一、 审计的职能定位，也就是我们的目标是什么？

公司需要什么样的审计或者风控。这个问题关系到部门战略定位和未来数年的工作开展，包括配套的组织建设、体系、稽查方法、绩效管理等。我对审计部门的工作理念核心是发现、评估公司业务风险漏洞（特别是涉及重大金额损失领域）、评估业务绩效真实性、尽量从制度流程改良上去控制降低风险，提高内部员工犯案的成本。这个理念和目标在来公司面试时，王总也说得很清楚，我也很认可并愿意为之奋斗。

审计是手段，通过审计后总结问题，治理内控环境，建立风控体系，让体系来运转发现、降低公司经营内控风险，不过于依赖个人的监察能力。我一直坚信，只有知道目标，才能着手具体工作安排。

二、如何做审计

1、首先应该关注高风险流程和业务。通过审计过程披露能挽回多大损失、发现多少重大损失、以及高风险行为，提出问责，至于举报舞弊另案处理。我查阅集团过往审计报告，除广告业务相对做的不错外，其余领域还是没有深入业务去审计，审计工作的价值也较难体现。

高风险行为是原HW审计的一项特色，所谓高风险行为，就是内控已经定义是可能产生舞弊、重大损失的行为，产生了这样行为，虽然暂时没有损失但该行为是严重不受控，未来风险极大。以采购招标来说，如果招标策略是竞争性招标，但后续开标后，业务部门未经批准，继续与某家投标商进行议价，标后未经许可谈判这种行为就是高风险行为。

高风险行为是要被严肃批评的，我们甚至根据以往的审计项目发现，制定不同流程的TOP N高风险行为，业务部门要去重视改善，审计通过稽查来推动改善效果。审计就是要高举高打已暴露的高风险问题，尽量降低公司的运作风险。审计部门就是加强全公司案例化宣传，高调阐明公司反对什么，倡导什么，这是公司内控环境建设的重要内容。

掌门特色的TOP N 审计风险问题是什么，暂时还不明确，这个需要我们今年去总结，以及在项目中去发现。这个工作我觉得可以作为我们今年工作的一个重要内容。

2、 审计项目科学管理。

审计部门最最重要的工作就是做好项目，审计报告是我们呈现给管理层的极为重要的工作成果，所以如何做好审计项目是我们需要不断研讨，审计项目是有其科学管理：（以下用华为审计项目做例）

成立审计部专家评审小组

项目质量是要受控的，一般建议骨干员工设立部门评审小组，集体评价决策具体项目运作。

外勤准备和评审工作

审计项目如果没有适当管理，很容易偏离原有想法。一般正常审计项目，应区分外勤和内勤阶段，其中内勤主要分为在出发外勤前和报告期，大家对于报告期的内勤很重视，花费了大量精力，其实是不对的，因为没有好的审计发现素材，怎么写的好审计报告？我们应该关注外勤前的准备工作，并且做好项目外勤评审工作。根据审计材料获取程度，外勤前准备工作一般占外勤工作时间约一半，期间应对本次审计的高风险行为、疑似问题进行分析，外勤主要是验证为主，辅以其它现场发现。不带问题去现场、没有通过出发前评审就不批准外勤，项目经理是要受批评。

项目中期汇报

根据审计项目情况，一般安排在项目外勤中期进行汇报，对于已发现的问题、困难和下一步工作向评审小组进行汇报，评审小组点评项目组工作，并提供人力和技术、方法等相关资源支持。

3、 审计项目绩效和人员绩效管理

审计工作几乎都是围绕项目来运作，项目的成败关系到部门的成败，部门一切绩效倾向在一线做项目的员工上，干部尤其要以身作则带项目。不同项目组必须要形成良性的竞争氛围，项目结束后必须及时对项目进行绩效评定，评定标准需要客观和明确，也就是我们审计的重点：即该项目挽回多大损失、发现多少重大损失、以及高风险行为披露，以及管理层对审计结论的批示意见。

虽然说审计工作必须强调团队的力量，但必须要肯定项目经理的功绩，项目经理是项目第一负责人，承担主要荣誉和批评，负责项目组成员的工作安排。项目经理绩效考核是整个部门的绩效考核重心，项目经理对项目组员具有考核权，才能让组员接受项目经理工作安排，以及自发去突破挖掘问题。

审评小组在审计项目结束后要对项目绩效定期评定。项目经理考评与项目考评基本一致，项目成员考核由项目经理一评后交上级终评。所有员工绩效可以在本部门公示，当然具体排位就不需要公示。自己的绩效做的怎么样，不用等领导在半年或者全年结束后才知道，看自己的项目绩效就大致能够知道自己的当期绩效是什么。

绩效管理目的就是刺激、鼓励绩优员工冒尖的冲动，渴望做项目，挖掘问题要有狼性和专注力，项目激励可以在即期奖金等方面体现。优秀的审计队伍都是有荣誉感、有战斗力的队伍，硬功铁马，马上功名，马上取。目前部门员工对做项目的激情和挖掘问题的渴望还是不足的，这块需要去加强。一定要在部门内形成一种工作氛围：从领导指派要你做项目，扭转到大家渴望去做项目，一切功名利禄皆来自于此。

