事务所领导人对于审计质量的尴尬

声明：本文只为探讨注册会计师的现状和未来的发展，大家切不要去落井下石。会议中交流的内容均属于特定环境下的片面交流，并不能代表某个事务所，也并不代表某个人的真实情况，切勿拿来断章取义。仅供学习与参考。

关于审计无效的实践.wma

Q:作为一个具体的审计项目的利益相关方，是不是可以要求审计机构披露一些跟这个审计项目相关的一些信息，这方面有什么样的实践吗。

A：实际上，会计师事务所透明度报告的内容，分为强制性的和自愿性的，所有的内容是站在事务所层面解释，是看这个事务所到底可信不可信。他的设计是这样的，他很少会说一个项目的内容。

Q:我不是审计专业，我是做投资的，我们会经常需要去看审计报告，来去做判断。我就遇到过一个实际的情况，我们当时请了一家审计事务所去审计一个项目，审计报告出来之后，和我们获取到的一些内容是有差别的。我们就觉得这个审计的数据反映的有问题，我们就跟审计事务所去交流，为什么会出具这样的一个结论，做了哪些基础数据，怎么样去做的分析，怎么样的出来的这种结果。我们想从中这样的一些细节来去判断它给的结论的可信度。但是当时被审计事务所以内部工作的保密等理由，导致了交流的无效。我的意思就是说，审计的结果最直接的影响的就是与审计工作有关的利益相关方，那么我们对这个审计质量的受害，或者受益的程度，对公众的影响更严重更深刻。是不是对于利益相关方来讲，有一些规则，或者事务所内部的一些流程，在很多情况下是对利益相关方去披露。

A：是这样，事务所形成的审计工作记录，工作底稿首先是事务所的财产，谁有权力知道它是怎么审的？它是怎么调的？结论是怎么得出来的？谁有权力检查审计底稿呢？监管部门，行业协会，公检法，包括纪检纪委。一般的利益相关方你不能要求它把它的工作底稿拿给你看。

Q：为什么，我觉得这样不太合理，它的这个工作是直接影响利益相关方的判断的。

A：它不允许这样做的，你要合作的话，你就按证监会公布的信息选择合适的事务所，你信赖它，你不能说它做的工作你拿过来判断它的工作做的到位还是不到位，你没有这个权力看工作底稿。

你提到的问题非常好，以前的审计报告是短式标准的审计报告，那么它的信息含量非常有限，尤其是标准无保留意见，它的报告的格式、措施、内容全是一样。现在的监管部门，投资者意识到了审计报告的局限性，所以现在新的审计报告丰富了信息含量，尤其增加了关键审计事项之后，把注册会计师审计的时候，把识别的重大错报风险的高领域，特别风险，或者管理层的重大判断，当年发现的重大的交易、投资、变动等，梳理完之后，写入最重要的在审计报告中。

如果你不相信这个事务所的话，你看审计底稿是看不了的，它不会给你看，如果有长期合作关系的话，它会给你讨论，告诉你审计的时候做了哪些工作，遇到哪些问题。但一般的都不会给你讨论，因为这是企业自己的秘密，比如你是个投资方，它不会跟你讨论，如果你想知道，直接找企业最合适，从法律角度也是这样的。

底稿保密是全球通行，法律规定的。

Benny：我们知道，目前的审计报告越来越趋于无用化，甚至不可信化，公众对审计的信赖度越来越低。

我交流中，与很多央企与外企的同仁们在探讨，我们现在出具的审计报告，大部分都只是为了出具报告而出具报告，所谓的谈的审计质量，也只是为了报告而报告，我执行了程序，按审计准则要求披露的相关的内容，好像就完成了工作。

