此图引用自FDA《QSIT-1999》并加了红色标注

《审计一家言》是网络上广受网友追捧的一篇热帖。文中将原本晦涩难懂的财务审计理论用讲故事的方式娓娓道来，使之通俗易懂。本文是作者阅读《审计一家言》后的心得体会。作者在文中创造性地将财务审计和药企GMP审计做了一些对比，通过摘录《审计一家言》的原文内容，联系GMP审计中的实践经验并加入了作者的一些思考和评注，希望能对从事质量和生产管理的医药界同仁有所启发。

《审计一家言》摘录：审计是一个系统工程。会计系统是一个完整的信息系统，各个科目之间存在着相互作用和勾稽关系。很多时候，审计正是利用这一点，由一个突破口拽出一连串的问题。所以，我在“审计师可以怎么问问题/ 审计师怕被骗么”里说过，审计师以“乱枪打鸟”的方式来问问题，往往能将客户的骗局拆穿……审计师从各个角度问问题，实际上是“乱枪打鸟”……

作者点评：这里提出了一个审计思路的问题：究竟是有逻辑的按图索骥式的提问还是没有逻辑的乱问？看来这两种方式都是值得研究的，对于不同的情况可以采用不同的方法。文中提到“乱枪打鸟”的提问方式，也就是不按套路出牌、围绕主题旁敲侧击式的提问。这种审计方式看似漫不经心，实则陷阱密布，有时的确比“按图索骥”更有可能发现意外收获。

注：勾稽关系，在财务中是指“某个会计报表和另一个会计报表之间以及本会计报表项目的内在逻辑对应关系”。如果报表或项目不相等或是不对应，就说明报表有问题。财务的报表如是，制药/医疗器械行业中的文件、记录亦如是。对存在疑点的流程（procedure）、记录(record)、原因分析（root cause analysis）、整改及预防措施（CAPA）的内在逻辑关系进行“5 why”式的发散式的发掘，实际就是一种“乱枪打鸟”的审计方式。

《审计一家言》摘录：理论上说，审计师要保证每一个科目的CEAVOP。即完整性（Completeness）、存在性（Existence）、准确性（Accuracy）、估值（Valuation）、权属（Ownership & Obligation）和表达与披露（Presentation & Disclosure）。

作者点评：首先解释一下CEAVOP在财务中的含义：

C——Completeness：记录完整；E——Existence：是否存在、真实发生；A——Accuracy：准确无误；V——Valuation：主要指各项资产的估值，减值准备是否合适（某个行动长期的价值）；O——Ownership & Obligation：职责所有权分配；P——Presentation & Disclosure：类别正确、放在正确的类别中。

CEAVOP原则在财务制度中是约束数字的，而在GMP生产中，似乎也有点借鉴的价值。生产过程的进行，伴随着整个质量管理体系（QMS）的运行；要保证质量管理体系的有效运行和生产过程的可控，必然要求流程的完整执行、完整及时的文件化（Completeness）、工艺的切实可行（Existence）、设备的准确操作（Accuracy）、各项流程的增值（Valuation）、明确的职权分配（Ownership & Obligation）和准确的状态标识与可追溯性（Presentation & Disclosure）。当然还有很多其他的影响因素，如执行者的资质、有效培训、经过验证的生产/检验方法、合格的原料等。这些都可以对审计整个质量管理体系（QMS）提供一些具有大局观的思路。

《审计一家言》摘录：审计逻辑链条要严密……可行的办法是，将抽查的方法科学化，使得抽查的结果是对总体的一个测试和描述。例如，采用符合数理统计原理的抽查方法，并能将样本的误差推算到总体上去。这就可以避免逻辑链条的断裂……那么，这个审计的逻辑链条延伸到何处是个尽头呢？延伸到最原始证据，尤其是第三方证据。比如，第三方的确认函，第三方签字的收货单，等等……财务好比摄像机，“凡是经营上有动作，财务上一定要有反映；凡是财务上有反映的，经营上一定要有过动作”——两个“凡是”。

作者点评：“将样本的误差推算到总体上去”，这一点很难理解。一个很好的示例就是FDA针对医疗器械的审计手册《QSIT-1999》中的Binomial Staged Sampling Plans，请见下表及解释。

