11我所知道的四大审计.docx
《11我所知道的四大审计.docx》由会员分享,可在线阅读,更多相关《11我所知道的四大审计.docx(19页珍藏版)》请在冰豆网上搜索。
11我所知道的四大审计
我所知道的四大审计
首先介绍一下,本人三十多岁,从业将近10年,先是在国内的一家排名在30名以内的事务所作审计5年,后来去了四大之一做了3年审计,现在转到国内另一家大事务所做咨询工作。
可以这样说本人对国内所和四大都有比较充分的了解,我写的东西不存在道听途说,不存在妄加推测,
都是本人亲身经历和亲身感受,如果诸位想听听,我会详细的把我所理解的四大介绍给大家,大家有什么见解尽管发,但是不能做人身攻击,否则本人就此潜水。
首先,我的立场是完全是客观的,说起四大,以前往往认为他们很神秘,今年来随着光环逐渐退去,四大往往为人所诟病,目前业内人士对四大指责颇多。
不容否认,四大的确存在很多问题,有些问题也确实是致命的但是由于四大对其核心技术方法并不公开,外界对四大的审计理论也许有所了解,但是对他们如何具体执行审计业务知之甚少.
我的文章也许会很长,看情况吧,我倒是希望把我所知道的原原本本的介绍给大家,我不想争论,也不加判断,诸位自己判断吧。
继续说.毕马威会计师事务所早在1976年就实施了审计领域研究机会项目,并以此为名称出版研究报告,从而与学术界建立了紧密的合作关系。
虽然其他大会计师事务所也效仿毕马威与学术界的合作模式,但毕马威依然处于领先地位。
20世纪90年代早期,毕马威一方面在实务中进行了一些必要的探索,另一方面组织了以鉴证服务主管TimothyB.Bell、鉴证服务全国(美国)合伙人FrankO.Marrs、伊利诺伊斯大学毕马威杰出教授IraSolomon和伊利诺伊斯大学战略管理教授HowardThomas为首的研究小组研究新的审计方法。
1997年,研究小组出版了研究报告:
《以战略系统观组织审计》,提出了毕马威的BMP(BusinessMeasurementProcess)审计模式。
安永会计师事务所以“审计创新”为名开发现代风险导向审计,并形成了对企业经营环境进行分析的系统方法,简称BEAT(businessenvironmentanalysistemplate),在此基础上,安永形成了全球审计方法(GlobalAuditMethodology)。
普华永道会计师事务所开发出了以“普华永道审计方法(PricewaterhouseCooper’sMethodology)”为名的现代风险导向审计方法。
德勤会计师事务所开发出了以“AS/2”为名的现代风险导向审计方法。
我只是在其中一家工作过,只是通过其他同事间接了解了其他三大的方法,下面我只是详细介绍我工作的一家吧,但愿不会涉嫌侵犯商业秘密,呵呵。
我把思路整理了一下,大体想按照以下的结构来写,各位大虾有啥意见也可以提,我再补充或调整。
一、审计方法演变的背景简介
二、主要的审计步骤
承接客户阶段
制定审计计划时的考虑
前期工作(风险初步评估)
内部控制的了解与测试
风险再次评估
实质性测试
特殊事项的考虑
报告阶段的主要工作
三、其他重要事项
审计风险模型
审计抽样
审计质量控制
关于审计底稿
集团审计时的特殊考虑
四、人力资源和薪酬制度简介
五、四大审计模式中的局限性
一、审计方法演变的背景简介
太远的就不多说了,从20世纪80年代开始吧。
(呵呵,将近20年也够长的了)声明这部分不是我的原创,只是介绍一些背景情况,以更好的了解目前四大审计方法的渊源。
如果对这部分不感兴趣也可以直接跳过去,不过看看也挺好.
