年审，试试这样做审计

常说审计思维，到底是一个什么鬼东西

有人觉得，审计思维是一种方法，或者是一种工具

方法和工具的区别就是有形和无形，方法是无形的工具，工具是有形的方法。

也有人觉得，审计思维是一种理念，一种经验

做审计，第一步，一定是了解，了解你的客户，了解你的项目。

了解的内容包括管理层，行业，环境，业务，管理，内控，账务，客商等等

包含了人、物和事。

通过这些，了解企业的发展过程，管理层的动机，从而才能找到更多信息。

这是审计非常重要的环节，因为通过了解，才能洞察客户，才可能发现舞弊的迹象，才可能发现客户面临的问题，才能最终实现审计的质量和价值。

在这个阶段，我们会搜集大量的信息，包括我们制作的资料清单。

了解之后我们才能对它进行定义，也就是风险，说白了就是找到审计重点问题的所在。

从我经历的项目来看，只要你能找到一个客户最大的三个风险，其实就足够了，只要把最大的三个风险解决，基本这个项目就没什么问题了。

所以在这个阶段，很多人问，如何做风险评估啊，如何发现问题啊。

其实很简单，把第一步你了解到的，你搜集到的资料，放在一起，去观察它们，去思考它们，去分析它们，然后找到这个客户的核心问题。

并且，你必须对你发现的问题，能够说的清楚。

我见过很多项目经理，你问他有风险嘛，他说有，你问他为什么有风险，他说不出个一二三，毫无逻辑。

我们审计，是真正的发现和解决问题，而不是为了所谓的风险而风险。

比如，很多人说，要讲风险降低到多少以内，因为风险评估，我们喜欢搞一个重要性水平，这通常是我们的标准。

而实际上，在工作中，我后来的思维常常是，不是说我要把风险降低到多少以内，而是这个客户的某个动作或者行为，导致了多大的风险。

这个逻辑是不同的

也就是说，我们要得到客户的认可，让我们的工作有价值，不是我们要什么，而是客户要什么。

不是我们要控制多少风险，而是客户有多少风险，能够承受多少风险。

你要知道，客户与人一样，对风险的渴望是不同的，你是不能一概而论的。

同样的指标，对于这个客户就意味着极大的风险，对于另一个客户可能反而是发展的机会。

只有把客户的风险真正搞明白，你才能建立你的审计方案，才能真正解决问题，用审计的话说，风险应对。

这就是第三步了，有了风险之后，你才能有整体的把控和计划，其实在执行层面就是审计的方法。

如何审计

你已经足够了解这个客户，因为你吃喝住在项目，即使不去现场，经过前期的资料分析，并且通过风险评估的分析，而且对风险做了表述之后，其实就进入了操作的阶段了。

这个时候，你最需要的，不是底稿，而是头脑。

到底要怎么审，到底要做哪些程序验证。

在我经历的过程中，大部分的底稿模板都是不能解决问题的。

因为客户太”烂“，底稿模板是好的，可是客户做不到啊。

甚至有些客户连账都提供不了，你是直接发表无法表示意见，打道回府，还是再想办法呢？

我很少见过打道回府的

一方面，咱得靠项目挣钱。

另一方面，我自己来说，对于这种项目，我真的很感兴趣。

越是这种”烂“项目，我真的越充满期待。

因为项目越烂，你的价值越高。

很多时候，这种项目不是烂，而是审计师的能力不够而已。

它能活下来，能在它的行业内混的风生水起，就是好项目，就不简单。

所以，在工作中，我们必须跳出固有的思维，思考新的审计方式方法。

我经常喜欢带着团队头脑风暴，大家提出这个项目的痛点，畅谈自己的发现，扩大问题的思考层面，并且刺激大家的思考。

然后进行模拟推导

模拟推导的意思，就是验证方法的可行性

验证新的风险

这时候我通常会选择几个小样本，测试看看我的方法能不能行得通。

这个时候我经常是会遇到两个方面的问题

一个是我的方法就走不通，比如某些资料客户无法提供，也找不到其他的可替代资料，数据缺乏支撑。

一个是我的结果有问题，我的方法计算出的结果，明显不合理，甚至产生了更大的风险，这个时候，我首先需要检查的是，我的的推导方式是不是存在瑕疵。

必要的时候我也会拿着这个结果找企业直接商量，你不必藏着掖着，我通常很直接，你看我这样算，你们企业的情况是不是合理的，如果他认为合理，我就给他看这个不忍直视的结果。

如果他认为这个结果不是真实的反映，他就会去仔细研究你的方法，并且仔细按他的方式思考和计算。

这时候又通常会有两种情况，他能看懂你的方法，并且认同你的方法的时候，他能够找出你的方法的瑕疵，这个时候，你不仅解决了问题，还直接建立了新的模型。

另一种情况，他看不懂你的方法，他会按他的公式给你算一版出来，因为你的结果太可怕，不管怎么做，他都会上心的。

最后才是实质性的测试，引入需要的样本，专注于细节。

在审计中，这个过程不是线性的，而是灵活的。

所以，你不要介意有时候项目经理看起来不做风险评估之类的，不是他不做，而是这个过程本身就是灵活的。

比如，所有的阶段，从了解，风险评估，细节测试，其实都是可以并行的，这不影响。

但是，实际上你的整体的流程还是这样的流程，只是操作的流程在并行。

就比如，了解和搜集信息，搜集资料的过程，是贯穿于整个审计的，风险评估也是贯穿于整个审计的。

细节测试，又可以引发新的风险评估，也可以引发新的信息，对企业新的了解，新的所需资料。

所以，你看我画的那几条线，它们在执行的时候，在执行过程中，不是特定顺序，经常并行，甚至经常重复。

所以审计的流程，我认为不应该仅仅死板的认为是流程，步骤，而应该是代表不同的模式。

也就是说，审计必须经历了五个阶段模式。

所以每个项目背后，不管是任何行业，任何项目，背后的思想都是一样的。

所以，审计思维不是死板的，不是底稿模板，也不是具体的方法，而是我画的这个图一样，洞察，切换，并行，重复，执行，目标只有一个，发现问题，解决问题。

通过不断的执行五个阶段，从而获取更多的信息，增加对于企业问题的理解，并且重新定义企业的风险。

这是永恒的循环，永恒就意味着你获取的越多，做的越多，就会对客户的问题产生更多的理解，发现更多客户面临的问题。

而不是像很多人一样，做的内容越多，但是只是磨洋工。