公司内部审计做什么？小公司也要每年内审吗

风险警示：内审不是成本，是“买命钱”

干了十几年税务稽查，我经手查死的公司，没有一百也有八十。绝大多数老板倒下的姿势都一模一样：出事前，都觉得“内部审计”是上市公司、大国企才玩的“奢侈品”，是会计事务所为了赚钱编出来的概念。直到稽查局的《税务检查通知书》拍在桌上，罚单数额后面的零多到数不过来，才捶胸顿足地问“为什么没人早点告诉我？”。我告诉你为什么，因为你潜意识里觉得那笔请专业机构做内审的几万块钱是“成本”，能省则省。但在我看来，那笔钱是你企业的“买命钱”。稽查处罚的追溯期最长可达五年，一旦启动，就不是补税那么简单，滞纳金每日万分之五，罚款0.5倍到5倍，涉及偷税漏税金额过大或比例过高的，直接移送公安。去年我还在体制内时，经手一个制造业小企业案，老板为了“省税”，让会计用个人卡收取部分货款，三年下来累积过千万。稽查通过资金流水穿透发现，最终定性为偷税，补税、滞纳金、罚款合计近800万，公司瞬间资金链断裂，老板个人房产被查封。他省下了每年可能不到5万的内审费，却付出了800万的代价，你觉得这笔账，划算吗？

转到加喜财税做合规风控后，我的视角从“事后追查”变成了“事前防火”。我发现，市场上九成的代账公司和所谓的“财税顾问”，只会做账报税，他们的核心逻辑是“以报代审”——把税报了不出错就行。至于你公司内部采购有没有猫腻、销售返点是否合规、股东借款年底是否归还、成本发票是否真实，他们一概不管，也缺乏能力去管。这给企业留下了巨大的“风险敞口”。真正的内部审计，核心就一件事：用第三只眼，系统性排查企业从财务到业务、从表层账务到底层商业实质的所有合规性风险，并在风险变成损失或处罚之前，把它堵上。这不是财务部的自查，那叫“自己查自己，永远没问题”。这是一个独立的、带有“稽查思维”的复核与压力测试过程。

很多小公司老板会反问：“我公司就十几个人，业务简单，有必要每年折腾吗？” 问出这话，就暴露了你对现代监管体系的严重无知。监管的“毛细血管”已经深入到最微小的经济单元。金税四期是什么？是“以数治税”，它打通了税务、银行、社保、工商、海关的数据，你的任何一笔异常交易，在系统里可能都是一个红色的预警指标。小公司因为治理不规范、内控缺失，恰恰是风险高发区。大公司有法务、有风控、有董事会审计委员会，犯错成本高，反而相对谨慎。小公司呢？老板一言堂，财务是亲戚，采购是亲信，这种架构下，“舞弊风险”和“无知违规”的风险是并存的，而且更高。每年做一次内审，不是折腾，是给你这艘小船的底舱做一次全面检修，防止一个漏洞就让整船沉没。

一、查“账实不符”：财务数据是遮羞布？

稽查第一课，就是盘点。不是财务账上的数字盘点，是实打实的“账实核对”。十个小公司，九个存货账实对不上。原因五花八门：货卖了没开票，就不入收入；货到了没票，就不入库存；车间领用物料随意，损耗率堪比黑洞。这些在会计账上，可能被“暂估”、“费用化”等科目暂时掩盖，但经不起任何实质性检查。我曾查过一个商贸企业，账面库存商品价值500万，实际仓库清点下来不到200万，那300万的差额，一部分是已销售未开票未计收入，一部分是虚开发票抵扣的“空气库存”。最终结果是什么？已销售部分，核定收入补税、罚款；虚开部分，涉嫌犯罪线索移送。老板当时就瘫了，他说他的代账会计从来没告诉过他库存要对得上。

