[摘 要]审计现场管理与控制是审计质量控制体系中一个非常重要的子系统。本文试图借助 企业 内部控制的相关 理论 来构筑一个审计现场管理与控制的基本框架,这个框架主要包括审计现场管理与控制的目标、 内容 以及评估机制。
[关键词]审计现场;管理;控制;风险评估
从系统论的角度看,审计质量控制应该是一个由各项控制机制组成的完整的质量控制体系,它涵盖审计的全过程,其核心就是对提供合格审计产品的过程进行控制。其中,审计现场的组织管理与控制是一个非常重要的子系统,管理者或组织者对审计现场的驾驭不仅体现管理水平,而且是优质审计项目的保障。
一、审计现场管理与控制的目标
审计现场的组织管理与控制是审计机关为实现规范审计现场作业、提高现场审计效率、防范审计风险、保障审计质量的目的而形成的一项内部控制措施。因此,我们可以借鉴企业内部控制的一些基本原理作为审计现场管理与控制的基本思路。
同样地,我们在 研究 审计现场管理与控制的时候,也首先需要确定控制目标。因为没有目标,管理就失去方向,控制也无从下手。虽然管理和控制两者是有区别的,但在最终的目标上它们是趋向一致的。参照COSO对企业内部控制目标确定的方式,我们认为,对审计现场作业的管理与控制可以设定以下三项目标:一是审计作业的效果和效率,二是审计结果的可靠性,三是审计过程的合法和合规性。
(一)审计作业的效果和效率
虽然国家审计机关并不像 社会 审计那么注重 经济 效益,但是效果和效率仍然应该是首要的管理与控制的目标。这个目标不仅应当体现在审计工作的总体指导思想上,而且在审计现场的管理与控制中显得更为突出。
在日常审计中,人们常常会以查出违规 问题 的多少来衡量效果的好坏,以审计时间的长短来衡量效率的高低。然而这样的理解是片面的。
固然,违规问题的查出是审计效果的一个方面,但作为现场审计管理与控制的目标则主要关注是否有效降低了审计风险,并且把审计风险控制在可以接受的水平。查出违规问题的多少并不取决于控制本身。
审计风险的控制不能单从被审计单位的状况出发,因为现实中,来自审计部门内部的控制缺失(如审计现场的复核形同虚设)或失效(如审计人员不按规定程序操作)也可能导致审计风险的产生。因此,审计现场管理与控制的首要任务是防止来自审计部门内部的审计风险, 控制的效果体现在这种来自内部的风险降到了最低。
人们通常认为,效率高的表现是节省时间,而效率低往往表现为拖延时间,从而人们把注意力集中在如何安排和利用时间上。但是如果我们深入地去考察一个效率很高的审计项目,就会发现,时间的运用只是提高效率的一个方面。审计现场有效的组织协调、明确的任务分工、 科学 的规划、团队中审计人员的良好协作、畅通的信息反馈与沟通、审计组长正确的战略决策等都可能成为提高现场审计效率的重要因素。站在管理者的角度,就更会感到审计效率的提高绝非仅仅是节约审计时间所能包容的。
(二)审计结果的可靠性
作为审计过程结束时的最终产品,审计报告的可靠性可能是审计部门领导或外界决策者最为关注的。而体现在审计报告中的审计结果主要来源于审计人员的现场作业。审计现场控制的目标瞄准的是审计的直接产品———审计结果,而不是经过整理加工的最终产品———审计报告。
审计结果的可靠性也就是审计结果的可信赖程度,这并不是要求它绝对的准确无误,因为 现代 审计存在着必然的风险,这已为公众接受。我们所指的可靠性是要求形成审计结果的过程是可靠的,也就是说,审计人员是遵照审计实施方案确定的内容,按照法定或者行业内规定的步骤实施审计,并在此基础上形成审计结果。从控制的角度,这就要求审计人员现场作业形成的记录和证据能有效地证明审计查证过程是遵循了审计作业规范和职业道德的。
