讲解复习参考主题了解被审计单位及其环境并评估重大错报风险准则

民族神话鸿蒙未辟宇宙洪荒亿万斯年四极不张主题：了解被审计单位及其环境并评估重大错报风险准则讲解时间：2006年7月28日AM地点：上海国家会计学院主讲人：梁国基梁国基：大家早上好，今天我们需要讲的是了解被审计单位及其环境并评估重大错报风险，我一开口你们都听得出来我是香港来的，普通话不是很好，所以如果你们听不懂我说什么，可以问一下。今天的主要的内容是讲一下准则的一般的情况。风险评估程序、信息来源以及项目组内部的讨论。我会说一点，然后了解被审计单位，基本上会有6个方面的内容。我会讲6个方面其中5个方面的内容。留下一个由杨梁讲内控。因为内控比较重要。这个基本上大多数的时间放在内控方面。我们也谈重大错报评估风险，虽然看了我们的幻灯片，被审计单位和重大错报风险是两个分开的题目，但是一般讲都是联起来的。不是分开讲的。一般是了解和评估是同一时间讲的。这两个是结合在一起的。首先讲一下准则的一般情况。首先是为什么需要了解被审计单位及其环境？首先来说大家知道审计风险模型，审计风险=重大错报风险检查风险，这个模型大家必须熟悉，从方程式里面来说，审计风险我们一般定在某个可以接受的范围，而国外是以百分比来看的，比如97%、98%。什么意思？比如你做完所有的程序以后，可能还要3%的机会，审计意见错误的。所以水平在95%、97%、98%以上。不过一定不会100%。而你定的百分比越高，做得工作会很多。比如97%、98%，这样工作会很多。首先重大错报风险会是基于企业本身固有的风险。我们怎么了解？怎么评价它有多大？我们不能控制不能改变它，企业的东西不能改变的。我们可以改变什么？检查风险。我们做得工作越多，检查风险就越低。总体来说达到某一个审计风险的水平，如果我们评价客观重大错报风险比较高，我们必须将检查风险降低，就是我们必须做多一点审计工作，一般来说我们的审计工作和重大错报风险是成正比的。所以你可以看评估重大错报风险的重要性，基本上来说决定了我们做的审计工作。在评估错报风险的时候也是有两个层次的。一个是我们用财务报表层次去评价它的重大错报风险，一个是宏观的评价。另外，微观的层次上我们也需要利用各类的交易、账户余额和列报的认定来评估它的重大错报风险，这个会讲的详细一点。他们之间的关系意义中间做什么事情会讲的细一点。我们了解被审计单位的环境，评估重大错报风险，刚才说的工作量的事情，实际上在操作上，也有很多，在审计过程当中有很多事情，我们必须对被审计单位有一个了解才会做得出来，比如确定重要性水平。评价它的会计政策是否恰当。比如决定它的分析程序有一些期望的价值是多少？这些都需要我们对审计单位有比较多的了解，具体一点的例子等一下会讲，我这个课的特点是我会用很多不同的例子解释，为什么要了解这些情况？怎么样进一步把了解的情况跟风险评价联系在一起，所以等一下我会用比较多的例子谈。本准则与其他准则的战略关系。我们现在要有全新的审计证据准则的体系，我们今天了解被审计单位环境评价及其重大错报风险来说，是整个新的准则体系里面比较重要的准则。你看到的内容也比较丰富，比较强，比较重要的。为什么重要？准则里面有1101号财务报表审计的目标和一般原则，同时也介绍了一些新的概念，给我们一些方向。审计工作当中也谈到了我们必须了解被审计单位，评估风险。这是重要的。为什么？从前没有这个准则。当然大家做审计的时候也肯定会了解被审计单位，某个程度上也会了解它的风险评估。但是现在这些要求是具体了很多。在准则里面写的非常清楚，准则很长。从前我们做得时候可能不是比较正式的做法。只是了解评估一下就可以了。没有做详细的审计记录。在工作底稿里面这一块比较小。了解过了，评估风险也评估过了。不过可能工作底稿方面没有体现出来，现在审计准则要求要进行重要的审计工作，必须有很详细的程序，所以工作底稿方面，要记录，去了解评估风险，这需要多一点的工作底稿。怎么记录？在我们的课里面也有介绍，比如表格的分类。记录是非常重要的。另外一个重要的原因，我们一般的国际事务所，国际监管机构，甚至是国内的一些机构。如果你运气不好，他会调查你，他有底稿，如果底稿没有记录，他不管你做了什么东西？在脑子里面了解了很多，评估过了，不过没有写上，这是不行的。监管机构用的是什么概念？没有写上来没有做记录，等于没有程序。而由于这个准则写的非常清楚，要求做什么事情都要记录下来。一般来说没有记录就等于你没有做，一般来说，国际事务所的内部质量控制的检查来说都是一样，但是没有写下来就等于没有做。所以审计记录非常重要。然后1211是我们今天要讲的东西。我们怎么评估风险？怎么做风险评估。这个很重要，要了解被审计单位及其环境并评估重大错报风险。第1231号也是重要的准则。你评估了以后，风险在哪里？然后你针对风险设计审计的程序。这个东西在国际上也用了一段的时间，我不断地发现一些东西，刚刚开始用这套风险做了以后会有很多问题，就是你做多了审计工作，为什么？因为没有连贯性。审计准则是你必须了解被审计单位，然后评估风险。尽管准则是根据评估风险进行审计的。一般审计人员不是连贯的做。被审计单位情况我了解了，记录下来了。准则要求我去评估风险，不过我没有应用刚才了解的情况去评估我的风险，我按照自己的主观的愿望，主观的意识评估风险，没有根据企业的具体情况做风险评估。