浅谈内部审核的价值 ____ 从财务内部控制审计到体系内审

“有一个笑话,总结了人们的态度对内部审计;如下:

“有一个玻璃酒杯;它包含半品脱牛奶。

乐观的经理说,杯子是半满的。
悲观的经理说,杯子半空;
内部审计人员说,牛奶是酸的.”

它反映了内部审计作用的基本、定义:
内部审计提供了独立客观的保证,向董事会是否适当的业务控制的有效性,风险管理和风险识别过程。”

==Quote==
“There is a joke which sums up some peoples’ attitudes to internal audit; it goes as follows:

‘There is a pint glass; it contains half a pint of milk.

The optimistic manager says that the glass is half full;
The pessimistic manager says that the glass is half empty;
The internal auditor says that the milk is sour.’

It reflects the basic, definition of the role of internal audit:
‘Internal audit provides independent objective assurance to the Board as to the adequacy of the business controls, and the effectiveness of the risk management and risk identification process.’”
==Quote==

这里有三个问题：
1， 在公司里面，谁来做内审？客观性，独立性，公平性能否得到保证？
2， 审核的结果报告给谁？MR(管理者代表)？还是各部门经理？TOP management？

常常听到周边朋友抱怨：“体系内审是鸡肋。做，没意思；不做，又不行！”
自己做体系也有些年头，也有事回想想：内部审核的价值到底是什么？如何才能让它做的更有价值？

恰公司正在做财务内部控制审计，在审计过程所见，所听结合实际的体系内部审核；倒是得出了一些参考答案：

1， 内审应当由组织外的人以组织的名义来实施；
a, 集团建立 独立的跨组织部门 来审核；或 各子公司之间 互审；
b, 可以请 客户或第三方 来做审核；
c, 公司内部形成 独立的部门 来专门审核；
d, 公司内部 各部门内审员（内审员非独立） 交叉互审；

据我所知：很多世界500强，如”Phillips”, “Enron”, “WorldCom” “Foxconn”… 早就是 方法 ”a” 或 方法 “a” + “d”。
但现在大部份公司还是 方法 “d” ，这就注定了内部审核的先天不足。没有“独立”权责的审核员，注定不能实施“独立”的客观审核。其审核结果自然是“综合衡量考虑”的产物，也自然不可能是真正的反映组织的“客观现状”。乐观者“唱满”，悲观者“唱空”；说“牛奶是酸的”早被同化，雪藏或离弃……
有资源，有条件的朋友们，何不试试其他方法？

实际上，我们公司目前也是采用的方法 “d” 来做体系的内部审核，而财务的内控审计师用的方法 ”a” ；其效果之差别让我很沉重……
目前总部正在整合管理体系，看以后的将会走向何方……

2， 审核的结果应当报告给TOP management；
9000明确规定，内部审核的结果必须是管理评审的输入之一；而管理评审又是TOP management的事。所以，审核的结果是明确被要求报告给TOP management的。

财务指标能够最真实地反应一家公司运营过程的利弊得失及发展趋势，能够为优化公司管理及决策提供重要的数据支持。由此TOP management对公司的财务数据正确性，有效性及可追溯性等非常关注。于是有了这次全集团的财务内控审计，由CEO及财务总监直接负责向董事会报告实施情况。

对比我们的体系审核，由各site的MR（管理者道标负责）想GM汇报；天壤之别……


有以上两点可见我们公司的 财务内控审计 及 体系审核 的差别。

最后是前面两点衍生出的两个问题，大家可以看看审核的差别在哪里？

3， 审核的范围如何界定？
财务内控审计只要审核员认为有风险，就可以报告，要求整改。体系内审行吗？

4， 改善活动（识别出的风险区域）谁来实施纠正行动及跟进？审核员？问题部门经理？还是TOP management?
财务内控审计是问题部门经理负责，TOP management跟进；而体系审核是问题部门经理负责，审核员跟进！

综上，如果真正要体系审核的有价值，下面几点是必须的：

-审核的独立性必须得到保证；独立是 组织结构或“权责”上的。只有独立性保证，的能得到可观的公正的审核结果；
-审核的范围不应局限于“标准的符合性&过程文件有效性”；而是企业 存在的风险 或 潜在风险，识别改进的机会。
-审核的结果及跟进（甚至过程），必须是TOP management亲自关注的；只有这样才能真正体现“领导作用”及“全员参与”。