风险评估程序,审计课本上总是一笔带过,但是这个过程其实是很考验到审计人员职业判断的。这里我讲一些实践中的步骤帮助新手们答疑解惑。主要的过程分为三步(先认定,后评估):识别经营目标(财报整体及认定层次)
识别经营目标的相关风险(即使企业无法达到经营目标的风险因素)
按照可能性和重要性来度量每一个风险:根据风险发生的可能性和其后果的重要性,通常将风险划分为高、中、低三种。
实践过程中,四大对于各个行业都有对应的风险库,针对整体层面和认定层次的风险因素都有数百条并且每年都在进行更新,前两步(1,2)的企业的风险识别过程实际上已经标准化,即从风险库里挑选添加出适合自己企业业务的风险点(如有特定的风险可以进行手动添加)。这里要注意,为项目添加风险点时每个报表科目可能对应多个风险点,且不同的报表科目之间对应的风险点有可能是相同的。例如应收账款与收入,存货与成本之间对应的风险点很多都是相同的。
第三步(3)风险评估:依赖审计职业判断,checklist和对比差异数均为辅助。
对于报表层次的风险水平,通常有一些评估的checklist照着点一遍就可以大致看出整体风险状况;对于认定层次的风险水平,通常项目会获取年结前几个月的报表数据和对比期进行对比,通过综合分析变动的合理性以及衡量变动和重要性水平,结合职业判断来确定认定层次风险的高低。
风险认定及评估程序发生在Planning阶段,即下现场之前,通常Senior以下level是接触不到风险评估程序的。小项目里基本都是senior先看看企业今年有没有新的业务和风险点,然后按照去年的评估水平在审计系统中将每个风险点的对应风险水平(高中低)都选好,之后经理合伙人进行review,对于有变化的风险水平再进行更新。大项目这个过程一般都是经理级别来完成,会做得更细致一点。(原则上,风险评估程序应该贯彻整个审计流程,风险点的评估高低应该伴随业务进行而调整,但是实际业务中一般都是审计之初定下,后期调整风险评估水平的情况并不常见。)了解企业的内部控制(Walk-through穿行测试)
审计计划阶段在对各个风险点进行识别和评估以后,还有一步非常重要的程序即:了解企业的内部控制。基本上了解内控这个过程实践中在两张底稿中完成,第一张:了解并评估内部控制要素(控制环境,风险评估,信息系统和沟通,对控制的监控),第二张:了解并评估控制活动(穿行测试,对涉及的business cycle进行walkthrough,通常有销售与收款循环,采购与付款循环,生产与存货循环,人力资源薪酬循环和投资与筹资循环,货币资金循环),了解企业内控(穿行)的这个过程主要是用零星的样本,来了解企业的控制活动中,重要的控制点是否设置和存在。划重点:这一步并非是测试控制点是否有效,因为如果关键控制点都不存在的话,后边的控制测试压根就做不了。控制测试(又名符合性测试ToC=Test of Controls)
到了这里才是控制测试的阶段,会在审计的执行阶段进行。主要是测试企业的风险点对应的内部控制的执行是否有效。具体需要测试的样本量需要结合控制的发生频率以及对应风险点的风险评估高低来决定,四大各家都会有对应的rule of thumb经验法则,每年的模板也会对应地进行更新。通过分析测试的结果,如果内控发生误差的可能性小于我们的预期,我们则可以认为企业这个控制点是可靠的,我们可以选择依赖这个控制,后期实质性程序中的抽凭数量则会减少。细节测试(ToD=Test of Details)
审计的执行阶段进行,企业的实质性程序=实质性分析程序&细节测试,细节测试是实质性程序的一部分,也就是审计师们口中的抽凭/抽样测试。这个抽样的量则主要受到测试整体金额,重要性水平大小以及是否依赖内控的影响。如果企业的内控执行的非常好,那么企业预期的例外率可设置得稍低,例外的可容忍率可以设置得稍高,这样最终计算出得抽凭数量则会下降,反之抽凭得数量则会更高。
希望以上可以帮助到审计新手们充分了解各个审计名词的区别和联系,后期会在答案上进行更新和完善,希望可以帮到更多的小伙伴。打造「专属于你」的商科职业规划www.zhihu.com手把手帮你打造「完美商科简历」www.zhihu.com
扫一扫
3371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