做完风险评估以后，也没有针对风险评估设计我们的审计程序。准则要求做风险评估，做了，然后记录下来，结果却放在一边，而审计程序照原来做，没有利用新的方法，只是针对风险做审计工作。一般了解来、了解去做了风险评估，结果却放在一边，从而使这个工作做多了。你做得跟从前审计一样，现在风险没有办法评估，而且花了时间做了解，不用就放在一边。所以你们必须特别注意，这是环环紧扣的，你必须利用工作的结果做下面一个，然后再利用下面的结果做更下面的一个环节。不然就浪费了时间，不懂得怎么应用新的一套准则。第1141号对舞弊的考虑，从前我们也不会不考虑舞弊，只是现在比较重要的把它提取出来。国外也对这个方面给了比较多的比较具体的指引概念。当然被审计单位的风险，也包括了舞弊的风险，所以我们也必须关注一下。我们1211和其他准则体系是这样的关系，这个关系大家必须明白，他是重要的一个环节。本准则的框架和内容，大家都已经看到了，刚才也讲了。等一下我们先说第二章。然后第三章、第四章会讲，我会在讲第三章、第四章的时候，也同时讲到第五章。评估风险和了解被审计单位是连在一起，不会分开的，所以我讲的时候也是放在同一个环节中去讲。介绍完了以后，现在真正进入准则介绍。项目评估程序、信息的来源和项目组内部的讨论。信息来源大家都知道就不用讲了，但是有很多地方是值得我们仔细的关注一下的，所以在这里我会抓住重点讲一下。比如询问被审计单位管理层和内部其他相关人员。我经常强调，你必须和多一点的人谈，和合适的人谈。你必须跟管理层谈，一般来说我们走访不同的人，比如管仓库的人、管销售的人、管采购的人、管业务的人，我们会和他们谈。比如跟总会计师和董事谈一下，因为总会计师、董事都了解整家公司，但是我们需要了解比较具体的公司情况。所以我们从宏观的层次了解，一般来说会跟董事谈；另外也到工作层面跟基层的人员谈。比如跟销售或者采购人员谈，但是谈的时候不能找错人，必须对口，找不同的人谈不同的风险。分析程序等一下会用到。分析程序比较重要的是靠什么？他的变化在哪里？基本上我们重点是看今年和去年有什么大的变化，和我们期望的情况有什么大的变化。比如说整个行业，毛利率20%，你的公司毛利率30%，和行业进行评价，可能关注就多一点。比如有一个企业，我们觉得，今年环境不好，觉得业绩应该没有那么好，反过来业绩如果比去年还好，我们就觉得有问题，所以我们基本上是看我们没有期望出来的比较特别的情况。我们都会在分析程序里面找出来重点看没有期望的东西。观察和检查。我们会谈什么？观察被审计单位的生产经营活动，我现在看底稿，很多时候看见我们的审计人员说，我和某某谈，情况是什么样。这个肯定是不足够的。你谈完了以后，还必须去观察，去检查，某些东西会不会有一些文件？可以看一下，比如内部的记录，管理层的开会的文件，内部控制的手册。比如谈内部控制，可以看内部控制的手册。比如看基本业绩，看它的管理怎么样？所以观察也是非常重要。比如说，我们的内控程序怎么样？比如我们发货的程序怎么样？谈完了以后，我们会具体看一下，你看的时候，不是告诉他哪天观察他，你如果告诉他，就观察不到真实的情况。我们要看做的东西跟他们讲的东西是不是一样的。我们了解内部控制以后，还要做穿行测试。这些都必须有观察和检查。我们不能用简单的了解掌握它的风险，还必须有观察和检查的程序。刚才说的内部的事情我们跟他谈，看它的公司，观察它的程序，企业内部的东西我们也强调了解评估风险的时候，不能只是看企业内部的信息，我们也尽量的引用外部相关的信息。看看和内部信息比较是不是有一些矛盾。一般来说，我们看一下行业的杂志与报告，在报纸上看到什么情况。比如上市公司会有证券研究员的评价的报告。这些外部的信息我们都是用的。另外一个我们用什么？考虑在承接客户或续约过程中或提供其他服务时所获取的信息，什么意思？我详细解释一下概念。现在大的国际事务所，国际上大的会计事务所，我们了解被审计客户和评价他们的风险，特别是评价他们的风险来说，不是简单见了客户。一般人认为这个只是在审计工作环节做，我们一般是在每个环节都做。一个老的客户，我们在给他们做审计的过程中，就可以决定明年是不是还要继续承接？还要不要这个客户？比如我们评价风险，也觉得做完了审计，结果这家公司风险比较大，我们不希望承受风险就主动放弃了。所以做完了审计评价的风险，明年和客户继续做有一个程序。不管是承接新的业务也好，或者继续做老的客户也好，中间都牵涉到了解它的情况，老的客户的了解，可以通过审计过程进行，新的客户没有了解，会通过审计程序了解客户的资料，比如通过网上的资料，通过不同的人，分析它的情况怎么样？比如通过银行或者律师等等途径去了解。风险评估在承接业务上来说，也不是简单的讲一下而已，我们是分开做，有5、6个部分，在这5、6个部分当中又有几个部分，我们是分开考虑不同的问题。我们有一个核对表格，我们需要填写，决定是不是持续做老的客户。在审计过程当中我们已经评估了风险。客户评估，一般是宏观性的评估。刚才谈评估风险的时候，谈财务报表，从宏观的层次来说我们比较关注财务报表的程序，客户整体的风险怎么样？而评估了以后，我们会针对评估风险有一个程序。我们针对这个报表程序评估了以后，如果不能接受，这个客户就不要了。如果觉得可以接受，我们会尝试这个风险的。