一、存在的主要问题
(一)未根据准则要求履行充分适当的审计程序
1、未实施风险评估程序
部分执业人员对风险评估的重要性和审计思路缺少基本的认识,存在畏难情绪,认为风险导向审计仅是一种形式和程序,并不能够减少实质性程序的工作量。所实施的审计程序仍停留在传统的账项基础审计中,使用的审计方法仍是传统的凭证抽样、账务核对等方法。在审计过程中,在未了解被审计单位及其所处环境、未有效识别存在的风险并进行评估的情形下,直接实施各科目的实质性审计程序。
2、未执行完整的风险评估审计程序
如在整体层面了解内部控制时,未了解和记录单位的内控设计和控制活动,未对内控设计及运行情况进行评价;未根据被审计单位的业务性质制定恰当的审计计划;在业务流程层面了解内部控制时,未获取单位内控制度调查了解,未执行穿行测试程序测试内部控制的执行情况;在了解被审计单位内控时仅通过实施询问程序就得出了内控是否存在并得到执行的审计结论,没有将询问观察和检查以及穿行测试等其他评估程序结合使用,通过其他程序获取的审计证据来验证询问获得的审计证据;对单位存在大额亏损、资不抵债、持续经营能力存在不确定性等情形时,未恰当关注和评价审计项目的风险等。
3、未实施分析性程序
在风险评估阶段、实质性程序阶段、对财务报表总体复核时,对被审计单位的财务信息或非财务信息进行分析,有助于识别从报表的财务数据中无法识别的异常情况,对单位可能存在的重大错报风险作出合理的评估。但部分执业人员未设计和实施相关的分析程序。如未对被审计单位的未审会计报表进行趋势分析;未分地区、分年度对毛利率的差异进行分析,对毛利率的显著异常未进行具体的分析说明;未按月度对本期毛利率的变动进行比较分析,对月度之间的毛利率的异常波动未予关注;未对月度之间、年度之间的费用占比进行分析判断其变动的合理性;仅对会计报表进行分析,未对重要的非财务信息予以关注等等。
4、所实施的风险评估程序未能涵盖重要的业务流程
所实施的风险评估程序,应基于对被审计单位的业务了解的基础上,涵盖所有重要的业务流程。但在执业过程中,部分执业人员因对风险评估程序认识不充分,未能了解并评价单位所有重要的业务流程。如,某小贷公司具有多种重要的业务模式,信贷资产为主要的业务,此外还有小微企业私募债、开鑫贷等主要业务。注册会计师在对业务流程层面内部控制进行了解与评价时,仅对信贷资产循环内控进行了解与评价,未对其他重要业务循环的内控实施了解与评价。再如,对于首次承接的被审计单位,未对所有重要业务流程均实施了解和评价的审计程序。
5、集团审计中风险评估程序未涵盖重要子公司或子公司的重要业务
在集团审计中,风险评估程序应涵盖所有重要的子公司,或子公司的特殊的重要业务流程。但在执业过程中,部分执业人员仅对母公司的业务流程进行了解和评价,而忽略了对重要子公司业务流程的了解与评价。如,集团审计中确定执行审计程序的母子公司有8家,但仅对母公司执行了风险评估程序,对其他重要的子公司均未实施风险评估程序;又如,集团审计中,重要子公司和母公司存在不同的业务模式,但未对重要子公司的主要业务流程进行了解和评价,如:母公司的主要业务为工业企业的生产与销售,而重要子公司业务为房地产开发,在审计中未对房地产业务的工程施工、销售收款等重要流程实施相应的风险评估程序。
6、控制测试样本规模选择不充分
对业务循环实施控制测试的目的是为了测试控制运行是否有效。为了获取充分可靠的审计证据,应考虑选取恰当的样本数量规模。在执业过程中,部分注册会计师在选择样本时,未根据单位执行控制频率、拟信赖控制运行有效性的时间长度等因素进行样本规模的选择,导致控制测试未能获取充分有效的审计证据。
如,被审计单位的销售与收款循环中所涉及的关键控制点,涵盖了整个会计年度。注册会计师选择样本的期间均集中在上半年,对下半年的控制是否有效实施未能获得充分适当的证据。对一些交易频繁且网点分散的行业,如大型连锁超市、旅行社、商业银行网点等,所实施的控制测试样本量的选择应涵盖所有重要网点。但执业人员进行审计时,仅选取了同一个门店的几个样本作为控制测试的样本,未能涵盖所有重要的网点,样本量选择不充分。
(二)风险评估程序流于形式
1、风险评估的控制点描述不符合单位的具体情况
未针对被审计单位所处的行业特点、经营情况、风险要素执行风评程序,风险评估及控制测试程序缺乏针对性。如:公司为房地产开发企业,执业人员按生产制造企业模板进行控制点测试,对大部分内容均列示为不适用。注册会计师在底稿中记录“董事会下设内审委员会”等,实际公司并不存在内审委员会;公司的董事和高级管理人员相继发生变动,执业人员在了解和评价内部控制环境的相关审计底稿中却记录为“关键岗位人员不存在离职情况”;同一公司具有不同的收入模式,未根据不同的收入类型进行销售收款循环业务层面内控的了解和评价,未针对各业务模式的风险点进行测试。
