应对管理层凌驾于内部控制之上的风险

应对管理层凌驾于内部控制之上的风险

由于管理层所处的特殊地位，其可能凌驾于内部控制之上对财务报表进行粉饰。在中国，由于现代企业管理体制不完善，很多时候管理层和治理层是部分或完全重合的，所以管理层凌驾于内部控制之上的风险更大。

我们经常能听到审计师这样的观点：中国企业没有内部控制？即使有也没有实际意义。

我不同意这样的观点，就算是最小的民营企业他们也存在一些基本的管理制度去管理企业的，比如：很多私营企业老板每天对财务部门编制的银行存款日报表进行审核，以了解钱都花哪儿去了？该收的钱是否收了？这项措施对银行存款和应收账款来讲，算不算一项有效的内部控制程序呢？我认为，算的。

我们只能说中小企业，不像大企业有那么多有效的内控控制，但是作为审计师我们在没有充分了解这些企业的内部控制措施的前提下，就认为企业没有可以信赖的内部控制、直接实施实质性审计程序，这既违背了准则的要求也无法加深我们对企业及其环境的了解，我们了解内部控制的目的并不只是为了识别可以信赖的控制，更是为了加深我们对企业及其环境的了解、更好地识别错报风险；我们不能说不信赖控制，所以我也不了解控制，这违背了风险导向审计的理念。

管理层凌驾于内部控制之的风险我们如何应对呢？下面是准则和我们项目的一些做法，欢迎大家讨论。

无论是国际审计准则还是中国审计准则，都强调：管理层凌驾于内部控制之上为特别风险。

首先，作为特别风险，我们应当评价相关控制的设计情况，并确定是否已经得到执行。这是准则的要求，我们必须要了解企业设置的应对管理层凌驾于内部控制之上的相关控制，如果了解之后企业并未设置相关的控制，那我们应当认为企业的内部控制存在重大缺陷，并考虑对风险评估的影响。

应对管理层凌驾于内部控制之上一般都与企业整体层面的控制相关，我们可以评估企业的控制环境、风险评估过程、信息系统与沟通、对控制的监督等方面。

控制环境：比如我们可以去访谈公司的高管，了解他们的企业管理理念，是否推崇诚信的企业文化？也可以去访谈公司基层的员工，看看他们是否曾经被要求做一些明显违反常规或明显违反法律法规的事情？检查公司是否配置了足够的人员，是否实现了基本的职责分离？公司所有权结构如何，是否存在必要约束监督机制？这些可以帮助我们对公司的控制环境有一个直观的感受。

风险评估过程：企业是否正式或非正式的风险评估过程，去识别和管理正常生产经营过程中的风险？比如某些企业会定期召开会议对销售情况进行跟踪分析，以识别和管理与销售相关的经营风险。缺乏风险评估过程，可能导致企业管理层无法正确的识别风险，而一旦风险出现，管理层只能不按常规出牌，做出一些凌驾于内部控制之上的行为。

比如，某私营企业老板2011年对其下属的子公司进行了重大资产重组，在重组之前老板并没有充分考虑税法法律法规的影响，而在交易接近尾声时才告诉会计去做账务处理，而此时，根据财税[2009]59号企业重组业务企业所得税处理若干问题的通知的规定，该企业需要缴纳约1000万的企业所得税，老板肯定不想交税。怎么办？我是老板，我说了算，你会计不做账不就行了吗？其实，如果事前进行了充分的筹划，该企业的这项重组业务就可以免税的。还有的企业，不提前识别和管理坏账风险，而产生了一些潜在的坏账损失，而又不愿意计提坏账。

信息系统与沟通：了解客户的交易如何生成、记录、处理和报告？是人工的还是自动化的？是否涉及复杂的ERP系统？有的企业为了节省成本，依靠人工处理一些业务量大的交易，比如某企业仓库平均每天有约100个出库单，均是依靠库管员手工填出库单，这种情况下出库单出错的概率就大大增加，控制被凌驾的风险也增加。而有的企业为了时髦，上一些与企业生产经营不匹配的复杂的ERP系统，员工抵触情绪较大，存在较多的操作错误，或者ERP没有合理的权限分配，管理层比较容易凌驾于控制之上。