风险比较高，在这个环节，我们会针对宏观上比较高的风险，有一些程序。什么程序？比如审计事务的安排方面，可能再多一点审计人员，可能再加1、2个合伙人，有一些风险比较大的，可能有3个合伙人。比如我们做金融行业的审计，也有一些特殊行业的需要，比如珠宝公司，怎么评价它的珠宝？我们会了解他们的信息，这些都是在我们承接客户的环节，我们会评估它的风险，并找一些专家进来，找多一点的合伙人进来，放多一点的时间进去。初次的风险评估和应对的程序在很早也有。我们要特别关注连续审计业务，我们可以利用在以前期间获取的信息，但是需确定被审计单位及其环境是否发生变化。看看客户有没有什么重大的改变？为什么？如果有一些事情改了，比如某一些内控程序改了，某些经营活动改了。可能风险不一样。你针对风险所做的程序可能也跟从前不一样，所以必须了解他改了什么东西？从改的东西去考虑风险有没有改。程序是不是要改？除了这个以外，另外还有一个原因是什么？它的改变本身来说，一般是额外的风险，变动就是风险，就是增加的变数，变数就是风险。一些程序改了，他设计的这些程序，是不是完全符合企业的需要，新的程序会计人员懂得不懂得怎么运作，容不容易出错？举另外一个例子，所有上市公司都需要用新的会计准则。这是一个改变，这个事实改变会增加一些风险进来，他们懂得新的准则吗？他们的系统可以跟新的准则配合吗？他们运用哪些准则？合适吗？这样就会有新的风险进来。比如总会计师换了，有一个新的总会计师，他了解不了解企业的情况？会不会因为他经验不够容易犯错。刚才说变动本身已经增加了风险。所以为什么刚才就说分析程序，了解一般情况也好，我们特别注重今年和去年的改变。刚才说信息的来源，有内部的来源，有外部的来源，不同的程序用的手段会不一样，比如观察检查外部的信息，这些都是需要的。这好象是很老的概念，但是可以学习到很多新的东西。这是值得大家关注的。项目组内部的讨论，这跟刚刚的信息来源一样，可能一看，这有什么特别的？讨论都会做的，审计小组几个人，总都会说话，做了这个项目，我们会汇报，讨论审计财务的情况。当然准则提起来大家都会讨论，但是准则对于这个讨论来说是比较具体的要求，不是说说就算了。准则给你一些要求，讨论的目标在哪里？内容是哪些？人员牵涉到哪些？时间和方式怎么样？整个来说，这是基本的要求，我们现在国际事务所做这个程序，现在比从前是比较注重这个环节，怎么样比较注重？时间和方式在整个审计过程当中持续:)意见。国际事务所，一般比较重视这个程序，除了在整个审计过程当中持续交互意见以外，我们会开正式的会议。第一个会议是在审计以前开。从前我们也开会，不过现在越来越注重这个会。什么意思？从前一般来说审计经理会找一些有关的人员谈一下我们怎么做审计？客户情况怎么样？做这个策略怎么样？现在不是了，一般我们审计对这个会议来说，是整个审计项目小组一同开的，包括审计项目复核人。我们针对审计来说，有一些风险比较高，会有多的复核人在里面。审计项目风险比较大，有审计复核人和独立复核人。除了这个以外还有项目经理，所有的审计人员，还有参加这个项目的专家。包括税务部门专家、电脑审计的专家，这些都是我们项目小组的组成成员。针对特殊的情况，比如要特别的评估，他们都会参与比较重要的会议。针对这个会议，我们都会做，包括介绍客户的情况怎么样？和去年重大的改变在哪里？今年审计重要水平怎么样定？一些重大审计会计问题怎么样？我们今年审计策略怎么样？这些东西都会在研讨会上研讨。以前是审计小组在审计里面不断持续的进行沟通就算了。现在来说，这些会议越来越重要，除了这个会议以外还开什么会？我们做完期中审计以后，了解风险评估，做审计评估计划，做内控测试，我们做完期中审计，期中审计以后，我们需要整个小组开会，沟通我们期中审计里面发生的情况。我们评价内控情况怎么样？我们计划谈的事情有没有需要改动的？我们做完期中审计以后会不会有一些改变，了解审计重要性水平。比如会计审计主要的问题，我们现在期中审计以后，了解了以后，会不会发现新的问题，我们没有讨论过的细节问题有没有了。期中审计以后，开的这个会也非常重要，可以看一下审计计划阶段定的策略现在是不是适合？要不要改变？一般来说还会也一个正式的会议。在结尾的阶段，做完了整个项目，整个项目做完了，小组会在一起谈谈整个情况怎么样？有没有大的问题需要解决。除了准则要求整个过程当中持续交互，人员方面，对于关键的成员，现在国际事务所对他的关注程度也很高，这些都是准则所要求的。当然一般不是要求准则跟国际化一样的。一般国际事务所是超过国际的要求做事情，所以这个环节是比较重要的。一般都是超过的。现在继续了解被审计单位及其环境，刚才也说了，在谈这个的时候，同时要了解怎么评估风险，了解一些情况，对风险方面有什么样的意义？了解被审计单位，准则要从6个方面去了解。当然也有人问我，6个方面是不是每个都需要了解。6个方面，你一般去了解什么东西？一般来说，这个是需要用很大的弹性做的。不是每个环节都要了解的那么详细，要看企业具体的情况，决定哪里花多一点时间？哪里花少一点时间？某一个环节某一点我们做不来，比如客户环境，我们没有这个资料，怎么办？是不是给他们一些意见。一般的情况来说，除非是很极端的情况，一般都不会那么严重的。