审计终究是干什么的？ 没有审计会怎样样？

　　他问：你们跟税务局查账，完了补税是一回事么？（税务局的同志你们在劳动人民心目中真是硕果累累的代名词啊，哈哈）

　　我说，不是的，概括地说，审计的工作重点是看企业的财务报表跟会计准则要求比起来，有没有存在重大虚假记载、重大误导性陈述和重大遗漏？

　　我说：一家上市公司拿着大喇叭说，我一年下来挣了500万元哦；因为上市公司股东是公众，所以强制要求审计，会计师事务所一通查下来，调整再调整，额，挣了100万元。其实这还是比较好的，有些调整下来还亏了300万元呢。当然有些时候，会计师事务所都不晓得这家上市公司到底是赚是亏，这时候，会计师事务所就说这活儿不了，不干了。

　　不过经过审计的财务报表，比起企业原创的，肯定主观估计和假设的可靠性要好很多，因为签字注册会计师和会计师事务所盖了萝卜章说自己认这个数，是要负法律责任的。有些主观估计和假设跑得太远的，肯定要拉回来一点。

　　内部审计不仅是现实资产的守护者、财务报表的复核者、会计核算的勾稽者，更是强化管理的促进者、提高效能的推动者、价值增值的促导者。内部审计必须以「强管理、防风险、促发展」为己任，积极探索以「风险为导向、控制为主线、治理为核心、发展为目标」的管理审计和绩效审计，积极探索以「事前审计为基础、事中审计为重点、事后审计为保障的」的审计模式。这段话是国家审计署审计长刘家义关于内部审计工作提出的建议和要求。

　　国际内部审计师协会给出的最新定义：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。从定义上可以看出内部审计的目的是帮助企业实现经营目标。和外部审计相似，内审做的也是鉴证和咨询工作，不同的是外部审计提供的是中介服务，服务对象不固定，谁委托就为谁服务；内部审计的服务对象是固定的，作为企业的常设机构，它要持续地为企业问诊把脉，发现问题，解决问题。

　　很多企业内部审计的工作主要分两类，一类是常规性的，以会计准则和公司规范为准绳，查错纠弊；另一类是非常规的专项审计，比如针对费用支出是否合规的期间费用审计，针对存货管理、往来款管理、固定资产管理合理性的资产管理审计，针对下属企业业绩考评的绩效审计等。自从国家发布《企业内部控制基本规范》以来，内部审计的职能正在发生转变，从单纯的财务收支检查转向提供管理咨询服务，从事后审计转向全过程审计，从查错纠弊转向内控评价和风险评估。具体的审计方向有以下几种：

　　风险导向审计最早是由中介审计机构提出的，即「从被审计单位经营风险入手进行审计」。它基于如下理论：审计风险主要来源于企业财务报告的重大错报风险，而错报风险主要来源于整个企业的经营风险和舞弊风险。反过来说，企业的经营风险和舞弊风险小而可控，那么错报风险本身也会降低。现在很多大型集团公司规模不断扩大，经营环境复杂多变，内审工作也在推行风险导向审计。

　　信息系统的正常运行已成为很多大中型企业正常运营的基本条件，因为信息系统是内部控制的重要手段，它在提升企业核心竞争力的同时，又起到防范经营风险的作用。企业的业务流程对信息系统的依赖程度正在日益扩大，所以信息系统审计也越来越得到企业管理层的重视。

　　信息系统审计要求审计人员对计算机技术有一定了解，审计工作还是要围绕着内控管理进行。大的方面要检查信息系统整体控制是否有效，基础设施是否完备，信息安全是否有保障等等，具体要关注业务流程中嵌入信息系统相关控制的有效性，以保证信息处理的完整性、准确性、有效性和访问控制。系统控制包括数据控制（数据流转的一致性，不得随意更改）、业务流程控制（事项的分级授权与审批）、接口控制（串联起各环节、各部门，让信息自动流转）等等。

　　内部控制审计就是确认、评价企业内部控制有效性的过程，包括确认和评价企业控制设计和控制运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制建议。2008 年 5 月，财政部等五部委联合发布了《企业内部控制基本规范》，随后又发布了《企业内部控制配套指引》，2012 年 1 月 1 日起，证监会要求 A 股主板上市公司开始施行，并开展内部控制自我评估，在披露年报时同时披露内部控制自我评估报告。自此内部控制审计成为上市公司审计部门的一项重要工作。

