数字由谁来写,以及这为何是个问题
到现在,你脑子里已经搭起了一整台会计机器。你会把一笔交易做分录、过账、调整、结账,再装配出能够干净勾稽的资产负债表、利润表和现金流量表。但请退后一步,问一个这台机器从不问自己的问题:*银行或投资者所读的那份财务报表,究竟是谁制作出来的?* 答案让人不太舒服。是管理层。薪酬、奖金和声誉随这些数字起落的,正是那批选择估计、划定界线、并在合计数上签字的人。
这不是在指控谁不诚实,而是一个结构性事实。回想财务报表那一级里,一套账里包含了多少诚实的判断:应收账款里有多少会变成坏账,一台机器能用多久,一桩诉讼是否“很可能”败诉。每一个这样的判断都有一个好看的版本和一个清醒的版本,而做判断的人确实有动机往好看的方向倾斜。一个身处远方的读者——另一座城市里的放贷人、从未踏进过仓库的股东——根本没法分辨一个谨慎的估计和一个一厢情愿的估计。这道横在“知道数字的人”与“必须依赖数字的人”之间的鸿沟,就是可信度难题。
经济学家给这道鸿沟起了个名字:*信息不对称*。管理层知道企业的真实状况;外部人不知道,而且他们知道自己不知道。任由这种状态发展,会腐蚀一切。一个无法信任报表的放贷人,要么拒绝放贷,要么收取惩罚性的高利率,以覆盖数字被粉饰的风险。好公司和坏公司被同一种怀疑一锅端。于是诚实的公司就有了一个强烈的动机:想方设法去*证明*自己的数字值得信任——而审计被发明出来,要满足的正是这个动机。
外部审计:一个能说“不”的局外人
世界最终采用的答案,是独立外部审计。一家独立的事务所——这些会计师不为该公司工作、不从它的工资册里领钱、也不持有任何让业绩显得光鲜的利害关系——审查报表以及报表背后的证据,然后公开声明这些报表是否公允反映。外部审计的全部力量都系于一个词:*独立*。审计师对放贷人的价值,恰恰在于审计师能直视管理层的眼睛、拒绝为这些数字背书。一个你无法拒绝给出的意见,分文不值;可信度来自“说不”这一真实存在的可能性。
请注意审计师*不*做什么。审计师不编制报表——那仍由管理层来做。审计师不经营企业、不替它选择会计政策、也不为它的未来打包票。审计师的工作更狭窄、也更奇特:收集足够的审计证据,以形成并最终公布一个诚实的专业意见,判断管理层的报表是否遵循了规则——也就是你一直在学的公认会计原则或国际财务报告准则框架——并且不存在*重大*错报。其产出不是一套被改正过的账。它是一句措辞谨慎的判断,背后撑着大量公众从未见过的测试。
这句被公布出来的话,就是审计意见,载于每一份经审计的年报最前面的那份审计报告之中。我们会用后面一整篇专门逐字拆解这份报告。眼下,先记住它的形状:一个本可以说“不”的局外人,认真看过之后,说这些报表是公允反映的。这句话,正是管理层无法靠自己制造出来的可信度。
鉴证,而非确定:“合理”到底是什么意思
下面是关于审计最常见的一个误解,在你继续往下之前值得纠正:审计*并不*担保报表是正确的、真实的或有保证的。审计师所提供之物的更宽泛的名称叫鉴证——一种信心的程度——而其标准产品被称为*合理保证*,而非绝对保证。审计师诚实地告诉你:“我做了足够多的细致工作,因此我有信心(虽不能确定)这些报表里没有大到足以改变你决策的错误。”这句话请读两遍。是有信心,不是确定。是大到要紧,不是完全精确。
为什么不是确定?因为在任何理智的代价下,确定都不可能。一家大公司一年要记录数以百万计的交易;逐一核对每一笔的成本,会超过这家公司本身的价值,花的时间也会超过它所覆盖的那一年。于是审计师*抽样*——测试经过挑选的一部分交易和余额——再从这部分推断到整体。抽样很有力,却永远无法把门彻底关严:总有一线机会,未被测试的项目里藏着问题,或者一桩精心设计的舞弊,恰恰是为了绕过审计师会做的那些测试而量身定做。诚实的鉴证会大声承认这份残余风险,而不是把它糊弄过去。
鉴证 vs 编制:两门手艺,一套账
