浅析内部审计部门的“数据库”

内部审计有确认和咨询两大职能。实施两大职能的载体就有数据，数据是什么，来源哪些？我认为数据来源可以大体上分为两类。

第一类是企业内部数据，主要包括财务资料（证、账、表）、财务预算、合同、制度（或流程）、内审报告、事务所的审计报告、内审简报、风险库等等。内部审计的确认职能大部分是基于内部数据的评价、评估。一个完整的审计流程需要准备和收集相关的数据，一个内审从业者交流说过审计资料的完整性是开展内审工作的难点和重点，正应了那句话“巧妇难为无米之炊”，所收集的审计资料（或数据）就是内审报告的“佐料”，的确内审产品（内审报告）质量的高低也取决于被审计单位资料的完整性。还有一位内审从业者说审计标准是开展内审工作的难点，的确没有标准，内审报告的结论定性就难以确认，甚至会造成同被审计单位的误会。审计的标准都有哪些？法律法规、规章制度、流程、行业规范等等。审计标准是一把尺寸、是下结论的准绳。但有时候可能找不到很合适的标准或者参照，标准有时会是一种职业判断。

第二类数据来源主要包括研究报告（外部的），有一类研究报告是侧重趋势分析、洞察未来的，侧重对市场、运营等方面的把控，可以称之为行业研究报告（比如BCG咨询公司的行业报告等）。第二类报告则与内审职业关联度比较高，比如上市公司内部控制白皮书、上市公司内部控制指数、上市公司的法律风险指数、风控数据库等等。这一类研究报告一般来自管理咨询机构、大学研究机构等，比如四大、甫瀚、迪博等，这类研究报告一般是动态的，定期或实时更新的。第二类数据与内审咨询职能相关。思考：你们单位的审计部门针对企业现状是否提供过专业咨询报告，管理层采纳的情况如何。

取得和整理审计数据是搭建内审部门“数据库”的关键，第二步就是如何利用审计数据，这就用到审计方法—审计抽样和执行分析程序（暂不展开）。大家可以思考以下几个问题？审计抽样的方法有哪些，实际工作中你用到哪几种？审计抽样与审计风险的关系是怎么样的。审计分析程序都有哪几种？实际工作中你常用到哪几种？