本文转载自《中国内部审计》2014·12期
理查德·钱伯斯先生目前担任国际内部审计师协会(IIA)的秘书长兼总裁的职务。他拥有40 余年从事内部审计及相关行业的经验,是内部审计方面的专家。在担任IIA全球总裁的五年间,他领导IIA实施了一系列重大举措,使IIA获得了突出的成绩,会员人数也达到了历史顶峰。钱伯斯还是COSO 委员会的理事会、国际综合报告理事会、IIA全球理事会的成员。他还曾在美国总统诚信和效率委员会、美国公司董事协会的蓝丝带委员会、美国佛罗里达州奥兰多市审计委员会、IIA准则委员会、IIA北美理事会等组织和机构任职。下面请随记者一同进入钱伯斯的内部审计职业生涯,了解并感受内部审计带给他的宝贵人生经历和重要经验教训。
钱伯斯告诉记者,他喜欢中国,曾多次到访中国,今年的11 月是他第五次来到中国。每一次都有不同的、新鲜的感受。中国内部审计的良好发展势头和中国内部审计协会卓有成效的工作,令他感到欣喜。他说,IIA各项工作在中国得以顺利开展,这是中国内部审计协会不断推动和努力的结果。明4月,IIA全球委员会会议将在中国北京召开,这也说明了中国经济的发展和中国内部审计事业的发展得到了全世界的关注,说明了中国的日益重要。他还说,我曾多次应中国内部审计协会邀请,与中国广大内部审计人员探讨内部审计的现在和未来,分享从事内部审计职业的心得,希望我的经验能对中国的内部审计人员有所帮助,同时,我也从中收获良多。
钱伯斯在2009 年加入IIA 担任目前职务之前,曾经在普华永道会计师事务所工作。而此前他的大部分职业生涯都在美国公共部门中度过的,曾担任过的职务包括田纳西河谷管理局监察长、美国邮政服务系统的副监察长以及五角大楼美国陆军全球内部检查机关的主管等。美国《当代会计》杂志将他列为会计领域中100 位最具影响力的人物之一,美国公司董事协会也将他提名为公司治理领域中最具影响力的领导人物之一。
钱伯斯说,我从学校毕业后,直接进入内部审计行业已经40 多年。如今,我很希望把我从这个职业中获得的思考和经验教训与大家分享,我认为,这不论对刚入行的内部审计人员还是内部审计主管,都是一件有益的事情。因此,我决定将40余年的审计职业生涯中的经验和教训记录下来,出版成书,于是就有了《审计生涯中获得的经验教训》这本书。这本书出版之后,反响很好,包括《华尔街日报》、《纽约时代周刊》、《金融时报》、路透社、彭博社、美国CNBC 新闻网等主流媒体都给予了非常高的评价。
“你的关键利益相关者对你的工作是否优秀具有最终的决定权。他们评判一个内部审计机构的标准并不是该机构运作得如何,而是这个机构能够为他们提供的价值。”
钱伯斯告诉记者,这个问题是一些新进内部审计人员所不能理解的问题,也是被很多内部审计人员忽略的问题。
他说,在刚工作时,我只是埋头工作,从未考虑这个问题。我认为, 之所以内部审计机构存在,是因为有相关的规定,要求建立内部审计机构。当时我在美国陆军内部审计机构工作,我的职业生涯比较顺利,34 岁时已经是美国陆军重要部门内部审计机构的主管,很快又成为了美国陆军内部审计的最高主管,我需要领导所有内部审计人员,要管理1400 多名员工,他们分布于全世界不同的办公地点。成为审计主管这个角色时,就需要思考许多不同的问题。那时,恰处于美苏冷战结束,美国陆军在削减军队规模,面临的主要压力是没有足够的预算,一方面是军队的可支配资源在减少,同时,内部审计分配到的资源以更快的速度在减少。所以,我对我的上司表达了对内部审计资源被挪作他用的担忧,希望减少这种情况的发生。我当时对领导说,我了解目前的情况,但我不能理解在还没有找到当前问题解决方案的情况下,就粗暴地削减内部审计的预算。
