行业资深人员的经验,对审计很有帮助,希望大家看看:
首先介绍一下,本人三十多岁,从业将近10年,先是在国内的一家排名在30名以内的事务所作审计5年,后来去了四大之一做了3年审计,现在转到国内另一家大事务所做咨询工作。可以这样说本人对国内所和四大都有比较充分的了解,我写的东西不存在道听途说,不存在妄加推测,都是本人亲身经历和亲身感受,如果诸位想听听,我会详细的把我所理解的四大介绍给大家,大家有什么见解尽管发,但是不能做人身攻击,否则本人就此潜水。
首先,我的立场是完全是客观的,说起四大,以前往往认为他们很神秘,今年来随着光环逐渐退去,四大往往为人所诟病,目前业内人士对四大指责颇多。不容否认,四大的确存在很多问题,有些问题也确实是致命的但是由于四大对其核心技术方法并不公开,外界对四大的审计理论也许有所了解,但是对他们如何具体执行审计业务知之甚少.
我的文章也许会很长,看情况吧,我倒是希望把我所知道的原原本本的介绍给大家,我不想争论,也不加判断,诸位自己判断吧。继续说.毕马威会计师事务所早在1976年就实施了审计领域研究机会项目,并以此为名称出版研究报告,从而与学术界建立了紧密的合作关系。虽然其他大会计师事务所也效仿毕马威与学术界的合作模式,但毕马威依然处于领先地位。20世纪90年代早期,毕马威一方面在实务中进行了一些必要的探索,另一方面组织了以鉴证服务主管Timothy.B.Bell、鉴证服务全国(美国)合伙人FrankO.Marrs、伊利诺伊斯大学毕马威杰出教授IraSolomon和伊利诺伊斯大学战略管理教授HowardThomas为首的研究小组研究新的审计方法。1997年,研究小组出版了研究报告:《以战略系统观组织审计》,提出了毕马威的BMP(BusinessMeasurementProcess)审计模式。安永会计师事务所以“审计创新”为名开发现代风险导向审计,并形成了对企业经营环境进行分析的系统方法,简称BEAT(businessenvironmentanalysistemplate),在此基础上,安永形成了全球审计方法(GlobalAuditMethodology)。普华永道会计师事务所开发出了以“普华永道审计方法PricewaterhouseCooper’sMethodology)”为名的现代风险导向审计方法。德勤会计师事务所开发出了以“AS/2”为名的现代风险导向审计方法。我只是在其中一家工作过,只是通过其他同事间接了解了其他三大的方法,下面我只是详细介绍我工作的一家吧,但愿不会涉嫌侵犯商业秘密,呵呵。
我把思路整理了一下,大体想按照以下的结构来写,各位大虾有啥意见也可以提,我再补充或调整。
一、审计方法演变的背景简介
二、主要的审计步骤
承接客户阶段
制定审计计划时的考虑
前期工作(风险初步评估)
内部控制的了解与测试
风险再次评估
实质性测试
特殊事项的考虑
报告阶段的主要工作
三、其他重要事项
审计风险模型
审计抽样
审计质量控制
关于审计底稿
集团审计时的特殊考虑
四、人力资源和薪酬制度简介
五、四大审计模式中的局限性
一、审计方法演变的背景简介
太远的就不多说了,从20世纪80年代开始吧。(呵呵,将近20年也够长的了)声明这部分不是我的原创,只是介绍一些背景情况,以更好的了解目前四大审计方法的渊源。如果对这部分不感兴趣也可以直接跳过去,不过看看也挺好.
20世纪80年代晚期之前的情况:
管理层舞弊的职责在权威性指南中尚不明确。权威性指南继续支持对交易类别和账户余额进行详细测试,因为这类程序通常可以获得最有说服力的审计证据。为了促进对抽样风险的控制,指南建议建立模型(ARM)来帮助审计师运用抽样方法,计算详细测试的样本规模。同时实证证据显示审计程序不会因为审计师对固有风险和控制风险的评估而有显著改变。
职业界对固有风险的历史观点反映在美国审计准则公告第39号“审计抽样”。为了在确定审计范围时确定样本规模,公告忽略了固有风险,因为公告认为量化固有风险很困难,并且成本有可能很高,尽管大多数审计师在审计计划过程中直观地运用固有风险分析,但是固有风险分析仍未被正式地纳入事务所的审计文献中。不管是否有控制,固有风险都存在。因此,对可控制(内部控制)进行查证并不能识别此类风险。
20世纪80年代晚期的一些发展:
为主观评估固有风险(重要错报风险和检查风险)而取得的关于公司经营状态的证据并未被权威性指南明确地确认为审计证据;更确切地,这些活动被描绘为获得证据的计划。帮助审计师充分地了解经营,并有效控制非抽样风险的指南仍然很少,尽管审计失败指出非抽样风险是主要诱因。
当时普遍存在的审计环境对审计的影响
社会对审计质量的预期明显没有得到满足;
针对审计师的诉讼骤增;
大型审计事务所的执业保护成本达到最高记录;
为了更好地评估和控制审计师的业务风险(尤其是与高风险客户相关的风险),审计事务所改善了筛选客户的方法;
审计市场竞争激烈,有压低价格的压力;市场壁垒似乎限制了根据质量区分审计师的能力;审计时间减少,迫使审计事务所为提高效率而重构其审计程序。
审计事务所试图通过扩展非审计服务来维持或者增加利润。
1988年发布的美国审计准则公告第53号增加了审计师发现财务报表舞弊的职责,之前的职责(如美国审计准则公告第16号所述)是当在审计过程中有迹象显示存在舞弊时应该有所反应。美国审计准则公告第53号中的新职责是更为主动的——审计师应该计划并执行审计以合理保证由于差错和非常规事项(即舞弊或盗用)引起的重要错报能够被发现。美国审计准则公告第53号推荐了多种可能显示高舞弊风险的客户经营风险因素的例子。对这些风险因素的识别和评估需要更深入地了解客户的经营、行业以及客户的经营业绩,并寻找可能对业绩有重大影响的经营风险,或者有可能在近期产生重大影响的经营风险。
