CPA审计:审计的基本流程
前言
这部分内容主要对应教材的第二、六、七、八、十八、十九章(第二章已在审计的基本概念部分整理,下文涉及第二章内容时会附带链接),是整本CPA审计教材最为核心的内容。
从应试的角度说,虽然只掌握这部分内容并不足以应对考试,但教材其他部分的内容都跟这部分有或多或少的联系,如果理不清这块内容,想要通过考试是相当困难的;从实际意义的角度看,这几章也是最能体现审计主要思想的部分,所以建议认真学习一下这部分。
第七章 风险评估
这一章相当重要,学的时候要以理解为主,特别是风险评估的流程。其中要记的细节并不算多,大部分描述性的文字理解即可。
一、风险评估程序
风险评估程序这里用到的方法,除了之前提到的检查、观察、询问和分析程序之外(审计的基本概念),还有一个穿行测试。穿行测试实际上就是综合利用观察、检查等程序,对企业的业务流程和相关内控进行了解的过程,因为这个测试过程会涉及到企业整个商业闭环,包括获客、项目评估、项目立项、研发、生产、交单等等环节,所以叫穿行测试。
注意穿行测试要和重新执行程序作区分,穿行测试是用于注册会计师了解被审单位内控的(设计的是否合理+是否得到执行),而重新执行是用于测试内控有效性,也就是控制测试(内控是否有效)。这部分内容可以见本章末尾的风险评估与应对流程图。
二、了解被审单位及其环境等方面
这里就是介绍了我们应该从哪些方面了解被审计单位,总体要求是从"大三层,小三层"进行了解。
这里面,小三层的部分偏向CPA战略的部分多一些,"适用的财务报告编制基础、会计政策以及变更会计政策的原因"则完全属于CPA会计的部分,所以教材这里主要讲的都是内控相关的内容。
不过吧,其实教材上关于内控讲的这一大堆也不太需要记,直接/间接控制、整体/业务流程控制、人工/自动化控制什么的随便翻翻就行,只需要专门记一下COSO五要素是啥即可(内部环境、风险评估、信息与沟通、控制活动和内部监督)。
三、特别风险
其实特别风险属于审计风险中的固有风险的引申,它属于满足以下两个条件之一的固有风险:1)达到或接近固有风险等级的最高级(就是风险特别高);2)审计准则规定的风险(前人在这儿踩坑踩得太多了,所以注协直接规定为特别风险,你不用再自己判断了)。
这里有点绕的一个点是:对于特别风险,注册会计师应当评估对应的内控,但因为特别风险仍然属于固有风险,所以识别特别风险时不应考虑控制风险。这句话的意思是,我们在确定某个重大错报风险是否为特别风险时(之前),不应考虑内部控制的抵消效果,因为特别风险属于固有风险。在我们确定该重大错报风险是特别风险后(之后),我们应当要考虑公司对应的内控,因为项目风险高+内控薄弱很可能带来大问题。
四、风险评估与风险应对的逻辑流程图
这里是第七章和第八章的逻辑衔接图:
第八章 风险应对
风险应对和上一章风险评估的关系相当密切,学习方法也类似,就是重在理解。教材在这里特别喜欢动不动在某个知识点列个123456条,但其实明白讲的是什么意思就行,不用真的全记下来。
一、总体应对措施
总体应对措施对应的是财务报表层次的重大错报风险,意思就是大病大治。
这里提到了很多途径,比如向项目组强调保持职业怀疑的必要性/分派更有经验的审计人员/实行进一步审计程序时融入更多不可预见的因素等等,其实对于这些途径,我们能在选择题里选出来就行,判断方法也很简单:措施明显属于偏宏观的、大面儿上的方法,就是总体应对措施。
这里需要稍微记一下增加审计程序不可预见性的方法,简单来说就是"三改":改(审计程序的)时间、性质、范围,最终要实现的结果就是让被审单位猜不到你要查啥。
二、进一步审计程序
进一步审计程序对应的是认定层次的重大错报风险,这部分内容其实大多是第二章的重复,所以要记的也不多。
这里经常考,同时又不难的一类问题,是判断某一因素对进一步审计程序范围的影响,这类问题依靠理解来做就行。例如,确定的重要性水平越高,说明我们查的更松,所以进一步审计程序范围会减小;再比如评估的重大错报风险高,风险高肯定会让进一步审计程序范围扩大。
三、控制测试
审计教材很不合理的一点,就是前面已经多次出现的概念,到后面才正式做介绍,控制测试和实质性程序就是最典型的一个例子。
企业的内部控制是企业内部用以防止或发现并纠正错报的机制,而控制测试是用来评价这种机制运行有效性的程序。控制测试的手段有询问、观察、检查和重新执行。其中,因为重新执行程序成本极高,所以实操中很少用,考试也基本不考。
关于其他的内容,就关注一下控制测试时间中,对以前期间获取的审计证据的考虑即可。
四、实质性程序
实质性程序是用来发现认定层次重大错报的审计程序,包括细节测试和实质性分析程序。
这里要记的细节就一个:对于特别风险,如果注册会计师仅实施实质性程序,那么必须要实施细节测试,不能只实施实质性分析程序。如果实施了控制测试,那么可以在实质性程序中只实施实质性分析程序。
第十八章 完成审计工作
这章内容其实是对错报的处理做一个总结和梳理,外加期后事项和书面声明两个小知识点。关于错报的内A,需要理解审计中应对错报的整体流程,在其他内容上不用花太多时间理解,直接记考点即可。
一、错报的处理流程