在加喜，我们做内审的第一把手术刀，就是切向“账实”。这不仅仅是存货，还包括固定资产、现金、往来款项。我们会突击监盘现金，核对银行流水与账面余额的每一笔差异，特别是老板和股东的个人卡与公司账户之间的频繁往来。很多老板认为“公司是我的，钱随便转”，这在法律上是致命的。股东无偿占用公司资金，超过一年未归还且未用于经营，视同分红，需补缴20%个人所得税。这个坑，我见过无数老板踩进去。我们的内审报告里，会清晰列明所有账实差异，并追溯差异根源，区分是管理漏洞、会计差错，还是有意舞弊，并给出切割风险的整改方案。

更隐蔽的是“表外资产”和“表外负债”。老板用个人名义买的设备、租的厂房给公司用，不入公司账；老板个人或关联方为公司担保的贷款，不在报表体现。这些在平时或许相安无事，一旦涉及融资、并购或税务稽查，全是雷。我们的内审程序包含了对实际控制人及关键关联方的访谈和资料抽查，目的就是把所有潜藏在水下的资产和负债“打捞”上来，评估其对公司合规性和持续经营的影响。这才是真正的“摸清家底”，而不是对着那套为了报税而编制的、修饰过的财务报表自欺欺人。

二、剖“流程失控”：签字审批形同虚设

小公司的流程，往往是老板一张嘴。采购谁说了算？销售折扣谁批？费用报销谁审？如果答案都是“老板”，那恭喜你，你公司的人效低到令人发指，且风险高度集中。如果答案不清晰，那更可怕，意味着流程失控，谁都可以伸手。稽查案件中，大量虚开发票、资金套取、商业贿赂，都源于混乱的采购和付款流程。一个经典的案例：某公司采购员与供应商合谋，长期以高于市场价20%的价格采购辅料，差价双方分成。因为公司没有“采购询价比价”的强制流程和审计抽查，这个漏洞存在了四年，直到供应商内部举报才曝光，直接损失超过百万。

我们的内审，会像绘制作战地图一样，梳理关键业务流程（采购-付款、销售-收款、费用报销、资金管理等），找到每一个审批节点，评估其是否有效。什么叫有效？不是签了字就有效。是审批人是否依据充分的支撑文件（如合同、比价单、验收单）进行审批；是否存在越权审批；审批流程是否被逆序或绕过。我们会进行穿行测试：随机抽取一笔交易，从发起、审批、执行到入账，全程跟踪，看纸面流程和实际操作是否一致。结果往往触目惊心：很多审批只是走个过场，老板看都不看就签；或者业务人员先办事，后补审批单，使得审批完全失去控制意义。

针对流程漏洞，我们不会只给出“建议完善制度”这种空话。我们会提供具体的、可落地的控制点清单。例如，针对采购风险，强制要求超过一定金额必须有三家以上书面报价或进行招标，并将此要求嵌入线上审批系统；所有报销发票必须查验真伪，连号发票、顶格开票等异常票据必须说明原因。我们曾服务一家电商公司，发现其推广费支出巨大但审批混乱，我们协助其建立了“推广渠道效果评估-预算申请-执行核对-付款”的闭环流程，并引入第三方数据核对，当年就识别出并堵住了因渠道方虚报数据导致的每年近50万的资金流失。流程控制省下的钱和避免的损失，远超过内审费用。

三、辨“票据真伪”：发票不是万能护身符

这是老板们最大的认知误区：以为只要拿到发票，就能入账、就能抵扣。在稽查眼里，发票只是证据链的一环，而且是最容易被伪造的一环。我们关注的是发票背后的“业务真实性”。三流一致（资金流、发票流、货物流）是最低要求，现在还要看合同流、物流轨迹、出入库记录。去年某区稽查案例，一批企业集体被查，起因就是接受了大量来自税收洼地的“咨询服务费”发票。这些发票本身是真票，但稽查局要求企业提供具体的服务合同、服务成果、服务人员派遣记录、服务成果应用证明时，企业一概提供不出。最终，这些发票全部被认定为虚开，不得抵扣、不得列支成本，企业补税罚款总额过亿。

