本章风险应对和前一章风险评估是审计的硬骨头,越学到后面,越发现这两章的重要性。而且这两章的考题站位高,既考条文,更考理解的升华。这篇总结花了整整一个下午码字的,写完后依然发现长篇大论,估计只有我自己复习的时候看吧。很想翻译成大白话,但是觉得既然学了CPA的审计,就要专业,所以大部分还是把专业原来的表述誊写下来了。细细品味,串联成线,一遍吃不透再吃一遍,或者继续前进,理清楚审计的大框架和逻辑再温习一遍,知识又会升华。
一、总体风险应对
1. 5个总体应对措施
(1)向项目组强调保持职业怀疑的必要性;
(2)指派更有经验或具有特殊技能的审计人员,或利用专家的工作;
(3)提供更多的督导;
(4)在选择实施的进一步审计程序时融入更多的不可预见因素;
增加不可预见因素的方法包括:性质上,对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序;时间上,调整实施审计程序的时间,使其超出被审计单位的预期;范围上,采用不同的审计抽样方法,选取不同的地点获取审计证据、或预先不告知被审计单位所选定的测试地点。
要点:CPA需要与管理层事先沟通,但不告知具体内容;可以在审计业务约定书中明确提出(不是应当)
(5)对拟实施审计程序的性质、时间安排或范围作出总体修改。
方法或考虑因素时间上,在期末而非其中实施更多的审计程序;性质上,通过实施实质性程序获取更广泛的审计证据;范围上,增加拟纳入审计范围的经营地点的数量。
【提示1】第(4)第(5)项的具体方法的辨析:不可预见因素旨在超出被审计单位的预期,以前做什么,本次换一个方法做,如性质上的重要性水平,正常是对超过重要性水平实施实质性程序,本地就偏偏针对低于重要性水平的来做。总体修改是从风险审查的全面性角度考虑,如时间上更多在期末、性质上更多地用实质性程序、范围上增加审计范围。可以细细回味一下,虽然都是从这三个方面着手,但侧重点不一样的。
【提示2】以上均为对财务报表层次重大错报风险,不是认定层次的,选择题容易混淆。
【提示3】增加不可预见性和总体修改都不必然导致实施更多的审计程序,特别是不可预见性,强调的超出被审计单位预期,调整的因素更多。
【提示4】提高审计程序不可预见性,一定是较正常审计程序有所调整的,不能与普通的正常审计程序(如银行存款函证等)混淆。
2. 总体审计方案
(1)实质性方案:实质性程序为主,控制测试为辅。高风险,更倾向。
(2)综合性方案:控制测试和实质性程序,没有主次之分。
【提示5】综合性方案旨在低风险的前提下提高审计效率。
二、进一步审计程序

(一)一般要求
1. 设计进一步审计程序时考虑的因素
2. 性质:目的和类型
控制测试:确定内部控制运行的有效性;询问、观察、检查、重新执行。
实质性程序:发现认定层次的重大错报;询问、观察、检查、分析程序、重新计算。
3. 时间、范围
重大错报风险水平高,应当考虑在期末或接近期末实施实质性程序,或采用不通知的方式等不能预见的时间实施审计程序。
如果在期中实施了进一步审计程序,还应当针对剩余期间获取审计证据。
(二)控制测试
1. 含义:评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。(很长,要会断句,防止或发现是预防性的,纠正是检查性的)
(1)测试控制运行有效性的三方面:控制在所审计期间的相关时点是如何运行的?控制是否得到一贯执行?控制由谁或以何种方式进行?
