如何将内部控制审计做到位

唐建华 万寿琼

财务报告内部控制审计（以下简称内部控制审计）制度自2011年试点实施以来，已逐步推广至全部主板上市公司。作为一项新的审计业务，如何将其做到位是一个值得审视的问题。本文从理论上阐述内部控制审计应有的工作力度，并通过示例演示实务中如何将其做到位。

一、内部控制审计应有的工作力度

在财务报表审计中，注册会计师需要运用“认定”的概念。其基本逻辑是：注册会计师要对整套财务报表发表审计意见，就需要知道财务报表反映的各账户余额、各类交易和各项列报是否有错报；而要知道各账户余额、各类交易和各项列报是否有错报，就需要确定各账户余额、各类交易和各项列报的各项认定是否有错报。因此，注册会计师要围绕各账户余额、各类交易和各项列报的各项认定收集充分、适当的审计证据。可以说，“认定”是财务报表审计精细化的基石。

同样，在内部控制审计业务中，注册会计师对内部控制的了解和测试工作应当涵盖每项相关认定。如果某财务报表认定可能存在一个或多个错报，这些错报将具有合理可能性导致财务报表发生重大错报，则该认定为相关认定。有效的内部控制应当能够合理保证财务报表的可靠性。财务报表反映的是一项项认定，有效的内部控制也应当能够合理保证财务报表中反映的每项相关认定不存在重大错报。因此，《企业内部控制审计指引实施意见》规定，注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见；注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。针对每项相关认定，注册会计师至少应当测试一项关键控制。

换个角度看，在财务报表审计中，注册会计师需要在充分了解被审计单位及其环境的基础上，识别和评估财务报表层次和认定层次的重大错报风险。在内部控制审计中，注册会计师需要确定是否有控制足以应对这两个层次的重大错报风险。换言之，内部控制审计应当至少涵盖识别的两个层次的重大错报风险。

二、示例分析

（一）示例一：每月手工调节控制

注册会计师在审计XYZ公司的财务报告内部控制时，确定应收账款是一个重要账户。通过与被审计单位人员进行讨论和查阅公司的文件记录，注册会计师了解到被审计单位人员每月将应收账款明细账与总账进行调节。为确定是否能及时发现应收账款的错报 （存在、计价和完整性），注册会计师决定对每月调节程序中存在的控制进行测试。根据应收账款账户的数量、金额和账户中发生的交易量，选取应收账款调节表若干样本，对调节控制进行测试。注册会计师决定在10月份实施测试调节控制的程序，控制测试的对象总体是1月份到9月份的调节控制。在测试调节控制时，注册会计师执行如下程序：

1.向实施此控制的被审计单位人员进行询问。注册会计师向执行调节流程的人员提出了若干问题，这些问题包括：

（1）是否有文件记录描述账户调节流程？

（2）从事该项工作多长时间？

（3）处理调节项目的过程？

（4）有关人员对调节表进行正式复核和签署的频率？

（5）向谁报告调节过程中发现的重大问题？

（6）每月平均有多少个调节项目？

（7）如何处理长期存在的调节项目？

（8）如何在信息系统中对调节项目作出更正（如有需要）？

（9）调节项目的一般性质？

2.观察和检查控制的执行。注册会计师观察被审计单位人员实施调节的过程。对于非经常性的调节项目，注册会计师检查调节表是否针对每个项目的性质、采取的解决措施以及该项目是否得到及时解决作出了清晰的说明。

3.重新执行该控制。最后，注册会计师检查调节表并重新执行调节程序。对于5月份和9月份的调节表，注册会计师以抽查的形式将调节项目与原始文件进行核对。这些调节表中包括的调节项目只有前一天放入保险箱但尚未记入客户账户的现金。注册会计师继续追查这些项目，以确定这些调节项已在下一个工作日得到处理。

注册会计师还粗略浏览了包含本年度所有调节表的文件夹，发现调节表均已及时完成。为了解被审计单位至年末的剩余期间里有没有对调节控制程序作出重大变更，注册会计师向被审计单位人员进行询问，确定这些程序在剩余期间内未发生变化。因此，注册会计师通过浏览月度账户调节表证实控制在剩余期间得到及时执行，从而验证控制在剩余期间仍然有效。

