有些时候,我们的客户或其他人总是会对内部审计抱有一些不切实际的期望。他们会对我们所扮演的角色感到困惑,这并不奇怪,因为内部审计人员确实有很多身份。我们(内审审计人员)是分析师、控制专家、顾问、老师、商业伙伴、“看门狗(监督者)”、财务顾问、合规性专家等等。我们真的可以在几乎所有方面提供保证。但是,有一点需要记住的是,我们可能能够审计任何事情,但是我们不能审计所有的事。
每当新闻头条是有关企业重大内部控制缺陷的内容时,不禁会有人问,
“
内部审计干什么去了
”
?通常情况下,内部审计人员都会在风险到来之前做出预警信号。但是企业并没有很好地应对这种预警信号。鉴于目前企业结构和规模的复杂性,它确实需要一个非常大的内部审计机构来应对所有的风险。有的时候,企业没有足够的内部审计资源来发现所有的重大风险。而且不可否认的是,有时内部审计也会忽略掉对企业来说具有灾难性的风险。
最好的情况是,内部审计能得到足够的资源、具有胜任能力的员工。但考虑到有限的预算和成本,内部审计并不是无所不能的,我们不能做到百密而无一疏。
因此,有的时候,利益相关者就会对内部审计人员正在做的或即将要解决的事情产生期望差距甚至是误解。比如,普华永道在
2012
年的一项研究发现,在应对如何管理公司的欺诈风险和道德风险时,内部审计和审计委员会、董事会及公司高管之间的认知差距很大,有
53%
的审计委员会、董事会及公司高管成员认为他们已经很好地防范了欺诈风险和道德风险,但仅仅只有
35%
的首席审计官对此表示认同。
Peter Tickner
,普华永道公司治理方面的专家,他认为,高管和内部审计人员在由谁来建立企业欺诈防范机制和道德文化方面存在意见分歧。“高管通常都认为内部审计的重要任务之一就是主动地处理企业的欺诈和腐败风险。然而,大多数的首席审计官都认为这应该是高管的责任。”假如
Tickner
的观点是对的,那我们需要与高管进行更多的沟通交流,明确大家各自在
“
三道防线
”
上所扮演的角色和应承担的责任。
不幸的是,我们的利益相关者通常让我们提供超出我们能力范围的保证。一个关于信息安全的例子可以很好说明这个问题。普华永道另一项研究表明,在全球范围内检测到到有信息安全漏洞的企业及分支机构达到了
4280
万家(增长了
48%
)。这个数字令人非常震惊,在震惊之余,显然我们可以看出,这些组织中的内部审计人员并不能对其所在企业的网络信息安全控制提供绝对的保证。当涉及到企业所面临的风险和内控时,我们能提供一定程度上的保证,但我们不能提供绝对的保证。同时由于提供保证是内部审计的基本责任,因此我们必须防范提供虚假保证的可能性。
利益相关者对内部审计的期待并不是空穴来风,他们对我们抱有不切实际的期望只是因为他们
“
选择性地倾听
”
,我们也需要对此负一定的责任。审计期望差距可能是因为我们所说的话或者我们所做的事,亦或是他们的所说所行,更或者是因为我们的沉默不作为所造成的。
我们常常都说内部审计能够给企业带来价值增值。的确,让利益相关者了解内部审计的作用非常重要,因此我们也常常在各种规章制度中、各种会议或其他活动中向大家传递这样的信息。但是,我们在向大家说明我们所发挥的作用的同时,应该花更多的时间来解释我们能力的局限性,并记住那句经典的服务口号,
“
少承诺,多做事!
”
无论内部审计再怎么做,总是会有风险存在。无论是多优秀的或数量庞大的内部审计人员在保护着我们的企业,某些灾难总是会发生的。当危机来袭时,所有的人都会不约而同地转向内部审计,希望内部审计找出其中的原因及可能产生的后果。我们可以尽全力去评估导致失败的关键风险,但是我们并不能找出所有的风险。这一点对于利益相关者在设置审计期望时非常重要。
我们可以拼尽全力,但我们并不是万能的。
作者丨来源:Richard Chamber丨公众号首席审计官
Q:
欢迎留言和大家分享
?
版权声明:本公众号致力于好文精选、精读。部分文章推送时未能与原作者取得联系。若涉及版权问题,烦请原作者联系我们删除。
