一、审计对象的选择
1、选择标准:上次审计结果、金额、潜在损失或风险、管理层需求、经营方案、制度或控制的重大变化、获利机会、审计师的能力。
2、识别被审计对象的策略:地理位置、金额、业务或活动繁杂度、审计人力资源、管理层的关注度、职能部门、业务循环、决策中心。
3、审计师在安排审计项目时所要考虑的20种风险因素:内控系统质量、管理者能力、管理者职业道德修养、经营规模、近期重大变动、业务复杂度、关键人员离职、资产流动性、快速增长、业绩恶化、获利机会、竞争环境、信息化程度、上次审计的时间间隔、管理者绩效目标压力、政府政策法规、员工士气、外部监管、业务透明度和离总部的距离。
4、审计可以按部门、职能或一个业务流程进行安排,审计师必须明了各职能部门之间权责的划分。当审计一个部门时,审计师必须对可能在各职能部门之间出现的职能重叠或不足保持足够的警惕。对那些有影响力的部门或那些具有自主权的经营部门进行特定职能的审计是有价值的,它可以判定某种控制模式对总系统的运行是否经济而有效。
1、向有关管理层征求意见:董事局主席、直接分管领导、财务负责人、业务联系的中心负责人、各产业板块负责人、平台或条线领导、外部监管部门等的意见。
2、对被审计单位情况进行外围了解:包括历史沿革、行业状况、行业地位、外部市场变化、法律、政策变化、经营和人员状况、组织架构等。
3、取得被审计单位相关制度政策、报表、产品或服务品类、历史数据进行初步分析。
4、制定审计方案:包括审计内容、程序、重点、人员和时间安排。
5、下发审计通知书:审计目的、范围、人员、时间、地点、要求提供的资料和其他需要配合的事项。
6、初步准备的目标是保证审计师对审计环境的了解,并确定关键的经营方面、风险领域以及潜在的有明显问题的领域。
初步调查能帮助审计师确定审计重点,以便有效地开展工作,避免盲目和草率。
1、召开审计进点会:介绍审计安排,协调与被审计单位工作。
2、实地观察:对经营场所、业务活动和资产有大概了解。
3、查阅研究资料:战略、总结、计划、预算、政策、程序、制度、标准、组织架构和人员情况、各种报告报表、会议纪要、文件和公函、简报、通报、合同、调查、行业信息、竞争对手资料、管理方式、审计工作需要的权威性和技术性文件等。其中,会议纪要是极有价值的信息来源。
4、与有关责任人面谈(所有的关键性人物都应访谈到):行政管理部门常对本单位的经营有独到的见解和有一些特别的问题要向审计师提出,通常,对当前存在的经营管理问题、最近的变化等资料,必须要和被审计单位的管理人员面谈才能取得。
开展问卷调查:根据审计内容编制适当的调查表,以确定重点审计事项依据。问卷表要根据实际情况进行修改,同时要亲自回收,不能让被审计单位集中收回。
5、审计前应搞清楚的问题:企业或部门的战略目标是什么?实现目标的策略有哪些?业务操作流程?根据什么标准进行控制?企业或部门文化是什么?当前的风险有哪些?当前的困难有哪些?影响运营的关键因素有哪些?近期市场发生了哪些重要变化?组织架构模式?有哪些关键的人在起作用?内部主要矛盾或分歧有哪些?运营方式和策略是什么?要切实解决和了解“为什么?何地?何时?何人?怎样做?做什么?结果如何?”七个问题。
6、记录关键控制活动,对控制活动(包括控制点、控制缺陷或控制过度等问题)、审计时间和资源要求进行初步估计。
7、根因分析:问题发生原因可能是多方面的,同一问题也可能是不同原因造成的,只有找出问题的本质原因,才能有针对性地解决问题。
1、分析评价内部控制过程
