企业内部审计内容有哪些？一位老审计人的掏心窝子大实话

作为一名在注会行业摸爬滚打多年的“老兵”，我见过太多企业提到“内部审计”四个字时，那种微妙的眼神变化，有的管理层觉得这是找茬的“锦衣卫”，有的员工觉得这是只会扣报销单的“财务狗”，还有的老板觉得这就是为了应付上市条款的“花瓶”。

但说实话,如果你真的把内部审计只当成查账，那简直是把屠龙刀当成了切菜刀。

企业内部审计内容有哪些？这不仅仅是一个清单，它是企业免疫系统的核心，我想抛开教科书上那些冷冰冰的定义，用最接地气的方式，结合我这些年见过的真金白银的教训，跟大家好好聊聊这个话题。

财务收支审计：这是“卫生”，不是“治病”

咱们先从最基础的聊起,很多人以为内部审计就是财务审计，这虽然片面，但也没全错，财务收支审计确实是内部审计的起家本领，也是看家本领。 ** 简单说，就是查钱花得对不对，账记得实不实，比如销售收入有没有入账私分，采购付款是不是真的付给了供应商，费用报销是不是全是真票。

生活实例： 我记得几年前去一家民营企业做项目，那公司生意做得挺大，但账上总是没钱，老板怀疑有人手脚不干净，让我们去查，我们没直接看总账，而是从“差旅费”入手，结果发现，销售部的几个经理，每周末都雷打不动地产生几千块的“出租车票”和“餐饮发票”，一深挖，好家伙，这些发票全是他们从路边摊买来的，钱套出来用于周末的私人聚会了。

这事儿看起来不大,但积少成多，公司每年流失几十万，这就是财务收支审计要干的事——把那些不该漏的“沙子”给筛出来。

个人观点： 在我看来，财务收支审计是企业的“基础卫生”，就像人每天要洗脸刷牙一样，不查账，企业脸上就会脏兮兮的。千万别把内审只停留在这一步！ 如果一个企业的内审部门还在天天纠结那张打车票是多了两块钱还是少了五块钱，那这个内审的层次就太低了，财务审计只是底线，不是上限。

内部控制审计：给跑车装上“刹车系统”

很多老板喜欢跑得快的业务员,觉得他们能攻城略地，但在我看来，没有控制的业务扩张，就像一辆没有刹车的法拉利，跑得越快，死得越惨，内部控制审计，就是检查这辆车的刹车灵不灵，方向盘有没有虚位。 ** 这包括授权审批（谁签字能批钱）、职责分离（管钱的人不能管账）、资产保管（仓库里的货谁看着）等等。

生活实例： 我审计过一家连锁零售企业，他们有个非常严重的问题：门店店长既负责进货，又负责卖货，还负责盘点，甚至有权直接处理残次品，这听起来好像权责分明，效率很高，对吧？结果我们在审计中发现，某家门店的利润率总是比同类店低3个点，通过盘点和数据分析，发现店长把好货以“残次品”的名义极低价格卖给了他在外面开的亲戚小店，然后亲戚店再正常销售，因为缺乏职责分离，店长拥有了一手遮天的权力。

个人观点： 我常跟老板们说：流程不是用来卡死业务的，而是用来保护业务的。 做内控审计，不是为了证明某个流程有多繁琐，而是要验证这个流程能不能真的防住那个“想干坏事的人”，如果一个流程，坏人能轻易绕过，好人却觉得麻烦，那就是个垃圾流程，内审的任务，就是找出这些“垃圾流程”并扔掉。

经营审计：从“看门狗”变成“增值顾问”

才是现代内部审计的“重头戏”，也是最能体现内审价值的地方，经营审计不看账本，看的是“效率”和“效果”。 ** 审计采购流程是否合理、生产效率是否低下、销售策略是否有效、甚至人力资源的配置是否科学。

生活实例： 这是一个让我很有成就感的案例，一家制造型企业请我们做全面审计，在生产车间，我发现他们的原材料损耗率一直维持在5%，行业标准是3%，车间主任说：“没办法，机器老化，精度不够。” 我们内审团队没有听信一面之词，而是蹲在车间观察了一周，收集了上千条生产数据，最后发现，机器老化是原因之一，但更主要的原因是——工人的计件工资制度不合理，工人为了追求数量，赶工操作，导致废品率飙升。我们出具报告建议调整绩效考核方案，增加“质量奖”权重，半年后，损耗率降到了2.8%，一年省下来的钱，够买好几台新机器了。