把你刚刚跨过的那条线精确地命名一下,会很有帮助。你爬这把梯子时学到的一切——做分录、过账、调整、结账、搭起四张报表——都属于*编制*:制作会计信息这门手艺。审计则是另一门完全不同的手艺,叫*鉴证*:审查别人编制好的信息,并就其可靠性出具报告。会计师盖好房子;审计师检验房子,并在验收合格证上签字。同一套图纸,桌子两端相对而坐。
PREPARATION (accounting) ATTESTATION (auditing) -------------------------- ----------------------------- Made by: management Made by: independent auditor Produces: the statements Produces: an opinion ON them Knows the business inside Tests evidence from outside Incentive: look good Stance: professional skepticism Deliverable: the four reports Deliverable: one judgment sentence
鉴证的这套心态有它自己的名字,你会一次次遇到:职业怀疑。它不是愤世嫉俗——审计师并不假定管理层在撒谎——但它是拒绝简单地听信管理层的话。“给我看”取代了“我确信没问题”。当一位经理说仓库里有400万美元的存货时,怀着职业怀疑的审计师不会点头了事;他们会去抽点几排货架、把成本追溯到发票、并核对滞销品是否已被减记。怀疑,是让独立性变得真实而非装饰的那种工作秉性。
内部审计:住在屋里的看门人
还有第二种审计,初学者总是把它和第一种搞混。内部审计这一职能由公司*自己*的员工担任,但它被刻意地与它所监察的运营隔开,并且不是向它可能要批评的那些经理汇报,而是向上汇报给董事会或其审计委员会。外部审计师一年来访一次,为外部人出具一份公开意见;而内部审计师则常年住在屋里,检查公司的内部控制、流程和风险防线是否真的有效——并私下向高层汇报,而非向公众。
- 为谁工作——外部:由股东/董事会聘请,独立于公司之外;内部:公司的员工,但与日常运营保持独立。
- 结果给谁看——外部:公众、放贷人、投资者;内部:董事会与高级管理层,闭门进行。
- 他们评判什么——外部:年末报表是否公允反映?内部:内部控制和流程是否全年有效,风险又在哪里渗漏?
- 频率如何——外部:通常一年一次,围绕报告日进行;内部:持续不断,一个项目接一个项目,全年进行。
这两者是伙伴,不是对手。一个强有力的内部审计职能会收紧内部控制、及早抓出错误,从而在外部审计师还没到场之前,就让公司的账更可靠——而一个更可靠的起点,能让外部审计更有效率。但它们永远不能彼此替代。内部审计师无论多有原则,毕竟还在工资册上,所以外部人无法靠他们获得那份*独立*的可信度——那只有外部事务所才能提供。两个看门人缺一不可:一个在屋里看着机器运转,一个在屋外向世界作保。
把它串起来:可信度是被制造出来的产品
彻底退后一步,这套结构其实很优雅。管理层编制报表,并且有一万个理由想让自己好看。这个动机本会毒化数字的有用性——若不是有一家独立事务所随时准备审查它们,并且关键在于,准备拒绝给予背书。从这场审查中产生了鉴证:不是确定,而是合理的、被诚实地划定了边界的信心,封装成一份外部人可以依赖的公开意见。与此同时,一支内部审计团队全年从屋内打理这台机器。对财务报告的信任并非凭空就在;它是被这些层层交叠的检查*刻意制造*出来的。
这一个念头——可信度是被建造出来的,而非想当然就有的——是整一级的脊梁。前方所有的话题,都是外部审计师如何真正赢得那一句公开陈述之权利的某个零件:让一套系统从根本上值得信任的内部控制与COSO框架,界定一个错误要多大才算要紧的*重要性*概念,决定测试做到多少才够的审计风险模型,以及那句意见本身的语法。你现在已经知道整套机器*为何*存在。这一级余下的部分,讲的是它*如何*运作。