当然审计结果的可靠性并不仅仅依赖于审计人员单方面作业的自觉性,这种可靠性的保障来源于审计组织内部有机牵制而形成的控制机制。信息沟通出现障碍、外界因素干扰正常审计、组长或指定人员的现场复核不深入、审计人员现场作业缺乏监督等都 影响 着审计结果的可靠性。从管理与控制的角度,建立有效机制可能比强调审计人员遵守职业道德更为重要,而且这个控制机制应该是相对完善的,在现场审计控制具有严重缺陷的情况下,审计结果的可靠性是比较低的。
(三)审计过程的合法和合规性
合法、合规的作业流程是提供合格审计产品的基本前提,它贯穿在审计的各个阶段当中。在审计现场,作业程序的合法、合规同样是十分重要的。这首先表现在审计取证的程序必须符合 法律 规定,未经合法程序取得的证据是无效的,在此基础上形成的审计产品,其质量也不可能是合格的;其次它还要求对某个具体审计事项的审计程序的设计和实施是合乎规则的,从而能保证对这个事项的审查是遵守了作业规范并能有效降低审计风险、减少审计责任。
我们在现实中不难看到,一些审计人员缺乏应有职业谨慎,不按法定或规定的程序实施审计(当然这里面也不排除有些政府交办的突击性任务存在时间上的限制),现场操作比较随意,一些关键的审计步骤缺失、遗漏,由此不仅影响了审计质量,也给审计人员自身带来了难以解脱的责任。从审计现场管理与控制的角度,督促审计人员按照合法、合规的程序实施审计,保留下足以证明审计现场作业合法、合规的轨迹,并对特殊情况下确需改变审计程序的情况留下应有的记录,这不仅是降低审计内部控制风险的需要,也是保护审计人员解脱其责任的需要。
当然,审计的合法、合规性还包括其他方面的要求,但就审计现场来讲,程序的合法、合规是第一位的。
二、审计现场管理与控制的内容
管理与控制是为了达到目的的一个过程,但它本身不是目的。管理与控制是为实现目标服务的,因此,针对审计现场设置有效的管理和控制必须围绕目标(即作业的效果和效率、结果的可靠性、作业的合法合规性)并且要有针对性。
(一)审计现场管理的内容
审计现场管理侧重于现场组织、资源分配、信息沟通、进度掌控等过程的管理与控制。它的作用在于通过对审计资源的组织协调,使现场审计按既定方案确定的目标和步骤实施,并对例外情况和突发事件进行妥善处理,保证审计项目按预计的进度顺利完成。
1.资源的配置
现场审计中可供分配的资源大致可以分为两类,一类是审计资源,在这里主要指审计组可供支配的人力资源;另一类是受审资源,即被审计单位可供审计的财务资源。资源配置强调的是它的合理性。合理安排资源就是要根据总体审计目标,把所有审计事项进行合理的分解组合,充分考虑审计组每个成员的特长,分配其适当的审计任务。
在分解组合审计事项的时候,要充分考虑事项之间的相关性以及是否存在相互佐证的关系,如销售与应收账款的审查就应该尽可能地结合。另外,被审计单位账簿设置状况也可能使有些事项的审查不便分隔。
在实践当中,资源配置这个环节会被提前到审计实施方案制定的过程中,但其本质上是属于审计现场管理的一个组成部分,况且在现场审计中根据新出现的情况,需要对资源配置进行必要的调整。
2.信息和沟通
在审计现场,审计人员的作业是相对独立的,他们各自按照方案确定的分工进行审计。但是,他们各自的审计又有机结合在一起,构成一个统一的整体。某个审计人员发现的线索对于另外一个审计人员的工作也许会是至关重要的。有些事项的审查本身就是需要相关事项的审查结果进行印证的。这就要求在审计现场有一个信息交流系统,并且有一个组织者来确保这些有用的信息得到沟通。信息的沟通并不仅仅局限于审计人员之间,有时它也可能是组长与成员之间的。
在实践中,有些地方已经取得了很好的经验。他们在审计现场由审计组长定期召集审计人员汇报情况、整理线索,提出下一步审查的重点,以及需要相关人员配合提供的数据和情况。当然除此之外,建立审计人员之间良好的协作关系也非常重要,这种良好的关系可以使审计人员之间主动地交流信息,这对于规模小或是时间要求比较紧的审计项目尤为重要。
