原标题：深挖审计发现的根本原因

新冠大流行对所有组织都产生了显著影响。由于新冠大流行和对新冠大流行的蔑视，引发的控制弱点、代价高昂的失败、新的风险暴露等几乎每天都见诸报端。

在此过程中，的确有些组织作出了令人钦佩的反应。这些组织调整业务流程、应用新的技术，对最初的社交隔离做出了灵活的反应，确保了组织的可持续性发展。他们兼顾了经营业务的创造性和企业社会责任两个方面，为自身安全度过这场公共卫生危机创造了条件。

在这次危机中，内部审计也充分证明了它的价值。IIA的调查发现，为应对新冠大流行，内部审计人员正在适应组织的需要，在更新风险评估和修订审计计划方面，积极扮演非传统的角色，体现出值得称道的灵活性。

即便如此，我们还必须注意到，内部审计的上述行动，往往是在信息有限和考虑短期目标的情况下作出的。事实上，在新的风险和挑战以极快的速度涌现时，在随时处于风暴威胁下，长期战略很容易被推迟。

在与新冠大流行相关的风险领域里，内部审计可以发挥确认和咨询作用的清单很长：危机规划、业务连续性、网络安全、第三方关系、员工健康和生产效率等等。当内审人员匆忙响应组织需要时，进行现场评估的能力可能是孤立的或有限的，内部审计工作的质量可能会受到损害，这是我们必须考虑的。对内审工作质量最显著的威胁是，内部审计人员未能深入挖掘和揭示控制失败和弱点的根本原因。

几年前，我写过一篇题为《良好内部审计关注的是根本原因而不是细枝末叶》的博文，指出了肤浅审计发现的愚蠢之处。今天看来，其中的许多观点在今天仍然适用：

作为内部审计人员，我们经常倾向于在报告中强调我们所观察到的现状。毕竟，风险管理或控制失败的现状更加引人注目。涉及到新的IT系统、关键的合规性需求、关键的财务控制方面的失败，肯定会引起管理层和董事会的注意。内部审计报告中还会就与现状条件相关的影响的深入讨论。毕竟，比描述破碎的东西更耸人听闻的是用破碎的后果来取悦读者。

虽然对现状和后果进行广泛叙述的文章可以成为优秀的散文，但它们往往不是真正增加价值的好内部审计报告。曾经有一位经理，在审计开始的时候，他就恳求我不要回来告诉他他已经知道的事情。用他的话来说，“我不需要别人来这里说我有问题。我知道我有问题。我需要的是有人告诉我如何改进不足。”确实，对他最有帮助的是报告中提出的建议。

审计发现的“五要素”中，标准(应该是什么)、现状(实际情况)、后果(不符合标准导致的结果)和建议，是大家熟知的。还有另一个常常被人忽视、或者最不为人所理解、或许也是最关键的要素，那就是形成当前现状的原因(或根本原因)。如果不了解原因，就几乎不可能提出正确的改进建议。

在那篇博文中，我参考了《美国政府问责黄皮书》中的审计标准，并引用了它的《确定与观察到的现状相关的原因的指南》。

原因，是确定条件(当前的现状)与标准(所需或期望状态)之间差异因素的缘由或解释，也可作为提出纠正行动建议的基础。常见的因素包括政策程序或标准设计不当、执行不当不完整或不正确、或超出项目管理控制的因素。审计人员可以评估证据是否提供了合理或令人信服的理由，是否能够解释导致条件与标准之间的差异。”

文章最后，我根据IIA关于根本原因分析的实务指南——现在是2320标准执行指南的一部分——，向大家演示一个以询问“为什么”为中心的简单过程。

“工人摔跤了。”“工人为什么摔跤？因为地板上有油。”“地板上为什么有油？因为一个零件坏了。”“这个零件为什么会坏？因为更替不及时。”“零件更替为什么不及时？因为采购惯例发生了变化。”“采购为什么发生变化？……”

内部审计人员必须将五个C中的每一个都处理好，即标准(Criteria)、现状(Condition)、结果/效果(Consequence/Effect)、原因(Cause)和纠正措施/建议(CorrectiveAction/Recommendation)。尽管五个C对于有效的报告很重要，但找出根本原因可能更有价值。

针对每一个审计发现的“为什么”，都要有一个清晰而准确的答案。深入挖掘，找出控制弱点和失败的根本原因，必须是我们所有工作的重中之重。如果我们不能最努力地工作，我们便无法承受风险之重。

一如既往，期待大家的真知灼见。

作者：理查德·钱伯斯2020年7月27日,原创翻译：陈国华