总第 665 期
【作 者】
史伟民1 钟宇光2 贾同生1
【作者单位】
(1. 哈尔滨工程大学审计处 哈尔滨 150001 2. 哈尔滨工程大学机电学院 哈尔滨 150001)
【摘 要】
【摘要】流程图作为内部控制风险测评中的一种有效手段,对审计人员认识流程中的重要事项生成和风险控制环节,进而完成审计测评具有重要作用。研究流程图在风险控制审计过程中的有效性,对加强风险控制管理、提高审计测评效率提供了借鉴。
【关键词】流程图 资助风险 评审 有效性
一、引言
内部控制测评是内部控制的再控制,是指审计人员通过对被审计单位内部控制制度的审查、测试、评价,判断其关键控制是否如最初记录的那样被执行,从而对内部控制的有效性作出评价。开展内部控制测评亦是被审计单位改善管理的一种自我需要。
在内部控制风险测评中引入流程图方式进行被审计单位程序分解,主要是基于以下两方面因素:
1. 根据公众公司会计监管委员会发布的审计准则第5号和美国注册会计师协会发布的审计准则第15号均指出:审计师检查内部控制的目标是形成关于内部控制有效性的意见。如果存在一个或多个严重弱点,企业的内部控制就不能被视为有效。
因此,内部控制风险测评目标并不是要发现重大错报,而是通过对计划和执行检查,以获得充分恰当的证据,流程图是获取计划和控制信息的一种有效手段。
2. 内部控制风险测评主要是涉及评价过程,而财务报表审计主要是涉及评价结果。因此,单独进行内部控制评审,审计人员不需要执行关于账户和交易类别的实质性测试,主要采用控制测试。通过绘制流程图,审计人员可以对被审计单位的控制环节进行分解,找出关键控制点,为执行控制风险测评提供了有利依据。
二、流程图绘制
流程图是通过图表的形式,应用特定的符号,包括表格、箭头、流程线等,以可视的方式,描述工作流程中的各工作步骤、数据流向、控制信息以及关键路径。应用在内部控制风险测评工作中,即采用流程图方式描述完成各工作步骤的资源和职能部门,并强调流程中的关键控制点。审计人员根据流程描述,进一步认识流程中的重要事项的生成、记录、授权和处理等情况,进而形成内部控制风险审计结论,这项工作通常分为三个阶段完成。
(一)了解控制信息
绘制流程图之前,审计人员应对被审计单位主要业务工作进行了解,主要了解被审计单位与内部控制相关的以下12项信息,见表1:
(二)确定关键控制点
确定关键控制点的目的是为了找出被审计单位的重要的风险点在哪里,有哪些控制措施,并为确定下一步绘制流程图的重点做出指引。其程序如下:
1. 审计人员通过深入了解被审计单位的业务流程和管理流程,识别影响每一关键业务的固有风险,提出“什么会出错”的问题。
2. 考虑对于每一个重要的业务流程和管理流程,已经采取的、解决其“可能出错”的问题的控制措施,这些控制能够为防止发生重要的错误,或者为发现并更正错误提供了合理保证,这些控制环节就是关键的控制点。如果缺少了这些关键控制点,业务就很难实现,关键控制点由控制环节和控制措施构成。
(三)确定控制分工
审计人员通过对控制信息的了解和关键控制点的确定,明确流程控制的分布情况,见表2。(四)绘制流程图及文字描述
流程图通常包括内部流程图、文字描述及流程图补充说明。
1. 内部流程图。内部流程图应该按照涵盖流程涉及的人工以及应用控制,通过询问流程负责人,了解并记录应用控制,并按既定的重大流程整理和绘制。内部流程图主要包括:①一个控制目标是否由几个控制环节来完成;②职责分工和牵制;③控制职能划分;④控制的性质,以及拟达到的控制目标;⑤实施控制的相关人员是否可以获利;⑥控制是人工的还是系统自动的;⑦控制设计在运行期间是否发生改变;⑧单个控制对其他控制有效性的依赖程度;⑨重大流程变更对控制的负面影响;⑩工作流程的全面监督;?輥?輯?訛子流程的关键控制的执行者对于既定步骤和控制的理解;?輥?輰?訛信息来源。
流程图通常包括顺序结构、选择结构和循环结构。顺序结构只要按照事项的顺序,自上而下依次绘制即可;选择结构则给出判断条件,依据判断的结果来开展下一阶段流程;循环结构是判断条件和转向的结合,可以减少重复描述。
笔者认为内部流程图应以顺序结构为主,并融合少量的判断结构。基本控制流程图设计结构如下:
2. 文字描述。审计人员应根据流程图进行相关的文字描述,文字描述应包含流程由开始到完成的详细说明,将流程的详细内容汇总到相关的流程描述中。
