為什麼查核永遠無法核對一切
到這裡,你已經知道一次外部查核想做什麼:給報表使用者一份合理保證,確認財務報表作為整體不含重大錯誤。請注意「合理」二字——不是絕對。一家大公司一年記錄數以百萬計的交易,世上沒有哪位查核師會把每一筆都重做一遍。時間不夠,那樣的收費也會高得離譜、遠超其價值。於是查核師做了一件比蠻力更有意思的事:她刻意地判斷重大錯誤的危險在何處最高,並把有限的精力集中到那裡。本篇的一切,都是為了讓這個判斷誠實可靠而設的機器。
因為查核師是抽樣而非全查,她接受了一種真實的出錯可能:她也許會對一份在她不知情之下仍含重大錯誤的報表簽字認可。這種可能性誠實的名字,就是查核風險——查核師在報表實際存在重大錯報時卻出具了無保留意見的風險。查核師無法把這風險壓到零(只有全查才能,而那也並不完美),於是她轉而力求把它壓得*足夠低*——下面這些工具,正是她藉以贏得說出「我做到了」這句話之資格的途徑。
查核風險模型:三種風險相乘
查核師把查核風險拆成三塊,而查核風險模型說的不過是:它們相乘。固有風險是某個帳戶在*任何人尚未考慮控制之前*就已被錯報的概率——純粹源於它是什麼。你能點清的現金,固有風險低;一項滿是對未來維修之猜測的保固負債估計,則固有風險高。控制風險是公司自身的內部控制——你在本階早先學過的那些覆核與審批——*未能攔住*一個確已混入的錯誤的概率。檢查風險是*查核師自己的程序*同樣漏掉這個錯誤的概率。三者相乘,你便得到這條鏈條盡頭處、一個真實錯報一路存活進入無保留意見的風險。
Audit risk = Inherent risk x Control risk x Detection risk
The auditor SETS a target for audit risk (say, 0.05 = a 5%
chance of being wrong) and ASSESSES the first two from the
client. Then she SOLVES for the detection risk she can allow:
Detection risk = Audit risk / (Inherent x Control)
Example: target AR = 0.05
inherent risk assessed at 0.80 (a tricky estimate)
control risk assessed at 0.50 (controls so-so)
Detection risk = 0.05 / (0.80 x 0.50) = 0.05 / 0.40 = 0.125
Only a 12.5% miss-rate is tolerable -> gather MORE evidence.
If controls had been strong (control risk 0.10):
Detection risk = 0.05 / (0.80 x 0.10) = 0.625
A 62.5% tolerable miss-rate -> she can test much less.把這組算出來的數字慢慢讀,因為它們揭示了一次查核的全部邏輯。固有風險與控制風險是客戶處境*給定*給查核師的——她能評估,卻無法改變。她自己手裡唯一的旋鈕是檢查風險,而她靠收集更多或更少的證據來擰動它。所以這個模型其實是一份精力預算:薄弱的控制或一項凶險的估計,把可容許的檢查風險壓低,而要尊重這一點,唯一的辦法就是*多測*。這正是上一篇對內部控制的研習匯入本篇的確切機制——強健的控制,確實讓查核師可以少幹活,而這份節省並非漏洞,它正是一家公司因善於自我控制而掙得的全部回報。
重大性:錯到何處才算太錯?
