企业内部审计外包的风险与防范研究

刘海燕

摘 要：在我国社会经济不断发展和世界全球化经济一体化的大背景下，我国企业对于内部审计的整体质量水平关注愈来愈重视，由于大多数企业自身内部审计存在着审计人员资源有限和专业知识技能不足的局限性，并且审计人员定期培训等费用增加企业成本，所以我国大多数企业选择内部审计外包，这样有利于健全企业内部结构，使企业将大量精力投入企业的拓展和研发中，有益于企业价值的实现。

关键词：企业内部审计；内部审计外包；风险控制

中图分类号：F239.45   文献标识码：A 文章编号：1005-6432（2024）01-0131-04

DOI：10.13939/j.cnki.zgsc.2024.01.032

在当今的全球一体化进程中，随着全球一体化进程的不断加速、信息化技术的飞速发展，公司也遇到了一些组织形式的问题。随着我国国情的变化，我国的企业也开始了全面变革。公司的内部审计部门无法适应公司的要求，而将其委托给专业的会计师事务所和其他有关的中介公司，这一系列问题是值得研究者关注的。

1 内部审计外包概述

1.1 内部审计外包的概念

内部审计外包是指将公司的内部审计工作完全或部分移交给其他的中介公司。我国大多数企业没有内部审计机构，或者内部审计机构缺乏专业内部审计员工。因此，内部审计服务外包是很多企业的选择。

1.2 内部审计外包的主要形式

（1）内部和外部人员共同的内部审计。是指由外部的注册会计师与公司的内部审计联合进行的。尽管在同一项目中开展了审计工作，但根据各自职责的差异，合伙人各自负责各自的职责。通过联合内部审计，增强内部和外部审计之间的交流，确保内部审计工作的高品质，提高内部审计的工作效率。

（2）完全的外包。完全的外包，就是公司没有成立独立的内部审计部门，而是将所有的工作都委托给会计师和其他有关单位。完全的外包，可以减少成立一个专业的审核机构的成本。然而，完全的外包并非完全的外包制。在实行完全外包的情况下，还应当成立一名内部审计主任来监管稽核工作。

（3）辅助型的外包。其将公司的核心业务交给了内部审计，而将非关键的业务委托给其他部门。例如，在稽查工作中，由于各地文化、方言的差异，稽查工作必然会有一定的难度。此时，审核者可以灵活应变，向本地的会计公司求援，并请本地的会计师进行协助。辅助外包可增强公司稽核工作的激励作用和降低成本。

（4）顾问型的外包。顾问型的外包，是指在公司和其他有关单位进行咨询时，该公司及有关单位就公司的设立和人员配置问题提供意见，同时也应积极参加公司的内部审计招募工作，明确潜在的审计危险区域。顾问型外包可以有效地推动公司的内部审计工作。

由于我国的内部审计发展相对滞后，进入21世纪初期，国内内部审计外包仍处在摸索的过程中。在国内，最常见的是整体外包和顾问外包。因此，为了更好地发挥自身的优势，企业管理者通常不设立内部审计部门，将所有的内部审计工作都交给专业的组织，这样可以将自己的核心能力发挥到极致。

2 内部审计外包流程

流程是按次序排列的，或者是两个或更多的业务环节组成一个整体的业务流程，好的业务流程是业务规范化和专业化的最佳经营方式，而制定出合理、规范的审核程序，有利于提升审计的工作效率和质量。内部审计外包分为三个环节：准备、实施和终结，每个环节的审核过程和所涉及的审计项目见图1。

2.1 审前准备流程

2.1.1 主要环节

审前的筹备工作主要有编制审计计划、组建审计小组、开展预审调查、编制审计方案、下达审计通知书。

2.1.2 要点和需求

（1）审核方案：总体上包含年度和工程的审核方案。每年的审计工作是每年一次的审核工作，通常是在内部审核部门领导下进行的。其主要内容有审计目标、审计措施、审计项目和后续审计工作的相关工作。每年的经营目标应与企业主管部门的需求相适应，综合分析企业的重大风险与内部治理的缺陷。

（2）审计团队：审计机构接到审计工作后，按照业务规模、时间要求选聘审计人员，并确定审计负责人，确定审计职责、审计内容、审计时间、审计重点。在挑选审计小组时，要综合考量项目性质、任务复杂等因素，在挑选审核组长和审核负责人时，要综合考量自身的工作态度与工作水平。

（3）预审：预审是审核小组拟定审核计划的一个主要基础。审核人应编制调查大纲，了解被审核单位的基本情况、内部控制设计和运作情况，为编制审核计划提供依据。

（4）编制审计计划：审计计划是由审核人员按照审计计划拟定、审核组长审核、内部审计部门主管下发的具体工程的计划编制。文章研究了审计对象、审计方式和审计过程。为保证审核计划的可用性，审计师在进行审核之前要仔细研究工作流程，搜集相关材料，制订审核计划。