(2)区别控制运行有效性与了解内部控制是否得到执行的不同。
【提示6】此部分为考试重点,区分点主要包括:1)了解内部控制是风险评估环节,包括评价内部控制的设计、确定控制是否得到执行,但这个执行是时点性的,不代表全部。控制运行有效性是强调控制能够在各个不同时点按既定设计一贯执行,才算是运行有效。2)程序不同,除了通用的询问、观察、检查程序外,了解内部控制还有穿行测试,而内控有效性是重新执行。3)所需证据不同,了解内控只需少量的证据;而控制测试要抽取足够数量的交易进行检查或观察多个不同的时点。
(3)应当实施控制测试的情形:
a. 在评估认定层次重大错报风险时,预期控制的运行是有效的。(预期控制运行有效)
b. 仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。(仅实质性程序不足)
2. 性质
(1)审计程序:询问、观察、检查、重新执行。
a. 注意与保证程度相结合。
b. 询问程序本身不足以测试控制运行有效性,需要将其与其他程序结合使用。
c. 观察是不留下书面记录的控制、检查是留有书面记录的控制。
d. 只有当询问、观察检查程序结合在一起仍无法获得充分的证据时,才考虑重新执行(因为重新执行流程比较复杂,效率低)。
(2)自动化的应用控制。由于信息技术处理过程的内在一贯性,可以利用该项控制得以执行的审计证据和信息技术一般控制(特别是对系统变动的控制)运行有效性的审计证据,作为支持该项控制在相关期间运行有效性的重要审计证据。
(3)双重目的。针对同一交易同时实施控制测试和细节测试。
(坑点,先控制测试,再细节测试是错误的说法)
(4)实质性程序的结果对控制测试结果的影响。
a. 如果控制测试未发现某项认定存在错报,不能说明该认定有关的的控制是运行有效的。
b. 发现某项认定存在错报,应当考虑其评价控制运行有效性的影响:降低相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围。
c. 发现被审计单位没有识别出的重大错报,通常表明内部控制存在重大缺陷,应当就这些缺陷与管理层和治理层进行沟通。
【提示7】这3项的逻辑关系一定要搞清楚,考试易混淆。注意,发现了某项认定存在错报,不能直接推论出控制缺陷,而是考虑对控制运行有效性的影响。只有当发现未识别的重大错报,才通常表明内控存在重大缺陷。
3. 时间
两层含义:何时实施控制测试;测试所针对的控制适用的时点或期间。
(1)在期中开展的处理
期中开展控制测试是“常态”,具有更积极的作用。若已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末。
关注点:a. 控制在剩余期间发生重大变化:没有变化,可能决定信赖期中审计证据;有变化,了解并测试变化对期中审计证据的影响(不是完全否定,所以是积极的)。
b. 针对剩余期间需要获取的补充审计证据,6项考虑因素,主要理解关系变动。
①评估的认定层次重大错报风险的重要程度(同向,对财报的影响越大,补充证据越多);
②在期中测试的特定控制,以及自其中测试后发生的变动;
③在期中对有关控制运行有效性获取审计证据的程度(反向,比较充分,则可以考虑减少);
④剩余期间的长度(同向);
⑤在信赖控制的基础上拟缩小实质性程序的范围(同向,CPA对相关控制的信赖程度越高,补充证据越多);
⑥控制环境(反向,在总体信赖控制的前提下,环境越薄弱,需要的补充证据越多)
(2)以前年度获取审计证据的处理
a. 审计程序:如果拟信赖以前审计获取的有关控制运行有效性的审计证据,注册会计师应当实施询问并结合观察和检查程序,获取这些控制是否已经发生变化的审计证据。(不单独是询问)。
b. 特别风险相关:对于旨在减轻特别风险的控制,如果注册会计师拟信赖减轻特别风险的控制,无论本期是否发生变化,都不应依赖以前审计获取的证据,应在本期测试这些控制的运行有效性。(这段建议背下来)
c. 变化的选择:如拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,应运用职业判断确定是否在本期审计中测试,以及本次测试与上次测试的间隔期间,但每三年至少对控制测试一次。
d. 测试时间的要求:不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。(想象成有很多项控制需要测试,要将多项测试尽可能地均匀分布,不是所有测试在1年进行,其余2年都不测)
e. 对测试间隔和是否依赖以前年度审计的其他考虑因素:6项。
①内部控制其他要素的有效性。包括对控制环境、对控制的监督、被审计单位的风险评估过程。
