高新技术企业认定专项审计指引五(了解内部控制)
第五章 了解内部控制
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。了解申报企业与申报明细表相关的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。
一、内部控制要素
内部控制包括下列要素:
(1)控制环境;
(2)风险评估过程;
(3)信息系统与沟通;
(4)控制活动;
(5)对控制的监督。
注册会计师实施专项审计的目的是对申报企业编制的申报明细表发表审计意见,并非对申报企业内部控制的有效性发表意见,注册会计师需要了解和评价的内部控制只是与申报明细表相关的内部控制,并非申报企业所有的内部控制。
与申报明细表相关的内部控制,包括申报企业为实现申报明细表可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施的进一步审计程序有关。
在运用职业判断时,注册会计师应当考虑下列因素:(1)注册会计师确定的重要性水平;(2)申报企业的性质,包括组织结构和所有制性质;(3)申报企业的规模;(4)申报企业经营的多样性和复杂性;(5)法律法规和监管要求;(6)作为内部控制组成部分的系统(包括利用服务机构)的性质和复杂性。
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:(1)询问申报企业的人员;(2)观察特定控制的运用;(3)检查文件和报告;(4)追踪交易在与申报明细表相关的信息系统中的处理过程(穿行测试)。这些程序是风险评估程序在了解申报企业内部控制方面的具体运用。
在了解内部控制时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
(一)控制环境
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了内部控制的基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。
在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入申报企业的业务流程:(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与实务。
在评价控制环境各个要素时,注册会计师应当考虑控制环境各个要素是否得到执行。
在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
控制环境对重大错报风险的评估具有广泛影响。注册会计师在评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。控制环境影响进一步审计程序的性质、时间和范围。虽然令人满意的控制环境并不能绝对防止舞弊的发生,但却有助于降低发生舞弊的风险。
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如,将控制环境与对控制的监督和具体控制活动一并考虑。
(二)风险评估过程
企业在经营活动中会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为企业所控制,但企业管理层应当确定可以承受的风险水平,识别风险并采取相应的应对措施。可能产生风险的事项和情形包括:监管和经营环境的变化、新员工的加入、新信息系统的使用或对原系统进行升级、业务快速发展、新技术运用、新生产型号、产品和业务活动、企业重组、发展海外经营、实施新会计准则等。
风险评估过程的作用是识别、评估和管理影响申报企业实现经营目标的各种风险。
在评价申报企业风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与申报明细表相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果申报企业的风险评估过程符合其具体情况,了解申报企业的风险评估过程和结果有助于注册会计师识别申报明细表的重大错报风险。
(三)信息系统与沟通
信息系统与沟通是收集与交换申报企业执行、管理和控制业务活动所需信息的过程。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠申报明细表的能力。
