总体的公允性。这种方法虽然可以减少部分审计工作量,提高审计的效率,但是如果抽查的样本缺乏科学的依据,仅凭审计人员的经验和主观判断,就有可能导致审计结论以偏概全,甚至可能遗漏重大问题,产生较大的审计风险。
因此,抽样审查虽然可以提高审计工作效率,却不能保证审计质量。
实践证明,良好的内部控制可在较大程度上减少错弊的发生,并保证账表余额记录的正确性,如果将内部控制的这种功能纳入审计过程,则十分有利于审计人员对会计报表真实公允性的验证。根据这种内在联系,审计人员逐步认识到,如果在进行实质性测试确定账户余额正确性之前,先对被审计单位内部控制的健全及有效程度进行适当的审查和评价,再根据评审结果来确定实质性测试的范围、重点和方法,就可以使审计人员在减少对大量的、繁琐的经济业务和会计资料进行直接查证的同时,大大提高审计结论的可信度,从而使审计工作能以较短的时间和较低的成本,取得有合理质量保证的审计结果。它弥补了采取审计抽样方法的不足,达到了效率和效果的统一。因此,将内部控制评审作为审计程序的一个重要环节,并作为运用抽查方法的前提条件,即以内部控制评审的结果,来确定会计报表项目的抽查范围、重点和抽查量。
二、内部控制评审的步骤与方法
对内部控制进行评审,就是对内部控制的健全及有效程度进行审查和评价。它包括对内部控制进行健全性测试及初步评价和对内部控制进行符合性测试及总体评价。
(一)内部控制评审的步骤
内部控制的评审程序一般分为以下三个阶段:一是健全性测试阶段或称完整性评价阶段,即测试某项经济业务的控制系统是否健全完整;二是符合性测试阶段或称遵循性评价阶段,即测试某项经济业务的控制系统在实际执行中是否得到贯彻或适合需要;三是有效性测试或称功能性测试阶段,主要测试控制系统的控制功能是否充分发挥或取得应有效果。
1.健全性测试
健全性测试是针对被审计单位实行的内部控制系统本身的正确程度、完整程度进行的考核和评价;旨在研究内部控制系统本身在内容上、结构上是否有缺陷。健全性测试的主要手段是:
(1)搜集企业有关业务过程的操作程序和手续。任何企业或单位,都应有一套成文的业务操作规章制度。这些规章制度是内部控制系统的文字化形式。
通过业务程序和手续,可以了解企业的内部控制系统的概貌。搜集各项业务操作规章制度时,一是根据企业现场操作过程进行记录;二是通过获取企业现有的书面资料。搜集资料时,要注意各项资料的结构完整性。
(2)检查控制点是否齐全和完整。一般来说,内部控制系统中缺乏某种控制程序的情况较为少见,在各种控制程序中缺乏某些控制点的现象则是常见的。而在各个控制点中缺乏某些合理的控制手续则更为多见。在搜集资料以后,就应根据已搜集的资料检查各个控制程序中控制点的齐全情况,然后再对每一个控制点进行分析,查明各项控制手续是否齐全和完整。
(3)评价内部控制系统健全程度。内部控制系统健全程度是由控制点的齐全和完整程度决定的。更确切地说,评价内部控制系统健全程度是根据内部控制系统中应有的控制点和现有控制点的对比关系确定的。假设一个控制系统中应有20个控制点,经过检查发现只有19个控制点,那么,这个控制系统的健全程度只有95%。
2.符合性测试
符合性测试是对内部控制系统的执行状况的对比、分析和评价,符合性测试的目的是为了确定内部控制的设计是否合理,是否得到有效的实施,以获取对准备予以信赖的内部控制是否有效执行的证据,从而确定审计的性质、范围和时间。符合性测试并不是审计的一个必经程序。符合性测试是否实施,应当遵守“成本效益”原则。在了解控制后,审计人员只对那些准备信赖的内部控制执行符合性测试,并且只有当信赖内部控制而减少的实质性测试工作量大于符合性测试的工作量时,符合性测试才是必要的和经济的。在符合性测试过程中所发现的内部控制的问题或误差,无论金额大小,都应引起审计人员的足够重视。
(1)符合性测试的目标。符合性测试作为对内部控制的一种初步评价,其目标就是审查客户实际运行中的内部控制是否有效地操作。也就是说,符合性测试的焦点不是财务会计报告上的金额或已完成的交易,而是看内部控制的执行是否符合制度设计时要求的水平,运行是否高功能、高效率;假如它与制度设计的要求水平一致,要看其符合率有多大。具体说来,符合性测试关注的问题主要有三个:一是内部控制是否执行;二是内部控制如何执行;三是内部控制由谁执行。为了更好地实现审计总目标,审计人员只应对那些有助于防止或发现会计报表认定产生重大错报的内部控制执行符合性测试。