1997年发布的美国审计准则公告第82号试图进一步明确审计师发现财务报表舞弊的职责,“审计师应该明确地评估舞弊引起的财务报表重要错报的风险……”给出的风险因素的例子更多地涉及到管理层激励、行业环境以及客户运营特征和财务稳定性。补充的指南要求在工作底稿中记录执行舞弊风险评估的证据,对存在的风险因素做出反应,审计师与管理层、审计委员会等进行沟通。
20世纪90年代以前,日益动态竞争的经营环境促使管理更加关注经营战略和经营模式修正、核心能力和关键成功指标、经营环节执行中的优势,以及相关的经营风险。
上述因素和关系会增加非抽样风险和审计师的业务风险,尤其是论及到审计师评估舞弊引起重要错报风险的时候。
20世纪90年代至今的发展:
出现了多种经营分析和风险评估框架,审计师为了增强对非抽样风险的控制而利用了这些框架,并提供了增值性的非审计服务。类似的框架包括:COSO和CoCo
扩展的内部控制框架,推荐了监督和控制相关经营风险(业务运营风险、合规性风险和财务报告风险)的关键成功要素。多种质量管理框架和价值管理框架,例如平衡记分卡、波特五力模型、全面质量管理(TQM)以及系统思想的创新和竞争性战略动态学。
大型事务所进行了总结之后,战略系统审计(SSA)作为一个框架出现,战略系统审计(SSA)
框架(有些地方称之为经营风险审计、风险导向审计,国内称之为现代风险导向审计),例如:安永的审计创新(AuditInnovation),毕马威的经营计量程序(BusinessMeasurementProcess,即BMP),普华永道的“普华永道审计方法(PricewaterhouseCooper’sMethodology)”德勤的“AS/2”为名的现代风险导向审计方法。
各事务所的方法形式不同,但是都有一些共性的方面,如:
框架均附有一组工具对审计师有如下作用:改善对多种非抽样风险源的评估和控制,例如改善对舞弊引起的重要错报风险的评估改善承接客户及续约的筛选方法
改善对其他非抽样风险源的评估和控制:利用改进的经营认识评估以下固有存在的风险:会计政策选择,重要的非常规业务交易,补充披露(例如,完整性与充分性,重要的经营风险),利用改进的分析性程序,根据快速变化的经营环境来评估常规交易类别、账户余额、比率及其变化的合理性。
改善对其他非抽样风险源的评估和控制:经改进的实质性-分析性程序,经改进的经营了解以对实质性详细测试的性质、时间和范围进行计划。证据的评价和整合得到改进,在这个审计过程中形成并修正观念以对重要错报风险(RMM)和检查风险(DR)做出递推的、主观的评估。
一、客户承接阶段的主要工作。
承接客户阶段的主要工作最核心的是客户筛选,说实话,我对这部分了解并不多,这部分工作是合伙人做的,个别情况下是经理也会承担一部分工作,一般的Staff是接触不到的。对客户的筛选关键是评价客户的经营风险,在风险导向审计的理论下,客户的经营风险是决定审计风险的决定性因素,最大的经营风险其实就是经营失败,实务中尽管经营失败并不必然带来审计失败,但是在绝大多数的情况下,经营失败往往会导致审计失败,或者说在经营失败的情况下,公众有扩大审计师责任的倾向,尤其是在新的审计准则环境下,这种倾向更加明显。通俗的讲,就是最大的审计风险就是客户会不会倒,客户倒了,那你的审计风险就是接近于无穷大了,当然决定审计风险的还有其他很多因素,我只是说我理解的最关键因素是经营失败的风险。具体到四大的在国内的客户,主要分两部分,一是跨国公司在境内的分支机构,是四大境外OfficeTransfer过来的,像PWC的朗讯,DTT的GM。这类客户一般不需要境内Office做太多的客户筛选工作。二是境内客户,这部分要做完整的客户筛选程序。具体工作我没有作过,大体内容应当包括行业背景分析、公开市场资料分析、客户经营战略和经营风格(激进还是保守)、管理层(实际控制者)动机分析、客户诚信度分析等等,分析的工作非常复杂,这个阶段有一定的局限性,比如资料完整性、可靠性问题等等,分析结果的可靠性存在一定不确定因素,一般有很多工作要在执行审计过程中再深入去做,以验证或推翻客户筛选过程中对风险的评估结果。这个阶段的工作还是非常复杂的,目的是接一个新客户时,就将高风险排除掉。这样等到了现场工作时,已经不会有大的风险了,现场工作仅仅是为了防止意外,以及控制一些剩余的风险(剩余风险概念现在好像不在提了,风导审计理论有了新的发展)。我理解四大认为最大的风险还是选择客户不当的风险,因此对于客户筛选程序上也是比较复杂,我工作的这家一般是项目主管合伙人具体负责评估,第三方合伙人复核,好像还有技术部复核,然后全套资料传到香港的大中华总部复核,由HKoffice放Clientcode和Engagementcode。个别的还要传到澳大利亚的全球技术总部复核。从整个过程看客户选择的过程还是非常谨慎的,我曾经不止一次遇到过放弃客户的情况,2004年我in-charge的那家上市公司,