此外，注册会计师评价和测试了计算机一般控制，包括程序变化（例如确认对软件功能没有未经授权的更改，对报告的更改已经适当授权、在实施前已经测试和批准）和逻辑接触（例如用户对存货和应付账款模块的接触和对报告源代码保管地的接触），得出结论认为这些控制运行有效。既然计算机被认为以系统的方式运行，注册会计师认为只需对一个项目执行穿行测试就已经足够。

根据注册会计师实施的程序，注册会计师认为截至本年末，该调节控制是有效的。

（二）示例二：每日手工预防性控制

注册会计师在审计XYZ公司的财务报告内部控制时，确定银行存款和应付账款是重要账户。通过与被审计单位人员进行讨论，注册会计师了解到公司人员只有在将发票与订购单信息核对一致后，才会付款。为确定是否能及时地预防银行存款 （存在）和应付账款 （存在、计价和完整性）中存在的错报，注册会计师对“将发票与订购单信息核对一致后再付款”这一控制实施了测试。

注册会计师从1月至9月的银行支付明细账中随意选取了25 笔付款记录。在本例中，注册会计师的测试对象是被审计单位员工对常规的支付交易所执行的手工控制，因此注册会计师认为测试25笔付款交易是适当的。而且，注册会计师根据较早实施的企业层面控制测试的结果，预期该控制不会出现错误。（如果注册会计师发现了一个控制偏差，应分析出现偏差的根本原因，并追加测试项目。如果发现了第二个控制偏差，即认定该控制是无效的。注册会计师因此需要在财务报表审计中增加对银行存款和应付账款实施的实质性程序的范围。）

1.在取得相关凭证后，注册会计师检查发票上是否有应付账款财务人员的签字，证明其已执行了核对控制。但是，在凭证上签字并不一定说明工作人员在签字前已认真复核了相关信息。工作人员可能只是草草复核或根本没有复核凭证就签字。

2.注册会计师决定签字不足以证明该控制在测试期间内有效运行。为了获取更多的证据，注册会计师重新执行了与签字相关的核对控制，包括检查发票以确定发票信息与订购单信息一致，且发票金额的计算是准确的。

由于注册会计师在期中实施控制测试，因此注册会计师通过询问应付账款财务人员该控制是否仍然存在并有效运行，将该测试前推至年末（从10月份至12月份）。通过对12月份的一笔交易实施穿行测试，证实了询问所获得的信息。

根据注册会计师实施的程序，注册会计师认为截至本年末，“将发票与订购单信息核对一致后再付款”这一控制是有效的。

（三）示例三：每日自动化预防性控制和每周人工发现性控制

注册会计师确定现金、应付账款和存货在财务报告审计中是重要账户。通过与客户人员的讨论，注册会计师了解到客户的计算机系统对收货单、请购单和采购发票执行三单匹配程序。如果有例外，系统产生未匹配项目的清单，客户人员每周进行复核和跟进处理。

在本例中，计算机匹配是程序化的应用控制，人工对未匹配项目报告进行复核和跟进是检查性控制。为确定能够及时防止或发现现金（存在性）、应付账款和存货（存在性、计价和完整性）的错报，注册会计师决定测试这两项控制。

1.测试自动控制

为测试程序化的应用控制，注册会计师执行如下程序：

（1）通过与客户人员的讨论，注册会计师识别出用以处理收货单和采购发票的软件。该软件系从第三方购入，包括几个模块。

（2）通过与客户人员的进一步讨论，确定客户没有修改软件的核心功能，只是有时对报告进行个性化的处理以满足业务变化的需要。根据以前对客户信息技术环境了解的经验，注册会计师认为这些变化不常发生，客户的信息技术程序控制很成熟。

（3）通过与客户人员的进一步讨论，存货模块处理收货，包括将收货单与未了结的请购单匹配。购货发票由应付账款模块处理，将购货发票与经批准的、已有有效的收货单支持的请购单相匹配。该模块同时生成未匹配项目的报告，该报告格式是一个标准的报告，由软件自带且客户没有做过任何修改。该信息与软件供应商的文档记录一致，也与客户信息管理部门的文档记录一致。

（4）通过与客户人员的讨论及检查软件供应商的文档记录，识别用于处理该功能的可执行文件（应用软件）的名称、文件大小和位置。注册会计师识别应用软件的编辑日期并将其与应用软件的初装日期核对一致。将报告源代码的编辑日期与信息管理部门持有的、与对报告最后一次修改（格式的修改）有关的文档记录一致。

