3章,工作底稿
写工作底稿应该像散文写作一样,是“形散而神不散”,这样才能将我们的审计思考很好地表达出来。
内控测试(也称系统测试)的工作底稿主要分为两类:一是对企业内控的描述,二是我们做的测试。
一定要写出来是什么人、什么部门在执行这一项工作,而不要仅仅描述工作是如何进行的。这是内控中很重要的一环,因为“职责分离”本身就是内控的一项要求。所以,审计师有必要对任何内控环节都弄清是谁在执行内控。
要先了解一项业务的全貌,并将这种了解写成一个背景介绍,然后再描述内控。
工作底稿的三个目的是:
·对上,为了让经理及合伙人审阅。也就是说,将客户的不规范的信息、支离破碎的信息整理成一个逻辑体系,让经理及合伙人可以在很短的时间内理解全貌,找出问题。这就要求写得简洁。
·对同级,一旦别人继续跟进,或明年再做这个项目,可以从工作底稿里找到足够的可以借鉴的资料,如和销售部某人的谈话,等等。这就要求写清楚细节。这在中国尤其突出。因为在美国,客户的会计质量好一些,因此,客户提供的原始资料与最终工作底稿的数据格式差别不太大,细节少一些,后人仍可以做下去;在中国,如果客户的会计质量不太好,客户提供的原始资料与最终工作底稿的数据格式差别就会很大,这种中间处理过程的细节写少了,后人就很难跟进了。
·对外,作为一个证据的记录。虽然审计协议上一般会约定,审计师的工作底稿是会计师事务所的财产,但审计师的工作底稿会被法律或行业监管要求检查。审计师不能简单以“保护委托人的隐私”为由拒绝接受检查,换句话说,审计师不是完全站在公司一头的,最终审计师是为社会公众服务的,但又是由公司买单。“谁是审计师的客户?”这是有关这个行业的哲学问题。
思考方式:自顶而下,只有先有了大局感,再往里补细节,才能做好工作,而不能“只管低头拉车,不管抬头看路”。
从写作风格来说,工作底稿应该要追求一种“简茂 之美”,即“守简致茂”。
勾稽关系?:审计符号、注释和工作底稿相互索引
底稿的内容:首先当然是一些表格和数字。再就应该是,也只能是审计师所做的工作。有三种表达所做的工作的方法,分别是:审计符号、注释及工作底稿相互索引。
工作底稿里的注释就是要把你的思考过程和所做的工作表达出来。当然这种表达是要有技巧的,不是写成个流水账就行的。
注意以下几点:
1、要写一些背景介绍,方便阅读者理解;不写大家都知道的事情
2、要写热点问题;审计计划中提到的关键问题是热点问题,再就是凭经验积累来掌握哪些是热点
3、写注释时要先推想一般人对这个科目的预期;审计思考的关键
4、要从CEAVOP(见3.2.1公众对审计的期望)各个角度谈我们的思考和所做的工作,不要仅仅简单地想起什么写什么
写法:要先对一个事件有一个说明,然后定性,提出自己的判断和是否要调整,这个数字是否正确,这就够了。
归档:
1、全面归档,还包括对于审计过程中取得的、支持不同结论的审计证据都要归档,并记录审计师分析与判断的过程。千万不可以只挑选能支持某个结论的审计证据,而对其他“不利”的审计证据视而不见,不做分析与记录。
2、及时归档。不同国家的审计准则,对审计底稿的归档有不同的时间要求。现阶段,美国上市公司的审计底稿,一般要求在出具审计意见的45天内存档;而中国的审计准则,则要求在60天内归档。各个会计师事务所还可能有自己更为保守的存档时间要求。一旦过了规定的工作底稿归档时间,一般不能再动底稿。如遇到特殊情形,审计师有合理原因需要修改或增减工作底稿的,需要记录修改事由,并经过一定的审批流程。
3、审计师要确保在审计准则规定的时间内,完成所有工作底稿的归档工作。
第3章 风险控制
审计师,以前是看门狗,现在是猎狗。
审计师必须将时间首先花在那些客户最可能有心或无心犯错误的地方。
“怀疑一切”并不意味着“打倒一切”或要“查清一切”。伟大的怀疑主义者休谟说过,你永远无法知道太阳明天是否依然升起。
审计,是要发现欺诈舞弊行为,但更要发现各种其他的差错。
内控系统+实质性测试工作 对欺诈舞弊不适用,主要发生在一把手身上。
企业内控失效的两大原因就是内部串通和管理层越权。
发现欺诈舞弊行为【专业名称:法证小组】,要对现在的审计方法做什么改良呢?