注册会计师应当从下列方面了解与申报明细表相关的信息系统:(1)在申报企业经营过程中,对申报明细表具有重大影响的各类交易;(2)在信息技术和人工系统中,交易生成、记录、处理和报告的程序;(3)与交易生成、记录、处理和报告相关的会计记录、支持性信息和申报明细表中的特定项目;(4)信息系统如何获取除各类交易之外的对申报明细表具有重大影响的事项和情况的信息;(5)申报企业编制申报明细表的过程。
与申报明细表相关的沟通通常包括使员工了解各自在与申报明细表有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。注册会计师应当了解申报企业内部如何对与申报明细表相关的岗位职责,以及与申报明细表相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及申报企业与外部(包括监管部门)的沟通。
(四)控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。
(五)对控制的监督
管理层的重要职责之一就是建立和维护控制并保证其持续有效运行,对控制的监督可以实现这一目标。监督是由适当的人员在适当、及时的基础上,评估控制的设计和运行情况的过程。
注册会计师应当了解申报企业对控制的持续监督活动和专门的评价活动。通常,申报企业通过持续的监督活动、专门的评价活动或两者相结合,实现对控制的监督。
持续的监督活动通常贯穿于申报企业的日常经营活动与常规管理工作中。例如,管理层在履行其日常管理活动时,取得内部控制持续发挥功能的信息。当业务报告、申报明细表与他们获取的信息有较大差异时,将对重大差异提出疑问,并作出必要的追踪调查和处理。
申报企业可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
申报企业也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下,外部信息(如顾客投诉和监管机构的意见)可能显示内部控制存在的问题和需要改进之处。
用于监督活动的信息大多由申报企业的信息系统产生,这些信息可能会存在错报,从而导致管理层从监督活动中得出错误的结论。因此,注册会计师应当了解与申报企业监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。如果拟利用申报企业监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
二、了解和评价与研究开发费用相关的控制活动和信息系统
这里以研究开发费用常见的业务流程为主线,以示例的形式说明注册会计师如何了解和评价申报企业与研究开发费用相关的控制活动及信息系统。
需要说明的是,申报企业的情况千差万别,本指引不可能涵盖所有的情况。在执行审计业务时,注册会计师应当结合申报企业的实际情况,对具体业务流程作出相应的调整和取舍。
(一)了解业务流程的主要步骤
对申报企业研究和开发费用相关的内部控制的了解,应当从了解研究开发的背景开始,以便于注册会计师更好地理解申报企业的研发控制活动。对研究开发背景的了解可以围绕下列内容展开:(1)申报企业拥有自主知识产权的情况;(2)从事研究开发的主要领域;(3)在研究开发方面的获奖情况;(4)从事研究开发人员的基本情况;(5)研究开发活动使用的材料、燃料、电力情况;(6)研究开发活动使用的固定资产、无形资产情况等。
研究开发费用控制通常属于申报企业费用和成本控制的重要组成部分,在对研究开发费用控制进行了解时,注册会计师需要考虑那些针对研究开发费用完整性、发生、准确性和分类等认定的控制。
研究开发业务流程通常包括下列主要活动:
1.立项和预算管理
(1)项目的申请和批准;
(2)预算的编制和批准。
2.人员管理
(1)研发机构的设立、研发人员的组织和聘用;
(2)工作记录;
(3)绩效考核;
(4)薪酬的计算、支付和记录。
3.设备、材料管理
(1)设备、材料的购置申请;
(2)设备、材料的验收;
(3)设备、材料的领用和记录。
4.委托外部研究开发
(1)委托外部研究开发的申请和审批;
(2)委托外部开发成果的验收;
(3)付款和记录。
5.结项管理
(1)项目的总体评议和成果鉴定;
(2)预算差异分析。
了解控制的程序包括检查申报企业相关控制手册和其他书面指引,询问各部门的相关人员,观察操作流程等。例如,注册会计师可以询问研究开发项目负责人,了解研究开发项目的立项和预算情况;可以询问仓库人员,了解设备、材料管理流程;也可以询问会计人员,了解有关账务处理的流程。注册会计师应当考虑流程在各部门之间如何衔接,如单据的流转和核对,以及各部门人员的职责分工等。
注册会计师可以通过文字叙述、流程图等方式记录上述业务流程。
(二)确定错报可能发生的环节