评估内部控制的内外环境—根据战略和目标来确定应该要建立何种控制结构—确定已建立了何种控制结构—确定已建立的结构是否合适—确定已合适的结构是否被正确地执行—确定执行的效果如何—确定需要进一步测试的重点和改善意见(控制结构还包括管理指挥方式)。
2、进行“穿行测试”,包括单据穿行和流程穿行。
3、注意事项
(1)评价内部控制应考虑成本效益原则;
(2)评价内部控制要取得控制结构流程图;
(3)评价内部控制要特别关注纸质单据的流向和连续性;
(4)控制措施的设计要与发展战略、经营目标相匹配;
(5)关注影响内部控制发挥作用的重要因素:管理层违规、未合理授权、本位主义、教条主义、官僚主义、利益冲突等。
1、审计证据应充分、有力、相关、有用、客观。所谓客观性,就是其他谨慎的人依据该证据也能得出与审计师相同的审计结论。
2、信息的收集不能盲目,应先找出关键控制或问题区域,然后围绕该区域收集信息或证据,特别是在信息量大的情况下。
3、审计师应善于发问,善于引导与别人的谈话。询问对了解实际情况,以及例外情况和差异性特别重要。要找具体业务经办人员以及与该业务相关的上下游人员进行交谈。交谈应让人感到轻松,没有压力或恐惧,更不能引导或暗示某种答案。
4、注意从外部收集信息,在审计一个部门时,应注意收集该部门所服务对象的反馈信息。
5、审计证据要关注对非财务信息的收集,如工作计划与总结、会议纪要、收发文件内容、简报、报告和请示等公函、员工合理化建议等,这些资料所含信息对审计十分有帮助。
6、核单和追踪是常用测试证据的程序。
7、收集证据要充分考虑重要性。如果该信息足以影响决策者或管理者的行动,那么该信息就是重要的。
8、衡量内审工作质量的最重要标准之一,是审计证据应有助于促进被审计单位管理当局更好地履行其职责。
9、对重要但无法证实信息的处理:可对这些信息进行不正式的披露,但审计师应明确指出这些信息未经证实。
10、对“软数据”的处理:软数据结论往往需要专家的帮助,审计师应就如何评价软要素数据这一问题与被审计单位管理当局及决策层达成共识。
11、努力取得定量数据。审计结论一般应有定量数据支撑,这样才能更有说服力。合理的统计抽样有助于对审计结论的做出提供较明确的保证,审计抽样和主观判断同样重要,科学的统计抽样技术需要在审计中正确地运用。尽量避免用一些模糊的词如“有些”、“可能”、“部分”“或许”、“几个”等,要用数据表述问题的事实,妥当的表达方式应该是“经抽样调查多少份单据,发现存在多少个问题”。
12、流程或控制缺陷发现的七个要素:一是标准:业务经营设想要达到什么样的目标?二是状况:业务经营实际达到了什么水平?三是程序或惯例:人们设想要做什么或他们实际在做什么?四是原因:为何发生和标准的偏差?五是后果:由于状况不符合标准,发生了什么或可能发现了什么?六是结论:需要采取什么纠正行动?七是建议:纠正该状况需要做什么?任何一个缺陷发现适当地包含了上述成份,就可为纠正行动提供强有力的论证。这样就不会有遗漏的问题。不能强求具体业务人员了解一个企业或企业中某一部门的所有制度流程、所有管理和技术问题。业务人员要花好多时间学会如何处理这些事项,他们甚至没有意识到他们所从事业务的这几个成份。否则,审计师所鉴定出的这些缺陷在他们进入前就被业务人员解决了。
13、对审计证据做出判断一定要找最了解情况的人、有经验的人、主管领导交流,有些事情并不是我们所想象的那样简单,如果我们不认真分析被审计对象的解释,会给审计师带来许多麻烦和尴尬,能否正确地分辨解释的真伪取决于审计师的眼光和能力。较适当的问话语言建议为“问题可能在这里,如果我们建议采取这种办法去处理您认为将会发生什么情况?”。要牢记“真正的专家在一线”,让被审计对象自己思考和提出改进办法比审计师提出效果要好得多,即使审计师的意见是对的,被审计对象也可能存在抵触情绪。