接下来的一个半月,我几乎走遍整个世界,与各地内部审计分支机构的人员会谈。我问他们,你们有很好的内部审计机构,为什么要削减预算,为什么要减少内部审计人员?期间的经历对我是很好的教育,这是我第一次面对面与利益相关者会谈,并得到中肯的答案。我从指挥官和基地管理者那里得到的答案是,内部审计人员很优秀,工作很努力,档案留存很完整。尽管如此,我们没有从中得到任何价值,内部审计工作的成果不是我们真正需要的。一些人说,我知道自己的问题,不需要内部审计人员指出,需要的是让我知道如何解决。还有人说,我只想知道现在几点钟,而内部审计人员却告诉我如何制造一个钟。我终于明白,如果内部审计人员无法创造价值,无法满足利益相关者的切实要求,利益相关者不会把预算用于内部审计。因此,这让我明白了谁来判断内部审计的价值。
把时间推进到2014 年,对于内部审计来说,内部审计利益相关者包括:审计委员会、执行管理层、运营管理层、员工、公民、纳税人,等等。尽管我的故事发生在30年前,但如今仍有借鉴意义。
“我们的利益相关者活在Google 时代,仅仅敲几下键盘就可以得到大部分问题的答案。他们不再认为需要花费两个月,甚至两个礼拜的业务是很及时的。这就造成了一个关于内部审计经常被提到的期望和现实的差距。”
钱伯斯说,在当今互联网时代,寻找一个问题的答案只需几秒,而内部审计可能需要几个月,甚至几年才能得到一个想要的答案。我在一个政府部门任职时,其职责之一是监管其他机构的内部审计工作。有一次,我看到一份崭新的审计报告,却想不起审计是在哪里开展的。问了我的助手,助手大笑,告诉我这个机构两年前已经关门了。可是审计人员仍在开展对这个机构的审计。这样的审计报告提供的信息早已过时,没有任何意义。
所以,我一直告诫内部审计人员,我们要及时完成审计工作,在合理的时间提供审计报告。要做到这一点,审计过程中的每个环节都必须经过重新设计:一是制定计划,没有计划的审计就如同“没有地图的旅行”;二是现场审计中要避免“过度审计”;三是形成报告。我认为,最具挑战性的是编制审计报告。我们必须努力使报告周期缩短,要采取一些手段,如第一时间与客户沟通发现问题,减少审核层级,更早地引入专门的报告编制,采取团队协作的方式等。比如,我在担任美国邮政服务系统的副监察长的时候,采取团队写作的方式,将所有审计人员、相关管理人员请到一起,在一天时间内把报告讨论修改完,这样非常有利于加快报告编制。
“有时候内部审计的发现是迫切需要反应和披露的。内部审计师必须承担起将这些问题置于其背景之中的责任。”
钱伯斯说,有时审计报告中一个很小的问题或者细节,可能带来轩然大波。比如,我在美国邮政服务系统担任副监察长时发现,邮政印章被盗印,大峡谷的邮戳出现在别的州,这个审计报告被公布于众之后,美国的一些媒体嘲笑邮政系统连大峡谷在哪个州都搞不清,引起了公众的广泛关注。这是审计所没有预料到的。所以,在很多时候,审计人员认为不是很重要的问题,或者很小的细节,可能会成为关注的焦点,甚至引发很大的反响。
在审计中,内部审计人员应当注意,首先,要清楚审计报告的使用者会自动过滤信息,你应当预见他们看到报告的时候会有什么反应,并有所准备;其次,要清楚有关浪费和效率低下的事项会引起广泛关注,可能带来极大的后果;第三,不要耸人听闻或过度渲染,审计报告中要交代清楚问题产生的背景及数量级,比如,如果一百个问题是在一百万个样本中发现的,就不能只提出发现了一百个问题。
“认识到缺少职业道德行为给内部审计职业带来的风险,努力规避可能使我们个人和内部审计职业丧失信用的活动。”
钱伯斯说,我们需要认识到内部审计人员也是普通人,没人可以“免疫”职业道德的缺失。IT部门希望请审计部门的专业人员去帮助解决IT 部门的业务问题,由于当时审计部门正在对IT 职能进行审计,我觉得这不是一个好的选择,因此审计部门负责人请示我的时候就没有答应。但后来,审计部门还是派人去做了这个事情,我后来打电话质询审计部门的负责人,为什么在已经达成共识的情况下依然派人去做了。而对方说,起初并未打算去做,但IT 部门以新电脑为酬劳,我们正好需要,所以就做了。这其实就是内部审计人员变相收了IT部门电脑的贿赂。
