职责定位:不只是“查账的”,更是“守门人”
说起内部审计负责人的职责,很多人第一反应就是“查账”。这没错,但远不止于此。根据《公司法》第57条和《审计署关于内部审计工作的规定》,内审负责人对董事会(或审计委员会)负责,核心职责是“独立监督、评价和改善单位的经济活动”。说白了,他得站在公司全局的高度,既要当“吹哨人”,也要当“参谋长”。我记得2018年给一家制造业企业做内审体系建设,老板当时跟我说:“李老师,你就帮我盯着财务别出岔子就行。”结果我们做穿行测试时发现,他们生产线的领料流程能“绕”过库存系统,车间主任带着人虚报损耗,半年就贪了80多万。后来老板感慨:“原来内审不光是查钱,更是堵管理漏洞啊!”
.jpg)
从法律层面看,内审负责人的职责有“三层楼”。第一层是基础监督,比如财务收支的合法性、会计信息的真实性,这是《会计法》要求的“底线”;第二层是合规管理,确保公司经营活动符合证监会、交易所的监管要求,尤其是上市公司,年报里的“内部控制重大缺陷”可不能随便写;第三层是价值创造,这可不是空话。我去年接触的一家新能源企业,内审团队通过分析研发投入的产出比,发现某个电池项目的技术路线性价比太低,建议砍掉后,公司避免了3000万的无效投入。所以说,内审负责人得从“事后查账”转向“事前预警、事中控制”,这才是现代企业需要的“战略伙伴”。
还要强调一点:独立性是内审负责人的“命根子”。如果财务总监兼着内审负责人,或者内审人员工资由总经理发,那监督就成了“左手查右手”。我们帮企业设计内审架构时,会明确要求内审负责人直接向董事会下设的审计委员会汇报,连CEO都不能随意干预。就像给审计部门装了“防火墙”,这样才能保证结果客观公正。毕竟,内审要是被“拿捏”了,那和没设内审也没啥区别了。
监督范围:从“钱袋子”到“全链条”
内审负责人的监督范围,很多人以为就盯着财务报表。大错特错!现在的内审早就不是“账房先生”的活儿了,得覆盖企业运营的“全生命周期”。拿股份公司来说,从注册登记时的出资验证,到日常的生产销售,再到并购重组、破产清算,每个环节都得过一遍“筛子”。我2015年遇到过一个案例,某科技公司注册时股东用专利技术出资,内审负责人没做技术价值评估,结果后来发现专利根本不值那个价,股东变相“抽逃”了资本,最后公司被处罚,审计还被证监会点名。所以说,监督范围的第一站,就是“源头”——注册环节的合规性。
日常运营环节更是“重灾区”。采购、销售、生产、人力资源……每个部门都可能藏着“猫腻”。比如采购,内审不仅要查“有没有吃回扣”,还要看“招标流程合不合规”“供应商资质过不过关”。我之前带团队给一家零售企业做内审,发现他们的生鲜采购全是“指定供应商”,价格比市场高30%,一查才知道采购经理的亲戚开了这家公司。内审负责人就得把这些问题揪出来,形成“采购风险清单”,推动公司建立“比价机制”和“供应商黑名单”。销售环节也一样,不仅要查收入确认合不合规(比如有没有提前确认收入),还得看“渠道返利”有没有乱发,“坏账计提”够不够充分。说白了,就是要把“业务流”和“资金流”对上,不能让业务部门“自说自话”。
战略层面的事,内审负责人也得掺和。现在企业搞并购、投新项目,动辄几个亿,要是拍脑袋决策,很容易“踩坑”。我2019年参与过一个制造业企业的并购项目,内审团队提前介入,发现目标公司的“专利技术”其实快到期了,而且核心客户依赖度超过80%,并购风险极大。后来公司调整了收购方案,少亏了一个多亿。这就是内审的“战略护航”作用——不仅要看“账对不对”,还要看“路对不对”。还有投资管理,内审得跟踪项目的“投后效益”,看看和当初的商业计划书差多少,是市场变化了还是执行不到位,及时给董事会“打补丁”。
