風險評估程式,審計課本上總是一筆帶過,但是這個過程其實是很考驗到審計人員職業判斷的。這裡我講一些實踐中的步驟幫助新手們答疑解惑。主要的過程分為三步(先認定,後評估):識別經營目標(財報整體及認定層次)識別經營目標的相關風險(即使企業無法達到經營目標的風險因素)按照可能性和重要性來度量每一個風險:根據風險發生的可能性和其後果的重要性,通常將風險劃分為高、中、低三種。
實踐過程中,四大對於各個行業都有對應的風險庫,針對整體層面和認定層次的風險因素都有數百條並且每年都在進行更新,前兩步(1,2)的企業的風險識別過程實際上已經標準化,即從風險庫裡挑選添加出適合自己企業業務的風險點(如有特定的風險可以進行手動新增)。這裡要注意,為專案新增風險點時每個報表科目可能對應多個風險點,且不同的報表科目之間對應的風險點有可能是相同的。例如應收賬款與收入,存貨與成本之間對應的風險點很多都是相同的。
第三步(3)風險評估:依賴審計職業判斷,checklist和對比差異數均為輔助。
對於報表層次的風險水平,通常有一些評估的checklist照著點一遍就可以大致看出整體風險狀況;對於認定層次的風險水平,通常專案會獲取年結前幾個月的報表資料和對比期進行對比,透過綜合分析變動的合理性以及衡量變動和重要性水平,結合職業判斷來確定認定層次風險的高低。
風險認定及評估程式發生在Planning階段,即下現場之前,通常Senior以下level是接觸不到風險評估程式的。小專案裡基本都是senior先看看企業今年有沒有新的業務和風險點,然後按照去年的評估水平在審計系統中將每個風險點的對應風險水平(高中低)都選好,之後經理合夥人進行review,對於有變化的風險水平再進行更新。大專案這個過程一般都是經理級別來完成,會做得更細緻一點。(原則上,風險評估程式應該貫徹整個審計流程,風險點的評估高低應該伴隨業務進行而調整,但是實際業務中一般都是審計之初定下,後期調整風險評估水平的情況並不常見。)
審計計劃階段在對各個風險點進行識別和評估以後,還有一步非常重要的程式即:瞭解企業的內部控制。基本上了解內控這個過程實踐中在兩張底稿中完成,第一張:瞭解並評估內部控制要素(控制環境,風險評估,資訊系統和溝通,對控制的監控),第二張:瞭解並評估控制活動(穿行測試,對涉及的business cycle進行walkthrough,通常有銷售與收款迴圈,採購與付款迴圈,生產與存貨迴圈,人力資源薪酬迴圈和投資與籌資迴圈,貨幣資金迴圈),瞭解企業內控(穿行)的這個過程主要是用零星的樣本,來了解企業的控制活動中,重要的控制點是否設定和存在。劃重點:這一步並非是測試控制點是否有效,因為如果關鍵控制點都不存在的話,後邊的控制測試壓根就做不了。
到了這裡才是控制測試的階段,會在審計的執行階段進行。主要是測試企業的風險點對應的內部控制的執行是否有效。具體需要測試的樣本量需要結合控制的發生頻率以及對應風險點的風險評估高低來決定,四大各家都會有對應的rule of thumb經驗法則,每年的模板也會對應地進行更新。透過分析測試的結果,如果內控發生誤差的可能性小於我們的預期,我們則可以認為企業這個控制點是可靠的,我們可以選擇依賴這個控制,後期實質性程式中的抽憑數量則會減少。
審計的執行階段進行,企業的實質性程式=實質性分析程式&細節測試,細節測試是實質性程式的一部分,也就是審計師們口中的抽憑/抽樣測試。這個抽樣的量則主要受到測試整體金額,重要性水平大小以及是否依賴內控的影響。如果企業的內控執行的非常好,那麼企業預期的例外率可設定得稍低,例外的可容忍率可以設定得稍高,這樣最終計算出得抽憑數量則會下降,反之抽憑得數量則會更高。
希望以上可以幫助到審計新手們充分了解各個審計名詞的區別和聯絡,後期會在答案上進行更新和完善,希望可以幫到更多的小夥伴。
