作者简介：理查德·钱伯斯，国际内部审计师协会(IIA)的秘书长兼总裁，拥有40余年从事内部审计及相关行业的经验。担任IIA全球总裁以来,领导IIA实施了一系列重大举措,使IIA获得了突出的成绩,会员人数也达到了历史顶峰。钱伯斯还是COSO委员会的理事会、国际综合报告理事会、IIA全球理事会的成员。

特别鸣谢：感谢中国人民银行陈国华老师，长期以来对内审网的支持和信赖，陈国华老师长期坚持翻译钱伯斯先生的作品，并多次第一时间在内审网进行译文分享与发布，陈国华老师的专业水平和分享精神，给内审网平台伙伴留下了深刻的印象，特此鸣谢！

当我还是一名刚刚从事内部审计工作的年轻人时，我总是对自己的报告充满自信，尤其是审计发现和审计建议。因此，每完成一份新的审计报告都成了值得庆祝的理由。但令人沮丧的是，当我进行必要的后续审计时，却总是发现精心拟定的审计建议或管理层行动计划并没有得到执行。毕竟，管理层已经同意了我所提出的纠正措施(或他们自己提出的纠正措施)来纠正我在审计中发现的问题。那么，为什么他们总是不能坚持到底呢?

当后续审计发现“问题没有得到纠正”时，管理层总会找出很多借口:

“我们低估了商定的纠正行动的复杂性。”

“我们没有意识到履行承诺的行动需要多长时间。”

“情况发生了变化，纠正行动不再有效。”

“后来发现，我们没有足够的资源来纠正这些问题。”

“诸如‘狗吃了我们的作业’这样蹩脚的借口，等等。”

后来，我变得害怕后续审计了，因为审计结果太令人失望了。甚至当我成为首席审计执行官(CAE)时，我对后续审计的价值产生了严重的质疑。我发现它们很少能有效利用内部审计资源。毕竟，是对新的、高风险领域开展审计，还是对几个月前我们已经投入资源的领域进行后续审计，这两者哪个对组织产生更大的影响，几乎是一目了然。即使后续审计发现所有问题都得到了纠正，我仍然觉得我有限的资源本可以得到更好的利用。

作为一名政府审计人员，当时我真的没有机会选择是否进行后续审计。因为是否开展后续审计是由我们的专业标准和规章明确规定的。幸运的是，如今IIA的《国际内部审计专业实务标准》为后续审计提供了更大的自由度。审计的重点已从产出(后续审计)转移到结果(适当处理我们报告中的审计发现和审计建议)。

IIA的《标准2500--监督进展》涉及内部审计师跟踪审计发现和审计建议落实情况的责任。它指出：

首席审计执行官必须制订并维护一个系统，监督已通报给管理层的结果的处理情况。

2500.A1 -首席审计执行官必须建立后续程序，监督及确保管理层已采取有效措施，或高级管理层已接受不采取行动的风险。

标准中没有“后续审计”一词。取而代之的是对“后续程序”的关注。IIA在《标准2500》的执行指南中更详细地介绍了如何设计和实现这些程序。在设计这样一个程序时，该指南恰当地强调，内部审计人员应“征求管理层对如何创建有效和高效的监督程序的意见”。执行指南指出，监督过程既可以很复杂，也可以相当简单，这取决于许多因素，其中包括审计组织的的规模和复杂程度。

IIA的执行指南清晰地提供了强制后续审计的替代方案，而过去我们中的许多人一直在努力进行这种审计。它指出:

“……有的首席审计执行官可能选择定期就所有以前年度应当完成的整改情况进行询问，如一个季度。有的首席审计执行官可能选择对重大整改建议的实施进行定期审计跟进以具体评估已经采取的整改措施的质量。还有另一些可能在组织相同领域安排未来的审计中跟进未完成的整改。方法的确定基于已经判定的风险水平，以及可利用的资源。”

正如执行指南所指出的，一些首席审计执行官可能仍然选择执行后续审计，特别是针对先前的发现，这些发现表明组织面临重大风险。我也意识到，在某些情况下，管理层、审计委员会或监管机构可能希望内部审计进行例行的后续审计。在这些情况下，我建议在进行后续审计之前采取一种非常实际的方法，以确保最明智地利用内部审计的稀缺资源。在安排后续审计之前，我会问自己以下几个问题。

管理层是否报告纠正措施已完成?如果没有事先询问管理层，我是不会启动后续审计的。“管理层是否执行了商定的纠正措施?”如果答案是否定的，这时，我们可能需要问一问为什么纠正措施落后于日程表，而不是进行后续审计。当我们已经知道有些东西仍然“没有得到纠正”时，便没有必要进行后续审计。

被审计领域的管理人员是否曾试图误导内部审计，使其不了解纠正措施的完整性或其他审计问题?如果真是这样，便隐含了一个巨大的危险信号，显然需要进行后续审计。然而，如果我们的客户是值得信任的，并且与我们建立了一种开放、坦诚的工作关系，我们愿意相信他们关于纠正措施已经实施的声明。如果问题的风险特别高，我们可能仍然希望在选择性的或仅对个别样本进行跟踪，以确认管理层的声明是正确的。

计划中的纠正措施是否复杂到可能导致无法预见的问题?当流程被更改时，控制措施最有可能崩溃；当进行复杂的更改时，可能需要进行进一步的审查。但是，如果计划中的纠正措施相对简单，错误就不太可能发生，也就不需要进行审查。

可能发现重复的审计发现吗?如果我们很了解客户，我们可能会遇到这样一些管理人员，他们经常犯同样的错误，或者他们似乎低估了内部控制的重要性。当客户的管理人员容易犯错或经常犯同样的错误时，风险就会更高。但是，如果操作得到很好的控制，并且客户报告纠正措施已经完成，我们可能会跳过后续审计。

后续审计是审计委员会要求的还是法规要求的?如上所述，一些审计委员会坚持进行后续审计，特别是对那些具有较高风险的审计发现。如果首席审计执行官认为这种期望导致内部审计资源的低效使用，我将建议CAEs与管理层和审计委员会进行坦率的对话，汇报IIA的《标准2500》的执行指南中所概述的相关规定。但最终决定权在董事会，而不是我们。

如果在对上述问题进行仔细评估之后，我们依然觉得后续审计是合理的，那么我们可能需要更进一步问问自己，为什么我们执行组织的计划时总是误入歧途：我们的建议含糊不清吗?我们没有说服力吗?我们是没有听取管理层的意见呢还是没有认真对待他们的反对意见?建议或管理行动计划是不明确呢还是不具体?组织内部是否存在不合规的文化?

显然，发现重复的错误总比忽略错误要好，这可能意味着需要进行后续审计。但是，相同的审计发现对内部审计和对管理层来说往往都意味着失败。如果我们经常需要后续审计来推动工作，那么我们需要找到根本原因。对后续审计失败而言，提前预防总比事后发现要好。

我们应该意识到，组织的最终目标不是大量的后续审计。相反，组织的目标是执行纠正行动，并建立一个监督系统来提供这种保证。

一如既往，本博文仅代表了我自己的观点，不应取代IIA的正式指引。但我希望，这篇博文将促使我们重新思考任何可能的过时的程序。

一如既往期待大家的真知灼见。