最后别忘了“信息系统”这块。现在企业都搞数字化,ERP、CRM、财务系统……系统要是出问题,比人犯错还可怕。内审负责人得监督“系统权限管理”是不是太松(比如操作员能随便改数据),“数据备份”做得怎么样,“网络安全”有没有漏洞。我去年给一家物流企业做内审,发现他们的运输系统权限混乱,调度员能随意修改运单金额,结果有人通过“虚增运费”贪了200多万。所以说,数字时代的内审,得懂点“IT审计”,把“系统关”守好。
报告路径:直通董事会,别“绕弯子”
内审负责人的报告路径,直接决定他的“话语权”。要是向总经理汇报,那发现问题可能被“压下来”;只有向董事会(或审计委员会)直通,才能确保“上达天听”。我2009年刚入行时,跟过一个老审计师,他跟我说:“小啊,内审报告就像‘急诊电话’,拨错号码人就没了。”这句话我记到现在。比如上市公司,根据《上市公司治理准则》,内审负责人必须定期向审计委员会报告,重大事项还得“即时报告”——像财务造假、重大内控缺陷,这种事耽搁不起,24小时内必须上会。
报告的“内容”也有讲究。不能光说“有问题”,得说“是什么问题”“为什么会出现”“怎么解决”。我见过一些内审报告,通篇都是“采购流程不规范”“费用报销不合规”,跟“流水账”似的,董事会看了都不知道该咋办。正确的做法是“问题+原因+建议+责任单位”。比如去年给一家建筑企业做内审,发现“工程分包结算超预算30%”,报告里就得写清楚:超预算是因为“没有引入第三方造价审核”(原因),建议“建立分包结算双审机制”(建议),责任单位是“成本管理部”(责任单位)。这样董事会才能“对症下药”。
报告的“频率”也得把握好。日常问题可以出“专项报告”,重大风险得“随时报”,年度还得有“全面报告”。我带团队做内审时,会搞“月度简报+季度专题+年度总结”:月度简报报“苗头性问题”(比如某部门招待费连续两个月超标),季度专题报“重点领域风险”(比如销售返利的合规性),年度总结报“整体内控水平”和“改进建议”。这样董事会既能“抓重点”,又能“看全局”。还有一点很重要:报告必须“留痕”,邮件、签报、会议纪要……万一将来扯皮,有据可查。
保密性是报告路径的“底线”。内审看到的很多信息都是“商业机密”,比如并购谈判细节、核心技术数据、高管薪酬。我2017年处理过一个案例,某企业内审负责人把“供应商低价名单”发给了自己的亲戚,导致竞争对手抢订单,最后被公司起诉。所以说,内审负责人得签“保密协议”,报告只能给“该看的人看”,哪怕是董事长的秘书,也不能随便传。保密不是“不作为”,而是“负责任”——只有信息安全,监督才能有效。
风险管控:从“救火队”到“防火墙”
内审负责人的核心价值,不是“出了问题再查”,而是“提前把火苗掐灭”。这就得靠“风险管控”。现代企业风险太多了:市场风险(比如原材料涨价)、财务风险(比如现金流断裂)、法律风险(比如合同纠纷)、声誉风险(比如产品质量问题)……内审负责人得像个“风险雷达”,把这些风险都“扫描”出来,再“分类分级”。我2013年给一家化工企业做内审,他们当时只关注财务风险,结果因为环保不达标被罚款500万,还上了“黑名单”。后来我们帮他们建了“风险清单”,把“环保合规”放在了最高优先级,第二年就通过了ISO14001认证,还拿到了政府补贴。
风险识别之后,得“量化评估”。光说“风险大”没用,得知道“有多大”。我们常用的方法是“风险矩阵”:横轴是“可能性”(1-5分,1分几乎不可能,5分很可能),纵轴是“影响程度”(1-5分,1分影响很小,5分灾难性),得分越高的风险越要优先处理。比如某企业的“应收账款逾期”问题,可能性4分(客户经常拖款),影响程度5分(占营收30%),得分20分,就是“红色高风险”,必须马上解决。内审负责人就得推动业务部门成立“清欠小组”,制定“回款计划”,每周跟踪进度。
