这是这个问题对于我这个长期在国内所任职的人来说,实在没什么发言权,只能根据接触到的简单谈谈。
说到审计方法,我觉得四大所倒真是严格按照审计书上写的来做的,先做符合性测试,再做实质性测试,用符合性测试的结论来指导实质性测试的工作,并且IT审计贯穿于审计工作的始终。但国内所在这些方面是做不到或者流于形式的。
在我接触到的四大的审计项目中,基本上都会花费巨大的人力和时间来进行符合性测试,对企业的每个运作环节和关键控制点进行测试,用测试的结论来修改审计计划,并对实质性测试的针对方向和审计重点进行修正,对客户的风险把控非常到位以后再来做实质性测试。通常在整个审计工作的时间比重里,前期的符合性测试要占到2/3的时间,而实质性测试则可以根据符合性测试的结论而相应削减大量的工作,所占的时间相对较少。
而对于一般的国内所而言,审计工作一开始就进入到实质性测试,符合性测试基本不做,或者即使做也只是对风险的控制环境进行简单的了解和测试,主要工作就是大量的抽查、复印会计凭证和重要单据。很难向四大所那样详细并认真的进行符合性测试。
其实并不是说这些国内所不想这么做,关键的问题就是成本!众所周知的是,四大的审计费用非常高昂。同一个项目,四大能收20万美元,而国内所可能连20万人民币都收不到。而且由于四大所的国际知名度,导致他们对品牌的管理和运营达到非常严苛的地步,对于审计工作和审计程序的坚持是压倒一切的。所以在与企业进行审计费用的议价以及时间要求上,四大比国内所拥有无可比拟的优势。所以相对而言,四大比国内所更有能力和时间来进行他们的审计工作。
所以能够按照四大所或者说按照标准的审计程序来做的国内所基本上都是那些国内排名靠前的大型的事务所,但是由于审计体系、主要员工的工作风格以及审计意识的缘故,使得这种坚持很难持久。
我一个极要好的朋友就亲身经历过这种事情,他所在的事务所在建所的时候,把包括四大某所的全球副总裁和6位合伙人以及多位项目经理在内40多人全部都挖了过来,按照四大的审计程序、流程甚至用人的风格全部移植过来,甚至要求员工都用英文写底稿和大段的说明。在运营初期,事务所从上到下坚持了这种在其他国内所看来极为消耗成本的审计方法,的确取得了不错的成绩,得到很多高端客户的认同。但是由于具有这种意识的初级审计人员人数较少,并且由于无法像四大所那样投入大量的人力,所以使得每一个项目的项目经理和合伙人都非常劳累。但在当时,大家心气儿很足,这种弊端并未引起广泛的关注。
到后来,证监会等监管机构对于高风险企业的风险控制意识逐步提高,也相应要求国内事务所提高风险控制,并加入相关的程序检查。按道理说,这应该是这个所收获的果实的时候。但实际上正是由于前期审计体系和这种意识的继承性出现了问题,原先入所的初级审计员工和项目经理因为先前过于劳累的工作而离开,审计意识的继承出现断档,仅仅靠几个留下的高级经理和合伙人来支撑局面。而他们的意识又不能像之前那样顺利被传达到具体的审计人员,这样就出现了问题。
而更致命的是,由于在监管层面对于风险控制提出了要求,很多国内所为了符合监管要求,仓促上阵并将监管层关注的重点程序化、条文化。不是为了控制风险而去履行审计程序,而是为了防止检查出错而去补程序,使得在很大的范围内风险控制流于形式。事务所的很多人看到这种审计方式,只增加了一点点成本,同时又能符合监管层的要求,而且还能给人以“专业”的观感,那又何乐而不为呢?
于是,好的传统被遗忘,形式化的审计程序被广泛的执行。甚至很多新入职的同事根本不知道为什么要取得那些系统界面的截图、那些会议纪要、那些风控阀值的设置,他们很多都是为了防止检查或者领导要求而去做审计程序。
当然IT审计也是四大优于国内所的一个环节。对于高风险企业,特别是金融企业而言,不做IT审计就等于没有进行审计。而在这方面,专业人员的匮乏,是国内所无法和四大所竞争的关键因素。国内所也只有排名靠前的几家大所能够让IT部门参与审计工作,而审计效果都不能称得上是满意的。四大所一般都有专门IT审计部,这些人员既是审计专家又是计算机高手,他们对于金融行业的信息系统和风控系统的熟悉程度和钻研力度超过绝大多数的国内所人员。而且他们的工作风格和审计体系已经形成一种文化、一种DNA,当他们出现在现场,你就能感受到他们才是专业的!
这种差距很大,很令人绝望,但国内所的人员还在努力去缩小这种差距,用规模优势去抵减四大的技术优势。去努力用心做好每一步审计程序,总有一天,我们也可以像他们一样专业,甚至比他们更强大!
点击在线咨询泽稷老师,ACCA中文宝典免费领,更有机会获得海量免费ACCA学习资料。