Manual Journal Entries are accounting entries posted manually into the general ledger, often outside the normal automated transaction flow. They may be necessary for legitimate purposes such as accruals, provisions, reclassifications, consolidation adjustments, correcting entries, impairment, tax adjustments, and year-end closing entries. However, they can also be used to manipulate financial statements because they may bypass normal system controls, subledger controls, and operational approval processes.
Manual journal entry testing is closely related to the risk of management override of controls. ISA 240 explains that management is in a unique position to perpetrate fraud because management can manipulate accounting records and prepare fraudulent financial statements by overriding controls that otherwise appear to be operating effectively. ISA 240 requires auditors to design and perform audit procedures to test the appropriateness of journal entries and other adjustments made in preparing the financial statements. (IBR) PCAOB AS 2401 similarly emphasizes that fraudulent financial reporting often involves management override of controls and that auditors should examine journal entries and other adjustments for evidence of possible material misstatement due to fraud. (Default)
The first technique is to understand the journal entry process before selecting items for testing. The auditor should understand who can create, post, approve, edit, and reverse journal entries; whether the system separates preparer and approver roles; whether supporting documents are required; whether approvals are system-based or manual; and whether certain users can bypass the normal workflow. This understanding helps the auditor identify where inappropriate entries could be posted.
The second technique is to obtain a complete population of journal entries. The auditor should not test only the journal entries provided by management in PDF or Excel without validating completeness. The population should ideally be extracted directly from the general ledger or ERP system and should include key fields such as journal number, posting date, entry date, period, preparer, approver, user ID, source module, account code, debit, credit, amount, description, reversal status, and whether the entry is manual or system-generated. The total debits and credits should be reconciled to the general ledger or trial balance to ensure the population is complete.
The third technique is to separate manual entries from system-generated entries. Many entries are generated automatically from subledgers, such as sales, purchases, payroll, inventory, and depreciation. Manual entries may carry higher risk because they may not pass through the same operational controls. However, the auditor should not assume that all system entries are low risk or all manual entries are high risk. The assessment should be based on the nature of the entry, the account affected, the user, timing, amount, and business rationale.
The fourth technique is to apply risk-based filters. High-risk manual journal entries often include entries posted near year-end or after the reporting period, entries posted during weekends or outside normal working hours, entries posted by senior finance personnel or privileged users, entries with large or round amounts, entries with blank or vague descriptions, entries affecting revenue, expenses, provisions, accruals, reserves, impairment, tax, related party accounts, suspense accounts, or clearing accounts. Entries that bypass subledgers, are posted directly to revenue or receivables, or are reversed shortly after year-end also deserve attention.
The fifth technique is to focus on unusual account combinations. Fraudulent or inappropriate entries often appear in strange debit-and-credit relationships. For example, a debit to receivables and credit to revenue without supporting sales documents may inflate revenue. A debit to expenses and credit to accrued liabilities may create a cookie-jar reserve. A debit to provision and credit to income may release liabilities to improve profit. A debit to inventory and credit to cost of sales may reduce expenses. The auditor should look for entries that are inconsistent with normal business flows.
The sixth technique is to use data analytics. Data analytics can help identify unusual patterns across the full journal entry population, such as entries posted by unusual users, entries posted at unusual times, duplicate amounts, round numbers, entries with no description, entries just below approval thresholds, unusual account pairs, one-sided or unbalanced adjustments later corrected, and entries concentrated in the final days of the reporting period. PCAOB Audit Focus on Journal Entries highlights that auditors should design procedures to address management override by examining journal entries and other adjustments.
The seventh technique is to include both targeted selection and unpredictability. The auditor should select key high-risk entries based on filters and professional judgment. However, the auditor may also include some unpredictable selections from the remaining population, especially where fraud risk is relevant. This reduces the chance that testing becomes too predictable and helps address the possibility that inappropriate entries may not match standard risk filters.
The eighth technique is to inspect supporting evidence, not just approval signatures. A journal entry may be approved but still inappropriate. The auditor should inspect the underlying reason for the entry, supporting calculation, contract, invoice, board approval, management memo, external correspondence, reconciliation, or subsequent event evidence. Inquiry alone is usually not sufficient. The auditor should determine whether the entry has a valid business purpose, is recorded in the correct period, is measured correctly, and is supported by sufficient appropriate audit evidence.
