应对管理层凌驾于内部控制之上的风险
2015-05-11 09:08阅读:
管理层凌驾于内部控制之的风险我们如何应对呢?下面是准则和实务中的一些做法,欢迎大家讨论。
无论是国际审计准则还是中国审计准则,都强调:管理层凌驾于内部控制之上为特别风险。
首先,作为特别风险,我们应当评价相关控制的设计情况,并确定是否已经得到执行。这是准则的要求,我们必须要了解企业设置的应对管理层凌驾于内部控制之上的相关控制,如果了解之后企业并未设置相关的控制,那我们应当认为企业的内部控制存在重大缺陷,并考虑对风险评估的影响。
应对管理层凌驾于内部控制之上一般都与企业整体层面的控制相关,我们可以评估企业的控制环境、风险评估过程、信息系统与沟通、对控制的监督等方面。
控制环境:比如我们可以去访谈公司的高管,了解他们的企业管理理念,是否推崇诚信的企业文化?也可以去访谈公司基层的员工,看看他们是否曾经被要求做一些明显违反常规或明显违反法律法规的事情?检查公司是否配置了足够的人员,是否实现了基本的职责分离?公司所有权结构如何,是否存在必要约束监督机制?
这些可以帮助我们对公司的控制环境有一个直观的感受。
风险评估过程:企业是否正式或非正式的风险评估过程,去识别和管理正常生产经营过程中的风险?比如某些企业会定期召开会议对销售情况进行跟踪分析,以识别和管理与销售相关的经营风险。缺乏风险评估过程,可能导致企业管理层无法正确的识别风险,而一旦风险出现,管理层只能不按常规出牌,做出一些凌驾于内部控制之上的行为。
信息系统与沟通:了解客户的交易如何生成、记录、处理和报告?是人工的还是自动化的?是否涉及复杂的ERP系统?有的企业为了节省成本,依靠人工处理一些业务量大的交易,比如某企业仓库平均每天有约100个出库单,均是依靠库管员手工填出库单,这种情况下出库单出错的概率就大大增加,控制被凌驾的风险也增加。而有的企业为了时髦,上一些与企业生产经营不匹配的复杂的ERP系统,员工抵触情绪较大,存在较多的操作错误,或者ERP没有合理的权限分配,管理层比较容易凌驾于控制之上。
对控制的监督:对控制的监督可以大大提高控制的有效性,也增加了管理层凌驾于内部控制之上的难度。我们要了解企业是否定期评价内部控制?是否设置了内部审计等职能部门?对重要的控制点是否设置了相应的监督程序,比如是否有人复核会计凭证和财务报表?一旦,存在对控制的监督行为,那也就意味着除了业务执行人员外还要其他人员了解这个业务,管理层要凌驾于内部控制之上做出一些舞弊行为也就有更多的人知悉这个事情,增加了其难度。
无论对管理层凌驾于内部控制之上的风险的评估结果如何,我们都应当执行以下3条审计程序,这是国际审计准则和中国审计准则的硬性规定。
1.测试日常会计核算中做出的会计分录以及编制财务报表过程中做出的其他调整是否恰当?
这是一条非常有效也非常有意思的程序,但如何选择测试的样本相当重要。下列样本选取方法是一些项目的经验:
(1)对编制财务报表过程中做出的所有会计分录进行检查。现在大多数企业都实现了会计电算化,一般情况下都是软件自动生产报表,但是企业可能在总账中做一些调整。我们需要对这些调整进行全面的检查。
(2)对期末做出的所有会计分录进行检查。比如在中国所有企业的财务报表日都是12月31日,那我们可以对公司12月全月的会计分录进行检查甚至更靠前的月份。
(3)对报表期间所有红字冲销的会计分录进行检查。
样本选择出来了,如何检查,也非常重要,这项工作我觉得一般情况下应该由项目中经验比较丰富的员工来执行。首先我觉得应该对这些分录进行大致的浏览,看看是否有明显异常的情况,比如与企业无关的业务活动或者与管理层描述不一致的情况等。然后,我们再检查这些会计分录的原始单据等是否异常。
当然,这项工作非常耗费时间,选取多少样本进行测试,也取决于我们评估的风险,如果风险比较大,可能我们的样本量会很大,反之,我们的样本量比较小。
2.复核会计估计是否存在偏向,并评价产生这种偏向的环境是否表明存在由于舞弊导致的重大错报风险。
有些情况下管理层可能不恰当地改变会计估计,并努力向审计师说明,他们这种改变是合理的而且反复强调他们只是会计估计变更,这种情况下我们一定要警惕。比如某建筑安装企业,2010年按照累计实际发生的合同成本占合同预计总成本的比例确定合同完工进度,2011年由于受国家房地产调控政策的影响,收入大幅度下降,公司为此大幅度调低了合同预计总成本从而增加了施工进度。
3.对于超出被审计单位正常经营过程中的交易,或基于对被审计单位环境的了解以及在审计过程中获取的其他信息而显得异常的重大交易,评价其商业理由。
这条很重要,我们在审计过程中一定要多想想某项交易尤其是那些复杂或者异常交易的商业理由,是不是合理的?不要只是关注账务本身处理是否正确。
另外,要特别注意关联交易,尤其是存在大量的资金交易的时候,我们一定要了解交易的实质必要时对资金往来进行检查。
上面的程序只是准则的基本要求,实际中每个项目可以除了这些基本要求,还有许多优秀和值得借鉴的做法,我们只是抛砖引玉而已。
作者:蓝绍恩
来源:金章玉句
