在确定审计程序的范围时,审计人员应当考虑事项重要性;评估的风险和计划取得的保证程度等。随着风险的增加,审计人员应当考虑扩大审计程序的范围。但是,要注意审计程序本身与特定风险的相关性。
审计人员使用计算机辅助审计,可以对电算化的交易和账户文档进行更广泛的测试,从主要电子文档中选取交易样本,或按类别选取样本,或对总体而非样本进行测试。
使用抽样检查时,如从总体中选择的样本量过小,或选用的抽样方法不适当,或未对发现的例外进行恰当地检查,样本检查结论与总体抽查结论可能不同,应注意调整。
四、内部控制测试对风险的评估预期控制的运行是有效的和实质性检查不足以提供充分、适当的审计证据时,就应当实施控制测试,以获取控制运行有效性的审计证据。应当获取的控制有效运行的审计证据有:
(1)控制在所审计期间的不同地点是如何运用的;(2)控制是否得到一贯执行;(3)控制由谁执行;(4)控制以什么方法执行。
如果被审计单位在所审计期间内的不同时期使用了不同的控制,审计人员应当考虑不同时期控制运行的有效性。审计人员可考虑在进行控制设计恰当性测试时测试控制运行的有效性,以提高审计效率。
(一)控制测试的性质
(1)审计人员应当选择不同类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高,获取的审计证据更加可靠;如以控制测试为主,应获取具有更高保证水平的反映有关控制运行有效性的审计证据。
(2)审计人员应当根据特定控制的性质选择适当的审计程序的类型。如采用检查文件程序、询问和其他程序,以获取有关控制运行有效性的审计证据。询问和观察、检查或重新执行审计程序结合使用,才会更为有效。
(3)在设计控制测试时,审计人员应当考虑与审计目标直接相关的控制及间接相关控制其有效运行的审计证据的获取。
(4)对于自动化的应用控制,审计人员可以利用该项控制得以执行的审计证据和信息技术一般控制运行有效性的审计证据,作为支持该项控制在相关期间运行有效的审计证据。
(5)审计人员在实施控制测试的同时,可考虑对同一交易实施细节测试。
(6)如果审计人员实施实质性检查发现了重大风险而被审计单位没有识别,通常表明被审计单位的内部控制存在重大缺陷,审计人员应与管理当局和治理当局进行沟通。
(二)控制测试的时间
控制测试的时间取决于审计人员的目的,并决定了依赖相关控制的时间。
如果只测试特定时期的控制,则仅能得到该时点控制有效运行的审计证据;如果测试某一期间的控制,就能获取控制在该期间有效运行的审计证据。
(1)如果已获取有关控制在期中有效运行的审计证据,审计人员应当考虑下列因素,以确定对剩余时间有效运行的额外审计证据的获取:
(1)评估的风险重要程度;(2)在期中测试的特定控制;(3)对有关控制运行有效性获取的审计证据的程度;(4)剩余时间的长度;(5)在依赖控制的基础上拟减少进一步实质性程序的范围;(5)控制环境;(7)在剩余期间内部控制发生重大变化的性质和范围。
(2)审计人员如果拟依赖以前审计获取的有效性的审计证据,应当通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据;审计人员信赖自上次测试后已发生变化的控制,应当在当期审计中测试这些控制的运行有效性;审计人员拟信赖自上次测试后发生变化的控制,应当至少每三年对这些控制的运行有效性测试一次。
(3)审计人员在确定以前有关控制运行有效性的审计证据是否适当以及再次测试控制时间间隔时,应当考虑以下因素:
(1)内部控制其他要素的有效性,包括控制环境、监督、风险评估等;(2)控制特征(人工控制还是自动化控制)产生的风险;(3)信息技术一般控制的有效性;(4)控制设计及其运行的有效性,包括过去测试中发现的控制偏离的性质和程度;(5)特定控制未适应环境变化,是否构成风险;(5)重大风险和对控制信赖的程度。
(4)审计人员可根据下列情况,缩短再次测试控制的时间间隔或完全不信赖以前所获取的审计证据:
(1)控制环境薄弱;(2)对控制监督乏力;(3)相关控制中人工控制的成分较大;(4)对控制运行产生重大影响的人事变动;(5)环境的变化表明需要对控制作出相应的变动;(5)信息技术一般控制薄弱。
对一些控制,如果认为利用以前的审计证据是适当的,审计人员在每次审计时可分散抽取部分进行测试;审计人员如确认是特别风险时,并拟信赖旨在减轻特别风险的控制,应当从当期测试中获取有效性运行的审计证据。