4、 审计程序

审计会对高风险流程、部门和公司进行反复稽查，所以长期来说，有一些固定的审计程序还是蛮重要，我们应该不断完善不同项目类型的审计程序，列明稽查方法、风险环节、流程视图、访谈问答、稽查工具等等，让不同背景的审计人员都能快速入手，出成绩。对审计程序的改良维护应是管理者的一项重要工作。

当然现阶段，这个工作还不是部门最急迫的优先问题，王总也已经指示过，我们目前都不熟悉业务，还没有充分暴露和发现公司问题的前提下，审计程序是需要在项目结束后不断完善，目前也不适合先定条条框框。

5、 审计报告和建议

内审报告是给管理层看的，不需要一些外审报告的套话甚至引用一些外审条款保护废话，直接写明背景、审计发现内容和审计建议和反馈等，一般按审计发现问题进行归类阐述。问题不要太多，审计不是内控，应关注大问题，对于没能发现重大问题的审计报告，评审小组应特别关注，是否存在风险没有识别和深入稽查情况，酌情进行评价。几页纸能说明的报告就不要弄十几页，小问题甚至无需反馈，当然审计底稿需要尽量详细。

如果审计报告需要发送给管理层和相关被审业务主管，审计报告尽量简洁。华为的做法是1-2页报告，按问题列明披露什么发现问题、审计的结论、涉案金额或者损失、涉案部门或者个人、审计建议等，绝对不要把审计过程、分析过程写入报告。

审计建议要有深度和可执行、可跟踪性，也不要提过多细节性建议，特别是涉及具体操作动作建议要慎重，我们的建议不一定是业务最适合动作，审计应要与业务部门联合针对审计发现风险提出整改措施。一般来说，是内控来跟踪审计建议的落实，通过制度建设，不断改善业务内控风险。

6、 设立技术等级，打造专家队伍

审计对经验和技能要求很高，所以有必要搭建以技术专家为核心的审计队伍。技术专家可以不是管理者，但只要达到我们要求的专家条件，按相应专家等级给与适当的工薪水平，这个工薪水平甚至可以超过部门管理者。技术等级和管理等级分开管理也是目前大公司普遍人力管理措施。有专业技能的人，不一定适合管理岗，管理岗是被委任的，岗位也是有限，但只要他努力，技术等级是没有任何限制，一样能够得到理想的回报，部门应该鼓励技术专家长期服役，他们才是审计部门的绩效核心。管理者要有管理高级技术专家的胸襟。

华为任职资格的标准，不是学历、以往公司年限经验，最主要是你在本公司内参与项目的经验分析，成功与失败能否分析清楚，对于3级以上专家认证，必须是掌握2种以上跨流程稽查成功案例。一切以你在项目中的表现来认证资格，茶壶里有饺子，但倒不出来，没有成功实践案例，不能被公司认可是专家。

审计部门不需要过多管理干部，需要的是技术专家干部，我们不是普通职能部门，我们是一线战斗队伍，我们重点不是例行化、事务性工作产出。

7、 鼓励经验分享、强化案例总结，

经验以及教训分享，对于审计人员技能提升来说太重要了，我们应该鼓励所有员工在已完成的审计项目中写出经验分享，这也是所有审计人员年度考评、技术等级申报的一项重要内容，特别是项目经理以上核心骨干员工。管理者应对优秀的案例进行宣传和总结，审计培训必须是案例化培训，逐渐形成审计中心的案例库，搭建部门长久建设。

审计是一门逻辑学，正如公司一直强调，说不清楚就是想不清楚，想不清楚就会做不清楚。事后对项目复盘思考，也是联想的文化，优秀审计人员一定是能总结经验教训，整理思路，说得明白的，这样未来才能做的明白。

现阶段，我有时间会整理思维，给大家培训交流如何做好审计项目，如何去发现审计问题。

8、 审计队伍建设和传承

审计队伍组成应该多元化，欢迎来自不同公司、不同业务部门专家加入，当然不适合人也需要有退出机制。我一直认为，缺乏求胜欲望的人是很难在审计领域有所进步，不是每人都能适应审计。审计对能力要求最重要是逻辑性和工作经验，工具方法等都可以很快学习，但职业敏感性很难短期学习。审计思维要发散，不能局限在特定的模板下。

当然多元化组织，一般是已经比较成熟的审计组织，能够提供充分的平台和项目去让新人快速上手，我们目前还不满足这种条件，但未来是可以加强的。我们每个人都有不同背景和不同经历，如何形成合力，稳定队伍，把好的审计方法、理论传承下来，而内部绩效考核又很严格，确实不容易。我想要有一个客观公正的项目评价标准，并且及时对项目进行评估。对于暂时没有好绩效的员工也要及时指出不足，鼓励其不断提高业务水平。现阶段绩效可以以正向激励为主。

三、我对互联网审计工作的实战认识

这块内容，我有实战经历，并有所体会和理解，我会后续单独详细写出来，供大家参考。

四、 打分审计

打分审计我放在最后，这是华为学习IBM审计体系中最有特色、个人认为也是最牛逼的做法，目前在其他公司我还没有听说。所谓打分审计就是通过审计对业务部门的内控风险做量化分数评价，分值偏差的部门需要整改，年底排位最靠后的部门负责人向老板汇报，第二年如果排位继续靠后就下岗。这套方法对于审计工作能力和公司整体内控体系要求都是蛮高的，所以仅提供参考，有时间我也整理出来，供各位领导探讨交流。