The ninth technique is to test approvals and segregation of duties. The auditor should consider whether journal entries were prepared and approved by different individuals, whether the approver had sufficient knowledge and authority, and whether high-risk entries required higher-level approval. If the same user can prepare and post entries without review, or if senior management can post entries directly without independent approval, the risk of management override increases.
The tenth technique is to consider IT controls and access rights. Journal entry risk is closely linked to user access controls, privileged access, and change logs. The auditor should understand whether users can modify posted entries, reopen closed periods, change approval workflows, or create backdated entries. If IT general controls are weak, the auditor may need to perform additional substantive procedures over journal entries and validate the reliability of system-generated journal reports.
The eleventh technique is to pay special attention to consolidation and top-side entries. These entries may not go through normal transaction processing and may be posted at group level after local financial statements are prepared. They may affect revenue, intercompany balances, foreign currency translation, impairment, tax, non-controlling interests, and reclassifications. Because they are often judgmental and posted late in the reporting process, they should be reviewed carefully.
The twelfth technique is to evaluate journal entry results in aggregate. Even if individual exceptions are small, repeated patterns may indicate a broader risk. For example, several immaterial entries may all move profit upward, reduce liabilities, increase assets, or improve financial ratios. The auditor should consider whether the pattern suggests management bias or fraud risk, and whether additional procedures are needed.
A practical example is a year-end manual entry that debits trade receivables and credits revenue for Baht 8 million, posted on the last day of the year by a senior finance user. The description says “year-end adjustment.” The auditor should not accept the description at face value. The auditor should inspect the contract, delivery evidence, invoice, customer confirmation or subsequent receipt, cut-off support, approval trail, and whether the entry was reversed after year-end. If no delivery occurred before year-end, the entry may indicate revenue overstatement.
Another example is a manual entry that debits accrued expenses and credits other income shortly before year-end. Management may explain that the accrual is no longer needed. The auditor should inspect the original accrual basis, subsequent invoices, supplier correspondence, legal or operational evidence, and approval of the release. If the liability still exists, the release may understate liabilities and overstate profit.
In practice, useful working papers may include Journal Entry Process Understanding, Journal Entry Population Completeness Testing, Manual Journal Entry Risk Assessment, High-Risk JE Filter Criteria, Journal Entry Data Analytics, Key Journal Entry Testing, Top-Side Adjustment Testing, Management Override Testing, Journal Entry Exception Evaluation, and Fraud Risk Response Memo. The working paper should clearly document the population tested, filters applied, items selected, evidence inspected, exceptions found, and conclusion on the risk of material misstatement.
In summary, auditing high-risk manual journal entries requires more than selecting a few entries and checking whether they were approved. The auditor should understand the journal entry process, obtain a complete population, use risk-based filters, analyze unusual patterns, test supporting evidence, consider IT access rights, focus on year-end and top-side adjustments, and evaluate whether entries indicate management bias or fraud risk. A strong journal entry testing approach directly addresses the risk of management override and supports the auditor’s overall fraud risk response.
