原标题：强制执行还是启发诱导？这对内部审计来说不是一个两难选择

在我的职业生涯中，经常有人把内部审计人员视为“组织警察”，专门躲在树后，挥舞着众所周知的雷达枪，像等待猎物一样等待着公司官员或其他员工的违规行为。这种看法是不利的，因为当内部审计人员不被视为“组织警察”时，他们可以更有效和更有价值。

当然，确保内部控制的有效性是我们的重要使命。那些可以有意或无意就能违反的、无效或不存在的控制，会给组织带来风险。在审计工作中发现这些风险正是我们的职责。通常，这可能需要确定哪些官员“没有做好自己的工作”。我相信，正是这些工作给我们带来了坏名声。

通常，我们被委婉地贴上“警察”的标签，不是因为我们审计报告中的内容，而是因为我们沟通审计报告的方式。在我们的沟通中使用适当的语气，并确保我们在适当的背景下描述结果，这方面的内容我已经写过大量文章。2017年，我再次分享了我那篇热度极高的博文：《内部审计报告中不能提及的10件事》。那篇博文中提到的10件事中，至少有4件是我不鼓励的做法，但在审计报告中却很常见，从而使得这种“强制执行型”的审计部门被认为是“组织警察”。因此，我们必须做到：

1.有节制地使用加强语气

加强语气会引发一些问题。比如：说到“很重要”，别人会想，“与什么相比显得‘很重要’?”再比如：说到“清晰地”，别人就会问，“根据谁的标准显得‘清晰’?”如果你随意使用加强语气，同一个报告的两个读者可能会留下非常不同的印象：比如，在需要实际的数据来描述一个事实时，如果不是用特定的百分比或金额，而是用“非常大”，那读者觉得“非常大”会是有多大呢？

2.避免玩怪罪游戏

内部审计报告的目的是带来积极的变化，而不是推定责任。当我们的报告给人的感觉是中立而不是对抗性的时候，我们更有可能获得认同。这样做的目的是找出根本原因，而不是大声说出过错方的名字。在报告中确定对某项建议采取行动的一方是可行的，但指名道姓地说“这是某某某的错”可不好。

3.不要说“管理失败”

发表诸如“管理层未能实施足够的控制”之类的声明，总是会惹恼那些我们希望实施纠正措施的人。简单地陈述情况，而不通过“失败”这样的词语来推定责任，更有可能导致所需的纠正措施，并有助于在下一次我们对该领域进行审计时维护我们与管理层的关系。

4.不要邀功

在审计报告中使用“内部审计发现”或“我们发现”等短语是很有诱惑力的。如果你发现了一些没有被很好地隐藏起来的东西，并因此而受到赞扬，管理层通常会感到愤怒。这就像你把他们扔到巴士下面，然后再从他们身上碾压过去一样。

虽然保护我们的组织免受控制和风险管理失败是我们使命的一个固有部分，但通过“强制执行”来保护组织价值并不是我们最大的潜在依靠。为了真正赢得并维持我们所服务对象的信任，我们也必须努力提升组织价值。事实上，当前IIA的战略远景要求“让内部审计职业成为提高和保护组织价值的关键”。

内部审计人员提升组织价值的方式有很多，但很少涉及到“强制执行”。我相信，正是通过“启发诱导”，我们为我们的服务对象提供了最大的价值。通过阐明风险和机会，我们能够更好地帮助我们的组织应对经常出现的危险和威胁。识别新出现的风险并提供“远见之见”，将使我们能够成为高级管理层和董事会的重要依靠。

我在2015年的一篇博文中，首次探讨了内部审计人员的“远见之见”的概念。我写道：

对于内部审计人员来说，“远见之见”是一种能力，一种考虑组织预期面对的关键风险和挑战的能力，这样我们就可以与管理层和董事会分享这些观点。通过这种途径，我们帮助我们的客户在风险变成现实之前就做好了接受挑战或迎接机会的准备。在管理层忽视了战略或商业风险的情况下，“远见之见”能使我们警告即将降临到我们组织的灾难。例如，“远见之见”可能会挽救柯达(Kodak)、百视达(Blockbuster)或雷曼兄弟(Lehman Brothers)。当然，管理层可能会选择忽视内部审计人员提供的远见。但至少内部审计提供“远见之见”的这面旗帜仍会迎风飘扬。

在2017年的一篇博文中，我更深入地探讨了“远见之见”的概念，并分享了我们在Galvanize的同事丹尼尔·A·克拉克(Daniel a . Clark)发表的一篇博文。该博文概述了提供“远见之见”的五步计划:

第一步：获取并完善你提供洞察现状的能力

通过了解事物的本质，人们开始更全面地理解行为的可预测性。如果今天没有洞察力，你可以创建一个工作小组，通过在其中的工作经历来获取自己所需的知识。这将把你的学习时间缩短一半，以最快速度让你做好走向未来的准备。

第二步：了解不断变化的环境

环境中有一些指标提供了可能的路线图，你洞察现状的能力将把这些可能性缩小到盖然性(介于 certainty 和possibility 之间的状态)。别忘了，环境包括你的团队、你的公司、你的地理位置、你的行业，甚至你所呆的星球。例如，全球性事件确实会影响到小型地区或社区银行。在考虑环境问题上，千万别低估了自己。

第三步:使用数据分析是关键！尽可能快地利用数据驱动的审计

让您自己和您的团队了解数据分析、数据解释和数据管理的来龙去脉。

第四步：了解你的商业伙伴的战略决策以及决策基础

这将为你提供一个大致的战略定位。如果你愿意的话，你可以在战略层面与他们进行讨论。将你的“远见之见”与他们的战略联系起来，将是一种有意义的回应方式，他们会客观地听取你的建议。

第五步：也是最后一步，坚定你的信念

根据你获得的信息做出决定。那些今天没有发生的事情，在一个高水平预测基础上，你做出一个推断，它们明天将会发生。而当实打实的事情没有发生之前，管理层不喜欢做出推断。因此，在与管理层沟通时，你有说服力的、坚定的信念更加难能可贵。

归根到底，完成内部审计使命不应该是两难选择。尽管我们尽了最大努力，但有时我们仍会被视为“强制执行者”。然而，我们绝不应满足于被视为“组织警察”。相反，我们应该努力成为一名“价值提升者”，用我们从自己在组织中扮演的角色中收集到的“远见之见”来“启发诱导”我们的服务对象。

一如既往地期待着您的真知灼见。

作者：理查德·钱伯斯（源自2019年11月12日IIA官网）；翻译：陈国华（中国人民银行九江市中心支行）。本文为原创翻译，转载请注明作者、译者、及原文、译文来源平台