一、符合性測試的定義辨析
CPA審計中對“符合性測試”的定義是指:為了確定內部控制的設計和執行是否有效而實施的審計程式。從定義上來看,符合性測試是從設計和執行兩個角度對內部控制進行測試和評價,其目的是評價被審計單位內部控制的可依賴性,從而較科學地確定被審計單位的總體風險和各項業務的風險,並根據風險程度合理安排審計資源,把審計風險控制在可接受的範圍之內,從而提高審計質量,在此基礎上的實質性測試才能做到有的放矢。第一階段,調查瞭解內部控制制度。記錄的方法通常有三種:問卷調查表、文字表述和流程圖。第二階段,進行穿行測試。以一套樣本為準,按業務流程進行梳理,找出風險點並確定關鍵控制點。第三階段,評價內控制度設計的有效性。將被審計單位現有內控制度與標杆進行比較,從內控設計方面找出被審計單位內部控制的不足及其影響。評價主要集中在內部控制的健全性、完善性及有效性等方面。如果審計師認為內部控制不夠可靠,則無須識別內控執行情況,直接進入重要實質性測試階段,而且實測階段審計範圍須全覆蓋,抽樣數量應定為較高比例;如果審計師認為內部控制可以信賴或部分值得信賴,可進入符合性測試的第四階段。第四階段,對內控制度的執行情況進行檢查。該階段的檢查方法主要是交易測試和機能測試(交易測試:是指對某一交易事項的整個流程或整個程式所採取的一切控制措施進行審查,其目標在於查明內部控制系統中的資訊流向、資訊流經的控制環節是否在發揮控制功能,其效能如何)。交易測試著眼點在某一筆交易的完整流程,機能測試則重在某一風險點是否存在隱患。第五階段,評價內部控制執行水平。這一階段既是對第四階段檢查情況的評價,又是符合性測試承接實質性測試的關鍵環節,其測試結果讓審計師對業務風險點有更深入的瞭解,直接影響接下來實測的性質、範圍和抽樣。如果審計師認為內控執行情況已超出可容忍程度,實測則將提高審計級別、擴大範圍和增加樣本量;如果審計師認為內控執行情況在可接受範圍之內,實測則將有重點地分配資源,在一定的範圍內進行有限抽樣。雖然理論界和實務界對是否將“內控設計測試”(即第一至三階段)歸為符合性測試尚有爭論,但本文認為,內控設計是符合性測試的起點,也是對內控執行情況判斷的依據,和內控執行很難分開,所以本文對符合性測試的定義採用上述CPA審計的定義。
二、內部審計運用符合性測試的意義
任何內部審計,無論審計物件是業務還是財務,被審計單位的內部控制都是審計工作開展的起點。如上文所述,符合性測試的內容也是內部控制,這為內部審計運用符合性測試提供了可能性。此外,在“風險導向審計,審計關注風險”的現代內審理念之下,僅僅滿足內部控制查出問題是遠遠不夠的,內部審計應該向CPA審計取經,向“符合性測試”的風險導向功能取經。
(一)運用可能性
內部審計師在開展審計時,都會從瞭解被審計單位的內部控制情況開始,通常是確認和評價內控制度是否健全、組織分工是否合理、業務程式是否符合流程要求以及是否有內部核查等方面;而符合性測試始終是圍繞被審計單位的內控制度設計和執行開展。可見,儘管內部審計的內控核查環節和符合性測試在手段、目的`、結果上有很多不一致的地方;但兩者內容上有很多重合點,其審計或測試的物件基本一致,都以發現內控設計和執行的缺陷為目標,這為內部審計在內控核查環節運用符合性測試提供了充分的可能性。
(二)運用必要性
在實際操作中,內部審計往往將內控核查和其他業務核查同時進行,內控核查的目的和審計其他業務一樣,都是發現缺陷指出問題,並不能實現為業務核查指明風險點和控制缺陷,從而合理分配審計資源的目的。這樣做既不符合上述風險導向審計的理念,也可能造成審計資源的浪費。因為內控核查和業務核查同時進行,業務核查沒有對內控情況進行深入瞭解,很容易沒有方向和重點,或者方向和重點存在偏差;於是審計資源將得不到合理的分配,可能過多的人力和時間用在內控原本就值得信賴的業務上;更嚴重的是,如果在內控不可靠的業務上抽樣過少,可能會導致重大業務風險在抽樣中被漏掉,增加了審計風險。即使在內控核查中發現內控缺陷,再調整業務核查方向和重點,不僅浪費了已耗費的審計資源,更是對內部審計師專業性的質疑。所以,內部審計師很有必要借鑑符合性測試的程式和手段,以期實現CPA審計符合性測試的目的,為進一步的業務核查指明方向,真正體現風險導向審計的理念,提高審計質效,降低審計風險。
