您的当前位置：首页正文

谈谈四大

来源：伴沃教育

说说我知道的四大

首先介绍一下，本人三十多岁，从业将近10年，先是在国内的一家排名在30名以内的事务所作审计5年，后来去了四大之一做了3年审计，现在转到国内另一家大事务所做咨询工作。可以这样说本人对国内所和四大都有比较充分的了解，我写的东西不存在道听途说，不存在妄加推测，

都是本人亲身经历和亲身感受，如果诸位想听听，我会详细的把我所理解的四大介绍给大家，大家有什么见解尽管发，但是不能做人身攻击，否则本人就此潜水。

首先，我的立场是完全是客观的，说起四大，以前往往认为他们很神秘，今年来随着光环逐渐退去，四大往往为人所诟病，目前业内人士对四大指责颇多。不容否认，四大的确存在很多问题，有些问题也确实是致命的但是由于四大对其核心技术方法并不公开，外界对四大的审计理论也许有所了解,但是对他们如何具体执行审计业务知之甚少.

我的文章也许会很长，看情况吧，我倒是希望把我所知道的原原本本的介绍给大家，我不想争论，也不加判断，诸位自己判断吧。继续说.毕马威会计师事务所早在1976年就实施了审计领域研究机会项目，并以此为名称出版研究报告，从而与学术界建立了紧密的合作关系。虽然其他大会计师事务所也效仿毕马威与学术界的合作模式，但毕马威依然处于领先地位。20世纪90年代早期，毕马威一方面在实务中进行了一些必要的探索，另一方面组织了以鉴证服务主管Timothy B. Bell、鉴证服务全国（美国）合伙人Frank O. Marrs、伊利诺伊斯大学毕马威杰出教授Ira Solomon和伊利诺伊斯大学战略管理教授Howard Thomas为首的研究小组研究新的审计方法。1997年，研究小组出版了研究报告：《以战略系统观组织审计》，提出了毕马威的BMP（Business Measurement Process）审计模式。安永会计师事务所以“审计创新”为名开发现代风险导向审计，并形成了对企业经营环境进行分析的系统方法，简称BEAT（business environment analysis template），在此基础上，安永形成了全球审计方法（Global Audit Methodology）。普华永道会计师事务所开发出了以“普华永道审计方法（PricewaterhouseCooper’s Methodology）”为名的现代风险导向审计方法。德勤会计师事务所开发出了以“AS／2”为名的现代风险导向审计方法。我只是在其中一家工作过，只是通过其他同事间接了解了其他三大的方法，下面我只是详细介绍我工作的一家吧，但愿不会涉嫌侵犯商业秘密，呵呵。

我把思路整理了一下，大体想按照以下的结构来写，各位大虾有啥意见也可以提，我再补充或调整。

一、审计方法演变的背景简介二、主要的审计步骤承接客户阶段

制定审计计划时的考虑前期工作（风险初步评估）内部控制的了解与测试风险再次评估实质性测试特殊事项的考虑报告阶段的主要工作三、其他重要事项审计风险模型审计抽样审计质量控制

关于审计底稿

集团审计时的特殊考虑

四、人力资源和薪酬制度简介五、四大审计模式中的局限性一、审计方法演变的背景简介

太远的就不多说了，从20世纪80年代开始吧。（呵呵，将近20年也够长的了）声明这部分不是我的原创，只是介绍一些背景情况，以更好的了解目前四大审计方法的渊源。如果对这部分不感兴趣也可以直接跳过去,不过看看也挺好. 20世纪80年代晚期之前的情况：

管理层舞弊的职责在权威性指南中尚不明确。权威性指南继续支持对交易类别和账户余额进行详细测试，因为这类程序通常可以获得最有说服力的审计证据。为了促进对抽样风险的控制，指南建议建立模型（ARM）来帮助审计师运用抽样方法，计算详细测试的样本规模。同时实证证据显示审计程序不会因为审计师对固有风险和控制风险的评估而有显著改变。

职业界对固有风险的历史观点反映在美国审计准则公告第39号“审计抽样”。为了在确定审计范围时确定样本规模，公告忽略了固有风险，因为公告认为量化固有风险很困难，并且成本有可能很高，尽管大多数审计师在审计计划过程中直观地运用固有风险分析，但是固有风险分析仍未被正式地纳入事务所的审计文献中。不管是否有控制，固有风险都存在。因此，对可控制（内部控制）进行查证并不能识别此类风险。 20世纪80年代晚期的一些发展：为主观评估固有风险（重要错报风险和检查风险）而取得的关于公司经营状态的证据并未被权威性指南明确地确认为审计证据；更确切地，这些活动被描绘为获得证据的计划。帮助审计师充分地了解经营，并有效控制非抽样风险的指南仍然很少，尽管审计失败指出非抽样风险是主要诱因。

当时普遍存在的审计环境对审计的影响社会对审计质量的预期明显没有得到满足；针对审计师的诉讼骤增；

大型审计事务所的执业保护成本达到最高记录；

为了更好地评估和控制审计师的业务风险（尤其是与高风险客户相关的风险），审计事务所改善了筛选客户的方法；审计市场竞争激烈，有压低价格的压力；市场壁垒似乎限制了根据质量区分审计师的能力；审计时间减少，迫使审计事务所为提高效率而重构其审计程序。审计事务所试图通过扩展非审计服务来维持或者增加利润。

1988年发布的美国审计准则公告第53号增加了审计师发现财务报表舞弊的职责，之前的职责（如美国审计准则公告第16号所述）是当在审计过程中有迹象显示存在舞弊时应该有所反应。美国审计准则公告第53号中的新职责是更为主动的——审计师应该计划并执行审计以合理保证由于差错和非常规事项（即舞弊或盗用）引起的重要错报能够被发现。美国审计准则公告第53号推荐了多种可能显示高舞弊风险的客户经营风险因素的例子。对这些风险因素的识别和评估需要更深入地了解客户的经营、行业以及客户的经营业绩，并寻找可能对业绩有重大影响的经营风险，或者有可能在近期产生重大影响的经营风险。

1997年发布的美国审计准则公告第82号试图进一步明确审计师发现财务报表舞弊的职责，“审计师应该明确地评估舞弊引起的财务报表重要错报的风险……”给出的风险因素的例子更多地涉及到管理层激励、行业环境以及客户运营特征和财务稳定性。补充的指南要求在工作底稿中记录执行舞弊风险评估的证据，对存在的风险因素做出反应，审计师与管理层、

审计委员会等进行沟通。 20世纪90年代以前，日益动态竞争的经营环境促使管理更加关注经营战略和经营模式修正、核心能力和关键成功指标、经营环节执行中的优势，以及相关的经营风险。上述因素和关系会增加非抽样风险和审计师的业务风险，尤其是论及到审计师评估舞弊引起重要错报风险的时候。

20世纪90年代至今的发展：

出现了多种经营分析和风险评估框架，审计师为了增强对非抽样风险的控制而利用了这些框架，并提供了增值性的非审计服务。类似的框架包括：COSO和CoCo 扩展的内部控制框架，推荐了监督和控制相关经营风险（业务运营风险、合规性风险和财务报告风险）的关键成功要素。多种质量管理框架和价值管理框架，例如平衡记分卡、波特五力模型、全面质量管理（TQM）以及系统思想的创新和竞争性战略动态学。

大型事务所进行了总结之后，战略系统审计（SSA）作为一个框架出现，战略系统审计 (SSA) 框架（有些地方称之为经营风险审计、风险导向审计，国内称之为现代风险导向审计），例如：安永的审计创新（Audit Innovation），毕马威的经营计量程序（Business Measurement Process，即BMP），普华永道的“普华永道审计方法（PricewaterhouseCooper’s Methodology）”德勤的“AS／2”为名的现代风险导向审计方法。

各事务所的方法形式不同，但是都有一些共性的方面，如：框架均附有一组工具对审计师有如下作用：改善对多种非抽样风险源的评估和控制，例如改善对舞弊引起的重要错报风险的评估改善承接客户及续约的筛选方法

改善对其他非抽样风险源的评估和控制：利用改进的经营认识评估以下固有存在的风险：会计政策选择，重要的非常规业务交易，补充披露（例如，完整性与充分性，重要的经营风险），利用改进的分析性程序，根据快速变化的经营环境来评估常规交易类别、账户余额、比率及其变化的合理性。

改善对其他非抽样风险源的评估和控制：经改进的实质性－分析性程序，经改进的经营了解以对实质性详细测试的性质、时间和范围进行计划。证据的评价和整合得到改进，在这个审计过程中形成并修正观念以对重要错报风险（RMM）和检查风险（DR）做出递推的、主观的评估。

一、客户承接阶段的主要工作。

承接客户阶段的主要工作最核心的是客户筛选，说实话，我对这部分了解并不多，这部分工作是合伙人做的，个别情况下是经理也会承担一部分工作，一般的Staff是接触不到的。对客户的筛选关键是评价客户的经营风险，在风险导向审计的理论下，客户的经营风险是决定审计风险的决定性因素，最大的经营风险其实就是经营失败，实务中尽管经营失败并不必然带来审计失败，但是在绝大多数的情况下，经营失败往往会导致审计失败，或者说在经营失败的情况下，公众有扩大审计师责任的倾向，尤其是在新的审计准则环境下，这种倾向更加明显。通俗的讲，就是最大的审计风险就是客户会不会倒，客户倒了，那你的审计风险就是接近于无穷大了，当然决定审计风险的还有其他很多因素，我只是说我理解的最关键因素是经营失败的风险。具体到四大的在国内的客户，主要分两部分，一是跨国公司在境内的分支机构，是四大境外Office Transfer过来的，像PWC的朗讯，DTT的GM。这类客户一般不需要境内Office做太多的客户筛选工作。二是境内客户，这部分要做完整的客户筛选程序。具体工作我没有作过，大体内容应当包括行业背景分析、公开市场资料分析、客户经营战略和经营风格（激进还是保守）、管理层（实际控制者）动机分析、客户诚信度分析等等，分析的工作非常复杂，这个阶段有一定的局限性，比如资料完整性、可靠性问题等等，分析结果的可靠性存在一定不确定因素，一般有很多工作要在执行审计过程中再深入去做，以验证或推翻客户筛选过程中对风险的评估结果。这个阶段的工作还是非常复杂的，目的是接一个

新客户时，就将高风险排除掉。这样等到了现场工作时，已经不会有大的风险了，现场工作仅仅是为了防止意外，以及控制一些剩余的风险（剩余风险概念现在好像不在提了，风导审计理论有了新的发展）。我理解四大认为最大的风险还是选择客户不当的风险，因此对于客户筛选程序上也是比较复杂，我工作的这家一般是项目主管合伙人具体负责评估，第三方合伙人复核，好像还有技术部复核，然后全套资料传到香港的大中华总部复核，由HK office放Client code和Engagement code。个别的还要传到澳大利亚的全球技术总部复核。从整个过程看客户选择的过程还是非常谨慎的，我曾经不止一次遇到过放弃客户的情况，2004年我in-charge的那家上市公司，

2005年我看就换成local所了，04年就发现客户主业开始下滑，即使没有发现问题，但是04年已经被列为高风险客户了，05年放弃掉也是情理之中的事情。在四大购买会计原则还是非常难的，原因很简单，国内市场对于他们全球收入来说毕竟有限，单个客户每年几百万人民币的收费，一般还不足以促使合伙人冒道德风险，或者说即使是由于各人道德、业绩考核压力等原因，合伙人主观动机上有问题，但是在层层复核的情况下，其交换审计原则的行为还是不容易实现的。当然我说的不绝对，像德勤创维事件中，就有合伙人德道德问题。即使是个别合伙人有问题，但是作为四大管理当局本身，主观性违规的可能性还是不存在的，我说的是指国内，市场十分有限，最大的PWC年收入不过1亿美金，其他三大更少，比起全球动辄上百亿美金的总收入，您觉得四大（不是四大的个别合伙人）会为了几十万或者几百万美金而冒险吗？当然在一个足够大的市场中可能情况会改变，比如著名Enron事件中，AA为了Enron每年的5000万美金而冒险，但是近期在国内我看四大整体上为了个别企业冒险的可能性还是很小的（不绝对）。在这个阶段还有一项重要工作就是项目收费＆成本测算，原则上是根据工时成本计算收费，具体我到主要审计步骤那一部分再讲。