个人观点： 经营审计是内审部门的“翻身仗”。只有当你开始帮老板省钱、帮业务部门提效时，他们才会把你当座上宾，而不是眼中钉。 我一直认为，优秀的内审师，半个身子都得是业务专家，你不懂业务，怎么知道哪里有浪费？怎么知道哪里能优化？

合规审计：别让公司睡在火山口

这几年,随着国家法律法规越来越严，合规审计的地位直线上升，尤其是对于上市公司或者涉外企业，这块简直就是“保命符”。 ** 检查企业是否遵守了国家法律法规、行业准则、公司内部的规章制度以及商业道德，比如反洗钱、反商业贿赂、数据安全保护、劳动用工合规等。

生活实例： 我有次帮一家互联网公司做合规审计，当时《个人信息保护法》刚出台不久，我们发现他们的APP在获取用户授权时，用的是“默认勾选”的方式，而且如果不勾选就无法使用APP。这在以前可能不算个事儿，但在新法下，这是严重的违规，我们立刻发出了风险预警，幸好整改及时，没过多久监管部门就开始严查这一块，同行业的几家竞争对手因为这个问题被罚得底裤都不剩，而这家公司安然无恙。

个人观点： 合规审计就像天气预报。你听了预报带伞，可能觉得这雨没下下来是白带了；但如果不带伞，暴雨一来，你就得淋成落汤鸡，甚至可能得重感冒。 在我的职业生涯中，我看过太多因为忽视合规而一夜崩塌的企业，合规不是成本，它是保险费。

舞弊审计：与人性阴暗面的博弈

这是内审中最刺激、也最让人心惊肉跳的部分，它通常不是常规计划内的，而是基于线索进行的专项调查。 ** 调查员工贪污、挪用公款、伪造合同、收受回扣等行为。

生活实例： 这个案例发生在一家贸易公司，他们的采购总监老王，在公司干了十年，深得老板信任，号称“公司的守门员”。但审计部收到了一封匿名信，只有一张模糊的照片和一串银行账号，我们没有打草惊蛇，而是通过外围数据调取，发现那串账号的主人是老王还在上大学的儿子，然后我们顺藤摸瓜，查了几个主要供应商的对账单，发现这些供应商每年都会向这个账号转账一笔“咨询费”，金额惊人。当我们将厚厚的一叠证据放在老板桌上时，老板的手都在抖，他没想到自己最信任的人，背叛了他十年。

个人观点： 做舞弊审计久了，我对人性的看法会变得比较复杂。我们常说“制度管人”，但制度再严密，也是人来执行的。 只要人有贪欲，就有空子可钻，舞弊审计不仅仅是查案子，更是在修补企业的信任漏洞，我个人的建议是，永远不要用“感情”去测试“金钱”，要用制度去隔离风险，一定要建立畅通的举报渠道，很多大案要案，都是从一封不起眼的举报信开始的。

信息系统审计：看不见的战线

现在企业都数字化转型了,ERP、CRM、SRM系统一大堆，如果系统本身有漏洞，或者权限设置混乱，那前面说的所有审计都可能沦为空中楼阁。 ** 系统数据的完整性、访问权限的控制、系统日志的监控、网络安全以及IT逻辑的验证。

生活实例： 在一次审计中，我发现ERP系统里有一个“超级用户”账号，居然是共享的，整个财务部有五六个人都知道密码，这意味着，任何一个人用这个账号登录，都可以在系统里“神不知鬼不觉”地修改凭证，而且不留痕迹。这简直是恐怖故事！我们立刻要求冻结该账号，重新分配权限，虽然财务部那几天骂骂咧咧觉得不方便，但这堵住了一个可能导致灭顶之灾的“后门”。

个人观点： 未来的内审，一定是“科技+审计”，不懂IT的内审师，迟早会被淘汰。数据是不会撒谎的，但数据是可以被篡改的。 信息系统审计，就是要确保我们赖以分析的数据，源头是干净的，管道是密封的。