2005年我看就换成local所了,04年就发现客户主业开始下滑,即使没有发现问题,但是04年已经被列为高风险客户了,05年放弃掉也是情理之中的事情。在四大购买会计原则还是非常难的,原因很简单,国内市场对于他们全球收入来说毕竟有限,单个客户每年几百万人民币的收费,一般还不足以促使合伙人冒道德风险,或者说即使是由于各人道德、业绩考核压力等原因,合伙人主观动机上有问题,但是在层层复核的情况下,其交换审计原则的行为还是不容易实现的。当然我说的不绝对,像德勤创维事件中,就有合伙人德道德问题。即使是个别合伙人有问题,但是作为四大管理当局本身,主观性违规的可能性还是不存在的,我说的是指国内,市场十分有限,最大的PWC年收入不过1亿美金,其他三大更少,比起全球动辄上百亿美金的总收入,您觉得四大(不是四大的个别合伙人)会为了几十万或者几百万美金而冒险吗?当然在一个足够大的市场中可能情况会改变,比如著名Enron事件中,AA为了Enron每年的5000万美金而冒险,但是近期在国内我看四大整体上为了个别企业冒险的可能性还是很小的(不绝对)。在这个阶段还有一项重要工作就是项目收费&成本测算,原则上是根据工时成本计算收费,具体我到主要审计步骤那一部分再讲。
再说说国内的事务所,我服务过三家,由小到大,现在的这家也算是不小了,可以排在国内前20名以内,但是承接客户就是单个合伙人说了算,基本没有风险评估程序,就是由合伙人个人定,基本不同其他合伙人讨论或者通报,结不接业务、收费多少、签不签字基本是一个人说了算,也有一定的复核程序,但是起的作用有限,国内的事务所大多数还是处在这样一个状态下。还是那句话我说的不绝对,个别的大型事务所可能好一些,但是实事求是的讲现在市场竞争太激烈,大多数事务所的合伙人能拉到业务就已经很不错了,客户筛选工作就薄弱一些。
这一部分可能是争议比较多的,其实也是我自己的理解,毕竟不是根据一手资料说的,讲的也不是很清楚,难免有不妥当的地方。我说的这些也许被诟病,但是我希望业内的同仁拍砖之前想一想,说的话还是口能对心为好。从下一章开始我找一个公司的底稿,从头到尾详细讲一遍执行的审计程序和审计方法,那是我亲身做的,说起来就有把握多了。
二、制定审计计划时的考虑。
决定承接客户之后就是具体做业务了。我记得主要是做年报审计和IPO(境内和境外,主要是境外)。好像四大没有local所做的专项审计业务,最多有个执行商定审计程序的业务。年报审计大约是从9月中下旬一直到第二年的4月,有的根据境外准则的要求,年报审计也会在年中的几个月(USGAAP)。IPO一般是在年中,做的时间都是比较长的,一下好几个月,一直做到吐血。
一般的年报审计业务分两阶段(预审&final):
1)预审,我理解预审对于四大是非常重要的。一般是在9月开始到12月初,审计当年的情况。绝大多数审计业务都会经过预审。预审分两种,一种是普通的预审,一种是非常接近年报审计的预审,他有个专有名词,我不知道怎样翻译合适,还不敢直接写英文(害怕找麻烦)暂时就叫详细预审吧。
先说普通预审。主要做以下工作:Follow上年final时的审计调整,核对期初的金额;取得/更新当年的永久性文件;了解客户的经营风险;审计风险评估;内控了解(更新)和测试;填列当年的计划阶段的各项底稿,包括控制性底稿和技术基础性底稿,像重要性水平的计算等;执行报表科目实质性的审计程序。预审时的审计程序和final的审计程序没有什么实质区别,但是有适当简化,如不执行盘点和函证(毕竟还是预审),重点是实质性的分析程序,也包括相当程度的detailtest,如抽样测试,对预审中发现的问题,如果可以confirm,就要求客户调整,对于不确定事件,则留下AuditFindings,让final的同事follow。预审阶段会形成一个非常重要的底稿-《完成初步的分析性程序》(直译,不一定准确),是对全部报表科目的非常详细的分析,包括各科目当年发生的主要事项,金额变动分析,余额结构分析,一些比率分析,发现的主要问题,现场的主要判断等等,详细程度远远超出local所同事的想象,完成这张底稿既是现场审计工作的详细总结,又是对现场staff的督促,你工作做不到位就写不出东西来,即使编出来也很难经过复核的考验(除非是出色的小说家),这张底稿还有利于manager和partner复核,使其迅速了解客户的基本情况。下面说到这张底稿时我会详细讲,有可能的话贴个例子上来大家瞧瞧。
一般一个客户普通预审和详细预审不会都做(节省成本嘛),详细预审一般截止日是11月末(或者非常接近final的时点),审计程序和final的程序完全一样,包括发函证、盘点。但是一般不包括存货盘点,存货盘点在年末统一做。详细预审就是一次完整的年报审计过程。
客户预审是经过详细预审和普通预审对final的影响有很大的区别。经过普通预审的客户,final时仍要对全年的情况进行审计,当然有些工作预审做了的可以简化,但是审计重点还是整个年度。
经过详细预审的客户final时只要对最后一个月的变动情况审计就可以了,如果变动不大,一般外勤就很快结束,变动巨大并且合理性有问题的才需要关注全年度情况。就是说经过详审的,final时审计重点是最后一个月(最后一期)。
以上是一般情况,有的重点客户甚至一个季度预审一次,从Q1到Q3,还包括一次详细预审,当然这种情况很比较特殊,但是也不罕见,如IPO过程中的业务有时会遇到一年审好几次的情况,估计这也是控制风险的考虑。
