内审的特征

后话：本来打算写第二个审计案例给大家，原想先写一些自己对审计这项工作的认识和感受，可没成想一下子写了那么多。先自成一篇帖子，案例稍后会贴上来）

转眼上一篇案例发表已经快1个月了，感谢不少论坛朋友的回复和点评，也激起了一些观点的交锋，很高兴看到这些交流都是积极和开放的。让审计这项看似枯燥的工作能够在8小时之外成为我们的话题，甚至能够激发出大家感兴趣的思想火花，我想这应该是我的初衷吧。若还能为这个论坛稍稍添上几块砖瓦，那就是乘兴之至了。

其实内审这个工作，仔细想想对人的要求还是挺高的，我大致总结了以下几个内审人的特质：

1>较强的数据分析能力和理解能力。一个审计师需要能够沉下心来，埋头于大

堆的数据中，理解这些数据的来龙去脉，排出轻重先后，挑出合适的样本，既不会多到做不完测试，也不会少到漏过重要项目（我从来不用那些所谓的选样工具，基本上这些工具都不是审计老法师设计的，而是一些搞数理统计的人凭着对审计的一知半解拼凑出来的。选出来的样本多到让你抓狂，最后不得不为了应付草草抽样了事。还不如浏览一遍所有数据，有针对性的选出30个样本来的有效果）。

此外，审计师经常面对不同行业的公司和与之相配套的大相径庭的流程，你要能够通过阅读报表、了解公司政策和以及与管理层的简单沟通中抓住这个行业的重心，理解各项流程，看出风险点和潜在的问题。

2>言简意赅的报告能力。内审报告是给管理层看的，简单来说就是给“老板”

们看的，老板们大都不非常熟悉业务流程的具体细节，但又没有时间来看连篇累牍的大段审计描述，所以如何通过最精炼（concise）的文字，让老板知道发生了什么，应该是怎么做的，事实上出现了什么问题，有什么影响，审计建议如何改进，这还是需要具备一定逻辑思维能力和文字功底的。

3>良好的沟通能力。审计师的沟通往往是承上启下的，一方面要在实质性审计

中与低级别员工作大量沟通，了解详细的业务流程，告诉他们你要什么资料并理解你拿到的是什么资料（这两点经常矛盾，由此而来的返工是导致大多数审计效率不高的原因之一），而且经常要用他们能够接受的方式作进一步追问但又要适可而止（有时候低级别的员工真的只知道这些，或者因为不了解事件背景，而给出误导性的陈述）；另一方面又要在获取一定的审计证据后与管理层沟通，从他们这里明晰事实真相和事件背景（big picture），告诉他们问题出在哪里，分析

他们的解释是否与低级别员工不同，还有最难的一点就是说服他们按你设想的方向来改进。这些都是沟通。

其实单单这3点特质就难于集中在一个人身上。我们经常看到一些员工踏踏实实，勤勤恳恳做事情，经理很乐于把一些繁复的分析性工作交给他们，但写报告这事

只能经理自己来；我们也经常看到很多人滔滔不绝，侃侃而谈，他到哪里都很能引起别人的共鸣，但这些人一旦碰到需要花心思潜心做事的工作，就开始抓耳挠腮。其实这并不奇怪，因为这些特质对大脑能力的要求都截然不同：

-数据分析和理解能力考验的是一个人的耐心和仔细

-报告能力需要的更多是智商——逻辑思维能力和文字功底

-口头沟通能力则更多的需要情商——理解和说服别人，以及即兴语言表达能力。这三项能力各自对大脑有不同的要求，这也难怪它们较少的集中在一颗大脑上面

4>较为广博的知识结构和社会常识。并不是要求审计师对什么事情都了如指掌，但广博的知识和常识能够让我们了解社会万物之间千丝万缕的基本关系，能够让我们更容易理解新事物。如果一个销售经理跟你说北京的代理商经常介绍攀枝花的客户生意，而你因为不知道攀枝花在哪里而不会产生“为什么北京的代理商在遥远的攀枝花有那么多关系”的疑虑，那么就很可能漏掉一个审计发现；一个新客户是做超声/红外探伤设备的，而如果你对红外/超声的基本特性完全不懂，那客户会感觉在对着一块门板介绍，可想而知要建立起客户对审计师的“尊重”就难上加难了。不要以为什么时候“百度”都可以帮你。有时候就算你来得及百度，也不一定看得懂。

5>全局筹划，周密思考，做一步想三步。比如早在内审计划的时候，审计师就

应该预见到这次可能会有哪些方面的审计发现，如果直接管理层不配合或信息有限，集团内的哪位高层能够帮忙。既然这样，就应该尽早向这些高管通报审计安排，让他们心里有数，以避免到时要他们帮忙，他们却连有审计这件事都不知道的尴尬；在审计中，如果感觉到这会是一项审计发现，那就要马上判断哪些资料需要扫描复印或进一步索取以支持审计报告，而不是听过算数。到时候被审计单位翻案，却发现自己拿不出确凿证据，还要再花时间重新索要凭证。这个尴尬，我想不用多说大家应该都有过体会。