再说说国内的事务所，我服务过三家，由小到大，现在的这家也算是不小了，可以排在国内前20名以内，但是承接客户就是单个合伙人说了算，基本没有风险评估程序，就是由合伙人个人定，基本不同其他合伙人讨论或者通报，结不接业务、收费多少、签不签字基本是一个人说了算，也有一定的复核程序，但是起的作用有限，国内的事务所大多数还是处在这样一个状态下。还是那句话我说的不绝对，个别的大型事务所可能好一些，但是实事求是的讲现在市场竞争太激烈，大多数事务所的合伙人能拉到业务就已经很不错了，客户筛选工作就薄弱一些。

这一部分可能是争议比较多的，其实也是我自己的理解，毕竟不是根据一手资料说的，讲的也不是很清楚，难免有不妥当的地方。我说的这些也许被诟病，但是我希望业内的同仁拍砖之前想一想，说的话还是口能对心为好。从下一章开始我找一个公司的底稿，从头到尾详细讲一遍执行的审计程序和审计方法，那是我亲身做的，说起来就有把握多了。二、制定审计计划时的考虑。

决定承接客户之后就是具体做业务了。我记得主要是做年报审计和IPO（境内和境外，主要是境外）。好像四大没有local所做的专项审计业务，最多有个执行商定审计程序的业务。年报审计大约是从9月中下旬一直到第二年的4月，有的根据境外准则的要求，年报审计也会在年中的几个月（USGAAP）。IPO一般是在年中，做的时间都是比较长的，一下好几个月，一直做到吐血。

一般的年报审计业务分两阶段（预审＆final）：

1）预审，我理解预审对于四大是非常重要的。一般是在9月开始到12月初，审计当年的情况。绝大多数审计业务都会经过预审。预审分两种，一种是普通的预审，一种是非常接近年报审计的预审，他有个专有名词，我不知道怎样翻译合适，还不敢直接写英文（害怕找麻烦）暂时就叫详细预审吧。

先说普通预审。主要做以下工作：Follow上年final时的审计调整，核对期初的金额；

取得/更新当年的永久性文件；了解客户的经营风险；审计风险评估；内控了解（更新）和测试；填列当年的计划阶段的各项底稿，包括控制性底稿和技术基础性底稿，像重要性水平的计算等；执行报表科目实质性的审计程序。预审时的审计程序和final的审计程序没有什么实质区别，但是有适当简化，如不执行盘点和函证（毕竟还是预审），重点是实质性的分析程序，也包括相当程度的detail test，如抽样测试，对预审中发现的问题，如果可以confirm，就要求客户调整，对于不确定事件，则留下Audit Findings，让final的同事follow。预审阶段会形成一个非常重要的底稿－《完成初步的分析性程序》（直译，不一定准确），是对全部报表科目的非常详细的分析，包括各科目当年发生的主要事项，金额变动分析，余额结构分析，一些比率分析，发现的主要问题，现场的主要判断等等，详细程度远远超出local所同事的想象，完成这张底稿既是现场审计工作的详细总结，又是对现场staff的督促，你工作做不到位就写不出东西来，即使编出来也很难经过复核的考验（除非是出色的小说家），这张底稿还有利于manager和partner复核，使其迅速了解客户的基本情况。下面说到这张底稿时我会详细讲，有可能的话贴个例子上来大家瞧瞧。

一般一个客户普通预审和详细预审不会都做（节省成本嘛），详细预审一般截止日是11月末（或者非常接近final的时点），审计程序和final的程序完全一样，包括发函证、盘点。但是一般不包括存货盘点，存货盘点在年末统一做。详细预审就是一次完整的年报审计过程。客户预审是经过详细预审和普通预审对final的影响有很大的区别。经过普通预审的客户，final时仍要对全年的情况进行审计，当然有些工作预审做了的可以简化，但是审计重点还是整个年度。经过详细预审的客户final时只要对最后一个月的变动情况审计就可以了，如果变动不大，一般外勤就很快结束，变动巨大并且合理性有问题的才需要关注全年度情况。就是说经过详审的，final时审计重点是最后一个月（最后一期）。

以上是一般情况，有的重点客户甚至一个季度预审一次，从Q1到Q3，还包括一次详细预审，当然这种情况很比较特殊，但是也不罕见，如IPO过程中的业务有时会遇到一年审好几次的情况，估计这也是控制风险的考虑。

其实我认为50％－70％的外勤审计工作在预审阶段就已经做完了，经过预审大大减轻了final时的外勤工作量，节省了时间，并且在相对淡季做预审，有效的缓解了final时的人员需求压力，并且有利于控制审计风险，增加了对客户的了解，对审计风险控制有一个提前量。预审的作用还是非常大的。很多Local所也做预审，但是预审的详细程度、审计深度＆广度、预审的有效程度远远不如四大，更多的时候是对客户的粗略了解，对提前控制风险，减轻年报审计压力的效果有限。容易形成年报审计的时候才发现新问题，搞的措手不及。在开始讲底稿之前这里先讲一讲项目控制吧。确定承接项目后由合伙人或经理签订业务约定书，每一个项目都有一个客户编号，一个业务约定编号，签约后确定负责该项目的经理。经理根据人员工时计划，向admin提出人员配备要求，四大有个专门部门或人员负责人员调配和工时记录，四大的项目控制和人员调配比较严格，安排员工作哪个项目作多长时间都是很严格的，时间到了这个员工肯定撤出该项目，经理一般没有权力多留用个别员工。同时对项目要考核成本，比如一共使用多少不同级别的员工，总工时多少、报销了多少费用。工时成本按照员工级别计算，比如A2每小时成本是四五百元，如果成本超支或节约对经理是有奖罚的。确定了team后，指定一个现场负责人（in charge），一般项目经理不会去现场做业务，大项目除外，有的项目甚至是合伙人现场in charge，一帮manager做FAIC。四大的项目控制包括时间成本控制和质量控制。由于主要成本是人员工时成本，经理为了避免人员过多浪费成本，或人员不足不能按时完成，对人员计划是比较谨慎的，但由于四大现严重缺人，一般是人员不足，每个项目都很紧张，导致超高的工作强度。质量控制是通过标准化审计程序和严格复核来控制的，尽管经理很少去现场，但经理是会了解项目进度和重要的审计事项的，并且事后复核会很严格。

前面罗里罗嗦的说了这么多，现在终于言归正传了，开始讲四大的底稿，我找了一套国内三年一期IPO的例子，从头开始逐张底稿讲讲。底稿的

结构包括：1、制定审计计划时的考虑；2、前期工作（风险初步评估）；3、内部控制的了解与测试；4、风险再次评估；5、实质性测试；6、报告阶段的主要工作。其中1、2、4的具体做法四大以外的同仁都知之甚少，3、5、6一般的审计教科书都会有相关内容，local所也有自己的一套实施方法，四大的做法与local所差异还是非常大的。我这篇文章的核心内容是2－4，也是以前从来没有人公开详细介绍过的（至少我没有看到）。写这部分内容主要困难是如何准确翻译，四大的底稿全是英文的，一些表述习惯和汉语有很大差异，有很多专业词语不太好准确翻译，

翻译的过程比较麻烦也费时间，只能在说清楚的基础上尽量简化，一些句子可能读起来比较别扭。就像现在新公布的审计准则一样，读起来要多别扭有多别扭，根本就不像是中国人说的话。去年我曾经与中注协标准部的同仁探讨过这个问题。就算是你以趋同为目的吧，为啥不能按照汉语表达习惯把国际审计准则（IAM）汉化，在保持实质不变的前提下，让新审计准则更容易理解一些，注协那伙计回答，汉化本身不是问题，但问题是按照汉化后的文本再翻译成英文，和IAM的英文文本又会有很大差异，他们不会认为你已经趋同了，或者要做许多解释工作，与其这样

麻烦不如直接翻译过来尽量与IAM英文文本保持一致（我倒？！）。

四大没有固定的审计程序，根据每个公司的不同情况、业务特点、风险评估情况，最终确定需要执行的审计程序都不一样。也就是说，执行的审计程序在大框架一定的情况下，每个具体项目都是比较灵活的。这点和local所区别很大，很多local所是一套固定的审计程序，一大堆表，不管什么公司，都是用的一样的底稿。四大的审计程序是一环扣一环的，这个环节程序的评估结果，直接影响下个环节执行什么程序，不执行什么程序，执行的简繁程度如何。举一个例子，有一个国内非常著名的上市公司，是做大型机械的，我曾经在控制环境评估中发现企业的战略非常激进，经营方式大量使用赊销，还发现公司的一个疑似关联公司为客户提供一些信用担保，这里产生三个后续问题，一是很大可能存在特定风险——需要证实/排除担保公司是不是关联方，这种信用担保对公司究竟有什么影响。如果证实是关联方就会有非常多的后续工作去做。二是影响内控测试，激进的战略导致这个公司的销售收款循环的风险远远超过普通企业，在做内控测试的时候就要多做很多工作，如穿行、更大范围的内控测试、更严格的内控测试标准。三是影响一些科目的实质性测试，如应收账款，执行的程序比一般企业更严格更复杂，工作量也加大了。这种环环相扣的审计方式KPMG的全球首席技术合伙人Timothy Bell有非常精辟的总结，“现代审计是一种循环递推的、证据驱动的、基于判断的风险评估过程。”这句话让我终身难忘，也让我不后悔在四大度过的三年。闲话少说，好戏登场，开始讲底稿：

制定审计计划时的考虑。审计计划其实是两个计划：审计计划和客户服务计划。 1．1关于制定审计计划程序：大概有三个方面三十多条内容，我记得主要包括： 1.1.1前期准备工作：

举行准备会议，项目经理和合伙人讨论评估项目的风险、审计小组、预算和审计策略。完成项目风险和内控环境的估计。完成舞弊风险评估。

组成审计小组和准备详尽的预算（fee，cost）。

讨论业务约定书条款，发函业务约定书条款。计划成本和收费预算。

复核以前年度审计的关键点，确保往来函件、报告、税务文件已经被客户恰当的处理。确定客户的审计风险分级，如果必要，由质量控制部门复核评级。 1.1.2完成初步的计划

planning meeting with the client. 完善对客户经营情况的了解。考虑环境和行业因素，这些会是否影响特定潜在风险和我们所关心的资料。同时，识别客户的关联方获得使用于一般企业和客户所处行业的法律法规，并了解客户多大程度上执行这些规则。

当存在客户的行为与相关法规和业务处理惯例不符的情况下，应考虑执行特别的程序，以确定其对报表反映的影响。主要程序是通过询问管理当局和检查各种文件来实现。理解客户的会计处理过程。

完成初步的分析讨论程序，识别任何我们预期之外的变动情况，或意料之外的关系，这些可能导致财务报表存在舞弊错报的特定风险。考虑持续经营的假设是否依然有效。（这个程序至关重要）

在评价客户的具体情势之后，决定计划的重要性水平。如果由必要，制定客户服务计划。考虑出具管理建议书，主要是关于内控方面和其他重要的建议事项。需要立即被处理的，应出具管理当局沟通函。

向以下组织发询问涵以确认：Banks、Solicitors、Debtors、Creditors、Third party holding of stocks、Others.。

协商参加持股人大会 1.1.3拟定审计计划

如果与特别的科目余额或潜在的错报相关的显审计证据仅在计算机系统中就能够获取，我们应该计划采用一个控制信赖策略，（除非我们单独进行实质性测试的结果满意）会提供给我们合理的保证，如在会计报表整体上，或分别的，或与其他相互联系的错报会被发现。对科目层次准备一份审计计划书用来评估潜在错报的风险水平。制定一份符合成本效益原则的审计计划。指出特定风险的潜在错报，对每一个潜在的错误，或者是采取信赖控制策略以减轻风险并规划基本程度的实质性测试，或者是可选择性地采取一个针对性的实质性测试。

制定一份符合成本效益的审计计划指出没有特定风险的潜在错误范围。在我们已经全面评估内部控制环境和了解重要的经营环节的基础上，实施信赖内部控制的审计策略。

如果采用信赖捏不控制策略，我们应该计划实施控制测试，包括实施全部循环测试指出相关的潜在的错报和执行一个基本程度的实质性测试。在轮流循环测试计划下确定会计系统的可信赖程度并进行基本程度的实质性测试。