光识别和评估还不够,还得“制定预案”。就像天气预报说“台风要来”,你不能光说“要下雨”,得说“准备多少沙袋”“转移多少人”。我2020年疫情期间给一家餐饮企业做内审,发现他们“现金流只能撑3个月”,风险等级“极高”。我们帮他们做了“现金流应急预案”:一是砍掉20%的低效门店,二是和房东协商“减租”,三是推出“预制菜”外卖增加收入。后来企业撑过了最难的时期,还逆势开了5家新店。所以说,预案不是“纸上谈兵”,而是“救命稻草”。
风险管控还得“动态调整”。市场在变,风险也在变,不能“一招鲜吃遍天”。我去年给一家电商企业做内审,他们之前的风险清单里没有“直播带货合规风险”,结果因为主播“虚假宣传”被罚了200万。后来我们把“直播话术审核”“主播资质管理”加进了风险清单,还搞了“月度风险复盘会”,看看哪些风险降低了,哪些又冒出来了。内审负责人就像“园丁”,得天天“除草施肥”,不然“风险杂草”就长起来了。
整改落实:查而不改,等于白查
内审报告发出去,只是“半程”,整改落实才是“终点”。我见过太多企业,内审问题年年提,年年犯,最后成了“老大难”。内审负责人就得像“监工”,盯着问题“闭环”。怎么盯?第一步是“建台账”。每个问题都要有“编号、问题描述、责任单位、整改期限、整改措施、完成情况”,就像“待办清单”一样。我2016年给一家国企做内审,他们之前的问题都记在笔记本上,结果“丢了本子,忘了整改”。后来我们做了“整改台账电子化”,责任单位签字确认,到期自动提醒,整改率从60%提到了95%。
整改过程中,内审负责人得“跟踪进度”,不能“等结果”。比如某个“采购流程不规范”的问题,责任单位说“下个月改”,你得定期问:“招标制度修订了吗?”“系统权限调整了吗?”“人员培训了吗?”我带团队做内审时,会搞“周跟踪、月通报”:每周给责任单位发“整改提醒函”,每月向审计委员会汇报“整改进展”。有一次,某部门负责人说“忙,没时间改”,我们直接把“整改延迟”写进了月度报告,结果第二天他就带着团队来“加班加点”了。所以说,整改不能“软绵绵”,得有点“压力”。
整改完成后,还得“验收评估”。不是看“报告写了什么”,而是看“实际做到了什么”。比如“费用报销合规”问题,整改措施是“加强培训”,那你就得看“培训签到表”“考试卷子”,还得抽查“报销单据”,看看有没有“明显违规”。验收不合格的,得“返工整改”。我2018年给一家医药企业做内审,他们整改“学术会议费合规”问题时,只是发了“通知”,没做培训抽查。我们验收时发现,还是有“虚列会议费”的情况,最后要求他们“重新培训+全员考试”,这才算过关。
最后要“问责追责”。对于那些“屡教不改”“故意违规”的,不能“高高举起,轻轻放下”。我2021年处理过一个案例,某企业财务经理“指使下属虚增费用”,内审发现后,他找各种理由“拖延整改”,还威胁审计人员“别多管闲事”。我们直接向审计委员会汇报,最后财务经理被“降职处分”,还扣了半年奖金。问责不是“找茬”,而是“立规矩”——只有让违规者“疼”,才能让其他人“怕”。当然,问责要“实事求是”,不能“一刀切”,区分“无意失误”和“故意违规”。
专业能力:既要“懂业务”,也要“会沟通”
内审负责人不是“天生的”,得“练内功”。专业能力是“敲门砖”,没有这个,说话都没底气。首先得“懂财务会计”,这是基本功。比如“收入确认”原则,你得知道“什么时候确认金额”“如何判断履约义务”;“资产减值”你得会算“可收回金额”;“关联方交易”你得识别“关联方关系”。我2010年刚当内审负责人时,因为“合并报表”没搞明白,把子公司的“超额亏损”没抵消,结果被财务总监“怼”了一顿,后来我啃了《企业会计准则第33号》,才算补上了短板。