風險模型反覆追問一項*重大*錯報是否存活下來——可對誰重大、又多大才算?重大性是這樣一道門檻:低於它的錯誤,根本不會改變一個理性的報表依賴者的決策。經典的判定法是「是否翻轉決策」:若知道真實數字而非報告數字,會讓一位投資者或放貸人做出不同行動——借還是不借、買還是不買——那這道差額便是重大的;若沒有任何明智之人會因此動搖,它就不重大。一家年收入 20 億的公司裡一隻被錯分類的 50 元釘書機,改變不了誰的主意。而一筆被藏起來的 5,000 萬元虛構銷售,也許會改變所有人的主意。重大性,就是這兩個世界之間的那條線。
正因為它取決於使用者的決策,重大性是相對的,而非固定金額——對巨人微不足道的,對街角小店卻是巨數。實務中,查核師用粗略的基準把它錨定到規模上,常取某個穩定基數的一小部分,比如稅前利潤(通常約 5%)、營業總收入或資產總額。先定下這條規劃階段的重大性,它便悄然透過風險模型為整場查核掌舵:它告訴查核師該把網織得多密。一個根本不可能藏下相當於重大性那麼大錯誤的帳戶,幾乎不需關注;一個輕易就能藏下的帳戶,則是精力的去處。所以重大性不只是年末對「可接受錯誤」的判斷——它更是一件規劃工具,預先決定什麼值得去追。
證據:什麼才真正說服查核師
在判定了風險在哪、多大的錯誤才要緊之後,查核師出去收集查核證據——支持或不支持報表各項主張的事實。要緊的是,並非所有證據都同樣可信。查核師*親自直接*取得的證據,勝過客戶遞到她手上的;來自*獨立外部方*的證據,勝過公司就自身出具的;*書面*勝過口頭;而關於*強健控制*的證據,會讓記錄本身更可信。一份由銀行直接寄出的對帳單分量十足;記帳員一句「餘額沒錯」,則輕得多。查核師永遠在這把可靠性的天平上掂量每一件證據。
查核師靠一套標準的查核程序工具箱來收集這些證據,值得逐一記住它們的名字,因為它們恰好對應上面那些可靠性的道理。*檢查*查閱記錄或實地盤點資產——讀一份合同、親眼看倉庫地面上的存貨。*函證*請一位獨立的外部人直接向查核師核實某項事實——一封致客戶確認應收餘額的信,或致銀行確認現金的信。*觀察*盯著某個過程發生,比如在員工盤點存貨時站在一旁。*重新計算*重做客戶的算術,例如把折舊表重新加總一遍。而*分析性程序*把數字與預期相比——與去年、與預算、與同業——並把任何看著夠反常的項目挑出來追查。
- 檢查——查閱文件或實地察看資產(一份簽署的租約;清點倉庫裡的貨物)。
- 函證——請獨立的第三方直接核實某項餘額(銀行確認現金;客戶確認應收款)。
- 觀察——在過程發生時旁觀(在實地盤點存貨時在旁守候)。
- 重新計算——重做客戶的算術(重新加總折舊表;重算利息費用)。
- 分析性程序——與預期比較(今年對去年、實際對預算、比率對同業),並追查異常項。
請留意分析性程序如何倚仗你在分析階搭起的每一項本領——橫向變化、共同比比率、週轉率。一位算出毛利率在市場平淡之時卻從 30% 跳到 45% 的查核師,並未證明舞弊,但她找到了一根值得去拉的線頭。抽樣也住在這裡:查核師不去函證一萬筆應收款裡的每一筆,而是測試一個精心挑選的子集,再由它推及整體——並坦然接受樣本可能誤導,這又是查核風險永遠到不了零的一個理由。
專業懷疑:信任,但要核實——然後再核實
上面所有的機器,都可能被一種人性的弱點擊潰:太輕易地相信客戶。它的矯正劑是專業懷疑——一種存疑的心智,既不預設管理層不誠實,也不預設其誠實,而是不論哪一邊都堅持要證據。它是「我若錯了,將如何得知?」這一問的紀律,並且不在那個讓人安心的答案處停步。管理層說滯銷的存貨會賣掉;懷疑要看銷售訂單。那項估計看著合理;懷疑要問它建立在什麼假設上、假設一變又會怎樣。專業懷疑,正是阻止查核師去收集那些不過印證她原本就盼著找到之物的證據。
專業懷疑最要緊之處,恰恰是風險模型說固有風險最高的地方:各種估計、關聯方交易、臨近年末的收入,以及任何管理層有動機去扭曲的事項。它之所以不可鬆懈,是結構性的——查核師由她所查核的公司付費,又與其員工並肩工作數週,這讓滑向信任他們變得太過容易。正因如此,專業準則把懷疑定為一項*義務*,而非一種心情:查核師必須主動去尋找數字可能出錯的理由,哪怕人人和善、一切看似無礙。會計醜聞的歷史,幾乎無一例外,都是專業懷疑被悄悄關掉的歷史。
把這四股線擰到一起,查核便成了一個連貫的故事。風險模型把查核師指向危險的帳戶;重大性告訴她那裡多大的錯誤才要緊;恰當的程序收集足夠可靠、能了結疑問的證據;而專業懷疑則在她權衡之際讓她保持誠實。當證據終於使她確信任何殘留的錯誤都安穩地落在重大性之下,她便掙得了出具意見的資格——那正是下一篇的主題。