2、套用以前年度或其他项目的工作底稿,未根据实际情况实施风险评估程序
如项目组对2018年报的销售与收款、筹资与投资实施控制测试,未见样本选取方法的记录,底稿中的样本大部分为2016年、2017年发生,不能支持2018年控制测试有效执行的结论;复制其他项目的底稿,未根据单位的实际情况进行描述,如将单位主要控制所涉及的关键人员填列为其他单位的人员等。
3、获取的资料与审计底稿存在矛盾
执行控制测试程序时,注册会计师获取了公司提供的资料作为底稿附件,未发现获取的资料信息中存在明显矛盾的情形,未发现公司内部控制存在瑕疵。
4、形成的风险评估结论缺少相关的支持性底稿
如,在整体层面了解和评价内控的底稿中,反映所执行的程序为询问和检查等,但却没有询问笔录、检查底稿等支持性证据。对于识别的重大错报风险,如将收入的发生和应收账款的存在认定识别为存在重大错报风险,在底稿中并无相关的可支持结论的证明性材料。
(三)风险评估结果与进一步审计程序前后矛盾
在执业过程中,部分执业人员未针对风险评估的结果恰当地选择与执行进一步审计程序。针对不同业务类型和经营模式的企业,实施了类似的审计程序,导致审计程序缺乏目的性和针对性,未能将风险评估结果和进一步审计程序有效衔接。常见的表现为:
1、在执业过程中,计划和实际执行工作存在不一致
如采购与付款循环风评结论为该控制得到执行并拟进行控制测试,但实际未见执行该控制测试;风险评估结果汇总表中记录对货币资金、销售与收款、采购与付款循环的总体审计方案确定为综合性方案,但未见控制测试的相关底稿;风险评估程序底稿中,将固定资产存在减值风险评估为特别风险,但却未实施减值测试,在审计总结中评估的特别风险、应对措施及结论均反映为无,也未反映对审计计划作出修改的理由与过程;未将实施风险评估程序的结果与进一步的审计程序相联系,并据此编制重要账户和列报的计划总体审计方案,导致风险评估程序与进一步的审计程序缺乏关联。
2、风险评估了解情况的描述与实际情况不符
如:在风险评估——了解被审计单位及其环境的工作底稿中,将异常或复杂交易的会计处理列示为无,实际存在新兴领域的交易异常或复杂交易,并且作为关键审计事项,在实质性程序底稿中针对该类交易实施了大量的程序,风险评估底稿与实质性程序底稿存在前后矛盾。
3、风险评估结果汇总表反映的信息前后矛盾
如:在风险评估结果汇总表中,将营业收入的发生、准确性、截止认定,应收账款的存在、权利与义务认定作为“受影响的交易类别、账户余额和列报认定”,但在实施进一步审计程序的计划矩阵中,将销售与收款循环涉及认定所识别的重大错报风险均列示为低,存在前后矛盾;在项目组讨论纪要——风险评估底稿中反映将收入的发生识别为重大错报风险,但在风险评估结果汇总表中识别的重大错报风险与项目组讨论纪要——风险评估底稿中的记录并不一致;在风险评估结果汇总表中,将收入发生识别为重大错报风险,并且识别为特别风险,但是在“特别风险应对措施及结果汇总表”中却为空白,并且在“对重要账户和交易采取的进一步审计程序方案(计划矩阵)”表中,与收入循环相关的重大错报风险水平反映为低,“是否为特别风险”反映为“否”;识别的重大错报风险汇总表中将“收入的发生”识别为认定层次的重大错报风险,在“财务报表层次风险应对方案表”又将该认定识别为报表层次重大错报风险;在风险评估结果汇总表中记录被审计单位因签订对赌协议存在业绩压力可能存在舞弊风险,属于报表层次风险,但在针对评估出的报表层次重大错报风险应对措施及审计方案中,报表层次重大错报风险评估为无。
(四)对审计名词概念模糊
1、将“账户”“交易”“认定”混为一谈
在涉及风险评估结果时,应将某账户的某一方面认定识别为高风险,而有的执业人员将某循环定为高风险,将一个账户的所有认定都评估为高风险。如,如果在风险评估过程中了解到,管理层要完成考核指标,单位要实现IPO目的,为获取外部融资,存在着高估收入的动机或压力,应将发生认定识别为高风险,而完整性认定则应识别为低风险。相反,如果管理层有隐瞒收入而降低税负的动机,则可能存在少计收入或延迟确认收入的动机,则发生认定应对应识别为低风险,而完整性认定对应识别为高风险。
2、混淆穿行测试和控制测试的概念
