數字由誰來寫,以及這為何是個問題
到現在,你腦子裡已經搭起了一整台會計機器。你會把一筆交易做分錄、過帳、調整、結帳,再裝配出能夠乾淨勾稽的資產負債表、損益表和現金流量表。但請退後一步,問一個這台機器從不問自己的問題:*銀行或投資者所讀的那份財務報表,究竟是誰製作出來的?* 答案讓人不太舒服。是管理層。薪酬、獎金和聲譽隨這些數字起落的,正是那批選擇估計、劃定界線、並在合計數上簽字的人。
這不是在指控誰不誠實,而是一個結構性事實。回想財務報表那一級裡,一套帳裡包含了多少誠實的判斷:應收賬款裡有多少會變成壞帳,一台機器能用多久,一樁訴訟是否「很可能」敗訴。每一個這樣的判斷都有一個好看的版本和一個清醒的版本,而做判斷的人確實有動機往好看的方向傾斜。一個身處遠方的讀者——另一座城市裡的放貸人、從未踏進過倉庫的股東——根本沒法分辨一個謹慎的估計和一個一廂情願的估計。這道橫在「知道數字的人」與「必須依賴數字的人」之間的鴻溝,就是可信度難題。
經濟學家給這道鴻溝起了個名字:*資訊不對稱*。管理層知道企業的真實狀況;外部人不知道,而且他們知道自己不知道。任由這種狀態發展,會腐蝕一切。一個無法信任報表的放貸人,要麼拒絕放貸,要麼收取懲罰性的高利率,以覆蓋數字被粉飾的風險。好公司和壞公司被同一種懷疑一鍋端。於是誠實的公司就有了一個強烈的動機:想方設法去*證明*自己的數字值得信任——而查核被發明出來,要滿足的正是這個動機。
外部查核:一個能說「不」的局外人
世界最終採用的答案,是獨立外部查核。一家獨立的事務所——這些會計師不為該公司工作、不從它的薪資冊裡領錢、也不持有任何讓業績顯得光鮮的利害關係——審查報表以及報表背後的證據,然後公開聲明這些報表是否公允反映。外部查核的全部力量都繫於一個詞:*獨立*。查核師對放貸人的價值,恰恰在於查核師能直視管理層的眼睛、拒絕為這些數字背書。一個你無法拒絕給出的意見,分文不值;可信度來自「說不」這一真實存在的可能性。
請注意查核師*不*做什麼。查核師不編製報表——那仍由管理層來做。查核師不經營企業、不替它選擇會計政策、也不為它的未來打包票。查核師的工作更狹窄、也更奇特:收集足夠的查核證據,以形成並最終公布一個誠實的專業意見,判斷管理層的報表是否遵循了規則——也就是你一直在學的公認會計原則或國際財務報導準則框架——並且不存在*重大*錯報。其產出不是一套被改正過的帳。它是一句措辭謹慎的判斷,背後撐著大量公眾從未見過的測試。
這句被公布出來的話,就是查核意見,載於每一份經查核的年報最前面的那份查核報告之中。我們會用後面一整篇專門逐字拆解這份報告。眼下,先記住它的形狀:一個本可以說「不」的局外人,認真看過之後,說這些報表是公允反映的。這句話,正是管理層無法靠自己製造出來的可信度。
驗證,而非確定:「合理」到底是什麼意思
下面是關於查核最常見的一個誤解,在你繼續往下之前值得糾正:查核*並不*擔保報表是正確的、真實的或有保證的。查核師所提供之物的更寬泛的名稱叫驗證——一種信心的程度——而其標準產品被稱為*合理保證*,而非絕對保證。查核師誠實地告訴你:「我做了足夠多的細緻工作,因此我有信心(雖不能確定)這些報表裡沒有大到足以改變你決策的錯誤。」這句話請讀兩遍。是有信心,不是確定。是大到要緊,不是完全精確。
為什麼不是確定?因為在任何理智的代價下,確定都不可能。一家大公司一年要記錄數以百萬計的交易;逐一核對每一筆的成本,會超過這家公司本身的價值,花的時間也會超過它所覆蓋的那一年。於是查核師*抽樣*——測試經過挑選的一部分交易和餘額——再從這部分推斷到整體。抽樣很有力,卻永遠無法把門徹底關嚴:總有一線機會,未被測試的項目裡藏著問題,或者一樁精心設計的舞弊,恰恰是為了繞過查核師會做的那些測試而量身定做。誠實的驗證會大聲承認這份殘餘風險,而不是把它糊弄過去。
驗證 vs 編製:兩門手藝,一套帳
