湖南省武冈市人民医院/周 建

国际内部审计师协会(IIA)对内部审计的最新定义，“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过运用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”内部审计是以提高机构的运作效率和增加机构的价值为目的，通过防控组织营运风险和财务风险，完善组织营运流程，挖掘开源节流的方法，降低可避免的损耗，利用内部审计特殊的地位、资源和方法，通过给组织提供有意义的审计结果或有价值的建议，融合风险管理、内部控制、公司治理等先进理论用于审计工作中，从而给组织增加价值。

一、增强风险意识，制定风险管理程序增加组织价值

风险无处不在无时不有，风险是一把双刃剑，正确认识并有效利用风险就能为组织实现增值。根据管理学“高风险高收益、低风险低收益”理论说明一味将风险降至最低，组织的发展和宏伟蓝图就难以实现甚至会出现倒闭风险。因此，内部审计工作者要通过将风险的识别、评估、应对和监察全过程贯彻到内部审计的日常性工作中，既要管控好风险防止将“风险”变成既定的“损失”，又要合理利用“风险”可能带来的高额收益，及时将获取的相关风险信息在组织内部进行沟通并采取有效措施使组织得以实现增值。

1.组织风险的识别。

通过PEST分析法对组织所处的政治和法律环境（包括国家的路线方针政策、法律法规以及政府行为等）、经济环境（包括社会经济结构、当前经济状况、财政金融政策、利率和资金供求状况和通货膨胀水平和币值变化等）、社会和文化环境（包括人口因素、社会流动性、消费心理、生活方式变化、文化传统以及社会公众的价值观等）、技术环境（包括生产技术的变化、信息技术的应用以及新技术的发展）进行分析，剖析行业和组织生命周期，运用波特的五力模型对行业内的竞争对手、供应商、客户、潜在的行业进入者以及替代产品或技术的威胁进行综合考虑，全面进行市场分析，深入了解组织的组织结构、治理结构、所有权结构与筹资、投资及经营活动和政策，从而识别出组织中面临的重要风险因素和组织管理中的重要缺陷。

2.组织风险的评估。

识别出对组织的各个层级有影响的的重要风险后，下一步是对风险发生的可能性及相对重要程度进行评估。根据识别出的风险制作风险评估系图识别某一风险发生的可能性以及发生是否对组织产生重要影响，然后根据发生的可能性以及影响程度确定组织风险的优先次序。

3.组织风险的应对。

根据识别出来的组织风险以及评估出的风险优先次序，根据不同的风险类型选择风险降低、风险消除、风险转移以及风险保留的风险应对策略。由于风险千变万化甚至瞬时万变，必须紧跟风险识别和评估，快速采取有效应对策略，以最小的成本获得最大的效益。

4.风险监察。

由于风险的不静止性以及风险识别程序的不连续性，必须对风险进行监察，确保对已经识别出的风险的控制建议得以实施，保障能不断的获取最佳的风险状况信息，提出风险应对程序的建议，以便管理层及时将风险降低至可接受的范围。

二、执行内部控制测试，完善内部控制制度实现增值

内部控制是指组织为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。内部审计本身是内部控制的一个环节，是组织内部监督的重要组成部分，同时它又是内部控制的再控制。执行内部控制测试，需要测试组织的控制环境、风险评估、控制活动、信息与沟通及监控五个要素。审计人员应针对内部控制测试发现的所有缺陷和薄弱环节予以详细记录并提交专题报告，由治理层、管理层及关键岗位职工参与讨论应对措施并坚决贯彻落实，从而达到防范和化解组织风险，帮助组织预防和减少损失，提高经营的效率和效果，使组织活动在法律法规的框架下进行，降低违法违约成本和避免非增值作业，最终为组织实现增值目标。

1.评价和完善控制环境。

控制环境是其他内部控制因素的根基。在评价和完善内部控制环境时，应该考虑组织的诚信和道德观、职工的工作胜任能力、组织的治理结构、管理层的理念和经营风格、内部审计部门的地位、职权与责任的分配、人力资源政策与实务等方面，评价管理层是否建立了防止或发现并纠正舞弊和错误的恰当控制。

2.评价和完善组织风险管理程序。

审计人员应该评价组织的风险管理程序是否能够有效识别各种组织面临的风险，是否能够正确评估风险发生的可能性或频率以及影响程度，是否能够有效应对各个风险，是否能够有效执行风险应对措施。