(三)控制测试的范围
审计人员在控制测试中,应获取控制在拟信赖的整个期间有效运行的充分、适当的审计证据。在确定某项控制的测试范围时,审计人员通常应考虑下列因素:
(1)在所审计期间,被审计单位执行控制的频率;(2)在所审计期间,审计人员拟信赖控制运行有效性的时间长度;(3)为证实控制能够防止或发现并纠正重大差错时,所需获取审计证据的相关性与可靠性;(4)通过测试与认定相关的其他控制所获取的审计证据的范围;(5)在风险评估时拟信赖控制运行有效性的程度;(6)控制的预期偏差。
审计人员在风险评估时,对控制运行有效性拟信赖程度越高,实施控制测试的范围就越大。控制的预期偏差越高,控制测试和范围就越大。由于信息技术处理具有内在一贯性,审计人员通常不需要增加自动化控制的测试范围。
五、实质性检查
审计人员应当根据评估的重大风险设计与实施实质性检查程序,以发现和认定风险。实质性检查程序包括对各类交易、账户余额、列报与披露的细节测试以及实质性分析程序。也就是说,实施所有的账目基础审计方法,有目的地检查与重大风险相关账项与资产。如进行会计报表审计时,应将会计报表与其所依据的会计记录核对;检查会计报表编制过程中作出的重大会计分录和其他调整。
检查会计分录和其他会计调整的内容和范围,取决于被审计单位财务报告编报过程的性质和复杂程度以及相伴而生的重大错报风险。
如果认定是特别风险,应将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。
(一)实质性检查的性质
审计人员应实施细节测试获取充分、适当的审计证据,查明问题所在,以确保审计水平。如对会计报表审计时,针对存在或发生应当选择报表金额中的项目进行检查,针对完整性应当选择检查报表金额中的项目有无漏洞等。设计实质性检查时,应当考虑下列事项:
(1)对既定的认定使用实质性检查的适当性;(2)对已记录的金额或比率进行预期时,所依据的内部或外部数据的可靠性;(3)在计划保证水平上,作出的预期是否足以准确识别重大错报;(4)已记录金额与预期值之间可接受的差异额。
在实质性检查时,如果使用被审计单位编制的信息,应注意是否经过审计,或应测试与编制该信息相关的控制。
(二)实质性检查的时间
审计人员对期中实质性检查,可能会增加期末被发现的风险,并会随着剩余时间的延长而增加。因此,审计人员在期中实施实质性检查时,应考虑下列因素:
(1)控制环境和其他相关的控制;(2)实质性检查所需信息在期中之后的可获得性;(3)实质性检查的目标;(4)评估的重大风险;(5)各类交易或账户余额以及相关认定和性质;(6)针对剩余期间,能否通过实质性检查或结合控制测试降低期末存在而未被发现的风险。
如果在期中实施实质性检查,审计人员应当针对剩余期间实施进一步实质性检查,或结合控制测试使用,或将期中测试的结论延伸至期末。如果作出的是舞弊风险评估,审计人员应考虑在报告期末或临近报告期末实施实质性检查。
审计人员通常将与期末余额有关的信息和期中的可比信息进行比较、调节、识别和调查出现的异常金额,并针对剩余期间实施实质性检查和细节测试。
审计人员如利用以前审计获得的证据,审计人员应在当期实施实质性检查,以确定这些审计证据具有持续相关性。
(三)实质性检查的范围
审计人员评估的风险越高,实施实质性检查的范围就越广。实质性检查应集中于高风险区域。如果对控制测试结果不满意,审计人员应当考虑扩大实质性检查的范围。
在设计细节测试时,审计人员除了从样本量的角度考虑测试范围以外,还要考虑其他选择样本的方法是否更为有效。在实施实质性检查时应考虑重要性要求。
对会计报表审计时,审计人员应实施必要的审计程序以评估会计报表总体列报与相关披露是否符合国家颁布的企业会计准则和相关会计制度的规定,应当考虑有无重大错报的风险,应当考虑报表是否正确反映财务信息的分类和描述,以及对重大事项的披露是否适当。
六、证据评价
在形成审计意见时,审计人员应当确定是否已经获取充分、适当的审计证据,包括印证证据和与之相矛盾的证据。同时,评价审计证据的充分性和适当性及考虑下列因素的影响:
(1)认定发生潜在风险的可能性与重大性;(2)管理当局应对与控制风险的有效性;(3)在以前审计中获取关于类似潜在风险的经验;(4)实施审计程序的结果,如是否识别出舞弊或错误的具体情形;(5)可获得信息的来源与可靠性;(6)审计证据的说服力;(7)对被审计单位及其环境(包括内部控制)的了解。