穿行测试是通过分析业务发生的过程,关注每一个流程是否异常;控制测试则是关注业务关键控制点的控制是否存在,控制效果如何。前者关注整个业务流程,后者关注一个或几个关键控制点。在风险评估审计程序中,部分执业人员将穿行测试和控制测试混为一谈,误认为实施了穿行测试就是实施了控制测试,或者认为实施控制测试就不需要实施穿行测试。
二、主要应对措施:
通过上述问题分析可见,存在问题的主要原因是部分执业人员对风险导向审计的认识存在不足,审计思维未能切合现代风险导向审计的理念。执业人员对风险的认识存在不足,在审计成本与风险把控中未能找到恰当的平衡点。在执业过程中将审计程序流于形式,未能在审计工作中体现自身的执业理念和专业判断。因此,现代风险导向审计作用的发挥,需要执业人员做到以下几点:
1、对风险导向审计的必要性要有正确的认识
风险导向审计是一种重要的审计方法,是提升执业质量合理配置资源的重要手段。在风险评估过程中应将识别的风险与可能发生的错报相联系,将审计资源集中于识别的高风险领域,降低审计风险,节约审计资源。在审计过程中应根据单位的实际情况,制定恰当的审计程序,注意风险评估结果与进一步审计程序的衔接,风险评估结果汇总表的内容是否与进一步审计程序一致。无论是年度报表审计还是专项审计,无论被审计单位的规模大小,都应将风险导向的审计理念贯穿始终。风险评估程序,并非千篇一律,而应基于被审计项目的具体情况制定相应的审计程序。
在执业过程中,执业人员不应对风险评估程序抱有畏难情绪,不应将风险评估理解为套模板、画底稿。对于具有成文内控制度并有效执行的被审计单位,应结合单位的经营模式和管理制度,对单位的内控制度执行恰当的了解与评价程序,在此基础上对风险进行识别与应对。对于小型被审计单位,由于其不存在健全的内部控制制度,不应套用固定模板,可以只对其存在的内控作相应的描述,并在此基础上对单位存在的风险进行评估,作出相应的应对措施。
2、按照审计的正确路线实施风险评估程序
现代风险导向审计中评估重大错报风险的程序主要包括:了解被审计单位及其环境、了解单位的整体层面及业务层面内部控制、对风险进行评估和分析、制定总体审计策略,其前后程序彼此关联,具有一定的逻辑性。在审计过程中应将风险导向理念与思维贯穿于实际的审计工作之中,避免在审计报告出具后为了满足归档和检查要求后补风险导向审计底稿。所有实施的程序均应留有相应的审计轨迹,在底稿中有清晰的记录与体现。
在业务承接阶段,应对单位的基本情况进行了解,从客户诚信、经营风险、财务风险、自身时间和资源、专业胜任能力、独立性等方面对项目是否承接予以评估。在承接业务后制定进一步审计程序前,应分别从整体层面和业务流程层面对单位内部控制的制定、实际执行情况进行了解、测试和评价,根据了解的情况对风险进行评论与评估,判断对业务循环是执行综合性方案还是实质性方案。在业务完成阶段,还应对审计过程中识别的错报进行进一步评价,对审定后的报表执行分析等程序,考虑确定出具的审计报告意见类型。风险评估程序贯穿审计项目的始终,并且环环相扣。按照正常的程序予以实施,避免后补底稿,才能保证审计底稿前后一致,不出现大的逻辑错误。
3、项目经理应在风险评估过程中保持合理的职业判断和审计怀疑
避免审计失败,需要项目经理和合伙人具有全局意识。在对风险整体进行评估的基础上不忽略细节的蛛丝蚂迹。在执业过程中,应重视单位的整体制度也应关注单位的具体流程的设计,重视单位的财务信息也应关注非财务信息。强调业财融合的理念,从业务出发,全面把控单位的审计风险,关注外部的行业形势与单位的实际情况是否匹配。对单位的分析应从财务信息扩展至非财务信息,从单位的内部信息扩展至外部的行业信息和同行信息,获取的信息来源应从单位的财务人员扩展至单位的非财务人员,关注的事项应从财务状况与账务核算扩展至单位的持续经营能力、实际的经营情况、存在的行业和法律风险、社会宏观环境法规政策对被审计单位的影响等。对单位存在大量现金结算、违反财务制度、资产负债表日前收入大幅上升等异常情形应抱有职业怀疑的态度,通过制定和实施进一步审计程序应对可能存在的风险。
4、在审计过程中充分考虑发生错报的可能性
在审计过程中,执业人员应当充分考虑发生错报的可能性及重要性,判断其重大程度是否足以导致发生重大错报。例如,执业人员在审计过程中关注到被审计单位的产品市场价格出现了大幅下降,毛利率为负,则公司存在存货计价认定发生错报的风险。但是,如期末存货余额占整体资产总额的比例较低,通常情况下不至于导致存货计价认定发生重大错报。此外,执业人员在识别存货计价认定发生错报风险的可能时,应关注单位是否对资产减值准备的计提实施了有效的内部控制,管理层是否已对存货计提了减值准备。在这种情况下,执业人员也可认为财务报表发生重大错报的可能性相应降低。