一、采购管理板块(核心风险:利益输送、价格虚高、质量不达标)
|
|
|
|
|
|
自己提需求 + 自己选供应商,易定向选择关联方、抬高价格
|
需求由使用部门(如生产、行政)提,供应商准入、比价由采购部负责,重大采购需成立评标小组(含财务、技术)
|
|
|
自己签合同 + 自己审核,易在条款中埋 “隐形漏洞”(如无质保条款、付款周期过长)
|
采购部拟定合同,法务、财务审核条款合规性(价格、付款、违约责任),审核人需在合同副本签字留痕
|
|
|
自己采购 + 自己验收,易默许不合格物资入库(如缺斤少两、质量不达标)
|
采购部跟进订单到货,验收由仓储部 + 使用部门(或质检部)负责,验收单需双人签字,与采购订单核对一致
|
|
|
|
采购部凭验收单 + 发票提付款申请,财务审核 “订单 - 验收 - 发票” 三流一致,资金支付由出纳执行(审批人≠申请人)
|
|
|
自己评估 + 自己决定准入,易包庇不合格供应商、排斥优质竞品
|
采购部收集供应商履约数据,考核由跨部门小组(使用、财务、审计)负责,淘汰决策需报管理层审批
|
二、生产管理板块(核心风险:浪费原材料、产品质量不达标、产量造假)
|
|
|
|
|
|
自己定计划 + 自己批领料,易多领原材料(私用或浪费)
|
生产计划由计划部根据销售订单制定,领料由车间提申请,仓储部按计划审批(超计划领料需生产总监签字)
|
|
|
自己生产 + 自己检验,易隐瞒质量缺陷(如次品混入合格品)
|
生产车间负责按工艺生产,质检部(独立于生产)按批次抽样检验,不合格品需单独标识、隔离,检验记录存档
|
|
|
|
生产车间将产成品送仓储部,仓储部按 “生产工单 + 质检合格单” 清点数量,录入库存系统,与生产部统计数据核对
|
|
|
自己处置废料 + 自己记账,易隐瞒废料收入(私吞变卖款)
|
生产车间归集废料,仓储部登记废料数量,行政、后勤负责联系回收商(需比价),财务登记废料收入,三方数据核对
|
|
|
自己定工艺 + 自己监督,易擅自调整参数(如偷工减料)
|
技术部制定生产工艺参数,生产部严格执行,质检部定期抽查工艺执行情况(如原材料配比、加工温度)
|
三、销售管理板块(核心风险:隐瞒收入、低价销售、坏账风险)
|
|
|
|
|
|
自己维护客户 + 自己定价,易为留住客户低价销售、损害公司利益
|
销售部开发客户,定价由销售部提建议(参考成本 + 毛利率),财务、管理层审批,重大合同需法务审核
|
|
|
自己录订单 + 自己审批发货,易虚构订单(套取货物)或漏发、错发
|
销售部录入订单,仓储部凭 “订单 + 发货审批单”(销售总监签)发货,发货单需客户签收后回传财务
|
|
|
自己收款 + 自己记账,易坐支现金、隐瞒收入(如收到货款不录入系统)
|
客户付款直接入公司账户(禁止销售人员代收现金),财务登记收款明细,与销售部台账核对(按客户、订单匹配)
|
|
|
自己评估信用 + 自己批赊销,易给高风险客户放账(导致坏账)
|
销售部收集客户信用资料,财务、风控部评估信用等级(如年销售额、过往付款记录),赊销需按等级审批(超权限报管理层)
|
|
|
自己处理退货 + 自己批退款,易虚构退货(套取退款)
|
客户退货由销售部确认原因,仓储部验收退货(是否完好),财务审核 “退货单 + 原销售记录”,退款需财务负责人审批
|
四、财务管理板块(核心风险:资金挪用、账务造假、内控失效)
|
|
|
|
|
|
钱账一人管,易挪用资金后篡改账目(如坐支、白条抵库)
|
出纳负责现金、银行收付、登记日记账,会计负责总账、明细账核算,月末两人核对 “银行对账单 + 日记账”,编制余额调节表