你出具的审计报告，价值在哪里呢，没有市场价值，那么也就意味着现在审计费越来越低，各大事务所生存的压力也越来越大。

如果这项事物本身就是没有意义的，那么就是没有价值的，那么按照一个没有价值的标准，或者没有利用价值的标准出具的产品，也只能是一堆废纸而已。

即使你真的勤勉尽责，获取了充分适当的审计证据，这种证据，这种判断，本身也是一个人的主观判断而已。

审计报告，是要给人看的，谁会看审计报告呢，只有利益相关者会看，其他的研究者、学习者其实都是局外人。

而不同的利益相关者，对审计质量的看法是不一致的，我们更应该从报告使用者的角度去看问题，而不是以你自己的角度去看问题。

很多事务所根本不懂业务，或者对某个行业不熟悉，对某项商业模式缺乏经验，但它依然可以熟练的做出底稿和报告，这种报告反映出的数据事实，往往是失真的。

审计底稿是事务所的生产工艺或者生产记录，外界无权查阅，但是至于保密与否，其实是相对的，事务所其实向相关利益相关者进行一些解释说明，可以得到更多的信赖，也并不会涉及保密信息。

比如一些报告中的逻辑，你查阅了哪些内容，做了哪些程序，你的思路是什么，当利益相关者需要时，都可以做一个简单的描述，不仅可以得到信赖，也能够促进自身的学习和成长。

所以目前事务所审计的透明度非常低，但是我们其实可以发现，如果一个事务所它的审计质量越高，它越想去分享、去披露更多的信息，这也是专业价值的体现。那些审计质量低的事务所，更愿意以保密为借口。

实际上，往往很多事务所本身，就没有思路。做的程序，也只是底稿模板里的既定程序而已。

事务所总是说没有已经获取了证据，做了该做的程序。其实真正的是事务所对这个项目的风险点根本就没有做到足够职业怀疑，或者说根本就没有通过做的这些程序发现应该发现的可疑点。

我们看到，很多事务所出了问题，回答的解释都是表面化的，执行了程序好像就是护身符，而实际上，根本就没有思考过最根本的原因，没有找到问题的核心。

所有人其实都意识到了这方面问题，所以审计报告进行了改革，增加了灵活性更强的关键审计事项，让制式的报告变得开始富有变化。

但是仅仅是关键审计事项的作用，还远远达不到报告使用者的需求。

商业和市场的变化太快，信息不对称的情况日益严重，那么对于大量的投资来说，审计报告都不足以让他们获取到需要的信息，未来，审计也会面临着执业的变革，首当其冲的就是业审结合。

现在已经进行到预审的尾声了，很多项目在预审时都在做内控，甚至要出具内控报告，你还是在用十年前的内控底稿在做内控吗？内控就是做那么几项测试就真的足够了吗？

商业社会的变化天翻地覆，我在审计现场，感觉像是走进了世外桃源，完全还是十年前的一派景象。

你知道怎么发现风险吗，怎么风险管理吗，怎么合规审查吗？

如果这些都做不到，怎么能保证你的审计数据的真实可靠呢？

我们太熟悉审计的程序，怎么看数字，附注披露的要求了，我给很多人讲过审计的分析方式，横向分析，纵向分析，内部分析，外部分析，数字怎么看，报表怎么看，从中发现问题，发现风险。

但是你分析的仅仅是数字，只是数字逻辑的合理或者不合理，真实情况真的是这样吗？

你一定要了解数字背后的故事，故事背后的原因，才能做出判断。

而这些故事包括业务模式的变化，创新业务的拓展，市场的调整，战略的定位等等。

尤其是现在企业都讲究创新，创新是目前企业生存下去的唯一方式，而这些创新，它所带来的风险，发生风险的概率，容忍程度，跟之前的传统业务已经完全不一样了。

这种业务怎么样去判断风险呢，有些风险也许没有达到重要性水平，但是不代表不重要。

对于事务所来说，你如果不能了解一个企业业务变化，战略调整之后应该对企业的资产、负债权益、利润所带来的变化影响，你的判断往往是错误的。

比如，你发现一个新增加的客户应收账款金额巨大，逾期的风险也增加了，但是这可能是由于企业新的业务拓展所造成的，是企业不得不经历的。这项巨大应收账款的产生，是推动企业持续发展的唯一发动机。那么你在报告中，应该如何反映和披露，能给报告使用者带来真实的信息吗？

