【USCPA 美國會計師】AUD重點及準備方法-4 風險、內控

AUD重點

風險評估

1. 了解企業跟環境
2. 了解內控
3. 詢問管理階層
4. 分析性程序：
   - 看財務跟非財務的資料
   - 比較實際數字跟預期數字

內控

重要觀念：內控要注意的是題目到底問的是什麼樣的內控?
在規劃階段要"了解"內控(understanding)，包含內控的"設計"(design)
在執行階段才會"測試"內控的有效性(test the effectiveness)

• 內控是管理階層的責任，五要素中的風險評估也是管理階層的責任
• 權責分工屬於existing control activities，重點是授權、紀錄跟保管三個功能要由不同人進行(三個功能是之後內控循環很重要的觀念)
• 管理階層設計內控時也要考量成本效益，而不是把所有控制手段都用上

評估內控

• 內控的設計：是否能夠預防、偵測跟修正錯誤
• 內控的施行：內控是否有正常運作，執行的人是否有能力
• 評估內控的方法：詢問、觀察、檢查、walk-through
• 了解內控後要記錄下來，但沒有規定要用什麼形式，可以是流程圖、文字描述等

內控的限制(inherent limitation)

• 管理階層逾越(override)
• 人工疏失
• 共謀(collusion): 例如權責分工中負責記錄的人(會計)跟負責保管的人(現金保管人)聯手，就有可能騙過其他人把錢偷走

Fraud risk

• 舞弊三角: 動機(壓力)+機會+合理化
• 管理階層的責任: 推行內部控制以預防、阻止及偵測舞弊
• 審計員的責任: 設計、規劃及執行審計來得到確信(reasonable assurance)，所以即使高品質的審計仍可能沒辦法發現舞弊
• 若審計發現舞弊，應該要向參與舞弊者的上一級討論
• 但如果舞弊導致重大不實表達、或者有高階主管參與，就要跟those charged with governance討論
• 審計員不用將舞弊向管理階層跟those charged with governance以外的人報告。審計員需要向第三方揭露異常狀況的情況只有：更換會計師(需要通報SEC)、下一任會計師承接前的必要詢問、客戶有拿政府補助(拿政府補助還舞弊，一定要通報給政府)

Audit risk (重要！)

• control risk: 內控失效的風險
• detection risk: 審計員沒有發現重大不實表達的風險，審計程序的Nature、Timing、Extent都取決於detection risk
• inherent risk、control risk跟重大不實表達風險: 審計員都無法控制，只能評估風險的高低。只有detection risk受審計員的控制
• 重大不實表達風險跟detection risk成反比 (看公式就可以判斷)
• inherent risk跟control risk成反比 (看公式就可以判斷)
• detection risk越高，審計程序的Nature、Timing、Extent越小
• audit risk越高，重大性要設得越低，才能偵測到錯誤

應對風險的方式

先分清楚有幾種不同的測試：
Test of controls(TOC)-用於測試內控是否有效
Substantive procedures-包含Test of details(TOD)跟分析性程序
TOD-用於確認科目餘額跟財報金額相符
分析性程序-審計員依據歷史資料做出預期，再比較預期值是否和實際金額相符

• 進行dual purpose test: 針對同一筆交易，同時進行TOC、TOD兩者
• substantive approach ONLY: 如果Control risk太高，代表沒有可信的內控，那麼繼續做Test of controls就沒有意義
• 不論重大不實表達風險的高低，substantive procedures都是必要程序
• 即便substantive procedures沒有測出重大不實表達風險，也不代表內控有效；因為只有TOC可以降低assessed level of control risk (不是直接降低風險，只是降低審計員的風險評估，決定之後要做什麼樣的程序)
• 有使用IT時也建議要做TOC

IT

• application control: 用於單一交易
• general control: 用於所有交易的進行
• manual control: 適合金額大、但非重複性的交易
• automated control: 適合數量多、重複性的交易
• 使用IT的缺點：有人未經授權、卻能夠接觸到資料的可能性增加
• 使用IT的優點：減少隨機的錯誤(但還是可能有系統性的錯誤)
• 運用IT不會改變審計目標，不能取代審計員的專業判斷

電腦審計

• transaction tagging

• embedded audit modules

• test data

• integrated test facility

• parallel simulation

• generalized audit software packages

Engagement risk

• 法令遵循

• 會計估計
• 或有負債

• 關係人交易

在台灣的審計實務也是一樣，每次審計收尾都要請上市公司的管理階層簽十幾份聲明書，如果真的出事了多少能夠自保

• 點擊下方綠色圖示【拍手五下】，免費給我鼓勵👏
• 【贊助】、【訂閱】讓我更有動力創作🙂
• 追蹤、收藏、愛心、分享，都是最好的肯定❤️