我们的内审，有一个专项就是“业务实质性测试”。对于大额成本费用发票，尤其是咨询费、服务费、推广费、材料采购费等高风险票种，我们会追溯至业务源头。比如一笔百万的“技术咨询费”，我们会查：合同约定的服务内容是什么？服务方是否具备相应资质和能力？服务成果报告在哪里？公司内部哪个部门接收并使用了该成果？付款节奏是否与合同约定及成果交付匹配？如果这些问题都回答不上来，这张发票就是一颗定时。我们甚至遇到过，企业用“替票”来冲账，比如将私人消费的餐饮、礼品开成“办公用品”、“会议费”，这在“以数治税”的背景下，通过大数据对行业常规费用率进行比对，异常情况一目了然。

更高级的风险在于对税收优惠的滥用。比如利用核定征收的个体户/个人独资企业给主体公司开票“转移利润”，在CRS（共同申报准则）和“经济实质测试”全球推进的今天，这种简单的税收筹划正在迅速失效。我们在为客户做内审时，会评估其所有供应商和客户的合规风险，对于注册在税收洼地、成立时间短、经营范围与交易内容不匹配的交易对手，会给出高风险警示，并建议客户准备更充分的资料链以应对未来可能的检查。我们的原则是：任何一笔交易，都要假设明天就要接受稽查质询，你今天准备的证据链能否让你全身而退？

四、测“税务风险”：申报表不是终点站

绝大多数代账公司的服务终点，就是完成纳税申报。至于申报的数据是否经得起推敲，申报的税种是否齐全，他们不管。稽查案例中，常见问题包括：增值税收入与企业所得税收入长期不一致；个人所得税申报的工资薪金与社保缴纳基数、实际发放金额对不上；印花税、房产税、土地使用税等小税种漏报；关联交易定价不公允却未准备同期资料。这些问题在平常风平浪静，一旦被风控系统扫描到或被人举报，就是系统性风险。

我们的税务风险内审，是站在稽查员的角度进行“健康体检”。我们会进行全面的税种合规性筛查，并重点进行“税负率分析”和“关键科目波动分析”。将企业的增值税税负率、所得税税负率、毛利率、费用率等关键指标，与同地区、同行业平均水平进行对比。异常偏低，就是高风险信号。我们会深入挖掘异常的原因：是商业模式创新带来的真实低税负，还是隐匿收入、虚增成本导致的？例如，一家生产型公司，其原材料投入产出比远低于行业标准，我们就可能怀疑其是否存在虚开原材料发票或产品已销售但未入账的情况。

对于有关联交易的企业，特别是涉及跨境交易的，我们会评估其是否符合“独立交易原则”，是否面临“受控外国企业规则”的风险。我们曾服务一家有海外子公司的科技企业，在年度内审中，我们发现其向子公司收取的特许权使用费费率偏低，且未准备任何转让定价文档。我们立即预警，并协助其重新进行功能风险分析，参照行业标准调整了费率，并准备了完整的同期资料报告。这项工作，不仅避免了未来可能面临的税务机关特别纳税调整（补税+利息），也为企业未来的跨境资本运作扫清了障碍。税务内审，防的就是这种“平时没事，一出事就是大事”的系统性风险。

五、防“人祸舞弊”：信任不能代替监督

小公司死于“人祸”的比例，远高于死于市场竞争。财务是老板亲戚，就绝对可靠吗？恰恰相反，正因为是亲戚，缺乏正式监督，一旦心态失衡，舞弊起来更肆无忌惮。我稽查过一家家族企业，出纳是老板的外甥女，利用掌管网银U盾的便利，三年间通过虚构供应商、模仿老板签字，陆续挪用公司资金近300万用于个人消费，直到公司要支付一笔大额货款才发现账户没钱。因为信任，公司从未要求她休假、也从未进行过岗位轮换或独立稽核。