Manual Journal Entries หรือรายการปรับปรุงบัญชีที่บันทึกด้วยมือ คือรายการบัญชีที่ผู้ใช้งานบันทึกเข้าบัญชีแยกประเภทโดยตรง หรือบันทึกนอกกระบวนการอัตโนมัติของระบบ รายการเหล่านี้อาจจำเป็นและถูกต้อง เช่น รายการค้างรับค้างจ่าย ประมาณการหนี้สิน การจัดประเภทใหม่ รายการปรับปรุงงบการเงินรวม รายการแก้ไขข้อผิดพลาด การด้อยค่าสินทรัพย์ ภาษี และรายการปิดบัญชีสิ้นปี แต่ในขณะเดียวกันก็เป็นช่องทางที่อาจถูกใช้เพื่อปรับแต่งงบการเงิน เพราะอาจข้ามการควบคุมตามกระบวนการปกติ ข้ามระบบย่อย และข้ามขั้นตอนอนุมัติทางธุรกิจได้
การตรวจ Manual Journal Entries เกี่ยวข้องโดยตรงกับความเสี่ยงที่ผู้บริหารใช้อำนาจแทรกแซงระบบควบคุม ISA 240 อธิบายว่าผู้บริหารอยู่ในตำแหน่งที่สามารถกระทำทุจริตได้ เพราะสามารถแทรกแซงระบบควบคุมที่ดูเหมือนทำงานได้ตามปกติ และสามารถปรับแต่งบันทึกบัญชีหรือจัดทำงบการเงินที่ไม่ถูกต้องได้ ISA 240 จึงกำหนดให้ผู้สอบบัญชีต้องออกแบบและปฏิบัติงานตรวจสอบเพื่อทดสอบความเหมาะสมของรายการบัญชีและรายการปรับปรุงอื่นที่ใช้ในการจัดทำงบการเงิน (IBR) PCAOB AS 2401 ก็เน้นเช่นเดียวกันว่า การตกแต่งงบการเงินมักเกี่ยวข้องกับการใช้อำนาจของผู้บริหารแทรกแซงการควบคุม และผู้สอบบัญชีควรตรวจรายการบัญชีและรายการปรับปรุงอื่นเพื่อหาหลักฐานของการแสดงข้อมูลผิดพลาดจากการทุจริต
เทคนิคแรกคือ ต้องเข้าใจกระบวนการบันทึกรายการปรับปรุงบัญชีก่อนเลือกตัวอย่างมาตรวจ ผู้สอบบัญชีควรเข้าใจว่าใครสามารถสร้าง บันทึก อนุมัติ แก้ไข และกลับรายการได้ ระบบแยกหน้าที่ระหว่างผู้จัดทำกับผู้อนุมัติหรือไม่ ต้องแนบเอกสารประกอบหรือไม่ การอนุมัติทำในระบบหรือทำนอกระบบ และมีผู้ใช้บางกลุ่มที่สามารถข้ามขั้นตอนอนุมัติปกติได้หรือไม่ ความเข้าใจนี้ช่วยให้ผู้สอบบัญชีระบุได้ว่ารายการผิดปกติอาจถูกบันทึกผ่านช่องทางใด
เทคนิคที่สองคือ ต้องได้ประชากรรายการปรับปรุงบัญชีที่ครบถ้วน ผู้สอบบัญชีไม่ควรตรวจเฉพาะรายการที่ผู้บริหารส่งมาเป็น PDF หรือ Excel โดยไม่ทดสอบความครบถ้วน ประชากรที่ดีควรถูกดึงโดยตรงจากบัญชีแยกประเภทหรือระบบบัญชี และควรมีข้อมูลสำคัญ เช่น เลขที่รายการ วันที่บันทึก วันที่มีผลทางบัญชี งวดบัญชี ผู้จัดทำ ผู้อนุมัติ รหัสผู้ใช้งาน แหล่งที่มาของรายการ รหัสบัญชี เดบิต เครดิต จำนวนเงิน คำอธิบาย สถานะการกลับรายการ และการระบุว่าเป็นรายการบันทึกด้วยมือหรือรายการจากระบบ ยอดเดบิตและเครดิตรวมควรกระทบยอดกับบัญชีแยกประเภทหรืองบทดลอง เพื่อให้มั่นใจว่าประชากรครบถ้วน