其实我认为50%-70%的外勤审计工作在预审阶段就已经做完了,经过预审大大减轻了final时的外勤工作量,节省了时间,并且在相对淡季做预审,有效的缓解了final时的人员需求压力,并且有利于控制审计风险,增加了对客户的了解,对审计风险控制有一个提前量。预审的作用还是非常大的。很多Local所也做预审,但是预审的详细程度、审计深度&广度、预审的有效程度远远不如四大,更多的时候是对客户的粗略了解,对提前控制风险,减轻年报审计压力的效果有限。容易形成年报审计的时候才发现新问题,搞的措手不及。
在开始讲底稿之前这里先讲一讲项目控制吧。确定承接项目后由合伙人或经理签订业务约定书,每一个项目都有一个客户编号,一个业务约定编号,签约后确定负责该项目的经理。经理根据人员工时计划,向admin提出人员配备要求,四大有个专门部门或人员负责人员调配和工时记录,四大的项目控制和人员调配比较严格,安排员工作哪个项目作多长时间都是很严格的,时间到了这个员工肯定撤出该项目,经理一般没有权力多留用个别员工。同时对项目要考核成本,比如一共使用多少不同级别的员工,总工时多少、报销了多少费用。工时成本按照员工级别计算,比如A2每小时成本是四五百元,如果成本超支或节约对经理是有奖罚的。确定了team后,指定一个现场负责人(incharge),一般项目经理不会去现场做业务,大项目除外,有的项目甚至是合伙人现场incharge,一帮manager做FAIC。
四大的项目控制包括时间成本控制和质量控制。由于主要成本是人员工时成本,经理为了避免人员过多浪费成本,或人员不足不能按时完成,对人员计划是比较谨慎的,但由于四大现严重缺人,一般是人员不足,每个项目都很紧张,导致超高的工作强度。质量控制是通过标准化审计程序和严格复核来控制的,尽管经理很少去现场,但经理是会了解项目进度和重要的审计事项的,并且事后复核会很严格。
前面罗里罗嗦的说了这么多,现在终于言归正传了,开始讲四大的底稿,我找了一套国内三年一期IPO的例子,从头开始逐张底稿讲讲。底稿的结构包括:1、制定审计计划时的考虑;2、前期工作(风险初步评估);3、内部控制的了解与测试;4、风险再次评估;5、实质性测试;6、报告阶段的主要工作。其中1、2、4的具体做法四大以外的同仁都知之甚少,3、5、6一般的审计教科书都会有相关内容,local所也有自己的一套实施方法,四大的做法与local所差异还是非常大的。我这篇文章的核心内容是2-4,也是以前从来没有人公开详细介绍过的(至少我没有看到)。写这部分内容主要困难是如何准确翻译,四大的底稿全是英文的,一些表述习惯和汉语有很大差异,有很多专业词语不太好准确翻译,翻译的过程比较麻烦也费时间,只能在说清楚的基础上尽量简化,一些句子可能读起来比较别扭。就像现在新公布的审计准则一样,读起来要多别扭有多别扭,根本就不像是中国人说的话。去年我曾经与中注协标准部的同仁探讨过这个问题。就算是你以趋同为目的吧,为啥不能按照汉语表达习惯把国际审计准则(IAM)汉化,在保持实质不变的前提下,让新审计准则更容易理解一些,注协那伙计回答,汉化本身不是问题,但问题是按照汉化后的文本再翻译成英文,和IAM的英文文本又会有很大差异,他们不会认为你已经趋同了,或者要做许多解释工作,与其这样
麻烦不如直接翻译过来尽量与IAM英文文本保持一致(我倒?!)。
四大没有固定的审计程序,根据每个公司的不同情况、业务特点、风险评估情况,最终确定需要执行的审计程序都不一样。也就是说,执行的审计程序在大框架一定的情况下,每个具体项目都是比较灵活的。这点和local所区别很大,很多local所是一套固定的审计程序,一大堆表,不管什么公司,都是用的一样的底稿。四大的审计程序是一环扣一环的,这个环节程序的评估结果,直接影响下个环节执行什么程序,不执行什么程序,执行的简繁程度如何。举一个例子,有一个国内非常著名的上市公司,是做大型机械的,我曾经在控制环境评估中发现企业的战略非常激进,经营方式大量使用赊销,还发现公司的一个疑似关联公司为客户提供一些信用担保,这里产生三个后续问题,一是很大可能存在特定风险——需要证实/排除担保公司是不是关联方,这种信用担保对公司究竟有什么影响。如果证实是关联方就会有非常多的后续工作去做。二是影响内控测试,激进的战略导致这个公司的销售收款循环的风险远远超过普通企业,在做内控测试的时候就要多做很多工作,如穿行、更大范围的内控测试、更严格的内控测试标准。三是影响一些科目的实质性测试,如应收账款,执行的程序比一般企业更严格更复杂,工作量也加大了。这种环环相扣的审计方式KPMG的全球首席技术合伙人Timothy Bell有非常精辟的总结,“现代审计是一种循环递推的、证据驱动的、基于判断的风险评估过程。”这句话让我终身难忘,也让我不后悔在四大度过的三年。
闲话少说,好戏登场,开始讲底稿:
制定审计计划时的考虑。审计计划其实是两个计划:审计计划和客户服务计划。
1.1关于制定审计计划程序:大概有三个方面三十多条内容,我记得主要包括:
1.1.1前期准备工作:
举行准备会议,项目经理和合伙人讨论评估项目的风险、审计小组、预算和审计策略。
完成项目风险和内控环境的估计。
完成舞弊风险评估。
组成审计小组和准备详尽的预算(fee,cost)。
讨论业务约定书条款,发函业务约定书条款。计划成本和收费预算。
复核以前年度审计的关键点,确保往来函件、报告、税务文件已经被客户恰当的处理。
确定客户的审计风险分级,如果必要,由质量控制部门复核评级。
1.1.2完成初步的计划
planningmeetingwiththeclient.
