如何进行循环审计追踪
今天的课题实际上是叫循环审计追踪,通常把它叫审计的整改, 审计有一句行话,查问题容易,改问题难,我们从俩个方面去分析:
一、内部问题
1:报告有没有问题,产出就是我们的报告,你的报告当中水平是不是够,报告水平够不够,利益会不会比较高,能不能够切实为被审计单位整改带来彻底地改善?
2:对内部审计来说,沟通是不是比较到位,审计的过程当中存在着很多的沟通问题,如果出现了问题,很多时候会整改就会存在一些难度。
3:那么要求是什么呢?对于审计的一个人员的绩效考核,有没有要求考核整改率?
二、外部问题
1:做审计工作,任何的工作包括整改,领导重视非常重要,这个是一定的,领导都不重视的话,整改一定是推不动的。
2:协调问题,比如你去找被审计单位的问题,这个问题是既然出现了就要改,各个部门之间的协调出了问题,导致整改会推不动,这种情况也会有的。
3:如果被审计单位不改,会不会对他们有影响?
如果不改会不会影响到他们的绩效,影响到他们的工资,如果没有设计的比较到位,这些制度方面设计不到位,很多时候改不改都无所谓。
审计整改闭环
1:审计整改的一个闭环,刚开始是做个审计,然后是指导,再做整改,整改完了之后应该有一个检查和评价,是整改通过,整改关闭?审计整改有没有一些标准?哪些问题你认为整改上合格的?
2:区分问题的严重性,区分区别不一样的检查的形式,至少简单地说可以分三种,到后面还会详细的展开,这里供大家作参考整改的闭环。
3:整改然后是报告,报告确实是影响整改的一个重要的环节,报告中首先你的逻辑要比较清楚,在沟通的时候,基本上是先讲什么?先讲小问题,有没有回复,这个是我们报告中间一共有八点,有些报告的模板大家做参考!
4:是你的报告是要送给谁?大家区分主送抄送跟抄报?,被审计单位,抄送一般来说抄送个相关部门,建议是说大概不要超过5条就好,因为再大的项目来说,5条把事情讲清楚,最重要的问题是什么?可增值额,审计当中有没有绩效的问题,能够用财务金额表现出来的绩效问题,这个永远是领导很关心的。
5:基本上是你的建议和你的重要的发现,不要超过5个,也不超过5分钟,我们这边的问题一起汇总到整改改善了,领导比较关心说改善怎么改,某一类问题,改善时间,整改的责任人是谁?报告建议一定要有目录,所谓的6要素,你发现什么问题等等!
6:讲事实,那为什么说这个有问题,是不符合某某制度规定,还是一些其它的原因,它为什么会出这个问题?原因是什么?原因分析清楚,跟后面的建议是有很大关系的,一种原因是说因为制度的设计不好,后面要修改制度,还有是制度没问题,那么就是人员执行出了问题,人员的执行是不是岗位培训不到位,或者是人员的心理等问题,从内容方面来理解:一种是设计性问题,一种是执行问题,至少分成俩大类,原因要分析清楚,有什么风险?
7:这个时候我们可以出具一个审计结论,建议是什么?后面请大家要回复,而且要书面回复,回复中包括俩点:一点是这个问题同不同意?第二说这个问题谁来改,什么时间改完,怎么来改?重要的是回复整改,这个在我们后面讲到一个制度当中,就要跟被审计单位讲清楚,希望出现的一个回复,是怎么回复?你可以给一个标准的模板给他们看!
8:报告的形式多样,供大家参考,六要素的报告,每一个问题都是这样展开的,我了解此次课程各种审计层次的人员都有,可能有审计总监,审计经理等,这里有一种高级的形式供大家参考!