如果客户主要使用的是计算机，我们应该采用控制信赖策略。

如果没有控制信赖策略的基础或不能更有效率,我们应该计划一个更可靠程度的实质性测试。

如果采用控制信赖策略对潜在错报，计划控制测试活动以减轻特定的风险。如果采用控制信赖策略对无特定风险的潜在错误：则应当规划与本年度相关的潜在错报的控制测试活动，获得低水平的控制确信度。包括在各循环轮流测试计划下的控制测试活动但不计划在本年的测试他们，以获得基本水平（比低水平高一些）的控制确信度。 .准备详细的实质性测试的审计计划书和获得独立合伙人和经理的认同。准备审计计划备忘录并获得独立合伙人和经理的认同。讨论并且完善永久性档案和记录修正案。 1.1.4集团审计计划的特殊考虑

获得一张最新的集团组织结构图。讨论集团管理的变化，考虑对我们审计的影响。将没有被香港office审计指引涵盖的特别事项向team公布。

计划在集团里所使用的审计的方法，如果可能的话，利用small audit pack，checklists等以提高工作效率。

1．2客户服务计划的主要内容：客户的简介。

关键决策层的描述。

能对上述个人有显著影响的人。

我们对其负有专业或合同要求的责任的人。潜在的关键决策人的继承者。客户服务团队。追踪计划。

客户的需求和我们的职责：

我们将会对以下那些人员提供服务。公众、政府、协会、其他使用人。

除此之外，我们还要确认以下：非鉴定服务。必须达到的服务（不做到构成违约）。非约定事项（不做到不构成违约）。对过去服务质量的反馈。交流策略主题形式时间安排。

计划扩大并且巩固的客户关系：行动步骤。以前的费用。

保持的正常收入和增加收入点：Audit、Business Condition Insights、Tax:、Consulting:、Other Professional Requirements、Other Client Service Opportunities。过去十二个月竞争者给客户提供的服务。

上次讲的制定审计计划的程序实质上是审计计划阶段的所有工作的summary,或者checklist，里面的每一条实际上都有一张或几张底稿，甚至张一整套的底稿支持，审计计划阶段的工作就是围绕这些程序来进行。还涉及到整个的审计模型问题，如整个1.1.3实际上就是完成审计模型的基础工作，把模型中的各项变量具体化，精确化，完成审计风险的精确计量，到了外勤时，就是按照1。1。3的分析结果执行就是了。以后讲的具体底稿可以与这部分底稿对应一下，有助于加强对四大的理解。

关于客户服务计划，我补充一点，就是关于衍生服务的问题，四大是比较注意发掘客户的衍生服务的，最直接如内部审计、税务服务、咨询服务。Enron事件后四大将其咨询业务或出售或分拆，即使这样四大每年在国内的咨询业务也是非常可观，尤其是萨般斯法案催生了许多打算海外上市的企业管理咨询需求，比如PWC给中石油做的基于COSO2报告的风险管理框架，收费达到了2500万RMB。四大都有TAX部门，每年的收入也非常可观。说远一点四大的尽职调查的业务也不小，这些很多都是审计带动的衍生服务，有时衍生服务甚至超过了审计收费。四大的问题是衍生服务的过度增长损害了审计的独立性，发展到顶点就是著名Enron事件。目前国内的事务所最大问题还是对客户的衍生服务开发的不够，举个例子，如果你连续为一个客户提供审计服务，那么你就会对其非常了解，就会发现他们很多的问题，包括财务问题、内部控制问题、风险控制问题等等。有些问题也许是客户真正想解决的而自己解决不了的，这样是不是就给我们带来了机会。如果十个客户中你能发掘出一个客户的需求，那你可以算算带来的收益会多大。当然目标要很明确，比如可以做财务咨询、可以做内控咨询，做的多了，产品成熟了，经验丰富了，就可以在审计客户之外去寻找市场，经过几年的发展，咨询业务自然而然就会发展起来。扯远了，还是说审计底稿。单讲一讲约定书吧，我感觉local所对业务约定书的重视程度不够，表现在条款简单，一些事务所约定书全文就是一张纸，内容非常的不完善。不管是什么客户，约定书的内容一成不变。很多时候开工了，约定书还没有签……这些问题其实是

和国内普遍不重视合同的整体风气有关系，对很多人来说合同就是一纸空文而已。四大的截然不同，按照严格的项目管理要求，在一个项目开工之前，一定要先签好业务约定书。业务约定书是非常重要的，它规定prescribe了双方的责任和义务。没签约定书四大是不会开工的。在四大内部，针对不同的业务类型，不同企业业务约定书是有不同标准模板的。在准备业务约定书时，只要不是太特殊的项目，只要按照标准模板做一些小的修改modification就可以了。签约之前一般是要法律顾问签署意见。四大请专业人员和律师花很大时间和精力将约定书条款做得尽量保护自身利益。这样，一旦将来在合同上出现纠纷，四大就可以占更多的优势。大家回忆一下外高桥起诉PWC的案例。普华永道在《审计业务约定书》作了免责声明：：\"除因本事务所故意的不当行为或欺诈行为所引起的索赔事项外，本事务所概无义务向贵公司(指G外高桥)赔偿任何超过本约定书中所支付的专业服务费的金额，无论这些损失是因侵权、违约或其他原因引起。\"这就是典型的保护自身利益的条款，这种做法对错姑且不论，但是想办法保护自己我觉得无可厚非，人同此心，心同此理嘛。我只是想指出四大和local所的区别而已，相比之下local还是显得很稚嫩（也很正常，毕竟四大是百年老店了），表现在方方面面，约定书算是其中之一吧。四大约定书格式不太一样，我曾经做过比较，风格方面还是有区别。可惜我不能够把收集的四大的约定书传出来，算是留点遗憾吧。关于发掘客户衍生服务方面我介绍这样一张底稿

1.3，衍生服务的checklist。这张检查表应该不仅仅被当作调查表被使用，实际上是一个启迪有意义的ideas的创造性过程。这张表不是保罗万象，不过他提供了一个有用的起点，在审计的过程中让低级别的staff也关注到衍生服务，有些问题在签约定书的时候也会考虑。这张底稿的主要部分包括：

1．3．1.审计基础上对管理的建议：

我们是否应该准备一份书面的财务分析资料

我们是否应该准备一份管理书说明我们的意见和推荐在内部控制和可能的成本节省。 1．3．2.管理信息系统：

我们能在客户准备全面预算过程中提供帮助吗我们能在会计系统和管理系统上能提供帮助吗我们能建议其他的对控制经营有用的报告吗 1．3．3.会计系统：

在会计系统中使用计算机或计算机软硬件的升级过程中，是否能显著提高客户效率。如果客户计划达到电算化，我们能提供帮助吗（例如选择软硬件，培训员工） 1．3．4. 税务

客户能否从我们获得的关于税收整体筹划的建议中中受益（例如改变结构缩减税的成本）

客户能否从我们特定的税款和税方面的建议中受益（例如增值税，关税）

是否在其他任何税款方面我们可以给客户提供服务（例如和政府的税务部门打交道等） 1．2．5. 投资＆筹资

我们能帮助客户从整合内部资源方面产生节余资金吗？我们能不能帮助客户在和银行打交道时，尤其是提出财务结构改革的和进行再投资的建议。

1．2．6.企业投资机会

客户想扩展企业的经营范围，我们能在确定潜在的可获得目标上提供帮助吗

客户计划兼并一家新企业或者建立一家合资企业，我们能在目标实体还是共同风险投资商的调查过程中提供帮助吗？（尽职调查服务）客户计划放弃的业务，我们能帮助确认一个买主吗

是否还有更进一步的企业投资机会 1．2．7. 咨询机会

我们能提供帮助吗？在客户招募主要工作人员时。客户是否会从专家的在实施中缩减成本的建议中受益？是否还有其他的咨询机会

1．2．8是否有机会帮助企业领导者个人？所得税申报书的准备个人计划避税投资计划理财计划

1．2．9.子公司（特别是国外母公司）。所得税申报书的准备

在贷款和投资方面提供帮助规章制度制定方面的帮助子公司的清算和取消

1．2．10.公司和企业控制方面的考虑

管理当局是否建立有效的内部财务系统控制并有效实施。这可以指示我们通过帮助在内部财务和企业管理的控制提供帮助，这也是企业在完善管理方面的需要。

对那些只有有限的内部控制系统的企业，我们能否帮助介绍和执行恰当的内部控制程序。

1．2．11.内部审计服务

管理是否建立了一套内部审计程序，能提供分期的评价关于组织在经营过程中的控制环境。我们能否提供一个转包的内部审计功能，或单独发挥作用或与整体配合，能提供规范的控制测试，安全评论，软、硬件测试，和灾难恢复计划以及评价相关规章的服从情况。 1．2．12. 工资服务

客户是否从我们从外面提供的工薪服务中受益。 1．2．13. 秘书服务 1．2．14. 文档编制服务 1．2．15. 债务重组服务

客户是否因为其未履行债务，要起诉债务人，

客户已经收到任何会议通知关于实际或潜在的债务人清算客户为了使资产或交易更加安全要求或强制第三方提供担保

以上是几张主要的制定审计计划时的底稿，其他还有一些，比较琐碎了，基本是上述底稿的一些补充和明细，有一些local所可能也有，比如Client prepare schedule，实际上就是给客户一套明细表让客户填，很多local也这样做，只不过四大的更详细一些，填的东西更多一些而已，本质上差别不大。就不一一讲了。制定审计计划时的考虑基本就时这些，我只能非常粗略的介绍一下，让大家管中窥豹，有个印象而已。

三、审计风险的初步评估

要的原因之一，但决不是唯一重要的原因，打个比方，飞机失事的原因很多：机械故障、操作失误、天气、劫机。机械故障无疑是最主要的原因，肯定是要加以控制，但是其他原因无疑也要同样加以控制，否则后果不可想象，整体的飞行质量控制肯定是全面的全方位的控制，而不是仅仅大力强调对机械故障的控制。也许有人不服气，说管理舞弊导向审计的重点是管理层舞弊，其他的我也兼顾啊。现代风险导向审计是综合评估企业的经营风险，对管理舞弊风险同样是重点考虑的问题，也提供了详细的发现、控制管理舞弊的理论和技术方法，这些技术方法比管理舞弊导向审计所强调的甚至更深入更全面（也许是管理舞弊导向审计理论倡导者缺少实务届的同仁，理论多一些，操作性差一些），其他的风险同时也被认真的考虑。这样就产生了一个两难的选择，一、如果说管理舞弊审计是以管理舞弊为主要着重点的，其他风险同样被考虑的审计理论，那么管理舞弊导向审计和现代风险导向审计有什么本质区别？管理舞弊导向审计是否有资格独立的成为一种审计理论？二、如果说只考虑管理舞弊这一种关键风险，对其他风险的关注程度是不重要的，那这种理论是不是有先天缺陷的？其次从风险产生过程看，管理舞弊是一种中间风险，不是原生性风险，管理舞弊是审计风险的因，同

时是企业现实情况的果，管理舞弊动因是在企业经营情况的基础上产生的，是有更深的源头的，现代风险导向审计是从理解客户的经营开始，然后延伸到各方面，也包括管理层舞弊。因此我一向认为往高层次上讲，管理舞弊导向审计对现代风险导向审计框架中关于舞弊风险的强调，往低层次讲管理舞弊导向审计是风险导向审计一个环节的方法论层面的改进而已，更何况现在还看不到有什么实质性的方法改进。又扯远了，声明，我尊重每一种观点，我的观点不见的正确。