風險評估程式,審計課本上總是一筆帶過,但是這個過程其實是很考驗到審計人員職業判斷的。這裡我講一些實踐中的步驟幫助新手們答疑解惑。主要的過程分為三步(先認定,後評估):識別經營目標(財報整體及認定層次)識別經營目標的相關風險(即使企業無法達到經營目標的風險因素)按照可能性和重要性來度量每一個風險:根據風險發生的可能性和其後果的重要性,通常將風險劃分為高、中、低三種。
實踐過程中,四大對於各個行業都有對應的風險庫,針對整體層面和認定層次的風險因素都有數百條並且每年都在進行更新,前兩步(1,2)的企業的風險識別過程實際上已經標準化,即從風險庫裡挑選添加出適合自己企業業務的風險點(如有特定的風險可以進行手動新增)。這裡要注意,為專案新增風險點時每個報表科目可能對應多個風險點,且不同的報表科目之間對應的風險點有可能是相同的。例如應收賬款與收入,存貨與成本之間對應的風險點很多都是相同的。
第三步(3)風險評估:依賴審計職業判斷,checklist和對比差異數均為輔助。
對於報表層次的風險水平,通常有一些評估的checklist照著點一遍就可以大致看出整體風險狀況;對於認定層次的風險水平,通常專案會獲取年結前幾個月的報表資料和對比期進行對比,透過綜合分析變動的合理性以及衡量變動和重要性水平,結合職業判斷來確定認定層次風險的高低。
風險認定及評估程式發生在Planning階段,即下現場之前,通常Senior以下level是接觸不到風險評估程式的。小專案裡基本都是senior先看看企業今年有沒有新的業務和風險點,然後按照去年的評估水平在審計系統中將每個風險點的對應風險水平(高中低)都選好,之後經理合夥人進行review,對於有變化的風險水平再進行更新。大專案這個過程一般都是經理級別來完成,會做得更細緻一點。(原則上,風險評估程式應該貫徹整個審計流程,風險點的評估高低應該伴隨業務進行而調整,但是實際業務中一般都是審計之初定下,後期調整風險評估水平的情況並不常見。)
瞭解企業的內部控制(Walk-through穿行測試)審計計劃階段在對各個風險點進行識別和評估以後,還有一步非常重要的程式即:瞭解企業的內部控制。基本上了解內控這個過程實踐中在兩張底稿中完成,第一張:瞭解並評估內部控制要素(控制環境,風險評估,資訊系統和溝通,對控制的監控),第二張:瞭解並評估控制活動(穿行測試,對涉及的business cycle進行walkthrough,通常有銷售與收款迴圈,採購與付款迴圈,生產與存貨迴圈,人力資源薪酬迴圈和投資與籌資迴圈,貨幣資金迴圈),瞭解企業內控(穿行)的這個過程主要是用零星的樣本,來了解企業的控制活動中,重要的控制點是否設定和存在。劃重點:這一步並非是測試控制點是否有效,因為如果關鍵控制點都不存在的話,後邊的控制測試壓根就做不了。
控制測試(又名符合性測試ToC=Test of Controls)到了這裡才是控制測試的階段,會在審計的執行階段進行。主要是測試企業的風險點對應的內部控制的執行是否有效。具體需要測試的樣本量需要結合控制的發生頻率以及對應風險點的風險評估高低來決定,四大各家都會有對應的rule of thumb經驗法則,每年的模板也會對應地進行更新。透過分析測試的結果,如果內控發生誤差的可能性小於我們的預期,我們則可以認為企業這個控制點是可靠的,我們可以選擇依賴這個控制,後期實質性程式中的抽憑數量則會減少。
細節測試(ToD=Test of Details)審計的執行階段進行,企業的實質性程式=實質性分析程式&細節測試,細節測試是實質性程式的一部分,也就是審計師們口中的抽憑/抽樣測試。這個抽樣的量則主要受到測試整體金額,重要性水平大小以及是否依賴內控的影響。如果企業的內控執行的非常好,那麼企業預期的例外率可設定得稍低,例外的可容忍率可以設定得稍高,這樣最終計算出得抽憑數量則會下降,反之抽憑得數量則會更高。
希望以上可以幫助到審計新手們充分了解各個審計名詞的區別和聯絡,後期會在答案上進行更新和完善,希望可以幫到更多的小夥伴。