我们的内审，包含了对关键岗位（如财务、采购、销售）的“舞弊风险专项评估”。我们会检查不相容职务是否分离（如管钱不管账、采购不兼验收），评估关键岗位人员的生活消费水平是否与其收入明显不符，检查是否有绕过正常流程的紧急或特殊审批。我们会推行“强制休假”和“岗位轮换”制度建议，并在其休假期间进行突击审计。这不是针对个人，而是保护公司和员工的最基本机制。没有监督的信任，是滋生腐败最好的温床。

我们还关注“治理层风险”。比如，股东会、董事会决议是否合法合规？公司章程是否与《公司法》最新要求一致？公司为他人提供的担保是否履行了内部决议程序？这些看似“高大上”的问题，一旦出事，就是公司层面的根本性危机。我们曾为一家拟融资的客户做内审，发现其数年前为关联方提供的一笔担保，未经过股东会决议，在法律上存在重大瑕疵。我们立即协助其补正程序，并与融资方律师充分沟通，避免了在尽调阶段因此被一票否决。内审防“人祸”，防的是从基层操作到顶层设计的所有人为失误与恶意。

六、估“系统漏洞”：数据安全是财富保险箱

现在哪个公司不用财务软件、ERP、OA系统？但小公司的系统，往往权限设置混乱、数据备份形同虚设、甚至用简单密码或默认密码。这等于把公司的财务数据、、商业秘密放在一个没锁的保险箱里。不需要高明的黑客，一个离职员工都可能带走全部。更可怕的是，财务软件的数据被恶意篡改，而你毫无察觉。稽查时，我们不仅看纸质账，更会调取财务软件的底层数据库和操作日志，任何删改记录都无所遁形。

我们的IT内控审计，会检查企业核心系统的权限管理是否遵循“最小必要原则”，是否存在已离职员工账号未及时禁用，敏感数据（如薪酬、成本）的查询和导出是否有日志记录并定期审计。我们会评估数据备份策略和灾难恢复计划是否有效。一个真实的教训：我们一家客户遭遇勒索病毒，财务服务器被加密，对方索要比特币。因为平时没有有效的异地备份，公司一度陷入瘫痪。虽然最终通过技术手段部分解决，但业务停滞了一周，损失巨大。此后，我们将系统安全与数据备份纳入每年内审的固定科目。

对于使用云端SaaS服务（如各类财税、CRM软件）的企业，我们会评估其服务商的数据安全资质、服务协议中的责任条款，并检查公司内部对云端数据的访问控制是否严格。在数字化时代，数据就是核心资产，保护数据安全，就是保护公司的财富保险箱。这项内审内容，是很多传统财务审计完全忽略的，但却是现代企业风险版图中至关重要的一块。

结论：内审是体检，不是殡葬服务

说到底，内部审计是什么？它是一次全面的、深度的、带有“敌情观念”的企业健康体检。它的目的不是在你病入膏肓时给你开死亡证明（那是稽查局和法院的事），而是在你出现亚健康症状、甚至只是生活习惯不良时，就给你拉响警报，开出药方，督促你锻炼和改正。小公司要不要每年做？要，而且更要！因为小公司抗风险能力更弱，一次违规处罚就可能致命。这笔每年几万块的费用，不是支出，是投资，是为你企业这艘船购买的“全损险”。它买来的是你睡得着觉的夜晚，是你面对任何检查时的底气，是你企业能够规范成长、走向更大的未来可能性。

别再被“业务简单”、“没多少钱”、“代账会计说没问题”这种话术麻痹了。代账会计的职责是记录过去，而专业内审的使命是护卫未来。当风暴来临，记录员无法为你掌舵，唯有瞭望员和检修工能帮你穿越惊涛骇浪。希望你的企业，永远不需要体会被税务稽查风暴撕碎的痛苦。那份痛苦，我见过太多，它足以摧毁一个人半生的心血。

加喜财税见解总结

在加喜财税，我们看过太多老板在“内部审计”认知上的致命盲区