下面我讲的这部分是整篇文章中最重要的部分，也是四大审计方法的核心内容。关于非抽样风险，四大主要是通过各种量化的定性分析来评估风险，列出风险迹象的表现，根据性质和可能性判断来量化评估风险。核心是对于欺诈风险、舞弊风险、签约风险的评估。对于抽样风险是通过审计模型在统计学、数理学层面上量化风险，执行风险判断和审计抽样，来落实到内控的风险评估和实质性测试的风险控制。但是无论是关于定性分析还是审计模型，目前还没公开见到四大的详细资料，关于非抽样风险我想讲的详细一些，比如关于评估欺诈舞弊风险，对不同的风险表现有22张评估底稿之多。关于欺诈舞弊风险的审计程序也有好几张底稿。毕竟这部分local基本没有形成成熟的审计程序和方法。本来想把审计模型和审计抽样放在后面，现在还是提到前面吧，因为审计模型贯穿始终，不先讲清楚好多底稿没法讲。其他的关于内控测试和报表科目的实质性测试，四大和国内所大同小异，不过是精粗深浅的区别，那部分倒是可以简化一下。新准则实行在即，新的准则极大的扩展了我们的审计责任，基本是按照四大倡导的风险导向审计框架制定的，local所现有的技术方法面临极大的挑战，肯定要进行痛苦的转型，而四大一直是按照风导理论运行的，他们执行新准则不存任何困难。我希望我写的东西对local所的同事形成自己的底稿能有点启发。上周在赶项目，没有时间更新，现在继续。审计风险评估首要的是舞弊风险、控制环境风险和签约风险。这三者之间有非常紧密的联系，所以在作底稿的时候是在一起通盘考虑的，一共包括22张底稿，一共是11个方面，每部分的基本结构是一张底稿列出一些风险点的表现，然后另外有张底稿根据不同的权重对其量化，或进一步的执行分析程序，以获得满意的评估结果。在整个评估过程中要考虑两点，1、如果管理当局的诚信存在问题，则需要立即报告合伙人。2、整个评估过程要严格保密，尤其是对管理当局保密。

对控制环境的评估是审计工作的起点，在前期承接项目的时候已经作过初步评估，现在是审计现场的继续（控制环境是非常重要的，详见著名的COSO报告）， 1、一般性的考虑

管理层是否涉及违法、财务报表失真、有组织的犯罪。典型的代表是萨班斯法案的第一案，PWC的客户朗讯中国的商业贿赂案。是否存在不是必然违法，但是可能给公司带来困难的事件？

公司是否经常更换银行，律师和会计师事务所？为公司服务的中介机构是否存在污点记录？

在管理者的职业生涯中是否发生显著的个人错误？管理当局是否愿意接受意外的高水平的风险？

管理是否由个人意愿支配或集中于一个小团体而没有相关约束？例如董事会的监督或者审计委员会。

是否存在第三方实际控制的情况？

是否最近在管理层中发生了重大的或未预期的变化，在可以预期的将来是否会发生这种变化。

管理层是否缺乏经验？

是否非财务的管理者在会计原则的选择上或在重要事项评估的有较大的影响？ 2、财务报告可靠性的考虑。

公司是否采取了有争议的会计政策？管理是否倾向于攻击性的解释会计标准？

管理是否愿意接受审计人员提出的会计记录的调整？我们是否发现没有实质性经济理由的交易的存在？

我们是否发现在正常的商业过程之外的重大的关联方交易？是否管理当局，显著的不恰当的追求收入或利润的增长目标？

是否公司正在计划或谈判新的重大投资，会对财务报告产生重大影响？是否公司采用或者未能充分披露有争议的会计政策？ 3、会计信息系统

在会计处理程序上和控制活动上的重大不足未引起管理层的足够注意？企业没有建立企业文化或者是没有形成恰当的企业文化？是否企业没有建立关于违法事件的预防程序？是否预算上没有有效的一贯执行？

是否会计或数据处理部门没有适当的人员？

用于帮助职工完成他们职责的资源（例如个人电脑、资料处理、临时人员）不能获得或不足够？

是否管理者会计或资料处理人员没有足够的能力胜任他们的责任？从以下几点考虑这个问题：是否工资低，因此吸引的都是没有足够能力的人？是否有明确的或充分的聘用和晋升制度？是否评估雇员能力的技术不恰当或无效率？是否职工的培训是无效的？是否关键职位的人员经常变换？

是否有明确的职位说明书，包括具体的职责，报告的责任和约束机制？是否与职工有效的沟通？

过去的审计资料是否表明重大的错报或企业在年终时做重大的改正纪录。管理层是否存在对规章制度的漠视。

是否管理层继续使用一个有效的会计系统、信息技术和内部审计。是否过去的审计表明对管理层报酬缺乏支持性证据？ 4、组织结构

是否组织结构过度复杂是否客户经历了快速的扩张

是否客户最近兼并了其他企业

是否客户拥有大量的分散的运行实体是否报告结构过度复杂，包括大量的或不正常的法律实体，或者无商业意图的契约安排。 5、管理结构

是否控制程序与企业的规模和性质不相适应，是否我们清楚地了解需要考虑在监督和管理方面能力的原因。

是否企业缺乏明确的管理结构和缺乏明确的责任的分配? 是否管理的能力和类型与企业的规模和增长不相一致? 在分散的业务中是否存在不充分的监督和管理? 在跨国业务中是否存在不充分的监督和管理?

在资料处理过程和会计职能中是否存在不充分的监督和管理? 6、高管层的控制方法

关于预算问题：公司是否缺乏预算或计划（包括收入预测和现金流）。如果通过预算来考核低级别管理人员，并通过激励使其达到某种收入目标。是否预算不够精确，无法发现财务报表中存在的重大错报。预算能否全面贯彻。预算制定是否有足够了解情况的人员参与。预算执行差异是否及时跟踪。关于内部审计部门：内审部门是否存在。内部审计部门是否履行职责以有利于减轻控制风险。内审部门的是否认真履行职责。内审的汇报对象、胜任能力、可动用资源。内审的工作方式包括审计计划、底稿、程序。内审报告的被尊重程度。 7、计算机应用影响。主要包括：公司对计算机系统的依赖程度，以往的错误系统错误是否重复出现？管理当局对计算机的重视程度，人员的胜任程度，资源是否充分，关键人员是否经常调换，计算机管理部门和使用部门之间的沟通是否充分，报告路线，对计算机管理人员的控制和监管。 8、董事会和审计委员会

董事会和审计委员会是否和企业规模相适应。成员以往的污点记录，独立人士的比例，职责是否明确，胜任能力，审计周期，以往遭受的质疑，权利＆资源等。 9、企业性质和经营环境

是否企业拥有一个长期的计划，是否企业使用复杂的或最新的财务技术，是否企业在一个不稳定的行业或市场运行，重大的会计估计是不是具有一贯性，企业在行业内经常受质疑或有违法行动，是否企业在最近购并一个新企业，而且在以前没有任何经验经营这一行业，是否企业在一个下滑的行业中经营，有越来越多的企业倒闭或者是顾客需求量的急剧下滑，是否在行业中存在高度的竞争和市场饱和，伴随着下滑的利润。 10、行业环境

是否企业向公众发布有价证券或有重大的公众责任，对财务报表存在不寻常的重大影响吗，企业财务指标与同行业其他企业比较，是否存在影响管理扭曲财务报表的压力，是否有快要到期的债务契约以至于影响财务结果，是否存在未决诉讼＆违规行为，易受经济事件的影响，易受快速变化的行业环境的影响（例如，过剩的生产能力，技术变革，产品退化），易受政府管理变化的影响（例如，如果企业受政府的管制），易受规则变化的影响，易受顾客和社会因素的影响（例如，遵守行业控制标准，产品责任的发布），经历了不正常的快速增长或利润，尤其是与行业中的其他相比较，是否有不正常的过度依赖于举债或没有能力足够偿债能力？ 11、持续经营

是否流动性不足？资金需求是否超过需要？是否有大量的债务来源不正常（例如关联方）？是否明显违背债务条款或其他的信用条款？是否没有能力支付债务。是否存在重大客

户或顾客群的丢失、是否存在资产负债表外的负债责任、是否某种重大的压力下必须获取额外的资本以保证竞争力，包括投资主要研究和发展的资金支持，当收入增长时，企业并没能从运行中产生现金流？是否面临破产或倒闭或对手接管的威胁。

以上是评估的11个方面，我只是简单介绍了主要的风险点，着中评估其实是贯穿整个审计过程的，审计计划阶段要考虑，整个项目结束的时候还是要在更新一遍，里面有些标志还是很危险的，一旦发现整个项目可能会被pass。其他的还有一些重要的风险评估底稿，比如关于审计项目承接风险的考虑：过去管理层有没有给审计人员全面的配合？是否管理层不合理的限制我们的人员、地点，约束我们出具报告。是否有正式的或非正式的限制我们与高层管理人员，董事会，审计委员会进行沟通。管理层不愿意提供关于重大的或不寻常交易的信息。首次承接审计业务。如果这是一个最近获得的客户，有不寻常的或有争议的原因使他们决定换审计人员吗？与我们或先前的审计人员由频繁的争论吗？无论在会计，审计和报表问题上。企图影响我们工作的范围或工作的程序。对于集团审计风险也有一些特殊的风险考虑：我们是否清楚会引起第三方对我们的独立质疑的事项，例如这家企业和我们其他的客户之间的重大诉讼，可能引起我们被认为有利益冲突。这家企业，或者企业的主要部分可能将要被卖出吗？如果和其他事务所合作我们的审计结论被其他审计人员信任吗？我们能信赖其他审计人员在合并子公司时所作的实质性工作吗，是否有重要的下属企业或其他的关联方没有审计，客户可能与这些企业发生了重大的关联方交易。

关于会计和交易事项的风险评估也是重点。包括三个方面：商业关系和关联方交易：是否怀疑存在以第三方形式的关联方和关联方交易？这可能影响我们关于企业是否诚实的结论。在员工和厂商之间有不正常的亲密关系，使交易方之间缺乏独立性。

重大的会计事项：是否企业卷入独特的，高度复杂的具体交易造成“实质终于形式”问题，因为行业的特质存在重大的会计估计，是否与关联方有重大的交易，最近变更有争议的会计政策，是否有重大的非货币交易，是否存在重大的会计报表重述。存在某种明显压力下的报告；企业或企业的主要部分要被出售。管理层在保持或增长股票价格和利润趋势上有过度的兴趣或压力，以至于采取激进的会计政策。企业过度通过期权或红利补偿来激励管理层。使用不恰当的行为减少报告的利润以达到避税的目的。管理者，分析家，债权人，和其他的第三方是否对企业的财务状况有乐观的预测，这种预测建立在明显的过度的激进或不切实际的分析上，或者是建立在对市场的过高的预期上，这种预期是根据过去的收入和价格而来。是否企业的增长已经到了财物资源的限度。是否企业的履行能力急剧的下降当企业的财务状况恶化时，存在管理层担保的重大债务。财务报告会对重大的未决交易带来潜在的不利影响（例如企业的联合和合同的签订）是否企业有一个不盈利的重大项目。

三、审计风险的初步评估

现在开始讲审计风险的初步评估。这部分非常重要，审计风险有种分类：抽样风险和非抽样风险，非抽样风险当中容易对审计质量产生致命危险的是管理当局的欺诈和舞弊风险。现在有一种审计理论是管理舞弊导向审计，我个人认为，这种理论还是有一定局限性的，或者说还不是很完善。首先从范围来看，形成审计失败的原因很多，管理当局舞弊无疑是最主要的原因之一，但决不是唯一重要的原因，打个比方，飞机失事的原因很多：机械故障、操作失误、天气、劫机。机械故障无疑是最主要的原因，肯定是要加以控制，但是其他原因无疑也要同样加以控制，否则后果不可想象，整体的飞行质量控制肯定是全面的全方位的控制，

而不是仅仅大力强调对机械故障的控制。也许有人不服气，说管理舞弊导向审计的重点是管理层舞弊，其他的我也兼顾啊。现代风险导向审计是综合评估企业的经营风险，对管理舞弊风险同样是重点考虑的问题，也提供了详细的发现、控制管理舞弊的理论和技术方法，这些技术方法比管理舞弊导向审计所强调的甚至更深入更全面（也许是管理舞弊导向审计理论倡导者缺少实务届的同仁，理论多一些，操作性差一些），其他的风险同时也被认真的考虑。这样就产生了一个两难的选择，一、如果说管理舞弊审计是以管理舞弊为主要着重点的，其他风险同样被考虑的审计理论，那么管理舞弊导向审计和现代风险导向审计有什么本质区别？管理舞弊导向审计是否有资格独立的成为一种审计理论？二、如果说只考虑管理舞弊这一种关键风险，对其他风险的关注程度是不重要的，那这种理论是不是有先天缺陷的？其次从风险产生过程看，管理舞弊是一种中间风险，不是原生性风险，管理舞弊是审计风险的因，同时是企业现实情况的果，管理舞弊动因是在企业经营情况的基础上产生的，是有更深的源头的，现代风险导向审计是从理解客户的经营开始，然后延伸到各方面，也包括管理层舞弊。因此我一向认为往高层次上讲，管理舞弊导向审计对现代风险导向审计框架中关于舞弊风险的强调，往低层次讲管理舞弊导向审计是风险导向审计一个环节的方法论层面的改进而已，更何况现在还看不到有什么实质性的方法改进。又扯远了，声明，我尊重每一种观点，我的观点不见的正确。