社会中介审计组织在会计报表审计中,如果对重大的会计报表认定不能获取充分、适当的审计证据,注册会计师应当发表保留意见或无法表示意见。并要在其审计工作底稿记录下列事项:
(1)对评估风险后采取的总体应对措施;(2)实施进一步审计程序的性质、时间和范围;(3)实施进一步审计程序与重大风险的联系;(4)实施进一步审计程序的结果。
七、风险管理建议
风险基础审计终结阶段,在审计报告中,均要针对风险评估和进一步审计中发现与查明的风险问题提出风险管理的建议。风险管理建议,包括减少风险发生和减少风险发生后的损失等两方面建议,建议被审计单位应从加强控制风险、分散与中和风险、转移风险、集中风险和承担风险等方面采取措施加强风险管理。
【本章小结】
风险是使价值受损的不确定性。同时风险还具有客观性、或然性、普遍性、可变性等特征。风险管理是指对影响单位策略和目标实现的各种风险进行辨识、分析、衡量和评估,然后提出管理风险的措施和决定接受风险的程度。COSO提出的风险管理架构,有利于强化风险辨识能力,降低营运相关损失;COSO提出的风险管理架构包括八大要素。
风险基础审计,是指以对被审计单位的风险识别为基础,全面分析影响被审计单位管理目标实现的各种因素,并据此确定进一步审计的性质、时间和范围,进而进行控制测试和实质性检查的一种审计方法。风险基础审计产生于社会期望的提高,制度基础审计的不足和审计本身生存和发展的需要。风险基础审计不仅与制度基础审计有很大差别,而且有自己的特点。
不同的审计方法模式,有不同的审计程序内容,在不同的程序中使用不同的具体方法。风险基础审计程序与方法,主要包括风险评估程序,总体应对措施、进一步审计程序和评价审计证据等四个步骤:具体包括风险识别、风险分析、应对决策、内部控制测试、实质性检查、证据评价和风险管理建议等程序方法。
本章应强调的术语有风险、不确定性、风险事件、风险因素、实质性风险因素、道德风险因素、心理风险因素、损失、或然性、可变性、外部因素、内部因素、组织层级风险、作业层级风险、静态风险、动态风险、财务风险、风险评估、风险管理,目标确认、风险识别、风险分析、或然性、重大性、风险原因、风险性质、风险后果、应对决策、进一步审计程序、控制测试、剩余期间、实质性检查等。
【思考与练习】
1.什么是风险?风险基本含义包括哪些内容?
2.风险具有哪些方面特征?
3.组织层级风险来源于哪些方面?
4.企业生产风险、营销及销售风险来源于哪些方面?
5.什么是纯粹风险和投机风险?
6.什么是静态风险和动态风险?企业有哪些方面的动态风险与静态风险?
7.什么是广义的财务风险和狭义的财务风险?企业有哪些方面的财务风险?
8.什么是风险管理?风险管理有何作用?
9.COSO风险管理架构有何特征?
10.风险管理有哪八大要素?
11.什么是风险基础审计?其产生原因是什么?
12.风险基础审计与制度基础审计有何区别?风险基础审计有何特征?
13.风险基础审计包括哪些阶段?具体程序方法包括哪些内容?
14.什么是风险识别?怎样进行风险识别?
15.风险识别中如何使用调查表法?
16.进行风险识别应注意哪些问题?
17.什么是风险分析?怎样进行风险分析?
18.注册会计师在识别和评估重大错报风险时应当注意哪些问题?
19.注册会计师在确定风险性质时,应考虑哪些问题?
20.什么是应对决策?如何进行应对决策?
21.风险评估后,如何确定进一步审计的基本思路?
22.审计人员如何确定进一步审计的性质、时间和范围?
23.什么是控制测试?在什么情况下应当采用控制测试?
24.控制测试应获取控制有效运行方案的哪些证据?
25.怎样确定控制测试的性质、时间和范围?
26.在确定获取剩余期间有效运行的额外审计证据时应考虑哪些因素?
27.审计人员在确定以前控制运行有效性的审计证据是否适当与再次测试控制时间间隔应考虑哪些因素?
28.审计人员可根据什么情况,缩短再次测试控制的时间间隔或完全不信赖以前所获取的审计证据?
29.在确定某项控制的测试范围时,审计人员通常应考虑哪些因素?
30.什么是实质性检查?如何确定实质性检查的性质、时间和范围?
31.审计人员在确定实质性检查的性质、时间和范围时应分别考虑哪些问题?
32.评价审计证据应考虑哪些因素?
33.风险管理建议包括哪些方面内容?
