【USCPA 美國會計師】AUD重點及準備方法-4 風險、內控

AUD重點

風險評估

風險評估在審計的規劃階段就要執行，步驟包含

1. 了解企業跟環境
2. 了解內控
3. 詢問管理階層
4. 分析性程序： - 看財務跟非財務的資料 - 比較實際數字跟預期數字

如果在審計過程中，發現風險程度有改變，就要重新評估風險並更改審計程序

內控

重要觀念：內控要注意的是題目到底問的是什麼樣的內控? 在規劃階段要"了解"內控(understanding)，包含內控的"設計"(design) 在執行階段才會"測試"內控的有效性(test the effectiveness)

內控五大要素一樣是會問某個行為是屬於哪一個要素，不過這部分比前面章節好判斷一點。可以注意的是：

• 內控是管理階層的責任，五要素中的風險評估也是管理階層的責任
• 權責分工屬於existing control activities，重點是授權、紀錄跟保管三個功能要由不同人進行(三個功能是之後內控循環很重要的觀念)
• 管理階層設計內控時也要考量成本效益，而不是把所有控制手段都用上

評估內控

• 內控的設計：是否能夠預防、偵測跟修正錯誤
• 內控的施行：內控是否有正常運作，執行的人是否有能力
• 評估內控的方法：詢問、觀察、檢查、walk-through
• 了解內控後要記錄下來，但沒有規定要用什麼形式，可以是流程圖、文字描述等

內控的限制(inherent limitation)

常出題的地方！因為內控有這些先天的限制，因此即便內控有良好的設計，仍有可能無法發揮功能

• 管理階層逾越(override)
• 人工疏失
• 共謀(collusion): 例如權責分工中負責記錄的人(會計)跟負責保管的人(現金保管人)聯手，就有可能騙過其他人把錢偷走

Fraud risk

• 舞弊三角: 動機(壓力)+機會+合理化
• 管理階層的責任: 推行內部控制以預防、阻止及偵測舞弊
• 審計員的責任: 設計、規劃及執行審計來得到確信(reasonable assurance)，所以即使高品質的審計仍可能沒辦法發現舞弊
• 若審計發現舞弊，應該要向參與舞弊者的上一級討論
• 但如果舞弊導致重大不實表達、或者有高階主管參與，就要跟those charged with governance討論
• 審計員不用將舞弊向管理階層跟those charged with governance以外的人報告。審計員需要向第三方揭露異常狀況的情況只有：更換會計師(需要通報SEC)、下一任會計師承接前的必要詢問、客戶有拿政府補助(拿政府補助還舞弊，一定要通報給政府)

Audit risk (重要！)

公式一定要記下來：

audit risk=(inherent risk×control risk)×detection risk =risk of material statement ×detection risk

• control risk: 內控失效的風險
• detection risk: 審計員沒有發現重大不實表達的風險，審計程序的Nature、Timing、Extent都取決於detection risk
• inherent risk、control risk跟重大不實表達風險: 審計員都無法控制，只能評估風險的高低。只有detection risk受審計員的控制
• 重大不實表達風險跟detection risk成反比 (看公式就可以判斷)
• inherent risk跟control risk成反比 (看公式就可以判斷)
• detection risk越高，審計程序的Nature、Timing、Extent越小
• audit risk越高，重大性要設得越低，才能偵測到錯誤

應對風險的方式

先分清楚有幾種不同的測試： Test of controls(TOC)-用於測試內控是否有效 Substantive procedures-包含Test of details(TOD)跟分析性程序 TOD-用於確認科目餘額跟財報金額相符 分析性程序-審計員依據歷史資料做出預期，再比較預期值是否和實際金額相符

• 進行dual purpose test: 針對同一筆交易，同時進行TOC、TOD兩者
• substantive approach ONLY: 如果Control risk太高，代表沒有可信的內控，那麼繼續做Test of controls就沒有意義
• 不論重大不實表達風險的高低，substantive procedures都是必要程序
• 即便substantive procedures沒有測出重大不實表達風險，也不代表內控有效；因為只有TOC可以降低assessed level of control risk (不是直接降低風險，只是降低審計員的風險評估，決定之後要做什麼樣的程序)
• 有使用IT時也建議要做TOC

IT

• application control: 用於單一交易
• general control: 用於所有交易的進行
• manual control: 適合金額大、但非重複性的交易
• automated control: 適合數量多、重複性的交易
• 使用IT的缺點：有人未經授權、卻能夠接觸到資料的可能性增加
• 使用IT的優點：減少隨機的錯誤(但還是可能有系統性的錯誤)
• 運用IT不會改變審計目標，不能取代審計員的專業判斷

電腦審計

• transaction tagging

就是walkthrough的電腦版，審計員在客戶的系統中選擇一筆資料，然後追蹤它前後的流程

• embedded audit modules

在客戶開發系統的時候就要嵌入這個module，讓審計員可以從系統中蒐集資料。但因為嵌入過程需要審計員的協助，很多審計員不願意使用

• test data

找一個結果已經確定的資料(invalid data/dummy data)，用客戶的系統重跑一次，看跑出來的結果是否相同，來判斷系統是否正確運作。

• integrated test facility

用客戶的系統跑一個真實的資料(live data)，進行的時候不能讓客戶知道審計員正在進行測試

• parallel simulation

用審計員的系統重新跑一次客戶真實的資料，再把結果跟客戶的結果比較

• generalized audit software packages

用客戶的系統執行審計程序，可以擷取並分析資料。審計員需要具備一些(不用很多)IT知識才能夠使用

Engagement risk

一些在審計過程中比較有風險的情況

• 法令遵循

審計員不需要負責預防跟偵測不守法的狀況，但需要了解客戶的法遵架構，因為不守法可能會間接影響到財報(比如被罰款、求償) 對審計而言法遵風險較高，因為審計員不懂法律

• 會計估計
• 或有負債

會計估計跟或有負債都是管理階層的責任，審計員要做的是判斷管理階層的處理方法是否恰當，還要跟管理階層取得聲明書確認管理階層已經揭露所有必要資訊。如果客戶有聘用律師，審計員也要寄函證給律師了解客戶的訴訟狀況。

• 關係人交易

審計員需要確保關係人交易有適當揭露，不需要確保關係人交易的公平性(arm's length) 審計員還是要跟管理階層取得聲明書: conflict of interest statement

在台灣的審計實務也是一樣，每次審計收尾都要請上市公司的管理階層簽十幾份聲明書，如果真的出事了多少能夠自保

更多美國會計師考試準備方法彙整在：【USCPA 美國會計師】全攻略

----------------------------------------------------------------------------- 如果你覺得這篇文章對你有幫助，歡迎

• 點擊下方綠色圖示【拍手五下】，免費給我鼓勵👏
• 【贊助】、【訂閱】讓我更有動力創作🙂
• 追蹤、收藏、愛心、分享，都是最好的肯定❤️