内部审计实务指南(第3101号内部审计实务指南)

道生一，一生二。

二代表的就是阴阳，凡事、凡物皆有阴阳。

审计方案也是如此，作为内部审计，我们一定要分清审计方案的阴阳两用法。

一、阳性方案——装逼用的

属于阳性的审计方案，就是拿出来装指南逼用的：为了让同行后生们对你有信心、为了让领导认为你用心，为了让委托方看到你的专业实力而放心。

所以属于阳的审计方案，看起来一定要“不明觉厉”“冠冕内部审计堂皇”“高端大气”。

上网查查，会有第一大堆升审计方实务案的标准模板，格式不外乎：审计项目名称、审计目的、审计周期、审计程序、需求清单、审计方法、人员安排、编制依据等等！

既然是讲干货，我就不讲这些虚头巴脑的东西。

并不是说这些东西没用，用是可以用的，大多时候是用来装逼的，实际上对工作开展的作用有限。

所以，作为内部审计人员，一定不要被这些虚头巴脑的东西所迷惑！

也无需将其奉为经典！

实务中，有很多内部审指南计人员会制做自己的审计方案，对工作很有帮助的方案，但就是看起来很挫，或者过于简单，有点儿拿不出手。

会自卑的认为自己不专业，将那些装逼用的审计方案奉为经典。

久而久之，那些装点门面的审计方案仿佛就成了内部审计的标杆。

可以问一问真正做内部审计的那些大佬们“他们真会做那样的方案吗？有必要那样做吗？对审计工作有帮助吗？”

估计会得一个令人诧异的回答：“我从不做方案，或者我不做那样的方案！”

二、阴性方案的必要性

我为什么要说阴阳呢？阴阳是中国哲学中最核心的一部分。

中国人做事都是要考虑阴阳两面的！这也是渗透到我们骨子里的东西。

阳主外，阴主内！

就是要告诉大家：要是为了让别人看，就按上条说的那些标准模板做，怎么漂3101号亮怎么来，不用考虑实用性。

要是为了自己开展工作用，那就要做另一套实用性的阴性方案。

不要鄙视这种行为！所有人做事都有两面性，尤其是我们中国人，将阴阳两面做到了极致！

做内部审计工作，我们长期涡旋于组织权力游戏的敏感点上，一定要重视阴阳并运用自如，不然会很吃亏，很难混得下去。

那真正的内部审计方案是什么呢？

三、如何做方案？——上干货

1.首先要确定一个问题，要不要做内部审计方案？

仍旧阴阳两分：一种是没必要做，一种是必须做。

需要我们自己做出选择！

实务中，并不是所有的审计事项都要做方案的。

对一些标准明确、程序简单、用时很短的审计事项，是完全没必要出具审计方案的，有写方案的时间，审计程序都做完了。

只有那些效率低下的企业，才会把所有的程序都做完。

那是在浪费生命！

不同企业内控环境不一样，对内审的要求也不一样。我所讲的，只针对那些希望内审发生更大价值的组织。

如果在组织中，内部审计只是摆设或者工具人，那就没必要看我写的东西了。

所以，我所说的第一条就是：根据实际需要来判断要不要做实用性的审计方案。

我最讨厌的就是一些专家们设计个方案，一说一大堆要求，要求这方式，要求那标准。

这让一些初学者们光看看就晕头转向，更别说用了？一通稀里糊涂。

等做完了才发现，那样的审计方案只是他妈的一张废纸！

所以我只给大家讲干货。

内部审计方案只要具备三项内容就够了：风险点，标准控制，审计程序。

2.第一项：风险点。

这一点是最核心的，是整个审计方案的根本。

有些公司要搭建内部控制体系或者风险管理体系，都会梳理企业风险点。然后根据风险点来制定相应的控制措施。

我们内部审计的风险点虽然和这些有交叉，但并不一致。

企业的风险控制在于采取对应措施来规避或应对各类风险。我们内部审计更侧重于发现存在的管理漏洞或执行问题。

所以，方案中的风险点不能照抄公司风控体系中的风险点。

方案中风险点的梳理，要依靠内部审计师的专业判断和经内部审计验积累。

真正的内审工作，对内审师资格要求是很高的，并不是阿猫阿狗都能做内审的！

内审师要有专业能力来判断存在哪些风险？风险程度如何？要拥有风险识别、风险分析和应对措施的知识。

没有这些能力的审计师，那就是花瓶。

风险评估方法也简单，天下风险就只有一种评估法：不良后果和发生概率。

根据审计师的判断，将这些风险点依据重要程度给梳理出来。

当然，自己用的审计方案并不要求一次性做成，可以根据审计过程中新发现的风险点，慢慢补充。

3.第二项：标准控制

按照逻辑的先后顺序，标准控制其实应该排第一位的，因为我们必须根据标准控制来找到风险点。

但实务中，内部审计过多依赖于个人经验和专业3101号判断，有时候还要参照“审前调研”和“领导要求”等因素，所以才把风险点排到了第一位。

标准控制程序很多，这个大家可以根据风险点来找。

有时候也可以先找标准控制程序，再找风险点，这种操作对于刚接触的陌生领域或者一些新入门内审师们，是很有帮助的。

标准控制包括哪些呢？

主要包括：内控制度流程、法律法规、行业规范、惯例或习惯性操作、专业操作指引、合同协议书等等！有时也可能是老板的一句话，或者是某个会议纪要。

得看风险点主要适用于哪一类的控制程序，从而找出标准控制程序。

这个应该很好理解，就是说我们查出问题啦，得知道它正确的做法是什么吧？问题出现在哪吧？

标准控制就是我们提出审计问题的依据。

4.第三项：审计操作程序

之所以把这一项列上，是当我们碰到大型审计事项时，便于我们把控审计节奏。

如果审计事项小，或者是审计师经验比较丰富，这一项可以不做。

做这一项时，并不是死板地要求：必须先做什么？后做什么？要找什么资料？

它主要作用在于提醒：在我们审计内容较多且程序复杂时，防止有些程序或证据遗漏！

将这些列上去，便于我们更全面地把握过程，比如在方案明了时，我们一个审计动作可以同时查好几个审计问题，提升了审计效率！

在这里强调一下，实务操作程序里面的内容不是一成不变的。

可以是审计手段，也可以是搜集证据技巧，也可以是面谈技巧，甚至可以细节到你要说什么话？要扮黑脸还是扮红脸等等。

总之，这一项就为了工作更全面，更高效。

是可以根据个人特点专项定制的！

三、顺为吉，逆为凶

这段时间看易经看得有点儿入魔了，总想写一些玄之玄第，就当我是装逼哈！。

审计方案的制作，当然是为了我们的审计目的。我所说的那三项只是审计方案的必要内容。

我们可以根据实际需要，在里面添加其他内容，比如说添加一些配合部门！时间安排，所需人力物力等等。

总之呢，只要有利于你审计的开展，都可以写进去。

实务中，我们可以做阴阳两份审计方案，也可以一份儿不做！

目的：一是为了把工作做好，二是为了把人做好！

好了，今天就讲到这吧！希望对从事内审工作的同志们有些帮助！