我國審計準則公報第48號─「瞭解受查者及其環境以辨認並評估重大不實表達風險」之介紹(下)
撰文◎江明哲(會計師、內部稽核師、高普考會審人員考試及格)
前 言
本文接續上期(第32期)的內容,繼續探討我國審計準則第48號公報之內容。
(四)與風險評估攸關之財務資訊系統及其內部控制:
1.受查者之財務資訊系統可分成兩大類:人工作業系統及資訊科技系統。所謂資訊科技系統,又可稱為電子資料處理
(Electronic Data Processing,簡稱EDP)系統,係指受查者以資訊科技系統(如電腦)處理財務資訊(無論是自行或委託他人處理);而單純以人工處理財務資料者即為人工作業系統。
2.資訊科技對受查者之內部控制,通常具有下列優點:
(1)一致採用預先規範之營運規則,並可於處理大量交易或資料時執行複雜計算。
(2)增加資訊之及時性、可取得性及正確性。
(3)便於作更廣泛之資訊分析。
(4)提升受查者監督其作業績效、政策及程序之能力。
(5)減少控制被規避之風險。
(6)經由執行應用程式、資料庫及作業系統之安全控制,提升受查者達成有效職能分工之能力。
3.資訊科技可能導致受查者內部控制之特定風險,例舉如下:
(1)依賴不能正確處理資料或處理不正確資料之系統或程式。
(2)未經授權存取資料可能導致資料毀損或不適當更改,包括記錄未經授權或不存在之交易,或未正確記錄交易。若多位使用者皆可自同一資料庫存取資料,亦可能產生資料毀損或不適當更改之風險。
(3)資訊人員之存取權限如超過其職務所需,可能破壞職能分工。
(4)未經授權更改主檔資料。
(5)未經授權更改系統或程式。
(6)未進行系統或程式之必要修改。
(7)不適當之人為干預。
(8)資料可能遺失或無法存取所需資料。
(9)電腦以相同指令一致處理同類交易,故程式設計錯誤或其他硬體或軟體之系統性錯誤,將使所有同類交易之處理結果不正確。
(10)企業對於電腦系統之依賴性大幅增加,將導致企業之正常交易可能因電腦系統遭受損害,而無法正常運作。
(11)由於原始書面憑證與紀錄大幅減少,交易憑證與紀錄所構成之交易軌跡可能難以追查。而內部控制若依執行者來分類,可分為人工作業控制(控制由人來執行)及自動化作業控制(控制由資訊科技系統執行)。內部控制之人工作業或自動化作業亦影響交易之發生、處理、記錄及報導之方式,例如:
a.人工作業系統之控制可能包括交易之核准與複核、調節及調節項目之追蹤等程序。受查者亦可對各項交易之發生、處理、記錄及報導,以自動化程序處理,並以電子形式紀錄取代紙本文件。
b.資訊科技系統之控制包括自動化控制(例如嵌入電腦程式之控制)與人工控制之結合。人工控制之方式可為未涉及資訊科技之單純人工控制,或使用資訊科技所產生之資訊,或僅用於監督資訊科技及自動化控制之有效運作,或僅用於處理例外事項。採用資訊科技處理各項交易之發生、記錄、處理或報導,或處理財務報表中之其他財務資料時,所使用之系統及程式可能包含與重大科目之個別聲明有關之控制。此外,該等系統及程式對依賴資訊科技之人工控制是否能有效運作,亦極為重要。
4.受查者內部控制中人工作業及自動化作業之運用,依受查者使用資訊科技之性質及複雜程度而有所不同。茲將財務資訊系統與內部控制之關係如表二:
〈表二 財務資訊系統與內部控制制度之關係〉
財務資訊系統
內部控制制度
|
人工作業系統
|
資訊科技系統
|
人工作業控制
|
ˇ(如交易核准與複核、調節等)
|
ˇ(如監督資訊科技之有效運作)
|
自動化作業控制
|
無此情事
|
ˇ(如嵌入電腦程式之控制)
|
5.內部控制之人工作業可能較適用於需要判斷及裁量之情況,例舉如下:
(1)大額、不尋常或非經常發生之交易。
(2)難以定義、預期或預測錯誤之情況。
(3)非現行自動化控制作業所能因應之變動情況。
(4)監督自動化控制作業之有效性。
