无论是正在参加注册会计师(CPA)从业资格考试的考生,还是已经在会计师事务所执业的CPA,往往都会对与控制测试相关的几大概念模糊不清。而我国很多企业还未能建立健全内部控制制度。一些大型企业即使建立了内部控制制度,也往往是形式主义居多。这不仅给CPA对企业实施控制测试带来很大障碍,也给一些CPA考生结合审计实务理解控制测试的概念及其相关理论带来了很大困难。
在现实中,审计的控制测试容易存在四大误区:
误区一:与控制测试相关的概念间关系混淆不清
与CPA控制测试相关的概念主要有了解内部控制、内控存在、控制得到执行、控制设计有效、控制执行有效等,但很多考生或CPA不仅对这些概念的含义模糊不清,而且往往还混淆了这些概念之间的关系,从而影响到对控制测试的实施。常见的有4对概念之间的关系存在误区:内部控制与控制测试。了解内部控制属于风险评估程序的重要组成部分,需分别从企业整体层面和业务流程层面进行了解。了解内部控制是实施企业年度会计报表审计必须履行的审计程序,而控制测试则属于进一步的审计程序,《中国注册会计师审计准则第1231号———针对评估的重大错报风险采取的应对措施》第八条规定:“当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:(一)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);(二)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。”由此可见,CPA只有在了解到内部控制存在且得到执行,并判断预期控制的运行有效后,才需要实施控制测试,所以,控制测试属于有条件选择执行的审计程序,了解内部控制是控制测试的前置程序。
但在日常审计实务中,一些CPA将对业务流程层面内部控制的了解误认为是对内部控制进行的测试,而且还依据了解的情况直接得出内部控制设计有效、控制得到执行且执行有效的结论。
这些认识和做法都是错误的,不仅混淆了了解内部控制与控制测试的概念,而且也混淆了了解内部控制与控制测试的程序。
内部控制存在与内部控制得到执行。理论上的内部控制存在是指企业存在书面的内部控制制度。但在日常审计实务中,很多企业往往都有自己约定俗成的一套非书面形式的控制制度。
这些制度是企业在长期生产经营活动中逐步摸索和积累形成的,早已习惯、熟悉并遵循,适合企业自身特点、满足自身需要且行之有效的控制活动(或行为)。
这些控制活动(或行为)与书面的内部控制制度相比,往往大为简化,差异很大,内控实务中甚至根本没有按照书面制度执行,从而使得书面的内部控制制度往往仅是为了应付各类检查的摆设。
由此可见,企业即使存在书面、规范完整的内部控制制度,但不一定都得到执行,有的甚至根本没有执行。所以,不能将内部控制存在简单认为是内部控制得到执行,因为存在的往往是书面的内部控制制度,执行的可能是与书面制度差异很大的另一套控制活动(或行为)。
内部控制得到执行与内部控制执行有效。内部控制是否得到执行需通过实施穿行测试才能作出判断。穿行测试属于风险评估审计程序的范畴。而内部控制执行是否有效必须通过控制测试才能作出判断。控制测试则属于实质性审计程序的范畴。两者之间的关系是:内部控制得到执行是内部控制执行有效的前提,只有通过风险评估审计程序确认内部控制得到执行后,才可以实施控制测试,以判断内部控制是否执行有效。但是,在日常审计实务中,一些CPA往往将内部控制得到执行误认为内部控制执行有效。事实上,由于内部控制常常存在各种各样的缺陷,如设计缺陷、执行偏差或舞弊等问题而达不到预期的效果,所以,即使内部控制得到执行也未必一定执行有效。