光懂财务不够,还得“懂业务”。不同行业的“风险点”不一样,制造业关注“生产成本”,互联网关注“数据安全”,房地产关注“资金链”。我2019年给一家互联网企业做内审,一开始用制造业的“成本审计”方法,发现“获客成本”太高,但业务部门说“行业都这样”。后来我学了“用户生命周期价值(LTV)”模型,发现他们的“LTV/CAC”(客户生命周期价值/获客成本)只有1:2,远低于行业3:1的标准,这才说服他们优化“广告投放策略”。所以说,内审负责人得“钻”进业务里,不能当“门外汉”。
沟通能力更重要。内审是“得罪人”的活儿,不会沟通,寸步难行。你得“用对方听得懂的话”说问题。比如对业务部门,别说“你违反了内控第5条”,要说“这个流程会让公司多花20万,还可能被税务局罚款”;对高管,别说“你们部门风险高”,要说“如果不解决这个问题,可能会影响年度业绩”。我2014年遇到一个“硬茬”部门经理,第一次沟通时他拍桌子说:“你们审计部算什么东西?”后来我带着团队做了“流程优化方案”,帮他们把“审批时间”从3天缩短到1天,他才说:“原来审计不是来挑刺的,是来帮忙的。”所以说,沟通不是“妥协”,而是“找共识”。
还得“会技术”。现在都是“大数据审计”,光靠“翻凭证”不行了。得会用“ERP系统”提取数据,用“ACL”“IDEA”做数据分析,用“Python”写脚本抓取异常。我去年给一家银行做内审,用“关联规则分析”发现“同一身份证号开了5个信用卡,而且都在不同网点”,顺藤摸瓜揪出了一个“信用卡套现”团伙。所以说,内审负责人不能“抱着老本不放”,得“拥抱科技”,不然就会被“时代淘汰”。
团队管理:一个人打不了“天下”
内审负责人不是“孤军奋战”,得带好团队。团队建设是“基础”,没人干活,再好的想法也落不了地。首先得“配齐人手”,不能“凑合”。一般来说,内审团队得有“财务审计岗”“业务审计岗”“IT审计岗”,大企业还得有“合规审计岗”。我2017年给一家500强企业做内审咨询,他们之前只有2个审计人员,还是财务出身,结果“IT审计”做不了,“业务审计”也浮于表面。后来我们帮他们招了“IT工程师”“供应链审计专员”,团队战斗力立马提上来了。所以说,团队结构得和“业务需求”匹配。
人员能力得“持续提升”。内审这行,政策、业务、技术都在变,不学习就跟不上。我们团队每年至少搞4次“内部培训”,每次2小时,主题可能是“最新审计准则”“行业风险案例”“数据分析工具”。我还鼓励大家考“CIA(国际注册内部审计师)”“CISA(注册信息系统审计师)”,公司给报销考试费和培训费。去年有个新来的审计员,刚来时连“穿行测试”都不会,经过半年培训,独立完成了“研发项目审计”,报告还被董事会表扬了。所以说,培训不是“成本”,而是“投资”。
绩效考核得“科学合理”。不能只看“发现了多少问题”,还要看“解决了多少问题”“有没有创造价值”。我们用“平衡计分卡”考核审计团队:财务指标(比如整改率、审计成本)、客户指标(比如业务部门满意度、管理层评价)、流程指标(比如审计计划完成率、报告质量)、学习成长指标(比如培训时长、证书获取)。我2022年调整了考核方案,把“业务部门满意度”权重从20%提高到40%,结果审计人员不再“只挑毛病”,而是主动帮业务部门“出主意”。所以说,考核是指挥棒,往哪指,团队就往哪走。
还得给团队“撑腰”。内审人员“得罪人”,难免被“穿小鞋”。我2015年时,审计员小李发现“销售总监”虚报业绩,销售总监就找老板说“小李不配合工作”。我把“审计证据”摆出来,跟老板说:“如果我们不查,公司年报会出问题,到时候证监会查下来,谁来负责?”最后老板支持了我们的决定,还表扬了小李。所以说,内审负责人得“敢担当”,给团队“挡子弹”,不然没人敢“说实话”。
.jpg)
.jpg)
.jpg)
.jpg)