前提是不是三年全覆盖,基本上大部分的公司系统的来做审计,应该会提成出三年或五年全覆盖的概念,大部分的公司可能是三年全覆盖,总结出来,比如说你做了一系列审计下来之后的话,多个部门都出现了这样的问题,3是前年或前年发生过,改了,但是今年又来了,有这个问题发生过,但是改了,当时也验证通过了,没问题,今年又来了,4跟前面一样,这是单部门的,跟去年前年一样发生过,但是今年又来,是属于多部门的,是属于一个共性问题,这种问题的可能性是不是发生的频率更多一些,5是最严重的,前年去年都有,改正还差,没改完,改的敷衍了事,今年又有,这些都供大家参考,可不可以从5个方面来开展,这边的就是给大家打分。
严重程度,这是解决俩个问题。建议大家给一些框架,首先就是财务,有没有财务损失,第二个对运营会不会有影响,会不会有声誉影响,声誉的影响是什么意思?比如说有些问题安全检查,发现一些该做的安全措施可能没有做到位。暂时没有财物损失,运营也没有影响,而有些时候这个方面可能更严重一些,可以从这个方面大家可以的给他设定一个档次,财务方面运营方面大家可以去设,参照我们风险管理的这一套方案。
可能性跟概率和风险损失,然后确定一下我们审计评估问题的一些标准,要涵盖到一类有金额的问题,一类没有金额的问题,审计当中一定有这俩种,当然这个前提这个标准你设计出来之后,要做公布的,要给被审计单位做个公示,哪些是重大的,哪些是重要的。
审计报告
1:前面讲的审计报告,审计报告的要把它做比较好,这是我们最重要的一个输出,审计报告当中首先我们的立场是什么,很多时候不是要去找问题,审计报告对事不对人的,立场本来是帮助被审计单位改善他们的内控,降低他们的风险,我们的立场要摆正,审计怎么做,不要写进去。
2:审计当中一定会有访谈的,访谈的可以做参考,但是跟其他的一些书面的证据,要交叉验证,之后才能写进去访谈,访谈是底稿当中的一部分,要深入挖掘,不要浅尝辄止,事实要进行一些梳理进行分析,内容要进行分类,报告内容要写得比较清楚,采用不适当的感情色彩是什么意思?
3:前面讲到第一是报告,第二个是沟通,沟通的这么一个法则,想要别人怎么对你,你就要怎么对别人,你希望怎么样对他们,你就怎么对他们,很多时候大家要做同比性沟通,做项目的都知道,很多时候一定要保质量还是保进度?质量和进度很多时候是会冲突的,到底是谁更重要,换位思考,如果你在他的位置你会怎么做?
立场
1:大家有没有做过一些非正式的沟通,要强调一点,刚开始不是一上来就做末次会议,很多时候,公司的高层领导都来了,很多时候调整都调不回来,可以升级部门的一些非正式的沟通, 通常把问题一个大报告会把它拆开,拆成四五分。最好是拿着纸质版沟通,不是口头沟通,口头沟通是在前面的这一个单个问题的时候跟业务人员去沟通了。讲的部门级的非正式沟通,是财务部一小块四五个问题已经出来了,成型了,纸质版去做沟通,这个很重要。
2:要用心听,很多时候做沟通的时候,人是两个耳朵,一个嘴巴。你要多听少说。你要人家说。要专注听。专注要放下,很多时候,放下成见。一切以事实说话,以证据说话。要聆听他们的一些数据。换位思考。后边做总结,要用一些问题。来做一些总结,有没有把访谈的底稿,有没有给被审计单位看的习惯?可以做个参考。
沟通法则
沟通的时候,我们可以首先肯定他的成绩,在这个大环境很不容易,沟通的问题,先小后打,前面已经讲过,先讲小问题后讲大问题,心理学上是说在大家如果开始就同意,后面就容易继续说同意,如果一开始讲大问题,就把针尖对麦芒了,这个就很麻烦,沟通就没办法进行下去了。
审计沟通
在我讲课的时候,大家都跟着做个一些审计方案,往回倒推时间,这个规划没做好,导致后面的时间比较紧张,然后疏忽了俩种沟通之间的一些差异,这类问题民企当中经历的比较多些,国企做事应该比较严谨一点,像这样的错误的话应该比较少!