不会说每一点都需要做，一般不会那么极端，这是要结合整体来看的，你做这个东西，从总体上来说，达到整体的了解，整体风险的评估的情况。而不是说，我需要每一点都做到，关注点要针对整体的了解。工作累计起来，对公司整体了解了，风险就可以看得清楚，而不是每一点每一点的了解。6个方面全部都要做，但是轻重可能不一样，关注的重点可能不一样，一般来说6个方面都需要做。首先先谈一下评估中的重大错报风险的要求，他是需要在某个层面做得。刚才说从宏观的层面在整个企业的层面做。评估风险也针对整个项目，整个财务报表的宏观的风险，调整应对的程序。风险太大不能干。我在其他的课里面也谈过，你没有责任一定得干这个？你没有签合同的时候，你说不干了，万一他找你，我有项目你做吗？不一定要去做，风险太高就不要做。如果我接这个业务以后才知道风险这么大，怎么办？做得过程当中发现风险很大，宏观风险很大，你也有责任，必须给他一个保留意见，否定或者拒绝意见。甚至没有完成审计，干不下去了，这个事是有发生的，一般上市公司审计有时间的安排，会有一些保留的意见。比如我们做IPO，我们刚刚开始不了解，但是做到某个阶段了解了，发现公司好象诚信不是很好，做不下去，就不要干了。我们强调宏观上风险太高，有一个选择，就是不干了，我也可以给你一个意见，当然通常不会这么极端。一般是增加程序增加人员增加专家都可以，在宏观上来说都可以克服这些困难。比如有一个科目，不是说风险多大，不管怎么样还需要具体一点，比如应收账款，他有不同的认定，包括存在性，是不是完整，是不是准确，列出来是不是合适？现在要求评估是一个应对的程序，来评估，比如应收账款，存在性可能风险不是很大，反过来完整性风险很大。不同的账务余额、不同的交易、不同的认定是有不同的风险。风险要求你不但有账户余额、交易的程序，还要有应对的程序。另外幻灯片上列出的最后几点也是非常重要的，就今年这个准则来说，最重要的就是这一点，而最困难的也是这一点，每当我讲课的时候都会有学员问我，他们问问题的情况可以体现出来，他们没有完全了解这个，这个是什么？你的了解程序和风险评估程序和应对的程序，怎么将他们连接起来？怎么考虑将他们发展？怎么从了解到计划审计程度？从了解到判断风险？意思是什么？你必须学习在整个过程中识别风险，考虑交易和列报，考虑可能发生重大错报的风险。比如某一个行业今年情况不好，可能销售全行业不景气。这个就需要了解，公司情况一样，而毛利率下降，销售下降，环境不好，行业不景气。了解了这些以后，风险在哪里？有好几个大的地方都会有风险。比如你的存货，会不会有呆滞的情况？这是其中的风险之一。比如说行业不景气，销售减小，毛利率降低。对于呆账的情况需要做准备。把这里的风险联系到报表的存货情况，刚才说的风险与是不是存在没有关系，是不是完整也没有关系，而是与余额是不是准确有关，这个准确包括是不是要为存货做跌价准备。所以你了解了这个情况，微观上可以看到它的风险和它的准确性认定有关。将识别的风险跟认定的层次可能发生错报的领域联系在一起。考虑识别的风险是否重大？你必须先考虑识别的风险是否重大。比如毛利率降低了，如果一个公司本身毛利率不是很高，比如我做这个行业，一般的行业毛利率是10%，因为今年不景气，卖得不好，竞争大了，所以出现负毛利率，当然这代表你识别出来，刚才说的准确性认定风险是很大的，出现错报的风险可能比较大。反过来说，这个业务本来的毛利率是很高，卖一个东西很赚钱的，本来的毛利率是50%，但是现在不好，卖的比较小，但是卖出来还有30%的毛利，赚了30%，但是对于准确性的认定风险是不大的。如果毛利率50%降低到30%，降的很多，但是对于准确性认定来说，风险还不是很大，还是有毛利率。另外考虑了风险是不是重大，还要考虑其他的因素，比如毛利率是负毛利率，风险很大了，这样的话，是不是要增加很多审计程序，是不是增加错报风险呢？财务报表风险重大和发生重大错报风险是两回事。为什么？风险可能重大，不过跟犯重大错报的可能性不是成正比的。比如这个风险很大，但是人均很低，所以发生错报的可能性不会很大。有的会说，毛利率甚至是负了，你在报表上来看是很重大的项目，是不是发生重大错报的可能性很大呢？有的企业有很好的控制，他做报表的时候已经知道需要做什么准备了，已经做了很严格的程序，看毛利率是多少，做了多少准备？做了很多计算，然后一层一层核对审批，比如总经理看过了，管理层看过了，最后给董事局通过，虽然跌价风险很大，也真正出现跌价的情况，但是发生重大错报风险还是很低。因为管理层已经有了充分的准备。你所要求做的额外的程序也不是那么大，反过来说，如果余额很大，报表很重要，管理层没有关注，不知道这个情况，他也不详细准备，主观上不详细准备，会计也不懂得怎么准备，或者马马虎虎的办，那发生重大错报风险的可能性就大了。不是行业不景气，毛利率掉了，就一定等于财务报表发生重大错报风险就大了，这是不一定的。有的情况出现以后，可能最后你的结论是发生重大错报风险不是那么大。另外一个方面，可能结论是重大错报风险很大，我们需要针对这个情况，增加很多额外的审计程序。不是说1=1，2=2，这里面还有很多客观主观的因素需要考虑，不同的情况、不同的环境也需要考虑的。所以最困难的就是这个，怎么把这个东西联系起来，从发现这个情况，从这个情况去认识报表程序可能有问题，然后怎么判断有没有风险？