内部控制设计有效与内部控制执行有效。在日常审计实务中,一些CPA往往将内部控制设计有效与内部控制执行有效混为一谈。实际上,内部控制设计有效仅是从理论上对内部控制制度本身设计的合理性和可行性进行的评价和判断,而内部控制执行有效必须通过实施控制测试作出判断。内部控制设计有效是内部控制执行有效的前提条件。如果设计无效,则谈不上执行有效。但设计有效也并不等于实际执行一定有效,因为实务中还可能因内部控制形同虚设、执行偏差或管理层凌驾于内部控制之上等问题而使得内部控制失效。
误区二:控制测试没有必要,不如直接实施实质性测试
CPA实施控制测试的目的是为了指导实质性审计程序的性质、时间安排和范围,如果通过控制测试证明被审计单位预期控制的运行有效,则可以适当降低相关认定层次实质性测试的样本量,从而节约审计资源。中国CPA审计准则第1231号第八条规定:“当存在下列情形之一时,CPA应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:(一)在评估认定层次重大错报风险时,预期控制的运行是有效的;(二)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。”由此可见,凡是出现了审计准则所规定的这两种情形,都应该实施相关的控制测试。
但是,在日常审计实务中,特别是对中小企业的审计中,很多CPA认为不管是否实施控制测试,反正不能降低实质性测试的工作量,不如不实施控制测试而直接实施实质性测试。该观点表面上看是一些CPA对控制测试的错误认识,但实际上与许多CPA对实质性测试的“偷工减料”密切相关。
假设一年报审计业务中的某报表项目按常规应设定的实质性测试的样本量为80%,如果实施控制测试后判断可以降低50%的样本量,即样本量可降为40%。
但是,由于该CPA本来正常测试的样本量仅为10%还不到,这实际上也正是许多CPA日常审计实务中常见的样本量,甚至更低,此时,该CPA是不可能也不敢再降低仅为10%还不到的样本量。
显然,此情况下多做控制测试不仅不可能再降低样本量,而且还增加了控制测试的工作量,再由于日常对执业质量的监管检查很少对实质性测试样本量低的问题给予处理处罚,所以,许多CPA自然不愿多做控制测试。
可见,违规成本低也是造成一些CPA不认真实施控制测试的重要原因之一。
误区三:不进行控制测试的理由不充分、不正确
尽管审计准则规定了必须实施控制测试的两大前提条件,但在日常审计实务中,许多CPA不实施控制测试的原因或者是没有任何说明,或者是不知道如何说明,或者虽有说明但没有依据和判断过程。
如CPA说明的理由可能是无法评价内部控制的有效性、实施控制测试不符合成本效益原则以及对内部控制运行的有效性不拟信赖等,但对如何得出这一结论的,工作底稿中往往没有判断过程和依据,或依据不充分、不恰当。上述问题说明了,许多CPA对实施内部控制测试的要求和运用不是一知半解,就是没有理解或者责任心不强。
实际上,CPA应在了解内部控制的过程中对内部控制是否建立健全、是否得到执行、预期控制的运行是否有效、是否拟信赖控制运行的有效性作出判断。如果预期控制的运行有效并拟信赖内部控制,则必须对相关控制实施测试,反之,则应该根据上述判断过程中出现的问题,在获取相关证据后作出不实施控制测试的判断和说明。
误区四:控制测试的形式主义
一些CPA实施的控制测试形式主义较为严重,如测试过程仅是蜻蜓点水,根本没有做深入检查和测试,只是象征性地抽取极少量的样本进行测试。还有一些CPA对控制测试过程中的分析和判断有很大的盲目性和随意性,甚至根本不知道如何正确分析和判断测试过程中遇到的情况。
还有的审计项目即使在形式上有了控制测试的结果,但实际上对实质性测试根本没有按照控制测试的结果进行。
负责实质性测试的审计人员往往仍然按照自己既定或偏好的方法和程序实施实质性程序,全然不顾控制测试的结果。这不仅使得控制测试对实质性测试起不到应有的指导作用,也使得实质性测试失去了风险导向。
这要求CPA对控制测试予以必要的重视,在审计中,负责控制测试与负责实质性测试的CPA之间加强相互的沟通。