摘要:
在日常审计实务中,许多注册会计师对控制测试及与之相关的一些概念或问题存在认识上的误区。为此,本文进行分析如下:
一、内部控制与控制测试
根据审计准则的相关规定,内部控制应该是指被审计单位为进行内部管理设计和执行的政策与程序,而控制测试则是指注册会计师对被审计单位内部控制的运行情况实施的审计程序。因此,被审计单位内部控制制度的设计和执行是注册会计师进行控制测试的前提和基础。
在日常审计实务中,一些注册会计师对究竟应该测试被审计单位哪些方面的内部控制常常模糊不清。实际上,从第1211号审计准则所规定的被审计单位内部控制的目标旨在“合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守”可以看出,注册会计师应该测试的是与财务报告相关的内部控制。另外,从注册会计师审计的目标仅是对财务报表是否不存在重大错报发表审计意见也可以看出,注册会计师只需要了解和评价与财务报表审计相关的内部控制,而并非被审计单位所有的内部控制。因此,注册会计师实施的控制测试应是针对“由治理层、管理层和其他人员设计和执行的政策和程序”中与财务报表编制相关的内部控制是否能够有效运行的测试。
二、了解...
在日常审计实务中,许多注册会计师对控制测试及与之相关的一些概念或问题存在认识上的误区。为此,本文进行分析如下:
一、内部控制与控制测试
根据审计准则的相关规定,内部控制应该是指被审计单位为进行内部管理设计和执行的政策与程序,而控制测试则是指注册会计师对被审计单位内部控制的运行情况实施的审计程序。因此,被审计单位内部控制制度的设计和执行是注册会计师进行控制测试的前提和基础。
在日常审计实务中,一些注册会计师对究竟应该测试被审计单位哪些方面的内部控制常常模糊不清。实际上,从第1211号审计准则所规定的被审计单位内部控制的目标旨在“合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守”可以看出,注册会计师应该测试的是与财务报告相关的内部控制。另外,从注册会计师审计的目标仅是对财务报表是否不存在重大错报发表审计意见也可以看出,注册会计师只需要了解和评价与财务报表审计相关的内部控制,而并非被审计单位所有的内部控制。因此,注册会计师实施的控制测试应是针对“由治理层、管理层和其他人员设计和执行的政策和程序”中与财务报表编制相关的内部控制是否能够有效运行的测试。
二、了解内部控制与控制测试
由第1211号审计准则第四十五条规定可知,了解被审计单位内部控制不仅是识别和评估重大错报风险、设计和实施进一步审计程序的基础,而且也是注册会计师进行年度会计报表审计必须履行的审计程序。又由该准则第五十四条规定,可知,注册会计师“了解内部控制”应包含两层含义:一是评价控制的设计;二是确定控制是否得到执行。由于控制测试指的是测试控制运行的有效性,因此,了解被审计单位内部控制成为注册会计师实施控制测试的前提。通过对被审计单位内部控制的了解,如果能够确认控制存在且被审计单位正在使用,而且被审计单位的内部控制单独或连同其他控制能够有效防止或发现并纠正重大错报,则具备了进行控制测试的基础。
在日常审计实务中,相当一部分注册会计师往往在不对被审计单位内部控制进行必要了解的情况下,就以被审计单位规模较小、内部控制未能有效执行或实施控制测试不符合成本效益原则等为由,不对被审计单位的内部控制进行测试。事实上,不对被审计单位相关的内部控制进行必要的了解,就不可能了解和掌握不进行控制测试的原因,也无法作出是否进行控制测试的判断。
应该注意的是,虽然了解内部控制与控制测试的目的不同,但两者采用审计的程序,均包括询问、观察、检查和穿行测试,此外,控制测试的程序还包括重新执行。
三、“确定控制是否得到执行”与“测试控制运行有效性”
在日常审计实务中,许多注册会计师往往有这样的认识,只要被审计单位的内部控制执行了就是有效的,并将对内部控制是否得到执行的测试认为就是对内部控制运行有效性的测试。这实际上是一种认识上的误区。