三、符合性測試在內部審計中的運用
既然運用符合性測試具有可能性和必要性,那麼內部審計師完全可以在內部審計程式中運用符合性測試的方法來提高審計質效。但是,運用不是全盤照搬,而是結合內部審計規定程式和方法手段,借鑑CPA審計符合性測試中風險導向的理念和內控設計執行的評價方法,對目前內部審計中內控核查的流程進行改進。同時,好的借鑑還需要將先進方法與現有內部審計中好的做法相糅合,從而真正實現優化審計程式、提高審計效率的目的。
(一)改進目前內部審計中內控核查的流程
根據第一部分符合性測試的流程介紹,結合目前內部審計中內控核查的流程,筆者認為可做如下改進:
1.做好充分的審前準備,改進目前內部審計“重現場檢查、輕審前準備”的現狀。在大資料的時代,很多備查資料早已數字化和電子化,內部審計師完全可以提前獲得這些備查資料,如:各業務內控制度以及流程圖、崗位設定及崗位風險點、上級單位對被審計單位業務的年度考核資料、國家或上級單位相關制度規定、其他內外部審計或檢查結論、作業系統日誌等等。除此之外,對於內控和業務情況,內部審計師還可以借鑑CPA審計符合性測試的方法,設計調查問卷,根據被審計單位提供的內控制度繪製流程圖。
2.制定有針對性的審計實施方案,改進目前內部審計“審計方案千篇一律”的現狀。在充分的審前準備前提下,參照符合性測試中穿行測試的方法,根據上述調閱的電子化內控制度、內外部檢查結論、上級單位考核結果、操作日誌篩選情況以及調查問卷統計等,查詢被審計單位或業務中風險環節和關鍵控制點,制定重點突出、針對性強的審計實施方案,改進目前內部審計中存在的套用格式方案的做法。
3.從內控設計和執行兩方面著手內控核查,改進目前內部審計“內控核查無從下手”的現狀。借鑑符合性測試的評價角度,可以從內控制度的健全性、內控流程的完善性和內控執行的有效性三方面開展內控核查和評價。其中,健全性主要看內控制度的構成要素是否齊全,完善性主要驗證內控流程的完善程度,有效性主要核查內控制度執行是否實現控制目標。建立在這三方面的內控評價能有效地引導內部審計人員對業務風險點的判斷。
4.根據內控核查結論調整業務核查重點,改進目前內控審計“內控核查和業務核查同時進行”的現狀。這是內部審計運用符合性測試中最需要改進的流程,也是內部審計真正落實風險導向審計理念的流程改進。將原先的內控核查工作前置,在業務核查之前開展內控核查,充分運用內控核查評價結論,定位業務風險點,明確接下來業務核查的重點工作;減少審計抽樣的隨機性,對內控薄弱的環節增加樣本量,對內控有效的環節減少樣本量,合理地分配審計資源,提高審計成效,實現內部審計運用符合性測試程式的目的。在實際審計中,如果將大多數內控核查環節完全安排在現場審計階段,按照上述流程改進,可能會延長現場審計時間,增加審計成本,這與借鑑運用的目的背道而馳。所以,筆者建議,如果被審計單位電子資訊化水平較高,則完全可以將內控核查環節安排在非現場審計階段完成;如果電子化水平不高,則可以採取分批進點的方式,部分內部審計師先行進點開展內控核查,減少審計成本。
(二)靈活運用符合性測試的方法
傳統的內部審計中,內控核查的方法與業務核查幾乎一致,主要是詢問、調閱、監盤、觀察等。符合性測試的方法和手段更豐富一些,除了這些方法外,還有調查問卷、繪製流程圖等傳統內部審計很少運用的方法。
1.調查問卷。上述流程改進中提到,在審前準備階段,可以運用該方法瞭解被審計單位業務的基本情況。不僅如此,根據不同的調查物件設計不同的問卷,可以較全面地瞭解被審計單位內部控制和各類業務的大致情況。
