内审的一般步骤5个，如何像老中医一样给企业把脉问诊？

在注册会计师行业摸爬滚打这么多年,我经常被朋友或者刚入行的后辈问到一个问题：“内审到底是干嘛的？是不是就是公司里的‘纪委’，专门去各个部门找茬的？”

每当听到这种说法,我都会忍不住笑一笑，然后摇摇头说：“如果只是为了找茬，那内审这行早就干不下去了，真正的内审，更像是一位经验丰富的老中医，我们不是来‘开罚单’的，而是来‘治未病’和‘开良方’的。”

不管是大型跨国集团,还是刚刚起步的初创公司，内部审计的底层逻辑其实是相通的，我就想抛开教科书上那些晦涩难懂的定义，用咱们平时聊天的语气，结合我亲身经历过的一些故事，来跟大家好好唠唠这内审的一般步骤5个，这不仅仅是工作流程，更是一套从发现问题到解决问题的思维模型。

第一步：初步调查与审前准备——知己知彼，百战不殆

俗话说,“磨刀不误砍柴工”，在内审的五个步骤里，这一步往往最容易被新手忽视，但在我看来，它恰恰是决定整个项目成败的“定海神针”。

很多年轻的审计师,拿到项目通知书，背着包就去现场，到了财务部或者采购部，张口就要凭证，闭口就要合同，结果呢？被人家当成“查账的机器”，问三句答一句，最后虽然查了一堆数据，但根本没摸清人家的业务逻辑，甚至闹出笑话。

生活实例： 这就好比你第一次去女朋友家吃饭，如果你不做准备，不知道她爸爸爱喝什么茶，不知道她妈妈忌口吃什么，不知道家里有没有弟弟妹妹需要带礼物，那你就算空着手去，或者带了一堆不合适的礼物，结果肯定是尴尬收场，而聪明的做法是，先问问女朋友（也就是你的“线人”），把家里的情况、口味、喜好都摸得一清二楚，这样才能投其所好，赢得好感。

内审实战： 在做初步调查时，我们做的就是“找线人”和“画地图”。我们要先阅读被审计部门的以前年度审计报告、组织架构图、流程手册，甚至要去看看他们最近的会议纪要，我个人的观点是，在这个阶段，与其说是“查”，不如说是“聊”。 我会约谈部门的负责人，不是带着审视的眼光，而是带着请教的态度：“王经理，咱们部门今年最大的挑战是什么？您觉得哪里风险最大？”

通过这种“非正式”的沟通，你能迅速建立起对这个部门的“全景图”，你会发现，有时候流程图上画的和实际做的完全是两码事。只有当你比业务部门更了解他们的痛点时，你的审计计划才不会是一纸空文。

第二步：制定详细的审计计划——运筹帷幄，有的放矢

摸清了底细,接下来就要制定作战计划了，这一步的核心在于“聚焦”，很多内审项目失败的原因，就是试图“在这个月里把所有问题都查出来”，这根本是不可能的。

生活实例： 想象一下，你打算利用五一假期来一次大扫除，如果你没有计划，一会儿擦窗户，一会儿拖地，一会儿又去整理衣柜，结果忙活了一整天，累得腰酸背痛，回头一看，厨房还没动，床底下还是一团糟。正确的做法是列个清单：上午只处理客厅和卧室的灰尘，下午专门攻克厨房油污，晚上整理衣柜，把大目标拆解成小任务，分配好时间和精力。

内审实战： 制定审计计划，其实就是做“减法”和“排序”。基于第一步的调查结果，我们需要识别出高风险领域。我的个人观点是：资源永远是稀缺的，内审必须学会“二八定律”。 80%的风险往往隐藏在20%的业务环节里。比如在采购审计中，如果是传统制造业，原材料采购的价格和供应商资质肯定是核心；如果是互联网公司，可能市场推广费用的真实性才是重中之重。我会制定一个详细的审计方案，明确：我们要查什么？为什么要查这个？怎么查？谁来查？需要多少时间？这个计划一旦确定，就是我们的“行动指南”，但在执行时也要保持弹性，如果现场发现了新的大线索，也要敢于调整方向。

