CPA 在審計中怎麼判斷哪些是重點審計的內容？

12-27

在審計過程中，由於審計內容很多，那麼審計人員怎麼通過年報來判斷哪些項目應該重點審計，哪些項目可能有問題呢？

雖然現在主業不是audit了，還是憑記憶來答一發，有記憶錯亂的地方歡迎指正。

標準理論是：審計風險 = 固有風險*控制風險*檢查風險。在可接受的審計風險已定的情況下，固有風險和控制風險越低，所能接受的檢查風險就越高，所需執行的實質性測試程序就越簡化。反之亦然。

我揣測一下，題目中所問的「重點審計的內容」，大概就是指如何確定不同項目所需要的實質性測試程序。那麼依照基於內控的、自上而下的審計方法，判斷的依據來源於對業務的理解、對風險的評估和對內控的評價。因此才需要有審計計劃（Audit planning）和符合性測試（Complianc test）這兩個階段。而單純只看報表是無法完成風險評估的，報表層面的數字只是風險評估工作中的某一個要素而已。

一個基本的審計計劃通常需要覆蓋下面這些方面：

1. 風險評估（Risk Assesment）

理論上來說，風險評估是在接觸客戶的階段、簽署審計服務協議之前要完成的工作，目的就是為了確定這個客戶（尤其是新客戶）是否可能存在重大固有風險。準確地說，是固有風險中的一部分（可以稱之為「整體固有風險」）。這種風險可能來自多種方面：所處大環境的波動；業務模式和複雜度；管理層的資歷、能力和履歷；過往的審計師是誰；以前年度審計報告的意見類型；以前年度審計調整的數量和類型；乃至客戶可能願意承擔的審計費用等等。大致上評估風險時必須考慮的問題包括但不限於：

所在行業
所在國別/地區
公司存續年份
審計目的及報告類型（法定審計或特殊目的審計？）
審計區間
上一年度審計師
上一年度審計意見類型
上一年度審計調整的數量、類型
新客戶的大致背景資料（組織架構，管理層構成，主營業務，資產及收入規模，盈利/虧損/break even，……），或老客戶本年度的重大變化
是否存在持續經營的問題
欺詐風險（Fraud risk）評估（有一整套指標，不展開了）
此項目是否可能違反事務所的獨立性要求
預計項目組人員的配比，是否滿足專業能力和經驗的要求，是否可能存在利益衝突
是否需要藉助外部專家的能力
預計項目工作時間及收費情況

每個事務所會有一套自己的評估標準，通常是對每個指標給予量化評分，並賦予不同的權重，計算一個加權平均分。再比對一個事先設定的對照表，視乎評分結果落在哪個區段內，來確認這個項目的固有風險程度，並判斷是否要接這個案子、能以什麼價格來接。假如固有風險過高，意味著所需執行的實質性測試程序將複雜到無法承受的地步，這個案子照理就不該接。這張對照表是事務所內最有經驗的合伙人和會計師共同討論的結果，理論上來說是這家所風控的核心之一。

實際操作中，評估過程可能比這複雜得多，對於大型的新客戶一個planning做幾個月是跟正常的事情。當然也可能簡化，至於能簡化到什麼程度，看會計師自己的尺寸了，有人要說我就是膽子大不做風險評估什麼案子都接，當然也可以，我也無權槍斃他。

2. 了解客戶的業務（Understand Business）

在風險評估階段實際上已經覆蓋了一部分此類工作，但畢竟是比較粗線條的。和客戶談好了價錢、簽了服務協議、開始進場工作後，需要對業務情況做進一步的了解。這塊工作是預審的主要任務之一。理想中的預審應該就是了解業務、評估內控、設計審計程序、穿行測試、符合性測試（除非是要做hard-close，但我個人很不贊同hard-close這種低效率的方式，這隻能是偶爾為之、沒辦法的辦法，能少用就少用）。