3.评价和完善组织的控制活动。

审计人员在评价和完善控制活动时主要重点考虑一项控制活动单独或者连同其它控制活动是否能够以及如何防止或发现并纠正可能存在的问题。

评价和完善组织控制活动，主要评价和完善如下控制活动：第一，评价和完善要求组织内部遵守的适用于普遍或特定某类交易或活动的政策及超过一般授权的常规交易的政策与程序；第二，分析评价实际业绩与预算的差异，综合分析财务数据和非财务因素的内在联系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，并对发现的异常差异或关系采取必要的调查与纠正措施；第三，检查经营活动中信息处理环境下交易的准确性、完整性和授权；第四，评价和完善组织是否对资产和记录采取适当的安全保护措施，是否对访问计算机程序和数据文件设置授权及是否定期盘点并将盘点记录与会计记录相核对；第五，评价和完善组织是否及如何将交易授权、交易记录及资产保管等不相容岗位分离以防范舞弊或错误的发生。

4.评价和完善组织信息与沟通程序。

审计人员应当测试组织信息“上传下达”的传递流程与渠道、传递速度、员工关注与重视程度以及信息传递过程产生的误解与执行偏差。

5.评价和完善内部控制的监控。

内部控制系统必须接受监控，监控可以确保内部控制保持有效的运作。审计人员应评价和完善组织的内部控制及有关指令是否得到有效执行，对于内部控制的缺陷是否及时报告，对政策和程序执行过程中的偏差是否及时进行调整或纠正。

三、测试运营模块，完善业务流程实现增值

内部审计工作者通过对组织业务流程的销售与收款、采购与付款、生产与存货、人力资源与薪金、投资与筹资、货币资金、舞弊和法律法规等特殊事项等七大模块分块或融合运用检查记录或文件、检查有形资产、观察、询问、函证、重新计算、重新执行及分析程序对各个运营模块实施实质性测试，针对测试过程和结果要保持足够的职业怀疑与谨慎精神，对于识别出业务流程的重要缺陷，要及时进行集体研究并提出有针对性、可行性与实效性的措施以完善业务流程。只有这样才能将内部审计工作转变为对组织全过程、全方位、全要素的事前、事中、事后立体化审计监控和风险预警，才能为组织实现增值和快速健康发展保驾护航。

1.测试并完善销售与收款业务流程。

内部审计工作人员应根据组织行业和自身特点并参照以下流程测试并完善销售与收款业务流程：（1）客户提出订货要求。这是整个销售与收款业务流程的起点，审计人员要重点关注销售负责人对顾客订购单是否符合组织销售政策，是否符合产品的销售单价、运费支付方式、交货地点及三包承诺等，销售管理部门是否根据审批后的顾客订购单编制连续的销售单。（2）批准赊销信用情况。审计人员应关注信用管理负责人是否按照赊销政策进行信用批准，是否复核顾客订购单并在销售单上签字。（3）审批和签订销售合同。合同签订前，应该会同销售管理部门（主要审批基本销售条款）、信用审批部门（主要审批客户的信用情况和赊销条款）、财务部门（主要审批收款和违约条款）及风险审计部门（主要审核合同法律风险及对合同进行总的复核）在合同签订审批表中签署意见。（4）仓库部门根据审批后的销售单及时供货并编制连续编号的出库单，防止未经审批擅自发货。（5）装运部门（应与仓库部门职责分离）按销售单装运货物并开具发运凭证，避免负责装运货物的职员在未经授权的情况下装运货物。（6）开具发票。审计人员重点关注财务部门开具销售发票前是否独立检查了审批后的销售单、销售价目表、出库单及发运凭证，相关项目核对相符后是否开具连续编号的销售发票并寄送。（7）财务部门记录销售情况。审计人员主要关注财务原始凭证是否包括有效的销售单、装运凭证、出库单、销售发票，是否据此登记销售明细账和应收账款明细账或库存现金、银行存款日记账。（8）计提坏账、办理和记录现金、银行存款收入情况及注销坏账。审计人员应重点关注销售实现后的收款问题、是否存在虚假销售问题、是否存在销售退回、销售折扣与折让及应收款项坏账等问题。

