一、引言 内部控制测评是内部控制的再控制,是指审计人员通过对被审计单位内部控制制度的审查、测试、评价,判断其关键控制是否如最初记录的那样被执行,从而对内部控制的有效性作出评价。开展内部控制测评亦是被审计单位改善管理的一种自我需要。 在内部控制风险测评中引入流程图方式进行被审计单位程序分解,主要是基于以下两方面因素: 1.根据公众公司会计监管委员会发布的审计准则第5号和美国注册会计师协会发布的审计准则第15号均指出:审计师检查内部控制的目标是形成关于内部控制有效性的意见。如果存在一个或多个严重弱点,企业的内部控制就不能被视为有效。 因此,内部控制风险测评目标并不是要发现重大错报,而是通过对计划和执行检查,以获得充分恰当的证据,流程图是获取计划和控制信息的一种有效手段。 2.内部控制风险测评主要是涉及评价过程,而财务报表审计主要是涉及评价结果。因此,单独进行内部控制评审,审计人员不需要执行关于账户和交易类别的实质性测试,主要采用控制测试。通过绘制流程图,审计人员可以对被审计单位的控制环节进行分解,找出关键控制点,为执行控制风险测评提供了有利依据。 二、流程图绘制 流程图是通过图表的形式,应用特定的符号,包括表格、箭头、流程线等,以可视的方式,描述工作流程中的各工作步骤、数据流向、控制信息以及关键路径。应用在内部控制风险测评工作中,即采用流程图方式描述完成各工作步骤的资源和职能部门,并强调流程中的关键控制点。审计人员根据流程描述,进一步认识流程中的重要事项的生成、记录、授权和处理等情况,进而形成内部控制风险审计结论,这项工作通常分为三个阶段完成。 (一)了解控制信息 绘制流程图之前,审计人员应对被审计单位主要业务工作进行了解,主要了解被审计单位与内部控制相关的以下12项信息,见表1:
(二)确定关键控制点 确定关键控制点的目的是为了找出被审计单位的重要的风险点在哪里,有哪些控制措施,并为确定下一步绘制流程图的重点做出指引。其程序如下: 1.审计人员通过深入了解被审计单位的业务流程和管理流程,识别影响每一关键业务的固有风险,提出“什么会出错”的问题。 2.考虑对于每一个重要的业务流程和管理流程,已经采取的、解决其“可能出错”的问题的控制措施,这些控制能够为防止发生重要的错误,或者为发现并更正错误提供了合理保证,这些控制环节就是关键的控制点。如果缺少了这些关键控制点,业务就很难实现,关键控制点由控制环节和控制措施构成。 (三)确定控制分工 审计人员通过对控制信息的了解和关键控制点的确定,明确流程控制的分布情况,见表2。
(四)绘制流程图及文字描述 流程图通常包括内部流程图、文字描述及流程图补充说明。 1.内部流程图。内部流程图应该按照涵盖流程涉及的人工以及应用控制,通过询问流程负责人,了解并记录应用控制,并按既定的重大流程整理和绘制。内部流程图主要包括:①一个控制目标是否由几个控制环节来完成;②职责分工和牵制;③控制职能划分;④控制的性质,以及拟达到的控制目标;⑤实施控制的相关人员是否可以获利;⑥控制是人工的还是系统自动的;⑦控制设计在运行期间是否发生改变;⑧单个控制对其他控制有效性的依赖程度;⑨重大流程变更对控制的负面影响;⑩工作流程的全面监督;(11)子流程的关键控制的执行者对于既定步骤和控制的理解;(12)信息来源。 流程图通常包括顺序结构、选择结构和循环结构。顺序结构只要按照事项的顺序,自上而下依次绘制即可;选择结构则给出判断条件,依据判断的结果来开展下一阶段流程;循环结构是判断条件和转向的结合,可以减少重复描述。 笔者认为内部流程图应以顺序结构为主,并融合少量的判断结构。基本控制流程图设计结构如下页图。 2.文字描述。审计人员应根据流程图进行相关的文字描述,文字描述应包含流程由开始到完成的详细说明,将流程的详细内容汇总到相关的流程描述中。 3.流程图补充说明。流程图的补充说明通常采用两种途径完成:①查阅、分析关于控制的记录文档,通过获取每一个控制执行证据的纸质拷贝并考虑该证据的可靠性。即充分考虑此项证据作为补充流程图的基础是否足够。②访谈。审计人员在绘制流程图和编制流程文字描述过程中,可能会对涉及的问题继续对业务流程的相关人员进行访谈,如果与实际流程不符,要及时对流程图和文字描述进行修改。测评人员应将访谈的文字叙述填列到文字描述当中。对于有异议的事项(如访谈内容与现有的制度规定不一致等)还可以进行回访或对其他相关人员进行访谈。事实上,在编制文字描述过程中遇到问题(如流程顺序不当等)都应该向访谈人员核实并修改访谈笔记。