信永中和内部审计研究年度报告（2022）

2022  ‍信永中和内部审计研究报告

本研究报告包括三部分：

第一部分：观察与洞见。

根据我们对内部审计的研究，其底层驱动因为政策、监管、价值和事件，研究驱动因的价值是为内部审计部门提供一个框架，用以决定应该为集团管理层、各部门及其他利益相关方提供的“服务”；国有企业改革正进入深水区，与高授权相适应，包括内部审计在内的监管必然要被强化，在此背景下，内部审计面临两个最大的矛盾：审计资源不足与相关方对内部审计要求越来越高的矛盾；审计方法、手段和工具与被审计对象的信息化、数字化的矛盾，面对主要矛盾，我们提出要走的两条路。立足当下，分析形势，仰望星空，观察趋势，我们提出内部审计部门应做好的六项工作。

第二部分：内部审计业务类型研究。

在服务质量层次不齐的市场里，我们一直在探索如何能够为客户提供高价值感的服务，六年前，我们提出“研究型审计”，通过研究型审计服务“需求升级市场”，开创了很多新的行业和领域，积累了很好的口碑与声誉。此部分，按照综合审计类、微审计类、有特点的行业、方法论等介绍了我们的部分研究成果。

第三篇部分：数字化审计。

包括内部审计数字化平台与数字化审计两部分内容。在内部审计数字化平台部分，我们提出“内部审计在线化、智能化是适应审计对象信息化、数字化环境的必然和唯一选择；是解决外部监管要求的全面性、覆盖度以及日益增长的管理层需求的必然和唯一选择”。在线化可以解决时效性的问题，智能化可以解决部分效果问题，在线化、智能化同时会大幅提升效率，基于对中央企业内部审计信息化状况的调研，系统分享了对打造内部审计数字化平台的认识和建议。在数字化审计部分，根据多年探索，我们总结出“可见即可得”、“预期原则”、“一致性原则”、“自相似”全量审计四原则，并根据实践，分享了数字化审计的条件和要点。

在第二篇，列示了可以与客户分享的四类17项源自实践的研究成果；在第三篇，列示了可以与客户分享的内部审计数字化平台及数字化审计相关的10项源自实践的研究成果。

01

观察与洞见

1.1 内部审计的驱动因：政策、监管、价值和事件

我们对国有企业内部审计的政策和实践系统研究，发现内部审计工作底层驱动因是政策、监管、价值和事件。

表1 内部审计工作底层驱动因

底层驱动因的研究为内部审计部门提供了一个框架，用以决定内部审计部门应该为集团管理层、各部门及其他相关利益相关方提供的服务，包括内容、类型与频率，并用以完善内部审计部门的能力与资源。

诚然，不管是基于政策、监管，还是事件的“服务”，都是在为公司提供价值，此价值与驱动因中的“价值”存在差异，驱动因中的价值是除政策、监管及事件的影响外的其他内部审计的类型，如经营审计、管理审计、效益提升审计，更多的是发挥内部审计的“咨询”作用，其要解决好两个核心问题：时效性，往业务前端走，直到“善战者无赫赫战功”、内部审计部门要做管理层和业务部门的“BP”。

1.2 高授权下，必然需要强监管，内部审计作为监管的一个重要组成部分，其所应发挥的作用正在被强化

国资委对国有企业，集团对下属企业管理，“高授权”已经在路上，且正走向深入。高授权意味着要“搞活”，活而不乱，需要有规范、成熟的管控体系、管理体系和运营体系，规范、成熟的体系需要推动，也需要监督体系的拉动。

同时，高授权必然需要强监管，只有通过强监管，才能避免“高授权”下的“灰犀牛”和“黑天鹅”，要通过监督体系防止重大合规问题，重大风险及重大资产损失，并适度通过追责形成“警戒”。

高授权对监管的要求是“强”，“强”表现在三个方面，一是内部审计在内的监管体系要有覆盖率，应在一个审计周期内覆盖到主要业务、主要经营活动和重要管理环节，二是要发挥好内部审计的“咨询”职能，要做到“终”为“始”，为管理层、业务部门提供前瞻性的支持；三是人才与能力配“位”，要从“有”这个职能到“服务好“高授权的内在要求。