第三步：现场审计与测试——抽丝剥茧，还原真相

这一步是大家印象中最“硬核”的内审工作，也就是我们常说的“外勤”，我们要通过各种手段去验证前面的猜想，去获取证据。

生活实例： 这就像是侦探破案，福尔摩斯从来不会只听嫌疑人的一面之词，他会去现场勘查脚印，会去化验烟灰，会去核对时间表。假设你是个妈妈，你怀疑上初中的儿子最近没好好学习，光顾着打游戏，你不能只听他说“妈，我在写作业”，你得去摸摸电脑主机是不是热的，得去看看他的作业本上的字迹是不是龙飞凤舞，得悄悄观察他是不是一听到“老师来了”就手忙脚乱，这就是“测试”。

内审实战： 在现场，我们主要做两件事：控制测试和实质性程序。控制测试是看流程是不是走通了，比如采购付款是不是真的经过了三级审批；实质性程序是看数据对不对，比如价格是不是虚高，库存是不是真的存在。在这个阶段，沟通的艺术比技术的运用更重要。 我见过一个刚入行的CPA，在盘点现金的时候，发现出纳少了一百块钱，立马大声质问：“你怎么账实不符？”搞得现场气氛极度紧张，最后发现是有一张未入账的单据，这种“有罪推定”的心态是大忌。我认为，现场审计的最佳状态是“合作式”的。 我们要抱着“咱们一起把这个漏洞找出来，免得以后你背锅”的心态去和业务人员交流，当你把对方拉到同一战线时，他们会主动告诉你：“哎，这块系统设计有问题，我们平时操作也很麻烦，经常出错。”这才是最有价值的审计发现。

第四步：审计报告与沟通——画龙点睛，传递价值

查完了,证据拿到了，接下来就是写报告，这是内审人员的“脸面”，也是我们工作的最终产出，很多人怕写报告，觉得枯燥，其实报告写得好，能直接体现你的专业度和逻辑思维。

生活实例： 这就好比医生给病人写病历和开处方。如果医生只写：“病人病了，很难受。”那病人肯定要骂人，医生得写清楚：“病人症状为持续高烧，血液化验白细胞偏高，诊断为细菌性感冒，建议服用抗生素，多喝水。” 医生说话得讲究技巧，如果医生直接对病人说：“你这病没救了，回家准备后事吧。”那大概率会被家属打，高明的医生会说：“病情确实比较复杂，但我们要保持乐观，目前有几个方案可以尝试……”

内审实战： 审计报告最忌讳的是“记流水账”或者“只挑刺不给路”。 我的个人观点是：一份好的内审报告，必须是“建设性”的。 它不能只罗列问题，更要分析问题产生的原因（是制度缺失？是执行不到位？还是系统漏洞？），最重要的是，要提出切实可行的整改建议。建议不能是“加强管理”、“提高意识”这种正确的废话，必须是具体的、可操作的，建议在采购系统中增加必填字段，强制上传验收单照片”。报告的沟通往往比报告本身更重要，在正式发出报告前，我会先开个“退出会议”，把发现的问题跟被审计部门过一遍，听听他们的解释，有时候是因为有特殊苦衷，或者是我们误解了业务。这种“对账”机制，能极大减少后续的摩擦，让审计结论更客观公正。

第五步：后续追踪——落地有声，闭环管理

最后这一步,是内审的生命线，也是最容易被忽略的一步，如果审计报告发出去就石沉大海，那内审就真的变成了“为了审计而审计”。

生活实例： 这就像家长监督孩子改错题。孩子考试卷子发下来了，上面全是红叉，家长骂了一顿，孩子也哭着说“我错了，下次一定改”，下次考试前，家长有没有检查过孩子是不是真的把错题本背下来了？有没有针对薄弱环节加强练习？如果没有，那下次考试大概率还得考砸。或者像我们平时定健身计划，办了卡，请了私教，练得浑身疼，但如果练完回家不控制饮食，也不坚持去健身房，过两个月肉又长回来了，之前的努力不就白费了吗？

内审实战： 后续追踪，就是去检查“药方”有没有被真正执行。我会关注三个层面：

措施是否采取？ 比如说好的“增加审批节点”，系统里改了吗？
问题是否解决？ 比如之前发现的库存积压，现在处理掉了吗？
效果是否持续？ 很多时候，审计一走，业务部门又改回去了，我们要观察整改是不是具有长效机制。

我必须发表一个强烈的个人观点：没有后续追踪的审计，就是耍流氓。 内审的价值不在于你发现了多少问题，而在于你帮助公司消除了多少隐患，如果那些高风险问题长期悬而未决，不仅内审的威信扫地，公司的经营风险也会像滚雪球一样越来越大，在这一步，内审人员需要一点“厚脸皮”和“死磕”的精神，盯着问题直到彻底关闭。