第二,实地观察法。实地观察法是指审计人员在不事先通知被审计单位的情况下,亲临现场观察有关人员执行业务的状况,以判明业务处理程序是否遵循了内部控制规定的方法。实施此法时,应尽量避免人为干扰,确保观察结论的客观真实性。审计人员不应以一次观察的结果作为结论,而应选择在不同的时间进行多次观察,并且应尽可能地采用突击的方式进行观察。例如,按照制度规定,企业购进货物时,应在货物入库前由专人负责验收质量与数量,并填写验收单,这是采购物资程序中的一个关键控制点。审计人员可以在物资到货时,到仓库现场观察仓库人员是否严格办理了验收手续。
第三,重复执行法(也称验证法或重做法)。重复执行法是指审计人员按照被审计单位所规定的内部控制程序,选择若干笔业务独立地重新执行一遍,以复核验证与该业务有关的控制手续的遵循情况的方法。例如,按照制度规定,仓库必须凭经过有关负责人审核批准后的领料单发料,而审计人员在重复执行领料业务时,持未经批准的领料单去仓库领出了材料,这就说明上述控制未予遵守。其主要目的是研究内部控制系统在实际工作中是否得到全面贯彻。其具体步骤是:
首先,对比各控制点的贯彻情况。各控制程序中的每个应有控制点都应事先列出,并描绘出各控制点的所有控制手续,然后将描绘出的控制程序和控制点与实际业务操作程序一一对照。对于描绘出的控制点和控制手续,如果在实际工作中没有或与描绘出的不一致,应将其加以记录。
其次,分析内部控制系统贯彻程度。通过将描绘出的控制程序和控制点与实际工作中的业务操作程序和手续的对照,对于那些在实际工作中缺乏或与描绘的控制程序不一致的部分应按控制点加以量化,然后将缺乏的控制点与应贯彻的控制点进行对比,即计算出内部控制系统贯彻执行程度。
3.有效性测试
有效性测试(也称功能性测试)是指对正在贯彻执行的内部控制系统的控制效果进行的检查和评价。通过对内部控制系统中各业务控制程序的控制点的控制功能进行检测,进一步发现其内部控制系统的无效控制环节。
内部控制系统中的无效环节是指不能正确发挥其控制功能的控制点。尽管有些控制点在实际工作中得到了贯彻执行,但控制效果不好,也不能说其控制功能得到了发挥。例如,有些控制点在实际业务中确实是按照规定手续进行操作,但是,由于操作过程中,控制人员的相互勾结,控制程序和控制系统脱离企业经营目标等,必然导致控制系统的失效。对内部控制系统的有效性评价是一种深层次的评价。
内部控制系统有效性测试是在健全性、符合性测试基础上进行的一种实质性测试。其测试内容应与实际业务的操作过程联系起来,主要根据实际经济业务的凭证和账项记录来证实每一项控制手续、控制点和控制程序是否切实发挥作用,其发挥作用的效果是否符合要求等。
(二)内部控制描述的方法
审计人员在了解和掌握了被审计单位内部控制的详细情况后,应该用适当的方法描述出来,供制定和修改审计计划和程序之用,或供日后查考之用。常用的方法有文字描述法、调查表法、流程图法等。
1.文字描述法
文字描述法是指将对被审计单位内部控制的调查结果,以简洁的文字加以叙述的方法。采用这种方法时,审计人员通常是沿着主要经济业务的运行顺序,用文字详细记述业务的整个处理过程,指出经过了哪些控制环节、编写了哪些文件记录,并指出有关凭证和记录的来源和去向,以及是否经历了审批、复核手续等关键的控制点。
文字说明法的优点是:可以对调查对象做出比较深入和具体的描述,弥补调查表只能做出简单肯定或否定的不足;使用范围广泛,不受企业类型的限制。其缺点是:难以用简明的语言描述内部控制系统的细节;对于规模较大、内部控制系统复杂的企业,用文字说明势必显得冗长、头绪繁多,不易迅速、直观地发现其薄弱环节、遗漏和不足,不便从总体上对内部控制系统做出全面评价;文字记录会因每个人的行文习惯和叙述风格不同而异,如果对某项控制环节表述不清或文字表达含混,则很容易引发对某些控制内容的误解。因此,文字说明法作为调查表法和流程图法的补充加以利用时效果较好,如果单独采用这种方法,则应只限于内部控制系统比较简单且易于描述的小型企业。
