重點內容包含以下幾個方面:
1.風險評估
理論上來說,風險評估是在接觸客戶的階段、簽署審計服務協議之前要完成的工作,目的就是為了確定這個客戶(尤其是新客戶)是否可能存在重大固有風險。準確地說,是固有風險中的一部分(可以稱之為“整體固有風險”)。這種風險可能來自多種方面:所處大環境的波動;業務模式和復雜度;管理層的資歷、能力和履歷;過往的審計師是誰;以前年度審計報告的意見類型;以前年度審計調整的數量和類型;乃至客戶可能愿意承擔的審計費用等等。大致上評估風險時必須考慮的問題包括但不限于:所在行業所在國別/地區公司存續年份審計目的及報告類型(法定審計或特殊目的審計?)審計區間上一年度審計師上一年度審計意見類型上一年度審計調整的數量、類型新客戶的大致背景資料,或老客戶本年度的重大變化是否存在持續經營的問題欺詐風險(Fraud risk)評估此項目是否可能違反事務所的獨立性要求預計項目組人員的配比,是否滿足專業能力和經驗的要求,是否可能存在利益沖突是否需要借助外部專家的能力預計項目工作時間及收費情況。
2.了解客戶的業務
在風險評估階段實際上已經覆蓋了一部分此類工作,但畢竟是比較粗線條的。和客戶談好了價錢、簽了服務協議、開始進場工作后,需要對業務情況做進一步的了解。這塊工作是預審的主要任務之一。理想中的預審應該就是了解業務、評估內控、設計審計程序、穿行測試、符合性測試。對業務的了解至少應包括以下方面:公司背景(部分在風險評估階段已涵蓋,此外還包括資本金狀況、所用財務系統及ERP系統、所處環境的重大變動等)。
3.對主要業務流程和控制節點的描述
在做完上面階段二的工作后,會計師已經可以對客戶的業務概貌有所了解。通常一個業務模式可以被拆分成不同的業務循環(cycle)。理論上來說,財務報表只不過是業務行為的量化記錄,因此每一個會計科目的每一筆分錄(斷句)都是由特定的業務循環中所發生的行為(斷句)而產生的,也可以由此把每一個科目對應到不同的業務循環。以一個典型的制造業來說,主要的業務循環通常包含銷售、采購、庫存管理、成本結轉、固定資產及無形資產管理、人員薪酬、費用報銷等。每一個循環包含若干個子循環。
4.穿行測試
穿行測試的結果可以驗證第三階段所完成的內控描述在實際工作中是否被執行。對于穿行測試失敗的控制點,審計師需要了解失敗的原因,判斷是否應當修改對控制節點的描述、以及修改后的流程是否仍能覆蓋相應的風險。如果不能,結果相當于設計缺陷,類同于上面第三階段的情況。通常審計計劃階段到此為止,也有認為穿行測試不屬于計劃階段的內容。
5.設計符合性測試
對于穿行測試成功的控制節點,會計師要設計相應的符合性測試方法,以及測試所需樣本量。測試方法是根據上面的內控描述來定制化的,樣本量要求通常是各個所有自己的標準的(雖然都是基于審計準則,但由于對風險程度的判斷和承受能力不同,是有可能差得挺遠的)。強調一點,符合性測試的手段是多種多樣的,不是只盯著有沒有簽字有沒有授權就可以的。
6.執行符合性測試
符合性測試的結果決定了某一個控制節點是否真的有效,向上延伸可以推斷所對應的控制目標是否實現、風險是否被覆蓋。如果某個會計科目所mapping的所有業務循環中的控制節點都有效,這個會計科目的控制風險當然就是低的。在整體審計風險和固有風險確定的前提下,可接受的檢查風險就可以提高,需要執行的實質性測試就可以減少,也就是所謂“相對不那么重點的審計項目”。
