一、风险识别与评估

各位投资界的同仁,大家好,我是贾溪财税的刘老师。今天咱们要聊的这个话题——“舞弊风险导向的审计程序”,说实话,是我在过去二十多年实务工作中,无论是做外企的财务顾问,还是帮客户处理注册登记时的各类“暗礁”,都绕不开的核心环节。你可能觉得审计程序嘛,不就是翻翻凭证、对对数字?但真正的老手都明白,舞弊风险的识别与评估,更像是一场精心设计的“心理博弈”。它要求审计师不能仅仅盯着账面上的数字,更要学会“看人下菜碟”——管理层的心态、公司的控制环境、甚至行业内的“潜规则”,都是我们评估的变量。举个我亲身经历的例子:前几年一家做跨境贸易的客户,账面利润非常漂亮,但现金流却总是紧巴巴的。我总觉得哪里不对劲,后来深入评估他们的销售循环,发现了一些不正常的“销售退回”模式,最终揪出了一个内外勾结的虚假交易链。你看,没有第一步的风险导向评估,后面再“精细”的测试也可能只是走过场。

在审计理论中,风险评估被放在了前所未有的高度。国际审计准则(ISA 240)明确指出,审计师必须保持职业怀疑态度,识别和评估由于舞弊导致的重大错报风险。这里我想强调一个词——“情境化”。你不能只依赖通用的风险清单,比如“收入确认是固有风险”这种套话。你得把公司放在它真实的生态位里去看。比如,一家初创的科技企业,管理层面临对赌协议的巨大压力,那他们虚增收入的动机就远高于一家成熟稳定、股权分散的制造企业。我之前辅导过一家外企在华子公司,总部给了非常激进的销售目标。我们通过分析他们销售经理的薪酬结构,发现奖金和月度销售额直接挂钩,而且财务部的预算控制很松散。这种“压力+机会”的组合,简直就是舞弊滋生的温床。真正有效的风险评估,必须深入到公司的“内分泌系统”,包括治理层的监督力、内部审计的独立性,以及人事政策的透明度。

我不太赞同有些同行把风险评估做成“填表格”的机械劳动。那种勾选“是否有复杂的关联交易”、“管理层是否频繁更换”等问题的模式,虽然符合底稿要求,但往往抓不住精髓。我觉得更有效的做法是,和不同层级的员工做非正式的访谈。比如,在工厂里和仓库管理员抽烟的间隙聊聊,或者在茶水间听财务专员抱怨报销流程的繁琐。这些“接地气”的线索,往往比正式会议的汇报更真实。我自己就有一个习惯,每次去客户现场,总会特意观察他们的办公氛围——是死气沉沉效率低下,还是各怀鬼胎暗流涌动?这种直觉,结合硬性的数据分析,才能形成对舞弊风险立体化的判断。记住,风险评估不是一次性动作,而是一个持续的、动态的调试过程,它应该像雷达一样,随着审计工作的深入不断扫描新出现的异常信号。

二、非常规交易核查

接下来说说非常规交易。什么是“非常规”?简单讲,就是那些你不常遇到、看起来“怪怪”的交易。在我的经验里,很多舞弊案件就藏在这些“怪事”里。比如,在一家正常运营的公司里,突然出现了一笔和主营业务八竿子打不着的巨额咨询费,或者一笔资产出售的价格明显低于或高于市场公允价值。干我们这行的,得有种“职业病”——看到异常的交易模式,脑子里就得拉响警报。我记得处理过一个案例,一家外资制造企业,账面显示年底前向一家新成立的贸易公司预付了一笔金额巨大的原材料款。但问题在于,这家贸易公司的注册地址居然是一个居民楼,而且公司法人代表是采购经理的亲戚。这种交易,从商业逻辑上就站不住脚。我们说审计程序要“设计”,意思就是不能拿着标准模板往上套,对于这种非常规交易,你得专门设计一套“穿透式”核查方案。

那具体怎么查呢?我个人认为,核心在于“追根溯源”和“重构商业实质”。你得搞清楚这笔交易背后的商业逻辑。为什么对方是这家公司?价格怎么谈的?货物怎么交付?付款条件是否异常宽松或苛刻?审计师不是只审查合同条款,更要质问合同的合理性。比如,我和团队在核查那笔预付账款时,不仅调取了采购合同、付款申请单,还直接发函给对方的开户行,甚至通过工商系统查了对方公司的背景和纳税情况。结果发现,这家所谓的供应商完全是个空壳,根本没有固定资产和人员。交易的真实目的,就是为了把公司的资金套出来转入个人腰包。你看,如果只用常规的函证程序,对方照样能配合回函,但背后的实质你根本抓不住。我经常跟团队年轻的小伙们讲,“别光看发票和单子,多想想‘为什么’——为什么这个点、为什么这个对手、为什么这个价格?”