完善对客户经营情况的了解。考虑环境和行业因素,这些会是否影响特定潜在风险和我们所关心的资料。同时,识别客户的关联方获得使用于一般企业和客户所处行业的法律法规,并了解客户多大程度上执行这些规则。
当存在客户的行为与相关法规和业务处理惯例不符的情况下,应考虑执行特别的程序,以确定其对报表反映的影响。主要程序是通过询问管理当局和检查各种文件来实现。
理解客户的会计处理过程。
完成初步的分析讨论程序,识别任何我们预期之外的变动情况,或意料之外的关系,这些可能导致财务报表存在舞弊错报的特定风险。考虑持续经营的假设是否依然有效。(这个程序至关重要)
在评价客户的具体情势之后,决定计划的重要性水平。
如果由必要,制定客户服务计划。
考虑出具管理建议书,主要是关于内控方面和其他重要的建议事项。需要立即被处理的,应出具管理当局沟通函。
向以下组织发询问涵以确认:Banks、Solicitors、Debtors、Creditors、Thirdparty holdingofstocks、Others.。
协商参加持股人大会
1.1.3拟定审计计划
如果与特别的科目余额或潜在的错报相关的显审计证据仅在计算机系统中就能够获取,我们应该计划采用一个控制信赖策略,(除非我们单独进行实质性测试的结果满意)会提供给我们合理的保证,如在会计报表整体上,或分别的,或与其他相互联系的错报会被发现。
对科目层次准备一份审计计划书用来评估潜在错报的风险水平。
制定一份符合成本效益原则的审计计划。指出特定风险的潜在错报,对每一个潜在的错误,或者是采取信赖控制策略以减轻风险并规划基本程度的实质性测试,或者是可选择性地采取一个针对性的实质性测试。
制定一份符合成本效益的审计计划指出没有特定风险的潜在错误范围。
在我们已经全面评估内部控制环境和了解重要的经营环节的基础上,实施信赖内部控制的审计策略。
如果采用信赖捏不控制策略,我们应该计划实施控制测试,包括实施全部循环测试指出相关的潜在的错报和执行一个基本程度的
实质性测试。在轮流循环测试计划下确定会计系统的可信赖程度并进行基本程度的实质性测试。
如果客户主要使用的是计算机,我们应该采用控制信赖策略。
如果没有控制信赖策略的基础或不能更有效率,我们应该计划一个更可靠程度的实质性测试。
如果采用控制信赖策略对潜在错报,计划控制测试活动以减轻特定的风险。
如果采用控制信赖策略对无特定风险的潜在错误:则应当规划与本年度相关的潜在错报的控制测试活动,获得低水平的控制确信度。包括在各循环轮流测试计划下的控制测试活动但不计划在本年的测试他们,以获得基本水平(比低水平高一些)的控制确信度。
.准备详细的实质性测试的审计计划书和获得独立合伙人和经理的认同。
准备审计计划备忘录并获得独立合伙人和经理的认同。
讨论并且完善永久性档案和记录修正案。
1.1.4集团审计计划的特殊考虑
获得一张最新的集团组织结构图。讨论集团管理的变化,考虑对我们审计的影响。
将没有被香港office审计指引涵盖的特别事项向team公布。
计划在集团里所使用的审计的方法,如果可能的话,利用smallauditpack,checklists等以提高工作效率。
1.2客户服务计划的主要内容:
客户的简介。
关键决策层的描述。
能对上述个人有显著影响的人。
我们对其负有专业或合同要求的责任的人。
潜在的关键决策人的继承者。
客户服务团队。
追踪计划。
客户的需求和我们的职责:
我们将会对以下那些人员提供服务。公众、政府、协会、其他使用人。
除此之外,我们还要确认以下:非鉴定服务。必须达到的服务(不做到构成违约)。非约定事项(不做到不构成违约)。
对过去服务质量的反馈。
交流策略主题形式时间安排。
计划扩大并且巩固的客户关系:行动步骤。
以前的费用。
保持的正常收入和增加收入点:Audit、BusinessCondition Insights、Tax:、Consulting:、OtherProfessionalRequirements、Other ClientServiceOpportunities。
过去十二个月竞争者给客户提供的服务。
上次讲的制定审计计划的程序实质上是审计计划阶段的所有工作的summary,或者checklist,里面的每一条实际上都有一张或几张底稿,甚至张一整套的底稿支持,审计计划阶段的工作就是围绕这些程序来进行。还涉及到整个的审计模型问题,如整个1.1.3实际上就是完成审计模型的基础工作,把模型中的各项变量具体化,精确化,完成审计风险的精确计量,到了外勤时,就是按照1。1。3的分析结果执行就是了。以后讲的具体底稿可以与这部分底稿对应一下,有助于加强对四大的理解。
关于客户服务计划,我补充一点,就是关于衍生服务的问题,四大是比较注意发掘客户的衍生服务的,最直接如内部审计、税务服务、咨询服务。Enron事件后四大将其咨询业务或出售或分拆,即使这样四大每年在国内的咨询业务也是非常可观,尤其是萨般斯法案催生了许多打算海外上市的企业管理咨询需求,比如PWC给中石油做的基于COSO2报告的风险管理框架,收费达到了2500万RMB。四大都有TAX部门,每年的收入也非常可观。说远一点四大的尽职调查的业务也不小,这些很多都是审计带动的衍生服务,有时衍生服务甚至超过了审计收费。四大的问题是衍生服务的过度增长损害了审计的独立性,发展到顶点就是著名Enron事件。目前国内的事务所最大问题还是对客户的衍生服务开发的不够,举个例子,如果你连续为一个客户提供审计服务,那么你就会对其非常了解,就会发现他们很多的问题,包括财务问题、内部控制问题、风险控制问题等等。有些问题也许是客户真正想解决的而自己解决不了的,这样是不是就给我们带来了机会。如果十个客户中你能发掘出一个客户的需求,那你可以算算带来的收益会多大。当然目标要很明确,比如可以做财务咨询、可以做内控咨询,做的多了,产品成熟了,经验丰富了,就可以在审计客户之外去寻找市场,经过几年的发展,咨询业务自然而然就会发展起来。