（5）识别将测试应用软件的目标。是为了确定：收到的货物是否恰当（例如，与有效的请购单匹配）；过账的采购价格是否恰当（例如，将有效的收货单与请购单匹配，无重复号码）；未匹配的项目列于例外报告中。注册会计师重新执行了应用软件中所有各种不同情况以确定应用软件如所描述的那样运行。每种测试只要一笔即可。

此外，注册会计师评价和测试了计算机一般控制，包括程序变化（例如确认对软件功能没有未经授权的更改，对报告的更改已经适当授权、在实施前已经测试和批准）和逻辑接触（例如用户对存货和应付账款模块的接触和对报告源代码保管地的接触），得出结论认为这些控制运行有效。既然计算机被认为以系统的方式运行，注册会计师认为只需对一个项目执行穿行测试就已经足够。

为确定应用控制是否有效运行，注册会计师在7月执行了穿行测试，并执行和记录了下列内容：

（1）收货部门在没有将收货单与系统中请购单匹配的情况下不能记录已收到货物。注册会计师通过试图在没有请购单的情况下记录已收到货物来测试该项控制，然而，系统不允许注册会计师这么做。相反，系统生成一个出错信息，指出没有有效的请购单不能将货物记录为已收到。

（2）除非系统能够将收货单和购货发票与经批准的请购单匹配，否则不能为发票付款。注册会计师通过试图批准为发票付款来测试该项控制，然而，系统不允许注册会计师这么做。相反，系统生成一个出错信息，指出没有有效的请购单和收货单不能为发票付款。

（3）系统不允许处理具有相同发票号码和相同供应商的发票。并且，针对同一张请购单，系统不允许处理两张发票，除非这两张发票的总和小于请购单上批准的数量。注册会计师通过试图处理重复的发票来测试该项控制，然而，系统生成一个出错信息，指出该发票已经处理过。

（4）系统将发票金额与请购单进行比较。如果存在数量乘以价格的差异，并且差异超过经批准的可容忍范围，系统不允许处理该发票。注册会计师通过试图处理差异超过可容忍范围10件或1000美元的发票来测试该项控制，然而，系统不允许注册会计师这么做。相反，系统生成一个出错信息，指出由于差异不能处理该发票。

（5）系统只对供货商主文档中包含的供货商付款。注册会计师通过试图处理不在供货商主文档中的一名供货商开具的发票来测试该项控制，然而，系统不允许处理付款。

（6）注册会计师测试了用户对供货商主文档的访问，通过试图访问并更改主文档来测试用户是否能够修改文档，然而，系统不允许注册会计师执行该项操作。相反，系统生成一个出错信息，指出用户没有授权执行该项操作。

（7）注册会计师通过验证一个报告中未匹配项目和一个未在报告中的已匹配项目，测试了未匹配项目报告的准确性和完整性。

2.测试人工控制

为测试对未匹配项目进行复核和跟进的发现性控制，注册会计师针对1－7月在7月执行了以下程序：

（1）询问客户的人员。为了解以确保所有未匹配项目均已被适当跟进，并且及时作出更正而实施的控制，注册会计师向跟进未匹配项目报告周报的人员进行了询问。每周，控制要求该人员复核未匹配项目报告以确定项目列入报告的原因。该人员的复核包括适当跟进项目，包括确定：

是否未了结请购单在可接受的时间内或者予以了结，或者予以作废？

是否定期通知请购方请购单的状况及原因？

请购单未了结的原因是否是供货商未全部发货，如果是，是否通知了供货商？

是否有应当与采购部门讨论解决的数量问题？

（2）观察该控制的执行。注册会计师观察该人员对7月份首周产生的未匹配项目执行的控制。

（3）重新执行该控制。注册会计师选择了5个星期未匹配项目报告，从每个中选出几项，重新执行了该人员执行的控制。注册会计师浏览了其他的未匹配项目报告以确定控制在整个拟依赖期间都已执行。

为确定客户在剩余期间没有对控制做出重大修改，注册会计师与客户讨论了作出修改所需的程序。既然程序自期中至年末没有被修改，注册会计师通过浏览未匹配项目报告周报来确定控制在剩余期间被及时执行，得出结论认为控制仍然在运行。