把你剛剛跨過的那條線精確地命名一下,會很有幫助。你爬這把梯子時學到的一切——做分錄、過帳、調整、結帳、搭起四張報表——都屬於*編製*:製作會計資訊這門手藝。查核則是另一門完全不同的手藝,叫*驗證*:審查別人編製好的資訊,並就其可靠性出具報告。會計師蓋好房子;查核師檢驗房子,並在驗收合格證上簽字。同一套圖紙,桌子兩端相對而坐。
PREPARATION (accounting) ATTESTATION (auditing) -------------------------- ----------------------------- Made by: management Made by: independent auditor Produces: the statements Produces: an opinion ON them Knows the business inside Tests evidence from outside Incentive: look good Stance: professional skepticism Deliverable: the four reports Deliverable: one judgment sentence
驗證的這套心態有它自己的名字,你會一次次遇到:職業懷疑。它不是憤世嫉俗——查核師並不假定管理層在撒謊——但它是拒絕簡單地聽信管理層的話。「給我看」取代了「我確信沒問題」。當一位經理說倉庫裡有400萬美元的存貨時,懷著職業懷疑的查核師不會點頭了事;他們會去抽點幾排貨架、把成本追溯到發票、並核對滯銷品是否已被減記。懷疑,是讓獨立性變得真實而非裝飾的那種工作秉性。
內部稽核:住在屋裡的看門人
還有第二種查核,初學者總是把它和第一種搞混。內部稽核這一職能由公司*自己*的員工擔任,但它被刻意地與它所監察的營運隔開,並且不是向它可能要批評的那些經理匯報,而是向上匯報給董事會或其稽核委員會。外部查核師一年來訪一次,為外部人出具一份公開意見;而內部稽核師則常年住在屋裡,檢查公司的內部控制、流程和風險防線是否真的有效——並私下向高層匯報,而非向公眾。
- 為誰工作——外部:由股東/董事會聘請,獨立於公司之外;內部:公司的員工,但與日常營運保持獨立。
- 結果給誰看——外部:公眾、放貸人、投資者;內部:董事會與高階管理層,閉門進行。
- 他們評判什麼——外部:年末報表是否公允反映?內部:內部控制和流程是否全年有效,風險又在哪裡滲漏?
- 頻率如何——外部:通常一年一次,圍繞報告日進行;內部:持續不斷,一個專案接一個專案,全年進行。
這兩者是夥伴,不是對手。一個強有力的內部稽核職能會收緊內部控制、及早抓出錯誤,從而在外部查核師還沒到場之前,就讓公司的帳更可靠——而一個更可靠的起點,能讓外部查核更有效率。但它們永遠不能彼此替代。內部稽核師無論多有原則,畢竟還在薪資冊上,所以外部人無法靠他們獲得那份*獨立*的可信度——那只有外部事務所才能提供。兩個看門人缺一不可:一個在屋裡看著機器運轉,一個在屋外向世界作保。
把它串起來:可信度是被製造出來的產品
徹底退後一步,這套結構其實很優雅。管理層編製報表,並且有一萬個理由想讓自己好看。這個動機本會毒化數字的有用性——若不是有一家獨立事務所隨時準備審查它們,並且關鍵在於,準備拒絕給予背書。從這場審查中產生了驗證:不是確定,而是合理的、被誠實地劃定了邊界的信心,封裝成一份外部人可以依賴的公開意見。與此同時,一支內部稽核團隊全年從屋內打理這台機器。對財務報導的信任並非憑空就在;它是被這些層層交疊的檢查*刻意製造*出來的。
這一個念頭——可信度是被建造出來的,而非想當然就有的——是整一級的脊樑。前方所有的話題,都是外部查核師如何真正贏得那一句公開陳述之權利的某個零件:讓一套系統從根本上值得信任的內部控制與COSO框架,界定一個錯誤要多大才算要緊的*重大性*概念,決定測試做到多少才夠的查核風險模型,以及那句意見本身的語法。你現在已經知道整套機器*為何*存在。這一級餘下的部分,講的是它*如何*運作。