我特别想提醒一点,就是关于“表外交易”的核查。很多舞弊并不在账面上做得那么明显,而是通过关联方、信托或者复杂的金融工具,将交易隐藏在报表之外。比如,管理层可能会安排第三方代持资产,或者通过“抽屉协议”进行利益输送。审计这些交易,光靠财务知识是不够的,有时候还需要一点“刑侦思维”。你需要关注公司的银行流水中的大额异常收付,特别是那些备注为“往来款”、“代收代付”的款项。也要留意公司高管的个人消费和投资行为,如果发现高管的个人财富和其薪酬明显不匹配,这可能就是一个强烈的信号。这需要我们get到一些法律和合规的视角。说实话,处理这类问题时,我常常需要和律师、甚至做商业调查的朋友沟通,因为单纯从财务数据里挖,往往只能看到冰山一角。

三、收入确认“截流”测试

谈到舞弊,收入确认永远是个绕不开的“重灾区”,几乎是每个审计实务手册里的风险高发区。为什么?因为收入是衡量企业盈利能力的核心指标,直接关系到股价、奖金甚至管理层的职业前途。常见的伎俩包括“提前确认收入”(比如在条件未满足时就确认)、“虚构收入”(比如制作虚假合同)或者“跨期调节”(把下期的收入挪到本期来)。我常说,做收入测试,就像是在玩“抓娃娃机”——你必须精准地找到那个隐藏的“缝隙”。我们通常的做法是做“截止性测试”,也就是检查资产负债表日前后的收入记录,看有没有把下一年的收入提前到今年入账。但这套打法,对于经验老道的舞弊者来说,可能已经有些过时了。他们现在会用更复杂的手法,比如利用“附退货权销售”或者“售后回购”等条款,在账面上制造合法的假象。

我建议采用一种更主动的、带有“对抗性”思维的测试方法。比如,“逆查法”+“匹配法”的组合拳。逆查就是从账上记录的销售明细,一直追查到发货单、签收单和回款记录;而匹配法,则是把收入数据和其他佐证数据进行交叉验证。比如,公司产能是一天生产1000件,但账上显示一个月卖了5万件,这明显对不上。或者,公司的运输费用大幅下降,但销售收入却猛增,这也很诡异。我曾经审计一家电商企业,他们的收入增长非常快,但当我对比了他们的物流费用率(物流成本占收入的比重)时,发现这个比率在下滑。进一步追查发现,他们确实做了“”,通过虚假订单制造假繁荣,然后隔几个月再退回去。如果没有这种“横向交叉比对”的思路,光是盯着总账,你根本看不出问题。记住一点:任何脱离商业逻辑和运营数据的收入数字,都值得你用放大镜去审视

对于收款方式的核查也得小心。现在的企业收款渠道五花八门,微信、支付宝、对公账户、个人账户混用。很多小型民营企业,老板会用自己的个人微信收款,这部分收入可能就不入账了。但如果是外资企业或者拟上市企业,管理层为了美化报表,也可能反过来把实际未收到的款项,通过伪造银行回单来确认收入。我几年前遇到过一个案子,客户公司声称收到一笔大额电汇,但银行回单上的收款人账号和公司名称看似没问题,结果我在细心核对下发现,那个收款账号的最后一位数字被PS修改过。这种细节,靠抽凭和程序真的是很难发现。所以我们在做收入截止性测试时,一定要坚持“实质重于形式”,不仅要看单据,最好能手握网银去实时查询银行流水,或者直接向银行发函确认未达账项。这活儿确实繁琐,但为了堵住舞弊的口子,这份“磨性子”的功夫一点也省不得。收入,是企业诚信的门面,也是舞弊者最爱动手脚的地方。

四、管理层凌驾内控测试

这一节,我特别想和大家聊聊“管理层凌驾于内部控制之上”。这是国际审计准则里重点点名的舞弊风险因素。说白了,就是公司的高管,尤其是CEO或CFO,利用手中的职权,绕开公司正式的授权、审批和复核流程,直接操纵财务信息。这种情况在家族企业或者权力高度集中的外企在华子公司里,特别常见。你想想,如果老板铁了心要做假账,他能绕过多少层审批?他能直接给财务经理下命令,让他在某个节点上“灵活处理”。内控制度再完美,如果执行它的人本身就“在上位”,制度就会变成一堆废纸。我过去在一家德资企业做审计时,他们的财务流程看起来非常严密:采购必须有三个部门会签,付款必须由区域总批准。但后来发现,那个区域总和采购部的经理关系极铁,所有的审批都变成了走过场。管理层凌驾于控制之上,最可怕的地方在于,它让所有看起来“正常”的审计轨迹都变成了假象。