“确定控制是否得到执行”与“测试控制运行有效性”存在区别:一是概念不同。前者关注的是内部控制的执行过程是否遵循了有关规定,即对内部控制是否得到执行作出判断;而后者关注的是内部控制执行的结果是否符合内部控制设计的初衷并达到控制的效果,即对内部控制是否有效作出判断。二是被审计单位的内部控制能够执行并不等于其执行结果一定有效。如果内部控制制度的设计本身就有缺陷,即使得到遵循和正常执行,其控制也是无效或者是有限的。三是测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。从日常审计实务来看,确定某项控制是否存在及是否被正常使用只需抽取少量的交易进行检查或观察某几个时点;但在测试控制运行的有效性时,注册会计师则需要抽取足够数量的交易进行检查或对多个不同时点进行观察。
注册会计师应该考虑在评价控制设计和获取控制得到执行的审计证据的同时,测试控制运行的有效性,以提高审计效率。
四、实施控制测试的前提
第1231号审计准则第二十六条规定:“当存在下列情形之一时,注册会计师应当实施控制测试:(一)在评估认定层次重大错报风险时,预期控制的运行是有效的;(二)仅实施实质性程序不足以提供认定层次充分、适当的审计证据。”
这一规定从正面强调了应当实施控制测试的两个前提条件,而旧准则是从反面强调了可不实施控制测试的三个前提条件,采用的是排除法。在当前的审计实务中,有的注册会计师仍然按照旧准则下形成的习惯做法采用排除法,即分析被审计单位不具备进行内控测试的情形,这不符合40财务与会计·综合版·20085新准则的规定。
对于新准则所规定的上述两种必须进行控制测试的情形,笔者认为应该作如下理解:第一种情形是注册会计师通过了解内部控制后认为某项控制存在,被审计单位正在使用,而且控制设计合理,能够防止或发现并纠正认定层次的重大错报,注册会计师才有必要对控制运行的有效性实施测试。第二种情形是指如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。对此应该必须注意两点:一是按照常规理解,实质性程序是审计认定最根本和最基础的程序,但该条却规定了在实施实质性程序不足以提供充分、适当的审计证据时,注册会计师应当实施相关的控制测试。可见,控制测试和实质性测试是相互补充的程序。二是当出现“仅实施实质性程序不足以提供认定层次充分、适当的审计证据”的情况时,如果被审计单位同时又出现预期控制的运行无效,此时,也无法进行控制测试。注册会计师应充分考虑此情形对审计意见的影响,直至考虑解除业务约定。因此,对第二种情形在实务中运用时,应首先满足“预期控制的运行必须是有效的”这一前提。
五、与实施控制测试相关的两个问题
第一,在日常审计实务中,一些注册会计师往往以进行了控制测试且测试结果可以信赖为由,过度缩减实质性测试的审计程序,这是非常错误的。事实上,由于注册会计师对重大错报风险的评估仅是一种职业判断,可能无法充分识别所有的重大错报风险,并且内部控制存在固有局限性,因此,无论评估的重大错报风险结果如何,无论采取了何种进一步的审计程序(如实施了控制测试),注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序,这是新审计准则着重强调的问题。
第二,在日常审计实务中,对不拟进行控制测试而直接进入实质性测试的情形,许多注册会计师不知道如何在审计工作底稿中予以必要的说明和表达。笔者认为,说明和表达主要应体现在两个方面:一是证据,二是判断。证据是指注册会计师为作出不进行内控测试的判断而实施的了解、评价及简易测试(如穿行测试)所形成的程序或收集的资料等;判断则是指根据前述实施的审计程序或收集的审计证据并对照准则规定所作出的不进行控制测试的专业判断,此判断的依据、过程及结果必须在相关工作底稿中予以体现并在审计计划中明确说明。
责任编辑 孙蕊