|
|
|
自己审批 + 自己付款,易擅自支付(如给关联方打款)
|
业务部门提付款申请,审批人(按金额分级:部门主管→财务总监→总经理)审批,出纳凭审批单执行支付,严禁 “先付后批”
|
|
|
自己编凭证 + 自己稽核,易编制虚假凭证(如虚增费用、隐瞒收入)
|
会计编制凭证(附原始单据),稽核岗(独立于制单)审核 “单据合规性 + 分录准确性”,稽核后签字,不合规凭证退回重编
|
|
|
自己编报表 + 自己审核,易篡改报表数据(如虚增利润、隐瞒负债)
|
会计编制报表,财务总监审核报表逻辑(如资产负债表平衡、利润表与明细账匹配),重大调整需附说明并经管理层确认
|
|
|
自己申报 + 自己审核,易漏报、错报(如少缴税款、多享优惠)
|
税务会计负责申报(附申报表 + 完税凭证),财务经理审核申报数据(与账载数据核对),重要税种(如企业所得税)需双人复核
|
五、仓储管理板块(核心风险:监守自盗、账实不符、物资损坏)
|
|
|
|
|
|
自己验收 + 自己保管,易收不合格物资后隐瞒(如以次充好)
|
仓储部凭 “采购订单、生产工单” 验收物资(数量 + 质量),验收人≠保管人,保管人按库位存放,录入库存系统
|
|
|
|
领用、发货部门提申请,审批人(仓储主管、使用部门主管)签字,出库执行人凭审批单发货,与系统出库记录核对
|
|
|
自己管实物 + 自己记账,易账实不符后篡改台账(掩盖丢失、挪用)
|
保管人负责实物管理,台账员(独立于保管)登记库存系统,定期(每月)双人盘点(保管人 + 台账员),差异需查明原因
|
|
|
自己识别 + 自己处置,易低价变卖呆滞物资(私吞差价)
|
仓储部提呆滞物资清单(如存放超 3 个月),财务、审计评估处置价值,处置需管理层审批,变卖款需入公司账户
|
|
|
自己保管危险品 + 自己批领用,易违规领用(如私用、外流)
|
危险品由专人保管(持资质),领用需使用部门提申请(注明用途、数量),安全管理部审批,领用后登记使用记录
|
六、人力资源管理板块(核心风险:薪酬舞弊、人事造假、利益输送)
|
|
|
|
|
|
自己招聘 + 自己背调,易招关系户(隐瞒不良记录)
|
招聘专员负责筛选简历、组织面试,背调由 HRBP 或第三方机构负责(核实学历、工作经历、有无违规记录)
|
|
|
自己算薪酬 + 自己审批,易多算薪酬(如给自己、关系户涨薪)
|
薪酬专员根据考勤、绩效数据核算薪酬,HR 经理审核薪酬明细(与考勤、职级匹配),财务负责人审批发放金额
|
|
|
自己评估绩效 + 自己定调薪,易偏袒下属(如违规涨薪)
|
部门负责人评估下属绩效,HR 部门审核绩效流程合规性,调薪由管理层按绩效等级 + 公司规定审批,HR 执行调整
|
|
|
自己管档案 + 自己算薪酬,易篡改档案(如虚增工龄、职级)
|
人事专员管理档案(入职材料、职级变动记录),薪酬专员凭档案记录核算薪酬,定期(每季度)核对档案与薪酬数据
|
|
|
自己办离职 + 自己批结算,易多付离职补偿(如违规支付 N+2)
|
离职手续由 HR 专员办理(工作交接、社保停缴),离职结算(工资、补偿金)由财务审核(按劳动合同 + 公司规定),审批后发放
|
七、IT 管理板块(核心风险:数据泄露、系统漏洞、权限滥用)
|
|
|
|
|
|
自己开发、运维 + 自己管权限,易留 “后门” 或给自己开超权限
|
开发、运维工程师负责系统搭建、故障修复,权限管理由信息安全岗负责,权限设置遵循 “最小必要原则”,定期审计权限
|
|
|
自己录数据 + 自己审核,易录入虚假数据(如虚增订单、篡改库存)
|