要发挥好应有的作用，必然意味着思想的转变，组织能力的提升，资源投放水平的提高、审计科技水平的与时俱进。

1.3 需要强监管，能不能做到强监管，如何才能做到强监管？

内部审计面临诸多矛盾，我们认为目前阶段最主要的矛盾有两个：

（1）审计资源不足与相关利益方对内部审计要求越来越高的矛盾。

不管是某一集团内的内部审计部门的人力资源数量与胜任能力，还是年度资金预算，以及能调动的其他资源，与“强监管”的要求，与监管、政策、管理层对内部审计部门要求的任务清单相比，还是捉襟见肘。任务数量的增加、质量要求的增加往往是非线形的，跳跃的，而绝大多数集团的审计资源增加只能画出一条平滑的、缓慢增长的直线，两者的矛盾有加大的势头。

（2）审计方法、手段和工具与被审计对象的业务及财务信息化、数字化的矛盾。

某些集团在审计数字化、审计智能化方面有一定的进展，在实践中取得了一定成果，对于更多的集团来讲，或在“思想试验”阶段，或相关的探索处于起步阶段。我们看到几乎全部公司的业务、财务跑在不同的软件中，沉淀了大量的数据，一部分企业已经实现业务在线化、网络化、智能化。审计人员要对业务、运营及管理的理解，面对跑在软件系统中不够透明的业务与财务，应对到“大量”数据的方法和工具，如果以过去的“不变”应对业务端、财务端正在越来越快的变，效率、效果会越来越差，预期的作用恐难实现。

除了这两个主要矛盾外，还有次要矛盾，如政策、监管要求的高覆盖率，审计作业方式与被审计对象对减少监督对业务运行干扰的矛盾；专业胜任能力与日益复杂的业务类型之间的矛盾等。

面对主要矛盾，我们要走好两条路：

一是加强对业务、专业、政策与监管的研究，让每个项目都能输出被“利益相关方认可”的价值，当价值形成更大的影响力，人力资源的问题、资金投入的问题，会更容易得到解决；

二也要认识到，传统事后监督的内部审计方式，以及以风险导向下的（手工）抽样审计面临极大的困境，“旧瓶难装新药”，唯有借助理念革新及与之配套的审计科技、数据技术才能解决这个矛盾，才能从事后走到事中、事前，才能对管理层、业务部门产生更大的价值和影响力。

1.4 立足当下，分析形势，仰望星空，观察趋势，内部审计部门应做好的六项工作。

审计部门六项工作

1、盯紧政策、监管等驱动因，达成合规目标。

2、盯紧管理需求，改善管理微循环，增强利益相关方的价值感知。

3、应对审计署审计及审计署11号令第二十二条的影响。自2018年底开始，国务院国资委对中央企业的部分监督职能转移至审计署，中央企业都要接受审计署的审计监督，审计署之审计有其体系和特点；2018年，审计署发布11号令，其中“三级以下单位审计中---对内部审计发现且已经纠正的问题不再在审计报告中反映”，这对国有企业内部审计部门提出了更高的要求，“发现可能的问题且纠正发现的问题”就变得更加重要。

4、提升问题质量，打通发现问题到剖析问题原因，问题整改，完善制度至提升管理之闭环。重发现，轻分析；重发现，轻整改；重发现，轻管理提升，普遍存在，只有完成从发现问题，到解决问题的闭环，才能让内部审计的作用最大发挥。

5、综合的大型审计与专项的微审计相结合。综合的大型审计，涵盖面广，涉及内容多，投入大，耗费人力多，有合规要求及管理要求时，需要完成好；为了解决资源不足的问题，针对某个细分领域可以进行针对重要方面和关键领域的微审计，如资金、采购、销售、投资、某类业务等，投入规模小，效果好，能够起到事半功倍的作用。

6、用科技手段解决两个主要矛盾，持续培养理念与操作与时俱进的专业人士。大家已经认识到科技是解决两个主要矛盾的唯一方法，大家也会强调科技工具的重要性，愿意为之投入，如我们反复强调，科技工具的内核是科技与专家能力的结合，要做好科技工具，要有知识储备，要有案例储备，要有方法储备，要有流程标准化，要有业务标准化，这些都需要专家来完成，专家能力是科技化的基础。科技工具的效果也取决于专家，好的工具、好的人才能让科技真正发挥效用，缺一不可，因此在加强科技投入的同时，一定要加强对专业人才的培养，让科技工具为专业人士助力，辅助到专业人才做好事情。

02

内部审计业务类型研究

目前专项审计市场主要以中小型服务机构为主要参与者，在这个市场中，我们注意到需求层次的上升，也一直在探索如何能够为客户提供高价值感的服务。六年来，我们一直通过“研究型审计”服务“需求升级市场”，开创了很多新的领域，涉猎很多新的行业，做了很多复杂项目，积累了很好的口碑与声誉。

