尽管2010年新修订的《中国CPA执业准则》(下称“准则”)注重了对准则所涉及概念给出相应的定义,但对“财务报表层次”与“认定层次”、“整体层面”与“业务流程层面”这两对概念均未给出定义。
  事实上,在《中国CPA执业准则应用指南2010》、2012年新修订的《财务报表审计工作底稿编制指南》、2013年新修订的《小型企业财务报表审计工作底稿编制指南》(以下分别简称“应用指南”和“底稿编制指南”)对这两对概念的运用都非常广泛,但也均未对这4个概念的定义及使用做出解释或说明。因此,不少正准备参加注册会计师(CPA)从业资格考试的考生,以及在会计师事务所执业的CPA对这两对概念的理解和运用一直存在一些困惑。为此,本文专题谈一谈对这两对概念的理解、区别与联系。
  财务报表层次和认定层次
  准则第1211号第二十八条规定:“CPA应当在下列两个层次识别和评估重大错报风险,为设计和实施进一步审计程序提供基础:(一)财务报表层次;(二)各类交易、账户余额和披露的认定层次。”从该条规定可知,准则将企业的财务报告分为财务报表层次和认定层次两个层次,且只要识别和评估重大错报风险,就必须从这两个层次分别展开。由此可见,这两个概念非常重要。
  但是,准则及其应用指南并未对这两个概念给出定义或解释,因此CPA只能在底稿编制指南中看到这两个概念的具体运用。在准则中*10能看到的相关内容是第1211号准则第三条对“认定”给出的定义:“认定,是指管理层在财务报表中作出的明确或隐含的表达,CPA将其用于考虑可能发生的不同类型的潜在错报。”那么,认定与认定层次又是什么关系呢?纵观准则、应用指南及底稿编制指南对认定和认定层次这两个概念的具体运用可以看出,如果认定是对“管理层在财务报表中做出的明确或隐含的表达”,那么认定层次则是对“管理层在财务报表中做出的明确或隐含的表达”具体体现的集合,即全部认定组成了认定层次。
  再从第1211号准则第二十八条第(二)项所表述的:“各类交易、账户余额和披露的认定层次”可以看出,认定层次由“各类交易、账户余额和披露”组成,即各类交易、账户余额和披露都属于认识层次。
  所以,不管是各类交易、账户余额还是披露哪方面存在问题,如果该问题仅是影响到少数交易、账户余额或披露,且影响程度不大、问题不严重,即使相关问题潜在的错报为重大错报风险,都仅属于影响认定层次的重大错报风险。
  但是,当存在的问题影响到多个账户,具有广泛性影响,或虽未影响到多个账户,但影响具有严重性,如金额巨大,且影响到会计报表的公允性、合法性时,则上升为财务报表层次的重大错报风险。
  事实上,对于财务报表层次和认定层次分别存在的重大错报风险,不仅其严重程度和影响程度不同,而且对其进行分析和判断的标准和方式方法也不同。
  因此,财务报表层次和认定层次这两个概念之间的区别与联系归纳如下:
  一是财务报表层次和认定层次属于重大错报风险可能存在的两个层面。当重大错报风险仅是影响少数认定,则属于认定层次的重大错报风险;当影响多项认定,即影响广泛而重大时,则属于财务报表层次的重大错报风险。
  二是在一般情况下,财务报表层次和认定层次都与重大错报风险密切相关,只要识别和评估重大错报风险,就必须从这两个层次进行。
  整体层面和业务流程层面
  由于底稿编制指南中这两个概念使用的频率非常高,特别是对内部控制的了解、评价及测试均是分别从这两个层面展开。
  因此,如果没有弄清楚这两个概念的含义及概念之间的区别与联系,将很难做好对内部控制的了解、评价及测试。
  从底稿编制指南对这两个概念的具体运用可以看出,之所以要分别从整体层面和业务流程层面了解、评价和测试内部控制,不仅是因为整体层面和业务流程层面存在内部控制缺陷的原因、性质和影响不同,而且对重大错报风险的严重程度、影响及进行分析和判断的方式方法也不同。
  一方面,整体层面的内部控制在企业管理的较高层面存在并运行,对各业务流程层面的内部控制起着统领、约束和影响作用。但整体层面的内部控制缺陷往往源于内部薄弱的控制环境、企业对自身的风险评估过程、与财务报告相关的信息系统与沟通以及对控制的监督等企业管理的较高层面。
  所以,这些方面一旦存在缺陷,其影响往往较为广泛、重大,且很容易造成财务报表层次的重大错报风险。因此,CPA不仅需要专门从整体层面了解和评价内部控制,还需要综合运用询问、观察和检查等审计程序,以对被审计单位整体层面的内部控制要素有一个总体的了解和评价。
  事实上,如果被审计单位整体层面的内部控制一旦存在重大缺陷,不仅会影响到多个重要业务流程层面内部控制的有效性,而且很可能造成影响更为广泛的重大错报风险。
  另一方面,对业务流程层面内部控制进行了解和评价时应分别从划分的业务流程入手,同时需考虑并实施5个方面的工作:一是需要确定被审计单位有哪些重要的业务流程;二是确定各重要业务流程可能发生错报的环节;三是了解和评价各业务流程所涉及到的相关内部控制;四是通过执行穿行测试以证实对业务流程层面内部控制的了解、识别和评价,特别是是否得到执行的评价;五是根据对内部控制了解的情况进行初步的风险评估。要做好这些工作,则需要综合运用询问、观察、检查和穿行测试等审计程序。
  比如了解和评价销售与收款流程时,需考虑整个流程应该有哪些控制环节?这些环节已经或应该设置哪些控制目标和控制活动?受该控制目标影响的相关交易、账户余额及其认定是哪些?控制活动对实现控制目标是否有效?如果控制存在重大缺陷,是否会产生重大错报风险?CPA应该如何应对这些重大错报风险?这些考虑实际上也是对销售与收款流程内部控制进行了解和评价的总体思路。但必须注意的是,要全面了解和评价各业务流程层面的内部控制缺陷,还必须对被审计单位所有的业务流程进行全面的了解和评价。
  因此,整体层面的内部控制好比上梁,业务流程层面的内部控制好比下梁,上梁不正,下梁自然不正。所以,当整体层面的内部控制不好,如控制环境不好,在这种情况下,即使在业务流程层面设计了a1的内部控制方案,也很容易因管理层凌驾于内部控制之上的不良控制环境而被破坏,从而很可能造成业务流程层面的内部控制失效。
  此外,整体层面内部控制和业务流程层面内部控制缺陷造成的影响和程度不同。如果企业整体层面的内部控制有缺陷,将很可能影响多项认定,且很容易形成重大错报风险;而业务流程层面的内部控制有缺陷,只会影响少量、具体的某些认定,影响程度往往也不是很大。