既然这节课是讲风险,我来谈谈我对风险的看法吧。
在我们的审计工作中,虽然大家都喜欢做底稿,但是风险评估的底稿,审计计划的底稿,很多时候都是审计结束时匆匆的补充一点内容交差。
前几天还看到一个朋友在说,审计挺无聊的,思路打不开,平时就是刷底稿,然后就是抽凭,对比,熟悉一些准则什么的。
其实从他说来看,就很容易理解,为了做底稿而做底稿,为了应付工作而做风险评估,那么你做的所有的工作都是没有目的性的,每一项工作内容其实都是无故的在增加工作量。
但是,这是审计人员自己的问题。
并不是审计本身的问题。
是自己无聊,而不是审计无聊。
对于审计的小朋友来说,说好听是服从精神可嘉,让做什么做什么,基本脱离了人性,累到不能再累的时候,就开始抱怨。
对于一部分项目经理来说,他们会关注准则,关注数字,再各种数字中兜兜转转,可是他们忘记了关注人。
如果把审计项目比作一块石头,审计师就是来研究这个石头的,那么审计师研究的,通常是这个石头的纹理,形状,如果纹理清晰,形状可爱,那么好了没问题,可以出报告了。
可是审计师不会去观察石头周边的环境,有没有水流,有没有风吹过,阳光是什么样的,干燥还是湿润。
而这些审计师看不见的周边的一切,才是影响这个石头的最重要的因素。
这些重要因素,就是风险。
所以,我们做风险评估,第一步就是要了解被审计单位及其环境,很多人到了项目,吃喝住了一段时间,项目结束,连客户是做什么产品的,产品有什么用处,行业环境如何,未来前景如何,一问三不知,你是去旅游的嘛?
很多人按照底稿的内容,去了解了企业,写了很多内容,搜集了很多内容,访谈了很多内容,比如企业是做什么的,行业环境如何等等。可是呢?写完整理完之后呢?风险如何判断呢?心里并没有一个标准。
所以,风险是要有标准的,一个行业通常会具备哪些风险,这个企业你了解下来,它涉及了哪些,如果涉及三个以下,我们认为是低风险,涉及三个以上,我们认为是高风险。或者涉及哪一项风险,就一定会是高风险等等。
对管理层的了解也是一样的,往年的重大调整多不多,多到什么地步,我们就要考虑它为高风险,也是要有标准的。
不同的风险,容忍程度是不同的。
比如,我认为的低风险,可容忍程度就可以放大,比如5%,那么假设需要抽10个凭证。如果是高风险,比如2%,那么我就需要抽20多个凭证。风险导向,是影响工作量的。
既然风险导向影响工作量,那么风险导向也就一定会影响审计的收费,这些都是有关系的。
再说一下内控,虽然我们常常说风险评估中要做穿行测试,然后进一步审计程序中做控制测试。
实际上,穿行测试和控制测试是纠葛不开的,没必要去可以分离,在了解内控的时候,穿行可能是一段段的,了解内控的时候,相关的控制测试也会一起考虑的。
了解内控,就是了解企业的业务流程,整个流程中,关键的环节,关键的控制,每个环节和控制需要的表单,人员都需要非常了解。
有时候,我们了解内控的时候,也可以根据企业的组织结构图,每个部门是做什么的,如何在各部门中流转,每个部门的人员都有哪些组成,有没有交叉的,每个部门的人员都负责做什么等等。
不要觉得,组织结构图,要过来,就复制到底稿里就完了,我们搜集的每个资料都是有重大作用的,都是可以发现问题的。
最后,总结一下,了解企业,了解业务,跳出来站在更高处,才能看到风险。
推荐阅读