2.流程圖。該方法除了符合性測試經常使用外,內部控制審計中也有運用,這裡可以在其他型別的內部審計中予以借鑑。如果被審計單位對業務環節和崗位設定繪製了業務流程圖,標識了業務風險點和控制措施,一般情況下,是可以給該單位內部控制評價加分的。在被審計單位已經繪製流程圖的情況下,內部審計師可以將流程圖分別與內控制度設計和執行相對照,查詢缺陷;當被審計單位沒有流程圖時,內部審計師可以按照該單位內控制度的文字表述或業務標杆制度繪製流程圖,將其作為內控執行有效性評價的依據。
(三)結合COSO五要素對內部控制進行評價
內控核查評價的三個角度:內控制度健全性、內控流程完善性和內控執行有效性。但是,CPA審計符合性測試主要針對公司或企業的銷售經營業務,而內部審計涉及不同單位各項業務,所以符合性測試在具體測試內容方面可借鑑性不強。本文建議可以參照COSO委員會發布的《內部控制整合框架》和財政部發布的《行政事業單位內部控制規範(試行)》(財會[2012]21號)中內控五要素,對內部控制的設計和執行進行評價。
1.控制環境。該要素是內部控制的基礎,主要包括單位道德行為規範、法人治理結構、組織領導、考核激勵機制、權責分配等。
2.風險評估。該要素是指識別和分析相關風險並確定應對策略,是選擇恰當的控制活動的關鍵。主要包括內控制度、內控流程圖、業務崗位風險點識別、風險等級以及控制措施等。
3.控制活動。該要素是指根據內部控制的目標,按照內部控制的原則要求,基於風險評估,進行的科學、合理、有效的控制活動,是內部控制的重要組成部分。主要包括審批、授權、查證、核對、複核、資產保護等。
4.資訊與溝通。該要素是內部控制機制正常運轉的必要條件,組織應確保有關業務執行和管理活動中與內部控制相關的各類資訊可靠、及時、可獲得,同時保證資訊的溝通渠道順暢。主要包括政務公開、公文流轉、部門聯席會議、新聞發言人制度等。
5.監控。對內部控制進行監控是為了保證內部控制按預期進行,並根據實際情況的變化進行合理的調整,為內部控制有效執行提供保障。主要包括各種內部監督檢查、檢查結果記錄、檢查結果彙報和通報機制、整改和處理機制等。
四、內部審計運用符合性測試的案例
2014年9月,某事業單位內部審計部門對該單位的某項業務開展了專項審計調查,首次將符合性測試的方法運用在內控核查環節:一是做好了充分的審前準備,通過要求被審計單位開展自查、填列相關表格、發放和回收統計調查問卷等審前工作,瞭解該業務的基本情況,並將其評價結果作為制定實施方案的依據。二是內控核查階段運用符合性測試方法,對該單位的控制環境、風險識別、控制活動、資訊與溝通以及監控內控五要素進行了核查評價,對相關控制活動做了流程測試(舉例參見圖2)。三是根據測試結果,評價內控的健全性、完善性和有效性(參見表1)。並相應微調實施方案,進一步明確該業務的內控風險,合理安排審計資源,將審計風險控制在可接受的範圍之內。圖2是內部審計師發現某項業務剛開始收費,尚未建立較完善的內控流程和措施,根據該業務實際做法繪製的流程圖。通過繪製流程圖,發現了該單位某項業務現金收費的內控流程存在設計缺陷。表1是內部審計師將內控五要素按照健全性、完善性和有效性開展評價得出的結論,有效地指導內部審計師開展接下來的業務核查,內審師將在業務核查中重點關注個人查詢收費、系統使用者管理、行政許可等業務。實際上,在接下來的業務核查環節中,內審師快速發現了上述業務存在的問題。可見,符合性測試在內部審計的實際運用,的確起到了風險導向、提高效率、降低審計風險的作用。
參考文獻:
[1]沈惠霞.芻議符合性測試在金融內審中的運用[J].財貿研究,2001,(4).
[2]中國人民銀行贛州市中心支行課題組.符合性測試與實質性測試原理在銀行現場檢查中的運用[J].金融研究,2001,(12).
[3]胡亞敏,陳寶峰.審計符合性測試和實質性測試常見問題分析及建議[J].商業會計,2011,(7).