让数字说话--审计,就这么简单作者:金十七1 前言先来几句“文责自负”的话吧:这一份东西,是我自己对于审计的一些理解和想法,以及听到的和经历的一些故事,写出来就是为了跟大家聊一聊天。我的理想,也就是古有《聊斋志异》、《梦溪笔谈》(好象这个时间顺序还写反了),今有《审计一家言》什么的。所以,这东西写得不那么正规和严谨,请不要把它当成任何形式的正式培训材料或官方意见。要是有人这么做了,就好象有男书生读了聊斋后打算遇着个美貌女狐仙一样,柳泉居士或者我是不打算对此负责的。我主要是谈一些思想和想法,一些心得之类的东西。我也会谈不少具体工作的细节,但谈这些细节更多的是为了引出背后的一些想法。所以,我并不能保证审计工作中要注意的所有细节都会谈到。西谚有云“魔鬼存在于细节中”,这话的意思是说,做事时,细节的成败很可能是一些关键点。停下来问一句:上一段话里,前半段和最后一句话之间的逻辑关系你弄懂了么?懂了?懂你个头啊!我写的时候就是乱写的,你可千万别把没有逻辑的文字读出逻辑来啊!我这是在提醒你,读东西的时候,要自己动脑筋想,不要轻易被人“带沟里去”了。这里写的有些想法,是入门者就能明白的;有的想法,则是经验较丰富的人比较会有共鸣。我也没有认真分类哪些是简单的,哪些是复杂的。但我是打算尽量写得浅显易懂。其实,审计没什么复杂的,无非是一些常识的反复使用,其中用到的逻辑知识和数学知识,是初中毕业就够的。审计这个行业,难度大概介乎搞导弹的和卖茶叶蛋的之间,主要混的是个经验,当然还要有一定的思考能力。很可惜的是,在这个世界上,以及在审计行业中,这个“一定的思考能力”有时比美洲旅鼠还稀缺。(注:美洲旅鼠据说是一种每年都要从美洲北端迁徙到南端的动物,后来地壳漂移,旅鼠仍然要沿原路迁徙,所以就灭绝了。姑妄听之。)不过,我不打算做太多的会计知识讲解。所以,如果你的会计知识还不太够的话,读这份东西有时会不太明白,那你得自己去补一补。还要说明的是,我在谈每个科目时,主要是立足于制造业企业谈的,当然这里面的理论和思想对于一般的行业也都能适用。2 审计项目管理2.1 业务约定书 Engagement letter要先签业务约定书,后干活 [0010]如果在项目快结束、整理工作底稿的时候,你发现这个项目的业务约定书还没有被客户签回,项目合伙人、项目经理和现场负责人(in-charge)只好赶紧准备业务约定书并发给客户让客户迅速签回。我妈管这种做法叫作“现上轿现扎耳朵眼”,就是说老辈子时候的新媳妇一边上花轿一边扎耳朵眼来戴耳环扮淑女的意思。按照严格的项目管理要求,在一个项目开工之前,一定要先签好业务约定书。业务约定书是非常重要的,它规定了双方的责任和义务。对会计师事务所来说,就是干什么样的活和拿多少钱。如果活都快干完了(即现场工作已结束),还没跟客户约定好该干什么活和拿多少钱,照我姥爷的话说,这叫做“只管低头拉车,不管抬头看路”。幸好即使到了这个时候,也还有补救—我们的审计报告还没出呢。所以,你可以赶紧准备业务约定书并发给客户让客户迅速签回,但要注意,业务约定书的日期最迟也要早于现场工作的最后一天,因为一般情况下,审计报告的日期是现场工作的最后一天,总不能弄成签业务约定书的日期还晚于审计报告日期吧。所以,如果你是项目负责人,你可能会协助起草业务约定书,别忘了提醒合伙人和经理,这只是草稿,还没发给客户呢。在开始项目现场工作之前,问一下经理,业务约定书签了么?如果你是项目经理,记得在现场工作开始之前将业务约定书搞掂。如果你是项目合伙人… 合伙人还忘了这件事,就离出漏子不远了。业务约定书其实是一份标准合同 [0020]业务约定书其实是一份合同。在事务所内部,业务约定书是有标准模板的。在准备业务约定书时,只要不是太特殊的项目,你只要按照标准模板做一些小的修改就可以了。如果你学过有关商业谈判的课程就应该知道,尽管合同条款是双方共同商定的,但一些大公司都尽可能地做出一些标准合同来让对方照着签。因为大公司可以请专业人员和律师花很大时间和精力将这份标准合同的条款做得尽量保护自身利益。这样,一旦将来在合同上出现纠纷,大公司就可以占更多的优势。这事就好象是:狗打架一般都是在自己的地盘上打,不到对方狗的地面上去。狗也追求“地利”啊,况人乎?大公司乎?有时候,两条狗都不傻,都不想到对方狗的地盘里去打架,那会出现什么结果?就是两条狗都站在自己的地界边上,不肯冲过去打架,只是向着对方狂吠,“不!我就是不过去。”“不!我不签你的标准合同。要想达成协议,就按我的合同范本签!”一般在审计行业,由于客户对于审计不太熟悉,所以合同都是按照事务所的标准合同来签的,客户顶多就个别条款提出点意见。我还真遇到过一家大企业能拿出自己的用于采购服务的标准合同,要求我们按照它的标准合同签审计服务合同。你猜结果怎么着?我们实在太担心它的标准合同里埋了太多的“雷”,要找个律师帮我们“探一遍雷”得多花钱啊。所以我们撤了。--“不!我不签你的标准合同。要想达成协议,就按我的合同范本签!”最后来一句免责条款:我只是追求一种不严肃的写作风格,断无将任何人或公司全方位地比喻为“狗”的意思,请勿对号入座。狗多可爱呀,很好的宠物。Engagement letter业务约定书 和 Proposal 项目建议书的区别 [0030]我发现我们有些人还分不清什么是业务约定书,什么是项目建议书。所以我觉得有必要唠叨两句。怎么说呢?项目建议书好比是你在谈恋爱时说的话,业务约定书是你结婚后打算做的事。这两者是可以天差地别的。有意思的是,在英语里,求婚就是“proposal”,而定婚就是“engagement”。有一个老汉打算娶一个年轻点儿的老婆。媒人帮他找了一个女人。老汉就问这个女人,“你多大了?”