然后判断风险会不会影响财务报表发生重大错报的风险，在这个基础上，决定是不是要增加审计的程序。刚刚应用这些方法的时候，你们可能没有那么熟练，可能没有顺理成章一口气说出来，我刚才说的思路是审计程序，怎么一步一步从来了解到最后决定风险在哪里？从实务操作层面怎么把握，这些是最难的部分。刚才说程序很重要，现在回头来看，6个方面每个方面可以谈一下。当然谈的时候，我不会一点一点的读出来给你听，我会选一些举例来说，需要了解什么？了解很多风险在哪里？举例给你们听，也许你们会说这些我们都知道了，没有什么特别的地方。基本上最重要的是从了解很多东西，联系到风险，联系到你做的程序。举例说明，第一个来说大的项目是大的环境状况，以及战略环境，以及外部的情况，第一点是谈外部的因素。行业状况包括什么？包括所在行业的市场供求和竞争。你了解了这个东西以后，可能对什么有影响？可能这个牵涉到今年的实际收入是多少？毛利率怎么样？会不会有跌价准备的情况？会不会出现坏账多一点的情况？所以这些都是必须知道的。也许你们说我们都知道了，但是这基本上是从累计逐步增加。除了应收账款的影响，还有利润表上面的项目，也用这个分析程序，用重要的分析程序判断利润表里面的东西是否可以。你做利润表的分析程序审计程序的时候，你对这个行业市场供求和竞争的了解，总会跟找到的风险出来不一样，比如你了解行业毛利率20%，而你的毛利率是50%，这是风险所在，为什么这个行业20%？为什么你的是50%？除了谈以外，你还需要其他的程序，去确保你的公司50%的毛利率是正常的。除了了解这些很重要以外，判断特别重要，我们跟客户讲要分析这些程序，分析它的合理性，那么怎么判断它的合理性？如果你不知道什么是合理？你怎么判断它的合理性？我再举例，比如你的客户做药品，比如说毛利率是30%，可以吗？高还是低？如果你对这个行业比较了解，你唯一可以做得是，我做分析程序，分析出来，比如一个新的客户，去年毛利率30%今年也是30%，合理吗？你找客户谈，然后客户说我们合理。不过做药品的30%合理吗？你们觉得30%的毛利是合理的吗？我们做审计的，有时候没有资料做充分的判断，你应该问我，他卖什么药？如果了解整个行业，卖不同的药是不一样的。比如卖心脏的药肝脏的药，30%是不合理的，太低了，一般是70%80%才是合理的。反过来说，你的客户是卖维生素、头痛药，30%也是不合理，太高了，可能只有10%。比如打点滴，毛利率1%才是合理的。如果你碰到一个新的客户做药，我刚刚说的这一番话你说的出来吗？客户告诉你，打点滴这个东西10%，你可能觉得是对的，但是你不知道整个行业的毛利率是1%。所以你对这个行业没有了解，你怎么知道这个风险在哪里，你只是听客户说。去年30%，今年是30%可以了。你可能不知道，他是欺骗你。一般什么时候发生舞弊的情况？一连串的几年都一样，比如都是30%，可能就是舞弊，这样你就不知道风险在哪里。比如你知道打点滴的毛利率5%，你就会知道行业风险是1%，它的毛利率是5%，你就知道风险在哪里？变化对于风险是很大的。去年、前年毛利率30%，今年也是30%是不是肯定的。就算你了解这个行业也不一定是对的。比如钢铁业，在过去几年，无论在市场供求方面还是竞争都起到很大的变化，波动很大，有一些时候需求很高，供应不足，销售价格增加了很多，供应不足够，比如供应什么原材料，你知道吗？供应情况怎么样？比如原材料是矿砂焦炭，供应情况怎么样？焦炭从哪里来？你知道吗？矿砂很紧张，焦煤也是很紧张，这些东西成本很大。如果你有一个分析程序，比如客户知道现在需求很高，我们可以抬高价格，今年的毛利率更好了，这是不对的。由于站在同一个情况，成本也增加了，供应不够，供货商也会抬高价格。根本上来说，毛利率可以维持原来的毛利率就是好的。波动情况很大，供应量大了，外面的要求也大了，比如重工业，做机械不是那么高，要求掉了下来，销售低了，毛利率也降低了，然后过了大半年再回升，一年之内出现这种情况，如果你不熟悉市场供求竞争的情况，你去做钢铁业的利润表，结果分析程序是不能做的。销售量多大，销售价格多少？原材料单价怎么样？毛利率应该有多少？你对这个行业必须有充分的了解，你做这个分析程序才有意思。不是客户告诉你怎么样就是怎么样？不是你进去客户的办公室听他讲故事，这样就完了。你必须对这个行业本身不是一般的了解，是比较具体的了解，然后你做这个分析程序才会有意思。生产经营的季节性和周期性。比如房地产开发，大家知道前几年很红，卖得很好，大家知道新天地附近6万块钱一平方米，5年前7000块钱一平方米现在可以卖到2万块钱一平方米，你就很好做房地产开发的审计，过去几年，比如我们做存货，一般来说风险不是很高，做的程序不是太麻烦，觉得这个行业很景气，卖不出去的可能性很低。他卖的价格也很高。相对风险比较低一点，你做的程序也比较低一点。2006年审计的时候，存在跌价风险多大？我们需要做多少程序？暂时还不敢说，大家都知道，现在这个房地产开发的周期是往上了，已经打平了，还是往下掉呢？这样需要作多少工作？你如果问我，我今年作房地产的审计工作肯定比去年多，多多少我现在还不知道，但是我举这个例子是说这个周期是会改变的，你必须了解这个行业的周期在那里？去年怎么样？现在怎么样？现在怎么样？往后怎么样？你必须看它的状态，必须往前多看一点。所以周期性非常重要。