今天来谈一谈审计业务的风险评估程序(以下简称“风险评估”),为什么要谈风险评估?因为风险评估是年报审计中比较重要的工作之一,但却常常被人遗忘在小角落,无法体现它的价值。

本次写这篇文章,旨在提供一种审计思考,引起大家对风险评估的关注。

何为风险评估?风险评估是指审计人员通过了解被审计单位及其环境,以识别和评估财务报表层次和认定层次的重大错报风险(无论错报是由于舞弊或错误导致)而实施的审计程序,这句话相信学过审计课程的人来说并不陌生。

这里要解释一下什么叫财务报表层次和认定层次重大错报风险,财务报表层次的错报风险可以理解为与财务报表整体相关,比如管理层的舞弊,它可能导致整个财务报表是虚假的,认定层次重大错报风险可以理解为与具体的财务报表科目相挂钩,比如营业收入的发生存在虚假。

所以,我们在风险评估时,就能对企业可能存在风险的领域有了一定的了解,这是直接通过刷实质性工作底稿而无法了解的。

通常,我们在做一个年报审计时,项目经理需要做风险评估程序。

从总体层面先了解企业的财务报表可能存在哪些风险,通过识别和评估出的财务报表可能存在哪些方面的风险,然后开展审计项目组内部讨论,项目经理将所识别的风险传达给项目组,此后项目组成员在执行与此风险相关的审计时,就需要更谨慎,做更多的审计程序,从而将风险降低在可接受的水平,这个其实就是“风险导向型审计”。

审计员在开审计底稿时,应该根据风险评估的结果,抓大放小,将精力放在可能存在风险的领域,而对于风险较低的领域只要执行特定审计程序就行,有侧重性的审计。

看似简单的一段话,在实务中会因不同的情况而存在差异。

我们从以下几方面展开探讨:

一、不同类型审计业务之间存在差异

我们都知道,当前审计市场存在两种方向性的事务所,一种是具有证券资格的事务所,另一种是不具有证券资格的事务所(目前好像取消了非证券资格事务所不能做上市公司业务的限制),由于其面向的客户群体不一样,业务风险等级存在差异,执行的审计程序也存在差异。

(一)不具有证券资格事务所

这类事务所承接的一般是较小的审计业务,收费大多数不高。

由于该类审计业务规模较小、难度较低、风险较小,所以事务所在做年报审计时通常只做实质性程序,也就是各个科目审计底稿。

相对成熟一点的事务所会要求的比较高,要有风险评估底稿,但就是一个形式而已,随便点一点就完事,压根没人去看这些,因为这种业务大家关注的是是否函证、是否有盘点表、账面数与所得税申报表是否一致。

(二)具有证券资格的事务所

这类事务所的业务主要是上市公司、新三板、国企等,由于其业务类型普遍较大,难度较高,风险也较高,所以风险评估程序是必须做的,但也是根据业务性质的不同而存在差异。

一般上市公司审计和新三板审计的风险评估要做的比较细,内容要写很多,要把cpa“战略”的知识运用进去,最后写出来才像试卷的答案。

这类业务的风险评估工作不管是事务所的质控,还是证监会的检查,都是一个关注的点,而对于国企及以下的,风险评估一般也没有做得像上市公司那样细,也是停留在程序上。

综上所述,实施风险评估程序根据业务大小、业务风险等级的不同,而存在差异。

二、监管机构对风险评估的重视度不够

根据笔者所看过的监管处罚案例中,对于不具有证券资格的事务所,监管机构关注的重点几乎都指向实质性程序:

未发函、存货固定资产未监盘、细节测试不到位等等;而对于具有证券资格的事务所,假设被处罚的事项有5个,与风险评估相关的可能就1个,甚至是没有,就算是1个,那么所处罚的事项也是事务所一些自相矛盾的记载罢了,没有太多深入的问题,更多关注的还是实质性程序。

三、实务中对风险评估的重视不够

目前审计行业中,不管是哪类风险类型的审计,风险评估占进一步审计程序的比重都是特别低的,比如做一个审计项目需要10个人,那么做风险评估的只有项目经理1个人,项目经理做完可能也没有把风险评估的结果告诉审计组成员,审计员根据被分配到的会计科目,开始刷底稿,大家各做各的,风险评估与实质性程序相脱节,风险评估失去其意义。

当然也不能排除一些做上市业务的事务所,他们这方面做的细,真正做到“风险导向型审计”。

四、总结及思考

其实笔者的观点也是一样的,依据审计业务的风险程度去执行风险评估,一是出于成本效益原则,二是出于监管机构的重视程度,三是出于行业现状的考虑。

但是一份完整的审计成果,其实都是以风险评估为基础的,比如做完风险评估,然后确定哪些科目要采用综合性方案(控制测试+实质性程序)哪些只实施实质性程序,风险评估的结果是直接影响到了后续的审计工作及审计质量,因此笔者认为做好一个审计业务,风险评估很重要!但实务中,由于重视程度不够,真正能把这个底稿做得好的,我想也就事务所的质控老师吧,其他人员由于接触得少,见到底稿非常陌生,项目经理也是依葫芦画瓢,质控老师有提Q,项目经理再根据老师的要求做相应的修改,缺少这方面的思考。

今天要写这个文章,其实只是提供一种审计思考罢了!行业现状是无法去改变的,但是审计思维要变。

如果过几年,监管机构对事务所检查重点转向风险评估,实质性工作底稿没那么固定化,那风险评估程序工作将成为一种常态,项目经理根据工作量,将风险评估工作分配给项目组成员,项目组成员在刷底稿的时候,融入更多的思考,那么审计质量将大大提升。