基于注册会计师的程序，注册会计师认为该人员能够及时处理例外事项，控制在年末有效运行。

（四）示例4：测试管理层审阅控制

在审计一个有四个类似分支机构的商业公司时，注册会计师决定测试一项每月运行一次的控制，该控制针对的是包括工资、公共事业费、设施及折旧费等在内的销售费用、管理费用、一般性费用的存在（发生）、完整和计价与分摊认定。这项控制是：每个分支机构的财务总监每月执行一项分析，即将该分支机构财务报表中的和这些费用相关的项目与前年或预测的财务报表相比较，如果差异超过公司财务总监预先确定的门槛值，则需要调查差异。每个分支机构的财务总监与公司财务总监讨论分析的结果，以使公司财务总监能够理解重大差异的基础和决定是否需要对财务报表作出调整，或采取其他纠正措施。

由于该项管理层审阅控制针对几个重要账户的多项认定（评估的重大错报风险不一），注册会计师评估的、与该项控制相关的风险为“较高”。

注册会计师的审计程序可能包括：

1.评价该项控制能否如设想的那样应对与销售费用、管理费用、一般性费用的存在（发生）、完整和计价与分摊认定相关的重大错报风险。

2.评价分支机构前年和今年预测的信息是否能够作为预期的适当基础，以识别潜在的错报。

3.评价财务总监预先确定的门槛值是否适当，即分支机构财务总监根据该门槛值是否能够识别对财务报表重要的错报。

4.基于注册会计师在本期和以前期间对个人的了解等，评价公司和分支机构的财务总监的专业胜任能力。

5.评价控制的运行频率是否足够，即是否在错报对财务报表产生重大影响前能够予以预防或发现。

6.对所选择的控制运行样本项目，获取分支机构财务总监分析中使用的信息，了解其调查重大差异所采取的步骤，重新执行分析并将注册会计师识别的重大差异、对结果的评价（包括识别的错报）与分支机构财务总监的分析相比较。

7.对公司财务总监和分支机构讨论分析结果的会议进行观察或查阅其会议记录，检查呈报给公司财务总监的信息，评价所讨论事项、得出的结论及采取的纠正措施。

注册会计师还应确定控制使用的财务报表和预测信息是由同一信息系统生成和报告的。公司的信息系统是集中管理的，并且该信息系统的控制是与公司其他与财务报表相关的信息的控制一起测试的。

值得注意的是，该例演示的是测试常规和可预测的账户的方法，对于复杂的或不可预测的账户或认定，在测试针对这些账户或认定的内部控制时，主要由将账面反映数与上年数和预测数相比较组成的管理层审阅控制可能精确度不够。在此情况下，除测试管理层审阅控制外，可能有必要测试其他控制，以得出控制是否足以应对重要账户的相关认定的重大错报风险。

三、分析与结论

从上面的示例可以看出，内部控制审计业务也需要做得精细，才能到位。对每项控制的测试，均需要确定控制测试的性质、时间安排和范围。在期中测试控制的情况下，还需要追加审计工作，以将审计结论合理延伸至审计基准日。某些人工控制的运行，可能依赖信息系统产生的报告或数据，这时，还需要测试针对这些报告或数据产生过程中的控制。

美国上市公司会计监督委员会（PCAOB）曾连续发布内部控制审计实施检查报告。在2012年发布的检查报告中，指出了内部控制审计中常见的不到位之处：一是没有识别和充分测试旨在应对重大错报风险的控制；二是对于用以监控经营成果的管理层审阅控制，未能充分测试其设计和运行有效性；三是未能获取充分的证据，以将期中测试内部控制的结果更新至年末；四是未能充分测试针对系统产生的数据和报告的控制，而这些数据和报告支持重要控制的运行；五是对利用他人的工作，未能实施程序；六是未能充分评估识别的控制缺陷。这些不足以说明未能完全执行内部控制审计技术标准。

做好内部控制审计业务不仅与建立财务报表可靠性的机制直接相关，还关系到会计师事务所财务报表审计方法的升级，需要从实质性方案过渡至综合性方案，这在越来越多的被审计单位广泛使用信息技术的背景下尤为重要。将来，越来越多的重大错报风险属于“仅通过实质性程序无法应对的风险”，从而实质性方案无法应对，也就是说，绕过内部控制进行审计的方法越来越行不通。会计师事务所应当借实施内部控制审计业务的契机，将内部控制审计业务做实做精做到位，实现财务报表审计技术方法的升级。