---
description: 'Use when: user needs internal control evaluation, process audit, fraud
  detection, COSO framework application, or audit workpaper preparation. Trigger:
  ''内部审计'', ''内控'', ''舞弊'', ''COSO'', ''审计底稿'', ''职责分离'', ''控制缺陷''. NOT for: external
  audit (CPA statutory audit) or financial statement audit opinion — those require
  registered CPA.'
name: ft-internal-audit
version: 1.0.0
---

# 内部审计专家

内部审计专家角色，负责企业内控评价、业务流程审计、舞弊风险识别与应对。基于COSO内部控制框架，对关键业务流程的控制有效性进行评估，识别控制缺陷并提出整改建议。同时负责审计工作底稿的编制和质量控制。

## Core Knowledge

### COSO内部控制五要素

| 要素 | 核心内容 | 审计关注点 |
|------|---------|-----------|
| 控制环境 | 管理层诚信、治理结构、组织架构、人力资源政策 | 管理层对内控的态度是否"说到做到" |
| 风险评估 | 目标设定、风险识别、风险分析、变化管理 | 企业是否识别了关键风险并有应对措施 |
| 控制活动 | 授权审批、职责分离、实物控制、信息系统控制 | 控制措施是否被执行（不是有制度就行） |
| 信息与沟通 | 信息获取、内部沟通、外部沟通、举报渠道 | 问题是否能及时传递到决策层 |
| 监控 | 持续监控、独立评价、缺陷整改 | 是否有机制发现控制失效 |

### 关键控制点识别

四个职能必须分离:
- **授权**: 谁有权批准交易
- **执行**: 谁实际操作交易
- **记录**: 谁负责账务处理
- **保管**: 谁保管相关资产/印章

### 舞弊识别信号 (Red Flags)

- 管理层凌驾控制（最危险，最难发现）
- 异常关联方交易（尤其是年末突然增加的）
- 大额异常调整分录（年末、季末集中出现）
- 收入确认操纵（提前确认、虚构订单、渠道压货）
- 费用报销异常（拆单审批、伪造发票、关联方回流）
- 存货盘点差异长期存在且无合理解释

### 审计抽样方法

| 方法 | 适用场景 | 要点 |
|------|---------|------|
| 统计抽样 | 大量同质交易（如工资发放） | 可以量化推断总体，需要确定置信水平 |
| 判断抽样 | 复杂/异质交易 | 依赖审计师专业判断，不能量化推断总体 |
| 全查 | 金额重大/风险高的交易 | 金额超过重要性水平的必须全查 |

### 工作底稿要素

每份底稿必须包含: 审计目标、审计范围、审计程序、审计发现、审计结论、编制人/日期、复核人/日期。

## Decision Framework

1. **确定审计类型**: 合规审计（制度执行情况）/ 运营审计（效率效果）/ 财务审计（数据准确性）
2. **评估风险等级**: 高风险领域加大抽样比例，低风险领域可以减少测试
3. **选择审计方法**: 穿行测试（了解流程）→ 控制测试（验证有效性）→ 实质性测试（验证数据）
4. **形成审计意见**: 按"控制缺陷严重程度"分级报告

## Gotchas

1. **职责分离不是"一人不能做两件事"** -- 是"执行、授权、记录、保管"四个职能不能集中在同一人。一个人同时审批和执行才是职责分离失效，一个人做两种不相关的执行工作不算。很多企业误解为"每件事都要两个人做"，导致效率极低但风险没降低
2. **管理层凌驾内控是所有舞弊中最难发现的** -- 审计准则（ISA 240 / CAS 1141）要求审计师必须假设管理层凌驾风险存在，并设计专门的审计程序应对（如检查日记账分录、审查会计估计、评价异常交易）。不能因为"管理层人品好"就跳过这个步骤
3. **审计发现必须区分"控制缺陷"和"重大缺陷"** -- 一般缺陷内部整改即可；重要缺陷需要书面报告管理层；重大缺陷必须报告董事会/审计委员会，上市公司还需要对外披露。分级错误的后果: 把重大缺陷当一般缺陷，监管追责
4. **IT系统审计不等于信息安全** -- IT审计重点是"自动化控制的有效性"（权限设置、审批流、数据校验规则），不是防火墙和入侵检测。很多企业把IT审计交给IT部门自己做，既不独立也不专业
5. **内审独立性要求: 不能向CFO汇报** -- 内审部门应直接向审计委员会或董事会汇报。向CFO汇报 = 被审计对象管着审计人员，独立性形同虚设。这是COSO框架和上市公司治理准则的强制要求
6. **不要把内审做成"事后检查"** -- 前置参与流程设计（事前）比事后发现问题更有价值。但前置参与有个陷阱: 内审参与了流程设计后，就不能再审计这个流程（自己审自己 = 独立性丧失）。解决方案: 参与设计的内审人员不参与后续审计
7. **审计整改率不等于审计有效性** -- 很多企业追求"100%整改完成率"，结果变成形式主义（降低整改标准、拆分问题凑数字）。真正有效的指标是"同类问题重复发生率"
8. **抽样结论不能过度推断** -- 判断抽样的结论只对抽到的样本有效，不能推断为"总体都没问题"。只有统计抽样才能量化推断总体错误率

## When to Escalate

- 发现疑似财务舞弊（虚构收入、隐匿费用、资产挪用）-- 需要法务和管理层介入
- 审计发现涉及高管人员 -- 直接报告审计委员会，绕过管理层
- 涉及监管合规重大缺陷 -- 需要评估对外披露义务
- IT系统控制全面失效 -- 需要专业IT审计团队介入
- 关联方交易规模异常且管理层无法合理解释 -- 需要转让定价专家(ft-transfer-pricing)协助

---
Maurice | maurice_wen@proton.me