关于非抽样风险我想讲的详细一些，比如关于评估欺诈舞弊风险，对不同的风险表现有22张评估底稿之多。关于欺诈舞弊风险的审计程序也有好几张底稿。毕竟这部分local基本没有形成成熟的审计程序和方法。本来想把审计模型和审计抽样放在后面，现在还是提到前面吧，因为审计模型贯穿始终，不先讲清楚好多底稿没法讲。其他的关于内控测试和报表科目的实质性测试，四大和国内所大同小异，不过是精粗深浅的区别，那部分倒是可以简化一下。新准则实行在即，新的准则极大的扩展了我们的审计责任，基本是按照四大倡导的风险导向审计框架制定的，local所现有的技术方法面临极大的挑战，肯定要进行痛苦的转型，而四大一直是按照风导理论运行的，他们执行新准则不存任何困难。我希望我写的东西对local所的同事形成自己的底稿能有点启发。

审计风险评估首要的是舞弊风险、控制环境风险和签约风险。这三者之间有非常紧密的联系，所以在作底稿的时候是在一起通盘考虑的，一共包括22张底稿，一共是11个方面，每部分的基本结构是一张底稿列出一些风险点的表现，然后另外有张底稿根据不同的权重对其量化，或进一步的执行分析程序，以获得满意的评估结果。在整个评估过程中要考虑两点，1、如果管理当局的诚信存在问题，则需要立即报告合伙人。2、整个评估过程要严格保密，尤其是对管理当局保密。

管理层是否涉及违法、财务报表失真、有组织的犯罪。典型的代表是萨班斯法案的第一案，PWC的客户朗讯中国的商业贿赂案。

是否存在不是必然违法，但是可能给公司带来困难的事件？公司是否经常更换银行，律师和会计师事务所？

为公司服务的中介机构是否存在污点记录？

在管理者的职业生涯中是否发生显著的个人错误？管理当局是否愿意接受意外的高水平的风险？

管理是否由个人意愿支配或集中于一个小团体而没有相关约束？例如董事会的监督或者审计委员会。

是否存在第三方实际控制的情况？

是否最近在管理层中发生了重大的或未预期的变化，在可以预期的将来是否会发生这种变化。

管理层是否缺乏经验？

是否非财务的管理者在会计原则的选择上或在重要事项评估的有较大的影响？ 2、财务报告可靠性的考虑。

公司是否采取了有争议的会计政策？管理是否倾向于攻击性的解释会计标准？

管理是否愿意接受审计人员提出的会计记录的调整？我们是否发现没有实质性经济理由的交易的存在？

我们是否发现在正常的商业过程之外的重大的关联方交易？是否管理当局，显著的不恰当的追求收入或利润的增长目标？

是否公司正在计划或谈判新的重大投资，会对财务报告产生重大影响？是否公司采用或者未能充分披露有争议的会计政策？ 3、会计信息系统

是否会计或数据处理部门没有适当的人员？

用于帮助职工完成他们职责的资源（例如个人电脑、资料处理、临时人员）不能获得或不足够？

是否有明确的职位说明书，包括具体的职责，报告的责任和约束机制？是否与职工有效的沟通？

过去的审计资料是否表明重大的错报或企业在年终时做重大的改正纪录。管理层是否存在对规章制度的漠视。

是否管理层继续使用一个有效的会计系统、信息技术和内部审计。是否过去的审计表明对管理层报酬缺乏支持性证据？ 4、组织结构

是否组织结构过度复杂是否客户经历了快速的扩张是否客户最近兼并了其他企业

是否客户拥有大量的分散的运行实体

是否报告结构过度复杂，包括大量的或不正常的法律实体，或者无商业意图的契约安排。 5、管理结构

是否控制程序与企业的规模和性质不相适应，是否我们清楚地了解需要考虑在监督和管理方面能力的原因。

在资料处理过程和会计职能中是否存在不充分的监督和管理?

6、高管层的控制方法

11、持续经营

是否流动性不足？资金需求是否超过需要？是否有大量的债务来源不正常（例如关联方）？是否明显违背债务条款或其他的信用条款？是否没有能力支付债务。是否存在重大客户或顾客群的丢失、是否存在资产负债表外的负债责任、是否某种重大的压力下必须获取额外的资本以保证竞争力，包括投资主要研究和发展的资金支持，当收入增长时，企业并没能从运行中产生现金流？是否面临破产或倒闭或对手接管的威胁。

当企业的财务状况恶化时，存在管理层担保的重大债务。财务报告会对重大的未决交易带来潜在的不利影响（例如企业的联合和合同的签订）是否企业有一个不盈利的重大项目。

上面讲的是审计风险的初步评估过程中应考虑的一些因素。我所列出的只是一些提纲性的底稿摘要而已，这种风险的评估过程是比较复杂的，四大在实际执行审计过程中，执行这些评估也往往受制与成本效益原则，比如时间压力、人员经验等。但是基本的评估和风险控制是有保证的，原因很简单，评估过程中有一些风险点是很明显的，比如：公司是否经常更换银行，律师和会计师事务所，是否组织结构过度复杂，等等，这些是比较容易判断的，不需要多少经验。有的可能就不是那么容易判断，比如审计委员会的胜任能力和作用，内部审计的效果。这些恐怕就很难得到比较明确的答案。在整个非抽样风险评估底稿中，大约三分之一是可以直接回答的，三分之一是需要做一些比较简单的补充工作，如行业资料要去网上或事务所的资料库中查找，会计政策的有关问题要和公司讨论。还有三分之一恐怕就不是那么容易回答了，比如公司现金流量是否存在问题，是要在审计过程中根据情况判断，现金流问题往往是比较复杂的，不是那么容易说清楚的，但往往容易出问题，像科龙案例，德勤就是直接栽在了现金流上，像现金流、关联交易等等只是风险的表现，其实科龙问题实质上还

是经营风险问题，在现金流出问题之前，其他的风险标志很明显了，如更换事务所、复杂交易、不明确的关联方、不正常的财务数据、快速的扩张等等，即使不去逐笔审银行也应当被评价为高危客户了，所以说实话我到现在也不明白德勤的team出了什么问题，很多显而易见的标志被忽略了。这三分之一不容易被直接评估的问题，需要整个审计项目组在整个审计过程中关注，即使这样也很难全部取得满意的答案，但是不要紧，对非抽样风险（或者说现在叫重大错报风险）的评估本身就是很难量化的东西，只要有足够的风险标志被确定或排除就够了，通过上述一系列的评估，只是提供给CPA一个判断的基础，不同的事务所不同的CPA可能有不同的判断，万一判断有问题，还可以通过现场审计，审计风险的再评估等补救。

插一句。关于审计师的态度，有一张专门的底稿是关于审计师的态度的，名字叫审计小组的内部讨论（ENGAGEMENT TEAM DISCUSSION REGARDING THE RISK OF FRAUD）。包括两部分：一是关于审计人员的立场和态度。审计人员应该抱着一种怀疑的态度，将认为管理可能是不诚实和正直的。从内外部方面讨论企业因为在财务报告中存在的错报而导致的欺诈。讨论引起管理者或其他人欺诈的动机（例他们收入的重大部分要视财务目标的实现而定）。提供欺诈机会的因素（内部控制的缺乏）。形成了一种环境或文化认为欺诈合理（压力越大，越容易引起欺诈）。管理层不考虑控制的风险等等。二是业务团队专业怀疑的重要性.正当的专业考虑需要审计人员执行审计怀疑。专业怀疑是一种态度，包括怀疑的思想和对审计证据的评估。我们执行审计业务时应该抱一种怀疑的态度，认为存在的错报导致欺诈是存在的，不管企业过去的任何经历，也不管我们是否认为企业诚实和正直。在整个业务过程中我们都需要这种怀疑的态度，认为欺诈可能发生。在汇总和评价证据时，我们不应该仅仅满足于说服性证据。

审计风险的初步评估就像在隔皮猜瓜，有点像医生诊断，存在很多不确定性，没有什么万无一失的灵丹妙药，可以把客户看得透明，至少医生还有X光＆B超啥的，其实医生的判断也是评估各种标志（检查指标），CPA判断也要看各种标志（前面说的各种底稿）。我不是说做了这些底稿就是万能的，我介绍的只是主要的结构，是评估风险的示意图，真正做起来还是比较复杂的，实际执行的方法也是常见的询问、检查（文件支持）、实地观察、比较分析（横向的，行业性的比较；纵向的，各年度变动分析）、咨询专家工作等等，具体怎么执行就很灵活了。审计师就是那么十八般武艺，四大也不是有什么特别的审计方法，但是四大的审计风险评估是建立在整体性严密的审计方法和审计逻辑之上的，在一大堆各种各样的问题下，客户很难把问题掩盖的很严密，在初步评估中发现的风险点要有跟进的审计手段，你对某个问题的评估是高风险，自然会有其他的审计程序补充上来，这都是在软件里面实现的，全展开讲不太可能，说实话我也没有彻底搞清楚审计软件里那些无穷无尽问题的全部来源，这些底稿也是在不停的更新的，估计明年新准则实行后会有一些变动。说到底评估这些风险点，关键还是看客户的经营存在什么风险，还是那句话，最大的审计风险是客户倒闭的风险，只要客户不倒，审计风险总是有限的，历史上历次审计失败的著名案例，无不是客户经营失败导致的。

如果说国内的事务所没有这方面的考虑，肯定是不公允的，但是各位同仁可以回想下自己的事务所是怎么做非抽样风险程序，重大错报风险是怎么控制的。我觉得就像前面我介绍审计方法的发展中所说的，LOCAl所更多是为获得证据的计划而做风险评估，而不是将非抽样风险评估本身作为审计程序和审计证据。另外客观来说，LOCAL所能揽到业务就不错了，很多审计项目连内控了解和测试都是不作，这些非抽样风险更是被忽略，更多的是指望通过辛辛苦苦的审计现场工作来解决项目的风险，即使再有经验的同事，也受制与时间效益原则、客户经营复杂程度等等，在一定程度下就无法通过经验性的东西来解决风险。最后举个比喻来对这方面做个总结吧。审计风险好比是雷区，比较省劲的做法是事先观察，

指出雷区的范围，比如发现这片地有被炸死的兔子（风险标志），不用问大家绕路就事了。比较费劲的是拿起探雷器一路闷头走下去，见雷挖雷，见路开路。这个比喻不见的恰当^_^。所以说，一个客户看起来非常不可靠，审计师不是把他的问题都审出来，而是敬而远之。而非抽样风险的评估就是我了解了解客户是否可靠，在接新客户的时候就看出来并排除掉这种风险，到了审计现场工作的阶段，审计师不应该再在这个领域太用力了，而应该主要关注那些常规的可能出错的领域。

关于抽样风险四大是通过审计风险模型来控制的，首先了解公司的经营和内部控制，分循环来了解描述内部控制，来确定不同业务循环的固有风险水平，进行内部控制测试，来量化风险确信度，确定实质性测试的样本量，所以审计风险模型、内部控制、审计抽样是紧密联系在一起的，我打算整理在一起讲，还是那句话争取尽快贴上来。

关于抽样风险四大是通过审计风险模型来控制的，首先了解公司的经营和内部控制，分循环来了解描述内部控制，来确定不同业务循环的固有风险水平，进行内部控制测试，来量化风险确信度，确定实质性测试的样本量，所以审计风险模型、内部控制、审计抽样是紧密联系在一起的。

说起来审计风险模型（ARM）由来以久，最早出现在1933年，通过准则的形式确定下来是1972年，ARM首次以等式的形式出现在AICPA“审计程序说明”第54号《审计师对内部控制的研究和评估》的附录B中。审计师开发审计风险模型来“确立”不同类型的风险的定义和相互关系，以帮助对详细测试的样本规模进行计划。所以说审计风险模型只是针对抽样风险，请始终记住整个20世纪下半叶的审计失败的重要决定因素一直是对非抽样审计的控制不够。

