1

　　风险评估（Risk Assesment）

　　理论上来说，风险评估是在接触客户的阶段、签署审计服务协议之前要完成的工作，目的就是为了确定这个客户（尤其是新客户）是否可能存在重大固有风险。准确地说，是固有风险中的一部分（可以称之为“整体固有风险”）。这种风险可能来自多种方面：所处大环境的波动；业务模式和复杂度；管理层的资历、能力和履历；过往的审计师是谁；以前年度审计报告的意见类型；以前年度审计调整的数量和类型；乃至客户可能愿意承担的审计费用等等。大致上评估风险时必须考虑的问题包括但不限于：

　　所在行业

　　所在国别/地区

　　公司存续年份

　　审计目的及报告类型（法定审计或特殊目的审计？）

　　审计区间

　　上一年度审计师

　　上一年度审计意见类型

　　上一年度审计调整的数量、类型 新客户的大致背景资料（组织架构，管理层构成，主营业务，资产及收入规模，盈利/亏损/break even，……），或老客户本年度的重大变化

　　是否存在持续经营的问题

　　欺诈风险（Fraud risk）评估（有一整套指标，不展开了）

　　此项目是否可能违反事务所的独立性要求 预计项目组人员的配比，是否满足专业能力和经验的要求，是否可能存在利益冲突

　　是否需要借助外部专家的能力

　　预计项目工作时间及收费情况

　　每个事务所会有一套自己的评估标准，通常是对每个指标给予量化评分，并赋予不同的权重，计算一个加权平均分。再比对一个事先设定的对照表，视乎评分结果落在哪个区段内，来确认这个项目的固有风险程度，并判断是否要接这个案子、能以什么价格来接。假如固有风险过高，意味着所需执行的实质性测试程序将复杂到无法承受的地步，这个案子照理就不该接。这张对照表是事务所内最有经验的合伙人和会计师共同讨论的结果，理论上来说是这家所风控的核心之一。  实际操作中，评估过程可能比这复杂得多，对于大型的新客户一个planning做几个月是跟正常的事情。当然也可能简化，至于能简化到什么程度，看会计师自己的尺寸了，有人要说我就是胆子大不做风险评估什么案子都接，当然也可以，我也无权枪毙他。

　　2

　　了解客户的业务（Understand Business）

　　在风险评估阶段实际上已经覆盖了一部分此类工作，但毕竟是比较粗线条的。和客户谈好了价钱、签了服务协议、开始进场工作后，需要对业务情况做进一步的了解。这块工作是预审的主要任务之一。理想中的预审应该就是了解业务、评估内控、设计审计程序、穿行测试、符合性测试（除非是要做hard-close，但我个人很不赞同hard-close这种低效率的方式，这只能是偶尔为之、没办法的办法，能少用就少用）。

　　对业务的了解至少应包括以下方面：

　　公司背景（部分在风险评估阶段已涵盖，此外还包括资本金状况、所用财务系统及ERP系统、所处环境的重大变动等）

　　管理层和财务人员构成（比风险评估阶段更细化，除高管外还包括主要业务流程的负责人、以及财务部职责分工）

　　主要供应商

　　主要客户

　　竞争对手

　　关联方

　　适用的税种、税率、减免优惠政策

　　需要说明的是，虽然做的事情和前一阶段有些类似，但这一阶段的目的是在于：

　　1）判断某个会计科目或业务环节的个别固有风险，

　　2）为下一阶段的循环拆分做准备。在这个阶段，就会涉及到题目中所说的财务报表，因为某一个会计科目的余额或发生额是影响其个别固有风险的要素之一，但绝不是唯一。这就是为什么在一开始我说单看报表不可能完成对风险的评估。  第一阶段和第二阶段的工作都是以客户整体为对象的，不直接解决题目中问的“判断哪些是审计重点”，但是是下面工作的前提。

　　3

　　对主要业务流程和控制节点的描述（Understand Control System）

　　在做完上面阶段二的工作后，会计师已经可以对客户的业务概貌有所了解。通常一个业务模式可以被拆分成不同的业务循环（cycle）。理论上来说，财务报表只不过是业务行为的量化记录，因此每一个会计科目的每一笔分录（断句）都是由特定的业务循环中所发生的行为（断句）而产生的，也可以由此把每一个科目对应到不同的业务循环。  以一个典型的制造业来说，主要的业务循环通常包含销售、采购、库存管理、成本结转、固定资产及无形资产管理、人员薪酬、费用报销等。每一个循环包含若干个子循环。以一个简化的销售循环为例，可能包含的子循环有：签订框架协议——维护及更新销售合同主文档（master file）、客户主文档——收到及确认订单——发货的系统记录及会计处理——开票及流转税计提——收款及对账——销售佣金计提，等等。每一个子循环中涉及若干关键的控制节点（control activity），对应某个或某几个控制目标（control objective），用以覆盖某个风险。具体的control matrix如何来确定这里不展开了，太费事。有兴趣的可以自己去看COSO。当然实务中会简化，尤其是对于没有SOX或C-SOX filing要求的非上市公司。  如果某些潜在风险没有被现有的任何一个控制节点所覆盖，那么就可能产生一个控制设计缺陷。会计师可以评估这个设计缺陷导致的控制风险有多大，后续能否、以及需要采用什么实质性审计程序来覆盖，将会影响到哪些会计科目。

　　4

　　穿行测试（Walk-through）

　　穿行测试的结果可以验证第三阶段所完成的内控描述在实际工作中是否被执行。对于穿行测试失败的控制点，审计师需要了解失败的原因，判断是否应当修改对控制节点的描述、以及修改后的流程是否仍能覆盖相应的风险。如果不能，结果相当于设计缺陷，类同于上面第三阶段的情况。  通常审计计划阶段到此为止，也有认为穿行测试不属于计划阶段的内容。

　　5

　　设计符合性测试

　　对于穿行测试成功的控制节点，会计师要设计相应的符合性测试方法，以及测试所需样本量。测试方法是根据上面的内控描述来定制化的，样本量要求通常是各个所有自己的标准的（虽然都是基于审计准则，但由于对风险程度的判断和承受能力不同，是有可能差得挺远的）。强调一点，符合性测试的手段是多种多样的，不是只盯着有没有签字有没有授权就可以的。

　　6

　　执行符合性测试

　　符合性测试的结果决定了某一个控制节点是否真的有效，向上延伸可以推断所对应的控制目标是否实现、风险是否被覆盖。如果某个会计科目所mapping的所有业务循环中的控制节点都有效，这个会计科目的控制风险当然就是低的。在整体审计风险和固有风险确定的前提下，可接受的检查风险就可以提高，需要执行的实质性测试就可以减少，也就是所谓“相对不那么重点的审计项目”。