近些年，我们也频发各种财务舞弊案件，远的有康得新财务舞弊案、康美药业财务作假案等，近的有瑞幸财务作假案、包商银行破产案等。究其原因，根源大多在于缺乏严格的审计与稽核体系导致相关行长们置规章制度和工作流程于不顾，一个人说了算。因此，审计与稽核是集团管控体系中的一个必不可缺的重要环节，它的建立和完善是极其必要的。

审计监督尤其是内部审计既是现代企业实行自我监督、自我约束机制的重要组成部分，也是现代企业建立和完善法人治理结构的内在需要。由于长期以总体来，我国内部审计由于缺乏必要的独立性和足够的权威性，难以发挥应有的监督作用，使得一些企业依然存在着经营管理效率低下、资产流失严重、财务信息失真、企业行为失控等问题。

本期连载从集团审计监督的三种方式、内部审计基本职责与职能特质、企业内审存在的共性问题、内部审计机构的设置、内部审计人员配备与工作方法、内部审计工作程序与要点，以及如何点面结合确定审计范围与内容等七个方面阐述华彩的观点。

---

【壹】核心知识点抢先看

一、审计监督的三种方式：内部审计、政府监控和社会监督，内部审计是财务管控的最后防线。

二、内部审计基本职责与职能特质

1、内部审计的两大基本职责：监督和咨询；
　　2、良好内部审计的职能特质：公正、独立、权利、审计、行业知识。

三、企业内审存在的共性问题：

1、机构设置不规范；
　　2、角色、岗位以及部门缺乏充分的独立性；
　　3、管理层对内部审计工作重视不够；
　　4、对下属二级单位的审计流于形式；
　　5、审计范围有限，难以涵盖所有业务活动；
　　6、缺乏技术、技能与经验。

四、内部审计机构的设置

1、第一层次，集团总部设置内部审计总协调机构；
　　2、第二层次，在各基层法人企业股东大会下设立监事会；
　　3、第三层次，在各基层法人企业董事会下设立审计委员会；
　　4、第四层次，在各基层法人企业总经理下设立审计部。

五、内部审计人员配备与工作方法

(一) 集团内部审计机构人员配备应注意人员的业务水平、专业技术、年龄等三方面结构。
　　(二) 集团内部审计的工作方法
　　1、第一阶段，风险导向战略计划：划分审计范围，制定审计战略计划；
　　2、第二阶段，风险导向审计计划：包括当年风险排序、基于风险确定的审计日程表、人员及财务预算等内容；
　　3、第三阶段，风险导向审计实施。

六、内部审计工作程序与要点

分为审计计划、实施审计、审计报告、后续工作四大步骤：
　　1、审计计划：现状了解、风险评估、详细计划、人员动员；
　　2、实施审计：审计启动、流程图测试、确认问题、起草报告；
　　3、审计报告：达成一致意见、审计结束会议、建议反馈、报告定稿；
　　4、后续工作：跟进建议、实施协助、密切联系、再次评估。

七、点面结合确定审计范围与内容

1、审计范围：核心企业、紧密层企业、半紧密层企业、松散层企业；
　　2、审计内容：财务收支审计、内部控制审计、经济责任审计、工程项目审计、经济合同审计、经济效益审计、环境内部审计、风险管理审计、舞弊审计。

---

【贰】审计监督的三种方式

图 审计监督的三种方式

一、内部审计

内部审计可以采取一切可行的手段，对企业财务管理的方方面面实施有效的管控，而不受固定的程序、固定的管控对象的限制，是母公司对子公司实行财务管控的最全面的最具体终防线。集团母公司可建立由董事会直接领导的审计委员会来全面负责企业的内部审计工作，监督子公司经营规范化和保证财务数据真实、可靠性。

二、政府监控

政府管控主体包括政府主管部门、国有资产管理部门、财税部门、银行系统、证券市场监管机构和审计署等，这些政府主管部门的管控是宏观的，是通过经济法规及政策对公司进行监管，引导市场主体依法行事，保护投资者的利益。这些政府主管部门的监控作用对集团内部管控是必不可少的。