เทคนิคที่สามคือ แยกรายการที่บันทึกด้วยมือออกจากรายการที่ระบบสร้างอัตโนมัติ รายการจำนวนมากอาจถูกสร้างจากระบบย่อย เช่น ขาย ซื้อ เงินเดือน สินค้าคงเหลือ และค่าเสื่อมราคา รายการที่บันทึกด้วยมือมักมีความเสี่ยงสูงกว่า เพราะอาจไม่ได้ผ่านการควบคุมทางธุรกิจตามปกติ อย่างไรก็ตาม ผู้สอบบัญชีไม่ควรสรุปว่ารายการจากระบบเสี่ยงต่ำทั้งหมด หรือรายการที่บันทึกด้วยมือเสี่ยงสูงทั้งหมด แต่ควรประเมินจากลักษณะรายการ บัญชีที่กระทบ ผู้บันทึก ช่วงเวลา จำนวนเงิน และเหตุผลทางธุรกิจ
เทคนิคที่สี่คือ ใช้เกณฑ์คัดกรองรายการเสี่ยง รายการปรับปรุงบัญชีที่มีความเสี่ยงสูงมักรวมถึงรายการที่บันทึกใกล้วันสิ้นงวดหรือหลังวันสิ้นงวด รายการที่บันทึกวันหยุดหรือเวลานอกเวลางาน รายการที่บันทึกโดยผู้บริหารฝ่ายการเงินหรือผู้ใช้สิทธิพิเศษ รายการจำนวนเงินสูงหรือจำนวนกลม รายการที่ไม่มีคำอธิบายหรือคำอธิบายกว้างเกินไป รายการที่กระทบบัญชีรายได้ ค่าใช้จ่าย ประมาณการหนี้สิน รายการค้างรับค้างจ่าย ค่าเผื่อ การด้อยค่า ภาษี รายการกับกิจการที่เกี่ยวข้องกัน บัญชีพัก หรือบัญชีรอการกระทบยอด รายการที่ข้ามระบบย่อย บันทึกตรงเข้ารายได้หรือลูกหนี้ และรายการที่กลับรายการทันทีหลังวันสิ้นงวดก็ควรได้รับความสนใจเป็นพิเศษ
เทคนิคที่ห้าคือ มองหาคู่บัญชีที่ผิดปกติ รายการที่ไม่เหมาะสมมักมีความสัมพันธ์เดบิตและเครดิตที่ไม่สอดคล้องกับกระบวนการปกติ เช่น เดบิตลูกหนี้และเครดิตรายได้โดยไม่มีเอกสารขายรองรับ อาจทำให้รายได้สูงเกินจริง เดบิตค่าใช้จ่ายและเครดิตประมาณการหนี้สิน อาจเป็นการตั้งสำรองเกินจริงเพื่อใช้ในอนาคต เดบิตประมาณการหนี้สินและเครดิตรายได้อื่น อาจเป็นการกลับสำรองเพื่อเพิ่มกำไร เดบิตสินค้าคงเหลือและเครดิตต้นทุนขาย อาจทำให้ค่าใช้จ่ายต่ำเกินจริง ผู้สอบบัญชีควรพิจารณาว่าคู่บัญชีเหล่านี้สอดคล้องกับธุรกิจจริงหรือไม่
เทคนิคที่หกคือ ใช้การวิเคราะห์ข้อมูล การวิเคราะห์ข้อมูลช่วยให้ผู้สอบบัญชีมองเห็นรูปแบบผิดปกติจากประชากรรายการบัญชีทั้งหมด เช่น รายการที่บันทึกโดยผู้ใช้ที่ไม่คุ้นเคย รายการบันทึกในเวลาผิดปกติ รายการจำนวนเงินซ้ำ รายการจำนวนกลม รายการไม่มีคำอธิบาย รายการต่ำกว่าเกณฑ์อนุมัติเล็กน้อย คู่บัญชีที่ไม่เคยเกิดขึ้นมาก่อน รายการที่แก้ไขรายการที่ไม่สมดุล และรายการที่กระจุกตัวในช่วงวันสุดท้ายของงวด PCAOB Audit Focus เรื่อง Journal Entries เน้นว่าผู้สอบบัญชีควรออกแบบวิธีตรวจเพื่อตอบความเสี่ยงจากการใช้อำนาจแทรกแซงระบบควบคุม โดยการตรวจรายการบัญชีและรายการปรับปรุงอื่น