目前审计风险模型分两个层次：会计报表层次的和帐户余额层次的，两者有所区别。会计报表层次的ARM ： AUR = RMM X DR 此处：审计风险 (AUR) = 当财务报表发生重要错报时，审计师发表不恰当审计意见的风险。重要错报风险 (RMM) = 财务报表经审计之前发生重要错报的风险。检查风险 (DR) = 错报单独或连同其他错报是重大的，但审计师未能发现这一错报的风险。重要性水平 = 会计信息漏报或错报的规模，这一规模在特定环境下可能会改变或影响理性使用者依赖这一信息所做出的决策。

由模型可以看出审计风险(AUR) 由以下两个方面共同决定：(a) 财务报表在经过外部审计之前是否存在重要错报（即首先重要错报是否存在）；(b) 如果重要错报存在的话，审计师未能在审计中发现重要错报的概率。由于各种各样的原因，审计师不可能很确定地知道 (a)的情况，因此审计师在审计之外通过认识和评估多种“状态”来评估重要错报风险的存在，这些状态的存在可能会增加风险，也有可能揭示出真实错报的存在。根据美国现有权威指南，重要错报风险“独立于审计而存在#”，审计师根据职业判断来对其进行评估。我们国家现在最新的审计准则也采用了上述的审计模型。报表层次的ARM模型是理论性更强一些，实际工作中指导审计抽样的是报表余额层次或交易层次的ARM。报表余额层次或交易层次的ARM : AUR = IR x CR x AP x TD

在交易类别或者账户余额层次上将重要错报风险RMM进一步分解为两个单独的风险类别：固有风险 (IR) = 假设没有相关内部控制，某项认定易于发生重要错报的概率。控制风险 (CR) = 公司内部控制未及时发现或阻止并更正某项认定发生错报的风险，这一错报可能单独或连同其他错报是重大的。根据审计程序的性质，审计风险模型将检查风险进一步分解为两个单独的风险类型：分析性程序风险 (AP) = 分析性程序或其他相关实质性测试未发现某一项认定中存在重要错报的风险，这一错报已达到可容忍错报水平……。详细测试风险 (TD) = 错误地接受对某项认定的实质性详细测试结果的风险……

审计师可以利用这一模型得到实质性详细测试的误受（某项认定）风险： TD = AUR/(IR x CR x AP)

设计统计样本的审计师可以利用这一关系来确定某项实质性详细测试所允许的误受风险。就是说审计师需要对详细测试（TD）进行定量的概率计量（即允许的误受风险）以便根据概率法则使用公式计算样本规模。

美国审计准则(SAS)第39号“审计抽样”给出了如下的审计风险模型等式和解释: “这一模型表达了风险（包括审计师对固有风险和控制风险的评估）与分析性程序和实质性详细测试之有效性的一般关系。”“这一模型并不打算成为一个包括所有（可能影响风险组成的）因素的精确公式。”

定量的概率计算的数理统计的理论和实务现在已经比较成熟，审计确信度（即允许的误受风险）可以以百分比方式表述，也可以以系数方式表述。审计确信度系数越大，审计风险水平就越低。在一般情况下，最低审计确信度系数为3，相应的审计确信度为95％，此时可接受审计风险为5％。

TD和审计确信度系数的关系。如下表所示：审计风险和审计确信度系数关系表审计保证

程度系数以百分比表示的审计确信度以百分比表示的审计风险定性描述的审计风险

0 0 100％高低

0.7 50％ 50％ 1.0 63％ 37％ 1.3 74％ 26％ 2.0 86％ 14％ 2.3 90％ 10％ 3.0 95％ 5％

相应的风险策略矩阵如下：检查保证

程度系数固有保证程度系数 0 1

控制保证程度系数 0 检查保证程度系数为3，应实施详细检查检查保证程度系数为2，应实施较大量的实质性测试

1.3 检查保证程度系数为1.7，应实施较大量的实质性测试检查保证程度系数为0.7，可实施较少量的实质性测试 2 检查保证程度系数为1，应实施较大量的实质性测试检查保证程度系数趋近于0，少量抽样检查即可满足要求

2.3 检查保证程度系数为0.7，可实施较少量的实质性测试检查保证程度系数趋近于0，

少量抽样检查即可满足要求

内控调查发现存在特定风险时，固有风险保证程度系数为0；不存在特定风险时，固有保证风险程度系数为最大，取值为1。

根据内控测试结果，确定控制保证程度系数值：内控风险为高，不依赖内控时，控制保证程度系数为0；内控风险为较高、中、低时，控制保证程度系数分别为0.7、1.3、2、2.3、3。在四大工作过的同事都知道，算样本量的时候使用的R值（审计确信度）只有0.7、1.3、2、2.3、3,一般来说很少用3，固有风险和控制风险都是最大了，这个客户干脆就别做了，我记得有一段时间用过0.3,后来放弃了，1.3和2.3也很少用，至少我工作的这家没有用过。我相信许多在四大的同事也只是机械的执行这些数据，而不知道为什么取这些数据。

上篇所讲的报表和交易层次审计风险模型最重要的作用是确定实质性测试的样本量，计算公式是 P×R

J ＝ ―――――― MP

J是实质性测试的样本量，P是审计的样本总体，比如主营业务收入的总额、存货的总额，R是上面所说的保证程度系数，MP是报表和交易层次的重要性水平。

具体这个模型怎么用说来话长。基本程序是：1、确定可接受的审计风险。一般是很低的最多就是5％。2．评估确定固有风险。如果没有特定风险就是1，有特定风险了就是0，比如KPMG审计科龙现金流的时候，cash科目的固有风险就是1了。3．通过了解和测试，评估确定控制风险。就是确定R。4．按照风险模型，计算样本量，并在此基础上，确定适当的实质性测试程序、范围和程度，以及适当的抽样检查规模。

看起来挺复杂，其实也简单，1、2是比较容易确定，关键是第三步，包括确定R和MP。确定R值涉及对内部控制的了解和测试，我在下一章以当年技术部发的审计指引为基础详细讲内控的了解和测试这里只是讲如何确定R值。上面讲过，R有几种不同的取值，用最简单的话来说，当年我在四大的时候实际上使用过的R值只有0.3、0.7、2、3四种取值：如果内部控制不可信，R取3，像科龙的cash，肯定是取3，其实这时也不用做抽样了，全面检查就是了，不过这种情况很少，四大一般是不接这种客户的，科龙是特例中的特例。如果通过了解内部控制设计是可信的，但是没有做这一循环的内控测试（Compliance tes）的话，R取2，这种是有前提的，一般我们是把内控分成不同的循环，新接客户的时候是所有的循环都要做Compliance tes,后续审计的时候一般是每年轮流做Compliance tes，一般最多三年所有循环测试完一遍，这样当年没有测试的循环R就取2，但是上市公司、IPO是全部测试的。如果内部控制设计可信，并确内部控制测试没有问题，R取0.7。只有在非常信任客户的情况下才用0.3，但是后来就不让用了，我还记得当年interim用的0.3，final全部改成0.7，补了很多样本。从上述公式看出R的取值对样本量有很大影响，R越大，内部控制越不可靠，样本总体越大，样本量越多，要做的实质性测试越多，J和R是正相关，这是符合审计风险逻辑的。

对样本量有重要影响的还有MP，科目余额和交易层次的重要性水平。审计风险模型的基础是信赖内部控制和重要性原则，他们每个项目都要计算重要性水平，每个科目根据重要性水平计算样本量，抽样时根据重要性水平选样本，对差异事项根据重要性水平判断是调整、忽略还是记录在应调未调事项……总之重要性原则贯穿审计始终。MP的计算同时受其他对审计风险估计、企业类型、内部控制评价结果等底稿的影响，具体计算方法和审计课本几乎一样，先计算报表层次的PM （planning materiality）如收入的1％～2％、税后利润的5％等等，但是他们是要考虑所得税的影响，比如根据收入计算的结果是100万，所得税率30％，

则100/(1-30%),PM＝143，他们对重要性水平采用不分配的办法，以PM乘以一定的安全边际，一般是75－90％，作为交易和余额的重要性水平MP（monetary precision）,所有科目使用的MP都是一样的。在审计风险模型中，MP越大，样本量越少，MP越小样本量越大，MP与J呈反向变动。有的朋友可能有疑问，MP不分配，每个科目使用的一样大，那整个报表的PM是不是太大了。其实不会，尽管MP不分配，但是实际使用中掌握的调整标准很是很严的，一般2％以下才能被忽略，2％－15％要进未调整事项表，15%以上的就要调整了，未调整事项表也有一套评估程序，讲到报告阶段再详细讲吧。比如你测试的差异，像无形资产摊消，你的数和客户的差异只要超过MP的2％，就不能被忽略了，就要进应调未调表了，还要进声明书了。

这样整个审计风险模型就讲完了，只是个简单介绍，还是那句话画个示意图而已，下一部分我讲审计抽样，把所有的抽样归类整理，如固定样本抽样、模型变量抽样、总额控制变量抽样。属性抽样、实质性性抽样，不同的抽样方法都详细讲讲。

审计抽样的理论和实务现在已经非常的成熟了，判断抽样差不多在审计萌芽阶段就出现了，统计抽样则要晚的多，涉及统计抽样审计的出版物最早出现在1933年，在1978年的AICPA的一个非正式的出版物中对统计抽样的作用做了总结：统计抽样帮助审计师回答了关于审计程序之性质、范围和时间的三个关键问题中的一个。通过在详细测试中使用统计抽样而不是判断抽样，审计师可以更加客观地确定测试范围。但是在实务应用中至今审计抽样仍存在很多的问题，我的理解是审计抽样的问题不是技术层次的，而是执行层次的，来自客户的、审计方法体系的、项目成本效益压力、事务所风险控制理念等等因素影响审计抽样的效果。现在的现状是四大所基本是以统计抽样为主、辅以判断抽样。Local分两个层次，好一些的大型事务所以判断抽样为主，辅以任意抽样；大多数的中小事务所，以任意抽样为主，辅以判断抽样。先说四大，他们的方法和审计教材上的基本一致，略有区别。审计抽样有两种不同的分类，从性质上分为属性（内控）抽样和实质性测试抽样，从方法上分为固定样本抽样和变动样本抽样，变动样本抽样还分为审计模型抽样和总额控制抽样。抽样的技术方法包括累计金额抽样、分层抽样、随机数码表抽样、软件抽样等等。这些都是四大实际在用的，不是停留在书本上的。我画了个图表来表述一下四大审计抽样分类。内控测试抽样是种固定样本抽样，按照某个内控循环的交易频次来确定样本量，四大中有两种不同的方法，一是按照日交易频次，二是按照年交易频次，两者实质上是一样的，形式略有差别。某个循环日平均交易频次在一次以上的，或年交易频次在1000以上的，（四大的标准略有差异，这是我服务的那家的标准），至少抽40个样本，日平均交易频次在一次以下的，或年交易频次在1000以下的，至少抽25个样本，在抽样中，如果发现一个样本错误，则扩大三倍的样本量，再发现样本错误，则该内控循环不可信赖，需做详细测试。IPO业务中有些重要的循环即使达不到年交易频次1000，也会抽40个样本。至于为什么选40和25，说来话长，简而言之像前面讲的审计确信度的取值是一样的，是长期的数理统计的结果，说实话我也没彻底搞清楚，涉及很深的高等数学的知识。其他的都是实质性测试的抽样了。

变动样本抽样包括两种：1）审计模型抽样，就是按照前面说的审计模型，计算J的值（就是样本量）。这是最常见的实质性测试的抽样，基本是每个科目都要做的，除了常规的抽样之外，还有一些国内所不常见的抽样，比如存货盘点的日期如果和截止日相差的时间比较长，从截止日到盘点日之间的收发货记录除了数量倒推一致之外，同时也要做抽样测试。2）总额控制抽样，典型的就是应收账款的替代程序。应收账款函证的样本量是用审计模型算出来的，如果函证不回，有一种方法是执行函证的替代程序（Debit side alternative testing），就是抽查存货发出，确认应收款的原始凭证，先检查期后收款，然后检查期前入帐凭证，样本量

