连续一周多,被一线业务部门、地区部&机关各级领导、内审等电话会议天天开到晚上12点,就各种鸡毛蒜皮问题定义、定性进行沟通,身心疲惫,百念俱灰“位卑未敢忘忧国,事定犹须待阖棺”,一介布衣,谈谈对内审的看法 ,我来为大家讲解一下关于内审的桥梁作用是什么?跟着小编一起来看一看吧!
内审的桥梁作用是什么
连续一周多,被一线业务部门、地区部&机关各级领导、内审等电话会议天天开到晚上12点,就各种鸡毛蒜皮问题定义、定性进行沟通,身心疲惫,百念俱灰。“位卑未敢忘忧国,事定犹须待阖棺”,一介布衣,谈谈对内审的看法 。
根据公司的内控管理“一点两面三三制”,IA(Internal Audit,翻译为内审,本文简称为内审)、业务Owner、内控BC(Business Control),并称三大内控角色。前两者职责及其关系简述如下:
业务Owner:根据政策、流程等实施业务、打粮食,确保过程合规并及时开展自检(CT/SACA/PR)。
内审:其主要作用是事后回溯,对违规形成威慑,减少粮食浪费并保证颗粒归仓。
业务和内审本应相得益彰,促进经营健康、可持续发展。大部分情况确实如此,内审在协助业务改进缺陷、惩戒违规等方面做出了卓越的贡献,这些都是不可否认和不容诋毁的。相信公司的高层对内审的价值也有类似的判断,这里再对内审歌功颂德只会徒增谄媚之嫌。作为不明真相的群众,这里斗胆带着放大镜挑刺内审,供各位消遣。
心声网友说,“身正不怕影子歪”,“不搞BCG、不作假、不触犯红线你担心审计干嘛”?我曾经也想,我一没拿客户返点、二没拿供应商回扣、三没私费公报,对得起自己的良心,经得起审计。
然而,目睹公司十年流程优化、内控、审计之现象,见识了“作为优秀业务实践经验总结”的流程是如何被“流程优化”和“内控检查”的交互作用(更多的是恶性循环)导致的流程越来越繁琐,以至于后来老板出来发文日落,吕克泣血总结《延标或违规,一线能不做这道选择题么?》。可能我们绝大部分的人(甚至内审部门自己),都低估了内审对流程的影响,而流程又直接影响我们所有人的效率。同N个内审人员沟通过,他们几乎都正直、专业、勤勉,这些精英人员是我们需要的,然而,相当大的一部分审计结果报告和结果应用,真心不是我们想要的。这里略举一二:
01
部分审计结论重文本描述而不重业务实质
“明月有情还顾我,清风无意不留人”,婉约派的一首温文尔雅诗词,当成了反清复明的罪证导致进士徐骏被雍正斩首。这段引述有点过分,但是确实也反映了当前审计报告中普遍存在的一些问题(流程各种自检也类似):
- “虽然你没造成损失,但是你违反了XX流程”
- “虽然这样做没有风险,结果也是好的,但是你没有遵从XX发文”
- “你没有遵从XX流程,这次虽然没有风险和损失,但是以后你敢保证不出问题?”
流程就是这样,文件上写的越多,被查出来的问题越大,比如现在的MO/MAE和PROC流程。流程规则越少,审计问题就越少,因为调查失去了文本依据,比如工程交付流程7.11服务交付集成,各个L3都没流程文件,审计查无可查。以此类推,哪天我们把LTC流程日落成“销售、交付、回款”六字诀,是不是内控成熟度都可以到100%了?
一方面我们的流程Owner为了减少业务中的违规不断“完善”我们的流程规则,另外一方面我们的内控人员热衷于对照我们的流程文本和业务实质玩“大家一起来找X”,结论给GPO再把流程打补丁。这种滚雪球,导致公司现有的流程越来越复杂,各级管理者热衷于增加流程管控点降低审计风险,最终LTC流程“优化”的一个结果就是一线按时投标变成了违规。
如果我们的内审部门能看是否有实质损失,重点审“少赚钱”和“多花钱”,唯一的依据就是业务常识和红线(假设公司现在泛滥的红线已经被治理了),抛开所有的流程文本,是不是内审就真的成了业务的伙伴?是不是流程Owner就没有任何借口不放权、不简化了?