6.內部控制之人工作業相對於自動化作業而言較不可靠,因其較易被略過、忽視或踰越,且較易發生簡單之錯誤。此外,人工作業較易因人而異。因此,人工作業可能較不適用於下列情況:
(1)大量或經常發生之交易,或能被自動化控制參數所預防或所偵出並改正之可預期或可預測錯誤之情況。
(2)能適當設計並自動執行之控制作業。
7.在資訊科技系統下,若依執行範疇分類,則內部控制尚可分成一般控制及應用控制。就查核人員觀點,如資訊科技系統之控制可維護資訊之完整性及系統所處理資料之安全性,且包含有效之一般控制及應用控制,該等控制則屬有效。一般控制及應用控制之定義如下:
(1)資訊科技系統一般控制係指與許多應用系統有關,並使應用控制得以有效運作之政策及程序。
(2)應用控制通常係指於營運流程層級運作之人工或自動化程序,亦適用於個別應用系統所執行之交易處理。應用控制之性質可為預防性或偵查性,其目的係為確保會計紀錄之完整性。
因此,應用控制與交易或其他財務資料之發生、處理、記錄及報導程序有關。該等控制有助於確保所發生之交易,係經授權並已完整且正確記錄及處理。
四、重大不實表達風險之辨認及評估
(一)重大不實表達風險之層級:
對受查者及其環境(包括內部控制)有深入瞭解後,查核人員方能進行風險評估工作。依48號公報規定,查核人員應辨認及評估下列層級之重大不實表達風險,以作為設計及執行進一步查核程序之基礎:
1.整體財務報表:整體財務報表之重大不實表達風險係指廣泛影響整體財務報表,且可能影響許多個別項目聲明之風險。此類風險未必與交易類別、科目餘額或揭露事項之特定聲明有直接關聯,然而可能增加個別項目聲明重大不實表達之風險,例如管理階層踰越內部控制。查核人員於考量導因於舞弊之重大不實表達風險時,尤應注意整體財務報表之重大不實表達風險。整體財務報表之重大不實表達風險,特別可能導因於不良之控制環境。
2.交易類別、科目餘額及揭露事項之個別項目聲明:查核人員應考量交易類別、科目餘額及揭露事項之個別項目聲明之重大不實表達風險,以利於決定個別項目聲明進一步查核程序之性質、時間及範圍,俾取得足夠及適切之查核證據。
(二)財務報表聲明:
所謂聲明(Assertion),係指管理階層於財務報表中明示或隱含之主張。查核人員就該等主張,考量各類可能發生之潛在不實表達。查核人員考量可能發生潛在不實表達之不同類型時,所使用聲明之三大類別及其可能形式如下:
1.與受查期間內各類交易及事件有關之聲明:
(1)發生─所記錄之交易及事件均已發生且與受查者有關。
(2)完整性─所有應記錄之交易及事件均已記錄。
(3)正確性─與所記錄交易及事件有關之金額及其他資料均已適當記錄。
(4)截止─交易及事件已記錄於正確會計期間。
(5)分類─交易及事件已記錄於適當科目。
2.與期末科目餘額有關之聲明:
(1)存在─資產、負債及權益確實存在。
(2)權利與義務─受查者擁有或控制資產之權利;負債係受查者之義務。
(3)完整性─所有應記錄之資產、負債及權益均已記錄。
(4)評價或分攤─資產、負債及權益均以適當金額列示於財務報表,其所產生評價或分攤之調整亦已適當記錄。
3.與表達及揭露有關之聲明:
(1)發生及權利與義務─所揭露之事件、交易及其他事項均已發生且與受查者有關。
(2)完整性─所有應於財務報表揭露之事項均已揭露。
(3)分類及可瞭解性─財務資訊已適當表達及說明,揭露亦已清楚陳述。
(4)正確性及評價─財務資訊及其他資訊均以適當金額允當揭露。
(三)辨認及評估重大不實表達風險之程序─固有風險及控制風險之合併評估程序:
查核人員為辨認及評估重大不實表達風險,應執行下列程序:
1.經由瞭解受查者及其環境(包括與風險有關之控制)之過程,及考量交易類別、科目餘額與揭露事項,辨認不實表達風險。可能顯示存有重大不實表達風險之情況及事件例示如下:
(1)營運所在之地區經濟不穩定,例如貨幣重大貶值或高度通貨膨脹之國家。
(2)營運之市場多變,例如期貨交易。
(3)營運受高度複雜之法令管制。