(2)符合性测试的种类,包括同步符合性测试、追加符合性测试和计划符合性测试。
同步符合性测试是审计人员在了解内部控制的同时执行的测试。这种符合性测试不是审计过程中必需的,而是根据实际情况有选择地执行的。同步符合性测试取得的审计证据,是在审计计划期间获得的,其证据本身并不能证明某项控制政策或程序在整个被审年度均由经授权人员适当和一贯地加以应用,而只能使审计人员评价控制风险的估计水平处在略低于最高水平到中等水平的范围内。
如审计人员在询问预算制度是否存在时,同时还询问有关预算报告以及管理当局追查预算差异等情况,这可使审计人员确定预算系统是否得到有效执行。
追加符合性测试是在外勤工作中执行,其目的是为了进一步降低审计人员对控制风险的估计水平。审计人员在执行之前,须考虑成本效益原则,还必须考虑有没有可能获得额外的证据来支持进一步降低控制风险的估计水平,如不划算,或不能进一步降低控制风险的估计水平,则审计人员就没必要执行追加符合性测试。
计划符合性测试也是在外勤工作中执行,在选用较低的控制风险估计水平下必须执行这种测试,其目的是为了支持审计人员计划的实质性测试水平。通过计划符合性测试所取得的证据应足以支持评价某些认定的控制风险为中等或低水平。
(3)符合性测试的范围。一般来说,测试的范围越大,所取得的内部控制有效性的审计证据也越充分。但在审计实务中,审计人员进行符合性测试时,范围并不是越大越好,审计人员应从最经济有效地实现审计目标的总体需要出发,确定符合性测试的合理范围。
出现下列情况之一时,审计人员可不进行符合性测试,而直接实施实质性测试程序:
①相关内部控制不存在;②相关内部控制虽然存在,但审计人员通过了解发现其并未有效进行;③符合性测试的工作量可能大于进行测试所减少的实质性测试的工作量。
(4)符合性测试的内容。对内部控制进行符合性测试,主要是指控制执行测试,即对被审计单位所设置的内部控制政策和程序是否实际发挥了作用进行测试。
因为内部控制设置得再完善,也需要通过运行才能发挥作用,达到控制效果。而内部控制的运行则是由被审计单位内部的人员来执行的,在执行过程中,必然会存在出现差错的可能性,特别是在管理人员出于某种不良动机,故意使内部控制失效时,出现重要错报的可能性极高,控制风险很大。因此,虽然企业设置了良好的内部控制,但若不能实际发挥作用,也仍然不能减少会计报表出现重要错报或漏报的风险。所以,审计人员在了解了内部控制的健全性和合理性之后,还应对那些准备予以信赖的各项内部控制环节执行进一步的符合性测试,以判明各项控制措施是否都真实地存在于各项管理活动中,以及各职能部门是否都始终如一地遵守了控制系统所既定的全部要求,有无失控和不完善之处。
如果测试结果表明某项控制政策或程序已经由被授权的人员一贯遵守,则意味着该项控制政策或程序得到了有效的执行;否则,就意味着该项控制的执行失效。但这项失效的控制仅属于控制的偏差,并不表明与该项控制相关的会计记录中一定存在错误。
(5)符合性测试的方法,包括确定符合性测试范围的方法和审核符合性测试样本的方法。
确定符合性测试的抽查范围时,可选择以下两种方法:
第一,统计抽样法。统计抽样法是根据审计总体规模、预计总体错误率、审计结果的精确程度和审计结果的可靠性程度等因素,运用统计抽样公式计算或查表来确定应该抽查的业务量。
第二,经验估计法。经验估计法是凭经验按业务活动执行的次数多少来估计应该抽查的业务量。通常情况下,某项业务活动执行的次数越多,则该项业务发生差错的概率就越大。会计事项发生频率与测试数量之间的关系如下表(表61)所示。
对抽出的样本进行审核时,可采用以下三种方法:
第一,证据检查法(也称追踪法或穿行测试法)。证据检查法是指审计人员通过检查与某些业务有关的原始凭证和其他文件,沿着这些凭证和文件上所留下的业务处理踪迹进行跟踪审查,以判断业务处理过程中有关的控制措施是否均被认真执行的方法。在审计实务中,证据检查法应用十分广泛。例如,按照制度规定,材料采购业务发生后,会计人员必须凭经有关人员签章后的原始凭证予以登账,但审计人员在审查该环节时,却并未在其所附原始凭证上找到有关负责人的签章,这就说明该环节存在着控制缺陷。