沟通的场地形式
1:至少有三种场地沟通形式 ,通常做法是。初开就是首次会议,找个会议室。末次会议比较正式了,通常我们中间的一些问题的沟通,基本上都是在被审计单位的办公室。在他们的一亩三分地。通常都会觉得比较自由, 没有什么压抑,相对会比较好一点。被审计单位会议室通常来说就是比较正式的,第一次跟第二次会议,这个末次会议,要做一个正式的沟通,至少有三种沟通的审计的场地和形式的问题。以上讲审计的一个沟通。
2:审计整改可以从四个角度去分析。从四个角度分析完后审计整改的话。相对来说应该是会比较系统的,首先技术角度我们有没有哪一些问题。哪些问题是属于操作的问题?纠错加强管理,严格考核。操作里面进行整改,相对最容易的,也是最多的注意,这是一个倒金子塔的排序。
a:是最多的往下历史遗留最少的。
b:是制度的问题。比如说我们讲质量,被审计单位,专业职能部门,比如说质量不需要修改,只能管理检查的一个方案。改变管理模式优化流程,通常的整改来说,如果是制度的设计性问题,大家的经验怎么样?一般来说,一个制度从修订完成,到会签到审批,然后再发布,通常在一个月左右可以完成,
c:属于体制机制的问题,内部管理的条线,内部中间的协调出问题,体制机制问题,或者是集团的制度的设计出问题了,所以整改需要采用联系会议的形式,联动整改。大家联合起来。一起来推动这个事情去整改,整改要采用。联系会议的形式时间就不一定了,看难度看大小,这个就不好确定的时间,基本上2-6个月不等。
d:在国企可能会比较多一些,改制的企业可能会比较多一些,有历史遗留的问题,去做经济责任审计,这种事情整改会更难。建议成立一个专门的小组,有哪些部门组成?就看问题的性质,有相关部门一起组成的,来一起专门做一个整改,根据项目的推进,根据难易程度来定,可能半年可能一年可能几年,越往下这种问题会越少。基础角度上来说,我们可以分成四种:
审计整改-技术角度
1:有没有做过一些即时的整改,包括两类,第一类重大问题,舞弊问题,重大的问题要立即要求整改的权利,这是在审计的制度当中,应该写进去的。立即要求进行整改。马上报告有权的领导马上改善,不然的话,公司会受到更大的损失,这些在审计报告中,要把它写进去,我们有做过适中报告之类。
2:整改一定要设计一个台账。销号制度。整改台账是内部用的, 消耗是和人力相配合制度,哪一类问题的整改是多少,重要问题整改是多少。轻微问题整改是多少?分部门的,分条线的,你都要有一些统计的数据出来。
年底总结的时候,这个是我作为审计部一个重要的审计的任务来向领导做个报告。
3:整改的俩极复核制度。我们有没有这样去做过执行,就是整改的时候,复核的责任跟实际整改的责任,这样就是避免一些疏忽审计情况的的会发现。有没有碰过一些虚假整改的,肯定有的,审计的技术角度上差不多就是讲了这么多了。
审计整改-激励角度
1:一部分是累。反求诸己。我们自己,建议可不可行,建议到底是不是太高了?建议有没有跟对方讨论过?后面有没有人跟踪的话,整改的达成率是不是我们审计人员的考核指标之一?这两部分都是在一起。
2.外在的话,如果整改不到位,被审计单位领导的利益有没有挂钩?说白了就是影响他的钱,影响到他的工资也可以。影响他的奖金也可以,用什么方法都可以,反正要罚就罚到他肉痛,能记住!
3.跟面子挂钩,做审计界的领导是这样,开会的时候,领导说一下,某某单位怎么整改这么差,你看大家都改好了,作为下次开会的时候,作为一个事项你要报告。作为上次的工作任务安排进展如何?