(4)繼續經營及流動性之疑慮,包括流失重要客戶。
(5)取得資本及融資之限制。
(6)受查者所屬產業之變化。
(7)供應鏈之變化。
(8)開發或提供新產品或服務,或跨入新事業。
(9)拓展新營業據點。
(10)受查者個體之變化,例如大型併購、重組或其他不尋常事項。
(11)營運個體或部門可能被出售。
(12)存有複雜之聯盟及合資關係。
(13)使用資產負債表外融資、特殊目的個體或其他複雜財務安排。
(14)與關係人之重大交易。
(15)缺乏具備適當會計及財務報導技能之員工。
(16)主要員工之變動,包括重要主管離職。
(17)內部控制之缺失,特別是管理階層未處理者。
(18)受查者之資訊科技策略與經營策略不一致。
(19)資訊科技環境之變化。
(20)導入與財務報導有關之重要新資訊科技系統。
(21)主管機關對受查者之營運或財務結果提出疑問。
(22)曾發生不實表達、多次發生錯誤或於期末進行重大調整。
(23)金額重大之非例行性或非由系統自動處理之交易,包括集團內企業間之交易及於期末認列大額收入之交易。
(24)依管理階層意圖所記錄之交易,例如債務再融資、待出售資產及有價證券之分類。
(25)新會計準則之應用。
(26)涉及複雜程序之會計衡量。
(27)涉及具重大衡量不確定性之事項或交易,包括會計估計。
(28)未決之訴訟及或有負債。例如銷售保固、財務保證及環境復原。
2.評估所辨認之風險是否廣泛影響整體財務報表且可能影響許多個別項目聲明。
3.連結所辨認之風險至可能發生錯誤之個別項目聲明,並考量欲測試之相關控制。在考量用以預防或偵出並改正特定聲明重大不實表達之控制時,應注意:
(1)(查核人員宜針對相關流程及系統中所存在之多項現行控制作業取得瞭解,並將其連結至相關聲明。通常唯有多項控制作業與內部控制其他組成要素之結合,方足以因應某一風險。
(2)應盡量找出與聲明直接相關之控制。控制與聲明間之關係愈不直接,則該控制可預防或偵出並改正該聲明重大不實表達之效果愈低。例如,業務經理依地區別複核銷售活動之彙總報告,僅與銷貨收入之完整性聲明間接相關。因此,該等控制可減少該聲明不實表達風險之效果,低於其他與該聲明較直接相關之控制(例如比對送貨單與發票)。
4.考量不實表達(包括多項不實表達)發生之可能性及其潛在不實表達之金額,是否可能導致重大不實表達。
五、特殊風險考量之一─顯著風險
(一)所謂顯著風險(Significant Risk),係指依查核人員之判斷,須作特殊查核考量之已辨認及已評估之重大不實表達風險。48號公報規定,查核人員於判斷所辨認之風險是否為顯著風險時,應不考慮與該項風險有關之控制所造成之影響。查核人員如已確認存有顯著風險,應瞭解與該風險攸關之受查者整體內部控制,尤其是控制作業。顯著風險和其他財務報表重大不實表達風險不同之處,在於後者在做風險評估時,已考慮內部控制的作用與影響,顯著風險則暫時先不將內部控制所造成之影響考量在內,而於辨認為顯著風險後,再就其內部控制作深入之瞭解。
(二)查核人員於判斷某項風險是否為顯著風險時,至少應考量下列事項:
1.該風險是否為舞弊風險。
2.該風險是否與最近之重大經濟、會計或其他事件有關,而須特別關注。
3.交易之複雜程度。
4.該風險是否與重大之關係人交易有關。
5.與該風險有關之財務資訊衡量之主觀程度,特別是不確定性較高之衡量。
6.與該風險有關之重大交易是否屬非正常營運或不尋常之交易。
(三)顯著風險常與重大非例行性交易或判斷性事項有關。非例行性交易係指因金額重大或性質特殊而不常發生之交易;判斷性事項可能包括對存有重大衡量不確定性事項之會計估計(例如對公允價值之判斷)。
六、特殊風險考量之二─僅經由證實程序無法取得足夠及適切查核證據之風險