生产技术的改变当然对你的审计有很大影响，如果你是做手机的，我遇到一个手机的客户，你知道现在手机的技术在哪里？比如他是2G，还没有做到3G，如果你客户的手机没有彩色屏幕，那存货是不是有问题，如果客户停留在从前的技术，没有照相机没有彩色屏幕，不会3G，那你的客户的持续经营能力可能也有问题，没有办法竞争的，现在谁买不能照相的手机，没有屏幕，很多东西不在里边的，肯定不会买的，现在1000多块钱可以买很好的3G手机了，如果客户还是2G的手机，他卖100块钱也不要，他不但存货有问题，他的其他方面也有问题。他做不出来3G内存的手机，固定资产怎么样？能够不能够持续经营，都有问题。这个风险包括宏观和微观，微观是存在跌价的风险，固定资产减值的风险，宏观就是持续经营的风险。这样简单的分析已经可以连到刚才的分析，可以想到宏观的风险。能源供应成本，除了钢铁业以外，你知道焦炭煤都是能源，供应成本怎么样？另外举一个例子，能源的风险在哪里？怎么分析程序？除了价格以外，比如在南方某个省份，电力能源非常缺乏，一般来说一个星期只能供应5天的电力，如果你去某个省份，客户说今年行业很红火，生产要求很高，我们每天加班加点，7天每天做12个小时，所以今年收入增加很多毛利率很高。他肯定是欺骗你的，因为在那个省份电力供应不够，每个星期只能供应5天的电给你，而且时间有限制，是错点供电。如果人家弄饭的时候，不给你电，弄饭以后，才会给电让你生产。如果你对这个地方的能源供应多一点理解，可能觉得他是欺骗你，比如你要求客户带你看发电机，一般客户厂商都有自己的发电机，有好几台，你认为他有发电机，可能也有做到7天工作，如果有足够的数量。另外一种情况不是一成不变的，比如你到客户那里看到有发电机，说没有问题，看到客户有好几台发电机，一个星期开7天工肯定没有问题，肯定销售可以达到一定的容量，没有问题，但是你知道这个省份，电力和工厂签约，他们说我们提高电费，我们保证一个星期给你7天供电，有了这个保证以后，很多当地的工厂签了，宁愿多一点费用，签了以后，发电机不需要了，就卖掉了发电机，然后供应一个月以后，电力的供应量也不行了，电力不够了，所以就出现问题了。所以你看过发电机了，但是过一年还要去看看发电机的情况，如果在，就知道它的生产水平还可以，如果发电机不在了，他告诉我生产跟去年一样，我不会相信他，我可能做很多的程序。刚才的举例说明，你如果没有了解，不是一般性的了解，你做审计都不知道它的风险在哪里？如果去年跟今年一样，去年看过没有问题，风险不大，但是你不知道这个概况。你应该给客户做我刚才说的程序，其实这是不一定的，你应该针对不同的行业和企业做，行业企业可能一样，但是还要看在哪个省份。上海这个问题可能不大，但是南方某个省份可能大一点。这需要根据具体客户的情况来做，不能一成不变的。你不需要针对每个客户都要看它的发电机，你必须灵活变通，它的情况怎么样，你必须详细的了解，比如行业的统计数据，比如行业今年的销售情况，行业销售怎么样，毛利率怎么样？一般都会通过网上可以找到这些资料。这个行业的关键指标数据非常重要。如果今年整个行业不景气，生产销售都减少了，而客户说今年比往年多，它的销售比往年多，这个时候你必须做很多程序。我也讲了两个小时了，我们先讲完了第一个第一大点，行业状况讲完以后我们就休息一下。宏观环境战略环境，比如会计制度行业准则，已经举过例了。明年新的准则，07年审计以后，风险大了。还有什么？会计制度，大家都知道。但是某些行业制度你知道吗？因为行业有自己的制度。比如保险业有他自己的制度。如果你不知道就不能做了。另外，行业有一些新的要求你知道吗？如果是银行，你可能作很多银行，你都知道了，我们都很熟悉，没有什么大的风险，你不知道十四号文，根本的变化在哪里，今年的银行就不要做了。比如我们做关联方交易，你不知道六十四号文，你就不用做了，一般的准则文件你不知道，就不知道风险在哪里。还有环保的要求，如果我们开始一个新的行业，首先要考虑环保的要求，这就需要你对这个行业的了解，不知道，风险就很大。不仅公司的风险大，你的风险更大。我就环保举例说明，你如果有汽车，你就要知道环保的安全，这个汽车对你的环境有什么影响？对废气的排放有很大的影响，你做的汽车出来，排放的废气必须符合环保要求。国内的要求我知道，没有用，你还要知道国外的要求，为什么？很多汽车都是到国外卖的。如果你不知道欧1、欧2的话，因为他是国际环保的汽车废气排放要求，这样对你的汽车行业有没有影响？由于从欧1转入到欧2，必须有一个风险的考虑，从前欧1，你的某些方面可能不合规。这个对于财务报表有影响？有什么影响？比如从前你生产出来的汽车符合欧1的要求，但是现在要求高了，不符合了，这就有问题了。有三大类，第一类比如汽车拿到非洲没有这个要求，可以卖掉，没有额外的成本，但是拿去非洲必须定量，不能卖的很多。第二类情况是什么？是某些内燃机，如果做一些额外的调整，做一些额外的程序，可以把内燃机从欧1提升到欧2没有问题，但是花钱增加我的成本。最后出来的内燃机还是符合要求的。为什么要做准备？你要知道销售成本是增加了。我们知道1千多块钱做额外的程序。第三类某些程序根本不合理，你没有办法改，你就报废，做不来，因为这不符合欧2的要求。你刚做这个东西，你必须知道好象很遥远的东西，比如欧洲环保的要求有一点改变，你不知道国内客户存货有一个风险，你能不能设计额外的程序针对这个风险？