注册会计师应当结合上述了解的结果,确定申报企业需要在哪些环节设置控制,以防止或发现并纠正交易流程中的错报,即确定错报可能发生的环节。下表列举了研究开发业务流程中错报可能发生的环节,以说明注册会计师如何确定申报企业的控制目标是否得到实现。
“错报可能发生的环节”示例表
| “错报可能发生的环节”示例 | 认定 |
| 1.人工费用 | |
| 怎样确保所有的研发工资/奖金费用均已入账? | 完整性 |
| 怎样确保非研发人员的工资/奖金不计入研发费用? | 发生 |
| 怎样确保研发工资/奖金费用记录于正确的期间? | 截止 |
| 怎样避免记录重复的研发人员工资费用? | 发生 |
| 怎样确保工资费用在不同研究开发项目间正确分配? | 分类 |
| 2.材料、工装准备 | |
| 怎样确保所有的研发材料费用均已入账? | 完整性 |
| 怎样确保研发材料费用记录于正确的期间? | 截止 |
| 怎样避免记录重复的研发活动材料费用? | 发生 |
| 怎样确保非研发活动的材料支出不计入研发费用? | 发生 |
| 怎样确保非研发活动的工装准备支出不计入研发费用? | 发生 |
| 怎样确保研发材料费用在不同研究开发项目间正确分配? | 分类 |
| 怎样确保研发活动的工装准备费用在不同研究开发项目间正确分配? | 分类 |
| 3.长期资产摊销 | |
| 怎样确保非研发活动的长期资产(固定资产、无形资产、长期待摊费用)计提的折旧或摊销的费用不计入研发费用? | 发生 |
| 怎样确保研发活动相关长期资产计提的折旧或摊销的费用计算正确? | 准确性/计价 |
| 怎样确保长期资产计提的折旧或摊销的费用在不同研究开发项目间正确分配? | 分类 |
| 4.外包 | |
| 怎样确保非研发活动的外包支出不计入研发费用? | 发生 |
| 怎样确保委托境外的外部研发投入不计入境内的外部研发支出? | 发生 |
| 怎样确保外包费用计入正确的研究开发项目? | 分类 |
| 5.预算 | |
| 怎样确保研发费用预算的合理性? | 发生/完整性 |
| 怎样确保研发费用预算得到执行? | 发生/完整性 |
值得注意的是,一方面,某项控制目标可能涉及几项控制。注册会计师应当重点考虑某项控制活动单独或连同其他控制活动是否能够防止或发现并纠正重大错报。另一方面,某些控制可能涉及多项控制目标。因此,在实务中,为提高审计效率,注册会计师应当考虑了解和识别能针对多项控制目标的控制。
(三)了解和识别相关控制
注册会计师应当根据申报企业的实际情况,通过询问、观察、检查、穿行测试等审计程序,了解和识别相关控制,并对其结果形成审计工作记录,包括记录控制由谁执行以及如何执行。
注册会计师了解和识别内部控制时,应当将重点放在能够发现并纠正错误的关键控制,并且对控制的描述应当说明控制活动与最终的研究开发费用结构明细表的逻辑关系。
(四)执行穿行测试
执行穿行测试,证实对研发流程和相关控制的了解,并确定相关控制是否得到执行。注册会计师应当选择一笔或几笔交易进行穿行测试。例如,针对人工费用,追踪从职工薪酬标准采用→员工人数统计→工时统计→支付审批→项目工时归集→项目人工费用分配→各研究开发项目人工费用数据生成的整个流程,考虑之前对相关内部控制的了解是否正确和完整,并确定相关控制是否得到执行。
在执行穿行测试时,注册会计师应当询问执行交易流程和控制的相关人员,并根据需要检查有关单据和文件,询问其对已发现的错报的处理。需要注意的是,如果不打算依赖控制,注册会计师仍应执行穿行测试,以确定之前对业务流程及可能发生错报环节的了解是否正确和完整。注册会计师还应当按照审计准则的规定,对相关控制的设计是否合理和得到执行进行评价,以确定进一步审计程序。
三、了解与高新技术产品(服务)收入相关的控制活动和信息系统
由于高新技术产品收入与技术性收入的业务流程具有很高的相似性,本指引以高新技术产品收入常见的业务流程为主线,以示例的形式说明注册会计师如何了解和评价申报企业与高新技术产品收入相关的控制活动和信息系统。
需要说明的是,申报企业的情况千差万别,本指引不可能涵盖所有情况。在执行审计业务时,注册会计师应当结合申报企业实际情况,对具体业务流程作出相应的调整和取舍。
(一)了解业务流程的主要步骤
销售在申报企业中通常属于重要业务流程和重要交易类别,营业收入也通常被确定为存在较高重大错报风险的重要账户。对某些企业来说,销售退回的处理可能也是重要的交易类别。
高新技术产品销售的业务流程通常包括下列主要活动:
1.一般销售的业务流程
(1)接到客户订单;
(2)将订单输入系统;
(3)核准信用状况及赊销条款;
(4)检查订单并准备发货;
(5)编制发运凭证(或提货单);
(6)递交发运凭证(或提货单)至客户;
(7)开具销售发票;