业务部门录入基础数据(如销售订单、入库单),数据审核岗(IT 或业务主管)核对数据准确性(与原始单据匹配),错误数据需退回重录
|
|
|
自己备份 + 自己保管,易丢失备份(或恶意删除备份)
|
IT 工程师定期(每日增量、每周全量)备份数据,备份介质由信息安全岗异地保管(如云端 + 本地硬盘),定期测试恢复功能
|
|
|
自己运维 + 自己审计,易隐瞒运维中的违规操作(如越权访问)
|
运维工程师负责日常维护,安全审计岗(独立于运维)定期(每月)审计系统日志(如登录记录、操作记录),发现异常及时上报
|
|
|
自己选服务商 + 自己签合同,易与服务商串通(抬高费用、降低服务标准)
|
IT 部提服务商选型建议(需三家比价),法务、财务审核合同条款(费用、服务范围、违约责任),审批后签订合同
|
八、固定资产管理板块(核心风险:资产流失、账实不符、违规处置)
|
|
|
|
|
|
自己申请 + 自己验收,易买高价资产(或劣质资产)
|
使用部门提采购申请(注明需求、预算),采购部负责采购,验收由使用部门 + 财务 + IT(如设备类)共同负责,验收单签字留痕
|
|
|
自己管资产 + 自己记账,易隐瞒资产丢失(篡改台账)
|
财务部门登记固定资产台账(型号、采购价、使用部门),使用部门负责实物保管,定期(每半年)盘点(财务 + 使用部门)
|
|
|
自己申请维修 + 自己付费用,易虚构维修(套取费用)
|
使用部门提维修申请(说明故障原因),行政、设备部审核维修必要性,财务审核维修发票 + 维修记录,按付款流程支付
|
|
|
自己申请处置 + 自己评估价格,易低价处置(私吞差价)
|
使用部门提处置申请(如报废、变卖),财务 / 审计评估处置价值(参考残值、市场行情),处置需管理层审批,变卖款入公司账户
|
|
|
自己盘点 + 自己处理差异,易隐瞒差异(如丢失不上报)
|
盘点由财务部门牵头,使用部门配合,盘点人≠保管人,差异需查明原因(如损坏、丢失),处理方案报管理层审批
|
九、合同法务管理板块(核心风险:合同漏洞、违规签约、法律风险失控、履约纠纷)
|
|
|
|
|
|
自己起草 + 自己审核,易忽视法律漏洞(如违约责任模糊、管辖地不利)
|
业务部门(如采购、销售)按需求起草合同初稿(含业务条款:价格、履约期),法务部独立审核法律风险(如合规性、争议解决方式),审核意见需书面反馈并留痕
|
|
|
自己审批签约 + 自己保管印章,易未经审批私自盖章(如越权签大额合同)
|
业务部门提签约申请,按权限分级审批(部门主管→分管领导→总经理,大额合同需董事会审批),印章由行政部专人保管,用印时核对审批单,登记用印台账(谁用、用在哪份合同)
|
|
|
自己跟踪履约 + 自己处理纠纷,易隐瞒履约问题(如对方违约不追责)
|
业务部门负责日常履约跟踪(如到货、付款、交货),记录履约异常;法务部负责处理纠纷(如发律师函、诉讼),不直接参与日常履约,避免 “既跟踪又处理” 导致风险隐瞒
|
|
|
自己管档案 + 自己借档案,易私自篡改合同条款、泄露涉密合同(如核心技术合同)
|
法务部负责合同归档(分类存电子 + 纸质档,标注密级),其他部门借阅需提申请(注明用途、借阅时长),法务部审批后登记借阅记录,涉密合同需额外经管理层审批
|
|
5. 外部律师选聘(如专项法律服务) vs 律师服务评估
|
自己选聘 + 自己评估,易与律师串通(如高价聘庸才、隐瞒服务质量)
|
法务部提外部律师需求(如工程诉讼、IPO),采购部、行政部参与比价(至少 3 家律所报价),服务结束后由法务部 + 业务部门联合评估服务效果(如胜诉率、响应速度),评估结果作为下次选聘依据