你审计汽车行业你必须知道汽车行业的情况，否则问题就大了。另外宏观经济的景气度有什么关系？比如亚洲金融风暴，不论是国内国外，做审计程序就额外增加了，很详细的了解每家企业的内部程序，我们做了很多表格，分析银行的呆账，什么时候到期？明年现金流预测怎么样？都做了额外的程序，这是针对宏观的经济，我们做了什么工作。现在，就整个经济来说，风险不是很大，我以前做得的很多的程序现在可以简化。比如供求也有很大的影响，比如现在银行，宏观上来说，降低资金的供应。比如很多房地产开发行业，如果现在行业收缩它的信贷，会不会对房地产开发行业的客户造成影响？资金有很大的问题，它的影响是什么？可能影响他做不完，某些楼盘做不完，做不完这个楼盘，由于利率调高了，毛利率需要降低。这些都是要做准备工作的。还要看这个基础上还会不会有一些卖不掉的。还有通货膨胀水平和币值的变动。比如日元、美元的变动，你知道不知道这个情况怎么样？比如日元的变动有什么影响？你要看你的企业是什么样的企业？如果向上趋于平稳的，就很好的。如果竞争力比较好，销售增加了，从你的应收账来说，如果本来是1美元，现在会有收益，如果客户是采购进来的，就恰恰相反，你的原材料的成本贵了，利润降低了，应付账款现在增加了，是不是等于资产的损失。所有每一个东西在不同企业，有不同的影响，影响在哪里？你必须知道。然后再说一下你做风险了解风险评估程序的时候需要做什么工作？一般来说，一开始如果是老的客户，一般先去看他去年的情况怎么样？重点关注他有没有改变？改变会影响风险。然后看一个东西有基本概念，然后询问，问一下管理层，再对口的问一下相应的员工。比如问采购人员，仓库人员等等。然后询问了以后，询问了外部信息以后，还是看内部的信息。比如开会的资料。外部的信息，比如在网上、报纸上面看行业的资料。审计小组会在一起讨论，如果没有审计过的钢铁业，没有审计过的机械业，你可以找做过得的人员问一下情况怎么样？你自己熟悉的行业，你也可以找另外熟悉审计的同事问一下，比如你审计汽车行业，另外一个同事也是审计汽车行业的，可能比较容易了解到欧1到欧2的问题。你不知道，也许另外的同事知道，你只有跟他谈了以后，才知道情况，跟熟悉行业的人谈也是非常重要的。刚才说的这些比如外部的信息，跟熟悉的人谈，从规模来说，比如同一个行业，比如我们会计事务所，大的钢铁厂有4、5家，上市的有好几家，银行有很多，保险也有很多，然后我对这些行业有很充分的了解，这些行业我们做了很多。如果是比较小的事务所，比如你审计一个钢铁客户，你可能需要找外边的资料多一点。这些资料怎么找？一般有一个资料库。比如我会找几个银行，它的坏账情况怎么样？比率怎么样？会有一个库。一般来说信息这么发达也不需要资料库，比如可以通过网上看到。可以看到外面的财务报表，当然看到外面的东西不是所内的东西，你会看很多。有一个不利的因素，如果所内有资料，可以立刻看到。比如中期报告，你可以拿到同一个行业的资料、人家的财务报表，可以作为参考，但是这是去年的东西，如果你内部有很多资源，我不需要拿人家的，我自己有大量的资料，比如几家银行情况怎么样，我知道，几家大的钢铁公司情况怎么样，我知道。因为我手上有资料。所以比较大，行业比较集中，有这个优势，资料也很多。当然不是每个行业都是那么集中的，这就要依靠外部的资料。分析程序也是很重要的。怎么利用外部和内部的资料，用分析程序，看有没有有用的资料。刚才的风险评估说了，识别风险在哪里？重大错报风险发生的可能性有多大？考虑风险是否重大和发生的可能性，然后进行认定，做完了不要忘记工作需要记录。如果你做了，但是没有记录上来，等于没有做。所以说必须有工作底稿的记录，来证明你已经按照准则的要求做这个程序，所以这个程序很重要。我给你们举例看一下，工作底稿。不同的事务所可以设计自己的表格。我特意举例是什么意思？这个里面留下了空白的地方给你，这很好的告诉你，弹性是很大的，而且每个行业每个客户它的情况不一样，你了解的情况也不一样，这个表格是开放性的表格，你看起来方便，而且留下空白区域你可以记录下来你了解的情况是怎么样？如果你不懂得怎么填？没有办法，你必须了解行业企业，问你应该问的问题，否则没有办法具体来说。6个方面都开列出来，每个方面都有重点给你考虑，这是很简单的东西。刚才讲了第一个环节以后，大家先休息一下。休息20分钟。我们11点回来。我尽量讲的慢一点。现在我们还是刚讲完第一点，不过不用担心，这6点来说，一般我开始谈第一点的时候比较具体一点详细一点，举例多一点，所以你听了一个以后，其他都不需要长的时间讲。所以第二、第三、第四、第五点，可以用比较短的时间讲完。接下来内控是需要很多的时间。一般在午饭以前就可以把第一、第二、第三、第四、第五讲完。午饭以后我们谈内控，内控很复杂，不过无所谓，不是我讲，是杨梁讲。她是地道的上海人，普通话应该很好。第二个环节，被审计单位性质了解的具体内容。刚才讲的第一点，基本上是以外部的资料行业的情况，法律等等情况谈，内部的东西，第一个被审计单位的性质。我们一般会看对风险有什么影响？比如所有权结构，比如国营企业、上市公司，有一点不同的风险在哪里，比如上市公司，不一样。比如所有权，谁拥有公司的所有权，比如民营企业，可能风险相对大一点，比如说上市公司，风险可能也比较大一点。