“二十…”“不象啊?”“…八–,二十八岁”“还是不象啊?”这时媒人说了,“她就是长得有点儿老相。”以上就是项目建议书一般会写的内容,还包括了一点儿在客户进一步质询时的对项目建议书的解释说明。老汉半信半疑地结了婚。婚礼的晚上,老汉问这个女人,“咱俩都已经结了婚了。你就给我说实话吧,你多大岁数?”“比二十八大点儿。”“那咱俩见面时,你咋说是二十八哩?”“唉呀,那时候我不是想讨你欢喜嘛。那时候说得不算数啦。”(这句话证明了项目建议书的内容是可以不算数的。)以上就是业务约定书一般会写的内容。老汉仍有些怀疑。睡到半夜,老汉去了趟厨房,回来对这个女人说,“我看见一只猫在咱家厨房里偷吃了盐,变成燕巴虎儿(民间口语:指蝙蝠)了。”女人笑了,“我活了四十三岁了,只听说耗子会变成燕巴虎儿,头回听说猫也能变成燕巴虎儿。”以上就是现场工作的情形。当然,会计师事务所里都是专业人士,不会将项目建议书和业务约定书做得差别太大。不过,一般而言,在项目建议书这一不具备严格法律约束力的宣传性材料里,我们可以介绍自己的经验和特长,将自己说成是一朵牡丹花都行;但到了业务约定书这一有严格法律约束力的文件里,说自己是一朵花就是欺诈行为了。项目建议书可以长,可以短,比较自由。但业务约定书就是标准合同形式的法律文件了。审计责任和会计责任的区别 [0035]在业务约定书中,一般都会谈到我们审计师按什么审计准则来做审计和出具报告,也会谈到被审计企业应该按什么会计准则来编制其会计报表。我就对这个做一下解释。首先说一下会计责任和审计责任的区别。所谓会计责任,就是说企业自己要能够做出一份完整的会计报表,包括按照会计准则要求的各种披露和注释,并且能提供有关的总帐、明细帐和其它会计记录。而审计责任,指的是审计师根据企业提供的会计报表和会计记录来验证其正确性。审计师的这种“验证”工作做到什么程度,保留什么样的检查记录,是由审计准则来规定的。审计师一旦负有审计责任,就不应该再担当任何会计责任,否则,就成了自己检查自己的正确性了。这种自己检查自己,从来都是“老鼠看仓,看个精光”。由此,理解审计准则和会计准则的区别就很容易了。会计准则首先是规范企业做帐和出报表的,审计师也要学习会计准则,这是为了能够检查企业的会计记录。而审计准则,是规范审计师的工作的。有的企业因为海外上市的原因,要按照国际会计准则做会计报表。企业事实上没有能力遵守国际会计准则。但这是企业不得不完成的会计责任,企业不能一下子推给审计师就了事呀,于是,企业就按照中国会计准则的要求,套用国际会计准则的格式,做一份非常粗浅、漏洞百出的所谓国际会计准则的会计报表给审计师来审计。审计师一旦指出这里不对,那里不对,企业就可以说,那你审计师就给我做审计调整呗!这事实上是变相地将会计责任推给审计师了。遗憾的是,在现实生活中,这样的情况还不少。最近,美国证监会要求,只要出现重大审计调整,就可以认为企业的会计方面的内部控制有问题,就要将这一问题披露出来。这对于那些自己没有能力按照国际会计准则或美国会计准则做会计报表的企业是一个噩耗,不知道他们在2005年将如何应对这一挑战。作为审计师,不光要学会会计准则,还要把审计准则掌握透。审计准则里,不仅规范了审计报告的措词,还规定了其它一些业务,例如会计报表审阅、事先约定程序的审阅等工作应该如何做和出什么样措词的报告。有了这些规定,审计师在做任何一件事时,就有章可循。在美国,法律的观念更强,成立任何一个机构都要有章、有法可循才行。例如,大名鼎鼎的美国证监会(“SEC”),在它自己的介绍里,一上来就说SEC是按照美国1933证券法和1934证券交易法的规定成立的。恕我无知,我就没有看见中国证监会这样来定义自己的合法性。审计师平时做一般的业务,可能体会不到按审计准则做事、凡事有章可循的重要性。但一旦遇到特殊的业务,或者可能会跟人打官司的业务,就意识到了自己做事有法可依的好处了。比如,前一段时间,国家外汇管理局发文要求审计师要为被审计企业填写外汇情况表并对所填写表格发表审计意见。很多会计师事务所就照着外管局的要求做了。认真论起来,这个要求一是没有分清会计责任和审计责任(所以有必要让外管局的人也来看一看这个《审计一家言》),二是所要求发表的审计意见不是审计准则任何一条规定过的,要发表这样的意见需要做什么样的检查工作,外管局也没规定,审计准则也没规定。所以外管局的这个文件,就是一个逻辑不严密、很难执行的文件。至于各地政府机构要求审计师出具意见的各种各样奇奇怪怪的报告,就更是没什么依法办事的精神,也没什么逻辑,纯粹是把审计师当成唐僧肉来欺负了。2.2 声明书 Representation letter什么是“声明书” [0040]我们大概都见过(管理层)声明书了,它是干什么用的呢?声明书是审计师万般无奈之后的终极武器。在任何一个审计中,审计师都会对于有些科目和有些事项无法取得完全放心和满意的证据。这时,就会将这件事写在声明书里。声明书是以客户管理层的口气向审计师赌咒发誓说这些事项都是真实准确无误的。你看过美国电影里证人在法庭上作证之前宣誓说自己要说“truth, the whole truth, nothing but the truth”没有,声明书跟那个是差不多的意思。驳“声明书无用论” [0050]我们要杜绝“声明书无用论”和“声明书万能论”两种错误倾向。声明书不是一点用处没有的,我就遇过到这样的情况:当我们把所有我们不太放心的事项放在声明书中要求客户签声明书时,客户的管理层一改先前对我们的审计敷衍了事的态度,将声明书的措词研究了半天,然后死活不签,一定要求将某些说法改掉才行。我们追问客户的管理层为什么这样改,管理层才开始告诉我们一些新的事情。