20世纪80年代晚期之前的情况:
管理层舞弊的职责在权威性指南中尚不明确。
权威性指南继续支持对交易类别和账户余额进行详细测试,因为这类程序通常可以获得最有说服力的审计证据。
为了促进对抽样风险的控制,指南建议建立模型(ARM)来帮助审计师运用抽样方法,计算详细测试的样本规模。
同时实证证据显示审计程序不会因为审计师对固有风险和控制风险的评估而有显著改变。
职业界对固有风险的历史观点反映在美国审计准则公告第39号“审计抽样”。
为了在确定审计范围时确定样本规模,公告忽略了固有风险,因为公告认为量化固有风险很困难,并且成本有可能很高,尽管大多数审计师在审计计划过程中直观地运用固有风险分析,但是固有风险分析仍未被正式地纳入事务所的审计文献中。
不管是否有控制,固有风险都存在。
因此,对可控制(内部控制)进行查证并不能识别此类风险。
20世纪80年代晚期的一些发展:
为主观评估固有风险(重要错报风险和检查风险)而取得的关于公司经营状态的证据并未被权威性指南明确地确认为审计证据;更确切地,这些活动被描绘为获得证据的计划。
帮助审计师充分地了解经营,并有效控制非抽样风险的指南仍然很少,尽管审计失败指出非抽样风险是主要诱因。
当时普遍存在的审计环境对审计的影响
社会对审计质量的预期明显没有得到满足;
针对审计师的诉讼骤增;
大型审计事务所的执业保护成本达到最高记录;
为了更好地评估和控制审计师的业务风险(尤其是与高风险客户相关的风险),审计事务所改善了筛选客户的方法;
审计市场竞争激烈,有压低价格的压力;市场壁垒似乎限制了根据质量区分审计师的能力;审计时间减少,迫使审计事务所为提高效率而重构其审计程序。
审计事务所试图通过扩展非审计服务来维持或者增加利润。
1988年发布的美国审计准则公告第53号增加了审计师发现财务报表舞弊的职责,之前的职责(如美国审计准则公告第16号所述)是当在审计过程中有迹象显示存在舞弊时应该有所反应。
美国审计准则公告第53号中的新职责是更为主动的——审计师应该计划并执行审计以合理保证由于差错和非常规事项(即舞弊或盗用)引起的重要错报能够被发现。
美国审计准则公告第53号推荐了多种可能显示高舞弊风险的客户经营风险因素的例子。
对这些风险因素的识别和评估需要更深入地了解客户的经营、行业以及客户的经营业绩,并寻找可能对业绩有重大影响的经营风险,或者有可能在近期产生重大影响的经营风险。
1997年发布的美国审计准则公告第82号试图进一步明确审计师发现财务报表舞弊的职责,“审计师应该明确地评估舞弊引起的财务报表重要错报的风险……”给出的风险因素的例子更多地涉及到管理层激励、行业环境以及客户运营特征和财务稳定性。
补充的指南要求在工作底稿中记录执行舞弊风险评估的证据,对存在的风险因素做出反应,审计师与管理层、审计委员会等进行沟通。
20世纪90年代以前,日益动态竞争的经营环境促使管理更加关注经营战略和经营模式修正、核心能力和关键成功指标、经营环节执行中的优势,以及相关的经营风险。
上述因素和关系会增加非抽样风险和审计师的业务风险,尤其是论及到审计师评估舞弊引起重要错报风险的时候。
20世纪90年代至今的发展:
出现了多种经营分析和风险评估框架,审计师为了增强对非抽样风险的控制而利用了这些框架,并提供了增值性的非审计服务。
类似的框架包括:
COSO和CoCo扩展的内部控制框架,推荐了监督和控制相关经营风险(业务运营风险、合规性风险和财务报告风险)的关键成功要素。
多种质量管理框架和价值管理框架,例如平衡记分卡、波特五力模型、全面质量管理(TQM)以及系统思想的创新和竞争性战略动态学。
大型事务所进行了总结之后,战略系统审计(SSA)作为一个框架出现,战略系统审计(SSA)框架(有些地方称之为经营风险审计、风险导向审计,国内称之为现代风险导向审计),例如:
安永的审计创新(AuditInnovation),毕马威的经营计量程序(BusinessMeasurementProcess,即BMP),普华永道的“普华永道审计方法(PricewaterhouseCooper’sMethodology)”德勤的“AS/2”为名的现代风险导向审计方法。
