3章 内控
coso:内控的通用语言
一个企业的内控好,其财务报表的准确性就相对有保障。
“制度基础审计”:
审计理论讲的是“制度基础审计”(system-based audit)。这一理论将企业的全部业务交易分为“常规交易”(routine transactions)和“非常规交易”(non-routine transactions)两大类,及第三类“会计估计”。
常规:可以机械处理的会计事项
非常规:企业实际发生的交易,但它发生的次数不多,或者/而且性质特殊,最好由资深人员来直接进行“借”“贷”的会计处理。
会计估计:不是企业的实际业务交易
**在英国和美国的簿记体系(bookkeeping system)里,“常规交易”是在明细账里记录的,记账人员往往只受过职业中专类型的培训,不懂“借”“贷”,但很守规矩。
**在英国和美国的簿记体系里,“非常规交易”则往往是直接在总账里进行核算的,“会计估计”更是必然在总账直接核算。也就是说,如果财务经理老马觉得明细账记得不准确、不完整,他不能直接改明细账,而且前面提到的小牛和小杨在中专里所受的职业教育也要求他们恪守自己的职业道德,不能允许别人改他们的明细账。所以,财务经理老马只能自己直接在总账层面做一个借贷分录,并将这个分录直接记入总账,将总账的余额做了修改。
“制度基础审计”认为,对于与“常规交易”相联系的会计事项的审计必然是先评价及测试其内部控制制度,然后考虑是否可以依赖企业自己的内控制度来做下一步的实质性测试。而对于与“非常规交易”相联系的会计事项和“会计估计”,企业不一定有很好的内部控制,因此可以直接采用实质性测试,这包括分析性复核与详细测试。
就我翻看过的国内企业的账本而言,那些“银收”“银付”“现收”“现付”凭证也许能算是“常规交易”,但那些“转”字号凭证可就包罗万象了。而且,如果发现以前的一笔账记错了,只要做一个“转”字号凭证,由领导签字(甚至没有领导签字)就行了。审计师查账的时候要翻查所有这样的“转”字号凭证实在太花时间了。
“风险导向审计”
在“风险导向审计”的理论里,不仅要求对于“常规交易”要先评价及测试企业的内控制度,对于“非常规交易”和“会计估计”,也强调企业必然应该在这些领域有自己的内部控制,尤其是在“会计估计”领域。那么,我们对于这些会计事项,也要测试其内部控制制度,而不是按照“制度基础审计”说的,可以直接做实质性测试。也就是说,在“风险导向审计”的理论里,不管是“常规交易”“非常规交易”还是“会计估计”,都要先了解、评价及测试企业的内部控制制度。
所谓“风险导向审计”的“风险”二字,指企业的“经营风险”和企业的“财务报表错报风险”。与“财务报表错报风险”无关的“经营风险”,审计师不再进一步关注。这是与管理咨询公司的一个不同之处。
“风险导向审计”的理论认为,任何一个“会计估计”都必然与一个“经营风险”相关联。“风险导向审计”理论既要求企业的财务报表全面反映企业在历史上已形成的经营成果,又要求量化及披露企业的经营风险(这些风险在未来可能变成真正的损失,从而影响经营成果)。
另外一个按照“风险导向审计”的要求要做的事情是,在了解了企业的业务之后,撇开一切报表和数字,静下心来想一下,这个企业可能有哪些经营风险(对于一个制造企业,我一般是从六字真言“人财物、产供销”这几方面去考虑企业可能的经营风险)。由于这些经营风险,企业应该有哪些“会计估计和披露”?企业是不是已经做了这些“会计估计和披露”?我觉得这也是比“制度基础审计”考虑问题更全面的地方。
经营控制和财务报表控制:这两个概念可能会随着美国萨班斯法404条款的执行,越来越流行。
经营控制和财务报表控制都是企业的内部控制环节。
所谓经营控制,是企业管理层用来理顺企业经营的一些控制点。例如,管理层要求所有的采购都要从至少三家设备供应商的报价里选择一个最合理的报价;管理层要求每笔超过万元的固定资产采购都要由总经理批准才行;管理层要求每次发货销售后,都要取得对方签字的发货单。这些,都是一个企业的经营控制。
而财务报表控制呢,也是由管理层设立的、用来保证财务报表正确的控制点。例如,管理层要求在每一期期末编制银行存款余额调节表 [2]。管理层要求原材料入库单的一联要在同一天内传给会计做账,等等。一般而言,经营控制点和财务报表控制点是不重复的,但也会有例外。比如,企业期末做存货和固定资产盘点,就可以既是一个经营控制点,也是一个财务报表控制点。
审计师在做审计工作时,首先要关注的应该是财务报表控制点。而这也恰恰是美国的萨班斯法404条款要求审计师关注的东西。至于那些经营控制点,则是每个企业“仁者见仁,智者见智”。
网友评论