为什么审计永远无法核对一切
到这里,你已经知道一次外部审计想做什么:给报表使用者一份合理保证,确认财务报表作为整体不含重大错误。请注意“合理”二字——不是绝对。一家大公司一年记录数以百万计的交易,世上没有哪位审计师会把每一笔都重做一遍。时间不够,那样的收费也会高得离谱、远超其价值。于是审计师做了一件比蛮力更有意思的事:她刻意地判断重大错误的危险在何处最高,并把有限的精力集中到那里。本篇的一切,都是为了让这个判断诚实可靠而设的机器。
因为审计师是抽样而非全查,她接受了一种真实的出错可能:她也许会对一份在她不知情之下仍含重大错误的报表签字认可。这种可能性诚实的名字,就是审计风险——审计师在报表实际存在重大错报时却出具了无保留意见的风险。审计师无法把这风险压到零(只有全查才能,而那也并不完美),于是她转而力求把它压得*足够低*——下面这些工具,正是她藉以赢得说出“我做到了”这句话之资格的途径。
审计风险模型:三种风险相乘
审计师把审计风险拆成三块,而审计风险模型说的不过是:它们相乘。固有风险是某个账户在*任何人尚未考虑控制之前*就已被错报的概率——纯粹源于它是什么。你能点清的现金,固有风险低;一项满是对未来维修之猜测的保修负债估计,则固有风险高。控制风险是公司自身的内部控制——你在本阶早先学过的那些复核与审批——*未能拦住*一个确已混入的错误的概率。检查风险是*审计师自己的程序*同样漏掉这个错误的概率。三者相乘,你便得到这条链条尽头处、一个真实错报一路存活进入无保留意见的风险。
Audit risk = Inherent risk x Control risk x Detection risk
The auditor SETS a target for audit risk (say, 0.05 = a 5%
chance of being wrong) and ASSESSES the first two from the
client. Then she SOLVES for the detection risk she can allow:
Detection risk = Audit risk / (Inherent x Control)
Example: target AR = 0.05
inherent risk assessed at 0.80 (a tricky estimate)
control risk assessed at 0.50 (controls so-so)
Detection risk = 0.05 / (0.80 x 0.50) = 0.05 / 0.40 = 0.125
Only a 12.5% miss-rate is tolerable -> gather MORE evidence.
If controls had been strong (control risk 0.10):
Detection risk = 0.05 / (0.80 x 0.10) = 0.625
A 62.5% tolerable miss-rate -> she can test much less.把这组算出来的数字慢慢读,因为它们揭示了一次审计的全部逻辑。固有风险与控制风险是客户处境*给定*给审计师的——她能评估,却无法改变。她自己手里唯一的旋钮是检查风险,而她靠收集更多或更少的证据来拧动它。所以这个模型其实是一份精力预算:薄弱的控制或一项凶险的估计,把可容许的检查风险压低,而要尊重这一点,唯一的办法就是*多测*。这正是上一篇对内部控制的研习汇入本篇的确切机制——强健的控制,确实让审计师可以少干活,而这份节省并非漏洞,它正是一家公司因善于自我控制而挣得的全部回报。
重要性:错到何处才算太错?