各事务所的方法形式不同,但是都有一些共性的方面,如:
框架均附有一组工具对审计师有如下作用:
改善对多种非抽样风险源的评估和控制,例如改善对舞弊引起的重要错报风险的评估改善承接客户及续约的筛选方法
改善对其他非抽样风险源的评估和控制:
利用改进的经营认识评估以下固有存在的风险:
会计政策选择,重要的非常规业务交易,补充披露(例如,完整性与充分性,重要的经营风险),利用改进的分析性程序,根据快速变化的经营环境来评估常规交易类别、账户余额、比率及其变化的合理性。
改善对其他非抽样风险源的评估和控制:
经改进的实质性-分析性程序,经改进的经营了解以对实质性详细测试的性质、时间和范围进行计划。
证据的评价和整合得到改进,在这个审计过程中形成并修正观念以对重要错报风险(RMM)和检查风险(DR)做出递推的、主观的评估。
一、客户承接阶段的主要工作。
承接客户阶段的主要工作最核心的是客户筛选,说实话,我对这部分了解并不多,这部分工作是合伙人做的,个别情况下是经理也会承担一部分工作,一般的Staff是接触不到的。
对客户的筛选关键是评价客户的经营风险,在风险导向审计的理论下,客户的经营风险是决定审计风险的决定性因素,最大的经营风险其实就是经营失败,实务中尽管经营失败并不必然带来审计失败,但是在绝大多数的情况下,经营失败往往会导致审计失败,或者说在经营失败的情况下,公众有扩大审计师责任的倾向,尤其是在新的审计准则环境下,这种倾向更加明显。
通俗的讲,就是最大的审计风险就是客户会不会倒,客户倒了,那你的审计风险就是接近于无穷大了,当然决定审计风险的还有其他很多因素,我只是说我理解的最关键因素是经营失败的风险。
具体到四大的在国内的客户,主要分两部分,一是跨国公司在境内的分支机构,是四大境外OfficeTransfer过来的,像PWC的朗讯,DTT的GM。
这类客户一般不需要境内Office做太多的客户筛选工作。
二是境内客户,这部分要做完整的客户筛选程序。
具体工作我没有作过,大体内容应当包括行业背景分析、公开市场资料分析、客户经营战略和经营风格(激进还是保守)、管理层(实际控制者)动机分析、客户诚信度分析等等,分析的工作非常复杂,这个阶段有一定的局限性,比如资料完整性、可靠性问题等等,分析结果的可靠性存在一定不确定因素,一般有很多工作要在执行审计过程中再深入去做,以验证或推翻客户筛选过程中对风险的评估结果。
这个阶段的工作还是非常复杂的,目的是接一个新客户时,就将高风险排除掉。
这样等到了现场工作时,已经不会有大的风险了,现场工作仅仅是为了防止意外,以及控制一些剩余的风险(剩余风险概念现在好像不在提了,风导审计理论有了新的发展)。
我理解四大认为最大的风险还是选择客户不当的风险,因此对于客户筛选程序上也是比较复杂,我工作的这家一般是项目主管合伙人具体负责评估,第三方合伙人复核,好像还有技术部复核,然后全套资料传到香港的大中华总部复核,由HKoffice放Clientcode和Engagementcode。
个别的还要传到澳大利亚的全球技术总部复核。
从整个过程看客户选择的过程还是非常谨慎的,我曾经不止一次遇到过放弃客户的情况,2004年我in-charge的那家上市公司,
2005年我看就换成local所了,04年就发现客户主业开始下滑,即使没有发现问题,但是04年已经被列为高风险客户了,05年放弃掉也是情理之中的事情。
在四大购买会计原则还是非常难的,原因很简单,国内市场对于他们全球收入来说毕竟有限,单个客户每年几百万人民币的收费,一般还不足以促使合伙人冒道德风险,或者说即使是由于各人道德、业绩考核压力等原因,合伙人主观动机上有问题,但是在层层复核的情况下,其交换审计原则的行为还是不容易实现的。
当然我说的不绝对,像德勤创维事件中,就有合伙人德道德问题。
即使是个别合伙人有问题,但是作为四大管理当局本身,主观性违规的可能性还是不存在的,我说的是指国内,市场十分有限,最大的PWC年收入不过1亿美金,其他三大更少,比起全球动辄上百亿美金的总收入,您觉得四大(不是四大的个别合伙人)会为了几十万或者几百万美金而冒险吗?
