尽管2010年新修订的《中国CPA执业准则》(下称“准则”)注重了对准则所涉及概念给出相应的定义,但对“财务报表层次”与“认定层次”、“整体层面”与“业务流程层面”这两对概念均未给出定义。
事实上,在《中国CPA执业准则应用指南2010》、2012年新修订的《财务报表审计工作底稿编制指南》、2013年新修订的《小型企业财务报表审计工作底稿编制指南》(以下分别简称“应用指南”和“底稿编制指南”)对这两对概念的运用都非常广泛,但也均未对这4个概念的定义及使用做出解释或说明。因此,不少正准备参加注册会计师(CPA)从业资格考试的考生,以及在会计师事务所执业的CPA对这两对概念的理解和运用一直存在一些困惑。为此,本文专题谈一谈对这两对概念的理解、区别与联系。
财务报表层次和认定层次
准则第1211号第二十八条规定:“CPA应当在下列两个层次识别和评估重大错报风险,为设计和实施进一步审计程序提供基础:(一)财务报表层次;(二)各类交易、账户余额和披露的认定层次。”从该条规定可知,准则将企业的财务报告分为财务报表层次和认定层次两个层次,且只要识别和评估重大错报风险,就必须从这两个层次分别展开。由此可见,这两个概念非常重要。
但是,准则及其应用指南并未对这两个概念给出定义或解释,因此CPA只能在底稿编制指南中看到这两个概念的具体运用。在准则中唯一能看到的相关内容是第1211号准则第三条对“认定”给出的定义:“认定,是指管理层在财务报表中作出的明确或隐含的表达,CPA将其用于考虑可能发生的不同类型的潜在错报。”那么,认定与认定层次又是什么关系呢?纵观准则、应用指南及底稿编制指南对认定和认定层次这两个概念的具体运用可以看出,如果认定是对“管理层在财务报表中做出的明确或隐含的表达”,那么认定层次则是对“管理层在财务报表中做出的明确或隐含的表达”具体体现的集合,即全部认定组成了认定层次。
再从第1211号准则第二十八条第(二)项所表述的:“各类交易、账户余额和披露的认定层次”可以看出,认定层次由“各类交易、账户余额和披露”组成,即各类交易、账户余额和披露都属于认识层次。
所以,不管是各类交易、账户余额还是披露哪方面存在问题,如果该问题仅是影响到少数交易、账户余额或披露,且影响程度不大、问题不严重,即使相关问题潜在的错报为重大错报风险,都仅属于影响认定层次的重大错报风险。
但是,当存在的问题影响到多个账户,具有广泛性影响,或虽未影响到多个账户,但影响具有严重性,如金额巨大,且影响到会计报表的公允性、合法性时,则上升为财务报表层次的重大错报风险。
事实上,对于财务报表层次和认定层次分别存在的重大错报风险,不仅其严重程度和影响程度不同,而且对其进行分析和判断的标准和方式方法也不同。
因此,财务报表层次和认定层次这两个概念之间的区别与联系归纳如下:
一是财务报表层次和认定层次属于重大错报风险可能存在的两个层面。当重大错报风险仅是影响少数认定,则属于认定层次的重大错报风险;当影响多项认定,即影响广泛而重大时,则属于财务报表层次的重大错报风险。
二是在一般情况下,财务报表层次和认定层次都与重大错报风险密切相关,只要识别和评估重大错报风险,就必须从这两个层次进行。
整体层面和业务流程层面
由于底稿编制指南中这两个概念使用的频率非常高,特别是对内部控制的了解、评价及测试均是分别从这两个层面展开。
因此,如果没有弄清楚这两个概念的含义及概念之间的区别与联系,将很难做好对内部控制的了解、评价及测试。
从底稿编制指南对这两个概念的具体运用可以看出,之所以要分别从整体层面和业务流程层面了解、评价和测试内部控制,不仅是因为整体层面和业务流程层面存在内部控制缺陷的原因、性质和影响不同,而且对重大错报风险的严重程度、影响及进行分析和判断的方式方法也不同。
一方面,整体层面的内部控制在企业管理的较高层面存在并运行,对各业务流程层面的内部控制起着统领、约束和影响作用。但整体层面的内部控制缺陷往往源于内部薄弱的控制环境、企业对自身的风险评估过程、与财务报告相关的信息系统与沟通以及对控制的监督等企业管理的较高层面。
所以,这些方面一旦存在缺陷,其影响往往较为广泛、重大,且很容易造成财务报表层次的重大错报风险。因此,CPA不仅需要专门从整体层面了解和评价内部控制,还需要综合运用询问、观察和检查等审计程序,以对被审计单位整体层面的内部控制要素有一个总体的了解和评价。
