(本文由瑞美首发于,如果需要商业转载或使用,请事先与我联系,谢谢。)
前文提要:
第4话:风险评估我们可以从了解企业的外部环境和内部整体环境入手。
了解完一个企业的外部环境和内部环境了,假设我们执行的是风险导向型审计,那么我们就要开始了解企业的一些具体的内部(业务)控制了。因为随着经济的发达,企业的业务量越来越大,如果依靠详查的审计方法,在有限的人力物力以及时间限制下,对于业务量大的企业很难达到足够的审计证据支撑我们的结论。(你就想想阿里巴巴这些电商的业务量就知道了。)
于是审计师们想出一个方法:了解企业的外部环境,做一个大致趋势判断。然后再了解和财务报表有关的一些业务流程:
1、首先看看企业有没有形成内部控制手册,如果有的话,获取一份,看看流程是不是合理的;
2、问问有关业务有关的员工,听听实际上这些业务流程是不是真的按照手册执行的,存在有可能手册流程是这样的形式,但实际执行是另外一种形式;如果手册和实际差距很大的,以员工讲的实际执行的流程为准;
3、如果业务流程是合理的,那么我们要知道员工是不是真的那么执行,会不会存在上级领导要求的流程是一回事,实际执行是另一回事,甚至于领导要求的流程,下级完全不执行。
第1和2点工作就相当于书中讲的询问被审计单位人员,了解内部的流程;
如果第1点或者第2点得出的结论是内部流程是对企业运行控制有效的,接下来就是做穿行测试。什么是穿行测试呢,就是按照我们了解到的流程走一遍,看看企业是不是真的是按照他们所说的流程来做的。如果的确按照他们说的流程做了。那么我们再进一步做控制测试:根据这种业务发生的频率增加抽取一定数量的样本,检查他们除了我们抽取到的穿行测试样本以外,是不是也是这么做的。
只有以上流程全部回答都是有效时,我们才能说这个业务的内部控制是有效的,可以减少对应的业务循环的部分实质性审计程序。
一旦内部业务流程不能被信赖,将会进入增加实质性审计程序的部分。了解企业内部控制流程,对内部控制流程执行穿行测试,以及执行控制测试,三者环环相扣,在位于前面的一项处于无效状态,后面的程序就不再执行,直接进入增加实质性审计程序。
值得注意的是,除非是出具内部控制审计报告(第二十章 企业内部控制审计),我们了解被审计单位的内部控制为了通过判断企业的内部控制是否有效,从而判断需要执行哪些实质性审计程序来降低审计风险,而不是为了对被审计单位的内部控制做出评价。
有些在小型会计师事务所工作的朋友就说了:“我们做底稿从来没有做过什么内部控制这部分的底稿啊,不做也可以吧?”
我这里要回答一下:如果你打算完全不依赖内部控制,是可以省略业务流程了解的。但是你要确定你所做的进一步审计程序(主要是实质性程序)是否足以支撑你的审计报告意见。
在注册会计师考试审计教材中的第三编中,列出了销售与收款的审计、采购与付款的审计、生产与存货循环的审计、货币资金的审计,里面列举了一些常见的相关业务流程,考试时可以用来参考,内部控制程序是否有效,是否有瑕疵。可是我们依然不能忽略一个事实:由于企业的规模、行业、管理风格等,在实际中流程会有不同,切不可以纸上谈兵,随随便便和被审计单位说你们的流程和审计教材上的不一样。需要再了解后自己思考和判断是不是流程真的有效。
此外,即便内部控制测试得出结论是内部控制运行有效的,我们审计师依然不能够避免审计失败。因为还存在一种可能——舞弊(第十三章 对舞弊和法律法规的考虑)。如果企业上下串通,甚至与自己的供应商、客户串通。这个时候,审计师就变得很难发现问题。所以,舞弊可以说是凌驾在企业内部控制以上的一种特别风险。一旦识别到舞弊迹象,审计程序就需要大大地增加。还有可能是,即使增加了许多审计程序,最后还是无法执行审计业务,还是和被审计单位解除审计业务约定算了。(不好意思,查着查着觉得篓子捅得有点大,估摸着做很多审计程序也兜不住审计风险,我先开溜了。)
而财务报表中某些项目,简直就是舞弊重灾区,所以我们审计师在审计时,这些项目在起始就只能假设它是具有重大错报风险的项目。
什么是重大错报风险,我们下一话再细说。
-------未完待续------
下集预告:第6话 风险评估工作底稿之评估重大错报风险、制定审计计划和重要性水平