（5）出具审计通知书：审计通知书是指按照审核事项，在进行实地审核之前，由公司出具并向被审核单位发出通知的书面材料。通知的主要内容有审计机构名称、审计目的、审计范围、审计时间、审计机构所需的详细信息等。

2.2 现场审计流程

2.2.1 主要环节

现场审计流程包括现场溝通、测试流程、审计取证并形成审计工作底单。

2.2.2 主要内容和要求

（1）实地沟通：实地沟通包括进驻会谈、审中沟通、成果沟通。入职谈话通常是以审核领导为主导，以相互认识，是顺利进行审核工作的先决条件；而审中沟通是在实地审核过程中，通过与被审核单位之间的交流，以防止与被审计单位的对立；成果沟通主要是内部审计机构与被审计单位管理层就审计基本情况等进行讨论和交流。

（2）检验程序：根据被稽核的所有内部管理体系及运作过程，执行符合性及实时性的评价。

执行一致性检验是对内部控制的有效性进行评估。由于邮储企业交易数量庞大，网点分布分散，仅靠具体的实际检验是不可能实现的。通过对企业的内部控制体系的深入理解，可以从多个角度对其进行评估。

实际检验是为了收集直观的资料进行的一种更加深刻的检验。实务检查是指稽核机构根据内部控制评价与合规检验，按照作业流程、相关账号、原始凭证及档案等方面对特定营运作业进行集中稽核，以求为稽核工作者提供充分的稽核依据。

（3）进行审核和收集证据，编制审核工作草图。审计证据是审计机关在审计工作中运用审计程序获得的信息，是审计事项、审计结论和审计意见的基础。在调查、收集证据时，应当采取基于风险和操作体系的基本依据。

审计工作底单包括审计通知书、审计工作记录、审计日志以及审计工作中所产生的各类工作记录。为保证审核的质量，应设立三次审核审计工作底单，由一审、二审、三审进行审核。

在进行实地审核的同时，还要设立一套定期的审计报表系统，对审核工作中的重大问题向上级主管和被稽核机构通报，使其能够快速反应。

2.3 审计报告流程

2.3.1 主要环节

审计报告的编制工作主要有起草征求意见、征求意见、审核报告、下发整改通知、审计通知、审计决定等。

2.3.2 要点和需求

（1）审计报表。审计报表是审计人员根据审计计划和方案对被审计机构进行审计后，对被审计机构的业务和内部管理是否正当、合法和有效作出的书面证明。审查的主要内容是指出存在问题和产生问题的根源，同时还应提供改进的建议，以及对被审查单位的意见和措施。

（2）审计交换。审计交换主要是征求意见、建议、整改、决定等。审核交流应以问题为中心，进行深入细致地交流。

2.4 后续审计流程

2.4.1 主要环节

后续审计程序主要有搜集被审计机构的反馈、审计的相关资料、确定后续审计实施时限、组建审计小组、制订后续审计方案、下发后续审计通知书、实施后续审计现场、完成后续审计工作。

2.4.2 要点和需求

后续审计是指对被审计单位在收到整改通知时所采用的改正行动和改正结果进行检查。

（1）对被稽核机构的反馈和有关信息进行汇总和核对。要留意审查机构对整改的反馈有没有异议，审查机构对改正的建议不做任何处理。

（2）制定执行后续审计的时限，组建审计小组。在实际工作中，对审计时限的合理确定是确保后续审计工作的重要环节，从实际情况看，对审计单位在审计完成后的半年至一年内进行跟踪审计，可以达到事半功倍的效果。通常，后续审计小组的负责人和主要负责人都是前一个工程的审计人员。

（3）制订跟踪审计计划，发出审计通知。根据被稽核机构的反馈信息和有关信息，审计小组拟定后续审计计划。在进行后续的审计时，要综合考量审计和改正的重要性以及矫正的复杂程度。

（4）执行跟踪审计工作。内部审计工作与执行阶段的工作类似，是对工作进行实地追踪的工作。

（5）编制跟踪审查报告，审查小组在履行了所需的手续之后，将对已经改正或采取的改正措施进行评估。

3 企业内部审计外包的风险

3.1 目标背离风险

内部审计是提高公司的价值和推动其运作的重要手段。通过标准化和系统的方法，内部审计评估和提高风险管理，控制和治理流程的效率，以实现公司的目的。在公司的内部审计外包过程中，中介机构员工会根据合约来审查，对合约规定的部分进行审查，从而降低审核的进度和工作量。