所以,下次对于不太熟悉外部审计师的审计方法的客户,我们可以先把管理层声明书这件事向客户的管理层讲清楚。君不见,美国警察在抓人时,都会先来两句著名的美年达法则“子可缄言,言则为供”1;中国警察原来说的是“坦白从宽,抗拒从严”,现在不时兴这么说了,据说是有诱供之嫌。驳“声明书万能论” [0060]反过来说,声明书也不是万能的。我见过一个经理,他一旦发现什么不好解决的问题,比如客户的存货减值准备期末余额是320万,这个减值准备是多了,还是少了?这个经理的解决之道是把这件事写到声明书中—“我们(即客户管理层)认为,存货减值准备期末余额是合理足够的”。一般客户都会同意写这句话。有了这句话,这个经理就觉得工作做到家了。在我看来,他就是受了“声明书万能论”的毒害。我曾经讽刺他说,可以把我们的审计意见也写进声明书里,只要客户管理层在声明书中说“我们认为,会计报表是真实公允的”,我们就不要做别的审计工作,可以收队回家了,审计原来是这么简单啊!可是,如果半年后,这个客户的存货减值准备真的有问题,审计师因此上了法庭,控方律师会质问审计师:你对于存货减值准备做了什么工作?这位经理会拿出声明书说:“看,我拿到了管理层的声明。”你猜律师会怎么说?“啊哈,我上小学的女儿也会做这件事。我想问你你做了什么‘审计’工作?”这让我想起一个老的民间故事 — 一个财迷拿着所谓的“隐身草”去偷东西,被人逮着了,他还拿着“隐身草”向逮他的人说,“我拿着隐身草呢,你看不见我。”事实上,有时声明书上还真有这么一句话,“尽我们所知,我们认为,会计报表是真实公允的”。可这句话并不意味着审计师可以什么都不做,这句话仅仅是用来明确管理层的会计责任(见审计责任和会计责任的区别 [0035])。说到这里,有人可能困惑了:声明书的内容与做多少审计工作到底有什么互动关系呢?不容易审计的内容才放进声明书里 [0070]我想,可以将所有审计事项大致分为“容易审计的”和“不容易审计的”。所谓“不容易审计”,是说取得恰当足够的审计证据较为困难。哪些是“容易审计”的呢?一般来说,各类会计科目的存在性(Existence)是“容易审计”的。因为,测试存在性是检查已经记在帐上的东西,这个范围是已经划定的。审计师总可以通过发询证函、抽查凭证和合同、现场盘点等工作来验证会计科目的存在性。哪些是“不容易审计”的呢?负债类科目的完整性(Completeness)是“不容易审计”的。因为,测试完整性是要找到没有记在帐上的东西,这个范围几乎是个无穷大。对于“不容易审计”的项目,例如或有负债的完整性,审计师眼睛仅仅盯着帐内那点东西是没有用的。因为你的目标是找出该记在帐内但现在在帐外的东西。有一个笑话不是说么,酒瓶里有酒谁不会喝,酒瓶里没有酒还能喝出酒来,这才叫本事呢!同样的,帐里记的或有负债谁不会审啊,帐里没有记的或有负债你能找出来,才叫本事呢。审计师要与企业各个方面的关键人员面谈,要了解企业的业务情况,要阅读企业的有关资料和新闻,等等。做所有这些工作,都是为了尽量扩大搜索范围,以期发现帐上没有记的或有负债。当然,扩大搜索范围要注意成本效益原则,要在与这个企业最相关的方面来扩大,比如,天天晚上看新闻联播就不是很好的扩大搜索范围的方式,但也不能说一点都无效;但天天晚上看电视剧就几乎只是在扩大无效的搜索范围了。事实上,对于任何科目的完整性,其审计方法都是要在“成本效益”原则下尽量扩大搜索范围。做这件事,是要有经验,还要有足够的敏感性,不能对已经出现的东西视而不见。扯了这么远,还是要回到声明书上来。对于那些“不容易审计”的项目,可能尽管我们做了很多工作,但其效果总是不能让人非常放心。这时怎么办?我们的选择有:* 在审计意见中保留意见或不发表意见,原因是由于审计范围受限。例如:今年,安然的审计师也许可以说,我无法验证诉讼赔偿可能有多少。* 在声明书中加上一段话,让管理层做出一个保证。* 给审计助理出Q,“你如何保证XXX的完整性”,逼着他/她选择瞎编、哭和/或辞职。通常我会选择2)。所以,如果你读一下我们的声明书模板的文字,你会发现,大部分内容都是“不容易审计”的项目。还有一个问题是:我们在“成本效益”原则下,对于“不容易审计”和“容易审计”的项目,做多少工作就是足够的,做多少是不足的,做多少又是多余的无效率的?如何判断?审计师勤勉尽责要到什么程度 [0080]审计师做多少工作合适呢?要是一个一般的职业,拿多少钱干多少活呗!可是审计师这个行业有其特殊性,它有“风险”。审计师做工作,第一位考虑的不是能拿多少钱,而是考虑风险能否控制。审计师的作用,主要就是资本市场的“看门狗”(英文叫watch dog)。风险呢,就是被别人起诉,说你没做好“看门狗”的工作。我们来设想一下,审计师一旦被人起诉,上了法庭,怎么样为自己辩护才能脱身呢?首先,既然是被起诉了,肯定是人家认为,审计师该发现的问题没发现。这时候,从逻辑上说,审计师可以做如下申辩:一是贬低自己,说自己智障,所以没发现问题。这就好象很多犯罪嫌疑人都说自己是精神病一样的手法。但这一手大概过不去,法官也好,陪审团也好,社会公众也好,很难相信能考取注册会计师执照的人是智障;二是抬高对手,说我们已经尽力了,“不是我们不小心,实在是敌人太狡猾”。这样的说法,有点儿丢面子。不过,如果社会公众能接受这样的说法,这一个坎也算过去了。怎么样才能让社会公众承认“不是审计师不小心,实在是敌人太狡猾”呢?这很大程度上取决于社会公众对审计师的期望。要是社会公众对审计师的期望是个个象007一样神通广大,象包拯一样铁面无私,那还真就麻烦了。“抬高对手”这一招就不灵了—你想啊,人家都把你当007了,还有谁比你还牛啊?