三、社会监督

社会监督主要是会计师事务所、审计师事务所通过审计等活动对企业集团的财务管理进行间接的、事后的监控。随着现在对所有的法人企业都要求进行年度审计等社会监控活动，社会监控将日益发挥作用，是企业内部审计的一个重要补充。

四、内部审计的演变

在公众日益关注公司治理的新形势下，内部审计在概念、范畴和方法上已经发生了很大变化，内部审计的目的已经由过去的对公认会计准则遵守情况的检查督促转变为一种独立、客总体观的确认和咨询活动，其目的是增加组织价值和改善组织的运营，通过应用系统、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标(国际内部审计师协会关于内部审计的定义)。

这就要求企业内部人员包括内部审计人员和非内审人员均需要在内审观念管理上实现质的转变，非内审人员应充分认识到一个有效的公司治理机制是由股东会、董事会、管理层、外部审计和内部审计组成的，并以内部控制、风险管理机制以及信息披露制度为基础的有机结合体，而内部审计在其中更是起到最后把关以及确保各组成员有效地履行其职责的重要作用，从而真正意识和感受到内部审计是公司内部管理的切实需要和必要组成部分。

而内部审计人员则应该根据国际内部审计师协会对内部审计的定义以及本企业的实际情况，制订适应本企业发展，能够为决策层提供咨询服务以及为提高本企业经济效益的内部审计目标。

---

【叁】内部审计基本职责与职能特质

一、内部审计的两大基本职责

二、良好的内部审计职能的特质

国际内部审计师协会（IIA）通过的内部审计新定义，不再过于强调内部审计人员的内部监督者身份，而是强调内部审计人员参与内部控制评价和风险管理，帮助企业实现目标，将内部审计人员定位为企业咨询顾问和风险管理专家。

例如，内部审计人员可以通过内部控制的健全性评价以及控制测试来确定内控缺陷，并就内控缺陷提出流程再造的建议；内部审计人员亦可以通过风险识别和评估的方法揭示企业所面临的各种风险，从而提出有效的回避及减少风险的建议。无疑这种定位的提出同时也对内部审计人员提出了更高标准的要求。

内部审计人员要想成为这样的咨询顾问和风险管理专家，不仅要掌握会计、审计及相关法律法规，还必须具备以下素质：

首先，要有组织系统的大局观，并确立风险在企业无处不在的意识，把风险管理放在整个内部审计过程最核心的部分，通过风险识别和评估，辨别出影响本企业整个经营活动的各类风险。

其次，要有系统和创新的思维方法，不要让现有的内部审计标准和技术限制了我们的创新思维，而是要更多地站在不断改善企业经营机制的高度上去分析问题和提出建议。

最后，要有良好的沟通技巧，内部审计人员只有充分地与内部管理层进行沟通，取得他们的理解和合作，共同探讨问题的原因，才能提出能够为内部管理机制提供服务的有效建议和措施，内审的工作才能为内部管理层所接受和理解，所以良好的沟通和表达能力是内部审计人员所必备的。

良好内部审计职能的履行除了要求内部审计人员自身素质和行业知识的提升外，独立和权利也是必不可少的职能履行保障。独立性是内部审计的灵魂内部审计人员要作出公正、公平的鉴定与评价必须具备应有的独立性；权利就是要求内部审计机构能够得到管理层的有效支持。但从目前国内内部审计工作的开展情况来看，这两个方面存在的问题还比较多。

---

【肆】企业内审存在的共性问题

一、机构设置不规范。

由于我国内部审计机构建立较晚，加之在借鉴国外经验方面不尽一致，内部审计机构的设置存在多种模式，如设在企业财会部门、隶属于总会计师、隶属于总经理、设在监事会以及隶属于董事会下设的审计委员会等。

二、角色、岗位以及部门缺乏充分的独立性。

企业内部审计机构，通常叫做“内部审计部”，也有的叫做“内部控制部”，绝大部分都是企业组织机构的一部分，通常直接向企业管理层报告工作；上市公司或投资公司收购的企业则向监事会以及董事会下属的由独立董事组成的审计委员会报告工作。但无论是向管理层还是审计委员会报告工作，内部审计机构都是向股东拥有的企业内部组织报告工作，这就决定了内部审计在独立性方面无法做到真正的独立。