2.调查表法
调查表法是按照内部控制的一般要求和理想控制模式,将需要调查的全部内容以提问的方式列出并制成固定式样的表格,然后交由被审单位有关部门和人员回答,以此了解内部控制情况的方法。这种方法需先由审计人员就每一个审计项目的内部控制提出一系列问题,然后要求单位有关人员就调查表中列出的问题逐项给予“是”或“否”的回答。
调查表要按抽查对象分别设计,不宜在一张表内描述一个单位中整个的内部控制。例如商业企业可按库存商品、固定资产、货币资金、成本计算等分项编制,也可按购进、销售、储存、质量、管理、财会等环节编制。调查表上的问题是针对内部控制制度是否完善、严密提出来的,问题的拟定技术性很强,既要抓住关键点,又要便于回答。调查表中的“问题”应该针对企业为了确保会计记录的可靠性、资产的完整性和经营的有效性所必须采取的制度、组织、方法和手续等具体事项来设置,用回答“是”或“否”的方式来表明内部控制的状况。此外,对于“问题”的拟定,应尽量符合控制标准的要求,以保证调查的全面性和彻底性,避免遗漏和疏忽,遇有特殊情况应加以备注(见表62)。
备注
1.是否设专人收款?
2.收款员与记账员是否为同一人?
3.现金收付是否开具合法票据?
4.现金收入后是否及时编制记账凭证,并登记入账?
5.收入现金是否当日送存银行?
6.库存现金是否按日盘点?
7.库存现金是否超过核定限额?
8.现金日记账是否逐日逐笔登记?
9.有无坐支现金?
10.是否按规定范围收付现金?
调查表法的优点是:调查范围明确,问题突出,容易发现被审计单位内部控制系统中存在的缺陷和薄弱环节;设计合理的标准调查表,可广泛适用于同类型单位,从而减少审计工作量;调查表可由若干人分别同时回答,有助于保证调查效果。其缺点是:标准格式的调查表缺乏弹性,而且在具体设计表格时,必须将全部内容列出(不一定适应该单位),且要问得绝对明确,每一问题中不能包含两层或两层以上意思,否则被调查人无法回答或因提问含义不清而提供错误信息。此外,标准问题的调查表难以适用于不同行业的企业,尤其是小型企业或特殊行业的企业,往往会因“不适用”的回答太多而影响调查效果。实际运用中将调查表与文字描述和流程图法结合,以便发挥更好的作用。
3流程图法
流程图法是指用特定的符号和图形来描述某项业务的整个处理过程,将凭证和记录的产生、传递、检查、保存及其相互关系,用图解的形式直观地表达出来的方法。
绘制流程图可以采用以下两种方式:
一种是按照业务处理的先后顺序绘制成纵式的流程图。其基本做法是:
先将每一项业务的处理按先后次序直线垂直串联起来,再将每一处理步骤的具体内容,包括处理业务时产生的凭证及对凭证的分类、记录、归档等,用图式进一步描绘出来。这种纵式的图解虽然便于阅读,但难以反映各部门之间的联系。
另一种是以业务处理过程中所涉及的部门为基础绘制成横式的流程图。
其基本做法是:先将每一项业务处理所涉及的所有部门按先后顺序从左到右排列;再将每个部门的业务处理内容按顺序自上至下排列;最后用流程线将各部门联系起来。这种横式流程图虽然可以完整地反映每项业务在各部门之间的相互联系,但不便于阅读,尤其是业务比较复杂时,往往会因符号过多而加大对控制系统理解的难度。
流程图的优点是:可以将各项业务活动的职责分工、授权批准和复核验证等项控制措施与功能完整地显示出来,并且形象直观,能够突出现有的控制点,有助于审计人员全面了解内部控制系统的运行情况,及时识别系统中的不足之处;便于随时根据业务控制程序的变化对流程图做出修改。流程图是审计人员评价内部控制的有用工具。其缺点是:绘制流程图需要具备较娴熟的技术和花费较多的时间,尤其是较复杂的业务难度更大;又由于不同审计机构使用的流程图符号不同,可能引起理解的混乱;另外,流程图由于缺少文字说明,对内部控制的某些弱点有时很难在图上明确地表达出来(见图61)。