所以,在美国,美国注册会计师协会自己给自己设定的职能之一就是多与公众交流,调整公众对审计师的期望。得不断地告诉公众:审计师也是人,不是神呐。按照审计准则的不成文的假设前提,审计师也就是一些智商略高于社会一般水平的人,天天花大把大把的时间在财务会计和审计领域上,因此成为了专家。在执行审计项目的时候,审计师每天工作8-10个小时,认认真真,兢兢业业,把自己的专业知识和精力都用在工作上了。一般老百姓看了,会觉得,一个孝子给爹妈干活,也不过如此了。要是已经这样做了,仍然被人家骗了,没发现问题,这也真不能怪审计师了。要是还怪审计师,他就该急了,“我给亲爹妈干活,也没这么尽心过呀?还起诉我?!你不看一看,这个骗局设计得多棒啊,都赶得上福尔摩斯探案集的水平了。再有名的医生治病,还有治不了的呐。有本事你来做一遍这审计,我就不信你比我强!”在圣经故事里,耶酥曾对群情激愤要打死一个犯了罪的妇女的众人说,你们谁要是自己身上没有犯过错,就上前来打死她。听了这话,大家都不再向前了。2我估计,审计师要真那样嚷嚷出来的话,要起诉审计师的人也应该扪心自问了,“这个骗局设计得确实不错,让人大开眼界,比好莱坞大片还精彩。我去做这个审计,估计也发现不了这个问题,可能还不如这个可怜的审计师呢。看样子,不是审计师不小心,实在是敌人太狡猾”。不过,要是控方律师能够轻易地拆穿企业的骗术,让社会大众觉得“不过瘾,不过如此”,而审计师还蒙在鼓里的话,社会大众就会觉得,“这个审计师,不是笨就是懒。天生笨或懒不是你的错,但这样子还出来混审计师这碗饭就是你的错了。那么简单的问题都发现不了,不起诉你太对不起社会了。”声明书的日期最好与审计报告日期相同对签回的声明书也要与发出的原件再复核一遍2.3 管理建议书 Management letter什么是“管理建议书” [0100]管理建议书是审计师给客户提的一些建议。这些建议是审计过程中产生的。提管理建议书不是审计准则要求审计师的工作,因此这项工作属于“买一送一”里送的那个“一”的性质。管理建议书里写些什么呢?顾名思义,主要是管理上的一些建议。一般说来,应该是审计师发现的企业里与财务报告有关的内控制度的一些缺陷并提出的建议。首先得搞明白管理建议书是出给谁的。是给管理层的?还是给管理层上面的董事会(在某些公司治理的理论里,董事会也被看作是管理层)和股东的?应该说,由于管理建议书是针对企业管理上面的漏洞提出的,它首先是出给管理层的,好让管理层能照着改。管理建议书里不是一般还有一栏叫做“管理层回复”嘛。但是,有些管理上的漏洞,可能是管理层故意留在那里方便自己混水摸鱼的,所以审计师提出这里有漏洞,管理层只会敷衍一下,根本不会真的改。为了防止这样的现象,一般的要求是,管理建议书也会给股东和董事会看,好让他们知道发生了什么事,以避免“老鼠看仓,看个精光”这种现象的出现。审计师出管理建议书的目的有这么几个:一是为了自己今后的审计工作顺利。希望客户改进内控方面的不足,从而在下次审计时,审计师能更多地依赖企业的内控制度,减少审计工作量;二是为了让客户觉得审计师还是有价值的。如果客户觉得这些建议是有价值的,就会认为审计费花得是值的。三是作为一个挡箭牌,来保护审计师自己。有些事情,如果审计师已经在管理建议书上说过了,万一将来这方面出了问题,审计师可以说自己已经提醒过客户了。由以上管理建议书的目的可以推想到,管理建议书上的东西,企业并不一定都感兴趣,都愿意照着做。审计师是尽量回避风险的,所以一些对于企业来说风险并不一定很大的事,审计师也会把它写在管理建议书里。企业会对其中高风险的事情感兴趣,对于一般的东西,企业也知道管理建议书是审计师的挡箭牌来的,因此也就是看看而已。唐僧:喂喂喂!大家不要生气,生气会犯了嗔戒的!悟空你也太调皮了,我跟你说过叫你不要乱扔东西,你怎么又…你看我还没说完你又把棍子给扔掉了!月光宝盒是宝物,你把他扔掉会污染环境,要是砸到小朋友怎么办?就算砸不到小朋友砸到那些花花草草也是不对的!以上也是一份管理建议书啊,只不过里面的建议多数是客户并不感兴趣的东西,因此不会太成功罢了。建议我们的审计师们,可不要把管理建议书写成这种啰里啰唆、没人在乎的东西。管理建议书的内容从哪里来 [0105]管理建议书的内容,一是审计师自己想出来的。当然不是凭空想的,而是在做审计过程中,发现了企业的一些不足之处。另外一个管理建议的主要来源,是审计师从企业的基层工作人员那里听来的。俗话说得好“外来的和尚好念经”。对于被审计企业来说,审计师就是这个“外来的和尚”。还有一句话是这么说的,“群众的眼睛是雪亮的”。就是说,在一个企业里,管理上有什么样的毛病,管理层有时没看到,老百姓可能早就看得一清二楚,但管理层往往听不进老百姓的忠告和建议,也可能根本没有这样的交流渠道让基层员工反映这样的建议。所以这种管理上的毛病就一直在那里可笑地存在着。对于我这个说法有怀疑的人,一般都是“too simple, too naive” 3。毛主席他老人家说过,“卑贱者最聪明,高贵者最无知”。这话有点儿极端,但以我的审计经验看来,也有那么几分道理。如果大家去看一看美国人的一个漫画,叫“The Dilbert Principle”,中文叫“迪尔伯特原则/法则”或者“呆伯特法则”,那里面到处都是当代公司管理的荒谬之处。回到正题上来。审计师在审计工作中,只要能将听到的基层员工对于企业管理的一些合理化建议过滤一下,用时髦的管理术语包装一下,写成管理建议书,包管叫好又叫座。我以前就是这么做的。2.4 审计项目的风险控制做审计好像找对象 [0110]审计师真能把企业可能的欺骗行为都找出来么?-- 能,如果时间足够的话。 -- 这是一句正确的废话,审计师永远在“成本”和“效益”之间进行抉择,什么时候时间足够过?