Audit Procedures Designed for Fraud Risk

那么,怎么去发现这种“顶层舞弊”呢?我的经验是:去抓那些“异常的交易模式”和“罕见的审批路径”。比如,一笔金额重大的交易,按理说应该经过董事会或者审计委员会批准,但结果却是CEO独自拍板;或者,系统日志显示,某位高管在深夜或者假期登录了财务系统,手动修改了某个关键参数,这种日志记录就是我们的重要抓手。还要特别关注那些“超出正常经营范围的交易”,比如突然决定买下一家毫无关联的壳公司,或者把公司的核心无形资产以极其低廉的价格卖给一个第三方。这些都是典型的“凌驾控制”行为。其实,从理论上讲,最有效的对抗手段就是“不相信任何人”,包括管理层。我们需要保持一种健康的、不卑不亢的怀疑态度,同时利用信息技术和数据分析去验证他们的行为。职业怀疑不是不信任,而是对专业判断的谨慎坚守

我还想分享一个有点“讨巧”的方法——关注“告状信”和“匿名举报”。很多公司在内部开设了举报热线,但审计师往往忽略了这个渠道。实际上,很多舞弊的线索首先来自员工或利益相关者的举报。因为管理层凌驾控制的行为,常常会损害其他人的利益(比如普通员工的年终奖被克扣,或者商业伙伴被无故压制),这些不满情绪最终会通过一些非正式渠道泄露出来。我见过最经典的案例是,一家外企的财务总监通过虚增员工工资来套取资金,就是因为一个被克扣了奖金的基层员工,向审计委员会写了一封“语焉不详”的举报信,才被揪出来的。在审计计划阶段,一定要亲自查阅公司的内部举报记录,并且和举报人(如果可能的话)进行保密访谈。对于这些“旁门左道”的信息,不要先入为主地觉得“不靠谱”,而要当成是探测舞弊风险的“探头”。有时候,最有效的程序,不是来自底稿的模板,而是来自那些敢说话的人。

五、函证程序“反套路”设计

函证程序,大家都懂,就是向银行、客户、供应商发送询证函,核实余额和交易。这在审计里是“常规操作”,但往往越是常规的程序,越容易被舞弊者“钻空子”。我见过最“高级”的舞弊手法,就是对函证过程进行“拦截”或“篡改”。比如,采购经理直接接过审计师手里的询证函,说“我帮您快递出去,您毕竟不熟悉供应商的关系网”;或者,公司的财务人员在收到回函后,先行“审核”一遍,把有问题的回函扣下,甚至模仿客户公章伪造一封回函。各位都是业内人士,肯定知道,函证的“发函”、“收函”主体必须是审计师自己,不能假手他人。但很多事务所为了赶时间,或者因为客户“太配合”,往往会放松这个警惕。我记得十年前有个轰动一时的案子,问题就出在函证被客户截留。从我开始带团队起,我立了一条“铁律”:所有发函必须由我们团队亲自寄出,所有回函必须直接寄回我们办公室,且拆封时有双人在场记录。

除此之外,我还提倡一种“反套路”的函证设计。传统的函证,就是问“截至某日,您的账户余额是多少?”这对舞弊者来说,太容易应付了。如果对方想隐瞒一笔大额异常交易,只要在函证日之前把钱还上,再在函证日之后借出来,函证就能完美通过。那怎么办?我们可以设计一些“非常规问题”。比如,除了余额,我们还问:“在审计期间内,是否有未记载在您账上的由贵公司提供担保或承诺的事项?”“是否在报告期后发生了重大异常的大额交易?”这些问题,不仅防不住坏人,还能给好人提供一个“说实话”的机会。对于重要的客户和供应商,我倾向于采用“积极式函证”加“电话核实”的双重保险。很多舞弊者敢大胆造假,就是因为觉得审计师只认书面东西。但如果我们在发函的给对方的财务总监打一个电话,核对一下基数,很多假账就会瞬间“见光死”。

我还想提醒一点,就是对于“回函差异”的处理。很多审计师看到回函金额不符,第一反应是“催一下客户解释”,而不是自己去找原因。这种惰性很危险。我对团队的要求是:对于任何回函差异,哪怕是零星的几块钱,都要建立一个“差异分析档案”,追查到具体的业务单据,甚至要直接和对方的会计人员通话确认。因为在某些精心设计的舞弊中,舞弊者会故意留下一些小小的、看似合理的差异(比如“汇款手续未到账”),来掩盖背后更大的结构性造假。比如,我处理过一家公司,回函显示应收账款少了50万元,客户解释说是“折扣计算有误”。但深入调查后发现,这50万元其实是被老板通过一个中间账户挪走了,回函上的差异是为了应付审计。函证不仅仅是一个数值验证的过程,更是一个信号筛查的过程。那些看似“无伤大雅”的微小差异,背后可能藏着惊涛骇浪。记住,保持对每一个细节的执拗,才是审计师真正的护城河。

