IM电竞 IM电竞平台IM电竞 IM电竞平台IM电竞 电子竞技平台IM电竞 电子竞技平台之所以会出现风险导向的审计方法,就是因为自下而上的、完全基于实质性测试的审计方法在。所以越是时间紧迫的年审,不是应该越要依赖风险评估和符合性测试环节吗?我是不太理解提问中的困惑究竟是在哪里。
以这个例子来说,实质性测试的样本量就相差了将近一倍(注意上面的图表和相关数值只是用来举例,不代表实务中的操作标准)。
至于风险评估结果是怎么来的,同样有标准化的评估程序可用。比如管理层风险的评估,可以借用类似以下的checklist(同样仅为示例,不代表实务操作标准):
但这还不是一切的起点,以我上面贴的符合性测试为例,为什么要满足左上角那三个测试目的?为什么要抽右上角列的那些单据?每家公司都是测试这三个节点、抽这点单据吗?没有这些单据的公司抽什么?
所以在这之前审计师还要去描述业务流程(business cycle),要去写流程文档、去定义关键控制节点、去筛选关键控制所涉及的表单和人员、去mapping control matrix。而这一切的源头——无论是做审计,会计,财务尽调,或者其他什么财务领域的工作——同志们,是Understand Business!
总之,如果采用风险导向的审计方法,遵循审计准则的要求,那么风险评估和内控测试结果当然会影响到后续的工作方式和工作量。至于不理解风险导向审计却要硬套表面的审计流程,为了做审计计划而做审计计划、为了做符合性测试而做符合性测试,那当然会觉得平白增加了工作负担。但这是审计人员自己的问题,而不是审计方法的问题了。
我所今年系统升级,用加大抽样这种简单粗暴的方式,逼迫全体狗狗执行控制测试OE,简单粗暴。原先封顶75个的抽样,现在封顶300,抽爆了还得写memo交EQCR,于是大家都去执行控制测试了。。。
风险导向审计的思路是很明确的,某一具体科目,针对风险ROMM,有没有内部控制Control?有的话是什么Control?设计执行是否有效?然后根据前面这一堆,判断执行什么级别的审计程序。任何审计系统里,这个思路,都是一路钩稽下去,一直到对应的程序的。
为了不高估,企业有内部控制,比如财务确认对方收货(签收单)开票了(发票)才会确认收入(Control)
1、这时候,如果Rely on Control,就要再抽25个,判断是不是执行有效,如果执行有效,我们Rely on 程序可以少一些,抽样抽1倍就行了。
2、这时候,如果Not rely on Control,啥也不用做了,直接执行一大堆实质性程序,抽样抽三倍。
需要特别提醒的是,很多新手分不清了解内部控制和控制测试的区别,也分不清控制测试中穿行测试和实质性程序中抽样的区别。实际上,侧重点有所不同,了解内部控制,就是抽一个日常发生的看看流程,控制测试,就是同样的流程多抽些看是否有效,一个是了解,一个是测试。而控制测试抽样重点看的是审批,流程,而实质性程序里则偏重数字和客户/供应商入账时否一致等细节测试。
你要问这一堆有没有用,答案肯定是有,因为企业一大了,你not rely on 然后抽一万笔都是不能有效控制风险的,只有通过这一套思路,才能体现狗狗的审计判断。而且,这是准则啊,严格按这个执行,出事了,也可以自我保护。
具体执行的话, 内资所会比较随意的搞搞内控,不管测出来什么样,都会执行实质性程序一大堆,不太考虑over audit的事,因为客户一般较小,这样做都控制的住风险。我曾以为,实质性测试才是能发现问题的审计奥义。
但四大就是严格按照准则的思路,并执行相应的程序,Rely on就抽100,Not rely on就抽300,后来我觉得这才是学下去没有天花板的会计师的职业判断。
实践过程中,四大对于各个行业都有对应的风险库,针对整体层面和认定层次的风险因素都有数百条并且每年都在进行更新,前两步(1,2)的企业的风险识别过程实际上已经标准化,即从风险库里挑选添加出适合自己企业业务的风险点(如有特定的风险可以进行手动添加)。这里要注意,为项目添加风险点时每个报表科目可能对应多个风险点,且不同的报表科目之间对应的风险点有可能是相同的。例如应收账款与收入,存货与成本之间对应的风险点很多都是相同的。
第三步(3)风险评估:依赖审计职业判断,checklist和对比差异数均为辅助。
对于报表层次的风险水平,通常有一些评估的checklist照着点一遍就可以大致看出整体风险状况;对于认定层次的风险水平,通常项目会获取年结前几个月的报表数据和对比期进行对比,通过综合分析变动的合理性以及衡量变动和重要性水平,结合职业判断来确定认定层次风险的高低。
