應對管理層凌駕于內(nèi)部控制之上的風險

金章玉句 2014-07-16

展開全文

應對管理層凌駕于內(nèi)部控制之上的風險

由于管理層所處的特殊地位，其可能凌駕于內(nèi)部控制之上對財務報表進行粉飾。在中國，由于現(xiàn)代企業(yè)管理體制不完善，很多時候管理層和治理層是部分或完全重合的，所以管理層凌駕于內(nèi)部控制之上的風險更大。

我們經(jīng)常能聽到審計師這樣的觀點：中國企業(yè)沒有內(nèi)部控制？即使有也沒有實際意義。

我不同意這樣的觀點，就算是最小的民營企業(yè)他們也存在一些基本的管理制度去管理企業(yè)的，比如：很多私營企業(yè)老板每天對財務部門編制的銀行存款日報表進行審核，以了解錢都花哪兒去了？該收的錢是否收了？這項措施對銀行存款和應收賬款來講，算不算一項有效的內(nèi)部控制程序呢？我認為，算的。

我們只能說中小企業(yè)，不像大企業(yè)有那么多有效的內(nèi)控控制，但是作為審計師我們在沒有充分了解這些企業(yè)的內(nèi)部控制措施的前提下，就認為企業(yè)沒有可以信賴的內(nèi)部控制、直接實施實質(zhì)性審計程序，這既違背了準則的要求也無法加深我們對企業(yè)及其環(huán)境的了解，我們了解內(nèi)部控制的目的并不只是為了識別可以信賴的控制，更是為了加深我們對企業(yè)及其環(huán)境的了解、更好地識別錯報風險；我們不能說不信賴控制，所以我也不了解控制，這違背了風險導向?qū)徲嫷睦砟睢?br>
管理層凌駕于內(nèi)部控制之的風險我們?nèi)绾螒獙δ?？下面是準則和我們項目的一些做法，歡迎大家討論。

無論是國際審計準則還是中國審計準則，都強調(diào)：管理層凌駕于內(nèi)部控制之上為特別風險。

首先，作為特別風險，我們應當評價相關(guān)控制的設(shè)計情況，并確定是否已經(jīng)得到執(zhí)行。這是準則的要求，我們必須要了解企業(yè)設(shè)置的應對管理層凌駕于內(nèi)部控制之上的相關(guān)控制，如果了解之后企業(yè)并未設(shè)置相關(guān)的控制，那我們應當認為企業(yè)的內(nèi)部控制存在重大缺陷，并考慮對風險評估的影響。

應對管理層凌駕于內(nèi)部控制之上一般都與企業(yè)整體層面的控制相關(guān)，我們可以評估企業(yè)的控制環(huán)境、風險評估過程、信息系統(tǒng)與溝通、對控制的監(jiān)督等方面。

控制環(huán)境：比如我們可以去訪談公司的高管，了解他們的企業(yè)管理理念，是否推崇誠信的企業(yè)文化？也可以去訪談公司基層的員工，看看他們是否曾經(jīng)被要求做一些明顯違反常規(guī)或明顯違反法律法規(guī)的事情？檢查公司是否配置了足夠的人員，是否實現(xiàn)了基本的職責分離？公司所有權(quán)結(jié)構(gòu)如何，是否存在必要約束監(jiān)督機制？這些可以幫助我們對公司的控制環(huán)境有一個直觀的感受。

風險評估過程：企業(yè)是否正式或非正式的風險評估過程，去識別和管理正常生產(chǎn)經(jīng)營過程中的風險？比如某些企業(yè)會定期召開會議對銷售情況進行跟蹤分析，以識別和管理與銷售相關(guān)的經(jīng)營風險。缺乏風險評估過程，可能導致企業(yè)管理層無法正確的識別風險，而一旦風險出現(xiàn)，管理層只能不按常規(guī)出牌，做出一些凌駕于內(nèi)部控制之上的行為。

比如，某私營企業(yè)老板2011年對其下屬的子公司進行了重大資產(chǎn)重組，在重組之前老板并沒有充分考慮稅法法律法規(guī)的影響，而在交易接近尾聲時才告訴會計去做賬務處理，而此時，根據(jù)財稅[2009]59號企業(yè)重組業(yè)務企業(yè)所得稅處理若干問題的通知的規(guī)定，該企業(yè)需要繳納約1000萬的企業(yè)所得稅，老板肯定不想交稅。怎么辦？我是老板，我說了算，你會計不做賬不就行了嗎？其實，如果事前進行了充分的籌劃，該企業(yè)的這項重組業(yè)務就可以免稅的。還有的企業(yè)，不提前識別和管理壞賬風險，而產(chǎn)生了一些潛在的壞賬損失，而又不愿意計提壞賬。

信息系統(tǒng)與溝通：了解客戶的交易如何生成、記錄、處理和報告？是人工的還是自動化的？是否涉及復雜的ERP系統(tǒng)？有的企業(yè)為了節(jié)省成本，依靠人工處理一些業(yè)務量大的交易，比如某企業(yè)倉庫平均每天有約100個出庫單，均是依靠庫管員手工填出庫單，這種情況下出庫單出錯的概率就大大增加，控制被凌駕的風險也增加。而有的企業(yè)為了時髦，上一些與企業(yè)生產(chǎn)經(jīng)營不匹配的復雜的ERP系統(tǒng)，員工抵觸情緒較大，存在較多的操作錯誤，或者ERP沒有合理的權(quán)限分配，管理層比較容易凌駕于控制之上。