เทคนิคที่เจ็ดคือ ใช้ทั้งการเลือกรายการเจาะจงและการเลือกแบบคาดเดาไม่ได้ ผู้สอบบัญชีควรเลือกรายการเสี่ยงสูงตามเกณฑ์คัดกรองและดุลยพินิจ เช่น รายการใหญ่ รายการใกล้สิ้นปี รายการโดยผู้ใช้สิทธิพิเศษ หรือรายการที่กระทบบัญชีอ่อนไหว แต่ควรมีบางรายการที่เลือกจากประชากรที่เหลือแบบคาดเดาไม่ได้ด้วย โดยเฉพาะเมื่อมีความเสี่ยงทุจริต วิธีนี้ช่วยลดความเสี่ยงที่การตรวจจะคาดเดาได้เกินไป และช่วยตอบความเป็นไปได้ที่รายการผิดปกติอาจไม่เข้าเกณฑ์คัดกรองมาตรฐาน
เทคนิคที่แปดคือ ตรวจหลักฐานประกอบ ไม่ใช่ดูเฉพาะลายเซ็นอนุมัติ รายการบัญชีอาจได้รับอนุมัติแต่ยังไม่เหมาะสมได้ ผู้สอบบัญชีควรตรวจเหตุผลของรายการ วิธีคำนวณ สัญญา ใบแจ้งหนี้ รายงานประชุม บันทึกผู้บริหาร เอกสารภายนอก รายการกระทบยอด หรือหลักฐานหลังวันสิ้นงวด การสอบถามอย่างเดียวมักไม่เพียงพอ ผู้สอบบัญชีควรประเมินว่ารายการมีวัตถุประสงค์ทางธุรกิจจริง บันทึกถูกงวด วัดมูลค่าถูกต้อง และมีหลักฐานสอบบัญชีที่เพียงพอและเหมาะสมหรือไม่
เทคนิคที่เก้าคือ ทดสอบการอนุมัติและการแบ่งแยกหน้าที่ ผู้สอบบัญชีควรพิจารณาว่ารายการถูกจัดทำและอนุมัติโดยคนละคนหรือไม่ ผู้อนุมัติมีความรู้และอำนาจเพียงพอหรือไม่ และรายการเสี่ยงสูงต้องได้รับการอนุมัติในระดับที่เหมาะสมหรือไม่ หากผู้ใช้คนเดียวสามารถจัดทำและบันทึกรายการได้โดยไม่มีการสอบทาน หรือผู้บริหารสามารถบันทึกรายการโดยตรงโดยไม่มีการอนุมัติอย่างอิสระ ความเสี่ยงจากการใช้อำนาจแทรกแซงการควบคุมจะสูงขึ้น
เทคนิคที่สิบคือ พิจารณาการควบคุมด้านระบบและสิทธิผู้ใช้งาน ความเสี่ยงของ Manual Journal Entries เกี่ยวข้องโดยตรงกับสิทธิผู้ใช้งาน สิทธิผู้ดูแลระบบ และร่องรอยการแก้ไขรายการ ผู้สอบบัญชีควรเข้าใจว่าผู้ใช้สามารถแก้ไขรายการที่บันทึกแล้ว เปิดงวดบัญชีที่ปิดแล้ว เปลี่ยนขั้นตอนอนุมัติ หรือบันทึกรายการย้อนหลังได้หรือไม่ หากการควบคุมทั่วไปด้านระบบอ่อนแอ ผู้สอบบัญชีอาจต้องเพิ่มการตรวจเนื้อหาสาระเกี่ยวกับรายการปรับปรุงบัญชี และทดสอบความน่าเชื่อถือของรายงานรายการบัญชีจากระบบเพิ่มเติม
เทคนิคที่สิบเอ็ดคือ ให้ความสำคัญกับรายการปรับปรุงระดับงบการเงินรวมและรายการ Top-side Entries รายการเหล่านี้อาจไม่ได้ผ่านกระบวนการธุรกรรมปกติ และอาจถูกบันทึกในระดับกลุ่มหลังจากบริษัทย่อยจัดทำงบการเงินแล้ว รายการเหล่านี้อาจกระทบรายได้ รายการระหว่างกัน การแปลงค่างบการเงิน การด้อยค่า ภาษี ส่วนได้เสียที่ไม่มีอำนาจควบคุม และการจัดประเภทรายการใหม่ เนื่องจากมักใช้ดุลยพินิจสูงและบันทึกช่วงท้ายของกระบวนการปิดงบ จึงควรถูกตรวจอย่างระมัดระวัง