另外，中介机构缺少单位内部审计部门熟悉本单位情况、与本单位休戚与共的资源优势；依靠业务外包这种单次、动态项目、动态人员的工作方法，无法完全实现内部审计长期固定的目标和任务，降低了组织的治理效果，削弱了内部审计的职能，导致内部审计边缘化，使内部审计远离公司的经营核心，无法达到公司的目的。

3.2 公司核心机密容易泄露

一个公司的竞争力来自其自身的价值，其价值表现在三个层面：特色价值、产权资产和隐性知识。因此，要重视品牌的培育和对隐性知识的维护。在内部审计期间，工作人员会对其业务目的及经营模式有所认识，同时也能获得公司的核心秘密。审计人员所保管的审核工作底单，是公司各层次的关键资料，若保管不当或遗失，将会造成公司的核心秘密外泄，进而对公司的竞争地位产生不利影响，削弱公司的竞争能力，对公司的长期发展不利。

3.3 企业内部审计职能缺失风险

首先，公司的内部审计是一个可以随时为公司提供服务的内部审计机关。其次，如果公司将所有的内部审计业务都外包出去，那么就等于没有原来的内部审计，而外部的内部审计业务却可以得到改善。内部审计功能将会降低。随着我国的内部审计工作持续开展，公司对内部审计人员的认识日益加深，公司对内部审计人员的依赖性也与日俱增。最后，由于内部审计业务无法为公司提供高素质的人员培训，会对公司的发展产生不利的影响。

3.4 合同履行风险

在进行内部审计工作的同时，要与外部審计单位订立外聘协议，详细说明并突出有关的安全、机密、风险防范、审核条款、各类纠纷的处理。在条款不清楚的情况下，或一方违反了合约条款，也会有风险。当企业的信息不完全对称时，承包商就很难把握其能力，在实际操作中就很难发挥出职业水准。这会造成外包企业无法达到业绩审核程序的期望，有一定的风险。

4 内部审计外包风险防范对策

4.1 谨慎选择外包审计机构

在对审计单位进行甄别时，不要选用存在重大过错的其他有关单位。询问注册会计师的性格、职业素养，是否有不良习惯。在进行内部审计的过程中，需要在内部进行有效的审核。同时，内外部工作人员进行充分沟通和业务磋商，帮助外部人员熟悉本公司业务，以保证公司内部审计目标的实现。

4.2 公司和外包机构签订保密合同

审查机构的时候，请避免使用其他相关部门。咨询会计师的性格、职业素养，是否存在一些不良的行为。在进行内部审计时，必须对内部进行有效的审查。此外，邮政储蓄、会计公司和其他相关机构的职员也可以咨询外部评价的指导方针，如果在制定了这些指导方针之后，公司或相关机构的工作人员无法进行审查，那么可以减少部分对外审计活动的费用；如果在两年之内没有达到预定的指标，就将停止运作。

4.3 设置外包审计委员会来保证独立性

设置外包审计委员会既可以为审计工作提供参考，又可以使公司内的审计者与其所属单位的审计者进行更好的交流和协作，同时也可以起到调节和促进作用。此外，外部审核理事会也具有监管与管制功能。外部审计委员会能够对会计公司和有关单位进行的独立评价。通过对会计师公司和有关部门的稽核工作进行监管，使每年的财务报表具有客观、公正的特点。另外，外部审核委员会还有一个特权，可以提出聘用或替换外部审计公司，这种特权可以降低管理层与外部审核的冲突，提高内部审核的独立性。

4.4 建立风险控制体系

一是对外部审计的外部风险进行评价。根据企业自身的危险程度，构建一份“内部审计外包风险评价表格”，根据不同的危险程度制定相应的对策，在进行内部审计外包时，如果出现重大的非可控的危险，那么即使外部审核能够为企业创造效益，也无法进行外包。在公司整体策略中，也应该考虑到可以控制的或者可以被接纳的危险。二是可以将契约视为一种风险的转让。契约是对当事人进行法律规制的一个主要基础，只有当双方签署了清晰的协议后，才能确保业务的顺利进行。签约还意味着一个风险的转嫁。在本公司签订的保密协议中，所有的工作都要严格遵守，外部审计机关要对公司的重要文档进行严格的保密，并且要严格的保存。三是制定对涉及机密资料人员的问责机制，将造成的损失降到最低。

因此，內部审计外包并非一蹴而就。由于各行业的差异以及企业的文化背景，如何进行外包既是一个挑战，又是一个机遇。同时，要增强自身的内部审计能力，避免外部审计的潜在危险，使其更好地发挥作用。

参考文献：

［1］肖明婧.关于企业内部审计外包的思考［J］.农村经济与科技，2017，28（21）：172.

［2］李万福，杜静，林斌，等.企业内部审计外包实践调查及发展方略 ［J］.会计研究，2017（8）：81.

［3］黄茜，姚群.企业内部审计外包的风险及其防控探究 ［J］.当代会计，2017（8）：58-59.