内部审计的错误选择是如何发生的？

有时候，管理层要求内部审计不要特别关注某个领域，因为他们知道该领域存在问题。也有时候，内部审计不具备处理关键风险的专门知识的情况。但是，在基于风险的内部审计中，我们不能仅仅因为受到干扰或缺乏专业知识而忽视一个领域或过程。董事会可能不了解所有问题的严重程度，也不了解问题领域是否存在未发现的问题。在一个敏感的高风险领域开展审计需要毅力和勇气，但这总比忽视一个风险领域，然后被问到“内部审计在哪里”要好得多。

当组织中的问题表现得引人注目时，问题往往源于有害的组织文化。一些内部审计人员更倾向于紧盯更容易量化的审计问题，但与组织文化相关的风险不应被忽视。不健康的组织文化会让一个相对次要的问题发展成一场大灾难。安然(Enron)和世界通信公司(WorldCom)的董事因其公司的不当行为而面临重大责任。因此，当内部审计忽视组织文化而导致问题变糟，董事会发出内部审计在哪里的责难时，你不必惊讶。

每当我们提出报告和建议时，我们都是在帮助管理层和董事会意识到问题所在。但内部审计工作并未就此结束。当我们使董事会意识到问题所在时，我们还必须非常肯定这些问题得到满意的解决，或者高管层和董事会已经明确承受不采取行动所带来的风险。如果有人说：“董事会知道这个问题，但他们什么也没做，”这绝对不是好的结局。

有些时候，不是看你说了什么，而是看你是怎么说的。公正、均衡的审计报告必须清楚地陈述问题，不得隐瞒、歪曲事实。偶尔，内部审计客户可能会要求你隐瞒或掩盖审计发现，使问题看起来不那么严重。但是，如果内部审计报告不能公正地描述问题的程度和严重性，纠正措施不足的可能性就会上升。事实上，当内部审计未能准确地报告问题的严重程度时，说它是问题恶化的原因一点也不过分。如果你的董事会问道：“你为什么不告诉我们情况有多糟糕?”这时，你不必惊讶。

审计委员会有关注和积极监督内部审计职能的义务。例如，对于在纽约证券交易所上市的公司，审计委员会向董事会提交的报告必须包括涉及内部审计业绩的问题。如果您的审计委员会没有收到关于内部审计计划、预算、人员配备要求、培训需求和质量的定期报告，那么如果有一天审计委员会问到，“你为什么不给我们提供我们工作所需的信息?”这时，你不必惊讶。

任何上述失败都可能导致严重的负面影响。幸运的是，我们可以通过遵守专业标准来避免大多数内部审计“失败”。《国际内部审计专业实务标准》旨在确保内部审计部门拥有充分的资源、胜任工作的专业人员，并按最高的质量标准和诚信原则运作，从而保护我们不受上述错误的影响。但是当且仅当我们遵循《标准》时，《标准》才会保护我们和我们的组织。