-- 不能。俗话说得好“常在江湖飘,谁能不挨刀”、“猎犬终须山上丧,将军最后阵中亡”……那岂不是早晚要出事,横竖是个死?不会的。孙子兵法有云“百战百胜,非善之善者也;不战而屈人之兵,善之善者也。故上兵伐谋,其次伐交,其次伐兵,下政攻城。”。这句话用在审计上,就是说,指望通过辛辛苦苦的审计现场工作来解决项目的风险,是属于“其次伐兵”或者“下政攻城”范畴的,不得不做,但做得好,也不过是好勇斗狠之徒,“非善之善者也”。高明的审计应该是,从一开始接一个新客户时,就将高风险排除掉。这样等到了审计师要做审计现场工作时,已经不会有大的风险了,现场工作仅仅是为了防止意外,以及控制一些剩余的风险。所以,在审计一开始接一个新客户时,就好象青年男女找对象一样,是要看顺了眼才往下谈的,毕竟是终生大事嘛。审计师都好比是老实巴交的孩子,总想也找个踏实的人过一辈子。听到企业的管理层在吹嘘什么把“前苏联的导弹转卖给伊拉克”之类的壮举就害怕。有时一个企业明明也不错,但其经营理念可能过于激进,不符合某个会计师事务所的品味或智商水平,审计师也会退出这个游戏。就好象找对象时也要找个门当户对的一样,否则将来共同生活时没有共同语言啊。有一个会计师事务所的合伙人是这么评价审计师接错了客户的:结了婚,才发现双方不合适。婚姻的基础在一个互相信任。现在,我们不能互相信任,只好离婚了。据报道,中国的离婚率超过25%,美国的离婚率超过50%。如果审计师和审计客户的关系真得象婚姻一样的话,这个数字会让所有审计师都得心脏病的。我在过去三年里听说了不下十个中国企业要海外上市的故事,至今已经上市的,只有一个。也许对于审计师和审计客户来说,“结婚率”低,“离婚率”也才能低吧。审计师做审计时要怀疑一切么 [0120]审计师做现场审计的时候,有一个心态问题:* 假设客户是诚实的,然后去找证明客户确实诚实的证据;或* 怀疑客户在欺骗你,然后去找客户不诚实的证据。找不到,就证明客户没有欺骗你,而是诚实的。应该说,在安然事情以前,审计师们倾向于第一种心态,连美国注册会计师协会的一个实务指南也是这么承认的。也就是说,审计师对客户,是“信”字当头,“疑”在其中。安然事件以后,各国的监管都严了,审计师的心态也变了,变成第二种心态了。美国注册会计师协会的一个实务指南也是这么要求的。这个时候,是一种“客户就是我们的敌人”的心态。但是,审计师仍然不可能因为怀疑客户就对什么都做检查,因为“成本效益”原则决定了审计师的时间永远是很有限的,审计师必须将时间首先花在那些客户最可能有心或无心犯错误的地方。另外,审计师在现场工作时,也不能把客户想像得太可怕。如果审计师把一个客户想像得什么都可能做假的话,最理性的选择就应该是不接这个客户了,而不是继续做审计现场工作。所以,如果一个客户可能会做一些很险恶的错误的话,审计师就最好别接这个客户。所要接的客户有没有做这种错事的素质,是应该在接新客户的时候就看出来并排除掉这种风险的(见做审计好像找对象 [0110])。到了审计现场工作的阶段,审计师不应该再在这个领域太用力了,而应该主要关注那些常规的可能出错的领域。审计师还应该多学习一点儿辩证法,应该认识到:绝对真理是不存在的,绝对的真相也是没有的。审计工作有点儿象历史学家或考古学家做的事情,总是在挖以前的东西。哪个历史学家也不敢说他就弄清楚杨贵妃是怎么死的了,哪个考古学家也不敢说他就弄清楚恐龙是怎么灭亡的了,因为太多的东西已经淹没在历史的尘埃中。同样的,对于很多事情,审计师可能永远无法找到绝对的证据,只能是尽量多地找一些佐证的证据,然后根据这些佐证的证据判断财务报表出错的概率有多大,说到底,审计的风险是不可能消除的,只是一个概率大小而已。审计的这种柔软的不确定性可能是那些脑子一根筋的人最受不了的了,他们觉得自己作为审计师,能够象推土机一样将一切推得落花流水和一马平川,让他们接受不确定性的存在,比在老鼠屁眼上塞一粒黄豆还让他们难受。有时我们应该很庆幸这种人是在做审计而不是在做历史研究,否则,他们非得把唐明皇的尸首挖出来拷打不可“你说,你到底有没有真得赐死杨贵妃?”。听听,象不象在问客户“你说,你到底有没有少记应付帐款?”综上所述,对我们的标题所提出的问题的回答就是:审计师可以在做审计时怀疑一切,但不能因此而违背“成本效益”原则,象个偏执狂一样去检查客户。在判断接不接一个新客户的时候,审计师们可以天马行空地去恶意地猜想客户可能有什么问题;到了做审计现场工作的时候,审计师就要认识到,这个客户已经经过了本所接纳新客户的审查,应该假设它具备了基本的素质,所以审计师要保持一种平和的心态去看待客户。“怀疑一切”并不意味着“打倒一切”或要“查清一切”。伟大的怀疑主义者休谟说过“你永远无法知道太阳明天是否依然升起”。审计师做审计时有秘密武器么 [0130]审计师做审计时有秘密武器么?对这个问题最感兴趣的人,除了看侦探小说看得精神出问题的人,就是想作奸犯科的人。试想想看,如果知道了审计师的秘密武器,就能避开审计师的检查,这不就安全多了?就好象美国的NMD(国家导弹防卸系统)一样,想着别人的导弹都打不着我,有多好。以我的经验而论,审计师是没有什么秘密武器的。正因为审计师没有什么秘密武器,我才可以在这里聊一聊审计,而不怕有心人听走什么秘密,因为实在是没有什么秘密可以被听走的。审计师所有的,无非是常识,思考能力,和经验。将这三者放在一起不停地勤奋地搅拌,就是审计师凭之以发现问题的武器了。3 审计的理论3.1 审计的逻辑审计意见说了什么 [0150]作为一个还在现实物质世界混饭吃的你我凡人来说,做任何事情,都应该先搞清楚最终要拿出来的成果是什么(可能是自己想拿给别人的,也可能是别人要求我们做的),和我们要为此承担怎样的责任。