審計工作，說的直白些，就是對你以前乾的工作、花過的錢、做出的決定、行使過得權利進行合法合規的判斷。它最終的目的是為了發現你涉及錢財、權利及工作中可能出現的腐敗、或者是失誤、或者是錯誤。往更深了說就是監督財務及權利行使的真實性和合法性。

現在說的審計，往往更多的是財務錢款的審查。更多的是透過單位財務憑證、賬簿以及各類報表，來進行監督檢查。

目前在中國傳說中的四大會計師事務分別是：正則會計師事務所、正明會計師事務所、立信會計師事務所、公信會計師事務所。這也應該算是會計學、財務學等專業學生的最高天堂了吧。

如何做好審計？

首先，你得要有基本的專業知識，不然你根本無法看明白財務各類報表及憑證內容的。

其餘的工作，我覺得應該在不停地工作中積累。不然你無法明白每一類的業務，需要依附哪些原始憑證，是否需要依附各種依據，依附的憑證種類及個數是否合規合法。

淺顯認識，希望可以幫到你

1.審計 審計工作包括檢查企業或者政府機構的會計分類帳和財務報表。目前這一工作越來越多借助於計算機系統以及複雜的隨機抽樣方法。審計工作是會計工作的重要 方面。

我本人是2004年透過註冊會計師考試，然後進入會計師事務所做審計工作至今已有16年，對如何做好審計工作，頗有感觸。

剛開始進入會計師事務所要從審計助理做起，但是一晃3年多的時間過去了，還只是一個小專案經理。感覺自己還是沒有真正入門，時不時還會受到領導批評。我在不停的思考，我為什麼進步這麼慢？問題究竟出在哪裡呢？

後來，我對做過的有意義和有代表性的專案，如這個專案有一定規模，專案現場時間較長等，開始寫工作總結。總結在這個專案中遇到了哪些困難，這些困難是怎麼造成的，是相關理論知識不紮實，還是沒有相關工作經驗造成的。久而久之，我發現自己確實有些理論知識存在欠缺，實務經驗要一點一點的積累。發現自己的短板後，我在想怎麼來彌補呢？把原先學過的註冊會計師考試輔導教材從頭再看幾遍，後來發現不太現實。透過跟領導和其他同事交流，找到了解決理論知識欠缺的方法。

在做專案時遇到不熟悉或不知道的會計問題，就去會計制度和相關財經法律法規中找答案，並且對這些知識反覆多看幾遍，做到理解並會運用。對於那些在書裡找不到的問題，就去百度搜索，查詢相關財經雜誌或者一些會計網路大咖對類似問題的回答，並反覆琢磨。功夫不負有心人，一年之後，我的工作能力得到了較大提高，也得到了領導的認可。正是採用這些方法，我發現自己更加喜歡審計工作了。

要做好審計工作，需要不斷學習理論知識，對一些常用的知識要反覆看，不厭其煩，並經常思考。慢慢的就會做到應付自如。雖然現在我們國家的註冊會計師行業還存在這樣那樣的問題，但整個世界經濟在不斷髮展，社會離不開審計。目前，我們國家對高層次的會計審計工作者還是非常缺少，所以審計工作前景還是非常不錯的。

近期FarmersWorld出現盜幣事件說明了程式碼審計的重要性

據悉，農場型別鏈遊 Farmers World 昨晚發生130盜幣9370事件6165,，傳聞金額超過1億人民幣。Farmers World 是當前 WAX 鏈上最火爆的遊戲，而 WAX 是基於 EOS 公鏈二次開發的，因此同樣採取 DPoS 共識，要求使用者質押 WAXP 以獲取 CPU、NET 和 RAM 資源。11月7日晚9點，一些玩家發現遊戲出現“RAM 不足”的提示，補充 WAXP 後仍無法解決。根據官方 Discord 的討論資訊：專案智慧合約與 WAX 錢包均未出現漏洞，但使用者質押 WAXP 的地址卻不是遊戲官方的地址，目前最大的可能是遊戲“外掛”指令碼更改了使用者質押地址，導致使用者無法獲得 RAM 資源。

據GameFi鏈遊工會：今天凌晨農民世界玩家賬戶出現大面積盜號事件，根據初步瞭解價值已經超過3億人民幣，超過200件超級裝備、涉及1000個玩家賬戶。根據受害者反應出現被盜情況的賬戶都是使用了一個B站博主（誰佔了XXX）他們提供的指令碼，使用這個指令碼的賬戶大面積出現的資產（挖機、電鋸、漁船等）NFT被轉走的情況，用漏洞制裁指令碼是程式碼入侵慣用手法，尤其是遊戲行業外掛居多，在早些年魔獸玩家利用指令碼漏洞，小號一個操作擊垮工作室，因此程式碼審計的作用不僅僅是修補漏洞，防禦漏洞，更重要是全面的構建優良的安全程式碼環境，從而最大限度增加被攻擊的成本！

為什麼會出現這種情況的發生呢？我們都知道遊戲最重要的是程式碼，程式碼一旦受到入侵就會出現各種各樣的問題。從而導致安全事故的發生。這也是血的教訓。就好比是遊戲的外掛，導致了一些不公平的規則出現。首先我們來了解一下出現這種問題的原理。

首先遊戲外掛的原理外掛現在分為好多種,比如模擬鍵盤的,滑鼠的,修改資料包的,還有修改本地記憶體的,但好像沒有修改伺服器記憶體的哦,呵呵!其實修改伺服器也是有辦法的,只是技術太高一般人沒有辦法入手而已!　修改遊戲無非是修改一下本地記憶體的資料,或者截獲api函式等等,這裡CHAINLION把所能想到的方法都作一個介紹,希望大家能做出很好的外掛來使遊戲廠商更好的完善自己的技術.