2.1 内部审计项目—项目案例化、案例方法化、方法产品化

“研究型”打法从业务线成立即开始践行，我们认为是服务需求升级市场唯一可行的方法。内部、外部讲了很多年，我们一直奉行项目案例化、案例方法化、方法产品化，我们按照行业、职能和专业三个角度积累、研究，目前已经建立覆盖内部审计绝大部分领域的服务能力。

以下为部分研究成果分享

01 经济责任审计的驱动因、方法论与操作

同为经济责任审计，却有完全不同的视角，“出资人视角”、“公共利益视角”、“履职视角”，绝大多数企业或出资人的审计是“出资人视角”，银保监会对金融公司领导人的审计是“公共利益视角”，行政事业单位偏“履职视角”，部分公司对副职、关键及敏感岗位的经济责任审计基本属于“履职视角”，当然，部分审计项目中，兼而有之的情况也会有，三种角度下，审计重点、方法和评价不尽相同；我们系统研究并就以下方面形成指导实践的成果：经济责任审计中如何区分人和事的关系，如何对被审计公司和被审计人进行分解，如何分类，能够直达关键领域和重点环节；经济责任审计中如何发现问题、分析问题、解决问题和呈现问题；经济责任审计中的问题如何判定；如何定位经济责任审计中的“合规”、“风险”、“效率”、“效益”，问题分类考虑因素是什么，在经济责任审计中应该秉持何种“价值观”。

02 以问题和风险为导向的内部控制评价

内部审计部门所使用的内部控制评价方法通常是以穿行测试定位设计缺陷，以控制测试定位执行缺陷，总体而言，适配性不强，问题价值感不够，我们总结项目经验后多次执行，总结出以问题及风险事件为基础，以专家经验、数据分析及流程诊断等方式前溯成因，以业务数据与财务数据结果前导内控问题，从而达到精准定位确定内部控制缺陷，提高内控缺陷确定的效率，以及内控问题的价值感知。

03 对境外公司/投资的专项审计

随着境外公司/投资规模越来越大，国资监管要求和管理内生的监管需求越来越高，加之疫情阻隔，境内走不出去，境外的专业机构并不了解及熟悉专项审计的要求和操作，因此对境外公司/投资审计的矛盾在变大，解决境外公司/投资的审计困境变得迫切。结合项目经验，我们总结出一套行之有效的对境外公司/投资审计的审计方法论，即以境内审计师在境内非现场工作为主导的方式，非现场审计并非换个地方工作，而是在限定资源条件下对路径、方法的重新思考，如何非现场沟通交流（非视频沟通这么简单），如何快速了解所在国或地区的相关环境，如何基于项目目标分解任务，如何根据任务及非现场审计的特点收集（原始、统计、分析）资料，如何通过精准理解和分解项目，聚焦重点，降低资料获取量，如何安排境外会计师的协助工作（主要是完成资料收集及其他可胜任工作）。目前我们完成的项目涉及的境外机构涉及美国、加拿大、葡萄牙、巴西、南非、包括新加坡、巴基斯坦、印尼等东南亚诸国，和香港地区。

04 项目及股权投资项目后评价

投资后评价的核心是回溯，回溯成本、工期、效益在内的可研决策关键指标，回溯外部程序和内部流程，回溯投资决策之关键点是否得到执行。另外，项目及股权投资通常标的额大，影响广，投资项目后评价中存在的问题是对投资决策、投资执行及过程管理的综合反映，从问题-成因-完善制度与流程的闭环非常有意义。

05 责任追究审计

对中央企业的责任追究体系化于2018年，是对违反规定、未履行或未正确履行职责所产生后果的追究，其核心是损失核定，涉及到不同的（会计、经济等）口径，属于复杂判断，损失金额核定最关键的是（为或不为的）行为和后果的因果性、行为和结果的相关性，损失金额核定的合理性及逻辑自洽。

06 经济责任审计的驱动因、方法论与操作

微审计是一种理念，一种方式，强调的不是面面俱到，而是去抓关键矛盾，把有限的资源更加精准的聚焦、投放在核心业务、关键领域和重要环节，如某类业务，如资金、采购、招投标、销售、投资、三重一大、八项规定等，微审计是在限定资源情况下达成目标非常有效的方式。