三、管理层对内部审计工作重视不够。

虽然内部审计工作已经开展了很多年，但部分企业的管理层、领导者对于内部审计的认识仍然比较片面；他们认为，内部审计限制了自己的经营权，对自身权威有负面影响，又或者认为内部审计可有可无，对公司价值最大化的实现帮助不大。这些错误的观点导致部分企业管理者忽视内部审计机构，忽视内部审计人员，把内部审计人员精简并入财务部或综合办公室，甚至出现将内部审计机构撤销现象，内部审计机构设置的随意性很大。这种情况下，在日常实际经营中，内部审计的独立性和权威性受到限制，无法得到全面体现，内部审计的责任监督功能和风险控制功能便也难以完全发挥出来。

四、对下属二级单位的审计流于形式。

一些规模较大的企业在对其下属二级单位进行内部审计时，往往是派驻数名内部审计人员到各二级单位进行调查，而后由他们开展审计。然而，一方面由于企业总部审计人员对下属单位的情况并不十分了解；另一方面，短期内的调查指导的作用微乎其微，再者由于利益牵扯，在审计时往往只能片面去账上寻找数据，靠以往经验去判断某些事项的正确与否，这些都直接影响各二级单位的经营成果考核。

五、审计范围有限，难以涵盖所有业务活动。职能

当前我国企业的内部审计的信息载体主要集中在财务领域，审计对象一般都是财务会计凭证、账簿、财务报告等，内部审计人员也主要是对这些财务资料的真实性合法性进行检查(如金额是否准确，项目是否齐全等)；而对于财务领域之外的经营管理领域，却并没有很深地涉及到，如在审查销售合约时，往往只是对相关票据是否齐全，项目是否齐全，金额是否正确等做出检查，而对销售价格的合理性，销售成本的合理性，赊销政策的合理性，销售数量的合理性往往不做检查，把这些排除在内部审计项目之外。造成了内部审计范围狭窄的现状。

六、缺乏技术、技能与经验。

大多数内部审计人员是从原财务部门分离出来的，不仅理论水平和业务技能比较低，缺乏必要的审计专业知识和技巧，而且缺乏与生产、经营、管理相关的知识和经验，严重制约了企业内部审计工作的正常开展。

---

【伍】内部审计机构的设置

企业集团是指以资本为主要联结纽带的母子公司为主体，以集团章程为共同行为规范的母公司、子公司、参股公司及其他成员企业或机构共同组成的具有一定规模的企业法人联合体。也就是说，它由多个不同形式的法人企业组成，并与集团存在不同程度的密切关系。

一、集团内部审计机构设置应分为四个层次。

图 内部监督的四个层次

(一) 第一层次，集团总部设置内部审计总协调机构。

按照现代企业制度的观点，企业组织中的决策、经营和监督“三权”分别由股东大会、董事会和监事会负责。作为企业集团监督体系的一部分，内部审计总协调机构应该隶属于企业集团总部的监事会，而不是企业集团的董事会。因为内部审计总协调机构是负责整个目标集团内部审计工作的，该机构存在的基础在于对股东大会与董事会之和间的委托代理关系进行监督，若将审计总协调机构设置于董事会的领导之下，该机构产生的基础就不存在了。

对于“一套班子、两块牌子”的企业集团(即集团与其核心企业内部审计各设有一套独立的管理机构，分别从事整个集团和核心企业各自的经营管理活动，并各自拥有自己的牌子)，集团总部的职能部门就是核心企业内部的各职能部门，因此，在集团总部设置内部审计总协调机构就是在核心企业(或集团公司)的内部设置内部审计总协调机构，该机构属核心企业的监事会领导。

(二) 第二层次，在各基层法人企业股东大会下设立监事会。

对基层法人企业董事会经济责任的履行情况进行监督与评价，同时向基层法人企业的股东大会和集团内部审计总协调机构提供报告。

(三) 第三层次，在各基层法人企业董事会下设立审计委员会。

对基层法人企业总经理经济责任的履行情况进行监督和评价，并向基层法人企业的董事会和监事会提交审计报告。审计委员会的主要职责为：
　　1、保证内部审计的独立性；
　　2、代表监事会对集团董事会的有关行为进行监督和评价，并为集团董事会做出相关决策服务；
　　3、制定集团内部审计的整体规划和政策；
　　4、指导各法人企业内部审计体系的设立与运作；
　　5、协调集团内部审计监督体系与外部审计之间的关系；
　　6、建立集团的内部审计质量管控体系，提高内部审计的工作质量。

