审计方案，从机械复制到运筹帷幄，一位注会老兵眼中的实战兵法

作为一名在注会行业摸爬滚打多年的“老兵”，我见过太多形形色色的审计底稿，也带过不少刚入行的审计助理，每当一个新的审计项目启动，大家最头疼的往往不是最后的合并报表，也不是那个让人抓狂的所得税调整，而是项目最开始的那一步——审计方案。

说实话，在很长一段时间里，我也曾对“审计方案”这四个字嗤之以鼻，在事务所忙季的高压下，它往往被视为一种不得不完成的“行政公文”，或者是用来应付质控部（QC）和检查官的“门面”，很多时候，我们的操作流程是这样的：打开事务所的模板系统，找到去年同一家客户的底稿，点击“复制”，然后把年份从“2022年”改成“2023年”，最后点击“保存”，搞定！这看起来像是一个完美的审计方案，但在我看来,这简直就是一种职业自杀。

我想抛开教科书上那些枯燥的定义，用更接地气、更人性化的方式，和大家聊聊我眼中的审计方案，它不应该是纸面文章，它是我们审计人员的作战地图,是我们在复杂的商业丛林中生存和突围的根本逻辑。

审计方案：不是“填空题”，而是“导航图”

很多年轻同事问我：“老师，审计方案真的有用吗？客户情况年年差不多，我们为什么还要花两天时间去写那些谁看的总体审计策略？”

这就好比你去一个陌生的地方旅游，如果你只是去楼下便利店买瓶水，你确实不需要方案，抬脚就走就行，但如果你是要去穿越无人区，或者去一个路况复杂的异国他乡自驾，你敢不设导航、不查攻略、不规划补给站吗？

审计工作，本质上就是一次充满未知的“探险”。

举个具体的生活实例，前几年我负责一家大型制造业企业的年报审计，这家公司不仅有国内的销售业务，还在东南亚和非洲设有分公司，如果我只是简单地复制去年的方案，把“2022年”改成“2023年”，那么我可能会忽略一个巨大的外部环境变化：那一年，当地汇率波动极其剧烈,且供应链因为海运价格暴涨而出现了断裂的风险。

去年的方案里，可能重点放在了存货盘点和产能利用上，但如果今年的方案依然照搬，没有把“汇率风险对冲”和“海外供应链成本”列为重大风险领域，那么当我们到了现场，面对一堆因为汇率贬值导致的汇兑损失数据，以及因为运费上涨导致的毛利异常，我们就会像无头苍蝇一样，陷入无尽的细节测试中，最后不仅审计时间不够,还可能漏掉重大的错报风险。

我的第一个核心观点是：审计方案必须具有“动态性”和“前瞻性”。 它不是填空题，它是导航图，当路况（宏观环境、企业战略、内部控制）发生变化时，你的路线（审计程序、重点领域、资源分配）必须随之调整，写方案的过程，其实就是你在脑海中把整个项目预演一遍的过程，如果你写方案时觉得大脑一片空白，只是机械地复制粘贴，那么我可以断言,你接下来的现场审计一定会是一场灾难。

风险评估：像医生一样“问诊”，而不是像验血员一样“干活”

在审计方案中，最核心的部分莫过于“风险评估”，这四个字在审计准则里被捧上了天，但在实际操作中，往往被简化为“填一个风险系数矩阵”。

我认为，风险评估是审计方案的灵魂，它决定了我们后续所有动作的合法性。 如果风险评估做错了，后面所有的实质性程序都是在做无用功,甚至是在南辕北辙。

让我们用一个生活中的例子来类比，假设你是一名医生，来了两个病人，病人A是一个20岁的小伙子，踢足球摔断了腿；病人B是一个70岁的大爷,突然胸闷气短。

如果你是一个不负责任的医生，你可能给两人都开同样的检查单：验血、量体温、拍X光，这就像是我们不做风险评估，直接对所有科目执行固定的审计程序（比如都发函证、都抽凭），这虽然也能查出点问题，但效率极低,而且可能漏掉真正的病灶。

一个优秀的医生（也就是我们审计师）会怎么做？看到病人A，他会重点去检查骨骼肌肉；看到病人B，他会立刻安排心电图和心脏彩超,排除心梗的风险。

在审计方案中，这就是“了解被审计单位及其环境”的重要性。

我曾审计过一家处于初创期的互联网科技公司，这家公司连年亏损，账面资金主要靠融资支撑，如果按照常规制造业的审计方案去套，我会重点关注固定资产、存货和生产成本，但这对于这家公司来说,完全就是抓瞎。