(一)某些風險依查核人員判斷,僅經由證實程序可能無法取得足夠及適切之查核證據。該等風險可能與例行且重大之交易類別或科目餘額之不正確或不完整紀錄有關。此種交易類別或科目通常係透過高度自動化加以處理,而極少人工介入(例如受查者之收入、採購及現金收支)。在此情況下,受查者對該等風險之控制將與查核攸關,查核人員應取得對該控制之瞭解。
(二)例行性營運交易如透過高度自動化處理而極少人工介入,則查核人員對相關風險可能無法僅執行證實程序,以取得足夠及適切之查核證據。例如,受查者大部分資訊之產生、處理、記錄或報導僅採用電子形式(例如採整合性系統),可能發生下列情形:
1.因僅能取得電子形式之查核證據,該等證據是否足夠及適切,通常有賴於對正確性及完整性之有效控制。
2.如適當控制未能有效執行,則無法偵出資訊不當產生或竄改之可能性較高。
七、風險評估之修正
查核過程中,查核人員可能察覺某些資訊與原來據以評估風險之資訊具重大差異。例如,查核人員進行風險評估時,可能假設控制係有效執行,但於執行控制測試時,查核人員可能發現該等控制並未有效執行。此外,查核人員於執行證實程序時,亦可能偵出不實表達之金額或頻率較原風險評估之結果為高。在此情況下,原風險評估可能無法適當反映受查者之真實情況,所規劃之進一步查核程序亦可能無法有效偵出重大不實表達。
八、其他
除上述規定外,48號公報尚針對以下3個部分做出具體規範,茲簡要整理之:
(一)查核團隊成員之討論與溝通(參本文壹五)。
(二)風險評估程序之書面記錄(參本文壹六)。
(三)對小規模受查者之特別考量。茲例舉數點如表三:
〈表三 對小規模受查者之特別考量〉
|
小規模受查者內部控制之特色
|
查核人員之因應
|
1.
|
小規模受查者可能使用較為簡易之方法、流程及程序,以達成其內部控制目標。
|
查核人員應瞭解此一特色。
|
2.
|
小規模受查者之員工人數通常較少,職能分工之程度可能受限。然而,在所有者兼管理者之小規模受查者中,其監督可能較大型企業更為有效,該等監督可彌補職能分工之不足,但可能因內部控制較為簡易而更能踰越控制。
|
查核人員辨認導因於舞弊之重大不實表達風險時應考量此可能性。
|
3.
|
小規模受查者之治理單位可能未包括獨立或外部成員,在並無其他所有者之情況下,治理之責任可能直接由所有者兼管理者承擔。
|
查核人員於瞭解小規模受查者之控制環境時,管理階層或所有者兼管理者之態度、認知及作為特別重要。
|
4.
|
小規模受查者責任之分層較少,且管理階層可隨時與員工溝通,因此其溝通相對於規模較大者較不正式且容易達成。
|
查核人員應瞭解此一特色。
|
5.
|
小規模受查者可能因管理階層已執行某些控制作業,而使其他相關控制作業得以減少或免除。例如,管理階層逕行核准顧客之信用額度或重大採購,已可對相關重要科目餘額及交易提供有效之控制,因此可減少或免除對細部控制作業之需求。
|
查核與小規模受查者攸關之控制作業,通常較著重於主要交易循環,例如收入、採購及薪資循環。
|
參、48號公報架構圖
|
註:a.一併考量固有及控制風險。
b.辨認指的是「發現」,而評估則是把發現的風險作「發生可能性及金額的判斷」。
伍、結語
48號公報的發布,不但改變並強化了風險導向審計的概念,就考試的角度來說,由於其取代了我國審計準則公報第31號「電腦資訊系統下執行查核工作之考量」、第32號「內部控制之考量」及第37號「對受查者事業之瞭解」,對並非首次學習審計的考生來說,不同的觀念(例如評估重大不實表達風險、特別考量顯著風險)及術語(例如財務報表之聲明)更是沉重的負擔。惟新挑戰總是代表著新的契機,在面對新的觀念及規定時,惟有正面迎擊、儘早學習,才能在競爭激烈的試場上占得先機。
參考文獻
我國審計準則公報第48號,瞭解受查者及其環境以辨認並評估重大不實表達風險,會計研究發展基金會審計準則委員會。
崔琇玫,2010,審計準則公報第48號「瞭解受查者及其環境以辨認並評估重大不實表達風險」簡介,會計研究月刊第296期。
江明哲,2011,審計學筆記,考用出版社。
沒有留言:
張貼留言