　　提到审计，很多人会认为就是会计查账，其实查账是审计最基础的工作。审计也有很多种类型，比如企业内部的审计，公司人人唯恐躲之不及，政府审计也一样。而很多同学想进入的审计行业，比如四大会计事务所，就属于商业审计的范畴，商业审计往往要求执业人具有较高的职业道德和专业胜任能力，能够从第三方的角度，客观公正的对企业的财务状况发表意见。这就是审计的三种类型，知道这些入门常识后，来看看商业审计到底是做什么的。

　　审计的方法论，相对是比较枯燥的，如果没有实际的案例辅助理解的话，弄明白是很费劲的，这就是为什么很多没有实务经验的人看CPA考试的审计书就像看天书的原因。事务所的工作是先接触实务，通过工作的体会，一步步了解审计，最后才完整地接触理论。

　　第一个阶段一般是在10到11月份执行。首先是预审，需要一周左右的时间，天博这个阶段执行的审计程序非常集中和系统，也就是PRC准则下的内控测试。方法就是将企业的行为，包括非财务行为，分为7大系统：分别是Financial accounting cycle（财务报销穿行）、Expenditure cycle（采购穿行）、Inventory cycle（存货穿行）、Fixed assets cycle（固定资产穿行）、Revenue cycle（收入穿行）、Payroll cycle（人事穿行）、Treasury cycle（投融资活动穿行），每个系统都会去检视公司的内部控制活动，确认关键的内控点并监查公司有没有得到执行。

　　第二个阶段就是年终结束后的审计活动。年审需要一到两周不等，大的项目需要3到5个人关注一个月以上，小的项目3个人一周就能完成。这个时候执行的审计程序基本上都是Substantive testing的范畴，包括：

　　①抽样测试。审计师会对每个被选定为重大风险的科目执行抽样测试，确定的重要性水平下，对每个科目抽取数量不同的样本，检查抽中的样本在处理上是否有原始的单据、真实的交易内容和是否经过正常的审批流程等等,并记录相关信息。这种方法的优点就是简单，缺点是数量比较大，保证程度较低。根据德勤的审计方法，收入的抽样是150笔（高低估各75笔），数量是比较大 ，需要一个A1一到两天，效率较低。

　　②匡算。这也是一种常用的手段，简单的说就是重新计算。比如说客户账面记录本期管理费用有200万的租金，那审计师就会要求财务提供这两百万租金的租赁合同，然后自己算一遍，看到底是客户少记了还是多记了，记得时间对不对。这种方法的优点就是保证程度较高，但是有一些业务类型是不能这样做的。比如一个超市一年的收入是20亿，审计师是没办法进行匡算的。

　　③函证。所谓的函证程序，客户和关联方及重要的往来供应商之间的交易，以及客户与银行的账务，审计师都会单独寄送函证去询问，看这个客户今年截至12月31日在银行是不是有这么多的存款，是不是还欠某个客户多少钱，今年总共卖了多少产品。这样就可以确认客户账面银行存款、应收应付给某个供应商的余额是不是正确，收入或者采购的数据是不是准确等等。这个方法的优点就是保证程度非常高，是来自第三方的数据，理论上是最值得信赖的。缺点是周期长，并且由于时间结算点和归类不同等原因，函证寄回后对方的答复可能是否定的，你需要花费大量的时间去解释差异。同时这个方法一般只是用于银行与往来科目，在使用上有局限性。

　　④盘点。这个是很重要的方法，每年年末最后几天，审计师都会被派往各个客户现场去负责监盘，监督客户的年末盘点。对于存货较大的客户，盘点是必经的程序，并且理论上只有一次机会。这个测试的目的就是要看看客户年末账面上显示的资产是不是真实存在，有没有损毁和减值等等。