เทคนิคที่สิบสองคือ ประเมินผลรายการปรับปรุงบัญชีในภาพรวม แม้ข้อผิดพลาดแต่ละรายการจะมีจำนวนไม่มาก แต่หากหลายรายการมีทิศทางเดียวกัน เช่น เพิ่มกำไร ลดหนี้สิน เพิ่มสินทรัพย์ หรือทำให้อัตราส่วนทางการเงินดีขึ้น ผู้สอบบัญชีควรพิจารณาว่ารูปแบบดังกล่าวสะท้อนอคติของผู้บริหารหรือความเสี่ยงทุจริตหรือไม่ และจำเป็นต้องทำวิธีตรวจเพิ่มเติมหรือไม่
ตัวอย่างเช่น มีรายการปรับปรุงสิ้นปี เดบิตลูกหนี้การค้าและเครดิตรายได้ 8 ล้านบาท บันทึกในวันสุดท้ายของปีโดยผู้บริหารฝ่ายการเงิน และคำอธิบายระบุเพียงว่า “year-end adjustment” ผู้สอบบัญชีไม่ควรยอมรับคำอธิบายนี้โดยตรง แต่ควรตรวจสัญญา หลักฐานการส่งมอบ ใบแจ้งหนี้ หนังสือยืนยันยอดลูกค้า หรือการรับชำระภายหลัง หลักฐานการตัดรอบบัญชี เส้นทางการอนุมัติ และตรวจว่ามีการกลับรายการหลังวันสิ้นงวดหรือไม่ หากยังไม่มีการส่งมอบก่อนวันสิ้นงวด รายการนี้อาจทำให้รายได้สูงเกินจริง
อีกตัวอย่างหนึ่งคือ รายการเดบิตค่าใช้จ่ายค้างจ่ายและเครดิตรายได้อื่นก่อนวันสิ้นงวด ผู้บริหารอาจอธิบายว่าหนี้สินไม่จำเป็นต้องจ่ายแล้ว ผู้สอบบัญชีควรตรวจที่มาของการตั้งค่าใช้จ่ายค้างจ่ายเดิม ใบแจ้งหนี้หลังวันสิ้นงวด หนังสือโต้ตอบกับผู้ขาย หลักฐานทางกฎหมายหรือการดำเนินงาน และการอนุมัติการกลับรายการ หากภาระผูกพันยังคงมีอยู่ การกลับรายการดังกล่าวอาจทำให้หนี้สินต่ำเกินจริงและกำไรสูงเกินจริง
ในทางปฏิบัติ กระดาษทำการที่เกี่ยวข้องอาจใช้ชื่อ เช่น Journal Entry Process Understanding, Journal Entry Population Completeness Testing, Manual Journal Entry Risk Assessment, High-Risk JE Filter Criteria, Journal Entry Data Analytics, Key Journal Entry Testing, Top-Side Adjustment Testing, Management Override Testing, Journal Entry Exception Evaluation และ Fraud Risk Response Memo กระดาษทำการควรระบุประชากรที่ตรวจ เกณฑ์คัดกรอง รายการที่เลือก หลักฐานที่ตรวจ ข้อยกเว้นที่พบ และข้อสรุปต่อความเสี่ยงจากการแสดงข้อมูลผิดพลาดอย่างมีสาระสำคัญ
โดยสรุป การตรวจ Manual Journal Entries ที่มีความเสี่ยงสูงไม่ใช่เพียงการเลือกรายการไม่กี่รายการมาตรวจว่ามีผู้อนุมัติหรือไม่ ผู้สอบบัญชีควรเข้าใจกระบวนการบันทึกรายการ ได้ประชากรที่ครบถ้วน ใช้เกณฑ์คัดกรองตามความเสี่ยง วิเคราะห์รูปแบบผิดปกติ ตรวจหลักฐานรองรับ พิจารณาสิทธิผู้ใช้งาน ให้ความสำคัญกับรายการสิ้นปีและรายการปรับปรุงระดับงบการเงินรวม และประเมินว่ารายการเหล่านั้นสะท้อนอคติของผู้บริหารหรือความเสี่ยงทุจริตหรือไม่ แนวทางการตรวจที่ดีควรตอบความเสี่ยง Management Override ได้โดยตรง และสนับสนุนการประเมินความเสี่ยงทุจริตของงานสอบบัญชีโดยรวม