然后,我们做事才能象激光制导导弹那样,直奔目标而去。审计工作要拿出来的成果是什么呢?是审计报告。严格说来,审计报告只有一页纸,就是我们的审计意见那一页。后面的会计报表及其附注等,都是被审计企业的作品。理想中的(传说中的?)审计,应该是客户将会计报表及附注都准备好,然后审计师开始审计。现实中能这样做的客户不是太多,所以审计师只好既做裁判员,又做运动员,自己先把会计报表及附注做完,再开始审计。当然,做报表的原料都是客户的。这算不算“自己审计自己的工作”,因而违反审计师独立性呢(见审计责任和会计责任的区别 [0035])?对此,我没有答案。好,既然我们的成果就是审计意见那一页,那么,我来问你,那一页说了什么?“那一页说了,就我这一页,就值几十万元的审计费!这就叫一字千金。”这……也是实情,不过我想要的答案不是有关钱的,我们在谈学问呢。审计意见说的东西,概括起来就一句话:会计报表是真实公允的。这句话略微翻译得通俗一点儿就是:财务数字真实准确地讲出了企业的经营情况。会计是一门语言,一门描述企业经营状况的语言。我们对这门语言掌握得越好,我们就越能把企业的故事讲准确。尤其对于一个上市企业,投资者要了解这家企业的情况,很大程度上是通过经审计的财务报表。我们作为审计师,就是要保证企业用会计语言讲给投资者听的故事是真实准确的,而不是在编瞎话。审计师不能象投资银行那样,跳到前台来直接讲企业的故事,我们只能用经审计的财务报表来讲企业的故事。如果我们不能全面了解这家企业的经营情况,我们就无法准确地讲这个故事;如果我们对会计这门语言掌握得不好,我们也讲不好这个故事。我们要有这样一个信念:任何一个企业在经营上的大问题都一定能够用会计语言讲出来。审计工作的开始:了解企业的经营情况 [0160]既然审计师的任务是评价财务数字是否真实准确地讲出了企业的经营情况,那么,极端地说,如果审计师有一个水晶球,让审计师直接就能够完全透彻地了解企业的经营情况,然后,审计师就可以回过头来看一下会计报表及其注释是否符合审计师了解的情况,就可以发表审计意见了。有了这么一个水晶球,审计师就不必再去做什么现场工作、翻什么凭证了,那多辛苦呀!可惜,现实世界中没有这么一个水晶球,审计工作还是没有什么捷径可走,只能在大体了解企业的经营情况的基础上,一步一步地做内控测试,做实质性测试。“了解企业的经营情况”既是审计工作的起点,也贯穿于审计工作全程中,更是与审计结论紧密相连,怎么估计它的重要性都不算过份。例如,在著名的银广夏一案中,一位记者在揭露银广夏问题的报道中指出,银广夏所编造的它自己的某种特殊化工产品的生产量和出口销售量,如果倒算一下所要消耗的原材料的话,已经远远超出了目前全球这种原材料的供应量。银广夏竟然伪造了海关出口单据以支持它所编造的出口销售量。有的审计师为此总结说,下次做审计,不仅要向银行发函证,还要向海关发函证来验证海关单据的真伪了。我的看法是:如果审计师仅仅这样子跟在造假者后面不断地补充自己的细节测试的步骤,终是“道高一尺,魔高一丈”,是跟不上造假者的步伐的。只有从“了解企业的经营情况”出发,将企业造假后必然会出现的不合理之处识破,才是以不变应万变之策。试想,假如银广夏的审计师多了解一下企业的经营,就很可能会发现这种规模的出口销售量是不符合行业情况的,那样,不用向海关发函证也能看出问题。再退一步说,审计师向海关发了确认书,如果海关不答复又怎么办?这不是说笑,中国人民银行曾经向各银行下发行政文件,要求各银行务必对审计师的函证予以答复。然后,当我们审计某一家银行,向中国人民银行某分行发确认书,确认该银行存放中央银行款项时,该中国人民银行分行拒绝给我们答复。我们向他们指出中国人民银行自己发给各银行的那份要求大家答复审计师函证的文件,对方竟回答说,那是约束各商业银行的,对中国人民银行自身无约束力。这绝对是一个现代版的“只许州官放火,不许百姓点灯”。说起来,审计这个行业的一大乐趣,就是能够去不同的企业,了解不同企业的经营情况。话说一位审计师在审计客户的时候,与客户的销售部经理聊天。销售部经理说,我们做销售的,工作很有意思,天天和不同的人打交道。你们做审计的,工作一定很枯燥吧?这位审计师说,不,我们的工作也很有意思。我们天天和不同的数字打交道。这个回答也未免搞笑了一点儿。其实,天天和数字打交道并没什么意思,但天天和数字背后的经营故事打交道就很有意思了。如果你做审计的时候,不去了解企业的经营,不仅可能影响你审计的思考和审计工作的质量,更重要的是,你的审计工作就做得太无趣了。怎么了解企业的经营情况?方法多了――上网查、看新闻、跟客户聊天、学MBA的系统化的分析企业的方法。要强调的是,跟客户聊天不应该仅仅是跟企业的会计聊天,而更应该是跟企业的管理层、销售部、采购部、生产调度、工程师们聊天,聊一聊为什么变压器里面要装很多煤油,聊一聊羊绒为什么是从羊身上“梳”下来的,聊一聊联通的CDMA是不是比移动的辐射低很多,这些知识,都可能帮助审计师更好地了解企业的经营。不过,不管哪种办法和怎么聊,审计师对于企业了解的透彻程度都是有限的。也就是说,审计师对企业的了解,可能是有广度,有高度,但深度,无论怎样都是有限的。正因为如此,审计师才要运用一些其它的手段来完成审计工作,例如内控测试等。在外部审计师的眼里,内控系统是摄像机 [0170]审计师必须全面了解一家企业的经营情况,才能有把握地评价财务数字是否真实准确地讲出了企业的经营情况。可是,一家企业有多个部门,一年运营300多天。审计师总不能派一批人去,在每个部门安插上几个监视人员,天天比客户到得早走得晚,通过这种方式来深入了解企业的经营情况吧?这不成了FBI了?再说了,这么做,谁付工钱呀?审计师都是懒人,懒人总有懒办法,所以审计师决定,要想办法依赖管理层的管理机制。然后,审计师很高兴地发现,好的企业管理,有一个叫做“内部控制系统”的东西。内控系统是什么呢?当然在学术上有多种定义和解释。我的实用主义的理解是这样的:企业的内控系统好比是数学上的一一映射概念,应该能做到:所有经营上的动作,该在财务报表上做会计处理或披露的,就会摄下来,并触发财务做出相应记录;反之,经营上的动作没有或不充分、不合标准时,财务就不会有动作。例如:收入确认的原则之一是要有书面的协议。好的内控系统就会要求:一旦有书面销售协议的签署,财务部就会将这一事件记录在案,意味着就这一个销售事项,条件一已经得到了满足。事实上,完全从管理的角度讲,由于不同销售条款可能引起的财务处理不同,在销售协议签署之前,也应有财务的审阅。然后,当发货后,取得了对方确认收货的签字后,财务部会立即根据这一发货及对方签字的记录来核对收入确认的原则是否已经完全符合,并准备确认收入。看过“猫和老鼠”的动画片么?老鼠对付猫的好多机关都是这样设计的:猫碰了一个什么小东西,立即引起一串的连锁反应,最终让猫吃个大亏。内控系统有点象这种连动的机关,经营上不动,财务也不动;经营上一旦动作,财务上立即可以有相应的动作。当然,用精确的词来说,上面说的内控系统是“与财务报告相关的内控系统”。还有一部分内控系统是为了提高经营管理的效率的,比如,对销售人员进行定期培训和考核。这样的内控,对企业仍然是必需的,但只有当它的效用体现出来时,例如,销售额上升了,财务上才会将这一效用反映出来。还要补充说一句的是,这种将内控系统看作是摄像机的思想仅仅是外部审计师倾向于这么想。企业管理层会认为,内控系统不仅仅是一个被动的摄像机,还是一个管理工具。管理层还要通过内控系统来调控企业,保证企业按照设定的轨道运行呢。所以,一个比较全面的概括是:在外部审计师眼中,“与财务报告相关的内控系统”就是一个摄像机,一个信息系统,它要做到真实、及时。审计师要检查内控系统是否设计合理和运转正常 [0180]审计师都是懒人,懒人总有懒办法,所以审计师决定,要想办法依赖管理层的管理机制。然后,审计师很高兴地发现,好的企业管理,有一个叫做“内部控制系统”的东西。对于任何一个企业,审计师会检查测试内控系统是否设计合理及运转正常。如果一切满意,审计师就可以依赖这个内控系统了。这种依赖并不是说审计师的审计工作到此结束了,什么都不用多做了。再好的系统也可能偶尔有漏洞,再说了,审计师测试内控系统是否运转正常也用的是抽样调查的方法,抽样也可能有疏漏的。因此,审计师还会做少量的实质性测试工作,主要是对每个会计科目进行一些分析性复核,以进一步确保每个数字都是合理的。如果审计师检查下来,发现内控系统有设计不合理的,或者运转不合规定的,总之,有不满意的地方,审计师就不能完全依赖这个内控系统,只好多做一些实质性测试了。这会让审计师很不爽。懒人以懒为天职嘛。于是,审计师决定报复:给客户提管理建议书,越长越好!加审计费,越多越好!客户看了审计师的报复之后,开始改进自己的内控,这样,审计师下一年做审计时,就会爽一些了。这就是在商业社会里的奇妙的自然选择和生态平衡。好象在自然界的大草原上,屎克郎以其它动物的排泄物为食物,从而间接地净化了大草原一样。有时,客户看了审计师的管理建议书,觉得没什么用,也就不做什么改进,当然也拒绝提高审计费。这时,这种“生态平衡”就被打破了,其原因,要么是审计师太“事儿妈”,提的管理建议书不切实际;要么是客户太强硬。这时,审计师与客户的关系就会不太好了,好象是在大草原上,其它动物突然不排泄了,搞得屎克郎四处忙忙碌碌,但还饥肠辘辘一样。审计师可以怎么问问题 [0190] / 审计师怕被骗么?对于企业的任何一个经营上或会计上的问题,如果审计师觉得不放心的,都不必自己想办法自己证实,可以直接先问管理层,让他们拿出证据来。最大而化之的问题,当属这样一个:你们如何保证会计报表的准确性的?我诚恳地建议你不要这么去问,否则挨了打不要怪我。这个问题其实也可以问,不过答案是早就有的,那就是企业已经建立了“与财务报告相关的内控系统”。问题和回答到了这个地步,审计师难以再问,只好自己想办法验证内控系统的可依赖性了。其实,你要愿意问,仍可以问:“你们自己在管理中,如何确保这一内控系统是可靠的?”。这是个好问题,不会挨打的,放心问吧,不骗你。管理层的回答大体上会是有关他们的内部审计机制的。举个具体点儿的例子。例如,如何保证期末时存货入库的正确的截止。这就可以直接问客户的管理层,你采取了什么措施保证这一点?没采取措施?当心我给你提管理建议书,甚至我审计师可以说在这个领域我无法取得足够的审计证据,审计范围受限,给你出保留意见的审计报告。当客户告诉你他采取的措施之后,你作为审计师就必须想法子去验证他的措施了。实际生活中的客户情况是什么样子呢?一种是客户撒谎。没办法,被你问得太急了。在审计中,不必太过担心客户骗你。客户想把谎话编圆是非常困难的。审计师从各个角度问问题,实际上是“乱枪打鸟”。一个傻瓜提出的问题,十个聪明人都答不过来。而且这个傻瓜只是在提问题时反应跟不上趟,他把这些回答记下来回去研究时可不算傻。其实一个人智商越低,越觉得撒谎容易。这样的谎话也越容易被拆穿。当一个人智商高到一定程度,可以有信心骗过一批“乱枪打鸟”的审计师时,这个人最理想的赚钱方式可能就是贩毒或倒卖军火了。所以审计师不太担心被骗。太高明的人不屑于骗审计师,水平低的人又骗不了审计师。另外,关于真被骗了后果如何,请参看审计师勤勉尽责要到什么程度 [0080]实际生活中的另一种情形比较郁闷。