在审计实践中,上述三种方法并不相互排斥,而是相互依赖和相互补充。
对于不同的业务环节可以采用不同的描述方法,也可同时运用两种或三种方法。
三、内部控制的评价
对内部控制的总体评价,是指在初评的基础上,根据符合性测试的结果对控制风险水平做出进一步评价。所谓评价控制风险是指评价内部控制防止、发现和纠正会计报表中的重要错报或漏报的有效程度的过程。控制风险评价结果的表达方式可采用定性或定量的方式,如采用定性表达方式,则可使用高、中、低来描述;如是定量表达方式的,可采用百分比来表示,通常分为高、中、低三个等级,分别代表重要错报与漏报不能被内部控制防止、发现或纠正的可能性为大于40%、在10%~40%之间、低于10%。
低控制风险是指被审计单位在测试检查有关的经济业务和会计资料时,未发现任何差错或差错的发生率很低。因此,审计人员可以较多地信赖、利用其内部控制,在实施审计时相应减少实质性测试的数量和范围。审计人员只有在确认以下事项的情况下,才能将控制风险评价为低水平:①控制政策和程序与认定相关;②通过控制测试已获得证据证明控制有效。
中等控制风险表明内部控制比较健全,尚存在着一定的薄弱环节或缺陷,或者实际执行效果不是很好,它们在某种程度上会影响经济业务和会计资料的真实性和正确性。在测试检查有关的业务活动时,发现有一定程度的差错。因此,审计人员应有保留地信赖该企业的内部控制。为减少审计风险,应扩大实质性测试的深度和广度,适当增加会计报表项目检查的数量和范围。
高控制风险表明内部控制设置极不健全,或虽设计了良好的内部控制,但却未予有效执行,从而导致经济业务和会计资料大部分失控。在测试检查有关的业务活动时,差错的发生非常频繁,差错发生率很高。因此,审计人员无法信赖该单位的内部控制,必须修改审计程序,扩大对交易事项和会计报表项目实质性测试的范围和数量,以获取充分和适当的审计证据,支持其审计意见和审计结论。
若审计人员认为内部控制完全不能预防或发现错误,就应将控制风险定为100%。内部控制越有效,控制风险就越低。
控制风险是确定完成审计工作所执行的实质性测试的性质、时间和范围所必须考虑的一个重要因素。评价控制风险适当与否,直接影响到实质性测试的适当性。如果控制风险评估太低,将使审计人员可能没有执行足够的实质性测试,进而导致检查风险加大,审计测试无效果。相反,如果控制风险评估太高,审计人员将执行比实际需要还要多的实质性测试,进而使审计测试很不经济,无效率。
依据审计风险三要素的关系:审计风险=固有风险×控制风险×检查风险上式表明,审计人员在合理运用专业判断、考虑有关事项、评价出固有风险,以及了解与测试内部控制,评价出控制风险后,只有通过控制检查风险,才能降低审计风险至可接受水平。而要控制检查风险至可接受水平,只有增强实质性测试的有效性。
小规模企业的内部控制通常比较薄弱,固有风险和控制风险较高,审计人员应主要或全部依赖实质性测试程序获取审计证据,以便将检查风险降低至可接受的水平。
销售业务是指企业对外销售商品或提供劳务以取得款项的业务,它是企业取得主营业务收入的主要来源。在企业的日常经营活动中,按收款方式可将销售分为现销和赊销两种形式。现销在销售成立时即取得现金和银行存款;而赊销在销售成立时不能及时取得货款,只是取得收取货款的权利。现代企业大量的销售业务采用的是银行信用和商业信用(如商业汇票)相结合的结算方式,这便产生了与销售业务密切相关的应收账款和应收票据。因此,销售收入、应收账款和应收票据就构成了销售业务的主要内容,销售业务审计通常指对销售与收款两个方面所形成的业务循环的审计。