抱歉因為在做年度財報比較忙,本周只更新一篇筆記,下周會回復正常更新,謝謝大家的體諒~
AUD重點
以下整理各章節一定要記得的地方,僅為個人念書心得,適合已經唸過一次課本或考前複習者快速複習重點、針對考點準備,並非完整的觀念解說。
風險評估
風險評估在審計的規劃階段就要執行,步驟包含
- 了解企業跟環境
- 了解內控
- 詢問管理階層
- 分析性程序:
- 看財務跟非財務的資料
- 比較實際數字跟預期數字
如果在審計過程中,發現風險程度有改變,就要重新評估風險並更改審計程序
內控
重要觀念:內控要注意的是題目到底問的是什麼樣的內控?
在規劃階段要"了解"內控(understanding),包含內控的"設計"(design)
在執行階段才會"測試"內控的有效性(test the effectiveness)
內控五大要素一樣是會問某個行為是屬於哪一個要素,不過這部分比前面章節好判斷一點。可以注意的是:
- 內控是管理階層的責任,五要素中的風險評估也是管理階層的責任
- 權責分工屬於existing control activities,重點是授權、紀錄跟保管三個功能要由不同人進行(三個功能是之後內控循環很重要的觀念)
- 管理階層設計內控時也要考量成本效益,而不是把所有控制手段都用上
評估內控
- 內控的設計:是否能夠預防、偵測跟修正錯誤
- 內控的施行:內控是否有正常運作,執行的人是否有能力
- 評估內控的方法:詢問、觀察、檢查、walk-through
- 了解內控後要記錄下來,但沒有規定要用什麼形式,可以是流程圖、文字描述等
內控的限制(inherent limitation)
常出題的地方!因為內控有這些先天的限制,因此即便內控有良好的設計,仍有可能無法發揮功能
- 管理階層逾越(override)
- 人工疏失
- 共謀(collusion): 例如權責分工中負責記錄的人(會計)跟負責保管的人(現金保管人)聯手,就有可能騙過其他人把錢偷走
Fraud risk
- 舞弊三角: 動機(壓力)+機會+合理化
- 管理階層的責任: 推行內部控制以預防、阻止及偵測舞弊
- 審計員的責任: 設計、規劃及執行審計來得到確信(reasonable assurance),所以即使高品質的審計仍可能沒辦法發現舞弊
- 若審計發現舞弊,應該要向參與舞弊者的上一級討論
- 但如果舞弊導致重大不實表達、或者有高階主管參與,就要跟those charged with governance討論
- 審計員不用將舞弊向管理階層跟those charged with governance以外的人報告。審計員需要向第三方揭露異常狀況的情況只有:更換會計師(需要通報SEC)、下一任會計師承接前的必要詢問、客戶有拿政府補助(拿政府補助還舞弊,一定要通報給政府)
Audit risk (重要!)
公式一定要記下來:
audit risk=(inherent risk×control risk)×detection risk
=risk of material statement ×detection risk
- control risk: 內控失效的風險
- detection risk: 審計員沒有發現重大不實表達的風險,審計程序的Nature、Timing、Extent都取決於detection risk
- inherent risk、control risk跟重大不實表達風險: 審計員都無法控制,只能評估風險的高低。只有detection risk受審計員的控制
- 重大不實表達風險跟detection risk成反比 (看公式就可以判斷)
- inherent risk跟control risk成反比 (看公式就可以判斷)
- detection risk越高,審計程序的Nature、Timing、Extent越小
- audit risk越高,重大性要設得越低,才能偵測到錯誤
應對風險的方式
先分清楚有幾種不同的測試:
Test of controls(TOC)-用於測試內控是否有效
Substantive procedures-包含Test of details(TOD)跟分析性程序
TOD-用於確認科目餘額跟財報金額相符
分析性程序-審計員依據歷史資料做出預期,再比較預期值是否和實際金額相符
- 進行dual purpose test: 針對同一筆交易,同時進行TOC、TOD兩者
- substantive approach ONLY: 如果Control risk太高,代表沒有可信的內控,那麼繼續做Test of controls就沒有意義
- 不論重大不實表達風險的高低,substantive procedures都是必要程序
- 即便substantive procedures沒有測出重大不實表達風險,也不代表內控有效;因為只有TOC可以降低assessed level of control risk (不是直接降低風險,只是降低審計員的風險評估,決定之後要做什麼樣的程序)
- 有使用IT時也建議要做TOC
IT
- application control: 用於單一交易
- general control: 用於所有交易的進行
- manual control: 適合金額大、但非重複性的交易
- automated control: 適合數量多、重複性的交易
- 使用IT的缺點:有人未經授權、卻能夠接觸到資料的可能性增加
- 使用IT的優點:減少隨機的錯誤(但還是可能有系統性的錯誤)
- 運用IT不會改變審計目標,不能取代審計員的專業判斷
電腦審計
- transaction tagging
就是walkthrough的電腦版,審計員在客戶的系統中選擇一筆資料,然後追蹤它前後的流程
- embedded audit modules
在客戶開發系統的時候就要嵌入這個module,讓審計員可以從系統中蒐集資料。但因為嵌入過程需要審計員的協助,很多審計員不願意使用
- test data
找一個結果已經確定的資料(invalid data/dummy data),用客戶的系統重跑一次,看跑出來的結果是否相同,來判斷系統是否正確運作。
- integrated test facility
用客戶的系統跑一個真實的資料(live data),進行的時候不能讓客戶知道審計員正在進行測試
- parallel simulation
用審計員的系統重新跑一次客戶真實的資料,再把結果跟客戶的結果比較
- generalized audit software packages
用客戶的系統執行審計程序,可以擷取並分析資料。審計員需要具備一些(不用很多)IT知識才能夠使用
Engagement risk
一些在審計過程中比較有風險的情況
- 法令遵循
審計員不需要負責預防跟偵測不守法的狀況,但需要了解客戶的法遵架構,因為不守法可能會間接影響到財報(比如被罰款、求償)
對審計而言法遵風險較高,因為審計員不懂法律
- 會計估計
- 或有負債
會計估計跟或有負債都是管理階層的責任,審計員要做的是判斷管理階層的處理方法是否恰當,還要跟管理階層取得聲明書確認管理階層已經揭露所有必要資訊。如果客戶有聘用律師,審計員也要寄函證給律師了解客戶的訴訟狀況。
- 關係人交易
審計員需要確保關係人交易有適當揭露,不需要確保關係人交易的公平性(arm's length)
審計員還是要跟管理階層取得聲明書: conflict of interest statement
在台灣的審計實務也是一樣,每次審計收尾都要請上市公司的管理階層簽十幾份聲明書,如果真的出事了多少能夠自保
更多美國會計師考試準備方法彙整在:【USCPA 美國會計師】全攻略
----------------------------------------------------------------------------- 如果你覺得這篇文章對你有幫助,歡迎
- 點擊下方綠色圖示【拍手五下】,免費給我鼓勵👏
- 【贊助】、【訂閱】讓我更有動力創作🙂
- 追蹤、收藏、愛心、分享,都是最好的肯定❤️