有时,我们自己认为没有做违反职业道德的事情,但可能存在“盲区”,没有意识到存在的问题。这其中的原因有:对高管层过于忠诚,想为其隐瞒;出于保护组织的考虑,不想在报告中反映出所有问题;出于自身未来职业发展机会的考虑,觉得暴露所有问题不利于以后另谋职位;忽视《职业道德守则》。
我们提倡的内部审计人员职业道德包括7 个特征:诚实、勇敢、负责、善解人意、值得信赖、受到尊重、积极主动。我希望内部审计人员不要成为组织舞弊的共犯、旁观者,也不仅仅是裁判,只在事情发生之后评判对错。而要成为组织的良心,要支持好的行为,制止不好的行为,防患于未然。
“一个富有自信和勇气的首席审计官(CAE)如果花一些时间来建立关系,就有可能通过协商达成长远的同时满足董事会和管理层目标的共识。”
钱伯斯说,别人想到内部审计时,往往会觉得我们过于注重细节,其实,关系的建立和维护至关重要。我给你举个例子,美国前国务卿鲍威尔是个出色的领导人,我曾与其共事,那时,我是内部审计主管,他是美国陆军四星上将。鲍威尔将军那时已经很有名望,他上任之初,就委派助手通知我,他想要了解内部审计的情况,我询问助手报告情况时间、地点。他说,鲍威尔将军将来到我的办公室听我的讲解,这令我很吃惊。我的办公室很老旧,但是他真的来了,我们关于内部审计工作谈了两个小时。这个例子教会我,作为内部审计人员,不应将自己至于高高在上的地位,要主动与别人联系,要有对关系的敏锐嗅觉。
所以,内部审计人员和内部审计主管要规划如何建立和维护良好的关系。首先,要表达积极的态度、正面的意图,使审计对象相信你是真心诚意地为了使其更好,如果让他觉得你只想出一篇好的审计报告,他们是不会信任你的;其次,要充分展示前瞻性和领导能力,让审计对象觉得你值得信赖;第三,要学会感同身受,了解审计对象的感受,设身处地为对方着想,要站在他们的角度去分析所面临的问题。
想要建立良好的关系,需要很长时间,但关系也许会在一秒崩溃,毁掉就不可重建,所以更要维护好关系。对于那些持怀疑态度的审计对象,也应与其建立良好关系。有些客户认为,内部审计就是来找错的,来查他们的,这些人就是我所说的持怀疑态度的客户。如果遇到持怀疑态度的客户,关系比较难以相处,甚至有些紧张时,也要积极应对。
比如,可以管理客户的期望值,如果审计可能持续一个月,绝对不要说两周就可以完成;可以试着欣赏他们的工作,赞赏和认可他们的成绩;开展审计时,不要拘泥于过去发生的事情。如果注意力只在过去,管理层会说,这些我们都知道,我们更需要知道未来的事情;还要有聆听的技巧,听听他们怎么说,并尽量在每次对话结束前达成共识,这并不代表每次都要赞同管理层,而是要在某个部分与其达成共识,如审计目标、存在问题等,这有利于建立良好的关系。
如果你确实希望为一个组织作出有意义的贡献,就必须在真心实意的基础上建立关系,这样别人才能相信你确实希望帮助他们,而不仅仅是使自己获益。管理者才会相信你是真的在帮助他们,而不是只想自己做出成绩。这不仅有利于内部审计工作开展,对个人职业生涯也十分有益。例如,我在美国田纳西河谷管理局担任监察长时,起初,我被董事会选中管理内部审计工作。不久,法律法规发生了变化,监察长不再为该机构任命,而由总统任命,我的任期只在总统任命下一个人选之前。我处于两难境地,选择辞职,还是站好最后一班岗。我用了一年左右时间,与美国议会等利益相关者打交道,让其了解内部审计的意义。后来,我接到白宫人事办公室的电话,对方说,布什总统已经决定给田纳西河谷管理局任命一个新的监察长。我很好奇人选是谁,令我惊讶的是答案是我。我甚至都没有去申请继续担任此职务。接下来,对方的话进一步说明良好关系的作用。他说,尽管你没有申请,但在议会中所有被询问的人都认为你适合这一职务,因为你与大家都建立了良好的关系。
建立长远关系,内部审计人员需要不断地沟通,明确利益相关者的需求和期望,了解他们如何判断成功,征询其对关键风险的意见,并将信息从一个关键利益相关者那里传递到另一个利益相关者那里的渠道。
“追随风险:不论风险会把你带到哪儿。建立基于风险的原则,对你的审计业务范围进行排序。如果不这样做,你根本不知道从哪里开始。”