一是更深入地分析管理层可能进行欺诈舞弊行为的动机和方向,公安局破案最讲究作案动机,这几乎是破案的第一步。
二是熟悉各种欺诈舞弊行为的手法,从而设计有针对性的测试手段。
三是执行更多的实质性测试,而不能再简单地依赖和相信企业的内控。
第3章 班福定律
班福(F.Benford)是20世纪20年代在美国GE工作的一个数学家。他最先发现了这样一个规律:在一个不规则数列里,首位数是1的概率为Lg 2/1,即约为30%;首位数是2的概率为Lg 3/2,即约为18%……以此类推,首位数是9的概率则为Lg 10/9,即约为4.6%。
审计师所有的,就是一些常识、思考能力和经验。将这三者放在一起不停地、勤奋地搅拌,就是审计师凭之以发现问题的武器了。
会计估计变更是随着时间推移,原来不清楚、不确定的事情变得清晰了,因此得出新的结论。
会计差错则是基于原有的事实,在当初本该得出正确结论的情况下,却得出了错误的结论。
审计错误:先要确定是个错误,不要谎报军情;然后看事情大小、性质如何,看看能不能找个辙对付过去。最后,除非是自欺欺人,否则没什么好理由了,那就要有担当,不能怂,和上下左右的相关人员沟通之后,拿出正确的解决办法。
与专家合作时,审计师需要给对方明确的指引,明确双方的责任和工作范围。同时,审计师还应当评价专家工作的恰当性。
我们这里提及的对专家工作的评价,主要包括以下几个方面:
一是了解其数据来源,如数据是否来源于权威渠道的统计报告等。
二是通读专家报告,应用一般常识判断内在逻辑是否连贯,以及所使用的重要假设和方法是否合理。
三是进行重新计算,复核数据运算过程的准确性。
审计师应该把专家的工作成果作为审计证据的一部分,与原有审计证据有机结合,不能割裂地看待专家的工作成果,更不能以为这部分工作已经“外包”给专家了,自己就高枕无忧,再也不过问这方面的事情了。
IT审计师的专业资格认证叫CISA(certified information system auditor),这和审计师需要考注册会计师资格是一个意思。
IT审计师主要的工作内容包括:
(1)测试这家电信企业的信息系统是否安全,靠不靠谱。例如,存货系统的开发升级是不是有人管;员工在使用计算机登录存货系统时是不是都有自己独立的账号,密码是否定期更新;计算机后台操作生成的日志是否有人定期审阅;等等。
这类测试,称为信息系统的一般控制(ITGC)测试。
(2)测试系统对具体业务流程的处理是否正确。例如,系统采集话单并自动计算收入。不单是收入,但凡生成某个数据的过程比较依赖信息系统,且这个数据对财务报表影响较大,审计师就要考虑测试这个数据的生成过程和结果。
这类测试,称为信息系统的应用控制(ITAC)测试。
(3)利用计算机辅助手段,重新验证一些数据。例如,逐条计算所有固定资产本年的折旧费用并加总,与账面上的折旧费用进行比较。在固定资产众多,或增减变化比较快的情况下,传统的合理性测试方法并不容易达到好的效果。
IT审计师可以测试某个信息系统的一般控制(ITGC),这是很基础的一个测试,是信息系统的应用控制(ITAC)测试的前提。
合作的专家:税务师、评估师、反舞弊调查专家
第3章 反舞弊审计
“舞弊三角理论” [2]也叫“欺诈三角形”,是目前广泛应用的舞弊风险评价模式,当动机或压力、机会以及借口三个条件同时成立(贼心、贼胆,加上自我催眠)时,出现舞弊的可能性就很大。