07 贸易业务专项审计

贸易业务在国内企业中，包括国有企业中是非常独特的一类业务，贸易业务也是国资监管规则最多，出问题最多的业务之一。我们服务过各类型的贸易公司，包括中国最大的贸易集团，提供专项审计服务的公司涉及几乎贸易的全部品类，黑色金属、有色金属、贵金属、煤炭、焦炭、粮食、石油、工业品---等等，我们化繁为简，总结出以“资金流”、“物流”、“信息流”为对象，围绕 “钱在哪里，有多少？货在哪里，有多少？”的审计方法和路径，对于揭示风险，揭露贸易业务管理和经营中的问题有非常好的效果。

08 分销零售连锁业务专项审计

分销零售连锁业务的特点识别性高，包括业务运行高度依赖于信息系统，数据量大；管理链条长，采购、返利、销售、招商、装修、连锁管理、店面管理、租赁与物业、资金等环节容易存在管理疏漏、“跑冒滴漏”，甚至舞弊，理解分销零售连锁所在行业及其规律，知其然及所以然，以全量数据审计技术、IT审计技术，可精准确定相关问题。

09 地产业务专项审计

黄金、白银时代的地产业务，成本控制和运营效率比较重要，决定了地产业务的利润率水平；到了黑铁时代，要一点一点的抠出“利润”，成本控制能力、运营效率决定了是否有利润及利润规模。在地产领域，住宅还是商业地产，（1）针对其运营及管理，根据地产业务的特点，拆分出若干一级节点及数百个二级节点，可针对每一个节点的运营与管理的合规性、效率、风险情况对标、分析，提示问题与风险；（2）针对运营环节非常关键的采购、销售等环节，也确定了明确的、可执行的检查标准；（3）针对商业地产业务，以投资回报率为基础，以ABC作业法等分解相关动作及业务，以提升存量商业地产业务的财务绩效。既破又立，我们可以通过找问题协助到地产公司完善关键环节的能力，提升管理和运营能力。

10 中央企业内部审计中的问题归纳

根据近六年的执业情况，我们汇总全部专项审计中发现的问题，脱敏后按“职能”、“领域”和“行业”进行汇总、总结、提炼，并将问题放在了“逻辑树”上，形成“问题知识图谱”，逻辑脉络一目了然。

11 如何写专项审计报告

不同公司专项审计的报告格式、内容和质量各不相同，根本原因是对报告相关使用人定义不清，或对其预期不明；为解决专项审计报告质量或价值感的问题，我们总结出“报告使用人”和“相关利益者”视角为基础构建报告框架、信息（内容、语言、详简度）的一套逻辑和体系。

12 专项审计方法论-基点、分解、分类、呈现的技术

我们分析专项审计相关的法规和政策，总结各类专项审计问题，所有的问题可归入“合规、风险、效率、效益”四个关键词，其中一个或多个关键词就构成了审计的基点，基点如“根”，由驱动因和需求决定，进而决定审计项目长出什么样的“树”。对被审计对象、被审计内容按照一定架构、逻辑进行分解，按照专家经验或审计模型，在分解出来的“树枝”上确定重点和关键，投入资源，产出成果。内部审计从来不是可以关起门来做的事情，其成果最终的效用有客观性，问题质量高，效用就会好，也有一定的主观性，问题的呈现与表达要充分考虑到“相关人员”，其接受和认同度，此为呈现的技术。

2.2 在内部审计方面，我们的储备

03

数字化审计

3.1 内部审计数字化平台

在内部审计数字化领域，我们的观点是，内部审计在线化、智能化是适应审计对象信息化、数字化环境的必然和唯一选择；是解决外部监管要求的全面性、覆盖度以及日益增长的管理层需求的必然和唯一选择。

时效性、效率、效果是内部审计在未来一个时期内追求的目标，在线化、智能化是实现的手段，在线化可以解决时效性的问题，“智能化”可以解决部分效果问题，在线化、智能化同时会大幅提升效率。

内部审计的核心工作涉及复杂判断，包括人工智能在内的新技术难以短时间内替代专家工作。未来相当长的一段时间内，内部审计的智能化之路会在两个方向上前进，一是辅助专家的系统。建立和完善辅助专家工作的“智慧系统”， 智能化之路主要是“工具”和“手段”之路，延展专家的“手和眼”，把专家从重复劳动中解放出来，让专家的“脑”专注于复杂判断，包括风险、损失判断，模型建立等。这需要根据公司的业务对人工执行的底稿和机器操作的模型进行定制化设计，在内部审计这个领域，公司对人机辅助系统需要持续投入，同时也要对内部审计部门的专家持续培养，很多公司重视对“机”的投入，而忽略对“人”的培养，二是局部的或某些环节的“工具”，以提升效率为主，兼顾效果与时效性，如对资金的风险监控、对采购或销售行为的风险监控，以及一些辅助到专家工作的工具。

