别再忽略!内部审计不查明问题根本原因,谈何建设性建议
- 2020-08-08 08:00:00
- 理查德·钱伯斯 / 文;陈国华 / 译 转贴
- 1348
原标题:深挖审计发现的根本原因
新冠大流行对所有组织都产生了显著影响。由于新冠大流行和对新冠大流行的蔑视,引发的控制弱点、代价高昂的失败、新的风险暴露等几乎每天都见诸报端。
在此过程中,的确有些组织作出了令人钦佩的反应。这些组织调整业务流程、应用新的技术,对最初的社交隔离做出了灵活的反应,确保了组织的可持续性发展。他们兼顾了经营业务的创造性和企业社会责任两个方面,为自身安全度过这场公共卫生危机创造了条件。
在这次危机中,内部审计也充分证明了它的价值。IIA的调查发现,为应对新冠大流行,内部审计人员正在适应组织的需要,在更新风险评估和修订审计计划方面,积极扮演非传统的角色,体现出值得称道的灵活性。
即便如此,我们还必须注意到,内部审计的上述行动,往往是在信息有限和考虑短期目标的情况下作出的。事实上,在新的风险和挑战以极快的速度涌现时,在随时处于风暴威胁下,长期战略很容易被推迟。
在与新冠大流行相关的风险领域里,内部审计可以发挥确认和咨询作用的清单很长:危机规划、业务连续性、网络安全、第三方关系、员工健康和生产效率等等。当内审人员匆忙响应组织需要时,进行现场评估的能力可能是孤立的或有限的,内部审计工作的质量可能会受到损害,这是我们必须考虑的。对内审工作质量最显著的威胁是,内部审计人员未能深入挖掘和揭示控制失败和弱点的根本原因。
几年前,我写过一篇题为《良好内部审计关注的是根本原因而不是细枝末叶》的博文,指出了肤浅审计发现的愚蠢之处。今天看来,其中的许多观点在今天仍然适用:
作为内部审计人员,我们经常倾向于在报告中强调我们所观察到的现状。毕竟,风险管理或控制失败的现状更加引人注目。涉及到新的IT系统、关键的合规性需求、关键的财务控制方面的失败,肯定会引起管理层和董事会的注意。内部审计报告中还会就与现状条件相关的影响的深入讨论。毕竟,比描述破碎的东西更耸人听闻的是用破碎的后果来取悦读者。
虽然对现状和后果进行广泛叙述的文章可以成为优秀的散文,但它们往往不是真正增加价值的好内部审计报告。曾经有一位经理,在审计开始的时候,他就恳求我不要回来告诉他他已经知道的事情。用他的话来说,“我不需要别人来这里说我有问题。我知道我有问题。我需要的是有人告诉我如何改进不足。”确实,对他最有帮助的是报告中提出的建议。
审计发现的“五要素”中,标准(应该是什么)、现状(实际情况)、后果(不符合标准导致的结果)和建议,是大家熟知的。还有另一个常常被人忽视、或者最不为人所理解、或许也是最关键的要素,那就是形成当前现状的原因(或根本原因)。如果不了解原因,就几乎不可能提出正确的改进建议。
在那篇博文中,我参考了《美国政府问责黄皮书》中的审计标准,并引用了它的《确定与观察到的现状相关的原因的指南》。
原因,是确定条件(当前的现状)与标准(所需或期望状态)之间差异因素的缘由或解释,也可作为提出纠正行动建议的基础。常见的因素包括政策程序或标准设计不当、执行不当不完整或不正确、或超出项目管理控制的因素。审计人员可以评估证据是否提供了合理或令人信服的理由,是否能够解释导致条件与标准之间的差异。”
文章最后,我根据IIA关于根本原因分析的实务指南——现在是2320标准执行指南的一部分——,向大家演示一个以询问“为什么”为中心的简单过程。
“工人摔跤了。”“工人为什么摔跤?因为地板上有油。”“地板上为什么有油?因为一个零件坏了。”“这个零件为什么会坏?因为更替不及时。”“零件更替为什么不及时?因为采购惯例发生了变化。”“采购为什么发生变化?……”
内部审计人员必须将五个C中的每一个都处理好,即标准(Criteria)、现状(Condition)、结果/效果(Consequence/Effect)、原因(Cause)和纠正措施/建议(CorrectiveAction/Recommendation)。尽管五个C对于有效的报告很重要,但找出根本原因可能更有价值。
针对每一个审计发现的“为什么”,都要有一个清晰而准确的答案。深入挖掘,找出控制弱点和失败的根本原因,必须是我们所有工作的重中之重。如果我们不能最努力地工作,我们便无法承受风险之重。
一如既往,期待大家的真知灼见。
作者:理查德·钱伯斯2020年7月27日,原创翻译:陈国华
- 【最新】中/高级审计师 / CIA 考试培训课程
- 2024实务课程计划:审计/内控/财税/金融(全年计划·收藏)
- 基于公司治理、战略与风险管理的内部审计-培训通知
- “内部审计负责人与后备人才岗位能力”高级研修班培训通知
- 谭老师领衔:新时期内审专业能力提升-实务培训通知(可继续报名)
- 风险管理、内部控制与合规管理-2024研修班-培训通知
- “采购全流程风险管理与审计实务”培训通知
- “工程项目审计与典型案例分析”(线上+线下)培训通知
- “新监管要求下内部审计发展与实践创新高级研修班”暨“2024内部审计高质量论坛” 通知
- “全面预算编制与管理实务” (线上+线下)研修班-培训通知
- “战略视角下的成本管控实务” (线上+线下)研修班-培训通知
- “财务BP核心能力建设” 研修班-培训通知
- “业财融合实务与案例” (线上+线下)2024研修班-培训通知
- 关于举办“新形势下内部审计专业能力提升研修班 暨2024内部审计高质量发展论坛”(线上+线下)的通知
- “高风险业务循环中的内控实务” (线下+线上)培训通知
- 8401 【课件】内部审计实务+案例·精讲
- 7939 【2024高级/初级/中级审计师考试,高审评审培训课程】
- 5104 【课件】审计方案+报告+证据+审计能力建设+经济责任审计培训课程
- 4976 【课件】国有企业审计与内部控制
- 4518 【经济责任审计·准则解读】课程
- 4212 【绩效审计与内部控制审计】培训课程
- 3799 【建设工程全过程审计】培训课件
- 3721 【课件】注册制IPO审计全流程实务详解
- 3705 【EPC工程总承包项目管理与审计实务】培训课程
- 3285 【工程项目招投标风险管理与审计】培训课程
- 3090 【建设项目竣工决算审计】培训课程
- 2704 【CIA 国际注册内部审计师】培训课程+题库+模拟考试
- 5879 《企业内部审计全流程指南》
- 5300 《数字化审计实务指南》高效审计工具书
- 4676 《内控总监工作笔记》 企业内部控制工作法及案例解析
- 4375 《行政单位经济责任审计实务指南》
- 4362 《内审人员进阶之道 内部审计操作实务与案例解析》
- 4310 《内部审计工作法》
- 4284 《企业内部控制流程手册》- 第3版
- 4064 《金融机构审计实务指南》
- 4059 《舞弊审计实务指南》
- 4012 《企业内部控制全流程实操指南》
- 3927 《财务审计实务指南》
- 3895 《企业内控精细化管理全案》第三版
- 3848 《房地产企业审计从入门到精通》模块分解+操作流程+案例解析
- 3827 《企业内部控制基本规范操作指南 图解版》
- 3741 《业内部控制架构设计实操手册》
- 3468 《企业内部审计实务详解》审计程序+实战技法+案例解析