内部审计如何做到“无中生有”的？


笔者曾经就某个省级分公司一把手的任中审计报告征求该一把手的意见，该一把手把电话

打过来，很生气地发飚到：“你们是血口喷人，无中生有！”是啊，人家认为自己管理得

当，即使有这样或那样的问题也不过是经营中可以容忍的正常现象。不过，到后来，经过

几番耐心沟通，审计报告还是基本没有做什么调整而上报公司领导。“无中生有”，当然

是个贬义词。无中生有，接下来就是无事生非。这一定是个别被审计单位的管理者对内部

审计工作的评价。上面也许是个极端的例子。

但笔者仔细想想“无中生有”这个词，换个角度想，内部审计工作确实是把没有人发现

的风险给挖掘出来，在每次审计项目中，努力发现新的问题。这么来想，内部审计工作也

是“无中生有”，把没有显现出来的风险给排查出来，提出审计建议来。当然，你也可以

说风险本来就客观存在的，不存在什么“无中生有”，但从审计发现的角度看，从发现不

了问题，到发现审计线索，再到发现重大风险或控制缺陷，这个过程不就是“无中生有”

吗？

内部审计如何做到“无中生有”，在每次审计项目中都能有新的发现？对于内审新人，

如何打破即使按照审计模板和流程，也不容易有审计发现的局面呢？从下面九个维度思

考，形成立体交叉的思维模式，我们的内部审计工作将会有更多、更有分量的审计发现。

1.从全局看。

内部审计的客观性和超然性使内部审计有从全局角度看待问题的优势。例如，一家集团

公司下属有很多家子公司或分公司。即使一家子公司或分公司存在一个小问题，但如果其
他家子公司或分公司也都存在类似问题，那么这个小问题也就累积成大问题，也就需要每

家子公司或分公司积极整改。这个小问题也就要反映到审计报告中，并且要给予重要风险

提示。

2.从控制看。

对内部控制的检查始终是内部审计的有效工具。发现内部控制缺陷，就是内部审计的工

作目标之一。有些业务流程，尽管在审计期间没有发生过风险事件，但这些业务流程在设

计中存在控制缺陷，或者不能严格执行控制措施，那么就存在潜在风险或发生舞弊风险的

可能。

3.从风险看。

商业经营本身就存在风险。内部审计需要评价被审计单位的风险水平。内部审计也需要

将被审计单位的风险评价结果上报给董事会或管理层。被审计单位业务或利润的高速增长

可能伴随着较大的风险。一个风险事件，可能会引发连带风险。高风险水平需要内部审计

人员在审计报告中揭示出来。

4.从流程看。

流程测试是内部审计的一种手段。通过流程测试，内部审计可以发现业务流程是否有控

制缺陷。内审人员不仅要熟悉业务流程，还要能够画出流程图，并在流程图上能够标出控

制点。如果内审人员不熟悉业务流程，就只能看到散落的个别事件，不能通过流程图把个

别事件串连起来，不能发现系统性的风险。

5.从正反看。

经济事项总有正反两面。内部审计不仅要审计业务数据、财务数据，还要揭示数据背后

的经济行为。内部审计要去分析审计发现问题背后的原因和动机。内部审计不仅要看问题

的正面，还要看问题的反面，换一个角度看问题。这样，才能发现真正的问题所在。
6.从数据看。

随着内部审计信息化水平的提高，审计人员越来越多地利用数据分析软件来发现审计线

索。通过对大量数据的分析，能够发现被审计单位在某些业务或流程中的规律，从而能确

定一些疑点范围，再对疑点进行排查。

7.从细节看。

内部审计人员应该有一双敏锐的眼睛，不放过每一个可疑的细节。只有关注细节，才能

做到抽丝剥茧，才能发现隐藏在看似正常现象背后的蛛丝马迹。查阅档案资料也好，访谈

也好，还是数据分析也罢，审计人员要发现细小的差别、差异或是异常。

8.从方法看。

内部审计方法不是一成不变的。在内部审计实践当中，可以总结适合审计部门自身的工

作方法，也可以从其他行业或行业内的其他审计组织学习到先进的审计方法。当审计工作

遇到瓶颈，审计发现无法有新的突破时，可以尝试换一种思路和方法。

9.从理念看。

审计理念，看似很务虚，但却影响着审计的思路和范围。不同的审计理念，会有不同的

审计结果。如果仅仅把内部审计当作查错纠弊的一种手段或工作内容仅仅是事后检查，那

么内部审计的价值就得不到较大的提升。审计理念决定了内部审计人员的眼光和眼界，最

终也决定了审计发现是什么。