内部审计、政府审计和办公室审计被称为三大审计。对于一般的商业实体，他们通常只面对内部审计和公司审计。公司审计通常由上市公司年报要求或由合资公司董事会安排。当一个企业达到一定规模或有一个合资企业实体时，它将有审计需要。

提出了内部审计的要求，一方面是外部审计的要求，另一方面是管理层自身监督的要求。但是，内部审计部门成立后，3-5人的小团队和8-20人的大团队没有上限。而团队能解决什么问题，或者团队能创造的价值是否大于团队自身的维护成本，已经成为老板在设立部门时首先要考虑的问题。换言之，老板愿意对那些似乎是自己的经理们可能发生的错误或欺诈做出反应而进行的投资。

以下是我对内部审计部门的一般业务和价值的看法：

子公司业绩报告是否虚假，重大利益是否外流，购买力是否寻租，销售是否借货，生产是否指定用料，研发过程是否过度，设备是否经常外委维修，对与外部有联系的高风险业务，可以采取专项审计的形式进行检查。检查中发现的大多数问题可能是控制不足。但是，对这些业务单位的威慑和监督压力，可以使它们不敢轻举妄动。

内部控制的应用是每个业务单元的业务，而内部控制的评价则是董事会的职责，一般由审计部门承担。控制力强，失控力弱，失控就是混乱。如果说一个公司的管理松散，到处流血，很大程度上是由于缺乏内部控制评价。内部控制是一套围绕风险的方法论。如果应用不当，可能出现“一管死一放乱”的情况。我常说，没有内部控制，没有审计。在控制不完善的环境下，无法确定证据是否丢失。内部控制较好的团队不会害怕审计，因为所有的业务流程都有清晰的逻辑和完整的证据链支持。

说内部控制要说风险管理。风险管理是一个更大的范畴，注重全面性。当资源满足时，可以引导公司进行全面的风险管理。

大规模购销招标需要集体决策。大型企业通常将管理（流程设计）和管理（流程执行）分开，以防止欺诈。直接责任部门太近，财务部门对业务的前端情况不是很了解。审计部门相对独立、日常监督，承担这项工作是一种合理的安排。

如果说审计业务是“面对面”的，那么反欺诈就是“点对点”（本文的说明是描述警察系统预防内部犯罪的镜头）。欺诈动机、机会和理由的三段论已经成熟。机会可以通过内部控制关闭。良好的内部控制确实可以关闭机会窗口，但完全关闭的成本是巨大的。我相信没有一家企业能承担风险暴露。然而，对动机（哪些问题或利益通过这样做得到了解决）和理性（别人这么做时我感到放心）的管理，则有赖于一套特殊的方法，如申诉信箱、道德引导、先进示范、奖惩宣传、文化培训、接待标准等。

由于存在完整的方法体系和标准的风险评估和应对控制体系，内部审计团队通常可以对缺乏管理的业务组织或新成立的独立组织（如新成立的子公司）提供完整的知识介绍（体系和形式），发挥优秀的管理咨询作用。