风险认定及评估程序发生在Planning阶段,即下现场之前,通常Senior以下level是接触不到风险评估程序的。小项目里基本都是senior先看看企业今年有没有新的业务和风险点,然后按照去年的评估水平在审计系统中将每个风险点的对应风险水平(高中低)都选好,之后经理合伙人进行review,对于有变化的风险水平再进行更新。大项目这个过程一般都是经理级别来完成,会做得更细致一点。(原则上,风险评估程序应该贯彻整个审计流程,风险点的评估高低应该伴随业务进行而调整,但是实际业务中一般都是审计之初定下,后期调整风险评估水平的情况并不常见。)
审计计划阶段在对各个风险点进行识别和评估以后,还有一步非常重要的程序即:了解企业的内部控制。基本上了解内控这个过程实践中在两张底稿中完成,第一张:了解并评估内部控制要素(控制环境,风险评估,信息系统和沟通,对控制的监控),第二张:了解并评估控制活动(穿行测试,对涉及的business cycle进行walkthrough,通常有销售与收款循环,采购与付款循环,生产与存货循环,人力资源薪酬循环和与筹资循环,货币资金循环),了解企业内控(穿行)的这个过程主要是用零星的样本,来了解企业的控制活动中,重要的控制点是否设置和存在。划重点:这一步并非是测试控制点是否有效,因为如果关键控制点都不存在的话,后边的控制测试压根就做不了。
到了这里才是控制测试的阶段,会在审计的执行阶段进行。主要是测试企业的风险点对应的内部控制的执行是否有效。具体需要测试的样本量需要结合控制的发生频率以及对应风险点的风险评估高低来决定,四大各家都会有对应的rule of thumb经验法则,每年的模板也会对应地进行更新。通过分析测试的结果,如果内控发生误差的可能性小于我们的预期,我们则可以认为企业这个控制点是可靠的,我们可以选择依赖这个控制,后期实质性程序中的抽凭数量则会减少。
审计的执行阶段进行,企业的实质性程序=实质性分析程序&细节测试,细节测试是实质性程序的一部分,也就是审计师们口中的抽凭/抽样测试。这个抽样的量则主要受到测试整体金额,重要性水平大小以及是否依赖内控的影响。如果企业的内控执行的非常好,那么企业预期的例外率可设置得稍低,例外的可容忍率可以设置得稍高,这样最终计算出得抽凭数量则会下降,反之抽凭得数量则会更高。
希望以上可以帮助到审计新手们充分了解各个审计名词的区别和联系,后期会在答案上进行更新和完善,希望可以帮到更多的小伙伴。
风险评估包括很多方面,我理解一般至少要做如下工作:行业环境与法规环境(比如你审计汽车公司,行业哪类车走向,排放标准与新能源政策等必须熟悉),当然行业了解深入因人而异了,但法规等必须知道;另一个就是微观方面了,一般也至少做两个:一个是企业的绩效考核,一个是业务流程相关的控制活动,这两个必须了解,且业务流程至少做到‘输入➕处理➕输出’,走下穿行……其实也就2到3天时间。
“拇指规则”是指的是在农业播种时,为了达到合适的种子深度,拇指经常被用来快速地测量种子掩埋的深浅,而在经济领域,指的是指经济决策者对信息的处理方式不是按照理性预期的方式,把所有获得的信息都引入到决策模型中。他们往往遵循的是:只考虑重要信息,而忽略掉其他信息。否则信息成本无限高。
风险评估就是审计程序当中的那只拇指,从而判断风险大小的,其中更多的是主观判断。
注册会计师职业是在第二次工业革命后期正式成熟的,在产业集团化的背景下,风险评估为导向的审计模式与运用方式,可以更省时间,举个例,为了证明你批烤鸭是安全的,以食品安全法为原则设计了一系列的问卷调查测试,然后判断抽查的范围。如我认为这批烤鸭的安全风险是低的,我这次抽十只烤鸭进行检查,这样节省了时间。
但是,如果是风险不单独存在于食品安全,而是在禽流感的话,这样的风险就被低估了。
还好,随着信息化的发展,其实就是以信息为基础的第三次工业革命,有人提出了用大数据来解决样本不足引起的风险,即我每一只烤鸭从他从鸭蛋到烤制的过程都有数字记录的,是的,每一只鸭子,而不是十只,这样的话,风险就转移了。
这个方向有很多人在探索,本人也试过用新型的盘点工具进行盘点,可以见我之前的贴子:
传统的审计思维模式是从局部到整体,借职业判断进行审计抽样,再利用样本推测整体。这个是在以前是一条捷径,而在大数据时代,审计抽样方式逐渐被全盘审计模式替代,分析总体数据,即“样本=总体”,这是一条大道。
