内控,有国际通用的做法,即COSO,COSO后续的发展就是全面风险管理。内控做的好的企业,财务报表的准确性就高。
内控的重要环节有:经营控制和财务报表控制。经营控制,是企业管理层用来理顺企业经营的一些控制点。财务报表控制,是由管理层设立的、用来保证财务报表正确的控制点。
审计着眼点在财务报表,所以首先关注的是财务报表控制,这也是美国的萨班斯法404条款对审计师的要求,具体企业如何控制,没用统一的做法。
审计理论有两种:“制度基础审计”、“风险导向审计”。
“制度基础审计”(system-based audit),将企业全部业务交易分为“常规交易”(routine transactions)和“非常规交易”(non-routine transactions)两大类,及第三类“会计估计”。这三类和上边讲到的跨级分类的三类可以对应起来。
正常情况下,与“常规交易”的审计必然是先评价及测试其内部控制制度,然后考虑是否可以依赖企业自己的内控制度来做下一步的实质性测试。对于与“非常规交易”相联系的会计事项和“会计估计”,企业不一定有很好的内部控制,可以直接采用实质性测试,这包括分析性复核与详细测试。
“风险导向审计”,不仅要求对于“常规交易”要先评价及测试企业的内控制度,对于“非常规交易”和“会计估计”,也强调企业必然应该在这些领域有自己的内部控制,尤其是在“会计估计”领域。这是和“制度基础审计”的最大区别。
“风险导向审计”,强调的是“财务报表错报风险”及与其相关的企业的“经营风险”。该理论认为任何“会计估计”都必然与一个“经营风险”相关联,既要求企业的财务报表全面反映企业在历史上已形成的经营成果,又要求量化及披露企业的经营风险(这些风险在未来可能变成真正的损失,从而影响经营成果)。
比较抽象的理论,可以用6个字来概括:”人财物、产供销”,强调对经营风险要进行“会计估计和披露”,不要藏着掖着。
审计的重要产出物是工作底稿。底稿是给相关的人看的:上级、外部(包括客户)、同级。底稿要条理清晰、内容简洁,对业务有背景介绍,对内控的描述要体现“职责分离”(即:什么人、什么部门在执行这一项工作)。底稿写法是有专业术语的,像会计科目一样,有勾稽关系。
底稿的内容:表格+数字,和审计师的工作,审计师的工作内容主要用”审计符号、注释及工作底稿相互索引“来体现。内容的表达不要记流水账,关键体现的内容:背景介绍、热点问题、预期、CEAVOP的专业角度。众所周知的内容就不要写了。
另外底稿的修改是有时间期限的,过来归档时间就不能做任何调整了。
审计目的发现最可能有心或无心犯错误的地方,并不是发现欺诈舞弊,后者有更专业的人员/行业去实施。有所谓的“舞弊三角理论” ,也叫“欺诈三角形”,是目前广泛应用的舞弊风险评价模式,当动机或压力、机会以及借口三个条件同时成立(贼心、贼胆,加上自我催眠)时,出现舞弊的可能性就很大。
网友评论