学这一节之前可以回顾一下第二章审计计划的内容(审计的基本概念)。
关于上图中"获取治理层书面声明"有一点补充说明,也是本章有关书面声明唯一的重点,即"获取书面声明是发表无保留审计意见的必要不充分条件"。
如果被审单位不能提供书面声明(说白了就是心里有鬼呗),那么注册会计师必然发表非无保留意见,反之如果获得了书面声明,该书面声明也不能作为充分、适当的审计证据,注册会计师不得据此发表无保留审计意见,也就是所谓的"没它不行,有它不够"。
二、期后事项
审计上的期后事项和会计上的有点类似,内容上可能还要更复杂一些。但学这里的时候不用太纠结于细节,学个大概就行,因为这里考试频率不高,考的也比较简单。
注册会计师对第一时段期后事项有主动识别义务,除了啥事都要调整审计报告;注册会计师对第二、第三时段期后事项没有主动识别义务。
在第二阶段中,可能的情况有三种:1)管理层比较老实,按实际发生的情况修改了财报,那么注册会计师可以选择完全延伸审计报告或"两仅换一仅";2)管理层没按实际情况修改财报,但好在审计报告还没发出去,此时注册会计师可发表非无保留意见;3)管理层没按实际情况修改财报,而且审计报告已经发出去了,那此时注册会计师只能选择通知预期使用者该审计报告不得信赖了。
最后,在第三阶段中,审计报告早发出去了,注册会计师基本上也干不了啥了。如果管理层要改报表,注册会计师就跟着改审计报告;如果管理层不改,注册会计师就通知不得信赖该审计报告。
三、复核审计工作
复核审计工作这节教材讲的不多,主要了解一下事务所的五类复核就行,部分内容需要参考第二十一章-事务所业务质量管理的内容。
第十九章 审计报告
审计报告这章非常重要,不仅是因为考试经常考这一章,而且也是因为本章和其他很多章节的内容存在关联,学习本章内容有助于理解其他部分。此外,学习完本章的知识也有助于之后在现实中阅读各种公司的财报,具有很强的实际意义,所以强烈建议仔细学习本章内容。
一、审计意见类型与含义
之前我在财务造假指南那篇中写过审计意见的类型与含义,不过那个纯粹是图一乐,当段子看看就行,这里做个规范一点的整理。
审计意见的类型:
非无保留审计意见的确定方法:
我们判断的流程就是先看错报是否具有广泛性(影响到多个科目或特定的重大科目),如果不具备广泛性就是保留意见,如果具备广泛性,就看是否能获得充分、适当的证据(不能一般是注册会计师被被审单位施加限制了),能获得就是否定意见(石锤),不能就是无法表示意见(没实锤,但肯定有问题)。
二、关键审计事项(KAM)
关键审计事项(Key Audit Matter,简称KAM),是指注册会计师根据职业判断认为对当期财务报表审计最为重要的事项。
KAM并不一定只有一项,对于规模较大、业务复杂的公司来说,KAM可能有多项,但KAM越多,注册会计师越需要考虑其中每个事项是否符合KAM的定义(也就是说KAM不能太多,但具体多少没规定)。
KAM的确定方法:"三层塔测试"(像漏斗一样从大到小筛)。
关于KAM需要知道的最重要一点,就是KAM必须是已经得到满意解决的事项,不能存在审计范围受限/尚存疑等情况。如果出具的意见是无法表示意见,那么审计报告中不能出现KAM。
三、强调事项段与其他事项段
强调事项段是审计报告中的一个段落,该段落提及了在财务报表中已恰当列报或披露的事项,且注册会计师认为该事项对财报使用者理解财报至关重要。可以把强调事项段理解为KAM的弱化版——不是最重要的但还是很重要的事。
其他事项段也是审计报告中的一个段落,该段落提及了未在财务报表中列报或披露的事项,且注册会计师认为该事项对财报使用者理解审计工作、注册会计师的责任或审计报告相关。
从定义上来区分,强调事项段和其他事项段有两个区别,一个是强调事项段说的是已经提及的事儿,其他事项段说的是没提及的事儿;另一个是强调事项段说的一般是会计上的事儿,其他事项段说的一般是审计上的事儿。
四、其他信息
在年度报告中,除了财务报表和审计报告以外的信息即为其他信息,也就是说"其他信息 = 年度报告 - 财务报表 - 审计报告"。因为审计准则不要求注册会计师对其他信息承担鉴证责任,也不要求注册会计师对其他信息提供任何程度的保证,所以CPA审计在这里不怎么考。
不过,虽然其他信息考试不太考,但在现实中很多公司的年报里,其他信息比财务报表和审计报告加起来的内容还多,而且有些公司真能在这儿搞出点花活来,比如董事长在这儿写诗的:
(这位董事长已经累计写了12首诗了)
五、年报的整体结构
考试不考这个,但看一下有助于理解。
第六章 审计工作底稿概述
这章属于比较务实的内容,不过说实话这章有点太偏向实操了,核心内容大多是一些常识性内容和人为规定,如果不是在事务所工作,其实底稿这里知识点的实际意义不大。
常识性内容没有太多可说的,像是底稿不能随便删;底稿未经授权不能随便往外给(除非是监管机构);底稿得能让同行看得懂,这些东西不用学也知道。
人为规定直接记就行,比如底稿有哪些要素(这个我学的时候没仔细看,但考试还真碰见了);编号有啥要求。关于数字有两个知识点要记一下:底稿要在审计报告日后60日内归档、底稿要在审计报告日后至少保存10年。