我们给到每一个客户的建议是，要着眼于顶层规划，对内部审计智能化、智慧化，要根据公司所处的阶段、监管及治理层、管理层的需求，以及公司业务及财务系统的数据集成情况进行适当前瞻性设计；要着手于分步推进，内部审计属于监督体系，每一步走的稳健很重要，稳健的基础是每一步都有成果；不要去做“包罗万象”大系统，大系统投入大、周期长，笨拙，效果体现慢，不能快速适应变化及趋势；要去做“灵活适配”的微应用，微应用适应性好，不依赖于标准化系统及高质量数据，可工具化，积少成多为审计平台。

在2021-2022年，我们对若干家大型企业集团进行了内部审计数字化的调研，调研结果支撑到我们的研究结论，我们根据调研情况完成了内部审计平台智慧化设计（咨询）方案，同样，在2022年，我们向客户交付了第一款我们设计并实施的内部审计数字化平台。

3.2 数字化（全量）审计

数字化审计，于我们，是长出来的，又经历诸多项目，我们才能在数字化审计领域保持领先。

我们理解审计面临的困境，基于项目实践，我们总结、提炼了数字化审计的原理与操作，提出了“可见即可得”、“预期原则”、“一致性原则”、“自相似”等全量审计的四个原则，且在财务报表审计、内部控制评价、舞弊审计及其他内部审计等领域有丰富的实践案例，在各相关领域，有细分领域的方法论和案例积累。在内部审计领域，除了执行全量审计项目向客户交付工作成果以外，在各专项审计方面，除了提供要求的专项审计报告外，我们还向诸多客户提供过全量数据分析报告，通过数据挖掘定位舞弊迹象，定位管理及经营问题，定位内部控制问题等，涉及行业包括互联网、分销、贸易、粮食、制造业等。

针对数字化审计，大家会有很多疑问，包括我们的数据基础不够好，数据质量不够高，怎么办？数字化审计或全量审计的基础需要电子数据，当然，质量越好，效用越好，但对于质量不够好的数据，我们既可以通过数据挖掘工具挖掘出管理和内控问题，也可以对验证为可信赖的数据进行多角度的审计，可得出很多有意义的结论。

数字化审计集合了业务专家、数据专家和IT专家的智慧，属于“多兵种攻一山头”，且借助于科技化的工具，相关成本的大幅下降，可以多种方法、多角度进行挖掘，所谓“以冗余保证信任”。

数字化审计解决的最大问题是我们可以做到把全部交易分为两类，一类是有问题，一类是没有问题，不需要任何的推断，这是巨大的进步。

3.3 我们的储备

信永中和专项审计业务线自2016年成立，即定位“通过审计找问题”和“通过咨询解决问题”，历时六年积累，致力于把项目案例化、案例方法化，方法产品化，已经形成全覆盖的服务能力，对难度颇高的领域与复杂行业也有丰富的技术储备和人力储备。

作为专业服务业，我们一直践行，不但要通过好的专业能力提供高品质的服务，还要帮助内部审计部门建立持续的影响力，才能站得稳，走的远。

成立六年来，我们一直致力于为客户提供客户可感知的价值感强、高品质的交付，总结经验，我们发现，价值感、高品质的专业服务来源于两个因素，一是好的方法论，好的技术储备，好的专业能力；二是好的团队，好的团队最关键是价值观、文化和氛围，我们一直要求团队用最“笨”方式做事情，不讨巧，认认真真，踏踏实实做事情；其次好的团队要能去践行好的方法论，两者缺一不可，合璧才能是真的好。一个人可以做好一个项目，也可能在一段时间内做好几个项目，但很难一直做好项目，而好的团队是用价值观、文化和氛围铸底，以方法论为基，可以持续的交付客户可感知的高价值感项目。

在过去的两年，我们在兼顾需求升级市场的同时，也一直希望为更多客户提供高品质服务，随着案例与方法论的积累、专业团队的成熟、数字化工具的使用及精益项目管理，我们已经有能力为更多客户提供高性价比的服务，同比而言，在以中小型服务机构为主要参与者的市场中，以我们的技术储备、管理和执业能力而言，服务品质要更高，成本也会有一定的优势。

专业服务业的“根”在客户，近几年，我们一直倡导并践行，把客户迎进来，我们自己走出去，分享、沟通、交流、互动，相互赋能，共同打造信任、口碑和影响力。

来源：信永中和数智