另外，及时获取扫描件（我个人喜欢扫描，不喜欢复印，1. 环保 2. 那玩意容易丢3. 不会一直随身携带）或进一步索取材料，可以让你在写报告的时候有更多素材。我想不少审计师都遇到过这个问题，审计现场工作的时候觉得对这件事情已经了解的很透彻了，而且对自己的记性很自信，但回到自己办公室后真正坐下来写报告了，却发现这样那样的疏漏，比如没有记下涉事问题供应商的名字全称，用来佐证报告的数据没有拿全，相关直接经手人员的职务或者名字不足够清楚等。这样打断了写报告的思路，会感觉很不爽。

6>“度”的把握。上面这5点一点比一点深入，让你在内审的道路上越走越深，越深而越容易钻牛角尖。这个时候，你需要跳出来，从宏观上看一看每个审计发现应该怎么说，说到哪一步适可而止。这里面既有给管理层保留颜面的考虑，毕竟人家是高管，大家也是同事，既然来日方长，何须现在赶尽杀绝；也有审计效率的考虑，毕竟内审往往人数较少，时间有限。我个人比较喜欢点到为止，毕竟大家都是聪明人，你想表达什么意思大家都看得懂。当然，审计报告上我不全说，并不意味着就没事。在管理层针对每一项审计发现所作的“管理层回复和改进计

划”中，我要求他们要把我没表达的意思也考虑在改进计划中。往往这个改进计划要让我完全满意才会通过。

顺便说一下，赶尽杀绝的事情做个几次，前提是我知道经过这件事情，这家伙在公司时日无多了。

内审不是警察。内审最重要的作用是给股东创造价值，这种价值创造既可以是节流，也可以是开源，甚至是“改道”（流程再造）。如果把自己当警察，每件事情都刨根问底穷追猛打，大家就逐渐对内审敬而远之了。试想这样的审计环境如何支持今后的工作呢？

度的把握还体现在对每一个审计程序的审计深度，我始终坚持内审的价值观要和管理层的价值观保持一致，如果管理层关注企业发展的重点领域，主要项目，那审计也应该抓大放小。我很喜欢论坛里有位兄妹说过的一句话：内审不可以有洁癖。尤其在中国，小事上的灵活处理不可避免。内审还是应该把握二八原理，把有限的精力投入到价值创造的重点领域中。

内审的特质当然还有很多，比如对企业和业务的了解，对企业内部资源的运用能力等等。这些是对内审的最基本要求，相信各位同行也有所领悟，在此就不一一赘述了。总体来看，做一个好内审，不要求某些专项出类拔萃，但要求面面俱到，没有短板。如果在此基础上能够有一两项特别出众，那么就能称其为一个优秀内审了。但相信你看到这里也会感叹，像这样的人恐怕实在是不多见。而且我要告诉你，像这样的人一旦出现，也很快会被企业注意到，而提拔到企业里更重要的岗位。所以，只有能力强，又对内审有很大热情的人，才会在较高的内审级别上做很长时间。

我想对我们这些内审人而言，一直会有这样的问题摆在我们面前：

如果让你往企业管理的岗位上转，具体做什么岗位？（大多数人选择财务总监？）那个岗位是不是在你想去的城市，收入是不是能比现在高？

那个岗位是不是你真的会喜欢？你之前看到的是它好的地方，那不好的地方呢？如果写的有些理想，缺乏操作性请见谅。如果感觉似曾相识也是对的，因为我是在总结各位坛友的智慧结晶的基础上写的。

我觉得，内部审计必须要为企业服务，减少企业的损失和遭受不可以接受风险的可能。既然出发点是企业，那么内部审计就不能过于指责企业为了逐利而选择风险，因为企业具有逐利性，在逐利的同时也会面临风险。那么我们内部审计应该怎么样做呢？首先要明确我们内部审计的职能和作用。

内部审计的作用是什么？减少企业的损失和遭受不可以接受风险的可能。这样减少是建立在内部审计保证和咨询业务层面上，而不是直接参与企业活动的执行。地位决定我们态度。我们需要面临的第一个问题便是企业逐利的过程中存在的风险。内部审计人员不能因为企业逐利存在风险而去否定逐利行为，这就本末倒置了。内部审计机构是为企业服务，就像我们在上网的时候可能会面临计算机病毒的侵袭，难道说为了避免被计算机病毒侵袭，我们就要选择放弃上网？显然这是不合常理的。既要上网，又要避免病毒侵袭，那就需要一种在上网过程中屏蔽病毒功能的软件，由此配套服务的杀毒软件孕育而生。内部审计就是企业逐利过程中屏蔽风险的利器。换句话说，内部审计就是企业屏蔽风险的防火墙。所有的行政部门都自认为高人一等，自己很聪明很重要，自己没有受到应有重视。如果行政部门没有很好的起