(四) 第四层次，在各基层法人企业总经理下设立审计部。

对其下属的分公司或事业部经理的经济责任的履行情况进行监督和评价，向各位总经理和各自的审计委员会提交审计报告。审计部为实施内部审计的工作机构，向集团控股公司总经理和审计委员会提交审计报告，其职责主要有：
　　1、建立健全内部审计制度；的
　　2、编制审计规划和审计计划；
　　3、组织实施审计和工作，出具《审计报告》；
　　4、根据要求出具《审计决定》或《审计意见通知书》；
　　5、跟踪检查审计决定或审计意见的落实情况，并定期向公司决策层报告；
　　6、组织审计人员的培训与考核，对下属子公司内部审计部门的工作进行业务指导与监督；
　　7、向有关部门报送审计规章制度、审计规划、年度计划、年度总结和有关审计资料等。

二、集团内部审计机构设置的案例

(一) 民生银行的内部审计

民生银行通过设立稽核部，对全行经营管理活动实施再监督，其下设现场稽核处和非现场稽核处。其主要职责有：负责对全行经营管理活动及各项业务进行现场和非现场、定期与非定期、全面与专项的监督检查；负责组织和推动全行内部管控体系的建设；向全行经营管理部门提供建议与咨询。

在上述的内部审计组织网络框架中，各层的内部审计组织同时接受本层委托方和上层内部审计组织的领导。如果内部审计组织只受本层委托方的领导，就会不利于将整个企业集团的内部审计组织形成一个完整的监督体系，不利于发挥其整体效应，也不利于各层内部审计组织之间信息的沟通；如果内部审计组织只受上层内部审计组织的领导，那么内部审计署存在的基础——受托经济责任关系——就不存在了。因此，我们应该采取双重领导的形式。

(二) 通用电气的内部审计

通用电气的内部审计包括两类：首先是下属企业自己的审计，重点审查其自身经营情况和财务活动是否符合总公司的规定；其次是总公司一级的审计。

通用电气审计委员会首先解决了两个关键问题：一个是共同接受的会计标准和原则，另一个是双重报告系统，就是每个产业集团的财务负责人既要向本企业的负责人报告，还直接向总公司的财务副总裁报告。对于下属公司的审计过程首先从查账入手，但决不止步于单纯查账，而是花费更多的时间和精力去研究可能有问题的业务，包括业务流程和有关策略、措施，意在从中发现经营效果、公司内部资源的开发利用、产品质量和服务等各个方面有无可改进之处。

他们对于风险大、一般利益也大的方面尤其注意。因为员工习惯在风险面前明哲保身，往往出现低效率、浪费、不求进取等种种弊端，而这些领域恰好是审计委员会成员施展才华的大好机会。

企业都想长大，但为何成功者总是少数？很重要的一个原因是，当企业规模越来越大时，集团公司管控下属企业的难度加大，就容易出现管理失控，导致集团总部和子公司之间“婆媳争斗”。深层次考虑集团企业管理失控问题，就会发现——任何管理行为都是以信息为基础的，没有完备的信息就无法做出正确的管理决策，就容易导致管理失控。因此，加强集团管理应首先从加强对下属公司的信息管控力度上着手考虑。

通用电气内部审计制度的设立实际上是为了通过加强对下属公司信息的掌控程度来实现对其的有效管控。

---

【陆】内部审计人员目标配备与工作方法

一、集团内部审计机构人员配备应注意三方面结构。

(一) 人员的业务水平结构：内部审计机构应注重高、中、初级审计人员的配套和合理的比例。对于集团总部的审计总协调机构，应配备高、中级审计人员；对于审计部，则应有高、中、初级审计人员进行合理配备。

(二) 人员的专业技术结构：集团总部审计总协调机构要尽可能做到“四师”配套，即由会计师(审计师)、经济师、工程师和律师四方面人员组成。基层法人企业的内部审计部门可主要由会计师(审计师)、经济师组成，并可根据工作需要，聘请工程技术人员和律师兼职人员或临时聘请他们参加审计。内部审计部门要大力鼓励内部审计人员学习经营管理、技术和法律知识。