3.例外情况和突发事件的处理
审计现场管理很大程度上依赖于审前调查以及审计实施方案的制定。审计署下发的《审计机关审计项目质量控制办法(试行)》要求进行充分的审前调查,并且编制内容详尽、步骤明确的审计实施方案,这对实施有效的审计现场管理提供了条件。但是无论多么充分的审前调查,无论多么详细的审计方案,审计现场实施中仍然会有未能预见的情况发生。
当这些例外情况和突发事件发生时,首先需要判断它的严重程度,如果其严重程度不足以影响审计目标和整体推进,那么可以通过扩大审计范围、追加必要的程序等方式解决;如果其严重程度已使审计目标无法实现,则需要确定现场审计是终止还是继续,若是继续,审计实施方案如何调整。在这个过程中,组长的战略决策起着关键性的作用。
4.进度的掌控
虽然整个审计过程的时间安排在审计实施方案中已经预先确定,但是预先的安排毕竟是粗略的。在现场审计中,组长的一个重要职责是要统筹安排各审计事项的具体进度表,并对可能追加的程序留出必要的时间,以使现场审计在整体上服从项目的总体安排。
整体进度的掌控受制于各单个审计事项的进度。因此,组长在分派任务时,对各个具体审计事项的难易程度、复杂程度要心中有底,这决定着它所需要的人力和时间。任务分配是否合理对现场审计进度具有重要影响。有些具体审计事项存在相互关联,在进度安排上也要尽可能做到同步,平行推进,以便相互印证。
当然进度有时与深度存在着矛盾,时间有了限制,深度可能就会打折扣。在一般情况下,进度应该服从深度的需要,但是我们反对借故拖沓。有效的办法是在现场对审计人员的工作进行监督。在这方面,审计署创制的审计日记制度是一种探索。
有的审计项目由于某种特殊需要有硬性的时间要求,可能使审计不能达到足够的深度,这需要审计组长及审计人员掌握在审查过程中求取进度和深度平衡的技巧。
(二)审计现场控制的内容
为了实现审计现场控制的目标,审计部门应当在培育一种积极的审计内部控制环境的基础上,识别、衡量审计现场作业中所涉及的各种突出风险点,然后针对这些风险点设置各种控制机制,并不断地对这个过程的适当性和有效性进行评估。
现场审计很大程度上依赖于审计实施方案,因此对于现场审计的控制也是建立在假设审计实施方案可依赖的基础上的。考察现场审计的整个过程,我们认为,以下风险点应当在现场审计中予以重点关注并建立适当的控制机制。
1.方案中列出的审计事项是否已经过审计
审计事项尤其是重要事项的缺漏会导致较大的隐忧,进而对审计结果的可靠性产生根本的影响。对这个风险点的控制可由以下控制点组成:所有审计事项都明确落实到具体的审计人员;被审计单位按要求提供所有审计事项所涉及的资料;所有事项的审查都有审计工作底稿、审计日记;审计工作底稿、审计日记在现场经过复核。
2.重要审计事项是否按方案确定的步骤实施审查
某个关键步骤的遗漏可能会使审计结果产生偏差,有时甚至会得出相反的结论。对这个风险点的控制可由以下控制点组成:重要审计事项的审计步骤在方案中得到明确;每一个步骤都有相应的记录佐证;相应的记录在现场经过复核。
3.例外情况和突发事件是否已追加了相应程序
例外情况和突发事件由于在审计过程中发现或发生,往往比预先确定的重要事项更重要。对这个风险点的控制可由以下控制点组成:例外情况和突发事件发现或发生时及时向组长汇报;组长及时调整审计方案提出应变措施、制订了追加或替代审计步骤;调整的方案经过审计业务部门负责人的批准;追加的步骤得到实施并有相关记录佐证。
4.现场审计采用的 方法 是否适当
选用合适的审计方法不仅有助于提高审计效率,还有助于 问题 的查清。但是,确定某个具体事项所需要的审计方法往往依赖于审计人员的职业判断,因此往往难以通过控制手段来实施控制。但是下列指导性控制原则有助于降低这个风险点的风险:审计方法的选用要符合重要性原则;选用方法的过程中体现了应有的职业谨慎;选用的方法是普遍运用的审计技术方法;方法的选用是集体 研究 或是经过组长批准。