扯远了,还是说审计底稿。单讲一讲约定书吧,我感觉local所对业务约定书的重视程度不够,表现在条款简单,一些事务所约定书全文就是一张纸,内容非常的不完善。不管是什么客户,约定书的内容一成不变。很多时候开工了,约定书还没有签……这些问题其实是和国内普遍不重视合同的整体风气有关系,对很多人来说合同就是一纸空文而已。四大的截然不同,按照严格的项目管理要求,在一个项目开工之前,一定要先签好业务约定书。业务约定书是非常重要的,它规定prescribe了双方的责任和义务。没签约定书四大是不会开工的。在四大内部,针对不同的业务类型,不同企业业务约定书是有不同标准模板的。在准备业务约定书时,只要不是太特殊的项目,只要按照标准模板做一些小的修改modification就可以了。签约之前一般是要法律顾问签署意见。四大请专业人员和律师花很大时间和精力将约定书条款做得尽量保护自身利益。这样,一旦将来在合同上出现纠纷,四大就可以占更多的优势。大家回忆一下外高桥起诉PWC的案例。普华永道在《审计业务约定书》作了免责声明::"除因本事务所故意的不当行为或欺诈行为所引起的索赔事项外,本事务所概无义务向贵公司(指G外高桥)赔偿任何超过本约定书中所支付的专业服务费的金额,无论这些损失是因侵权、违约或其他原因引起。"这就是典型的保护自身利益的条款,这种做法对错姑且不论,但是想办法保护自己我觉得无可厚非,人同此心,心同此理嘛。我只是想指出四大和local所的区别而已,相比之下local还是显得很稚嫩(也很正常,毕竟四大是百年老店了),表现在方方面面,约定书算是其中之一吧。四大约定书格式不太一样,我曾经做过比较,风格方面还是有区别。可惜我不能够把收集的四大的约定书传出来,算是留点遗憾吧。
关于发掘客户衍生服务方面我介绍这样一张底稿
1.3,衍生服务的checklist。这张检查表应该不仅仅被当作调查表被使用,实际上是一个启迪有意义的ideas的创造性过程。这张表不是保罗万象,不过他提供了一个有用的起点,在审计的过程中让低级别的staff也关注到衍生服务,有些问题在签约定书的时候也会考虑。这张底稿的主要部分包括:
1.3.1.审计基础上对管理的建议:
我们是否应该准备一份书面的财务分析资料
我们是否应该准备一份管理书说明我们的意见和推荐在内部控制和可能的成本节省。
1.3.2.管理信息系统:
我们能在客户准备全面预算过程中提供帮助吗
我们能在会计系统和管理系统上能提供帮助吗
我们能建议其他的对控制经营有用的报告吗
1.3.3.会计系统:
在会计系统中使用计算机或计算机软硬件的升级过程中,是否能显著提高客户效率。
如果客户计划达到电算化,我们能提供帮助吗(例如选择软硬件,培训员工)
1.3.4.税务
客户能否从我们获得的关于税收整体筹划的建议中中受益(例如改变结构缩减税的成本)
客户能否从我们特定的税款和税方面的建议中受益(例如增值税,关税)
是否在其他任何税款方面我们可以给客户提供服务(例如和政府的税务部门打交道等)
1.2.5.投资&筹资
我们能帮助客户从整合内部资源方面产生节余资金吗?
我们能不能帮助客户在和银行打交道时,尤其是提出财务结构改革的和进行再投资的建议。
1.2.6.企业投资机会
客户想扩展企业的经营范围,我们能在确定潜在的可获得目标上提供帮助吗
客户计划兼并一家新企业或者建立一家合资企业,我们能在目标实体还是共同风险投资商的调查过程中提供帮助吗?(尽职调查服务)
客户计划放弃的业务,我们能帮助确认一个买主吗
是否还有更进一步的企业投资机会
1.2.7.咨询机会
我们能提供帮助吗?在客户招募主要工作人员时。
客户是否会从专家的在实施中缩减成本的建议中受益?
是否还有其他的咨询机会
1.2.8是否有机会帮助企业领导者个人?
所得税申报书的准备
个人计划避税
投资计划
理财计划
1.2.9.子公司(特别是国外母公司)。
所得税申报书的准备
在贷款和投资方面提供帮助
规章制度制定方面的帮助
子公司的清算和取消
1.2.10.公司和企业控制方面的考虑
管理当局是否建立有效的内部财务系统控制并有效实施。这可以指示我们通过帮助在内部财务和企业管理的控制提供帮助,这也是企业在完善管理方面的需要。
对那些只有有限的内部控制系统的企业,我们能否帮助介绍和执行恰当的内部控制程序。
1.2.11.内部审计服务
管理是否建立了一套内部审计程序,能提供分期的评价关于组织在经营过程中的控制环境。我们能否提供一个转包的内部审计功能,或单独发挥作用或与整体配合,能提供规范的控制测试,安全评论,软、硬件测试,和灾难恢复计划以及评价相关规章的服从情况。
1.2.12.工资服务
客户是否从我们从外面提供的工薪服务中受益。
1.2.13.秘书服务
1.2.14.文档编制服务
1.2.15.债务重组服务
客户是否因为其未履行债务,要起诉债务人,
客户已经收到任何会议通知关于实际或潜在的债务人清算
客户为了使资产或交易更加安全要求或强制第三方提供担保
以上是几张主要的制定审计计划时的底稿,其他还有一些,比较琐碎了,基本是上述底稿的一些补充和明细,有一些local所可能也有,比如Client prepare schedule,实际上就是给客户一套明细表让客户填,很多local也这样做,只不过四大的更详细一些,填的东西更多一些而已,本质上差别不大。就不一一讲了。制定审计计划时的考虑基本就时这些,我只能非常粗略的介绍一下,让大家管中窥豹,有个印象而已。
三、审计风险的初步评估