比如审计官选择某个新改版文件，并抽查了17个员工对于该新文件的培训记录，发现有1人没有阅读最新版的该文件。则使用上表推算，审计官就有95％的把握认为不超过30％的员工没有阅读该改版文件（依据纵列的1 out of 17，查表得到A行的30ucl）。这就是运用统计学技术使审计判断更加精确。

此段有关“审计链条延伸”的论述，强调“要延伸到最原始证据”，也是值得思考和借鉴的。制药企业生产记录中从原料到半成品/成品、从进料到生产再到发运销售的可追溯性，就是很好的例子。另举一例，比如生产中出现一个不符合项/偏差（non-conformity/ deviation），随之引发质量体系中各个子系统的逐一连续运动，请见下图的红色标注：Correction（Production & Process Control）→调查整改（CAPA）→管理层评估决策（Management）→更新流程并进行文档处理（Change Control & Document Control）。相信一个可控的足够敏感的质量体系，应该是进行连锁响应并且局部与整体都是有效的。

《审计一家言》摘录：审计师要检查内控系统是否设计合理和运转正常。对于任何一个企业，审计师会检查测试内控系统是否设计合理及运转正常。如果一切满意，审计师就可以依赖这个内控系统了。这种依赖并不是说审计师的审计工作到此结束了，什么都不用多做了。再好的系统也可能偶尔有漏洞，另外，审计师测试内控系统是否运转正常也用的是抽样调查的方法，抽样也可能有疏漏的。因此，审计师还会做少量的实质性测试工作，主要是对每个会计科目进行一些分析性复核，以进一步确保每个数字都是合理的。如果审计师检查下来，发现内控系统有设计不合理的，或者运转不合规定的，总之，有不满意的地方，审计师就不能完全依赖这个内控系统，只好多做一些实质性测试了。

作者点评：在自动化生产成为大趋势的年代，无论是对财务的审计还是GMP审计，都不免要涉及对各种自动化管理系统的审计。对这类系统的审计（此处暂统称IT审计），很难对其进行定位，有审质量、审GMP的成分（如检查系统的维护），也有审安全性的成分（系统补丁、信息披露、权限），还有审财务、审管理（物流、信息流、资金流的分配）的成分。

自动化系统有很多独有的特点，比如高度集成（多流程合并）、行为轨迹少（导致证据较少）、操作模式化、标准统一等。所以IT审计也应有其自身的特点。如文中所指，可以采用“依赖系统”的方法，比如尝试输入一些测试数据进行处理，看系统是否存在并有效执行（尤其可以用非法数据来测试系统对异常情况的处理能力）、是否存在数据的人工干预。利用系统自带的一些功能进行查询、确认，如数据的汇总（summarize）、分类（sort）、对比（matching）、合并（merge）、函数运算等；查看revision history（audit trail）也就是历史处理数据；进行代码比较（对比同一程序在不同时期的代码，以确认是否经过非法修改）或检查源代码以发现错误代码、冗余代码、不标准代码、低效率代码、舞弊代码。另外也可以采用“不依赖系统”的方法，比如用审计软件直接连接服务器提取数据；进行平行模拟（parallel simulation），将有代表性的数据在被审系统和模拟系统上平行运行、比较运行结果是否一致等。

IT审计过程中，可以考虑把系统的流程图画出来（或直接查看编程的流程图），从而也就梳理出了整个业务流程，有利于理清审计思路。2009年在作者经历的一次FDA审计中，在审到物料与库存管理系统时，审计官就试图画这样一张图，把所有该系统涉及的职能都联系到了一起。2010年作者经历的欧洲某认证公司（notified body）的审计，审计官更是直截了当地在纸上画起了流程图，边提问边画，共画了不下10个不同业务流程的flowchart。其实能理清不同模块的流程与职责，见树木亦见森林，从而加深对流程的理解，对提高生产效率也是有帮助的。

对于多个系统的综合使用，其接口问题也是值得注意的。对于财务审计（业务系统和财务核算系统相互独立），关注的主要是录入数据的流程和准确性，因为信息需要经过人为转换或两次录入，为某些企业对财务信息进行粉饰提供了机会。而在质量审计中，对于双人复核、双人批准、对输入内容进行完整性检查，也是这方面的体现。这一点似乎与《圣经》不谋而合：“The testimony of two men is true.（两个人的见证是真实的）”