5.证明性材料是否按规定取得
不合规的证明材料即便说明的是一些事实,但在 法律 上的证明力也是不强的,有时甚至是无效的。对这个风险点的控制由以下控制点组成:证明材料的取得没有通过不当手段或非法渠道获得;证明材料中的结果(如通过 计算 形成的结论)有形成过程作支撑;证明材料取得被审计单位和经办人签字,或者,未得到签字的证明材料有相应说明;证明材料在现场经过审核。
6.形成的审计结论是否都有充分证据支持
审计结论必须依据事实说话,没有证据的审计结论是不能成立的。对这个风险点的控制由以下控制点组成:所有最终形成的审计结论都有相应的证据支持;支持审计结论的证据具有充分的证明力;所有证据都源自未经篡改的现场原始记录;支持审计结论的证据有被审单位签字认可;所有证据在汇总形成工作底稿的过程中经过复核。
7.现场审计形成的材料是否都能保持其原始状态
审计人员如果在事后篡改审计日记或现场记录,往往会使现场控制失效。对这个风险点的控制由以下控制点组成:审计日记在现场形成并及时提交组长保存;审计日记在现场经组长审核;审计证明材料在现场形成;审计证明材料在现场经过复核;材料被修改保留有清晰的轨迹;审计日记、审计工作底稿与审计证明材料之间相互印证。
8.现场复核是否发挥了应有的作用
复核作为一种控制手段,它渗透在对有关风险点的控制中,同时,复核作为现场审计一个重要环节,本身也是控制的对象。对这个风险点的控制由以下控制点组成:复核是由被复核事项具体经办人员之外的其他人员担任;所有需要复核的环节都经过复核;需要在现场才能核实的审计业务是在审计现场进行的复核;复核意见是具体的;复核意见在现场及时反馈给了审计人员;复核意见得到落实。
9.现场信息沟通是否畅通
审计组成员之间缺乏交流,往往会使重要的信息流失。对这个风险点的控制由以下控制点组成:组长及时听取成员的汇报;成员个体的审计信息能够及时传达给其他成员;成员之间建立有良好的协作关系;组长对现场审计发现的情况能够及时作出正确判断和决策;审计机关的分管领导能及时掌握现场审计的情况。
10.审计环境是否 影响 了审计本身
现场审计所称的环境是狭义的,仅指在被审计单位实施现场审计时面临的各种因素,这些因素可能会使现场审计的结果发生变化。对这个风险点的控制由以下控制点组成:现场审计的环境是相对封闭的;被审计单位能够配合审计;现场审计发生的各类审计费用由审计机关承担;审计人员没有参加被审计单位的宴请或其他可能影响审计的活动;审计人员与被审计单位不存在利益关系;审计人员与被审计单位管理层不存在回避关系。
三、审计现场管理与控制的评估
为检测审计现场管理与控制是否达到预期的效果,需要建立一个评估机制,反馈管理与控制中是否存在问题,以评估审计现场作业的风险,确认审计结果的可靠程度。评估审计现场管理与控制实质上就是评估现场审计质量。评估的 内容 包括现场管理是否保障了审计项目的顺利进行,现场控制的各个控制环节是否存在且有效。评估的重点是后者,即对于控制的评估,因为从防范风险的角度,控制比管理显得更为重要。
我们设想,通过一个专门的评估机构,如审计机关的法制部门来实施此项工作。审计部门要制订一套完善的评估标准,对现场审计各个控制环节是否切实起到了作用进行评估。
表1 审计现场管理与控制评估
风 险 项 目 标准风险值 评估风险值 评估结果 1.方案中列出的审计事项是否已经过审计
(1)审计事项明确落实到具体的审计人员
(2)被审计单位按要求提供了审计事项涉及资料
(3)审计事项有审计工作底稿、审计日记佐证
(4)审计工作底稿、审计日记在现场经过复核 10
2.重要审计事项是否按方案确定的步骤实施审查
(1)重要审计事项的审计步骤在方案中得到明确