现在开始讲审计风险的初步评估。这部分非常重要,审计风险有种分类:抽样风险和非抽样风险,非抽样风险当中容易对审计质量产生致命危险的是管理当局的欺诈和舞弊风险。现在有一种审计理论是管理舞弊导向审计,我个人认为,这种理论还是有一定局限性的,或者说还不是很完善。首先从范围来看,形成审计失败的原因很多,管理当局舞弊无疑是最主要的原因之一,但决不是唯一重要的原因,打个比方,飞机失事的原因很多:机械故障、操作失误、天气、劫机。机械故障无疑是最主要的原因,肯定是要加以控制,但是其他原因无疑也要同样加以控制,否则后果不可想象,整体的飞行质量控制肯定是全面的全方位的控制,而不是仅仅大力强调对机械故障的控制。也许有人不服气,说管理舞弊导向审计的重点是管理层舞弊,其他的我也兼顾啊。现代风险导向审计是综合评估企业的经营风险,对管理舞弊风险同样是重点考虑的问题,也提供了详细的发现、控制管理舞弊的理论和技术方法,这些技术方法比管理舞弊导向审计所强调的甚至更深入更全面(也许是管理舞弊导向审计理论倡导者缺少实务届的同仁,理论多一些,操作性差一些),其他的风险同时也被认真的考虑。这样就产生了一个两难的选择,一、如果说管理舞弊审计是以管理舞弊为主要着重点的,其他风险同样被考虑的审计理论,那么管理舞弊导向审计和现代风险导向审计有什么本质区别?管理舞弊导向审计是否有资格独立的成为一种审计理论?二、如果说只考虑管理舞弊这一种关键风险,对其他风险的关注程度是不重要的,那这种理论是不是有先天缺陷的?其次从风险产生过程看,管理舞弊是一种中间风险,不是原生性风险,管理舞弊是审计风险的因,同时是企业现实情况的果,管理舞弊动因是在企业经营情况的基础上产生的,是有更深的源头的,现代风险导向审计是从理解客户的经营开始,然后延伸到各方面,也包括管理层舞弊。因此我一向认为往高层次上讲,管理舞弊导向审计对现代风险导向审计框架中关于舞弊风险的强调,往低层次讲管理舞弊导向审计是风险导向审计一个环节的方法论层面的改进而已,更何况现在还看不到有什么实质性的方法改进。又扯远了,声明,我尊重每一种观点,我的观点不见的正确。
下面我讲的这部分是整篇文章中最重要的部分,也是四大审计方法的核心内容。关于非抽样风险,四大主要是通过各种量化的定性分析来评估风险,列出风险迹象的表现,根据性质和可能性判断来量化评估风险。核心是对于欺诈风险、舞弊风险、签约风险的评估。对于抽样风险是通过审计模型在统计学、数理学层面上量化风险,执行风险判断和审计抽样,来落实到内控的风险评估和实质性测试的风险控制。但是无论是关于定性分析还是审计模型,目前还没公开见到四大的详细资料,关于非抽样风险我想讲的详细一些,比如关于评估欺诈舞弊风险,对不同的风险表现有22张评估底稿之多。关于欺诈舞弊风险的审计程序也有好几张底稿。毕竟这部分local基本没有形成成熟的审计程序和方法。本来想把审计模型和审计抽样放在后面,现在还是提到前面吧,因为审计模型贯穿始终,不先讲清楚好多底稿没法讲。其他的关于内控测试和报表科目的实质性测试,四大和国内所大同小异,不过是精粗深浅的区别,那部分倒是可以简化一下。新准则实行在即,新的准则极大的扩展了我们的审计责任,基本是按照四大倡导的风险导向审计框架制定的,local所现有的技术方法面临极大的挑战,肯定要进行痛苦的转型,而四大一直是按照风导理论运行的,他们执行新准则不存任何困难。我希望我写的东西对local所的同事形成自己的底稿能有点启发。
上周在赶项目,没有时间更新,现在继续。
审计风险评估首要的是舞弊风险、控制环境风险和签约风险。这三者之间有非常紧密的联系,所以在作底稿的时候是在一起通盘考虑的,一共包括22张底稿,一共是11个方面,每部分的基本结构是一张底稿列出一些风险点的表现,然后另外有张底稿根据不同的权重对其量化,或进一步的执行分析程序,以获得满意的评估结果。在整个评估过程中要考虑两点,1、如果管理当局的诚信存在问题,则需要立即报告合伙人。2、整个评估过程要严格保密,尤其是对管理当局保密。
对控制环境的评估是审计工作的起点,在前期承接项目的时候已经作过初步评估,现在是审计现场的继续(控制环境是非常重要的,详见著名的COSO报告),
1、一般性的考虑
管理层是否涉及违法、财务报表失真、有组织的犯罪。典型的代表是萨班斯法案的第一案,PWC的客户朗讯中国的商业贿赂案。是否存在不是必然违法,但是可能给公司带来困难的事件?
公司是否经常更换银行,律师和会计师事务所?
为公司服务的中介机构是否存在污点记录?
在管理者的职业生涯中是否发生显著的个人错误?
管理当局是否愿意接受意外的高水平的风险?
管理是否由个人意愿支配或集中于一个小团体而没有相关约束?例如董事会的监督或者审计委员会。
是否存在第三方实际控制的情况?
是否最近在管理层中发生了重大的或未预期的变化,在可以预期的将来是否会发生这种变化。
管理层是否缺乏经验?
是否非财务的管理者在会计原则的选择上或在重要事项评估的有较大的影响?
2、财务报告可靠性的考虑。
公司是否采取了有争议的会计政策?
管理是否倾向于攻击性的解释会计标准?
管理是否愿意接受审计人员提出的会计记录的调整?
我们是否发现没有实质性经济理由的交易的存在?
我们是否发现在正常的商业过程之外的重大的关联方交易?
是否管理当局,显著的不恰当的追求收入或利润的增长目标?
是否公司正在计划或谈判新的重大投资,会对财务报告产生重大影响?
是否公司采用或者未能充分披露有争议的会计政策?
3、会计信息系统
在会计处理程序上和控制活动上的重大不足未引起管理层的足够注意?
企业没有建立企业文化或者是没有形成恰当的企业文化?
是否企业没有建立关于违法事件的预防程序?
是否预算上没有有效的一贯执行?
是否会计或数据处理部门没有适当的人员?
用于帮助职工完成他们职责的资源(例如个人电脑、资料处理、临时人员)不能获得或不足够?
是否管理者会计或资料处理人员没有足够的能力胜任他们的责任?从以下几点考虑这个问题:是否工资低,因此吸引的都是没有足够能力的人?是否有明确的或充分的聘用和晋升制度?是否评估雇员能力的技术不恰当或无效率?是否职工的培训是无效的?是否关键职位的人员经常变换?
是否有明确的职位说明书,包括具体的职责,报告的责任和约束机制?
是否与职工有效的沟通?
过去的审计资料是否表明重大的错报或企业在年终时做重大的改正纪录。
管理层是否存在对规章制度的漠视。
是否管理层继续使用一个有效的会计系统、信息技术和内部审计。
是否过去的审计表明对管理层报酬缺乏支持性证据?
4、组织结构
是否组织结构过度复杂
是否客户经历了快速的扩张
是否客户最近兼并了其他企业
是否客户拥有大量的分散的运行实体
是否报告结构过度复杂,包括大量的或不正常的法律实体,或者无商业意图的契约安排。
5、管理结构
是否控制程序与企业的规模和性质不相适应,是否我们清楚地了解需要考虑在监督和管理方面能力的原因。
是否企业缺乏明确的管理结构和缺乏明确的责任的分配?