我们现在也知道国外有一些投资基金，就是风险投资基金，进入国内入股投资。进入一些公司，要这些公司上市，不过通过我的经验来说，这些风险投资基金的客户，风险也是比较大的，为什么？因为他有风险基金投资利润的原因，不是股东的原因增加风险，一般是投资在高新的新的行业里面，比如互联网电脑等等新生的行业，规模比较小的行业，一般牵涉到很多因素。比如说股权、金融工具等等，如果我们看到投资风险基金有股权，那么公司一般风险比较大。比如，我们自己所里，增加风险控制的程序来说，还没有上市，有很多风险投资基金投资的公司，我们的风险等同于一家上市公司，我们做得程序怎么样？会有一些复核程序。我们会看风险占的比率怎么样？具体讲，一般的公司风险怎么样？比如说他是国营企业，上市公司，有没有大股东占用资金的情况，上市公司我们要看他们有没有大的风险。所以不同的企业会有不同的风险。治理结构，也有不同的风险。比如公司有没有独立董事，独立董事设置怎么样？他有没有内部审计的部门，除了这个以外，还有什么？比如管理层对公司治理结构有多重视，这对风险有很大的影响，针对这个必须详细了解，不同的客户会不同。你总不能进去找董事长或者总经理，问他对风险理论怎么样？他说非常重视，每天做这个事情，所以问是没有用的，必须靠长期的观察，他们做了什么事情。他们对于公司治理有什么看法。比如有一家很大的上市公司，国内很大的集团，我们对他进行风险评估，我们尽量靠近国际会计准则，我们有很好的会计准则。我们有很成熟的东西，并找熟悉的人陪同，提供研究的一些东西，结果经过实践发现这家公司非常注重经营情况，他们做得很好。如果有一些管理层不注重，就不会做的很好。管理层不注重经营情况，由于他的管理层不重视，就容易出错，出错的几率很大。组织结构，比如这家公司非常复杂，是不是有很多子公司分公司，是单一的行业还是牵涉不同行业。规模是大还是小？当然不同的情况有不同的风险。比如有子公司，子公司在国内还是国外，是很小的子公司还是很大的子公司。国内的子公司我懂的在什么地方，国外的子公司，比如在美国，在欧洲，在澳大利亚，很大我们怎么审计，我们是利用他们本地的审计事务所呢？还是我们自己过去审呢？我们懂得他们当地的会计准则吗？这是国外国内的子公司的不同。他是有几家很小的子公司还是几家大的子公司呢？如果是大的子公司，当然你可以集中审计大的子公司。如果他有200、300家很小的子公司，你就不用每家去审计了，你审计计划策略方面，设计的方法可能也不一样。所以组织结构对于审计有影响。经营活动，这里有12个点。举例。比如主营业务的性质，比如做手机做电信的，可能有不同的风险。主营业务本身有多少个不同的行业在那里，他会不会又做工业企业，又做房地产开发，又有其他的东西。他有几个不同的行业在那里，所以你做的这个审计肯定也不一样。生产产品或提供劳务相关的市场信息。比如你有存货，会不会有卖不掉的情况，进入一个新的行业，东西卖不掉，或者卖给一些不熟悉的客户，账收不回来，比如刚开始需要投资很大，有没有足够的勇气。这是初步的时候需要考虑的。另外有一个成熟的阶段，考虑的事情不一样，如果产品老化，竞争能力不够，有没有新的替代品？如果没有，就会出现很多问题。有没有提取准备？现在机器有没有老化的情况，工厂没有这么大，国内机器的固定资产过高，有没有看到未来的设计怎么样？机器经常会老化，生产出不合格的产品出来。所以刚刚成立一个新的公司跟老的公司风险是不一样的。地区跟行业的分布，刚才也讲了，比如说关键的客户，你不了解，对于审计来说，如果你的客户是有好几千个，成千上万个小的客户和你的公司集中于几个大的客户来说，审计程序可能不一样的，风险也不一样，很多小的客户可能依赖他的系统比较多一点，内控比较多一点，相对来说实质程序可能小一点。反过来说，比如有几大的客户，集中于做这几个客户方面的工作。除了刚才说的客户多与少的问题以外，我们还要针对什么？比如说有一些公司有几个很大的新客户，在这个事情的背后，可能会有会有新的风险。国外的客户可能风险更大。是不是真有这些客户在那里，是不是存在，如果存在，账户余额是不是真实的？我们可以设计一些程序，比如我们可能到网上找一些资料，做客户的调查，拜访这些客户，了解他存在与否。如果我们发现有假的情况，比如我们去过某些地方，我们最常用的方法是打电话给这些人，我们扮演客户的角色，买他们的东西，看看他们是否真的有这样的人，他们的规模是不是真实的。当然我们不会告诉我们的客户，我们会先做，找出证据，才告诉他们。你没有做过这些事可能不知道，关键是客户不能没有风险，当然我刚才的举例是比较极端的。比如说这个客户很关键，我们必须认真的了解情况。研究开发活动，也是需要关注的，某些行业不注重研究开发是不行的，他不能存在下去。反过来说，研究开发是多少？几年之前，国内上市公司为了争得利润，他们说自己的研究部门和人家一起开发，出了一个报告，一个报告值几百万块钱、几千万块钱，如果看他们的报告是怎么样？需要拜访你们的客户，为什么人家肯给你几百万块钱，做研究报告。所以方方面面都需要去了解，探讨风险在哪里？我们真正强调的是什么？我是说每一个企业不同的风险。他做的投资活动是什么呢？投资在哪里？做什么东西？比如投资在什么地方？不同的地方风险可能不一样，比如投资在