(2)每一个步骤都有相应的记录佐证
(3)相应的记录在现场经过复核 10
3.例外情况和突发事件是否追加了相应程序
(1)例外情况和突发事件及时向组长汇报
(2)组长及时调整审计方案
(3)调整的方案经过审计业务部门负责人的批准
(4)追加的步骤得到实施并有相关记录佐证 10
4.现场审计采用的方法是否适当
(1)审计方法的选用符合重要性原则
(2)选用方法的过程体现了应有的职业谨慎
(3)选用的方法是普遍运用的审计技术方法
(4)方法的选用是集体研究或是经过组长批准 8
5.证明性材料是否按规定取得
(1)证明材料的取得没有通过不当手段或非法渠道
(2)证明材料中的结果有形成过程作支撑
(3)证明材料取得被审计单位和经办人签字,或者,未得到签字的证明材料有相应说明
(4)证明材料在现场经过审核 10
6.形成的审计结论是否都有充分证据支持
(1)所有最终形成的审计结论都有相应的证据支持
(2)支持审计结论的证据具有充分的证明力
(3)所有证据都源自未经篡改的现场原始记录
(4)支持审计结论的证据有被审单位签字认可
(5)证据在汇总形成工作底稿的过程中经过复核 10
7.现场审计形成的材料是否都能保持其原始状态
(1)审计日记在现场形成并及时提交组长保存
(2)审计日记在现场经组长审核
(3)审计证明材料在现场形成
(4)审计证明材料在现场经过复核
(5)材料被修改保留有清晰的轨迹
(6)审计日记、审计工作底稿与审计证明材料之间相互印证 8
8.现场复核是否发挥了应有的作用
(1)复核是由被复核事项经办人员之外其他人员担任
(2)所有需要复核的环节都经过复核
(3)需要在现场才能核实的审计业务是在审计现场进行的复核
(4)复核意见是具体的
(5)复核意见在现场及时反馈给了审计人员
(6)复核意见得到落实 12
9.现场信息沟通是否畅通
(1)组长及时听取成员的汇报
(2)成员个体的审计信息能够及时传达给其他成员
(3)成员之间有良好的协作关系
(4)组长对现场审计发现的情况能够及时作出正确判断和决策
(5)审计机关的分管领导能及时掌握现场审计的情况 10
10.审计环境是否影响了审计本身
(1)现场审计的环境是相对封闭的
(2)被审计单位能够配合审计
(3)现场审计发生的各类审计费用由审计机关承担
(4)审计人员没有参加被审计单位的宴请或其他可能影响审计的活动
(5)审计人员与被审计单位不存在利益关系
(6)审计人员与被审计单位管理层不存在应回避的关系 12
如果评估结果是高风险的,则需要审计组针对控制失效的环节,补充必要的资料或补上必要的程序,直至重新进点审计;如果是中等风险的,则需要进行具体的判断,把足以影响审计结果的风险因素挑拣出来,补充有关手续;如果是低风险的,则可以认为审计结果是基本可靠的,审计机关总体上可以接受所存在的风险。当然,风险值较高的风险点无论什么情况下都是必须高度关注并作出具体 分析 判断的。
在评估过程中,控制本身固有的限制是必须充分考虑的。根据有关 企业 内部控制的 理论 ,内部控制存在固有限制。对于审计现场作业的控制也不例外,不同的只是这种固有限制多一些审计行为本身的特点。如审计作业过程中很多环节依赖审计人员进行职业判断,这种判断过程中形成的失误,控制系统也许无法有效发挥作用。
值得特别指出的是,为有效防范风险,评估不应像有些检查考评工作一样在年底集中进行,而应在现场审计结束时立刻进行,甚至在现场审计时就要着手准备,具体操作上可结合法制部门的专职复核工作进行。由此建立的评估制度才是有益于审计报告的最终形成,并服从于审计项目质量控制的总体要求的。
[ 参考 文献 ]
[2]管劲松,张庆,肖典鳌。审计风险管理[M].北京:对外经济贸易大学出版社,2003.
[3]刘英来。关于审计质量控制的思考[J].审计研究,2003,
(4)。