当然在一个足够大的市场中可能情况会改变,比如著名Enron事件中,AA为了Enron每年的5000万美金而冒险,但是近期在国内我看四大整体上为了个别企业冒险的可能性还是很小的(不绝对)。
在这个阶段还有一项重要工作就是项目收费&成本测算,原则上是根据工时成本计算收费,具体我到主要审计步骤那一部分再讲。
再说说国内的事务所,我服务过三家,由小到大,现在的这家也算是不小了,可以排在国内前20名以内,但是承接客户就是单个合伙人说了算,基本没有风险评估程序,就是由合伙人个人定,基本不同其他合伙人讨论或者通报,结不接业务、收费多少、签不签字基本是一个人说了算,也有一定的复核程序,但是起的作用有限,国内的事务所大多数还是处在这样一个状态下。
还是那句话我说的不绝对,个别的大型事务所可能好一些,但是实事求是的讲现在市场竞争太激烈,大多数事务所的合伙人能拉到业务就已经很不错了,客户筛选工作就薄弱一些。
这一部分可能是争议比较多的,其实也是我自己的理解,毕竟不是根据一手资料说的,讲的也不是很清楚,难免有不妥当的地方。
我说的这些也许被诟病,但是我希望业内的同仁拍砖之前想一想,说的话还是口能对心为好。
从下一章开始我找一个公司的底稿,从头到尾详细讲一遍执行的审计程序和审计方法,那是我亲身做的,说起来就有把握多了。
二、制定审计计划时的考虑。
决定承接客户之后就是具体做业务了。
我记得主要是做年报审计和IPO(境内和境外,主要是境外)。
好像四大没有local所做的专项审计业务,最多有个执行商定审计程序的业务。
年报审计大约是从9月中下旬一直到第二年的4月,有的根据境外准则的要求,年报审计也会在年中的几个月(USGAAP)。
IPO一般是在年中,做的时间都是比较长的,一下好几个月,一直做到吐血。
一般的年报审计业务分两阶段(预审&final):
1)预审,我理解预审对于四大是非常重要的。
一般是在9月开始到12月初,审计当年的情况。
绝大多数审计业务都会经过预审。
预审分两种,一种是普通的预审,一种是非常接近年报审计的预审,他有个专有名词,我不知道怎样翻译合适,还不敢直接写英文(害怕找麻烦)暂时就叫详细预审吧。
先说普通预审。
主要做以下工作:
Follow上年final时的审计调整,核对期初的金额;取得/更新当年的永久性文件;了解客户的经营风险;审计风险评估;内控了解(更新)和测试;填列当年的计划阶段的各项底稿,包括控制性底稿和技术基础性底稿,像重要性水平的计算等;执行报表科目实质性的审计程序。
预审时的审计程序和final的审计程序没有什么实质区别,但是有适当简化,如不执行盘点和函证(毕竟还是预审),重点是实质性的分析程序,也包括相当程度的detailtest,如抽样测试,对预审中发现的问题,如果可以confirm,就要求客户调整,对于不确定事件,则留下AuditFindings,让final的同事follow。
预审阶段会形成一个非常重要的底稿-《完成初步的分析性程序》(直译,不一定准确),是对全部报表科目的非常详细的分析,包括各科目当年发生的主要事项,金额变动分析,余额结构分析,一些比率分析,发现的主要问题,现场的主要判断等等,详细程度远远超出local所同事的想象,完成这张底稿既是现场审计工作的详细总结,又是对现场staff的督促,你工作做不到位就写不出东西来,即使编出来也很难经过复核的考验(除非是出色的小说家),这张底稿还有利于manager和partner复核,使其迅速了解客户的基本情况。
下面说到这张底稿时我会详细讲,有可能的话贴个例子上来大家瞧瞧。
一般一个客户普通预审和详细预审不会都做(节省成本嘛),详细预审一般截止日是11月末(或者非常接近final的时点),审计程序和final的程序完全一样,包括发函证、盘点。
但是一般不包括存货盘点,存货盘点在年末统一做。
详细预审就是一次完整的年报审计过程。
客户预审是经过详细预审和普通预审对final的影响有很大的区别。