是否管理的能力和类型与企业的规模和增长不相一致?
在分散的业务中是否存在不充分的监督和管理?
在跨国业务中是否存在不充分的监督和管理?
在资料处理过程和会计职能中是否存在不充分的监督和管理?
6、高管层的控制方法
关于预算问题:公司是否缺乏预算或计划(包括收入预测和现金流)。如果通过预算来考核低级别管理人员,并通过激励使其达到某种收入目标。是否预算不够精确,无法发现财务报表中存在的重大错报。预算能否全面贯彻。预算制定是否有足够了解情况的人员参与。预算执行差异是否及时跟踪。
关于内部审计部门:内审部门是否存在。内部审计部门是否履行职责以有利于减轻控制风险。内审部门的是否认真履行职责。内审的汇报对象、胜任能力、可动用资源。内审的工作方式包括审计计划、底稿、程序。内审报告的被尊重程度。
7、计算机应用影响。
主要包括:公司对计算机系统的依赖程度,以往的错误系统错误是否重复出现?管理当局对计算机的重视程度,人员的胜任程度,资源是否充分,关键人员是否经常调换,计算机管理部门和使用部门之间的沟通是否充分,报告路线,对计算机管理人员的控制和监管。
8、董事会和审计委员会
董事会和审计委员会是否和企业规模相适应。成员以往的污点记录,独立人士的比例,职责是否明确,胜任能力,审计周期,以往遭受的质疑,权利&资源等。
9、企业性质和经营环境
是否企业拥有一个长期的计划,是否企业使用复杂的或最新的财务技术,是否企业在一个不稳定的行业或市场运行,重大的会计估计是不是具有一贯性,企业在行业内经常受质疑或有违法行动,是否企业在最近购并一个新企业,而且在以前没有任何经验经营这一行业,是否企业在一个下滑的行业中经营,有越来越多的企业倒闭或者是顾客需求量的急剧下滑,是否在行业中存在高度的竞争和市场饱和,伴随着下滑的利润。
10、行业环境
是否企业向公众发布有价证券或有重大的公众责任,对财务报表存在不寻常的重大影响吗,企业财务指标与同行业其他企业比较,是否存在影响管理扭曲财务报表的压力,是否有快要到期的债务契约以至于影响财务结果,是否存在未决诉讼&违规行为,易受经济事件的影响,易受快速变化的行业环境的影响(例如,过剩的生产能力,技术变革,产品退化),易受政府管理变化的影响(例如,如果企业受政府的管制),易受规则变化的影响,易受顾客和社会因素的影响(例如,遵守行业控制标准,产品责任的发布),经历了不正常的快速增长或利润,尤其是与行业中的其他相比较,是否有不正常的过度依赖于举债或没有能力足够偿债能力?
11、持续经营
是否流动性不足?资金需求是否超过需要?是否有大量的债务来源不正常(例如关联方)?是否明显违背债务条款或其他的信用条款?是否没有能力支付债务。是否存在重大客户或顾客群的丢失、是否存在资产负债表外的负债责任、是否某种重大的压力下必须获取额外的资本以保证竞争力,包括投资主要研究和发展的资金支持,当收入增长时,企业并没能从运行中产生现金流?是否面临破产或倒闭或对手接管的威胁。
以上是评估的11个方面,我只是简单介绍了主要的风险点,着中评估其实是贯穿整个审计过程的,审计计划阶段要考虑,整个项目结束的时候还是要在更新一遍,里面有些标志还是很危险的,一旦发现整个项目可能会被pass。
其他的还有一些重要的风险评估底稿,比如
关于审计项目承接风险的考虑:过去管理层有没有给审计人员全面的配合?是否管理层不合理的限制我们的人员、地点,约束我们出具报告。是否有正式的或非正式的限制我们与高层管理人员,董事会,审计委员会进行沟通。管理层不愿意提供关于重大的或不寻常交易的信息。首次承接审计业务。如果这是一个最近获得的客户,有不寻常的或有争议的原因使他们决定换审计人员吗?与我们或先前的审计人员由频繁的争论吗?无论在会计,审计和报表问题上。企图影响我们工作的范围或工作的程序。
对于集团审计风险也有一些特殊的风险考虑:我们是否清楚会引起第三方对我们的独立质疑的事项,例如这家企业和我们其他的客户之间的重大诉讼,可能引起我们被认为有利益冲突。这家企业,或者企业的主要部分可能将要被卖出吗?如果和其他事务所合作我们的审计结论被其他审计人员信任吗?我们能信赖其他审计人员在合并子公司时所作的实质性工作吗,是否有重要的下属企业或其他的关联方没有审计,客户可能与这些企业发生了重大的关联方交易。
关于会计和交易事项的风险评估也是重点。包括三个方面:
商业关系和关联方交易:是否怀疑存在以第三方形式的关联方和关联方交易?这可能影响我们关于企业是否诚实的结论
。在员工和厂商之间有不正常的亲密关系,使交易方之间缺乏独立性。
重大的会计事项:是否企业卷入独特的,高度复杂的具体交易造成“实质终于形式”问题,因为行业的特质存在重大的会计估计,是否与关联方有重大的交易,最近变更有争议的会计政策,是否有重大的非货币交易,是否存在重大的会计报表重述。
存在某种明显压力下的报告;企业或企业的主要部分要被出售。管理层在保持或增长股票价格和利润趋势上有过度的兴趣或压力,以至于采取激进的会计政策。企业过度通过期权或红利补偿来激励管理层。使用不恰当的行为减少报告的利润以达到避税的目的。管理者,分析家,债权人,和其他的第三方是否对企业的财务状况有乐观的预测,这种预测建立在明显的过度的激进或不切实际的分析上,或者是建立在对市场的过高的预期上,这种预期是根据过去的收入和价格而来。是否企业的增长已经到了财物资源的限度。是否企业的履行能力急剧的下降当企业的财务状况恶化时,存在管理层担保的重大债务。财务报告会对重大的未决交易带来潜在的不利影响(例如企业的联合和合同的签订)是否企业有一个不盈利的重大项目。
|
您当前所在位置:
