读书笔记5.4——《让数字说话：审计，就这么简单》：孙含晖

读书笔记5，记录的是我在阅读孙含晖的《让数字说话：审计，就这么简单》一书时，了解到的见解、观点或知识等值得记录的内容，不代表我个人的观点。该书目前豆瓣评分9.2，主要讲的是关于独立审计的一些东西，作者的讲述有较强的系统性和逻辑性，以较为简单容易理解的例子讲述独立审计的一些知识，感觉看完之后对拓宽我知识面，提高我的逻辑能力有些许帮助。

本系列预计有X篇读书笔记，一篇读书笔记将记录书中一小部分（大概6000字）的内容，本篇记录的是书中3.1.1——3.1.8

读书笔记5.3——《让数字说话：审计，就这么简单》：孙含晖

3.1 审计的逻辑
- 3.1.1 审计工作的开始：了解企业的经营情况
- 3.1.2 在外部审计师的眼里，内控系统是摄像机
- 3.1.3 审计师要检查内控系统是否设计合理和运转正常
- 3.1.4 审计师可以怎么问问题
- 3.1.5 审计师怎样检查内控系统是否设计合理和运转正常
- 3.1.6 内控测试工作最重要的是逻辑要完备——要做到两个凡是
- 3.1.7 审计师仍要检查每个科目的金额
- 3.1.8 做实质性测试时，审计逻辑链条要严密

读书笔记5.1
读书笔记5.2
读书笔记5.3

接上篇，从3.1开始

3.1 审计的逻辑

总结:审计工作开始是了解一个企业的经营情况。外部审计师了解经营情况需要企业内控系统做摄像机。需要了解内控系统是否设计合理和正常运行。了解企业内控系统可以向管理者提问题，回答的好做内控测试，回答不好提管理建议书。

3.1.1 审计工作的开始：了解企业的经营情况

内部会计控制包括八个主要方法：不相容职务分离控制、授权批准制度、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制和电子信息技术控制。

3.1.2 在外部审计师的眼里，内控系统是摄像机

审计师必须全面了解一家企业的经营情况，这样才能有把握地评价财务数字是否真实准确地讲出了企业的经营情况。

但是不可能一直盯着企业，所以就要想办法依赖管理层的管理机制。好的企业管理有“内部控制系统”，企业的内控系统好比是数学上的一一映射概念，应该能做到：所有经营上的动作，应该在财务报表上做会计处理或披露的，就会摄下来，并触发财务做出相应记录；反之，经营上的动作没有或不充分、不合标准时，财务就不会有动作。

当然，用精确的词来说，上面说的内控系统是“与财务报告相关的内控系统”。还有一部分内控系统是为了提高经营管理的效率的，比如，对销售人员进行定期培训和考核。这样的内控，对企业仍然是必需的，但只有当它的效用体现出来时，例如，销售额上升了，财务上才会将这一效用反映出来。

还要补充说一句的是，这种将内控系统看作是摄像机的思想仅仅是外部审计师倾向于这么想。企业管理层会认为，内控系统不仅仅是一个被动的摄像机，还是一个管理工具。管理层还要通过内控系统来调控企业，保证企业按照设定的轨道运行呢。

所以，一个比较全面的概括是：在外部审计师眼中，“与财务报告相关的内控系统”就是一个摄像机，一个信息系统，它要做到真实、及时。

3.1.3 审计师要检查内控系统是否设计合理和运转正常

对于任何一个企业，审计师都会检查测试内控系统是否设计合理及运转正常。如果一切满意，审计师就可以依赖这个内控系统了。这种依赖并不是说审计师的审计工作到此结束了，什么都不用多做了。再好的系统也可能偶尔有漏洞，再说了，审计师测试内控系统是否运转正常用的是抽样调查的方法，抽样也可能有疏漏。因此，审计师还会做少量的实质性测试工作，主要是对每个会计科目进行一些分析性复核，以进一步确保每个数字都是合理的。

如果审计师一路检查下来，发现内控系统有设计不合理的地方，或者运转不合规定的地方，总之，有不满意的地方，审计师就不能完全依赖这个内控系统，只好多做一些实质性测试了。

于是，审计师决定报复：给客户提管理建议书（关于管理建议书，参见2.7管理建议书），越长越好！加审计费，越多越好！

客户看到了审计师的报复行动之后，开始改进自己的内部控制，这样，审计师下一年做审计时，就会爽一些了。

这就是在商业社会里奇妙的自然选择和生态平衡。

有时，客户看了审计师的管理建议书，觉得没什么用，也就不做什么改进，当然也拒绝提高审计费。这时，这种“生态平衡”就被打破了，其原因，要么是审计师太“事儿妈”，提的管理建议书不切实际，要么是客户太强硬。

3.1.4 审计师可以怎么问问题

对于企业任何一个经营上或会计上的问题，如果审计师觉得不放心的，都不必自己想办法去证实，可以先直接问管理层，让他们拿出证据来。

最大而化之的问题，当属这样一个：你们是如何保证财务报表的准确性的？

我诚恳地建议你不要这么去问，否则挨了打不要怪我。这个问题其实也可以问，不过答案是早就有的，那就是企业已经建立了“与财务报告相关的内控系统”。问题和回答到了这个地步，审计师难以再问，只好自己想办法验证内控系统的可依赖性了。

其实，你要愿意问，仍可以问：“你们自己在管理中，如何确保这一内控系统是可靠的？”这是个好问题，不会挨打的，放心问吧，不骗你。管理层的回答大体上会是有关他们的内部审计机制的。

当客户告诉你他采取的措施之后，你作为审计师就必须想法子去验证他的措施了。

金鑫松老师说“别人说的话，随便听一听，自己做决定！” 审计人员要时刻保持职业怀疑，因而要验证被审计单位相关人员所说。

实际生活中的客户情况是什么样子呢？

一种是客户撒谎。没办法，被你问得太急了。在审计中，不必太过担心客户骗你。客户想把谎话编圆是非常困难的，其实一个人智商越低，越觉得撒谎容易。这样的谎话也越容易被拆穿。

实际生活中的另一种情形比较让人郁闷。客户对于你提的问题，不撒谎，只会回答“我不知道”，或者“我们没有任何措施来保证”，或者东拉西扯回答一堆，其实根本与你所问的无关。

碰到上述情况，审计师需要平和下情绪，考虑如下选择：
● 反复再问，与客户比谁气长。
● 自己去发现客户有没有这方面的控制。罗丹说过，这世界上不缺少美，只缺少发现美的眼睛。
● 自己做实质性测试，并给客户提管理建议。

我其实挺喜欢审计师的这种问问题的特权。客户回答得好，你就从中学到了管理的知识和经验，并且可以做一些内控的测试，少做实质性测试；客户回答不上来，你就可以给他提管理建议。当然，代价是你要自己做实质性测试。不过，不问问题，你不是也要做这些实质性测试吗？

3.1.5 审计师怎样检查内控系统是否设计合理和运转正常

首先是了解客户的内控，说白了就是跟客户聊，问问题；问完了以后，把回答记下来，整理出来，自己静下心来考虑一下，这样的内控设计有没有毛病。如果有什么毛病，都可以是管理建议书的内容。然后，再做一些询问、检查凭证等测试，来验证内控的运转是否与了解记录的情况一致。

运气好点的审计师，还能遇上比较规范的企业，本身是有成文的内控手册的。这时候，审计师应该先消化吸收这些文档再去问问题。

当然，事情总是有利有弊，这种情况下，有些客户可能会反问审计师：“你问的问题，我们的手册不是写得很清楚吗？你怎么还问？”面对客户这个问题，审计师是否可以依靠个人魅力扮萌，或是倚仗个人气场耍赖，继续问呢？

我自己一般会跟客户解释，手册记录的是手册制定时的理想情况，随着时间的推移，业务可能已经发生了变化，实际操作的情况也就有所变化。而且，作为审计师，我们也需要了解控制点执行人对风险点的理解和把握情况，这是我们测试的一个环节。

说内控检查复杂，是因为这个过程对思考功力要求很高。企业的内控，往往是企业管理层经过长期的摸索逐步建立起来的。我们作为审计师，仅仅花几天或几周的时间，就要考虑清楚企业内控在设计和运转上可能的漏洞，谈何容易。要想做好我们的工作，首先我们自己心中应该有一个正确完善的内控的框架，然后才能将跟客户聊天所掌握的情况与心中正确的内控去对比，去试图发现客户的不足。如果我们自己心中并不知道什么是正确的，就很容易被客户介绍的情况带着走，根本不能发现客户的不足。

所以，审计师要想将检查内控系统的工作做好，必须先自己练好内功，熟悉什么是正确的内控制度。

形成正确的对内控的理解不是一件轻而易举的事，没有足够的经验，没有对审计的理解和对企业管理的理解，是无法形成正确的对内控的理解的。所以，一个新入行的审计人员一定要多下工夫，比如好好研读和理解COSO框架（见3.3对企业内控的关注）