事实上,如果被审计单位整体层面的内部控制一旦存在重大缺陷,不仅会影响到多个重要业务流程层面内部控制的有效性,而且很可能造成影响更为广泛的重大错报风险。
另一方面,对业务流程层面内部控制进行了解和评价时应分别从划分的业务流程入手,同时需考虑并实施5个方面的工作:一是需要确定被审计单位有哪些重要的业务流程;二是确定各重要业务流程可能发生错报的环节;三是了解和评价各业务流程所涉及到的相关内部控制;四是通过执行穿行测试以证实对业务流程层面内部控制的了解、识别和评价,特别是是否得到执行的评价;五是根据对内部控制了解的情况进行初步的风险评估。要做好这些工作,则需要综合运用询问、观察、检查和穿行测试等审计程序。
比如了解和评价销售与收款流程时,需考虑整个流程应该有哪些控制环节?这些环节已经或应该设置哪些控制目标和控制活动?受该控制目标影响的相关交易、账户余额及其认定是哪些?控制活动对实现控制目标是否有效?如果控制存在重大缺陷,是否会产生重大错报风险?CPA应该如何应对这些重大错报风险?这些考虑实际上也是对销售与收款流程内部控制进行了解和评价的总体思路。但必须注意的是,要全面了解和评价各业务流程层面的内部控制缺陷,还必须对被审计单位所有的业务流程进行全面的了解和评价。
因此,整体层面的内部控制好比上梁,业务流程层面的内部控制好比下梁,上梁不正,下梁自然不正。所以,当整体层面的内部控制不好,如控制环境不好,在这种情况下,即使在业务流程层面设计了最佳的内部控制方案,也很容易因管理层凌驾于内部控制之上的不良控制环境而被破坏,从而很可能造成业务流程层面的内部控制失效。
此外,整体层面内部控制和业务流程层面内部控制缺陷造成的影响和程度不同。如果企业整体层面的内部控制有缺陷,将很可能影响多项认定,且很容易形成重大错报风险;而业务流程层面的内部控制有缺陷,只会影响少量、具体的某些认定,影响程度往往也不是很大。
两对概念之间的区别与联系
为说明上述两对概念之间的区别与联系,笔者先介绍一案例:
案例介绍:
一审计项目组至甲公司审计,通过对甲公司及其环境的了解,发现如下问题:甲公司治理层与管理层职责不清,大股东代替了管理层,监事会形同虚设,公司内部管理混乱,领导凌驾于内部控制之上,工作职责不清,且有活没人干、有人不干活。
再深入对甲公司业务流程层面的内部控制了解后发现4个具体问题:1.甲公司对仓库的最近两次存货盘点均短少了4万多元的原材料,未能查明原因且职责不清;2.二是一采购员要求报销3千多元的费用领导不批,双方各执己见;3.因采购的一批价值50多万元的原材料达不到质检标准,将严重影响相关批次产品的质量;4.公司与多个业务往来单位的往来账核对不一致。
案例分析:
从公司整体层面内部控制发现的上述问题可以看出,这些内控缺陷很可能影响到多个方面,且影响可能广泛而重大。
一旦形成重大错报风险,则基本上属于财务报表层次的风险,即整体层面内部控制的缺陷往往会造成财务报表层次的重大错报风险。
反过来,财务报表层次的重大错报风险也往往由整体层面的内部控制缺陷引起。
由此可见,整体层面与财务报表层次之间存在着对应和内在联系,两者实际上属于同一个层面或层次的概念,只是描述内部控制相关内容时使用整体层面,描述重大错报风险相关内容时,使用财务报表层次。
从在业务流程层面发现的问题可以看出,这些问题基本上都可以定性或定量。问题的影响范围较小,金额不大,问题的性质也不是很严重,仅是影响个别或少数认定项目,即使形成重大错报风险,也基本上属于认定层次,即业务流程层面内部控制的缺陷往往仅是形成认定层次的重大错报风险。
反过来,认定层次的重大错报风险也往往由业务流程的内部控制缺陷引起。事实上,由于每一认定层次的重大错报风险都可以归结到相关的业务流程,而每一业务流程的内部控制缺陷都会影响到认定层次相关的交易、账户余额及其认定。
因此,我们完全可以这样认为,业务流程层面是将认定层次按照业务流程重新归集的层面,而认定层次又是将业务流程层面按照交易、账户余额及其认定重新划分的层次。
由此可见,业务流程层面与认定层次之间存在着对应和内在联系,两者实际上属于同一个层面或层次,只是划分的标准不同,描述内部控制相关内容时使用业务流程层面,描述重大错报风险相关内容时,使用认定层次。