02
部分审计问题逻辑值得商榷
一只南美洲亚马孙河边热带雨林中的蝴蝶,偶尔扇几下翅膀,就有可能在两周后引起美国得克萨斯的一场龙卷风。现在德州发现了龙卷风,哪只蝴蝶是始作俑者?基于有罪假设,某只蝴蝶被判定为违规的蝴蝶要证明自己扇动翅膀没有导致龙卷风是有口难辩。目前部分的审计结论,会出现基于后端发现的某个问题,一定来定性某个前端的流程不遵从。然而这个不遵从是否一定会导致后端的问题,这个是没法证实的。即使这个问题在大部分其他代表处也存在,而且没有导致后端出现同样的问题,但在本代表处还是可能定性为XX流程未有效遵从;
03
部分审计报告措辞可能引人遐想
“工程稽查部”成立初期,稽查报告会要求对所有的违规业务定性,其中有一条叫做“选择性汇报”,其实也非常适用于部分审计报告。比如某份报告中提到了影响金额XXXX万USD,其实质可能是损失不超过1000USD,但是因为整个项目的金额为XXXX万USD。报告错了吗?没错!但是给读报告的人的感觉完全不一样。另外,部分审计报告“语不惊人死不休”,对Datasheet文本进行了华丽丽的升级,将某个员工疏忽导致的工作质量问题升级成流程整体实质不遵从的问题。
04
部分审计人员工作方式不太合适
最典型的是在一线对Datasheet有极大争议而不愿意马上签署的情况下,个别审计人员对一线业务主管进行恫吓,威胁不按期签署则降低审计打分等级。不在笼子里面的权力容易出现腐败,然而如同大明洪武建立锦衣卫,对百官的监察就已经无孔不入,以至于后来永乐建立东厂、宪宗设置西厂、万历再增内厂就有点挥霍民脂民膏了。稽查部门也有业务人员因为工作作风问题被问责的,还是希望作为没有被人监管的监管者也能自律、自省;
05
部分审计人员考核方式对业务存在潜在不利影响
因为担心审计和业务沆瀣一气,公司不以内控成熟度考评审计部。具体内审承接了什么KPI本人不得而知,也无权指手画脚。然而,一些对审计人员的考核方式却对审计和业务都造成了伤害,最典型的是当年南非工程稽查案例,因为稽查团队没有发现问题,而要被全体考评打C。然后再派一拨人,把代表处再掘地三尺,挖坟不够,鞭尸来凑。更有某些部门将干部的任职资格同管报发表监管相关的文章挂钩,相信各位也经常见到一些总结各个代表处的问题发现和各自反馈的改进建议的文章出现在管报。管报文章文责自负,管报本身也是重在暴露问题这些都无可厚非,但这部分文章质量和深度大多不太敢恭维。原因很简单,容易改进的问题早被业务部门当软柿子捏完了,剩下的难肯的骨头往往有底层次的缘由,非专业人士很难入木三分。
“天下熙攘,皆为利往”。有人说,绩效主义毁了索尼,我们是否也可以妄加揣测,不合适的绩效导向正在侵蚀审计和业务,将审计置于了业务的纯对立面,最后背上了流程变得繁琐的黑锅?在内控不达标弹劾的机制下,我们的各级流程Owner没有勇气不去修复审计描述的各种流程BUG,一人生病,全家不吃药也要打预防针。规则越来越严,漏洞越修复越多。辛辛苦苦几代人书写的流程文本,变成了流程审计的“把柄”,流程从为业务服务变成了为流程Owner和审计的博弈服务。
说说个人期待的内审:
1)对准“产粮食”,“浪费粮食”和“土壤肥力”审计,抛弃僵化的流程文本(至少要无视流程KCP点以外的所有内容,全部发文直接忽略),不为流程Owner在流程繁化路上火上浇油;
2)内审不从个别国家总结流程问题,避免引导“十八人生病,十八万人吃药”,而是基于全球的抽样共性问题,向GPO/BPO挑战规则的合理性,特别是流程Owner一刀切的懒政管理导致一线不得不被动违规的情况;
3)不再基于L2流程审计打分,而是基于BG业务大类打分,如运营商销售、交付、回款等(个人认为公司核心业务流程只有DSTE、IPD、销售、交付、回款、客户关系管理,其余都是支撑流程,并且存在相当大的一部分L2流程架构设置本身不合理的情况);
4)审计报告描述准确、全面,只就事论事,不“举一反三”。
【跟帖评论】
评论一:
支持本文观点。部分审计同事因为KPI考核的原因,往往出现如下情况:
1.春秋笔法、夸大风险:这个相信很多人都有体会;
2.选择性披露:不谈背景、只谈部分事实。2010年某大国曾有一个FTTX项目,因为是新兴业务(对华为而言),交付模式经验不足、市场环境摸得不深,供应商资源严重不足,当时为了快速引入资源,向采委会汇报:只要是不超过客户历史分包价110%的,视为价格自动获批可引入交付。采委会决策同意该意见。在后续审计报告中的结论是:未经代表处评审组同意和审批,擅自引入XX供应商。将之前采委会已经决策这一点隐去,导致事情定性完全两样。
