与较大型被审计单位不同的是,小型被审计单位(以下简称小企业)拥有的员工通常较少,限制了内部控制职责分离的程度,从而使得小企业通常采用非正式或简单的流程实现内部控制目标。

例如,小企业治理层或管理层的职能往往由业主兼经理直接承担,在这种情况下,很可能抵消由于缺乏职责分离导致的特定风险,可以实施比较大型被审计单位更有效的监督,从而在一定程度上弥补职责分离有限的局限性。

但是,由于小企业内部控制系统较为简单,业主兼经理又很可能因直接参与而凌驾于内部控制之上,容易产生舞弊风险,所以,小企业的特殊性和局限性对小企业内部控制的审计存在着限制和风险。

此时,注册会计师(以下简称CPA)应当综合考虑小企业的内部控制缺陷对内部控制审计的影响,需从以下三方面考虑。

一是如果小企业能够提供书面成文的内控该内容由中审网校所 属 www.aud itcn.com制度(体现为制度汇编、手册、文件等),但这仅是评价内部控制设计和执行情况的基本前提,并不意味着内部控制的设计一定有效,更不能说明内部控制已经得到执行和预期运行效果,也不一定表明可以实施控制测试。

此时,正如《中国CPA审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》应用指南中规定的:

“在对小企业进行审计时,了解其系统和流程就较为容易,也更依赖于询问而不是对文件的检查。”由此可见,即使小企业存在书面成文的内控该内容由中审网校所 属 www.aud itcn.com制度,但CPA对小企业业务系统和流程的了解应该更依赖于询问而不是对文件的检查。

事实上,小企业书面成文的内控该内容由中审网校所 属 www.aud itcn.com制度往往形式主义居多,所以,CPA应该根据小企业内部控制的实际执行情况,了解小企业在内控该内容由中审网校所 属 www.aud itcn.com方面可能存在的问题或薄弱环节,并评估通过了解内控该内容由中审网校所 属 www.aud itcn.com发现的可能存在的重大错报风险。

此时,CPA对内部控制的了解可能主要借助于询问和观察等审计程序,并在设计进一步审计程序时,更多地考虑运用实质性方案,即不实施控制测试,直接以实质性程序为主。

二是小企业可能无法获取以文件形式存在的有关控制环境要素的审计证据,特别是在管理层与其他人员的沟通不够正式但却有效的情况下,小企业可能通过管理层与员工的口头沟通和管理层的示范作用,形成强调诚信和道德行为重要性的企业文化。

因此,管理层或业主兼经理对内部控制的态度、认识和措施对CPA了解小企业的控制环境非常重要。

所以,尽管没有书面成文的内控该内容由中审网校所 属 www.aud itcn.com制度,但因为有了这种控制环境,从而使得大多数小企业实际上存在着虽简化、不正式但却行之有效可以识别的控制活动,而且这些控制活动一般能够保障小企业正常、持续地生产经营。

但是,由于小企业通常难以实施适当的职责分离,所以,CPA不仅应当考虑小企业采取的这些控制活动能否有效实现控制目标,而且因小企业可能不存在太多CPA能够识别的控制,从而无法进行控制测试。

因此,CPA在对小企业设计和实施进一步审计程序时,可能考虑主要采取实质性方案。

三是不管小企业有无书面成文的内部控制,事实上,由于小企业的内部控制还存在着控制环境薄弱、缺乏正式的风险评估过程、与财务报告相关的信息系统和沟通过于简化和不正式、职责分离有限、缺乏持续的监督活动,以及业主(管理层)凌驾于内部控制之上的可能性较大等缺陷,决定了对小企业内部控制审计的局限性和特殊性,不仅使得对小企业内部控制的审计存在着各种限制和风险,而且也很难让CPA信赖小企业的内部控制,所以,在很多情况下,CPA一般主要考虑采取实质性方案。

(作者:刘志耕)