客户对于你提的问题,也不撒谎,只会回答“我不知道”,或者“我们没有任何措施来保证”,或者也有东拉西扯回答一堆,其实根本与你所问的无关。这时,你可以有如下选择:* 反复再问,与客户比谁气长;* 自己去发现客户有没有这方面的控制。罗丹说过,这世界上不缺少美,只缺少发现美的眼睛。* 自己做实质性测试,并给客户提管理建议。我其实挺喜欢审计师的这种问问题的特权的。客户回答的好,你就从中学到了管理的知识和经验,并且可以做一些内控的测试,少做实质性测试;客户回答不上来,你就可以给他提管理建议书了。当然,代价是你要自己做实质性测试。不过,不问问题,你不是也要做这些实质性测试么?审计师怎样检查内控系统是否设计合理及运转正常 [0200]审计师怎么检查内控系统呢?说它简单也简单,说它复杂也复杂。说它简单,是因为手法简单。首先是了解客户的内控,说白了就是跟客户聊,问问题;问完了以后,把回答记下来,整理出来,自己静下心来考虑一下,这样的内控设计上有毛病没有?如果有什么毛病,都可以是管理建议书的内容。然后,再做一些询问、检查凭证等测试,来验证内控的运转是否与了解记录的情况一致。说它复杂,是因为这个过程中的思考要求很好的功力。企业的内控,往往是企业管理层经过长期的摸索逐步建立起来的。我们作为审计师,仅仅花几天或几周的时间,就要考虑清楚企业内控在设计和运转上可能的漏洞,谈何容易。要想做好我们的工作,首先我们自己心中应该有一个正确完善的内控的框架,然后才能将跟客户聊天所掌握的情况与心中正确的内控去对比,去试图发现客户的不足。如果我们自己心中并不知道什么是正确的,就很容易被客户介绍的情况带着走,根本不能发现客户的不足。所以,审计师要想将检查内控系统的工作做好,必须先自己练好内功,熟悉什么是正确的内控制度。昔年,张三丰大师在跟着觉远和尚学九阳真经时,听过这么几句话:“他强任他强,清风拂山岗;他横任他横,明月照大江。”这几句话是说,不管客户对自己内控的解释是什么样子的,你心中的正确的内控的理解要象山岗和大江一样坚定,不能被客户介绍的情况带着走了。我建议没有读过《倚天屠龙记》的审计师都读一读这一段。形成正确的对内控的理解不是一件轻而易举的事,没有足够的经验,还有对审计的理解和对企业管理的理解,是无法形成正确的对内控的理解的。所以,一个新入行的审计人员,一定要多下功夫,争取两三年审计工作之后,开始对内控有较好的理解。我在这篇《审计一家言》中,不打算过多讨论什么是好的内控及如何做好内控测试。如果有人对这方面的话题感兴趣,可以看我写的这几篇东西:,也可以读一下我组织翻译的这份东西:。内控测试工作最重要的是逻辑要完备 – 要做到两个凡是 [0210]内控测试的最终目标是什么?是为了保证财务报表的正确性。也就是说,我们希望出现的理想状态是:企业的内控没有一点毛病,企业的会计报表完全是在内控的推动下产生的,因此也没有一点毛病。要想达到这种理想状态,客户的内控就要做到两个凡是4:“凡是经营上有动作,财务上一定要有反映;凡是财务上有反映的,经营上一定要有过动作。”这其实又是前面讲到过的一一映射的思想(见在外部审计师的眼里,内控系统是摄像机 [0170])。因为只有这样,逻辑严密性才有保证。为此,我们作为审计师,在进行内控测试的时候,就要检查客户是否做到了这两个凡是。有一个客户,审计师对于客户的主营业务销售做了详细的内控测试。可是,若干年后,客户仍然被发现有虚增销售收入的现象。原来,客户的全部销售收入中,有30%是其它业务销售,而虚增的销售收入正是来自这个领域。很可惜的是,审计师在对销售收入做审计工作时,只是笼统地说我们已经对销售收入做过内控测试了,没有注意到那30%其它业务销售是没有经过内控测试的。结果是,审计师没有检查客户是否做到了两个凡是,客户也确实没有做到第二个凡是。对于虚增的其它业务销售收入,财务上是有反映,但经营上没有过任何动作,是虚的。再举一个例子:有一家企业,审计师对其存货成本核算及销售成本的流转做了详细的内控测试,觉得没问题了。可是,客户在每月末,都会做一个会计分录:借:在建工程,贷:销售成本。这其实是一个很奇怪的分录,因为它背后没有好的经营事项做支撑。可惜,审计师也没有好好检查客户是否做到了两个凡是。所以,内控测试不仅仅要顺着看,还要倒着看。既要检查客户是否将经营上的事情该反映的都反映进会计报表了,还要翻阅一下客户的帐,看一看记进帐里的,是不是都是经营上发生过的事。审计师仍要检查每个科目的金额 [0220]审计师对于客户的内控都测试完了以后,不论内控好赖,都要对每个会计科目再做进一步的实质性测试。关于内控测试和实质性测试的关系,简单说来,我们首先对企业的内控进行“有罪推定”,认为其内控是不好的。然后,内控测试做得越多,收集的证据就越多,越有可能证明内控是好、很好、非常好的。内控越好,下一步要做的实质性测试就可以越少。内控测试和实质性测试的关系是制度基础审计的一个基本问题,几乎任何一本审计教材都对此有详细论述,我就不多说了。至于什么是实质性测试,简而言之,它包括分析性复核和详细测试两类。有位大师说过,会计是“分类”的艺术。其实,会计就是使用自亚里士多德时代起就使用的分类学,将不同性质的东西不断进行分类。例如,将资产分为流动资产和长期资产,再进一步分为存货、固定资产、应收帐款等。亚里士多德发明的分类学的精髓就是:直接对一堆水果进行分析是很困难的,你可以将水果分成苹果和桔子后再进行分析,也可以将水果分成新鲜的和腐烂的之后再进行分析。带着以上这些形而上的理论,我们就可以开始审计工作的实质性测试了。当客户将资产负债表、损益表给我们时,我们看到了每个一级科目的余额。例如,应收帐款的余额是530万人民币。但这还不太够,我们希望见到更明细的资料。