经过普通预审的客户,final时仍要对全年的情况进行审计,当然有些工作预审做了的可以简化,但是审计重点还是整个年度。
经过详细预审的客户final时只要对最后一个月的变动情况审计就可以了,如果变动不大,一般外勤就很快结束,变动巨大并且合理性有问题的才需要关注全年度情况。
就是说经过详审的,final时审计重点是最后一个月(最后一期)。
以上是一般情况,有的重点客户甚至一个季度预审一次,从Q1到Q3,还包括一次详细预审,当然这种情况很比较特殊,但是也不罕见,如IPO过程中的业务有时会遇到一年审好几次的情况,估计这也是控制风险的考虑。
其实我认为50%-70%的外勤审计工作在预审阶段就已经做完了,经过预审大大减轻了final时的外勤工作量,节省了时间,并且在相对淡季做预审,有效的缓解了final时的人员需求压力,并且有利于控制审计风险,增加了对客户的了解,对审计风险控制有一个提前量。
预审的作用还是非常大的。
很多Local所也做预审,但是预审的详细程度、审计深度&广度、预审的有效程度远远不如四大,更多的时候是对客户的粗略了解,对提前控制风险,减轻年报审计压力的效果有限。
容易形成年报审计的时候才发现新问题,搞的措手不及。
在开始讲底稿之前这里先讲一讲项目控制吧。
确定承接项目后由合伙人或经理签订业务约定书,每一个项目都有一个客户编号,一个业务约定编号,签约后确定负责该项目的经理。
经理根据人员工时计划,向admin提出人员配备要求,四大有个专门部门或人员负责人员调配和工时记录,四大的项目控制和人员调配比较严格,安排员工作哪个项目作多长时间都是很严格的,时间到了这个员工肯定撤出该项目,经理一般没有权力多留用个别员工。
同时对项目要考核成本,比如一共使用多少不同级别的员工,总工时多少、报销了多少费用。
工时成本按照员工级别计算,比如A2每小时成本是四五百元,如果成本超支或节约对经理是有奖罚的。
确定了team后,指定一个现场负责人(incharge),一般项目经理不会去现场做业务,大项目除外,有的项目甚至是合伙人现场incharge,一帮manager做FAIC。
四大的项目控制包括时间成本控制和质量控制。
由于主要成本是人员工时成本,经理为了避免人员过多浪费成本,或人员不足不能按时完成,对人员计划是比较谨慎的,但由于四大现严重缺人,一般是人员不足,每个项目都很紧张,导致超高的工作强度。
质量控制是通过标准化审计程序和严格复核来控制的,尽管经理很少去现场,但经理是会了解项目进度和重要的审计事项的,并且事后复核会很严格。
前面罗里罗嗦的说了这么多,现在终于言归正传了,开始讲四大的底稿,我找了一套国内三年一期IPO的例子,从头开始逐张底稿讲讲。
底稿的
结构包括:
1、制定审计计划时的考虑;2、前期工作(风险初步评估);3、内部控制的了解与测试;4、风险再次评估;5、实质性测试;6、报告阶段的主要工作。
其中1、2、4的具体做法四大以外的同仁都知之甚少,3、5、6一般的审计教科书都会有相关内容,local所也有自己的一套实施方法,四大的做法与local所差异还是非常大的。
我这篇文章的核心内容是2-4,也是以前从来没有人公开详细介绍过的(至少我没有看到)。
写这部分内容主要困难是如何准确翻译,四大的底稿全是英文的,一些表述习惯和汉语有很大差异,有很多专业词语不太好准确翻译,
翻译的过程比较麻烦也费时间,只能在说清楚的基础上尽量简化,一些句子可能读起来比较别扭。
就像现在新公布的审计准则一样,读起来要多别扭有多别扭,根本就不像是中国人说的话。
去年我曾经与中注协标准部的同仁探讨过这个问题。
就算是你以趋同为目的吧,为啥不能按照汉语表达习惯把国际审计准则(IAM)汉化,在保持实质不变的前提下,让新审计准则更容易理解一些,注协那伙计回答,汉化本身不是问题,但问题是按照汉化后的文本再翻译成英文,和IAM的英文文本又会有很大差异,他们不会认为你已经趋同了,或者要做许多解释工作,与其这样
麻烦不如直接翻译过来尽量与IAM英文文本保持一致(我倒?