對業務的了解至少應包括以下方面：

公司背景（部分在風險評估階段已涵蓋，此外還包括資本金狀況、所用財務系統及ERP系統、所處環境的重大變動等）
管理層和財務人員構成（比風險評估階段更細化，除高管外還包括主要業務流程的負責人、以及財務部職責分工）
主要供應商
主要客戶
競爭對手
關聯方
適用的稅種、稅率、減免優惠政策

需要說明的是，雖然做的事情和前一階段有些類似，但這一階段的目的是在於：1）判斷某個會計科目或業務環節的個別固有風險，2）為下一階段的循環拆分做準備。在這個階段，就會涉及到題目中所說的財務報表，因為某一個會計科目的餘額或發生額是影響其個別固有風險的要素之一，但絕不是唯一。這就是為什麼在一開始我說單看報表不可能完成對風險的評估。

第一階段和第二階段的工作都是以客戶整體為對象的，不直接解決題目中問的「判斷哪些是審計重點」，但是是下面工作的前提。

3. 對主要業務流程和控制節點的描述（Understand Control System）

在做完上面階段二的工作後，會計師已經可以對客戶的業務概貌有所了解。通常一個業務模式可以被拆分成不同的業務循環（cycle）。理論上來說，財務報表只不過是業務行為的量化記錄，因此每一個會計科目的每一筆分錄（斷句）都是由特定的業務循環中所發生的行為（斷句）而產生的，也可以由此把每一個科目對應到不同的業務循環。

以一個典型的製造業來說，主要的業務循環通常包含銷售、採購、庫存管理、成本結轉、固定資產及無形資產管理、人員薪酬、費用報銷等。每一個循環包含若干個子循環。以一個簡化的銷售循環為例，可能包含的子循環有：簽訂框架協議——維護及更新銷售合同主文檔（master file）、客戶主文檔——收到及確認訂單——發貨的系統記錄及會計處理——開票及流轉稅計提——收款及對賬——銷售傭金計提，等等。每一個子循環中涉及若干關鍵的控制節點（control activity），對應某個或某幾個控制目標（control objective），用以覆蓋某個風險。具體的control matrix如何來確定這裡不展開了，太費事。有興趣的可以自己去看COSO。當然實務中會簡化，尤其是對於沒有SOX或C-SOX filing要求的非上市公司。

如果某些潛在風險沒有被現有的任何一個控制節點所覆蓋，那麼就可能產生一個控制設計缺陷。會計師可以評估這個設計缺陷導致的控制風險有多大，後續能否、以及需要採用什麼實質性審計程序來覆蓋，將會影響到哪些會計科目。

4. 穿行測試（Walk-through）

穿行測試的結果可以驗證第三階段所完成的內控描述在實際工作中是否被執行。對於穿行測試失敗的控制點，審計師需要了解失敗的原因，判斷是否應當修改對控制節點的描述、以及修改後的流程是否仍能覆蓋相應的風險。如果不能，結果相當於設計缺陷，類同於上面第三階段的情況。

通常審計計劃階段到此為止，也有認為穿行測試不屬於計劃階段的內容。

5. 設計符合性測試

對於穿行測試成功的控制節點，會計師要設計相應的符合性測試方法，以及測試所需樣本量。測試方法是根據上面的內控描述來定製化的，樣本量要求通常是各個所有自己的標準的（雖然都是基於審計準則，但由於對風險程度的判斷和承受能力不同，是有可能差得挺遠的）。強調一點，符合性測試的手段是多種多樣的，不是只盯著有沒有簽字有沒有授權就可以的。

6. 執行符合性測試

符合性測試的結果決定了某一個控制節點是否真的有效，向上延伸可以推斷所對應的控制目標是否實現、風險是否被覆蓋。如果某個會計科目所mapping的所有業務循環中的控制節點都有效，這個會計科目的控制風險當然就是低的。在整體審計風險和固有風險確定的前提下，可接受的檢查風險就可以提高，需要執行的實質性測試就可以減少，也就是所謂「相對不那麼重點的審計項目」。

長篇大論後簡單總結一下：

評估整體固有風險；
評估各科目的個別固有風險；
評估各科目的個別控制風險；
倒推各科目的檢查風險
根據檢查風險的高低確定各科目所需的實質性審計程序（即「審計重點」）