我們先用理論大致分析,下來我就講解一下技術方面的東西,以作引玉之用2 技術分析部分） 模擬鍵盤或滑鼠的響應我們一般使用UINT SendInput(UINT nInputs,　　 // count of input eventsLPINPUT pInputs,　// array of input eventsint cbSize　　　　// size of structure）api函式第一個引數是說明第二個引數的矩陣的維數的,第二個引數包含了響應事件,這個自己填充就可以,最後是這個結構的大小,非常簡單,這是最簡單的方法模擬鍵盤滑鼠了,呵呵注意:這個函式還有個替代函式:VOID keybd_event(BYTE bVk,　　　　　　　 // 虛擬鍵碼BYTE bScan,　　　　　　 // 掃描碼DWORD dwFlags,　　　　　ULONG_PTR dwExtraInfo　 // 附加鍵狀態);和VOID mouse_event(DWORD dwFlags,　　　　 // motion and click optionsDWORD dx,　　　　　　　// horizontal position or changeDWORD dy,　　　　　　　// vertical position or changeDWORD dwData,　　　　　// wheel movementULONG_PTR dwExtraInfo　// application-defined information

程式碼審計顧名思義就是檢查原始碼中的安全缺陷，檢查程式原始碼是否存在安全隱患，或者有編碼不規範的地方，透過自動化工具或者人工審查的方式，對程式原始碼逐條進行檢查和分析，發現這些原始碼缺陷引發的安全漏洞，並提供程式碼修訂措施和建議。

內容包括

1.前後臺分離的執行架構

2.WEB服務的目錄許可權分類

3.認證會話與應用平臺的結合

4.資料庫的配置規範

5.SQL語句的編寫規範

6WEB服務的許可權配置

7.對抗爬蟲引擎的處理措施

稽核軟體時，應對每個關鍵元件進行單獨稽核，並與整個程式一起進行稽核。 首先搜尋高風險漏洞並解決低風險漏洞是個好主意。 高風險和低風險之間的漏洞通常存在，具體取決於具體情況以及所使用的原始碼的使用方式。 應用程式滲透測試試圖透過在可能的訪問點上啟動儘可能多的已知攻擊技術來嘗試降低軟體中的漏洞，以試圖關閉應用程式。這是一種常見的審計方法，可用於查明是否存在任何特定漏洞，而不是原始碼中的漏洞。 一些人聲稱週期結束的審計方法往往會壓倒開發人員，最終會給團隊留下一長串已知問題，但實際上並沒有多少改進; 在這些情況下，建議採用線上審計方法作為替代方案。

高風險漏洞

由於使用以下原因，可能存在一些常見的高風險漏洞

非邊界檢查函式（例如，strcpy，sprintf，vsprintf和sscanf）可能導致緩衝區溢位漏

可能干擾後續邊界檢查的緩衝區的指標操作，例如：if（（bytesread = net_read（buf，len））> 0）buf + = bytesread;

呼叫像execve（），執行管道，system（）和類似的東西，尤其是在使用非靜態引數呼叫時

輸入驗證，例如（在SQL中）：statement：=“SELECT * FROM users WHERE name ="”+ userName +“";”是一個SQL注入漏洞的示例

檔案包含功能，例如（在PHP中）：include（$ page。"。php"）;是遠端檔案包含漏洞的示

對於可能與惡意程式碼連結的庫，返回對內部可變資料結構（記錄，陣列）的引用。惡意程式碼可能會嘗試修改結構或保留引用以觀察將來的更改。

低風險漏洞

以下是審計程式碼時應該找到的低風險漏洞列表，但不會產生高風險情況。

客戶端程式碼漏洞不影響伺服器端（例如，跨站點指令碼）

使用者名稱列舉

目錄遍歷（在Web應用程式中）

永不停止學習，學習最直接的產物是證書。

有證不一定高能！但至少保障不低能，是下限的背書

資本市場有三本高含金量的證書：註冊會計師、保薦代表人、國家統一法律職業資格考試

這三考之外的魚龍混雜，不一一評說。

任取一證，高低呼一聲牛逼，當然各大中介機構裡持一證的多如牛毛，任取兩證，妥妥配得上一句大神。。。

除此之外，還有什麼更接地氣的學習方式呢。

其一：琢磨往年的底稿抑或今年其他專案的底稿：大膽提述求，備好優盤，找個專案組面善的小哥哥小姐姐借套底稿，多半都是會同意的。

其二，瀏覽監管爸爸的網站。何謂監管爸爸：財政部、銀保監會、證監會、中注協、深交所、上交所。隨便開啟瀏覽器，搜尋關鍵詞即可。具體能瀏覽啥子：處罰書、招股說明書、問詢函、上市公司年度報告等。

其三，逛會計視野論壇，有大神陳版主解答各類實務問題。我是透過青藤資料網站進入的，免費的審計平臺，還能查各種審計相關資料。

其四，看券商研報，審計需要把行業-業務-財務邏輯線有機串聯起來。券商研報是瞭解行業的好路子，可能就是有點費錢，當然白嫖的研報也不少數，比如蘿蔔投研APP。