3.预设性打分:很多时候在审计前就已经对待审计的组织提前设计了审计等级。如整体评分3等时,则会挑其中某个流程打4等但又不致影响整体3等。而哪个流程打4等,往往是代表处内部平衡和审计协商的结果,甚至是交换条件:“我可以给你整体3等,但你必须给我找出1个流程打4等”;
4.“猪养肥了再杀”:审批判断某个代表处存在问题,而故意闲置一段时间,等风险进一步扩大变恶化后再去审计,这样容易得到一个比较差的审计打分结果,彰显审计成绩。
5.如文中所说,恐吓性吓唬业务部门主管规定时间签署DS,粗暴态度对待业务澄清。
审计,到现在某种程度上成了业务的反作用。我希望审计的方向,未来更多精力放在BCG、业务造假等主观故意违规等行为上,而不是放在对于流程、发文的细枝末节的操作要求上。
评论二:
作为一个业务的老兵加入了审计,同时具有业务和审计的视角,能够相对中立的看待这些问题。
首先上面很多描述的一些情况是存在的,这也正是内审需要不断去提高和完善的地方,公司领导在几次与监管体系座谈的时候都提到了2点:审计要理解业务,审计要尽量避免无谓的打扰业务。但正如业务每次自己说的:“人无完人”、“虽然没遵守流程,但并没有主观故意也没有产生严重影响”、“又没有BCG也没有红线违规或重大风险,为什么揪着鸡毛蒜皮说事”。审计也是人,也会犯错,也需要成长,而且最关键的是在华为目前的监管框架下,不大可能出现冤假错案。
为什么不大可能出现冤假错案?因为公司给内审设定了几个条条框框。
第一、内审不能有项目奖金激励,这是老板的明确要求,相比业务的考核导向,审计是一个不怎么强调火车头的部门,不怎么拉开差距的部门,这种温和的考核导向容易创造一种团结的氛围,而不是冤假错案的温床;
第二、内审的所有审计发现都是需要2次与业务确认,一次是Datasheet,一次是报告。datasheet一般是事实描述,不做定性,而报告包括审计结论和审计发现,必须对风险或问题进行定性。按照业界审计的流程,Datasheet是不需要业务确认的,而华为内审为什么需要增加这样一个确认环节,就是再次从程序上保守些,偏右些。业界的报告需要与业务确认,但并不像我司这样,一定需要双方PK达成一致。业界的玩法是审计作为公司唯一独立客观的一个组织,出具的报告具有相当的独立客观性,业务如果对报告有不同意见可以作为附件与报告一同发放。但在我司一定需要PK,如果在审计项目组无法达成一致意见,可以升级,也就是类似于仲裁。一般来说能在项目组层面达成一致是最好的,一旦升级到内审部总裁甚至到公司高层,一般只会更左不大可能更右。原因很简单,审计组如果PK之后还需要升级的问题,一定是非常严重的问题,而且一定是事实和结论能够站得住脚的问题。这也是为何在一次轮值座谈中,轮值不是质疑审计报告太偏右了,而是太偏左了。为什么?因为公司认为,审计的报告经过大量PK之后,很多问题都被PK没了,剩下的都是一些不疼不痒的问题,审计到底有没有胆量被业务挑战之后仍敢说真话。
第三、审计报告是我见过公司独立客观性最高的报告。审计报告是有几层评审流程,首先项目经理会基于datasheet输出一个初稿,然后经过审计项目主管评审,然后经过审计部主管评审,如果是大项目还需要内审部总裁评审。如果说公司的销售决策是4层评审的话(代表处/地区部/BG/公司),大部分项目都是代表处或地区部级,那么审计报告天然的100%都是公司级项目,都需要公司级领导评审。这是由内审的职能和组织架构决定的。因为公司治理架构的要求,内审是公司唯一一个向董事会汇报的一级部门,这种汇报关系确保了审计的独立性。同时这种汇报必然要求审计的客观公正性,同时内审是公司最偏平的一个一层组织。所有的项目都需要向内审总裁和审计部主管汇报。这一系列的规则和制度基本确保了审计报告具有相当高的客观性。
评论三:
业务违规有三类:
第一类,有意做恶的,就是我们经常说的经济类,BCG违规的。对做恶一类的违规,公司这几年政策是越收越紧,从过去给予一定的宽容和改错的机会,到现在逐渐走向零容忍。对于经济类违规,有意做恶做假的,处理是越来越重的。
第二类,有业务规则,但是没有按照业务规则来做。对于流程违规的问责,公司总体倾向是要给予业务建设期的流程违规多一些包容度,不要太严苛。