14、工作底稿:审计工作底稿要按清晰、完整、证明有力、具有价值的原则编制,一张底稿只记录一项与审计目标相关的内容,注意留有空白。
15、数学方法的运用:运筹学及通过数学模型的问题模拟是很有用的。它们能帮助管理人员做出更加合理的决定,也能帮助审计师发现趋势和预测结果。但是,它们的复杂性又会给一般管理人员留下一种为技术专家所掌握的狭隘观念。各种模型、概念、假设、计算机运用都需要管理观点的验证,必须以管理人员的要求为依据。任何管理部门赖以进行重大决策的、需用电子计算机处理的模型,对审计师来说,都是需要事先了解的。审计师在评价中应采用经证实的标准和审计技术。最重要的是,必须始终以经营判断的显微镜来观察各种数字和公式。
1、会议的目的:是讨论审计结果与建议。应该在会议开始前将报告征求意见稿发给被审计单位领导。要保证被审计单位领导在会上对所有的重要发现和审计建议及业务人员的反应做出评价,这是一个证实审计报告准确、平衡和相关与否的机会。
2、保持礼貌与周到,不争吵和骂人;避免使用不礼貌的话语;表示学习的态度。
3、在语气和形象上应保持中立、客观、公平和公正。
4、对反对意见要有所准备和预见,要准备好充分的证据,尽量在会议前把事情弄清楚。
5、态度要积极,要赞扬、促进、鼓励,不要破坏、攻击或打击;要留有余地,以便为被审计单位保存面子,虚心听取被审计单位的不同意见。提出问题时,应采取严谨得体的措辞,以尽量减少冒犯被审计单位管理当局。
6、适度地表现自信,发言清晰,音量合适,并注意眼神交流,及时观察对方反应。把重点放在被审计单位对问题的积极态度上。会议的目的是说服,而不是责备。
7、对待被审计单位顽固态度的建议:一是选择恰当的时机。当对方发火、疲惫、心烦意乱时不必企图使其恢复理性;二是永远不要采取僵硬的姿态,这样的结果只能是一无所获;三是不要依赖逻辑,逻辑对顽固之人无能为力;四是做事要留有余地,永远不要辩论到无法体面退却的境地;五是不要施加压力,要善于说服;六是开始时,找一个共同点,对抗是无用的.一致才是坦诚的开始,审计师与被查人员总有些目标是一致的,要求大同,存小异;七是访问被查人,倾听他们的陈述,理解他们的观点,同时要拓宽自己的思路;八是做出积极的努力,设身处地为他们着想,真诚地理解他们;九是当你理解了对方的立场,且设身处地为对方着想之后,让对方感到你要他们接受的观点有助益,从而帮助他们走向正轨。
1、后续审计应确认已经采取的纠正行动和正在达到要求的结果,或者确认被审计对象管理当局已经明确承担了对报告中的审计意见或建议不采取行动而产生的风险。
2、后续审计的重点应是由于控制目标未能实现而产生的风险,控制目标的实现和风险的再评估是后续审计的重要内容。
3、纠正措施必须针对产生问题的原因,而不是现象,必须是真实有效的,是经过授权的。衡量纠正行动妥当性的四个标准:一是这些行动必须是针对所报告的缺陷的;二是它应当完全地包括纠正缺陷行动的各个方面;三是它应是连续不断的;四是它应当受到监督以保证能达到效果和防止再次发生。
4、应跟踪重大的审计发现,直至它们被纠正或被审计单位做出书面声明他们将不采取任何措施,并承担不采取行动的风险和后果,不然审计师必须对纠正行动进行追踪直到问题被完全解决。被审计单位未能采取纠正措施与被审计单位声明无意采取任何纠正措施是不同的。被审计单位可以选择审计建议不同的方法解决问题,但审计师应与被审计单位一道评价方法的实际效果,直到效果满意为止。