3. 流程图补充说明。流程图的补充说明通常采用两种途径完成:①查阅、分析关于控制的记录文档,通过获取每一个控制执行证据的纸质拷贝并考虑该证据的可靠性。即充分考虑此项证据作为补充流程图的基础是否足够。②访谈。审计人员在绘制流程图和编制流程文字描述过程中,可能会对涉及的问题继续对业务流程的相关人员进行访谈,如果与实际流程不符,要及时对流程图和文字描述进行修改。测评人员应将访谈的文字叙述填列到文字描述当中。对于有异议的事项(如访谈内容与现有的制度规定不一致等)还可以进行回访或对其他相关人员进行访谈。事实上,在编制文字描述过程中遇到问题(如流程顺序不当等)都应该向访谈人员核实并修改访谈笔记。
三、审计测评
根据控制测试的目的,流程图完成后,审计人员根据流程图,执行更详细的检查,对已建立的控制制度和目标进行程序测试,测试控制制度的实施情况。在正式测评阶段主要完成两方面工作:
1. 实施重点测评。对照流程图,实施的重点测评环节如下:①内部控制措施设置是否全面合理;②职责分工和牵制是否恰当;③控制职能是否划分清楚;④内部控制目标设计和执行是否符合成本效益原则;⑤控制的可能获利环节是否实现有效控制;⑥人工控制环节是否得到有效监管;⑦控制设计的改变是否产生重大影响;⑧工作流程是否受到全面监督;⑨在处理高峰期间控制是否有可能被越过;⑩管理层越过控制的可能性;?輥?輯?訛舞弊的风险;?輥?輰?訛是否有适时的证据证明控制的完成。
2. 完成测评报告。测评报告是审计人员根据流程图实施重点测评工作后,就被审计单位风险管理、控制及治理程序的合法有效性、全面性作出的评价,并提出整改建议。审计测评报告应由标题、收件人、正文、附件、签章、报告日期六个要素构成。报告的正文部分应该包含测评的背景、范围、目标、方法,并按照流程描述的过程,逐步汇总提出测评中存在的问题和审计测评意见,附件部分主要包括被测评单位的意见反馈、有关问题的说明等内容。
报告总体应具有建设性和可靠性的特征,对发现的内部控制缺陷,应详细说明涉及的内部控制点,如不存在控制缺陷,应当写明未发现内部控制缺陷并说明。对测试阶段确定的剩余风险应与被审计单位充分沟通,得到对方认可,降低审计风险。
四、流程图应用的局限性
1. 如果测试文件保存不完整,则难以成为后续测试的依据。应用流程图形成的控制风险测试报告、所有控制缺陷的支持文件必须作为证据保存,以便采取改进措施并为再测试提供依据。但是如果控制环节分散,涉及人员较多,则电子测试文档(如系统生成的差异分析报告)及手工测试文档准确的归类保存存在难度。因此必须形成系统、规范的控制记录文件,并以独立的第三个人依赖记录能够准确无误地重复执行测试过程,得出同样的测试结论为标准设计。
2. 侵入常规管理,审计目标偏离。内部控制制度评审是对被审计单位内部控制制度的健全性和有效性进行的审计。而采用流程图和流程描述方式,打破了传统的审计模式,需要审计人员在内部控制制度评审过程中频繁的介入,以进行流程图补充,发现问题后总是试图阻止或改之,并提出审计建议,以供被审计单位纠正和改进工作,很容易使审计人员偏离内部控制风险评价、咨询建议的目标,介入到被审计单位管理的职能范围中。因此,在流程图绘制过程中,审计部门必须尊重并充分听取被审计单位的意见,在内部控制测评实施过程中,必须分清被审计单位管理责任和审计责任,以减少审计的风险。
3. 审计力量有限,审计工作量增大。应用流程图进行内部控制评审是对被审计单位贯穿始终的全过程审计,涉及单位管理的方方面面,所以需要充足的审计力量,以满足流程内容的广泛性、大量性和关键环节的准确性。在审计力量有限的情况下,面对详细的审计内容和长期的审计过程,审计难度必然增大。另外,绘制流程图也对审计人员的自身素质提出了更高的要求。
4. 流程图绘制依据不足,审计实践被动。以往的常规审计是以事项为对象的静态审计,应用流程图进行内部控制测评是建立在全过程描述基础上进行的一种动态审计。这种审计受被审计单位影响较大,被审计单位的配合程度直接影响了流程图绘制的全面性和内部控制测评的准确性。因此,审计人员必须具备良好的协调沟通能力,避免处于被动地位,降低审计风险。
【注】本文获黑龙江省2012年度人文社会科学项目(项目编号:12534029)和2012年度黑龙江省高等教育教学改革项目(课题编号:JG2012010142)的支持。
主要参考文献
1. 雷英,吴建友.内部控制审计风险模型研究.审计研究,2011;1
2. Lawrence B.Sawyer 等著,邰先宇等译.索耶内部审计.北京:中国财政经济出版社,2007
3. 张恰,袁天荣.怎样使审计免疫系统真正发挥作用.财会月刊,2012;2