作为内审人员,我们经常倾向于在报告中强调我们所观察到的情况。毕竟,失败的风险管理或控制所导致的结果往往比较容易用令人信服的术语来描述。新的IT系统的失败、没有达到关键性的合规要求或者一个糟糕的关键财务控制指标等这一类问题肯定能够抓住管理层和董事会的注意力。内部审计报告还经常深入讨论和环境条件相关的其他因素的影响。但是,唯一能比描述一件错误的事更能引起人们关注的是告诉读者这个错误产生的根本原因。
虽然报告中包括大量的叙述性的情况和结果(这些都能组成一篇长的散文),但是缺乏真正的价值。我曾经遇到过一个经理,他很快就承认了自己有问题。他对我说希望我在审计过程中不要告诉他一些他已经知道的事实。用他的话来说,是“我不需要有人来告诉我我有问题。我知道我有问题。我需要的是能有人来告诉我怎么解决这些问题。”在报告中提一些建议对他才是最有用的。
标准、现状、结果和建议通常被当做是“审计结果”的核心要素。但是还有另外一个因素,其往往是最不被在意的但很可能是最关键的——导致状况发生的根本原因。不清楚产生的根本原因,那几乎不可能提供正确的建议和改进措施。
很多刚刚从事内审职业或者还没有接受足够多的培训的人,往往会忽略问题产生的原因,因为对原因准确的评估和描述需要时间和技能,而这正是他们所欠缺的。但是对问题肤浅的解释是远远不够的,对根本原因的分析才是重要的。作为一个首席审计官,我经常对建议管理层雇佣更多的员工或对员工进行更多的培训这样的建议是持怀疑态度的。因为这种建议很容易提出,但这可能也表明内审人员并没有抓住产生问题的根源所在。
美国审计总署是发布审计标准的先驱(在1972年发布了《政府审计准则》,俗称“黄皮书”),而且美国审计总署还第一个提供了关于审计结果关键要素的指南。在最新的黄皮书中,美国审计总署提供了以下指南,以确定与观察到的现象相关的原因:“根源是对存在的情况与所需的或期望的状态(标准)之间所产生差异的解释,这也可以作为提出改进建议的基础。常见的因素包括设计不当的政策、流程或标准,不连贯、不完整和不正确的流程,或者超过项目管理控制的因素等。审计人员可以评估所找到的证据是否能够提供一个合理或有说服力的论点,说明为什么找到的原因是造成现状和标准之间差异的关键因素。”
IIA协会关于根本原因分析的实务公告指出,在某些情况下,可以通过问“五个为什么”来识别根本原因:
“工人跌倒了。为什么呢?是因为地板上有油。这是为什么呢?因为有一块地方破了。这是为什么呢?因为这部分监管不力。这是为什么呢?因为采购惯例发生了变化。”这是为什么呢?”
审计发现的内容中5C是尤其重要的,5C具体包括标准(Criteria)、现状(Condition)、结果(Consequence)、原因(Cause)和改进建议(Correctiveaction)。但是,虽然报告中5C中的每一个因素都很重要,我们不能忽视的事实是,当我们在开展内部审计时,根本原因远远比任何一个5C都重要很多。
人们经常说内审人员往往只盯着单一的树看,却忽视了整片森林。然而,我的从业经验是我们通常忘记了看树根。在你们下一次起草内部审计报告时,我希望你们能评估一下审计调查的深度是否足以挖掘出所有的问题根源。
点评:内部审计的一大职能就是发现影响企业发展的因素,找出导致目标没有实现的原因。但是在每次向上级汇报审计工作时,我们通常都只是把我们发现的问题简单地罗列出来,并没有真正的去寻找导致这些因素的最本质的原因。所以,作为一名具有40年从业经验的RichardChambers,他给内审人员提出了自己最衷心的建议——在审计过程中不仅仅只关注问题本身,更多的是关注导致问题产生的根本原因。