4.以前整改最差单位,给相关单位。给他发过黑牌的,整改最差单位,摆到领导的后面桌子上,你要不要继续放?你不继续放,你就把它改掉。实施了一段时间,这个效果是挺好的,公告一下,整改排名,整改最差,总之让他面子上过不去。
5.手段至少有九项,这个9项大家有没有都用过。 可以发函, 可以通报,可以约谈,国企纪委约谈比较多,考核问责调岗,这边是比较重度的了,如果升级到舞弊的就不用说了,降职,开除甚至立案,手段的系列化。大家可以供参考。
6.具体的应用,比如说重复第一次的时候。你可以约谈。 他的问题以前有,又复发了,可以约谈,第二次的时候,他总不改,这个时候可能就要考核,问责。通常事不过三,通常我们整改追责,要追俩级,他的领导,上级单位,也要进行追责, “连坐”在一做基本上就这个意思。
7.也可以考虑做公示,公开的力量。很多时候,透明到什么都没有,有一些公司的经验,可以用问题看板。成果的看板,看版的力量,强化网上的监督,想各种办法,总之让他面子上过不去。
8.审计整改不能够一个人干,一个人干是有问题的, 很多时候你是推不动的,作为审计部门这边。你要做一个多维的台账。可以从这个部门的维度,从问题性质的维度,从循环的维度。从事业部的维度,等等很多维度。。。
9.也可以分析出来每个问题。整改率怎么样?审计要负责跟踪督导。业务部门专业指导系统整改,被审计单位可以一定要求领导负责,专人专责,限时整改。纵向联动是跟下面的分子公司的业务单位一起,做纵向和横向两方面的一些联动,整改这方面一定要求,有专人负责,领导要把责任担子担起来。纵向联动要做好。
审计整改-联动角度
内外联动是什么?有些国企,它可以借助巡查的力量来推动整改,同时符合审计的成果,知道国企很多时候被这个是要被政府审计来查,被监察和纪委来巡查,还要做回头看?毕竟是内部审计的很多的问题需要做内外联动吗?如果到了这步,公司的整改出大问题了,推不动了,借助外力来推了,推了会有什么后果,大家可以考虑,这是两种联动的方式。
1:一定要成立一个联系会议,经济责任审计,纵横的一些联动,整改从管理的角度上来说,哪些是点的问题?点到线到面,经济责任审计很多时候就是讲面,点的问题包括执行的问题跟设计的问题,有没有考核过复发率,整改率,复发率?新的问题出现没关系。不断的解决问题,不希望老问题一而再再而三的出现。可以考核复发率来避免屡改屡犯,这个是一类!
2:你改我犯的问题,这个是适合于集团公司的。财务条线,人力条线,生产条线,安全条线。从总部财务或者总部人力,一起往下推,系统性的进行整改。避免其他地方出现这种类似的问题,整改的时候,可要整改的第一步就是本单位要改,第二步就是避免你改我犯。要把整个面条线的全部处理掉。
3:面的问题:有没有发现有一些单位多业务多领域出现了一些问题。多业务多领域的问题有没有出现一些,越权审批,整个的那个内控环境就出问题,公司的经济战略跟文化是不是出问题了,然后战略是不是出问题?经济责任审计的,可能要改变一下思维了,更多的可能要对战略跟内控风险来开展审计。
检查和评价
1:检查评价有三种方式, 简单的问题,比如点上的问题,认为一般的问题,你可以用这个方式,又如说线上的问题,中等的问题, 可以用顺便复核的方式,我们下次去的话,顺便把这个问题再看一下,如果要到专项推进就不一样了,大家有没有做过一些整改的专项审计,比如说要协调。一些比较重要的问题,你需要做一个专项推进,甚至还要回头看。这个也可以把它使用到你们里面去,
2:可以按照点线面的一个分类,按照一般中等,重要问题,把三种的形式可以做一些分类。分级分类的标准建立,哪些重要问题,要去专项看一下,甚至还要专门做一个回头看。有哪些标准来确定这个可以关闭了,推荐四有:有制度,有执行,有责任,有共识, 责任:包括责任追究,这个应该做一些公示,作为公司的一个文件发布,这样审计整改循环才会把它建立起来。