在那份审计方案中，我大胆地调整了重点：我将“持续经营能力”列为最高风险，将“研发费用资本化”作为核心关注点，而对于固定资产，因为公司只有几台电脑和服务器，我直接将其列为低风险区域,仅执行简化的程序。

结果证明，这个方案是极其正确的，在现场，我们发现了研发费用资本化条件极其苛刻，如果强行资本化会虚增资产，同时如果不加提示，公司的现金流将在未来6个月内枯竭，这些问题，如果我当时还在傻乎乎地数电脑、盘点办公桌椅,根本发现不了。

我的第二个观点是：审计方案中的风险评估，必须带有“职业怀疑”的穿透力。 不要只看财务报表上的数字，要去了解数字背后的业务故事，你要问自己：这家公司靠什么赚钱？它的老板是什么性格？它的行业在发生什么变化？只有当你像侦探一样分析透了这些,你的审计方案才能真正指导实战。

实质性程序：拒绝“撒胡椒面”，要“精准打击”

写好了风险评估，接下来就是审计方案中的重头戏——具体审计计划的制定,也就是我们要做什么实质性程序。

这是我见过最多“偷懒”也最多“瞎忙”的地方，很多审计方案在写具体程序时，写得冠冕堂皇：“取得明细表，进行发生额测试，抽查凭证，截止测试……”这简直就是“万金油”程序，放在哪个科目上都能用,放在哪个科目上都没用。

这种做法就像是在战场上，不管敌人是躲在碉堡里，还是藏在草丛里，你都只会用机枪对着前方盲目扫射（撒胡椒面），子弹（审计工时）打光了，敌人（重大错报）可能毫发无伤。

我认为，好的审计方案，其具体程序必须是“定制化”的，要像手术刀一样精准。

举个真实的例子，在审计一家连锁餐饮企业时，对于“营业收入”这个科目，常规的方案可能是：“抽取大额凭证，检查合同，发函证。”

通过风险评估我们发现，这家餐饮企业最大的特点是门店多、交易频次高、单笔金额小，且大量使用微信、支付宝等第三方支付平台，如果我去抽“大额凭证”，根本抽不到几张,因为大家吃饭都是几十几百块钱。

在审计方案中,我设计了一套完全不同的程序：

不查大额，查异常： 利用IT审计工具，导出全年的POS机流水，分析单日客单价、翻台率，如果某天客单价突然翻倍，或者深夜有大量餐饮消费，这才是异常,需要重点排查。
不查合同，查系统： 重点检查第三方支付平台的对账单与公司财务系统入账金额的核对（IT审计与财务审计的结合）。
不发通用函证，发神秘顾客函证： 我们甚至设计了去门店实地观察客流量的程序。

你看，同样的“营业收入”，因为业务模式不同，审计方案里的程序设计天差地别，如果照搬模板，不仅我们审计人员累死在抽凭上,而且根本无法发现通过刷单流水虚增收入的舞弊行为。

我的第三个观点是：审计方案中的程序设计，必须服务于业务逻辑。 脱离了业务谈程序，都是耍流氓，你要明白，每一个审计程序背后，都要有一个明确的“审计目标”——我是为了验证存在性？完整性？还是计价分摊？不要为了做程序而做程序。

资源配置：别让“小马拉大车”，毁了整个团队

我想谈谈审计方案中经常被忽视，但直接关系到项目组生死存亡的一个方面——项目管理与资源配置。

很多审计方案只写了“做什么”，却没写“谁来做”和“多久做完”，一份完美的审计方案，如果配置了错误的人手,结果只能是灾难。

生活实例再简单不过了，如果你要组建一个篮球队去打比赛，你的方案里写明了要打“全场紧逼”和“快攻战术”，结果你派上去的队员全是身高1米7、跑不动的中年大叔，或者根本不懂规则的新手，这比赛还没打,你就已经输了。

在审计现场,这种情况比比皆是。

我见过一个项目经理，在审计方案里把“应收账款函证”和“银行存款函证”这两个极其重要且紧急的程序，分配给了一个刚入职两天、连银行询证函长什么样都没见过的实习生，结果可想而知，函证发错了地址、收件人填错了、跟银行函证时被柜员忽悠，等到现场结束前一周才发现函证回函率极低，整个项目组不得不通宵达旦地补救，甚至还要执行替代程序,搞得大家怨声载道。

在我的审计方案哲学里，人比程序更重要。

在制定方案时,我会花大量时间思考：