风险模型反复追问一项*重大*错报是否存活下来——可对谁重大、又多大才算?重要性是这样一道门槛:低于它的错误,根本不会改变一个理性的报表依赖者的决策。经典的判定法是“是否翻转决策”:若知道真实数字而非报告数字,会让一位投资者或放贷人做出不同行动——借还是不借、买还是不买——那这道差额便是重大的;若没有任何明智之人会因此动摇,它就不重大。一家年收入 20 亿的公司里一只被错分类的 50 元订书机,改变不了谁的主意。而一笔被藏起来的 5,000 万元虚构销售,也许会改变所有人的主意。重要性,就是这两个世界之间的那条线。
正因为它取决于使用者的决策,重要性是相对的,而非固定金额——对巨人微不足道的,对街角小店却是巨数。实务中,审计师用粗略的基准把它锚定到规模上,常取某个稳定基数的一小部分,比如税前利润(通常约 5%)、营业总收入或资产总额。先定下这条计划阶段的重要性,它便悄然透过风险模型为整场审计掌舵:它告诉审计师该把网织得多密。一个根本不可能藏下相当于重要性那么大错误的账户,几乎不需关注;一个轻易就能藏下的账户,则是精力的去处。所以重要性不只是年末对“可接受错误”的判断——它更是一件计划工具,预先决定什么值得去追。
证据:什么才真正说服审计师
在判定了风险在哪、多大的错误才要紧之后,审计师出去收集审计证据——支持或不支持报表各项主张的事实。要紧的是,并非所有证据都同样可信。审计师*亲自直接*取得的证据,胜过客户递到她手上的;来自*独立外部方*的证据,胜过公司就自身出具的;*书面*胜过口头;而关于*强健控制*的证据,会让记录本身更可信。一份由银行直接寄出的对账单分量十足;记账员一句“余额没错”,则轻得多。审计师永远在这把可靠性的天平上掂量每一件证据。
审计师靠一套标准的审计程序工具箱来收集这些证据,值得逐一记住它们的名字,因为它们恰好对应上面那些可靠性的道理。*检查*查阅记录或实地盘点资产——读一份合同、亲眼看仓库地面上的存货。*函证*请一位独立的外部人直接向审计师核实某项事实——一封致客户确认应收余额的信,或致银行确认现金的信。*观察*盯着某个过程发生,比如在员工盘点存货时站在一旁。*重新计算*重做客户的算术,例如把折旧表重新加总一遍。而*分析性程序*把数字与预期相比——与去年、与预算、与同业——并把任何看着够反常的项目挑出来追查。
- 检查——查阅文件或实地察看资产(一份签署的租约;清点仓库里的货物)。
- 函证——请独立的第三方直接核实某项余额(银行确认现金;客户确认应收款)。
- 观察——在过程发生时旁观(在实地盘点存货时在旁守候)。
- 重新计算——重做客户的算术(重新加总折旧表;重算利息费用)。
- 分析性程序——与预期比较(今年对去年、实际对预算、比率对同业),并追查异常项。
请留意分析性程序如何倚仗你在分析阶搭起的每一项本领——横向变化、共同比比率、周转率。一位算出毛利率在市场平淡之时却从 30% 跳到 45% 的审计师,并未证明舞弊,但她找到了一根值得去拉的线头。抽样也住在这里:审计师不去函证一万笔应收款里的每一笔,而是测试一个精心挑选的子集,再由它推及整体——并坦然接受样本可能误导,这又是审计风险永远到不了零的一个理由。
职业怀疑:信任,但要核实——然后再核实
上面所有的机器,都可能被一种人性的弱点击溃:太轻易地相信客户。它的矫正剂是职业怀疑——一种存疑的心智,既不预设管理层不诚实,也不预设其诚实,而是不论哪一边都坚持要证据。它是“我若错了,将如何得知?”这一问的纪律,并且不在那个让人安心的答案处停步。管理层说滞销的存货会卖掉;怀疑要看销售订单。那项估计看着合理;怀疑要问它建立在什么假设上、假设一变又会怎样。职业怀疑,正是阻止审计师去收集那些不过印证她原本就盼着找到之物的证据。
职业怀疑最要紧之处,恰恰是风险模型说固有风险最高的地方:各种估计、关联方交易、临近年末的收入,以及任何管理层有动机去扭曲的事项。它之所以不可松懈,是结构性的——审计师由她所审计的公司付费,又与其员工并肩工作数周,这让滑向信任他们变得太过容易。正因如此,专业准则把怀疑定为一项*义务*,而非一种心情:审计师必须主动去寻找数字可能出错的理由,哪怕人人和善、一切看似无碍。会计丑闻的历史,几乎无一例外,都是职业怀疑被悄悄关掉的历史。
把这四股线拧到一起,审计便成了一个连贯的故事。风险模型把审计师指向危险的账户;重要性告诉她那里多大的错误才要紧;恰当的程序收集足够可靠、能了结疑问的证据;而职业怀疑则在她权衡之际让她保持诚实。当证据终于使她确信任何残留的错误都安稳地落在重要性之下,她便挣得了出具意见的资格——那正是下一篇的主题。