第三类,既没有有意做恶,也没有流程违规,更多的是一些业务失误,包括决策失误,对产品判断不准确等等,像这样的情况我们应该有最大的包容,自身要多复盘,多作自我批评,找到错误根源,不再犯同样错误。
这些要求不仅仅是给监管体系听的,也是给那些业务Owner、行管和使用监管系统的报告(包括审计报告、稽查报告、SACA、CT、PR)的人听的,公司现在并不是审计报告偏左,而是使用报告的人是不是偏左了。
评论四:
我觉得审计不能做这个背锅俠,而且关键不在于被锅,我们一定要抓住问题的核心。其实在董事会和审计委员会的批准下,审计已经从2017年启动了内审变革,2018年明确提出了基于风险原则审计的要求。楼主上面说的基本上是基于流程审计的一些现象。就像我们现在事后诸葛亮说LTC流程MTL流程都太复杂,严重影响业务,十年前我们启动这些流程的时候,何曾想到这些问题呢? 同样,内审的流程打分审计一路走来现在遇到这些问题也是事物发展的本应该面对的。至于文中提的一些现象哪些是内审机制性问题需要变革,哪些是内审人员个人能力问题,这个需要搞清楚,否则容易跑偏。
我自己被审计过,也做过几次审计,我能深刻体会到被审计人员特别是大部分干活兄弟们的感受。很多时候没有BCG没有红线问题,反复PK,他们怕被问责啊,我也见过代表处被查的人心惶惶而不敢在业务上做决策。我深刻理解业务的兄弟,但很多时候也是无奈。而且我发现很多时候主管习惯性用审计报告问责一批人,然后了事。审计并没有要求你去问责啊,是希望你能改进啊。
楼主说了你对审计的期望,实际上我内心也有一个理想的审计的样子。审计应该把BCG和红线作假问题作为底线,最后问责处罚,甚至司法,如果是BCG就应该针对当事人,如果是红线作假就应该主要针对管理者。因为普通干活的兄弟有主管监管着,有权力的干部是审计需要监管的重点对象。如果不是BCG和红线问题或重大风险,如果审计没有建议问责,就应该主要着眼于管理的改进。要让全员知道在面对BCG和红线作假或重大风险的时候,审计能够作为公司独立客观的组织帮大家伸张正义,而当大家出现小问题小错误时,审计能够像伙伴一样帮助业务改进而非责罚。让哪些作假者感到威慑,让干部和管理者感到权力被监督,让干活的兄弟们感觉到有伙伴,这才是我心目中的审计。
其实在审计变革的方向上有一个重点就是,构建全球风险一张网,而审计作为一个公司最小的一级部门,如何能有效构建这样一张网,防止系统性腐败和风险,一定是需要业务的支持,审计可以不断理解业务,但业务始终是对自己问题风险最了解的人。我们需要绝大部分业务兄弟的支持来一起构建这样一张网。要知道公司的BCG大部分都是兄弟们提供的线索,很多人愿意在心声上吐槽业务问题,其实心声和审计在独立性上是一致的,只不过心声上的问题不一定会立即反馈,而给审计提供的投诉是一定会闭环反馈的。只有大部分真正信任审计,才能达到这样的效果。但现实中很多人对审计不信任,因为楼主说的那些现象,可见这些现象的受害者不仅仅是业务也是审计自身。正如毛主席说的,我们一定要团结一切可以团结的力量,真正改变我们的哪些不良风气和严重问题,才能实现最终的胜利。
可以看看老板在16年发文,御史是怎样练成的,老板回顾了中国历史上所有的监管依稀的兴衰成败,最会落笔在"人民",我们审计难道不正是如此吗?最终的监管还是靠业务的兄弟啊,审计只不过是大家的一种工具,华为的治理架构决定了,这个工具最终服务的不仅仅是董事会管理层,也是每个员工。
评论五:
作者对内审工作是存在误解的,事实上公司很多人应该是对内审部,稽查部,和业务内控的职责也是不清楚的。内审和稽查、内控不一样,是公司的三道防线(风险的最后一道关卡),是发现风险,不能遗漏风险,并对所发现的问题及风险进行独立判断的一个组织,并在全球范围对恶劣典型构建冷威慑的。那么只要有这个冷威慑的职能在,那么很多人自然是“不希望被审”,“害怕被审”,所以天然上对内审是抗拒的,自然不受被审计单元的 ”期望“。
另外,作为一个要”独立判断风险和构建冷威慑“的组织,也不应该是被 审计对象“期待的”,不然审计与被审计对象就是“一团和气”了,那么内审作为最后一道防线也失去了意义。
尊重业务本质,坚持原则,勇于解释风险,不做老好人,支撑健康多产量 才是公司期待内审,而不应该去做一个”让所有人期待的内审“。
来源:蓝血研究(lanxueyanjiu);日不落项目组;如涉及版权,请与我们联系,谢谢!
,