今天在公司里指导底稿复核时，就如何做审计与同事做了一个简短的归纳，实际上只是对审计准则的一个简单总结和讨论。个人感觉准则的贯彻还需要年年讲、月月讲、天天讲。故再次陈述如下，与大家进行探讨。

审计的几个步骤：

首先对财务报表反映的数据和财务比例与公司本身状况和所处的行业情况做一个合理性分析，同时完成对企业进行总体风险评估程序。企业的财务管理报表分析，投行和基金的企业价值分析，民间财务质疑（如飞草等）分析都是基于此，所以审计人员也应该这么做，虽然目的不同决定了思路和视角不同。

其次对财务报表最近几年科目深入到明细后做变动分析，这种分析往往可以发现简单低级的财务异常。由于审计师可以取得客户相对详细的资料进行分析，能详细明确变化幅度。这是审计时对企业财务数据真实认定的最主要手段。

第三步对企业内部控制的有效性进行判断。对内控进行了解和测试，主要目的是判断企业的经济业务是否产生了一系列可供审计人员利用的证据。内控流程产生的证据，可分为内部证据和外部证据。内部证据要求须与财务数据核对一致，相互支持；外部证据可直接证明业务的真实性，如合同、发票、供应商和客户确认的物流单、对账单、协议等。事实上，接下来的实质性测试中，就是很大一部分工作是在对内控产生的证据进行的核对和检查。

第四步对财务报表进行实质性测试结果进行判断。实质性测试可以分为：纯粹外部取证的测试，如盘点、函证、检查；对内控流程保留的证据的进一步核实，如重新计算和抽查，其作用是不言而喻的。

审计就这么简单：

审计思路就是，如果财务数据总体是合理的，变动没有重大异常，内控完整有效且留下了关键证据，且经过实质性测试都支持财务报表数据，那么审计结果就是OK的。

而对上面任何一个步骤中，若结论是“否”，立即设计相应的对策予以求证；若结论是“是”或“不确定”，那就做接下来的一个步骤。如此前进，直到执行完实质性测试之止，方可得出最后结论。

当然，上面说的是项目的风险控制思路和检查思路，实际的具体工作可能并非按部就班的流水作业，也可以是齐头并进，但尽量不要先做后一阶段，再做前一阶段。

接下来要做的事：

审计思路清晰了，总体风险确定得到了控制后，就把底稿开的更漂亮，更清晰，更美观吧，因为实质和形式都很重要。