------------------------------------------------------------------------------

題外話，「主業不是審計」不等同於「不做審計」。如果有人願意找我做審計我還是很樂意的。

@wifs P 基本都說完了

我補充一點
完整性

這個認定是貫穿在整個財務報表的重點問題
當然如何對各科目的完整性取得審計信心一直以來都是一個探討的熱門話題
各家事務所對這個認定的具體審計方法也不盡相同（私以為這個問題是衡量一個事務所業務水平的重要標準）

具體不再展開了
一句話 每個科目，不管大小，都不要忘了完整性。

好好看看CPA審計教材，基本都有講。

樓主提到年報，應該說的是年審
分兩種，一種常規客戶，這就簡單，看看去年的風險點，加加減減，重點審計內容就出來啦
一種是新客戶，沒辦法，按照理論來吧，老闆談話，風險評估，確定重點，全部走一遍
實際這兩種方法依靠年報都不多，畢竟年報還不知道在哪個犄角旮旯～去年的年報參考價值也不高
準確點說，樓主指的是通過財務報表分析判斷風險點，其實審計中很少單純依靠財務報表分析決定審計重點，通常都要結合經濟環境、行業情況進行分析的。比如今年經濟不好，審計師就會更多考慮應收收不收的回來啊，該提的負債有沒有計提啊；若是前幾年，考慮的情況就是反過來的。

@wifs P 的回答應該是標準的審計理論，已經比較全面了
我根據自己的實際經驗補充一點
在實務工作中，特別是年審這種工作量大時間短人員配置低的工作中，對企業業務和經營模式的了解是非常重要的！！
相比四大，國內大所存活的基礎還是央企、國企的年度審計工作，事務所一般是與大國企的集團公司達成協議，打包承接該國企的部分或全部下屬企業（也可能包括總部）的年度審計業務，這些業務的狀況往往是被審單位家數多（上規模的國企怎麼也得有個幾十上百家的下屬企業），經營業務範圍廣（國企就是神奇，上天入地無所不能），審計時限短（一~兩天搞定一家，別忘了還有國資委虎視眈眈催著決算呢），審計力量不足（標配一個正式員工+兩個實習生 *—*|||）。
在這種情況下，什麼了解內控、穿行測試、控制測試神馬的都是浮雲，因為壓根沒法完成！！！最有效的辦法是和企業的財務人員聊天：一方面，聊天是非常快捷的了解企業業務的方法，配合聊天與翻閱憑證，奧迪特可以很快的了解日常業務經營流程；另一方面，財務人員，特別是最基層的財務人員一般都是很單純的人，在非敵對關係的情況下，財務人員聊天過程中對日常業務的抱怨往往提示奧迪特關注相關的事項，結合對企業業務的了解，審計需要關注的重點自然就找到了。

還可以增加一點：可比數字
所謂可比數字，即本年與以前年度的數據相比有哪些變化，變化是否符合企業自身的發展環境，結合企業的內外部的環境（即前面所述的風險評估）綜合考慮，也可以得出重大錯報風險的方向。
可比數字在審計中其實使用很廣，不僅是在報表期間與以前相比，還有本年度不同的月份也是有可比性（這也是會計的可比性要求的結果），比如說，我們在分析主營業務收入時，可以將每個月份的收入相比，分析出可能該企業的一半的主營業務收入是12月形成的，也就說明，12月的主營業務突增可能存在重大錯報風險，於是也就成了重點審計範圍了。

通常從往來資金開始追收入成本，其次關聯交易的合併抵消，與所有者權益有關的所有賬目看一遍，關注財務費用。基本上風險可以控制住

@Edmund 你這樣說出這麼高深的審計方法，真的好么？

雖然我有的時候也是這樣做的。

同意 @jane牛奶審計的核心在風險，風險的核心在業務，所以一般問re不re之類的一般是審計的重點。這些一般要拿企業報表與往年和行業做縱向和橫向比較，另外還需要跟客戶業務部門溝通才能得出。