|
十、工程管理板块(核心风险:围标串标、工程质量不达标、虚报成本、进度延误)
|
|
|
|
|
|
自己提立项 + 自己审核,易虚报项目必要性(如重复立项、超预算立项)
|
工程部、需求部门(如生产部需建厂房)提立项申请(含预算、用途),财务部(审核资金可行性)+ 法务部(审核合规性)+ 外部咨询机构(如工程咨询公司,审核技术可行性)联合审核,重大项目需董事会审批
|
|
|
自己组织招标 + 自己审投标方,易内定中标方(围标串标)
|
招标办(独立于工程部)组织招标(发布公告、编制招标文件),投标单位准入由第三方机构(如造价咨询公司)+ 财务部联合审核(资质、业绩、财务状况),招标办不参与准入审核,避免提前泄露标底
|
|
3. 工程施工管理(承建方、工程部) vs 工程质量监理
|
自己施工 + 自己监理,易隐瞒质量缺陷(如偷工减料、未按图纸施工)
|
施工单位负责按图纸施工,监理单位(第三方,与施工方无关联)全程驻场监理,每日记录监理日志(如材料进场检验、隐蔽工程验收),关键节点(如地基完工、封顶)需监理签字确认方可进入下一环节
|
|
4. 工程量核算(施工方、工程部) vs 工程价款审核
|
自己算工程量 + 自己审价款,易虚报工程量(套取工程款)
|
施工方按月 / 按节点申报工程量,工程部初步核对(是否符合进度),第三方造价咨询机构(独立于工程部)复核工程量(对照图纸 + 监理日志),财务部根据复核后的工程量审核工程款支付,避免 “量价一人审”
|
|
|
自己提变更 + 自己批变更 + 自己算造价,易随意变更(增加成本、拖延进度)
|
施工方、工程部因客观原因(如地质变化、设计优化)提变更申请,变更审批由监理单位(审核必要性)+ 造价咨询机构(核算变更造价)+ 财务部(审核资金)联合审批,变更后需更新合同价款,避免 “变更无管控”
|
|
|
自己验收 + 自己结算,易验收不合格仍通过、虚报结算金额
|
工程部组织竣工验收(施工方、监理、设计单位参与),出具验收报告;工程结算由第三方审计机构(独立于工程部)审计(核对工程量、价款、变更签证),审计结果作为财务付款(如付尾款)的依据,验收不合格不得进入结算
|
补充:通用控制要求(适用于所有职能板块)
- 例外情况审批
因人员不足需临时兼任不相容职责的(如小公司出纳临时兼台账登记),需报总经理备案,且需要限定时间,同时需补充 “双人复核”(如出纳登账后由财务经理复核)。
- 定期检查
审计部门每季度抽查各板块不相容职责分离执行情况(如查采购订单、验收单签字人是否为同一人、财务付款审批与执行是否分离),发现违规及时整改。
- 岗位轮换
关键岗位(如出纳、采购、销售)每2-3 年轮换一次,轮换前需做离岗审计(核查任职期间有无违规),避免长期在岗形成 “利益闭环”。
这份清单,其实不是 “一刀切” 的模板,大家可根据规模调整(如小微企业可简化审批层级,但核心分离项不能省)。
作为审计人员,或者组织中高层管理者,一定要记住,不相容职责分离的核心不是 增加人手,而是用流程把权力拆解开,让每个环节都有监督,从源头减少舞弊风险。
2025年末:审计/内控-实务课程计划
—好内容,顺手点赞·收藏·分享,方便再次学习—
● 文章版权归作者所有,观点不代表内审网立场。部分图文源于网络,已标注作者信息,部分无法查明联系作者及首发来源,旨在促进行业交流共进,仅作互助学习之用,如不便分享,请联系删除。
● 转载内审网原创文章,亦请注明:本文转载自公众号:内审网(ID:neishenwang),并标识作者信息。审计报告 |案例 |方法-投稿:neishenwang@163.com