是不固定的，一直到抽查的样本合计金额与函证应收款余额相等为止，当然有时可以宽松一些，可以coverage到80％左右。有一种极端的情况，关联方的函证是不抽样的，全部统统发掉，并且关联方函证不仅仅是余额函证，是交易式函证，包括期初余额（初次审计），本期交易（购销等等），期末余额。

固定样本抽样零零星星的分布在各个科目的审计程序中。

最典型的是截止性测试的抽样。需要进行截止性测试的科目还是非常广泛的，主要是cash、往来科目、存货、收入、费用。实际上上述的截止性测试是一回事，我引用一段金十七先生的话“收入的截止性测试，以确保应收帐款的截止性也没有问题。其实，由于应收帐款是收入和销售回款两种业务共同作用的结果，要想保证应收帐款的截止性没问题，既要看收入的截止测试，也应该看销售回款的截止测试。那么，销售回款的截止测试是什么呢？其实就是审阅银行调节表。而收入的截止测试，往往在存货出库的截止测试中就包括了。”但是也要各个科目分开来做，有时应收和收入的可以相互替代，但是其他科目是不能相互替代的，抽样方法就是高估和低估（os&us）两个方向，在截止日之前和之后最后和最开始的三到五个样本，这样就是合计12－20个样本做截止性测试。以下引用再引用金十七的一段话“一个问题是为什么是最后和最开始的五张，而不是十张？其实这是无所谓的。只不过由于在截止性测试里，审计师是担心有记串年份的错误，所以最容易出错的就是这最后和最开始的若干张。如果这五张都没有错，后面的发生错误的可能性就非常小了。如果在这前后五张里发现有错怎么办？扩大抽样呗！我们担心不担心在这前后五张里没有错误，但是第八张反而记错了呢？这哪有不担心的呢。不过，要知道意外总是难免的，你又何苦一直担心。如果因为这个缘故，我们就要检查前十张后十张的话，那假如第十二张又出错了怎么办？唉—呀—，这可叫我怎么办呐——！其实这种担心是没有必要的。我们这个截止性测试，并不是用来防止那种非正常错误的。试想，如果一个企业的会计，能够清醒地处理好前后五张而没有一丝一毫错误，为什么他要在第八张、或者第十二张上犯错误？假如他是故意的话，他完全可以提前半个月这样做，甚至提前几个月做假。要是这样的话，可能审计师查上前后一百张也发现不了他的错。”

在这里插一句，金十七先生的审计一家言（让数字说话），是我见过的最好的审计教材，他就是以四大的审计方法为基础写的让数字说话，在他正式出书之前，电子版已经在四大的同事中广为流传，我建议大家一定要去买一本，其实电子版里包含的内容大大超过正式出版的版本，还包括金先生写的内部控制的详细指引、存货的指引、一些底稿模板等等，大概那些内容涉及KPMG的秘密，所以出版的时候删掉了。说的夸张一些，对我来说那就是审计圣经。我给我们所的新同事做培训的时候就是以审计一家言为教材。我真是从心底里佩服金先生。

补充一下审计抽样。

典型的变动样本抽样还包括查找未入帐的应付款项（Search for unrecorded liability），包括四个方面的抽样unprocessed invoice、after period payment、purchase & expense，主要是通过检查期后的付款和发票的处理，追查到原始单据以确定入帐期间的正确性，这种方式样本量也是不固定的，但是我记得没有严格的样本量计算规定，样本量取决于外勤工作日和截止日间隔的时间，主要是集中在截止日后的一两个月，但是至少要抽查5个样本，这种抽样和cut off抽样的区别是：期间不同，cut off是期前和期后，Search for是期后。方向不同，cut off是双向的os&us test，search for是单向的，主要是从帐面找到原始凭证。样本选择不同，cut off是期后最前和期前最后的几张凭证，search for 是要期后一段时间的凭证。

固定样本抽样还包括一些特殊的审计程序，如关联方定价的抽样，把尽量相同时期、相同产品、相同批量的对关联方和第三方的销售价格或采购价格做一下对比，以检查关联方作价是否公允，一般是根据样本总体大小，抽5、10、25、40个固定样本。有的时候对HR的政

策、工薪支付的批准等进行特别测试的时候也是做固定样本抽样。再就是金额倒推的抽样，我们再审计中会遇到一些审计外勤日和截止日有差异的情况，比如存货盘点、银行余额调节、固定资产盘点、有价证券盘点、票据贴现等等，我们通过盘点等程序可以取得审计外勤日的证据，但是不能直接证明截止日的数据的真实性，还要证实截止日和外勤日之间发生的数据的真实性，这就是金十七先生所说的审计逻辑线条要完整，因此对于这类问题，四大是做Rollfoward test和 Roll back test，通过审计抽样来证实截止日和外勤日之间发生的数据的真实性。当然也要看是否够重要性原则，12月30日盘点，到12月31日，只发生了很少业务，那就没必要再roll了。Local所一般是把数据调节一致，除了银行调节表之外，很少再做进一步测试了。抽样的技术方法主要有5种：

分层抽样，大于MP的全部抽查，小于MP的再用随机数码表等方法计算抽样。其实分层抽样是一种判断抽样。随机数码表抽样，这个大家都很熟悉，不多说了。累计金额抽样，先把全部样本列在一起，从头开始累加，当累加值超过MP的时候抽最后一个样本，同时总额减MP，余额继续累加下一个样本，超过MP的时候再抽一个样本，以此类推。软件抽样，把全部样本剔除计提、结转、摊消等通过抽样无法直接证实的凭证，整理好格式，输入软件，同时输入MP，R等，由软件确定抽样样本。判断抽样，不多说了，绝大多数同仁都会用。等距抽样一般很少用。

Local所的抽样分两种层次：一部分大型的事务所，主要是以判断抽样为主，主要是凭审计师的经验去抽查大额异常的交易。以从中发现或排除问题。然后辅以任意抽样。抽样的范围也主要是限于实质性测试的抽样。符合性测试的抽样几乎是空白。目前我还不知道国内哪家事务所使用了量化的统计抽样模型，也许是我孤陋寡闻，但是我曾经和立信长江、信永中和、岳华、京都、天职、中审等等这些国内一线的大所的同仁讨论过，他们也是主要用判断抽样，可能是因为和中信永道有历史渊源的缘故，信永中和曾经使用过一段时间的统计抽样，但是后来也不用了。其他的很多中小事务所的审计抽样我引用一段张连起先生的话吧。“无论审计项目的大小，审计人员进入现场后，既缺少调查问卷，又没有穿行测试，直奔账簿、凭证而去，先是总账、明细账加总核对，然后抽查几笔业务，复印几份合同，最后轻易地得出结论。至于严格的统计抽样技术，几乎不被采用，如果非要归入抽样审计层面，连实施判断抽样都较少，多数仍属于任意抽样。”

我对审计抽样的问题做个总结吧。

先说四大，我倒是不认为四大的抽样质量超过local。甚至我认为四大的审计抽样是存在严重问题的，问题出在两个方面：第一方面从他们的技术方法上，如果发现了抽样有问题，就要做很多很多的工作，如内控抽25个样。发现一个问题就要抽75个样，再发现问题就不能再抽样了，就要全部检查，在这种环境下，如果发现问题几乎每个人都会换个样本，以避免麻烦，这还有个专有名称－“放飞机”，也发展出了“打飞机”。在实质性测试中发现了问题，同样要证明其他所有的样本是否存在或不存在这些问题，很多情况下这根本就是不可能的任务。第二方面：判断抽样需要审计师的经验，四大低级别的staff普遍经验欠缺，导致判断抽样的效果打折扣。飞机的存在和四大派经常小朋友去现场是最多被人所诟病的，这不是空穴来风的，是有一定道理的，还是那句话，我很客观，四大的优点我会介绍给大家，四大的问题我同样会原原本本的展示出来。后面我还会专门总结，刚进四大的时候我很不习惯，随时把我的困惑记录下来，现在看整理一下就算是四大的问题汇总了。现在四大也采取了很多方法对放飞机加以控制，执行很多打飞机的做法，比如，请客户把抽的样本传真过来，和底稿对应一下；专门派人抽查抽样的问题；鼓励举报等等。实际上四大对于放飞机、埋地雷的处罚还是非常严厉的，一经发现开除没商量的，我就亲眼见过，因为放飞机整个team被delete

掉了，从senior到A1A2统统开除，但是在目前这种环境下四大的飞机是很难杜绝的，有点像韩非子楚人淘金那个故事。

Local所的审计抽样同样存在问题，中小事务所的就不说了，大所的抽样也存在问题：首先判断抽样本身是有一定的局限现性的，受制于审计师的判断能力、经验、品德、时间精力等因素，如果没有相应的控制措施，审计质量同样存在问题，比如最常见的，不论这个循环的内控可靠程度怎样（很多情况下是没有做了解和测试），不论科目的金额大小，样本量多少取决于审计师的勤勉程度，而不是方法控制，很难体现审计逻辑，更多是种经验判断。其次，当样本总体足够大的情况下，判断抽样就失去了实施的基础，比如金融企业，银行的存款业务发生额是几十几百万笔，你怎么判断？证券公司一个营业部的开户就是几万十几万，你怎么凭经验从中把异常的帐户都找出来？即使是一些大型的制造企业，比如汽车制造、电子产品制造企业，应收账款也是轻松就是上万笔，应付账款更是往往excel表都放不下，存货RM、CIP、FG也是举不胜举，凭判断怎么确定样本？

四大的长处是统计抽样的模型控制、抽样方法、抽样的涵盖范围等等，问题是实际执行中的有意偏差（放飞机）。Local的长处是经验判断可以帮助发现问题，执行中一般没有故意的偏差。弱点是没有完备的统计抽样控制方法，经验判断的质量存在不确定性。也就是说四大的在整体审计抽样体系方面优于local所，实际执行质量不如local所，local所在具体抽样质量高于四大，但是缺乏完备的审计抽样体系，这里有个前提，四大同时通过非抽样风险控制、内控评价、大量的实质性的分析程序等等来控制审计风险，local所主要是通过实质性的抽样来控制风险。

后面我贴了一张四大的审计抽样的分类表。

5、10、25、40个样本

5、10、25、40个样本 3、5

固定样本抽样

变动样本抽样

审计模型抽样总量控制抽样

Compliance Test 25或40个样本

内控测试抽样

特别抽样（HR等）关联方定价抽样 detail test cut off search for

实质性测试抽

样

Stock Count Roll Alternative testing on credit side confirmatioin

审计模型抽样

总量控制抽样

审计模型抽样审计模型抽样

总量控制抽样

关于内部控制，我想分两部分来写，第一部分是目前内部控制的一些理论的整理，这

部分尽管资料已经非常丰富了，我想还是先说几句，把与审计有关的内容换个角度再说一下。第二部分是以四大的内部控制审计指引为基础，写写四大的内部控制了解与测试的内容。有很多事务所的同仁对内部控制有个误区，以为内控就是那几个业务循环，其实销售收款、采购等等循环最多是内控框架下的控制活动而已，所以我想先介绍一些内控的基础，这部分是纯理论的，但是我认为对于理解现代风险导向审计是有帮助的，我看过了，新的审计准则也是以此为基础的，另外上交所和深交所也出了上市公司的内部控制指引，也是以COSO

为基础的，萨班斯法案也是以COSO为基础，因此多了解一些coso，对于做这方面的业务是有帮助的。

目前关于内部控制的理论的圭臬是COSO报告，包括COSO1《内部控制整体框架》和COSO2《企业风险管理框架》。

美国Treadway委员会所属的COSO于1992年提出、1994年予以增补的报告《内部控制整体框架》coso1，因其在内部控制理论研究方面所做的重大贡献，堪称内部控制理论研究的圭臬和瑰宝。。COSO报告的成功无疑得益于其科学的研究方法和工作程序。通过七个阶段的研究过程和文献研究法、专家访谈法、问卷调查法、实地测试法等方法的综合运用，COSO报告既做到了理论上的不断完善，又兼顾了实务上的现实需要。以下着重分析C0S0报告的主要内容，并阐述其对内部控制理论研究和实务操作所具有的重要意义。