!
)。
四大没有固定的审计程序,根据每个公司的不同情况、业务特点、风险评估情况,最终确定需要执行的审计程序都不一样。
也就是说,执行的审计程序在大框架一定的情况下,每个具体项目都是比较灵活的。
这点和local所区别很大,很多local所是一套固定的审计程序,一大堆表,不管什么公司,都是用的一样的底稿。
四大的审计程序是一环扣一环的,这个环节程序的评估结果,直接影响下个环节执行什么程序,不执行什么程序,执行的简繁程度如何。
举一个例子,有一个国内非常著名的上市公司,是做大型机械的,我曾经在控制环境评估中发现企业的战略非常激进,经营方式大量使用赊销,还发现公司的一个疑似关联公司为客户提供一些信用担保,这里产生三个后续问题,一是很大可能存在特定风险——需要证实/排除担保公司是不是关联方,这种信用担保对公司究竟有什么影响。
如果证实是关联方就会有非常多的后续工作去做。
二是影响内控测试,激进的战略导致这个公司的销售收款循环的风险远远超过普通企业,在做内控测试的时候就要多做很多工作,如穿行、更大范围的内控测试、更严格的内控测试标准。
三是影响一些科目的实质性测试,如应收账款,执行的程序比一般企业更严格更复杂,工作量也加大了。
这种环环相扣的审计方式KPMG的全球首席技术合伙人TimothyBell有非常精辟的总结,“现代审计是一种循环递推的、证据驱动的、基于判断的风险评估过程。
”这句话让我终身难忘,也让我不后悔在四大度过的三年。
闲话少说,好戏登场,开始讲底稿:
制定审计计划时的考虑。
审计计划其实是两个计划:
审计计划和客户服务计划。
1.1关于制定审计计划程序:
大概有三个方面三十多条内容,我记得主要包括:
1.1.1前期准备工作:
举行准备会议,项目经理和合伙人讨论评估项目的风险、审计小组、预算和审计策略。
完成项目风险和内控环境的估计。
完成舞弊风险评估。
组成审计小组和准备详尽的预算(fee,cost)。
讨论业务约定书条款,发函业务约定书条款。
计划成本和收费预算。
复核以前年度审计的关键点,确保往来函件、报告、税务文件已经被客户恰当的处理。
确定客户的审计风险分级,如果必要,由质量控制部门复核评级。
1.1.2完成初步的计划
planningmeetingwiththeclient.
完善对客户经营情况的了解。
考虑环境和行业因素,这些会是否影响特定潜在风险和我们所关心的资料。
同时,识别客户的关联方获得使用于一般企业和客户所处行业的法律法规,并了解客户多大程度上执行这些规则。
当存在客户的行为与相关法规和业务处理惯例不符的情况下,应考虑执行特别的程序,以确定其对报表反映的影响。
主要程序是通过询问管理当局和检查各种文件来实现。
理解客户的会计处理过程。
完成初步的分析讨论程序,识别任何我们预期之外的变动情况,或意料之外的关系,这些可能导致财务报表存在舞弊错报的特定风险。
考虑持续经营的假设是否依然有效。
(这个程序至关重要)
在评价客户的具体情势之后,决定计划的重要性水平。
如果由必要,制定客户服务计划。
考虑出具管理建议书,主要是关于内控方面和其他重要的建议事项。
需要立即被处理的,应出具管理当局沟通函。
向以下组织发询问涵以确认:
Banks、Solicitors、Debtors、Creditors、Thirdpartyholdingofstocks、Others.。
协商参加持股人大会
1.1.3拟定审计计划
如果与特别的科目余额或潜在的错报相关的显审计证据仅在计算机系统中就能够获取,我们应该计划采用一个控制信赖策略,(除非我们单独进行实质性测试的结果满意)会提供给我们合理的保证,
升级会员 