②内部控制特征(人工控制还是自动化控制)产生的风险。如果是复杂的人工控制,稳定性较差,可能决定在本期继续测试。
③信息技术一般控制的有效性。薄弱时,更少地依赖以前年度审计证据。
④影响内部控制的重大人事变动。
⑤由于环境变化而特定控制缺乏相应变化导致风险。(环境变了,相关控制没有变,是危险的,不依赖以前年度)
⑥重大错报风险和对控制的拟信赖程度。(重大错报好理解,风险越大,越不信赖以前年度;对控制的拟信赖程度要理解一下,拟信赖程度越高,越需要缩短测试间隔或完全不信赖以前年度审计证据)
(这部分存在比较强的逻辑关系,最关键的就是区别特别风险、是否变化、相关性、时间间隔)

【提示8】这个图要细心品味,内容较多,坑点是虽然每三年测试一次,但是考虑变化和相关性,要适当缩短间隔。此外,只有控制发生实质性变化,以至于影响以前审计获取证据的相关性,才应当在本期审计中测试这些控制的运行有效性。
4. 范围
指某项控制活动的测试次数。即样本量。
(1)确定范围时的考虑因素,6项因素。
①拟对控制的信赖程度(同向)。
②控制执行的频率(同向)。
③拟信赖控制运行有效性的时间长度(同向)。
④控制的预期偏差(同向/无效)。
⑤测试与认定相关的其他控制获取的证据的范围(反向)。
⑥拟获取的有关认定层次控制有效性的证据的相关性和可靠性(同向)
(2)对于自动化控制的特别考虑
a. 除非自动化控制系统发生变动,通常不需要增加自动化控制的测试范围。
b. 对于一项自动化应用控制,一旦确定正在执行该控制,通常无需扩大控制测试的范围,但需要考虑执行下列测试以确定控制持续有效运行:
①测试与该应用控制有关的一般控制的运行有效性;
②确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;
③确定对交易的处理是否使用授权批准的软件版本。
(三)实质性程序
1. 分类
(1)细节测试
对各类交易、账户余额和披露的具体细节进行测试,目的在于直接识别财务报表认定是否存在错报。如存在、发生、计价等。
(2)实质性分析程序
通过研究数据之间关系评价信息,用以识别各类交易、账户余额和披露及相关认定是否存在错报。更适用于在一段时间内存在可预期关系的大量交易。
无论评估的重大错报风险如何,都应当针对所有重大类别的交易、账户余额和披露实施实质性程序。(建议背下来,注意是所有重大,不是所有)
如果认为评估的认定层次重大错报风险是特别风险,cpa应当专门针对该风险实施实质性程序。如果针对特别风险实施的程序仅为实质性程序,应当包括细节测试,或将细节测试和实质性分析程序结合。针对特别风险,仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。
如果仅通过实施实质性程序获取的审计证据无法应对认定层次的重大错报风险,应当实施控制测试。
注意应对特别风险的可采取的测试程序组合:
(1)细节测试;
(2)细节测试+实质性分析程序;
(3)控制测试+实质性分析程序+细节测试;
(4)控制测试+实质性分析程序;
(5)控制测试+细节测试。
【提示】
- 上述是5个组合,除了控制测试和实质性分析程序不能单独测试,其余组合都可以。实质性程序一定要有。
- 区别总体审计策略中的实质性方案,跟这边的实质性程序不是同一个概念。
- 细节测试和实质性分析程序,没有谁优谁劣之分。
2. 时间
(1)在期中实施实质性程序
【提示】大背景先理解,对比期中实施控制测试,期中实施实质性程序更需要考虑成本效益的权衡。也就是说期中实施控制测试是“常态”,实质性程序在期中实施就要审慎些。
6个考虑因素:
①控制环境和其他相关的控制。越薄弱,越不宜期中做实质性程序。
②实施审计所需信息在期中之后的可获得性。(客观的因素)
③实质性程序的目的。如果目的就是获取该认定的期中审计证据,从而与期末比较,应在期中实施。
④评估的重大错报风险。评估的重大错报风险越高,对审计证据相关性和可靠性要求越高,越应当考虑将实质性程序集中于期末(或接近期末)实施。
⑤特定类别交易或账户余额以及相关认定的性质。如,截止认定、未决诉讼,必须在期末(或接近期末)实施实质性程序。
⑥针对剩余期间,能否通过实施实质性程序或将实质性程序与控制测试相结合,降低期末存在错报而未被发现的风险。如果可以,则考虑期中;如果还需要耗费较多资源,不宜期中实施。
(2)考虑期中审计证据
如果期中实施了实质性程序,应当针对剩余期间实施进一步的审计程序,以将测试中得出的结论合理延伸至期末。针对剩余期间可采用的方法为:进一步的实质性程序;实质性程序和控制测试相结合。
对于舞弊导致的重大错报风险,将期末得出的结论延伸至期末而实施的审计程序通常是无效的。
共勉!