COSO1报告的主要内容:COSO报告为内部控制给出了一个通用定义，阐述了内部控制的各个组成部分，客观地指出了内部控制的局限性，并明确了不同人员在内部控制中的角色和责任。另外，它还以附录的形式介绍了研究背景和内部控制定义的不同视角。

1．内部控制的定义。由企业(entity)管理人员设计的，为实现营业的效果和效率、财务报告的可靠及合法合规目标(objectives)提供合理保证(reasonable assurance)，通过董事会、管理人员和其他职员(Personnel)实施的一种过程(Process)。此定义较为宽泛，具有很强的综合性，广泛包容了适用于所有企业的多个项目。从此定义出发，可以得出财务报告控制、合法合规控制、营业单位控制、业务控制等定义，也可具体到时点上静态地定义内部控制的有效性。而内部控制与目标的一般联系为特定目标、特定业务的内部控制定义的推断提供了基础。例如，销售业务的内部控制可定义为“由销售副经理和其他职员实施的，为企业19X X年销售预算目标的实现提供合理保证的过程”；财务报表编制的内部控制可定义为“由企业董事会、管理人员和其他职员实施的，为财务报表编制的可靠性提供合理保证的过程”；政府合同法的一致性内部控制可定义为“由企业董事会、管理人员和其他职员实施的，为政府合同法的一致性提供合理保证的过程”。

在这个定义中，有四个基本概念：目标(objectives)、合理保证(reasonable assurance)、职员(Personnel)、过程(Process)。换言之，内部控制最精炼的表述即：职员为达成目标提供合理保证的过程。关于在整个管理过程中有哪些内容属于内部控制，COSO报告进一步通过表1—1进行了列示，使得后文五个内部控制组成部分的提法顺理成章。

2．内部控制的组成部分。COSO报告认为，内部控制有五个相互联系的组成部分(Components)：控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与沟通(Information and communication)、监控(Monitoring)。其中：

（1）控制环境是指职员履行其控制责任、开展业务活动所处的氛围，包括职员的品性(如操守、价值观和胜任能力)和经营环境。它既是推动企业发展的动力，也是其他组成部分的基础。

（2）风险评估是指对影响作业目标实现的相关风险的辩认和分析，其前提是目标的确定。（3）控制活动是指企业制定并予以执行的政策和程序，以帮助确保其用于处理影响目标实现的风险之管理人员指令(directives)得到有效落实。

（4）信息与沟通是指以一定形式和时间结构(time-frame)辨认、获得的，为企业员工在执行、管理和控制作业过程所需的信息，以及信息的交换和传递。

（5）监控是指评估内部控制运作质量的过程，包括持续性监控活动(Ongoing monitoring activities)和个别评估(separate evaluations)。这里的持续性监控活动是指营业过程中的例行监督，包括管理人员的日常管理和监督以及职员执行职务时所采取的其他行动。这里的个别评估又称间歇性评估，是指事后直接针对内控系统的有效性用全新的视点进行的评估。

3．内部控制的局限性。COSO报告承认，内部控制并不是“包治百病的灵药(panacea)”。即

使设计和运行得再好，内部控制基于其固有的局限性(Limitations)，也只能提供董事会和管理人员以合理保证实现企业目标。内部控制只能提供合理保证而非绝对保证，这与没有一个系统总能如愿以偿的事实同样不容置疑。即便在合理保证这一层面上，内部控制的运作水平也视目标而异。例如，就营业的效率和效果目标而言，内部控制可以帮助确保管理人员注意到所取得的进展或进展的不足情况，但它对目标本身的实现甚至连合理保证都提供不了。 COSO报告将内部控制的限制因素归纳为以下几点：①职员在与内部控制有关的决策中进行判断可能有错误。职员必须在有限的时间内，利用手头的信息，顶住业务行为的压力进行决策判断，出错的可能性是存在的。②职员可能出现差错或错误。职员可能会由于粗心大意、心神烦乱或疲劳而误解指令或出现判断失误。另外，临时替换休假或生病职员的新手和系统变化后未及培训的职员也可能出错。③管理人员逾越内部控制是可能的。管理人员可能会为了个人利益，或粉饰财务状况和合法合规性，而逾越规定的政策或程序。④集体合谋和进行掩盖可能导致控制失败。集体合谋和进行掩盖的有关人员通常有机会改变财务数据或其他管理信息，但又不一定能为内部控制所发现。⑤资源通常是有限的，须考虑建立内部控制的相关成本。过多的控制花费昂贵且影响效率，但过少的控制又要使企业饱受风险的侵扰。在有限资源的限制下，就必须进行内部控制成本效益的权衡和决策。

4．不同人员在内部控制中的角色和责任。COSO报告对不同人员在内部控制中的角色和责任(Roles and Responsibilities)进行了界定。其中，企业内部每一成员在实施内部控制方面都扮演着一定角色，对内部控制也都负有一定的责任；而企业外部团体对企业目标的实现有所帮助，并能提供影响内部控制的有用信息，但其并不直接对内部控制系统的有效性负责，也不是内部控制系统的一部分。（1）COSO报告具体指出：①企业的董事会及其审计委员会通过对内部控制系统进行监察，深入地涉足到内部控制当中。②管理人员对企业的内部控制系统负责，而首席执行官(CEO)对内部控制系统负最终责任并拥有系统的名义所有权。③尽管所有的管理人员在控制其营业单位活动中都扮演着重要角色并负有责任，但其中财务和会计人员在管理人员实施控制的方式中处于中心地位，负责防止和发现欺诈性财务报告，提供有价值的信息。④内部审计人员在评价内部控制系统的有效性并进而增强内部控制系统的持续性效果方面扮演着重要角色，但建立或维护内部控制系统并不是其主要责任。⑤企业其他职员在实施内部控制方面也扮演着一定角色，如提供内部控制系统所用的信息或采取其他行动实施内部控制，同时，也有责任向上层汇报营业中的问题以及违规情况，通过职务分离实现牵制和制衡。

（2）COSO报告还指出，企业外部团体通过与企业采取对应行动对企业目标的实现有所贡献，而其提供的信息也是企业的内部控制活动所需要的。其中：①外部审计师对企业财务报告目标的实现所起的作用是其他外部团体所无法比拟的。②立法机构和监管组织通过对建立内部控制进行强制要求或对特定企业进行检查，使企业有压力建立内部控制系统以满足最低的法律法规要求，并为企业提供内部控制系统需用的信息以及内部控制系统改进方面的建议和指引。③与企业进行交易的消费者和供货方，还有财务分析师、债券评级机构和新闻媒体，也是企业开展控制活动所需信息的重要来源。但以上外部团体并不需直接对企业内部控制系统的有效性负责，也不是企业内部控制系统的一部分。 COSO报告2企业风险管理框架的主要内容

1、企业风险管理定义：企业风险管理是一个过程，受企业的董事会、管理层和其他人员影响，应用在战略制定和企业其他活动中，能够识别可能会影响企业的潜在事件，并将风险控制在风险偏好内，同时为企业的目标实现提供合理保证。这一框架的重要目标就是帮助企业和其他组织的管理层更好的处理在实现企业目标过程中出现的风险。

2、企业风险管理有八个互相关联的要素组成。他们源自管理者经营企业的方式，并与管理过程相结合，这些要素是：

（1）内部环境——管理者设立了有关风险的哲学和风险偏好。内部环境为员工如何看待和处理风险和控制奠定了基础。企业的核心是人员——他们的属性，包括操守、价值观和胜任能力以及员工的工作环境。他们是驱动企业的动力，是所有事务依赖的基础。

（2）目标设定——目标必须在管理者识别可能影响它们的实现的事项前已经存在。企业风险管理保证管理者有一个制定目标的过程，且选择的目标能支持企业的理念并与企业的风险偏好一致。

（3）事项识别——对企业有影响的潜在事项必须被识别。事项识别包括识别各个因素——内部的和外部的——它们影响着潜在事项如何影响战略的执行和目标的实现。它包括区分代表风险、代表机遇和同时代表两者的潜在事项。管理者识别事项间的联系，还可能对它们进行分类以便在企业中创造和强化一种通用的风险语言以及形成用组合的观点考虑事情的基础。

（4）风险评估——已识别的事项被分析以便形成一个如何处理他们的基础。风险与那些可能受其影响的目标相关联。风险同时在固有和剩余的基础上被评估，且这些评估同时考虑风险发生的可能性和影响。一系列可能的结果也许与一个潜在事项有关，管理者需要把他们放在一起考虑。

（5）风险反应——在战略和目标的环境下，管理者选择一种或一些措施使被评估的风险与企业的风险偏好一致。人们确认和评估可能的风险反应方案，包括规避、接收、降低和共担。（6）控制活动——政策和措施被设立和执行来保证管理者选择的风险反应方案被有效执行。（7）信息与沟通——相关信息以一定的形式和时间间隔被识别、捕获和沟通来使员工履行他们的职责。企业所有的层级都需要信息来识别、评估和应对风险。有效的沟通也必须以更广的意义在企业中向下、横向和向上进行。员工需要收到有关其作用和职责的清楚的沟通。（8）监督——整个企业风险管理必须被监督和进行必要的修改。通过这种方法，整个系统可以动态地做出反应，随着环境的变化而变化。监督通过对企业风险管理过程的持续管理活动、个别评估或两者结合来完成。

企业风险管理是一个动态的过程。例如，风险评估驱动着风险反应，同时影响着控制活动，并强调了对信息和沟通需要或企业监督活动重新考虑的必要。因此，企业风险管理不是一个组成要素只影响下一个组成要素的一连串过程。它是一个多方向的反复过程，几乎任何组成要素都可能影响到另一个组成要素。

3、企业风险管理的局限性。有效的企业风险管理不管设计和运行得如何好，只能为企业的目标实现向管理层和董事会提供合理保证。目标的实现受所有管理过程中固有局限性的影响。将这些局限因素归纳为以下几点：

（1）判断：企业风险管理的有效性受人在做商业决策时的弱点的限制。决策必须根据人的判断在有效的时间内，基于所掌握的信息，在商业行为的压力之下做出。根据事后的考察发现，一些决策并不能产生预想的结果，有必要进行变更。

（2）故障：设计良好的企业风险管理也会失灵。职员可能会误解指示说明；他们可能会出现判断的失误；或者他们会由于粗心、分心或疲劳而犯错误等。

（3）共谋：两个或更多人所进行的合谋活动会导致企业风险管理的失败。为避免被察觉，人们往往集体行动，他们可以更改财务数据或是其他的管理信息而不被企业风险管理过程识别出来。

（4）成本与效益：资源往往有限，而且企业必须考虑各决策的成本和效益的相对关系，也包括那些风险反应和控制活动的成本与效益在内。

（5）管理层的逾越：管理层可能会因为许多原因而试图绕开企业风险管理过程。

4、不同职员在企业风险管理中的角色和责任。企业中的所有人都对企业风险管理负有一定责任。

（1）董事会。企业的董事会在制定战略、制定高层目标和进行广泛分配中扮演重要角色。（2）管理层。管理层对企业的所有活动负直接责任，包括企业风险管理在内。CEO比其他任何人或职能部门都更多地参与设定影响内部环境各因素和企业风险管理的其他成分。（3）风险主管。风险主管既有监督发展的责任，也有协助其他经理向上、向下和在公司中横向通报相关风险信息的责任。风险主管也可能被作为一个辅助的报告渠道。

（4）财务主管。财务主管处于管理层实施企业风险管理的中心地位，负责防止和发现欺诈性财务报告，提供有价值的信息。

（5）内部审计师。内部审计师在评价企业风险管理的有效性并提供改进建议时发挥关键作用。

（6）其他企业成员。他们为识别或评估风险提供信息，或者采取必要的行动来影响企业风险管理。也有责任向上层汇报营业中的问题以及违规情况，通过职务分离实现牵制和制衡。（7）外部审计师。独立会计师为管理层和董事会提供一种独特的、独立并且客观的观点，这种观点可以有助于公司实现其对外财务报告的目标，同时也有利于其他目标的实现。（8）立法机关和主管机关。他们建立原则来为管理层能够确保风险管理和控制系统能符合最低的法定和监管要求提供推动力并为企业提供改进建议和指引。

（9）与企业进行交易的消费者和供货方，还有财务分析师、债券评级机构和新闻媒体，也是企业风险管理的一大重要信息来源。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文