先回答个问题:为什么审计师要进行关注内控?
答:为了偷懒,如果一个企业的内控做的好,那么审计师就可以减少后面的实质性测试工作量,审计师省下时间也可以做其他工作。
1.企业的内控
企业的内控,顾名思义是企业内部的控制。常见的内控框是COSO:控制环境,风险评估,控制活动,信息与沟通,以及监督活动五项。它是判断企业内控好坏的依据。虽然还有其他的内部控制分类方法,比如企业层面控制和流程层面控制,但是用的最多的就是COSO。可以说,做到这五项,企业的内控也就是没有多大问题。
2.常见问题
在审计师进行内控测试时,会出现以下问题:
(1) 只追求形式上的完美,不注重实质效果。例如,财务总监核对每月余额,确认数字无误后进行签字。测试内控时,只检查财务总监有没有签字是不够的,还要确认财务总监是否认真核对过数字。
(2)过分追求形式:有些企业对员工的道德要求比较高,例如发票报销全凭员工自觉,但是会定期抽查,一旦发现欺瞒,严惩不贷。平时也没有内控测试记录,审计师就没有办法查。面对这种情况,审计师可能得根据企业的实际情况,去改变测试的方法。
3.内控测试就是内控审计吗?
这里要强调下,内控测试不是内控审计,我们之前也说了,内控测试是为了判断之后的工作量大小,是为了财务报表审计服务的,如果企业的内控不好,审计师直接上实质性测试,就没必要测试内控。
内控审计是一项专门的业务,不同国家一般对上市公司都有要求内控审计,而对非上市公司没要求。内控审计出具的意见跟财务报表审计类似,也分为四类:无保留意见,带有强调事项的无保留意见,否定意见和无法发表意见。
值得一提的是,优秀的企业内控和财务报表的准确性有一定的联系,但却不是必然关系。就算一个企业内控再好,但也免不得有意外情况发生。企业的内控糟糕,但是做账的人本本分分,按规矩办事,财务报表就没有问题。
4.制度基础审计和风险导向审计
制度基础审计将交易分为机械的不需要人工判断的常规交易和需要人工判断的非常规交易和会计估计两大类。
(1)常规交易是企业日常发生的实际交易,这类交易有一定的套路,做账人员按照规矩办事,就不会有差错。
(2)非常规交易偶尔发生的实际交易,这类交易需要财务经理及以上的级别的人处理。
(3)会计估计不是实际交易,这类交易比较复杂,需要涉及主观判断。
所以根据这个,制度基础审计要求:审计师要对常规交易的内控进行测试,对需要人工判断的非常规交易和会计估计直接上实质性测试。
而风险导向审计则要求对这两大类交易,都应该先进行内控测试。
5.经营控制和财务报表控制
对一项业务的控制点,都有经营控制和财务报表控制,这两者有一定的联系,但是没有必然关系。