对控制的监督：对控制的监督可以大大提高控制的有效性，也增加了管理层凌驾于内部控制之上的难度。我们要了解企业是否定期评价内部控制？是否设置了内部审计等职能部门？对重要的控制点是否设置了相应的监督程序，比如是否有人复核会计凭证和财务报表？一旦，存在对控制的监督行为，那也就意味着除了业务执行人员外还要其他人员了解这个业务，管理层要凌驾于内部控制之上做出一些舞弊行为也就有更多的人知悉这个事情，增加了其难度。

无论对管理层凌驾于内部控制之上的风险的评估结果如何，我们都应当执行以下3条审计程序，这是国际审计准则和中国审计准则的硬性规定。

1.测试日常会计核算中做出的会计分录以及编制财务报表过程中做出的其他调整是否恰当？

这是一条非常有效也非常有意思的程序，但如何选择测试的样本相当重要。下列样本选取方法是一些项目的经验：

（1）对编制财务报表过程中做出的所有会计分录进行检查。现在大多数企业都实现了会计电算化，一般情况下都是软件自动生产报表，但是企业可能在总账中做一些调整。我们需要对这些调整进行全面的检查。

（2）对期末做出的所有会计分录进行检查。比如在中国所有企业的财务报表日都是12月31日，那我们可以对公司12月全月的会计分录进行检查甚至更靠前的月份。

（3）对报表期间所有红字冲销的会计分录进行检查。

（4）其他方法。除了上述方法外，还有一些做法，跟大家分享。

a.我们在2011年审计某个公司了解到，该公司财务部门一般加班时间不超过10点， 那我们认为在晚上10点之后做的会计分录需要重点检查，所以我们在系统中选取了他2011年全年在晚上10点之后做的所有会计分录进行了检查，发现一些异常的事项。

b.某些企业除了在月底结账比较忙外，其他法定节假日是不加班的，那我们可以选择这个企业全年在节假日做的所有的会计分录进行检查。

c.会计一般只是在财务室登陆系统做账，IP地址相对固定，我们曾经发现一个企业的会计经常在财务室以外的另外一个IP地址登陆系统做账，后来我们调查了这些凭证，发现基本都存在错报。

d.一些企业的会计在做假账时，有一些数字上的偏好，比如有的会计喜欢10,000 的整数倍，有的人喜欢小数点末位是9或者1的数字，我们曾经一个客户的舞弊的会计分录80%是以9结尾的，呵呵，这个比较有意思。

样本选择出来了，如何检查，也非常重要，这项工作我觉得一般情况下应该由项目中经验比较丰富的员工来执行。首先我觉得应该对这些分录进行大致的浏览，看看是否有明显异常的情况，比如与企业无关的业务活动或者与管理层描述不一致的情况等。然后，我们再检查这些会计分录的原始单据等是否异常。

当然，这项工作非常耗费时间，选取多少样本进行测试，也取决于我们评估的风险，如果风险比较大，可能我们的样本量会很大，反之，我们的样本量比较小。

2.复核会计估计是否存在偏向，并评价产生这种偏向的环境是否表明存在由于舞弊导致的重大错报风险。

有些情况下管理层可能不恰当地改变会计估计，并努力向审计师说明，他们这种改变是合理的而且反复强调他们只是会计估计变更，这种情况下我们一定要警惕。比如某建筑安装企业，2010年按照累计实际发生的合同成本占合同预计总成本的比例确定合同完工进度，2011年由于受国家房地产调控政策的影响，收入大幅度下降，公司为此大幅度调低了合同预计总成本从而增加了施工进度。

3.对于超出被审计单位正常经营过程中的交易，或基于对被审计单位机器环境的了解以及在审计过程中获取的其他信息而显得异常的重大交易，评价其商业理由。

这条很重要，我们在审计过程中一定要多想想某项交易尤其是那些复杂或者异常交易的商业理由，是不是合理的？不要只是关注账务本身处理是否正确。

比如，某企业的主要经营活动在广州，但公司90%的银行存款却存放于成都某商业银行，这明显不符合常理，在广州做生意为什么把钱放在成都呢？

一个企业，在做一个生产线的技改，2011年签订了一个固定资产购买合同1000万，2011年按照合同约定预付了10%的货款，但是我们发现这个固定资产本身与技改并没有任何关系，后来证实这是一个虚假合同。

另外，要特别注意关联交易，尤其是存在大量的资金交易的时候，我们一定要了解交易的实质必要时对资金往来进行检查。


上面的程序只是准则的基本要求，实际中每个项目可以除了这些基本要求，还有许多优秀和值得借鉴的做法，我只是抛砖引玉而已。