(三) 人员的年龄结构：要有经验丰富的中老年人员和富有革新精神的青年审计人员合理结合，取长补短，以充分发挥内部审计的职能。

二、集团内部审计的工作方法

(一) 第一阶段：风险导向战略计划。

1、按照风险影响程度及风险可能性两维度进行审计涵盖范围划分，划分类别可以是地域、城市、行业、部门、业务流程、会计科目等。

2、根据审计范畴制定审计战略计划。

(二) 第二阶段：风险导向审计计划。

年度审计计划包括当年风险排序、基于风险确定的审计日程表、人员及财务预算等内容。年度计划需经高级管理层及审计委员会或董事会审批授权，在一定程度上保护了内审人员的工作领域和所需资源，有利于增强内审的独立性。

(三) 第三阶段：风险导向审计实施。

实施以风险为导向的审计，主要步骤参见下一节（注：以下仅为内审项目的常规程序，根据项目目标不同，具体步骤及内容可能略有不同）。

---

【柒】内部审计工作程序与要点

一、审计计划

(一) 现状了解：
　　1、了解内容：
　　(1的) 经营业务：主要业务流程知识、业务发展所处的经济和法律环境及业务经营所处的市场环境；
　　(2) 经营职能目标：业务发展目标；
　　(3) 相关风险：产品和服务风险、经营风险、市场风险等。
　　2、了解方法：
　　(1) 开会准备：趋势分析、垂直分析、比率分析、合理性测试；
　　(2) 正式开会；
　　(3) 会后问卷：在分析性复核的基础上制定会谈调查问卷。

(二) 风险评估
　　1、初步风险评估：
　　(1) 目的：评估组织和关键管理层的有效性；评估管理层对风险的意识；
　　(2) 重要性：对固有风险及控制风险的性质和程度的初步评估，是审计计划制定的重要因素；
　　(3) 种类：如固有风险、控制风险和审计风险。
　　2、风险评估问卷。

(三) 详细计划
　　1、计划动员会议；
　　2、审计计划(制定审计目标、审计策略及所选用的程序)；
　　3、制定时间表(确定审计成员的角色和责任，准备详细的时间表)。

(四) 人员动员
　　1、启动会议：和审计需求对象开会，介绍审计计划，包括审计策略等)；
　　2、会议记录：就达成一致的审计计划进行书面记录。

二、实施审计

(一) 审计启动：与被审计单位准备审计、确认会议议程和进行面谈、讨论。

(二) 流程图测试
　　1、绘制流程图，使用图表或叙述方式；
　　2、运用穿透测试，确认流程图的准确性。根据试验结果进行必要修改；
　　3、运用抽样调查，找出不合规处或控制薄弱环节。

(三) 确认问题
　　1、同以下相关人员确认问题：直接工作人员、主管、部门经理、总经理；
　　2、在确认问题过程中，如有不同意见，根据需要采取必要的措施后续复核。

(四) 起草报告
　　1、审计报告内容一般包括：内部审计范围、目的、审计期间、结论、审计发现、审计人员，以及审阅人签名/日期；
　　2、审计项目负责人复核审计报告初稿。