3:审计整改应该说年度至少一个,建议大家至少出一个整改的专项报告。涵盖今年做了这么个项目,至少要有这么一次,重大问题比较多的话 ,专项的次数可能就不止一次,这也是我经历过很多公司前面有在推,但是检查评价可能要做的稍稍差一点。
审计成果的一些应用
1:整改做完了以后,我们第一步:通常是把本单位的问题把它改完。
2:一般这个问题如果推广到其他单位,有没有类似的。共性的问题要做一些分析,强化内控来完善制度,通过系统的控制,就不是说你人工能掌控的事情,通过系统掌控自然会更好。
3:多种审计成果的运用,提升成果的水平和一个层次,审计成果可以在大监督体系之内,大监督,审计,监察纪委,可以把法务拉进来。人力财务。在部分范围,这些就可以拉进来,这些问题跟他们没关系。大监督体系之类,我们信息可以做一些信息共享。避免各自为政 ,应用下来之后也对他们的一些监控会有些正面的影响。
审计报告的分层
1:审计报告至少可以分成六种:第一受众:领导,被审计单位。专业条线管理部门,通常出具这种审计报告,当做审计报告整改,回复追踪的。就是在可能会有问题,给个风险提示函,到时候出问题了,以此为据,风险提示函适用这种,还可以用PPT的形式,就是一目了然,向领导汇报方便。跟领导报告。
2:每个月有没有跟老板单独沟通的机会。建议每个月至少一次,一次半个小时以上,特别是对一些其它人的看法,这就要单独和领导沟通很重要,建议大家更可以和领导协商比如说约定时间,和单位领导单独沟通。
3:各位有没有写过专业条线的审计报告?专业条线的审计报告,希望他们能够监督整改,避免那种你改我犯的情况,具体是按季度还是半年的,根据具体的情况,专业条线你们自己看。人力和财务肯定是有的,生产部不一定,因为每个公司的组织机构不一样,供参考。
4:还有一类管理改善咨询报告,这一类不是你做的对不对,怎样让效率更高,效果更好,希望不只是埋头拉车的,希望的更多的是抬头看路。这些感悟就是你的管理咨询报告一个来源,强制性要求写,每周都写,每半年至少要写一篇改善提案,改善提案就是内部先提,如果没有写的话,要扣绩效分,写多了会加分。
5:最终有没有做培训,一部分内部培训,最重要的是外部培训,被审计单位与其他单位内控培训,风险培训,一些专业知识的培训,有没有做过开展,次数要求?做内控最好的不是它控是自控,相对来说培训,甚至联合法务联合其他部门一起把它做起来,特别是比较多的合规的培训,包括舞弊的,包括其他的,合规培训有没有开展,责任和具体是怎么做的?
审计整改制度基础 6+N
N=审计整改的考核嵌入人力、财务等制度中,并运用系统控制
1:审计整改制度的基础,整改制度至少有6个,首先你的问题改善落实管理办法。你不叫这个名字也可以,就是说我们审计报告出来之后,你们的问题是一定要改的,不改之后可能会被考核会有严重后果,具体的要把落地下来,当然要先礼后兵。如果后面不行,就这个制度把他抬出来,你不改会有什么严重的。
2:问题改善的联动办法,纵向和横向怎么去开展?我们和外部的联动怎么开展,很多时候我们需要考虑,大家可以设计一个这种联动的管理办法。
3:追踪和销号管理办法就是前面提到过如果没有销号的领导,会一直追踪到底。这种要跟人力资源联合起来做。你的成果管理办法,前面讲到过了,成果至少有七种展现方式,培训要有大纲,讲义,这也是审计成果,这七种你是怎么管的,什么时候出什么,怎么出,对象是什么,怎么去做,一般是内部用的。