到屏蔽企业风险的作用，就应该不受重视。起不到杀毒作用的杀毒软件就应该被淘汰。

作为内部审计，从其诞生开始就一直是为企业服务，为股东分忧。为股东是殚精竭虑，却也受到来自股东与管理层之间难以调和的利益冲突困扰。减少这样的困扰，执业界和理论界一直在探讨，这种探讨是不会结束的，因为它是随着实际经济行为多样化和复杂化的深入，不断的变化和适应。这就是为什么经济行为的变化一直是牵引着审计哲学的变化。所以真正有实力的企业，内部审计是一直不能缺少的。能缺少内部审计的企业要么是停滞不前，要么是病入膏肓。

正是内部审计所面临的困扰和所处的地位，内部审计人员在行事上非常谨慎，一贯的具有逻辑性以便达到说服被审计人员和被审计部门。正如有一句话“内部审计说这件事是真的，它一定是真的”。

要使工作具有逻辑性，成果具有可理解性，环境具有融洽性，内部审计人员在工作态度、思维、思路、方式、程序、逻辑、实施都比较具有特色。

在工作态度上，内部审计人员是对事不对人。以博大的胸襟去理解和包容别人所处的环境，所面临的困境，不能因为自己所掌握当时他们不掌握的资讯和技巧而指责他们办事不力。在面临程序不全时，重新考虑如何整合所有程序和流程，以便能够监控系统行为中不符合企业规章和社会认同标准的行为。

思维上，内部审计人员同样把风险分为可接受和不可接受风险。对于风险有着不同的地方是，内部审计人员不会刻意的去回避风险，而是关注风险和报告风险，以便管理层能够明白风险和采取相应的措施。一种新的企业行为，可能会存在制度跟不上造成各种风险，包括经营风险、舞弊风险、财务风险等等风险，如果没有长久的关注，这样的风险很难被定性和定量成为不可测风险。保持长久的关注，对数量加以纵向和横向对比分析，对于风险，内部审计就会有符合企业和行业的风险预测和风险分类，甚至会有风险管理。所以内部审计工作除了需要储备很多专业知识外，还需要长久的关注同一性质的行为相关数据，以便发现与经营活动有关的风险和漏洞，这个需要经验的积累。积累是相当重要的行为，没有积累，企业可能会重蹈覆辙。

在思路上，审计不是摸石头过河，而是有着自己的一套程序性的步骤。先是检查相关内部控制是否存在高风险，这一方面和社会审计有着相同思路。检查相关内部控制，主要包括是否有相关控制点和程序去关注关键风险点，执行人是否明白内部控制的控制行为，有没有产生误解，相关的流程和程序是否闭合。这些走完之后，就是编写审计方案，这样的审计方案就相当大的针对性。这样的针对也是明确审计方向，以便查出审计发现的思路。编写的审计方案应该包括重要的管控和薄弱的管控。编写审计方案后，便是针对性的实质性程序。在实质性程序中，我们坚持通过检查和分析性复核，来明确审计发现的背景、标准、情况、原因、影响、结果、建议。要做到背景清楚，必须要了解当时的环境、资源、行动指引、管理风格等等。标准的选择异常重要，它是来确定审计责任的准绳，确定需要加以改善的部门和环节逻辑起点。同样，我们不能以现在的要求去要求过去发生的事，所以在标准选择的时候，要注意公平。但是又需要改变流程和内部控制，则在影响和结果中阐明利害，说明需要改变的地方，这样是原因分析的作用。原因分析的作用就是指出在审计发现中承担触发因素的部门和行为。

在方式上，我们非常注重方式方法。在方式方法上的注重包括沟通、结论和建议，都会在原则下保持积极。沟通的尊重和对事不对人，结论上和部门的充分沟通，建议上采取被审计部门中正确和积极的意见。这些都会减少我们在工作时面临的困扰。

在实施时，我们通常都会有进场会议和离场时的沟通。内部审计人员在允许的情况会在第一时间内向被审计单位的管理层通知审计发现，并询问被审计单位的意见和被审计单位的态度。这些行为的实施，是为了保证审计建议可以充分的考虑到被审计单位的执行效率和执行操作

上可行性。

内部审计应该具有灵活性，不应该在格式里面八股化，而是在经济行为的深入下加以变更。最后祝大家身体健康（身体不健康，其他都是妄谈），工作顺利（恭维的话，审计工作一向不顺利），生活愉快（要么在生活中郁闷，要么在失业中煎熬），家庭美满（这一条最好做到，多多陪陪家人）。