3.1.6 内控测试工作最重要的是逻辑要完备——要做到两个凡是

内控测试的最终目标是什么？是为了保证财务报表的正确性。也就是说，我们希望出现的理想状态是：企业的内控没有一点毛病，企业的财务报表完全是在内控的推动下产生的，因此也没有一点毛病。

要想达到这种理想状态，客户的内控就要做到两个凡是：

“凡是经营上有动作，财务上一定要有反映；凡是财务上有反映的，经营上一定要有过动作。”

这其实又是前面讲到过的一一映射的思想（见3.1.2在外部审计师的眼里，内控系统是摄像机）。因为只有这样，逻辑严密性才有保证。为此，我们作为审计师，在进行内控测试的时候，就要检查客户是否做到了这两个凡是。

所以，内控测试不仅仅要顺着看，还要倒着看。既要检查客户是否将经营上的事情该反映的都反映进财务报表了，还要翻阅一下客户的账，看一看记进账里的，是不是都是经营上发生过的事，尤其是临近关账时间做的账，即临近关账时间录入的会计分录。

3.1.7 审计师仍要检查每个科目的金额

审计师对于客户的内控都测试完了以后，不论内控好赖，都要对每个会计科目再做进一步的实质性测试。

关于内控测试和实质性测试的关系，简单说来，我们首先对企业的内控进行“有罪推定”，认为其内控是不好的。然后，内控测试做得越多，收集的证据就越多，越有可能证明内控是好、很好、非常好的。内控越好，下一步要做的实质性测试就可以越少。

但是，如果审计师做了上述工作，已经判断内控有效了，在此基础上，抽取有限的样本量进行实质性测试，结果却发现了较为严重的错误，这时，审计师就要反省之前关于内控有效的结论，考虑修正甚至推翻之前的关于内控有效的结论，并且要扩大实质性测试的样本量。

内控测试和实质性测试的关系是制度基础审计的一个基本问题，

至于什么是实质性测试，简而言之，它包括分析性复核和详细测试两类，我们在3.2.7审计师的“七种武器”里会讲到。

有位大师说过，会计是“分类”的艺术。其实，会计就是使用自亚里士多德时代起就使用的分类学，将不同性质的东西不断进行分类。

例如，将资产分为流动资产和长期资产，再进一步分为存货、固定资产、应收账款等。

亚里士多德发明的分类学的精髓就是：直接对一堆水果进行分析是很困难的，你可以将水果分成苹果和桔子后再进行分析，也可以将水果分成新鲜的和腐烂的之后再进行分析。

对于应收账款的明细，既可以是按不同销售客户的名称，也可以是按不同产品，还可以是按不同的账龄。常规的做法是首先拿到按不同销售客户名称的应收账款明细，因为这是最自然的一种分类方法，也是被审计企业最经常使用的一种分类方法。推而广之，我们在任何时候做任何分析，都应该首先使用被审计企业已经在使用的方法。因为只有这样，才能更顺畅地与客户沟通。在此基础上，再进一步使用一些新颖的分析角度。

审计工作的下一步是对这个明细表做测试。这种测试可以是对每一个明细数字都做测试，如果预计个数太多，则可以考虑抽查的办法。

在审计应交增值税这个科目的时候，审计师一般是将应交增值税期末余额分解成：

进项金额是买东西要交的税，所以是减。销项金额是卖东西要交的税，所以是加。

然后，审计师不是直接去验证期末余额，而是对销项金额、进项金额等分别做验证。只要这个公式里等号左边的每一项都验证过了，应交增值税的期末余额就应该没什么问题了。当然，严格说起来，在做完上述验证之后，审计师仍要了解一下这个余额代表了什么含义，比如说，这个余额究竟是代表了几个月的应交未交增值税？

3.1.8 做实质性测试时，审计逻辑链条要严密

我们要注意审计时逻辑链条的严密性。这既是指内控测试时的两个凡是（见3.1.6内控测试工作最重要的是逻辑要完备 —— 要做到两个凡是），也是指检查每个科目余额的实质性测试。

将抽查的方法科学化，使得抽查的结果是对总体的一个测试和描述。例如，采用符合数理统计原理的抽查方法，并将样本的误差推算到总体上去。这就可以避免逻辑链条的断裂。

那么，这个审计的逻辑链条延伸到何处是个尽头呢？延伸到最原始证据，尤其是第三方证据。比如，第三方的确认函、第三方签字的收货单，等等。

如果审计师对于审计链条的断裂这个问题不敏感，客户就有可能在这里钻空子。

审计师的逻辑链条，还经常“断链”在循环引用上。

前面说的，是审计师“无心之过”导致的逻辑缺少。而“睁只眼，闭只眼”导致的没逻辑，更是要杜绝的。

后续：
读书笔记5.5