审计质量控制环节的实体现.wma

Q：事务所对于审计质量控制的环节有哪些体现，有哪些点？

A：整理质量控制的政策，从事务所来看，看不出大的差异，包括目前有事务所层面的质量控制准则，有审计业务、项目层面的质量控制，iaasb对事务所的质量控制准则做了修订，一个事务所层面的业务质量控制准则，第二是针对公众利益实体项目质量控制复核准则，第三针对审计业务的质量控制准则，这三个准则，各个事务所之间有多大差别，各个事务所都有不同的情况，比如立信，所有的质量控制全部收紧，第一个要求事业部和分所，有一个管理信息系统，所有对证监会，交易所，财政部，中注协，所有的只要盖立信公章的文件，我不签字是报不出去的。

Q：就是一个签字复核对吧

A：我不是说我亲自去做，我把这些文件分给技术标准部和风控部，让他们去核，核完之后，告诉我可以出了，我签个字，这就是质量控制的重要方面。

Benny：其实这就是一个签字复核，是每个企业，甚至现在连几乎所有中小企业都在实施的事情，并不足以着重去说。

另外，从整个的表述来说，立信的内控或者权责的设计本身就是有问题的，从表述来看，你只是一个签字官，你并不会亲自去看、去复核，而是你的技术部或者风控部告诉你可以了，你就去操作，那么这个流程流转到你这里，还有什么意义呢？直接把权责流转到技术部或者风控部，然后抄送给你备案不就行了吗？

或者，把项目分为不同的等级，不同等级的项目，权责的流程不同，哪些必须经过你审核，哪些不需要经过你，只需要抄送你备案，这是最基本的权责和内控设计。否则，你只是一个签字官，那么你事务所本身的内控执行实际上就是无效的。

当然，由于只是交流会，我们也不了解立信的真实情况，现场的表述也未必是全面和完整的，我们只是借这个例子进行一个思考和探讨。

另外，关于审计质量，这里表述的只是流程，而审计质量的关键，在于项目中的实施和控制，这就像审计报告贴画，印二维码一样扯淡。不是说这项事物不好，只是说，这并不是关键问题。如果你审计报告中的数字是假的，你的报告即使贴满了二维码也是假的。

对于审计质量的理解，看来我们都不在同一个点。

A:第二个，我对一线合伙人的责任方面，有些一线合伙人遇到重大问题不报告，审计署和证监会等找过来了，才知道。这方面，建立了一个投诉制度，我把项目合伙人的问题分为重大缺陷和重要缺陷，重大缺陷是明知企业会计准则不符合规定，影响重大的等，这种明知这些问题，却不再底稿中反映，不去风控部门报告，那么有人投诉之后，不管是企业、员工等投诉，收到投诉查明之后，把审计业务收费的50%给到投诉人，另外50%为监管费用。

另外就是重要缺陷，审计程序不完整，该做的程序没做到位，该利用专家的没有利用专家，收到投诉之后，罚款项目组10万块，有针对性做一些东西。

强化的风控所长，立信总部设了三个风控所长，把所有上市公司业务，由这三个人作为质量复核负责，所有的分所都从总部派风控负责人，制定了风控所长的规定，要求作为一个项目必须做到哪些东西，才允许项目合伙人签报告，签了报告盖章的时候，要风控所长亲自上传报告，确保我批准的你盖章的报告是最后的稿子，不能说项目合伙人去上传。

Benny：举报制度，是不错的制度，但是并不是一个重要的抓手，举报本身就是一个十分被动的监管方式，我不知道立信内部的举报率怎么样。先不说举报是否实名还是匿名，实际的处理也存在很大的难处。

举报制度应该是一个公司合规管理的最后一道防线，是最滞后的一种方式。

为什么明知有问题不报告，肯定涉及相关的利益问题，或者为了能够维护住客户，铤而走险，毕竟每个人，每个事务所都要生存。

而程序不完整，不到位，没有利用专家的缺陷，是事务所人员的专业能力不够，更应该做的是加强培训，合理安排工作，提升专业能力。

不怕一个审计师没能力不能发现问题，更怕有能力的审计师为了利益去掩盖问题。

对于风控来说，一旦出现了重大缺陷，首先风控应该一同享有连带责任，并且加强风控与项目组的沟通。

不能出了问题，项目组承担，或者签字合伙人承担，而风控不承担足够的责任，那么风控就意味着可能失效。