2.测试并完善采购与付款业务流程。

内部审计工作人员应根据组织行业和自身特点并参照以下流程测试并完善采购与付款业务流程：（1）仓库或业务需求部门提出采购申请。审计人员应该重点关注采购的物品是否经过申请、采购支出是否超出预算及申购单是否经过严格审批。（2）采购部门根据审批的请购单进行询价等咨询后并编制订购单。审计人员应重点关注采购货物的价格、品种、质量等关键要素是否与请购单和市场调查基本情况相符，询价等职能是否与确定最佳供应商职责是否分离，签订采购合同前是否经过采购部门、财务部门及风险审计等部门进行审批。（3）验收部门收货并编制验收单。审计人员应重点关注验收部门验收的货物是否与订购单的要求相符、是否盘点货物数量与质量、是否检查货物有无损坏、是否编制一式多联预先编号的验收单并及时登记仓库材料明细账。（4）仓储部门保管已验收的货物。审计人员应重点关注仓储岗位是否与验收岗位分离，是否采取有效的安全防范措施保管货物。（5）财务部门编制付款凭证。审计人员应重点关注财务部门是否对采购合同（尤其是付款条件）以及采购发票、结算凭证、检验报告、计量报告和验收证明等相关凭证的真实性、完整性、合法性及合规性进行严格审核。（6）审计人员重点关注财务部门是否定期与供应商核对应付账款、应付票据、预付账款等往来款项并及时进行账务处理。（7）审计人员应根据具体情况建议对采购人员进行定期轮岗，防范采购人员利用职权和工作便利收受商业贿赂、损害组织利益的风险。

3.测试并完善生产与存货业务流程。

内部审计工作人员应根据组织行业和自身特点并参照以下流程测试并完善生产与存货业务流程：（1）生产部门编制生产通知单。生产计划部门根据客户订购单或对销售预测和产品需求的分析来决定生产授权，签发预先顺序编号的生产通知单，该部门通常应将发出的所有生产通知单顺序编号并加以记录控制。（2）仓库部门根据依据领料单发出原材料。审计人员应重点关注生产部门一次领取材料是否与生产任务匹配及仓库部门是否及时记录材料出库明细账。（3）生产部门生产产品。审计人员应重点关注生产的工作效率、废品率及产品的市场认同度等要素。（4）财务部门核算产品成本。审计人员应重点关注产品成本的“料、工、费”的归集是否准确，分析产品成本的构成比例，分析产品成本变动的原因，剖析产品成本降低的潜力与方法。（5）产品入库。审计人员应重点关注质量检验员是否及时检查并签发预先连续编号的产成品验收单，生产小组是否及时将产成品送交仓库，仓库管理员是否及时检查产成品验收单清点产成品数量并填写预先编号的产成品入库单及经质检经理、生产负责人和仓储负责人签字确认后仓库管理员是否及时将产成品入库单信息输入存货管理信息系统并及时更新产成品明细账并与采购订购单编号核对，仓库部门是否根据产成品的品质特征分类添标存放并妥善保管。

4.测试并完善人力资源与薪金业务流程。

内部审计工作人员重点关注人事、考勤、工资造表、工资发放及会计记录岗位是否分离，工薪账项是否经过恰当的批准，是否存在虚构员工套取工薪的现象，是否存在员工在未经授权的情况下更改工资标准及为未出勤的职员支付工资的情况，是否有工资计算错误、人名账号不符与工薪长期未支付造成挪用的现象发生。

5.测试并完善筹资与投资业务流程。

测试和完善筹资业务流程，审计人员应重点关注筹资行为是否进行了必要性与效益性分析，筹资是否经过手续齐全的授权审批，签订的筹资协议是否存在法律风险。

测试和完善投资业务流程，审计人员应重点关注投资行为的可行性研究、决策、审批、执行及绩效评估不相容岗位是否有效分离，投资行为是否经过严格齐全的授权审批，对外投资的收回、转让、核销是否履行相关的授权与审批手续，投资收益的收取是否足额并及时。

6.测试并完善资金收付业务流程。

测试并完善资金收付业务流程，审计人员应重点关注出纳岗位与稽核、会计档案保管和收入、支出、费用、债权债务账目的登记岗位是否有效分离，付款前是否有相关人员复核支付凭证的完整性与准确性，付款业务是否经过严格的审批，货币资金、空白票据及银行预留印鉴等重要财务资料是否进行采取特别的安全措施进行保管，重要票据是否进行专门的登记与使用管理，银行预留印鉴是否由两人及两人以上保管，是否存在坐支现金、设立小金库及大额库存现金交易行为，是否安排专门定期核对银行账户，是否不定期对库存现金实施突击监督盘点核对，是否存在挪用及贪污货币资金的违法行为。

7.完善对舞弊和法律法规等特殊事项的考虑。

审计人员应重点关注组织中的职员是否存在舞弊产生的压力、机会和借口等因素的可能性，是否存在串通舞弊的可能性与迹象，是否存在违反环保法、劳动法以及其他法律法规可能导致组织面临重大风险的行为。另审计人员还需重视经济责任审计、离任审计及绩效评估审计等专项审计，并给组织提供有意义的审计结果或有价值的建议从而增加组织价值。