　　⑤分析性复核。这是一种普遍的方法，就是对比每个科目，根据明细列示的两年变动进行分析等等，来说明该科目本年核算的内容、变化原因和特点等等。

　　除此之外审计还包括很多其他的工作，例如调查，采用评估师的报告，网上查证和搜索等等，这些也可以作为审计证据的一部分。

　　很多人都很好奇，审计人员不是在加班，就是在加班的路上，是什么原因造成的呢？

　　那又有人会疑惑，搜集证据的行业我了解，律师、警察、检察院等，那没见他们加班这么狠呀？

　　要求真实、准确和完整，其中准确性是审计证据的一个特色，就是数字要对牢，他是有勾稽关系的，不能你找出一个数字就万事大吉，任何一个数字的变动都会影响资产负债表、利润表、现金流量表。

　　审计搜集证据只是第一步，第二步就是核对证据，第三步形成证据链条，第四步各个科目勾稽核对。这个时候你可能觉得工作差不多完成大半了。

　　你好不容易完成底稿，还有复核修改，有一级复核、二级复核、三级复核，还有企业核对确认。

　　每一道流程都要修改，而审计的系统性很强，不是你简单的改一个数字就可以，而是牵一发动全身。

　　你又错了，还有行业协会、证监会、财政等各类机构来质量检查，请记住这个词。

　　打分这个问题就是卷了，领导都是想拿高分，分高会减少后期的检查，你是想一直痛，还是短痛惨一点一次过关。

　　底稿检查也是活。而且是战战兢兢的活，人家说你有问题，你还真不好反驳，比如说你银行函证的项目不够完整，你可能反驳主要项目按审计准则都函了，对方会说；“嗯，60分是有了，但是80分还差一点”这个时候你只能吐一口老血。

　　审计是要确认公司记录的财务信息真实、准确、完整，就是搜集证据形成底稿，审计人员大部分工作都是在写底稿。

　　即使是一个小公司，麻雀虽小，五脏俱全，该开的底稿都得开，该履行的程序都得履行。

　　现在一些上市公司，动不动就几十个子公司，收费不涨，但是工作量是刷刷往上涨。

　　所以，大家平时请对审计人员多一份理解，多一份爱护，我在做审计期间经常听到同行审计现场嗝屁的消息。

　　审计被叫做经济警察，在很早以前并没有审计这个行业，那个时候有多乱，你们根本想不到，一家公司随便写一个报表就发行股票，后面出现了全面的暴雷的事情，很多投资者血本无归。

　　审计是一份神圣的职业，但是它的工作环境不神圣，还有那么一点苦，还被很多人不理解。

　　很多关于审计起源的科普会追溯到公元前好几个世纪，天博为什么公元前都需要审计呢？

　　信息不对称一般会说“交易中”的个人拥有的信息不同，其实也可以推广到我们身处的各个事件中，利益相关方拥有的信息不同。这可以感性的想象为类似“罗生门”“人的悲喜并不相同”的情况；或者“都是一个老师，怎么别人家小孩能考100分、自己家的只能考60分”的情况。

　　日常沟通中、特别是双方利益冲突不高的时候，这种信息不对称可以忽略。比如，路上有人笑、有人哭、有人喝奶茶、与人喝咖啡，这些感受没必要一定要相通。

　　当涉及利益冲突时，有必要采取一些手段，使信息不对称降低到利益相关方都可接受的范围，或者说，让决策参与者能就某事项的看法有所统一。

　　比如：一家企业，他的经营者（总经理）说，今年大环境不好，全靠我尽职履责，力挽狂澜，从亏损100减少到亏损10。投资者会觉得，今年大环境不好，但行业还可以，应该盈利20，怎么亏了呢？

　　此时，需要判断：第一，公司到底是赚还是亏；第二，行业到底如何；第三，公司业绩表现应该是怎样的？

　　对第一个问题，可以通过聘请外部审计师来解决，也可以通过内审解决。第2、3个问题，通常通过内审调查来回答。

　　审计工作的基础是客观。各种情况不能人云亦云，必须要有证据支撑。通过反复的沟通、调查，还原有客观证据支持的事实全貌。从而帮助利益相关者逐步就客观事实达成一定程度上的相同认识。

　　然而，审计不是解决争议的唯一方式，除了审计还可以诉讼、涉及上下级时可以根据命令来，甚至可以有更激烈的解决方式。

　　审计之所以还存在，可能在于审计能以相对较低的成本减轻一些非必要的信息不对称的情况吧。