内部审计部门定位调查
　　投票人数：108

　　
　　jinyusj：我们是属于财务部，受财务部经理领导但审计正科长由人资部经理兼任。

个人感觉准则的贯彻还需要年年讲、月月讲、天天讲。故再次陈述如下：
　　审计的几个步骤：
　　首先对财务报表反映的数据和财务比例与公司本身状况和所处的行业情况做一个合理性分析，同时完成对企业进行总体风险评估程序。企业的财务管理报表分析，投行和基金的企业价值分析，民间财务质疑（如飞草等）分析都是基于此，所以审计人员也应该这么做，虽然目的不同决定了思路和视角不同。
　　其次对财务报表最近几年科目深入到明细后做变动分析，这种分析往往可以发现简单低级的财务异常。由于审计师可以取得客户相对详细的资料进行分析，能详细明确变化幅度。这是审计时对企业财务数据真实认定的最主要手段。
　　第三步对企业内部控制的有效性进行判断。对内控进行了解和测试，主要目的是判断企业的经济业务是否产生了一系列可供审计人员利用的证据。内控流程产生的证据，可分为内部证据和外部证据。内部证据要求须与财务数据核对一致，相互支持；外部证据可直接证明业务的真实性，如合同、发票、供应商和客户确认的物流单、对账单、协议等。事实上，接下来的实质性测试中，就是很大一部分工作是在对内控产生的证据进行的核对和检查。
　　第四步对财务报表进行实质性测试结果进行判断。实质性测试可以分为：纯粹外部取证的测试，如盘点、函证、检查；对内控流程保留的证据的进一步核实，如重新计算和抽查，其作用是不言而喻的。
　　审计就这么简单：
　　审计思路就是，如果财务数据总体是合理的，变动没有重大异常，内控完整有效且留下了关键证据，且经过实质性测试都支持财务报表数据，那么审计结果就是OK的。
　　而对上面任何一个步骤中，若结论是“否”，立即设计相应的对策予以求证；若结论是“是”或“不确定”，那就做接下来的一个步骤。如此前进，直到执行完实质性测试之止，方可得出最后结论。
　　当然，上面说的是项目的风险控制思路和检查思路，实际的具体工作可能并非按部就班的流水作业，也可以是齐头并进，但尽量不要先做后一阶段，再做前一阶段。
　　接下来要做的事：
　　审计思路清晰了，总体风险确定得到了控制后，就把底稿开的更漂亮，更清晰，更美观吧，因为实质和形式都很重要。

与同事们的讨论：
　　问：如果直接认为企业内控不存在，是否可不做内控测试，加大实质性测试工作量？
　　答：我开始说了，内控了解和测试主要是确定关键内控证据点，并可在实质性测试时找到测试对象。如果认定内控无效，就只能实施纯粹的外部取证程序了，包括盘点、函证和计算等。
　　就财务报表和内部控制而言，财务报表是结果，内部控制是过程；就利润表和资产负债表而言，利润表时过程，资产负债表是结果。纯粹的外部取证更多的只能针对资产负债表科目的审计，而对于利润表科目来说，还是需要依赖内部控制产生的证据的钩稽和检查。这里还隐含了一个概念：结果是正确的，不一定过程就没有问题。所以说有些错报是仅靠实质性测试所不能进行认定的。
　　问：上述过程的分析，如何与风险导向进行结合呢？
　　答：两个方面，风险导向审计就是从分析错报可能性到确定错报是否存在的思路；风险导向的另一个意思是通过分析企业风险来判断审计风险的过程，整个审计流程第一步是分析企业行业和总体经营风险；第二步是分析企业财务报表的列报风险；第三步是分析企业的内部管理风险，第四步就是对上述风险最后的检查和落实。
　　问：何谓报表层次的重大错报？与认定层次的重大错报有什么不同？
　　答：从三个方面理解，（1）发现方式不同。报表层次的重大错报，主要通过前文中第一步的风险评估程序发现的可能错报；而认定层次的错报，主要是通过前文第二步的会计报表科目详细分析性复核发现的可能错报。（2）影响程度不同。报表层次的重大错报，往往涉及到较多的科目；而认定层次的重大错报，仅对本身产生较大影响。（3）实施的对策不同。报表层次的重大错报，往往都是仅靠实施实质性测试不能予以认定的错报，需要结合总体风险分析和具体报表分析和内控判断的综合程序，才能形成结论的错报；认定层次的错报则主要通过实施实质性测试就可以进行确认。

　　waylink：对于风险导向这块审计基本上就是做表面文章。
　　老厚：哈哈，哪有不存在内控的企业呀，即便就是一个老板、一个会计的皮包公司，也是有他的规则的。
　　yongqi1103：学习啦，不过现实中，带队的经理只让我们一上来就是做底稿，做各种表格，呵呵最后导致这个项目完啦，我们对这个项目的行业或内控一点都不知道啊，期待着能有一个好经理啊！
　　wfzjsipt：偶现在做审计不再关心内部控制，只关心如何更好地为客户服务，如税，帐务处理。呵呵，现实的审计与书本上的差别太大了，我只能选择适应。
　　junlee：一家企业如果能够持续经营好几年，即使其无法提供内控的成文制度，也可合理断其内控应该是有效的。