(8)复核销售发票的准确性并递交至客户;
(9)生成销售明细账;
(10)汇总销售明细账并过入总账。
2.销售退回、折扣与折让的业务流程
(1)处理销售退回、折扣与折让的请求;
(2)批准请求;
(3)收到退货;
(4)编制销售退回、折扣与折让的表单,即销售方同意贷记购买方应收账款的凭证;
(5)记录销售退回、折扣与折让;
(6)更新应收账款账户。
3.维护客户档案的业务流程
(1)提交变更申请;
(2)审核、批准;
(3)更新客户档案。
了解的程序包括检查申报企业相关控制手册和其他书面指引,询问各部门的相关人员,观察操作流程等。例如,注册会计师可以询问销售人员,了解订单处理和开票的流程;可以询问仓库人员,了解发货的流程;也可以询问会计人员,了解有关账务处理的流程。注册会计师还应当考虑流程在各部门之间如何衔接,如单据的流转和核对,以及各部门人员的职责分工等。
注册会计师可以通过文字叙述、流程图等方式记录上述业务流程。
(二)确定错报可能发生的环节
注册会计师应当结合了解的结果,确定申报企业需要在哪些环节设置控制,以防止或发现并纠正业务流程中的错报,即确定错报可能发生的环节。下表列举了一般销售、销售退回、销售折扣与折让以及维护客户档案等业务流程中错报可能发生的环节,以说明注册会计师如何确定申报企业的控制目标是否得到实现。
“错报可能发生的环节”示例表
| “错报可能发生的环节”示例 | 认定 |
| 1.一般销售 | |
| 怎样确保已记录销售订单内容的准确性? | 准确性 |
| 怎样确保销售订单经过管理层核准? | 发生 |
| 怎样确保销售订单均已得到有效处理? | 完整性 |
| 怎样确保发货记录于正确的期间? | 截止 |
| 怎样确保已记录的销售均已发货? | 发生 |
| 怎样确保及时开具发票? | 完整性/截止 |
| 怎样确保发票开具和销售价格经过管理层批准? | 准确性/计价 |
| 怎样确保登记入账的销售数量系经核准的已发货数量? | 准确性/计价 |
| 怎样确保所有销售均已登记入账? | 完整性 |
| 怎样确保已记录的销售均为真实发生? | 发生 |
| 怎样确保销售得到及时记录? | 截止 |
| 怎样确保销售记录于正确的期间? | 截止 |
| 怎样确保销售均已准确记录并对高新技术产品收入进行恰当分类? | 分类 |
| 2.销售退回、折扣与折让 | |
| 怎样确保已记录的销售退回、折扣与折让均为真实发生? | 完整性 |
| 怎样确保已发生的销售退回、折扣与折让均已准确记录? | 准确性/分类 |
| 怎样确保已发生的销售退回、折扣与折让记录于正确的期间? | 截止 |
| 怎样确保已发生的销售退回、折扣与折让均已记录? | 发生 |
| 3.维护客户档案 | |
| 怎样确保对客户档案的变更均为真实有效? | 完整性/发生 |
| 怎样确保对客户档案变更是准确的? | 准确性/分类 |
| 怎样确保将客户档案变更记录于正确的期间? | 完整性/发生 |
| 怎样确保客户档案数据及时更新? | 完整性/发生 |
值得注意的是,一方面,某项控制目标可能涉及几项控制,注册会计师应当重点考虑某项控制活动单独或连同其他控制活动,是否能够防止或发现并纠正重大错报。另一方面,某些控制可能涉及多项控制目标。因此,在实务中,为提高审计效率,注册会计师应当考虑了解和识别能针对多项控制目标的控制。
(三)了解和识别相关控制
注册会计师应当根据申报企业的实际情况,通过询问、观察、检查、穿行测试等审计程序,了解和识别相关控制,并对其结果形成审计工作记录,包括记录控制由谁执行以及如何执行。
在了解和识别内部控制时,注册会计师应当将重点放在能够发现并纠正错误的关键控制,并且对控制的描述应当说明控制活动与最终的高新技术产品(服务)收入明细表的逻辑关系。
(四)执行穿行测试
注册会计师应当选择一笔或几笔交易进行穿行测试。例如,针对销售,追踪从接到客户订单→将订单输入系统→核准信用状况及赊销条款→核准订单并准备发货→编制发运凭证(或提货单)→递交发运凭证(或提货单)至客户→开具销售发票→复核发票的准确性并递交至客户→生成销售明细账→汇总销售明细账过入总账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。
在执行穿行测试时,注册会计师应当询问执行业务流程和控制的相关人员,并根据需要检查有关单据和文件,询问其对已发现错报的处理。需要注意的是,如果不打算信赖控制,注册会计师仍应当执行穿行测试,以确定之前对业务流程及可能发生错报环节的了解是否准确和完整。注册会计师还应当按照审计准则的相关规定,对相关控制设计是否合理和得到执行进行评价,以确定进一步审计程序。