三、审计报告

(一) 达成一致意见：向管理层提交审计报告初稿审批。

(二) 审计结束会议：
　　1、在审计结束会议中，讨论并确认问题；
　　2、公司审计部门最高管理层应参加审计结束会议。

(三) 建议反馈：
　　1、被审计单位对审计报告的反馈意见应充分反映在最终报告中；
　　2、被审计单位应对审计报告的问题发现和改进建议高度重视并提出改进计划。

(四) 报告定稿。

四、后续工作

(一) 跟进建议：
　　1、建议的实施情况；
　　2、实施过程中的阻碍；
　　3、无法实施的原因。

(二) 实施协助：
　　1、开展培训；
　　2、进行示范；
　　3、提供人力支持。

(三) 密切联系：
　　1、审计人员应与被审计单位保持良好的关系；
　　2、通过对被审计单位的业务发展和趋向、部门需求的充分了解，才能提供优质和更多的服务。

(四) 针对审计所提出的建议的实施情况的审核，包括：
　　1、合规：政策是否建立，是否如实执行；
　　2、风险：可能的风险已得到相应的控制。

---

【捌】点面结合确定审计范围与内容

在企业集团内部，除了有核心企业，还有众多的紧密层、半紧密层和协作层企业，点多面广，特别需要内部审计来加强管控和评价业绩，因此内部审计的范围必须有一定的深度和广度。审计要有重点、分层次。由于集团成员在企业集团中所处的地位各不相同，对各个基层法人企业的内部审计范围也就应该有所差别，而不应一视同仁，应该按照各基层法人企业在企业集团中所处的地位进行有重点、有层次的内部审计工作。

一、审计范围

(一) 核心企业：核心企业是企业集团的主体部分，是企业集团内部审计的重点，对核心企业应该进行全面审计。

(二) 紧密层企业：紧密层企业在企业集团中处于相对重要的位置，内部审计也应该比较全面，但比核心企业的监督范围可以适当窄一些。

(三) 半紧密层企业：根据半紧密层企业的特点，主要是对投入资内部审计金的使用情况、成本、利润及分配的真实性以及合同的履行情况进行审计监督。

审计

(四) 松散层企业：松散层企业与核心企业只有互惠性的协作关系，他们之间的关系是由彼此之间达成的契约或协议来决定的。因此，对这一类企业仅仅只对其提供协作的事项进行调查，以及对协议合同进行审计。审计的范围相对比较窄，内容也比较单一。

二、审计内容

集团的审计范围决定了其审计的内容。在以上审计范围的规定下，集团的审计内容主要有：

(一) 财务收支审计。通过对企业会计资料的审查，对企业的资产、负债、所有者权益及损益的真实性、准确性和完整性进行评价；审具体查财务收支的合法性以及遵守财经法规情况。

(二) 内部控制审计。通过对内部控制体系实施健全性测试，以检查和评价企业内部控制体系是否健全、内部控制制度是否被遵循及内部管控机制运行是否有效，从而揭示企业内部存在的潜在风险。

(三) 经济责任审计。通过对责任者任期内经营行为的全面审计，对责任者所在企业的资产、负债及损益情况进行披露与界定；对责任者在任期内履行的职责进行业绩评价，为组织部门任用干部提供依据。

(四) 工程项目审计。对工程项目的可行性方案进行事前评价，并随着工程项目的进度分别安排施工及竣工等不同阶段加以事中核实、检查及评价，事后针对项目投入运营后的实际效果衡量其达到预期目标的程度，实现项目最佳投入产出目标。

(五) 经济合同审计。通过对经济合同的合法性、完备性及效益性进行审查，保证其符合生产经营需要，及时发现问题，最大限度地规避风险，避免纠纷，同时实现节约和防止损失。

(六) 经济效益审计。要求将工作领域加强到事前，并深入生产、技术及经营的主要环节，对管理经营活动进行连续跟踪，采用现代科学方法进行检查、取证及分析，同时建立一定的标准来衡量和评价其经济性、效率性及效果性，从中找出差距，挖掘内部潜力，提高经济效益。

(七) 环境内部审计。通过对社会和企业内部所提供的有关环境状态的证实活动，来提供该单位管理当局和地区环保部门有用的会计信息，评价环境治理绩效及社会贡献，评估环境保护效果和环境风险，对进一步健全或加强环境管理系统与有关内部管控提出意见或建议，使环境投入获得双赢。

(九) 舞弊审计。通过发现的差错事项，或者通过有关举报情况或业务部门提出疑点，或者通过其他审计检查发现审计线索等，以查找各级管理层舞弊或弊端，进而揭露舞弊行为的存在，及时制止舞弊行为的扩展，加强内部管理管控建设，保证企业最终目标的实现。

内部审计应紧紧围绕企业经营目标，通过审计方式的转变、范围的拓展，实现传统财务报表审计、内控遵循审计、经营管理审计三者的有机结合，协助企业各部门提升管理水平，提升企业市场竞争力，以求实现企业效益最大化。

【未完待续】（本文图源：Pixabay）