钱伯斯说,当资源有限的时候,我们必须根据可能产生的影响来分配。我曾制定了一个审计计划,包括所在组织面临的所有风险。当按照计划开展业务时,1990年伊拉克战争爆发了,一切都发生了变化,审计计划变为废纸一张。从那以后,风险的变化越来越快。我们必须适应风险的迅速变化,以“风险的速度”开展审计。
我认识到,我们不能将注意力从企业风险这个整体概念上移开。如果我们只是关注风险的某个部分,例如财务风险,我们就是把自己和整个公司置于危险之中。2014年,数据安全、云计算、移动技术、第三方风险、COSO2013 年新框架,甚至埃博拉病毒等突发事件,都形成了新兴风险,这些都会影响内部审计。
IIA研究基金会对于如何以风险的速度开展审计有五个建议:一是评价你的风险评估流程的成熟度,确保这个程序覆盖了整个企业。二是在内部审计职能内部建立发现和报告新兴风险的程序:把发现新问题作为一项工作重点,与第二道防线(如合规、风险管理等部门)就新问题开展协作,找到和使用相关数据、知识、经营管理等外部资源帮助发现额外的新问题。三是采取措施使审计计划随着组织风险发生变化而进行调整的速度更快,频率更高。四是与关键利益相关者达成一致,在“完成年度审计计划”和内部审计针对新兴和变化的风险作出调整的需求之间实现平衡:可以考虑实行一种“滚动”审计计划,例如制定一次计划向前滚动覆盖接下来的六个月时间;定期与高级管理层和审计委员会进行开诚布公的讨论,讨论组织风险状况的内在本质、范围和程度。五是编制或修改审计报告时更加明显地体现出组织风险状况的变化和审计计划对此所做调整之间的联系。
“在会议桌旁取得席位的努力实际上在你真正拉开椅子之前很久就开始了。它始于你尝试与组织的董事会和管理层建立互信的关系。”
钱伯斯说,内部审计必须在会议桌上获得一个席位,在组织中获得发言权。近年来,这一问题得到了广泛关注。这代表管理层讨论新的战略等问题时,内部审计可以受邀参加这样的会议。只有参加这样的会议,才能真正了解企业的战略和管理层是如何思考问题的,内部审计才能明确自己要做的工作。
同时要清楚,会议桌旁的席位只是手段,而不是我们最终的追求。我们要成为值得信任的顾问,这样才能得到大家的欢迎。因为,利益相关者可能对内部审计心存顾虑,如有人认为,内部审计人员完全不了解经营,不善于沟通,审计报告过长、内容过于复杂、琐碎。有人认为,内部审计人员只愿意做确认工作,告诉人家这件事对或不对,虽然内部审计更了解风险和内部控制,却不与人分享,不能创造价值。也有人担心投入不能得到等值的回报。
因此,专业能力和良好的关系都是必须具备的。如果没有专业能力,你只能成为吃午饭的伙伴;如果没有良好关系,你只能成为坐在办公室里的秘密,无人问津。满足利益相关者的期望,是一个长期的过程。首先,要明确谁是依赖你工作成果的人,如公司董事会、管理层、部门经理、监管机构。一旦确定,就要评判他们需要的是什么,是只希望检查财务状况,还是对运营也需要确认;是只需要对过去的事项进行确认,还是对未来事项也要提供观点;是只希望检查技术风险,还是对组织整体风险也要进行确认。之后,就要检查自己与期望的差距。如果利益相关者希望你检查IT,而内部审计团队里却没有一个IT 审计人员,那就存在很大风险。知道差距后,就要缩小差距,消除差距。这意味着,需要学习新技能、或招聘新人,如果什么都不做,内部审计机构将置于风险之中。
重要建议是,不要拘泥于工作成果,而要衡量工作价值。如果一份审计报告可以给组织带来翻天覆地的变化,那比十份普通的审计报告还要强。
本文转载自《中国内部审计》2014·12期
更多精彩内容可向公众号回复关键词:
审计案例 | 盘点世界八大审计失败案例
财务分析 | 免费领取世界最赞的财务公开课
内控 | 终于有人把内部控制“不相容职务分离”说透彻了!
笔记 | 做财务总监十年,总结出98条精华笔记!
四大 | 惊呆了!普华永道招聘残疾人的原因
审计 | 为什么审计普遍结婚都比较晚?