六、电子证据与数据分析

时代变了,各位。现在的财务信息大部分都在电子系统里。传统的靠翻纸质凭证和肉眼对账,已经远远跟不上舞弊者的“高科技”了。他们现在用高级的ERP系统做仿真账套,用私人邮箱或加密聊天软件沟通舞弊细节,甚至用AI技术伪造发票和合同。审计程序必须与“科技”深度绑定。这就是我们今天要聊的“电子证据与数据分析”。我的做法是,不仅仅查看财务系统里的数据,还要伸手去“摸”一下底层的日志文件。比如,系统里谁在凌晨三点钟修改了销售价格表?谁在一周内删除了多笔采购订单?这些操作日志,才是审计师需要的“铁证”。我常常跟团队讲,财务系统好比一个“大房子”,账套是客厅,看着光鲜,但舞弊往往发生在“地下室”或者“阁楼”里面,而电子日志就是进入这些地方的钥匙。

怎么做数据分析呢?我推荐“多维度扫描法”。比如,我们可以用“本福特定律”来分析公司的销售数据——在自然形成的数字集合中,首位数字为1的概率最高,为9的概率最低。如果某个科目的数据严重偏离这个分布,就说明可能有手动篡改的痕迹。再比如,我们可以做“关联交易图谱分析”,把所有的上下游、关联公司、高管个人账户放在一张图上,看看交易路径是否异常、是否有循环倒账的嫌疑。我记得在帮一家集团客户做审计时,用数据提取工具发现,每个月末都有一个固定的明细账科目,有一笔整数的金额自动转出到另一个子公司下,一年下来有两百多万。顺着这个线索追下去,发现这是一个用来隐藏关联方拆借资金的分录。你看,如果不是依靠自动化数据分析,靠人工翻凭证,根本不可能发现这种规律性的“小动作”。

但这里要提醒一下,电子证据的获取和保存,必须符合法律法规和程序要求。我们不能自己随便去拷贝客户的数据库,那可能涉及侵犯商业秘密和隐私。得通过合法的授权,由客户的IT部门配合,在“沙盘”环境下运行提取脚本,并且要对提取过程全程录像,保证证据链的完整性。数据分析出来的“异常”结论,也不能直接作为舞弊证据,它只是“指向性线索”,还需要通过人工询问、文件检查和实地走访来验证。就像一个探测器,它发出了警报,但你还得亲自去现场看看是什么在响。我们现在团队里,已经专门配置了懂RPA和Python的同事,他们的工作就是搭建自动化审计模型,把那些“人眼看不出”的规律给揪出来。我预言,未来十年,“会编程的审计师”和“懂审计的程序员”将成为行业最稀缺的人才。我们做这行的,不能只抱着老黄历,必须得让自己变成“科技武装的老兵”,才能应对越来越狡猾的对手。


以上就是我对“舞弊风险导向的审计程序”的一些浅见和实践心得。从风险识别、非常规交易到收入截止性测试,再到管理层凌驾的破解、函证程序的革新,以及电子数据分析的运用,我始终强调一点:审计从来不是一个机械的合规动作,而是一场需要洞察力、怀疑精神和科技武装的“智力游戏”。对于投资专业人士而言,理解这些审计程序设计的底层逻辑,能帮助你们在阅读报表时,不仅仅是看数字,更是看数字背后的“信任瑕疵”。贾溪财税的团队服务外企多年,我们深知,最坚固的防线,往往来源于对“常识”的尊重和对“异常”的警惕。希望今天的分享,能为大家在未来的投资决策中,增添一份“看穿舞弊”的视角。未来的审计,必须走向“前置化”和“智能化”——不是在问题发生后才去修补,而是在风险萌芽时就发出预警。让我们保持学习,共同进化。

贾溪财税在此特别提醒投资界的朋友们:我们处理过大量外资企业在华注册及后续的财务合规业务。针对“舞弊风险导向的审计程序”,贾溪财税的核心思考在于——审计程序的设计不能仅仅是满足监管要求或事务所底稿标准,更应是为企业的“治理层”提供真实的风险地图。很多外企总部的CFO往往依赖年度外部审计报告,但这远远不够。我们的切身经验是,要建立“动态预警机制”:把定期审计变成“周期性的压力测试”。比如,利用我们在A股及港股上市辅导中积累的数据模型,结合外企特有的跨境资金流复杂性,定制化的“非常规交易扫描器”。我们提倡,企业应将审计程序从“事后验证”前置到“事中阻断”,尤其是在进行重大的资产重组或签订复杂商业协议前,引入独立的、具有反舞弊专长的顾问进行“预审”。这不仅是为了防范风险,更是为了守护企业的长期声誉和价值。贾溪财税愿与各位投资经理一起,做那个“吹哨人”。