對控制的監(jiān)督：對控制的監(jiān)督可以大大提高控制的有效性，也增加了管理層凌駕于內(nèi)部控制之上的難度。我們要了解企業(yè)是否定期評價內(nèi)部控制？是否設(shè)置了內(nèi)部審計等職能部門？對重要的控制點是否設(shè)置了相應的監(jiān)督程序，比如是否有人復核會計憑證和財務報表？一旦，存在對控制的監(jiān)督行為，那也就意味著除了業(yè)務執(zhí)行人員外還要其他人員了解這個業(yè)務，管理層要凌駕于內(nèi)部控制之上做出一些舞弊行為也就有更多的人知悉這個事情，增加了其難度。

無論對管理層凌駕于內(nèi)部控制之上的風險的評估結(jié)果如何，我們都應當執(zhí)行以下3條審計程序，這是國際審計準則和中國審計準則的硬性規(guī)定。

1.測試日常會計核算中做出的會計分錄以及編制財務報表過程中做出的其他調(diào)整是否恰當？

這是一條非常有效也非常有意思的程序，但如何選擇測試的樣本相當重要。下列樣本選取方法是一些項目的經(jīng)驗：

（1）對編制財務報表過程中做出的所有會計分錄進行檢查?，F(xiàn)在大多數(shù)企業(yè)都實現(xiàn)了會計電算化，一般情況下都是軟件自動生產(chǎn)報表，但是企業(yè)可能在總賬中做一些調(diào)整。我們需要對這些調(diào)整進行全面的檢查。

（2）對期末做出的所有會計分錄進行檢查。比如在中國所有企業(yè)的財務報表日都是12月31日，那我們可以對公司12月全月的會計分錄進行檢查甚至更靠前的月份。

（3）對報表期間所有紅字沖銷的會計分錄進行檢查。

（4）其他方法。除了上述方法外，還有一些做法，跟大家分享。

a.我們在2011年審計某個公司了解到，該公司財務部門一般加班時間不超過10點，那我們認為在晚上10點之后做的會計分錄需要重點檢查，所以我們在系統(tǒng)中選取了他2011年全年在晚上10點之后做的所有會計分錄進行了檢查，發(fā)現(xiàn)一些異常的事項。

b.某些企業(yè)除了在月底結(jié)賬比較忙外，其他法定節(jié)假日是不加班的，那我們可以選擇這個企業(yè)全年在節(jié)假日做的所有的會計分錄進行檢查。

c.會計一般只是在財務室登陸系統(tǒng)做賬，IP地址相對固定，我們曾經(jīng)發(fā)現(xiàn)一個企業(yè)的會計經(jīng)常在財務室以外的另外一個IP地址登陸系統(tǒng)做賬，后來我們調(diào)查了這些憑證，發(fā)現(xiàn)基本都存在錯報。

d.一些企業(yè)的會計在做假賬時，有一些數(shù)字上的偏好，比如有的會計喜歡10,000 的整數(shù)倍，有的人喜歡小數(shù)點末位是9或者1的數(shù)字，我們曾經(jīng)一個客戶的舞弊的會計分錄80%是以9結(jié)尾的，呵呵，這個比較有意思。

樣本選擇出來了，如何檢查，也非常重要，這項工作我覺得一般情況下應該由項目中經(jīng)驗比較豐富的員工來執(zhí)行。首先我覺得應該對這些分錄進行大致的瀏覽，看看是否有明顯異常的情況，比如與企業(yè)無關(guān)的業(yè)務活動或者與管理層描述不一致的情況等。然后，我們再檢查這些會計分錄的原始單據(jù)等是否異常。

當然，這項工作非常耗費時間，選取多少樣本進行測試，也取決于我們評估的風險，如果風險比較大，可能我們的樣本量會很大，反之，我們的樣本量比較小。

2.復核會計估計是否存在偏向，并評價產(chǎn)生這種偏向的環(huán)境是否表明存在由于舞弊導致的重大錯報風險。

有些情況下管理層可能不恰當?shù)馗淖儠嫻烙嫞⑴ο驅(qū)徲嫀熣f明，他們這種改變是合理的而且反復強調(diào)他們只是會計估計變更，這種情況下我們一定要警惕。比如某建筑安裝企業(yè)，2010年按照累計實際發(fā)生的合同成本占合同預計總成本的比例確定合同完工進度，2011年由于受國家房地產(chǎn)調(diào)控政策的影響，收入大幅度下降，公司為此大幅度調(diào)低了合同預計總成本從而增加了施工進度。

3.對于超出被審計單位正常經(jīng)營過程中的交易，或基于對被審計單位機器環(huán)境的了解以及在審計過程中獲取的其他信息而顯得異常的重大交易，評價其商業(yè)理由。

這條很重要，我們在審計過程中一定要多想想某項交易尤其是那些復雜或者異常交易的商業(yè)理由，是不是合理的？不要只是關(guān)注賬務本身處理是否正確。

比如，某企業(yè)的主要經(jīng)營活動在廣州，但公司90%的銀行存款卻存放于成都某商業(yè)銀行，這明顯不符合常理，在廣州做生意為什么把錢放在成都呢？

一個企業(yè)，在做一個生產(chǎn)線的技改，2011年簽訂了一個固定資產(chǎn)購買合同1000萬，2011年按照合同約定預付了10%的貨款，但是我們發(fā)現(xiàn)這個固定資產(chǎn)本身與技改并沒有任何關(guān)系，后來證實這是一個虛假合同。

另外，要特別注意關(guān)聯(lián)交易，尤其是存在大量的資金交易的時候，我們一定要了解交易的實質(zhì)必要時對資金往來進行檢查。

上面的程序只是準則的基本要求，實際中每個項目可以除了這些基本要求，還有許多優(yōu)秀和值得借鑒的做法，我只是拋磚引玉而已。