4:信息共享,不是每个公司都适用,特别比较适合大型的 形成大的监管体系,哪些可以和纪委。人力,监财,财务,外部的审计专家或者外审,或者政府审计,哪些可以共享,怎么可以共享?用什么方式?有没有定期的会议,怎么样去沟通?很多都可以在这里面规定。
5:审计线索移交管理办法:前面讲过,如果涉及到舞弊这个情况,很多时候你要有线索移交管理办法,一般都是内控通常有问题,才会出现舞弊的情况。N是什么审计整改的一些考核,运用我们的系统来做一些控制,审计整改的制度至少有个6+N,整改制度应该是有这些,现在已经做了哪些?还有哪些需要去做?这是一个比较完善的整个的体系。
审计整改及运用评价
1:整改运用及评价是首先一个大体系的整改,整改完了以后,审计运用的质量是什么,审计整改评价是内部审计质量评价的一部分,大家可以参考。内审有一个质量评价准则。
2:按照内部审计协会的要求,至少每五年被独立了一个外部的结构做一次的评价,就是内部审计机构运行的怎么样,包含整改及运用的评价,这是大的方面的。运用的一些质量,管理提升,运用质量第一部分通常来说,有没有把它改完,第二个是出条线,希望面上所有的问题不要再犯,出具整改的通报,这个整改制度的分析,前面讲过了一些共性的问题,强化内控的完善制度等等。
3:整改运用,要做评价,这个评价是内部的,整改评价对管理提升起到一些作用怎么样?有没有运用一些方式方法来创新,有没有审计上系统的,通过系统的推进,通过整改有没有嵌入到到其他的系统当中去。可能审计系统还没上,有没有嵌入到比如说OA或其他ERP。把整改嵌入到里面去。
审计整改评价及运用的总结
1: 通过问责的机制,促进了被审计单位的,追究一个责任,挽回经济损失,立即停止对相关查勘员的相关公告负责人停职处理,派出人员全面接手公司的理赔业务,对公司负责人停职处理,并要求配合案件调查,责成当事人赔付部分款项。
2: 通过整改的机制,促进被审计单位举一反三,完善内控的机制,项目组把审计发现的问题和事实移交给被审计单位之后,被审计单位积极排查梳理管理的盲区,优化流程,组织开展警示教育,总部将审计成果进行整理以后形成违法违纪的案例,对系统内全体勘察员开展警示教育。
3:加强权限管控与自动化核赔案件的一个审核评检。对赔付率较高的的机构和人员加强权限管控。上收机关的权限。很多的权限应该是弹性的,权限的维度不只是说公司的体量大小对还有内控的维度,加强对自动核赔案件的逐案排查,发现问题及时纠编,从激励的角度上彻底改掉了自身的舞弊的一个土壤,从考核方面来督查查核人员,提高案件的质量,推广运用反欺诈系统。
4:其实可以运用大数据审计界模,审计项目组根据审计发现的问题,事实依据集中提炼分析和再加工形成了一些审计的案例,并且在集团内部作为培训教材进行宣讲,提升全员合规风险的意识,很多其它的公司应该也是相类似的。
最后整改的建议及总结:
首先:要主动争取领导的支持。领导的支持非常重要,审计的其他的工作也是一样,审计的推进。审计的整改个也是一样,领导支持你,你才能推得动,但是话又说回来,很多时候领导的支持是双向的,支持是一个双向的问题,这个大家注意一下。
其次:建立健全规章制度,前面讲过了6+N,整改应该有6+N制度,6比较容易,N可能就需要领导的支持。需要审计联席会议,大家一起来推动审计整改的问题的一个实现,保证我们的审计整改率能达到100%,提升审计一个工作质量,这是一个闭环的问题。
再次:满足利益相关方的需求,利益相关方远远不止领导和被审计单位这么简单,虽然是做内审,强化纵横内外的一个协调。有纵横审计联动比较重要,内外协调,当然,必要的时候可以借助外部的力量来推动整改,有的时候可以争取领导的领导支持呢,用一种比较隐晦的方式来做,这个也可以,大家可以根据各公司情况不同。可以自己去发挥!
来源:审计之窗,审计之家编辑整理。(如有转载,请注明以上信息)。