曾经一家省级分公司的老总对审计人员抱怨说:我每年上缴总部上千万元的利润,喝几瓶茅台又有什么关系呢?
如果从金额上讲,几瓶茅台的价钱和上千万元的利润相比当然微不足道,但是如果这不是一家私营企业呢...如果这家企业的管理干部受到廉洁自律等纪律的约束呢?还有,如果这家省级分公司的老总觉得喝几瓶茅台没什么问题,那么可能也会觉得吃几顿饭也没啥问题,去打个高尔夫也没啥问题...
同样的一种行为、一种问题,如果放在不同的背景下,审计人员就可能会得出不同的审计结论或发表不同的审计意见。所以,审计人员发现问题后,就要放在不同背景下来进行评价。相应地,同样的问题,在不同类型的审计报告中会有不同的定性。
1.违反法律、法规、政策等硬性要求的,主要触碰红线,不论问题问题大小,都要从严定性。触碰法律、法规的问题就不说了,一经触碰,不仅要从严还会从重处理,即使一个问题涉及金额对于超大规模的组织来说非常小,也不能放松处理的尺度。还有就是违法政策的问题,有些问题在以前可能从轻处理,但是如果政策调整、政策收紧,违法现有政策就要从重处理。因此,审计人员在发现违反法律、法规、政策等的问题,不仅要熟悉法律、法规,还要吃透政策,这样对问题的评价方向才更正确。当然,在不同历史背景下,法律、法规和政策等可能会有调整,审计人员也要与时俱进,及时更新知识。
2.涉及投入产出的问题,要纳入整体评价。如果被审计单位在审计期间有10个投资项目,其中3个投资项目失败,3个投资项目不理想,4个投资项目较成功,从结果上看,10个投资项目总体为组织创造了较好的收益,那么该怎么评价被审计单位的投资效果呢。如果仅仅在审计报告里反映投资失败的3个项目,不提整体的投资项目情况,被审计单位肯定会跳起脚来不愿意。当然,如果个别经济行为存在内控缺陷、舞弊行为,审计人员也需要指出来。
3.操作层面的问题,要看对内部控制的影响和形成风险的大小。同样一个操作层面的问题,例如收款差错,如果是人工控制的问题,就要复核环节是否缺失;如果是系统控制的问题,那就不仅仅是发现的个例问题了,说明控制已经缺失,产生的风险涉及面广,审计人员就应该在审计报告中揭示风险,提出相应的审计建议。审计人员要尽量地量化风险,不能人为主观放大风险描述,也不能人为主观缩小风险描述。在大部分审计发现问题中,都集中于操作层面的问题,应该将分散的问题联系在一起看,应该将不同阶段出现的问题联系在一起看。
4.同样的问题,在不同特点的组织里可以有不同的定性。一是组织的规模不同,同样的问题要区别看待,比如同样容忍的损耗率下,大企业的损耗总量会远高于小企业,所以就不能拿损耗量来说事;二是组织的管理基础不同,同样的问题引起的重视程度也会不同,例如一个内控严密的企业突然发生了异常情况甚至舞弊行为,那可能说明原来信任的控制系统存在难以估量的缺陷,而一个内控松散的企业出现异常情况和舞弊行为的概率相对较高,可能就不会特别重视;组织的发展阶段不同,同样的问题处理方式也会不同,有些问题在组织初创时期会采取默许的态度,而在发展成熟期,就会采取严厉禁止的态度。
5.涉及战略执行的问题,有时需要“放大”,有时需要“缩小”。战略执行有时候看起来很大,好像只是组织高层关心的事情。其实,很多战略的失败不是战略本身有问题,而是战略执行的问题。基层管理者往往只盯着短期的绩效,至于经营动作对长期战略产生什么影响没几个人关心。同样,出现在诸多经营单位的一些很小的问题迹象,也没多少关注,最后不同的小问题叠加起来,就会对战略执行产生巨大的影响。审计人员的战略审计就要通过具体的问题来评估对战略执行的整体影响,如果产生负面影响的风险很大,审计人员就要及时提醒高层;如果看似问题很大,但对战略执行不会产生决定性影响,审计人员也不能夸大其影响。
6.审计要保证政策制度的严肃性,又要保持管理的弹性。在违法违规违纪方面,被审计单位一旦触碰到了红线和底线,审计部门是不能手软的,对问题该怎么定性就怎么定性。但是对于管理上,审计部门要做好“三个区分开来”,制度没有规定不能做的经济事项,审计部门要从风险、内控、效益等多个维度进行分析,对问题进行综合地考量,审计结论要满足管理的需要。
审计人员在进行发现问题评价时,既要结合实际情况,又要学会跳出问题发生的具体场景,站得远一点或不同的位置来看问题发生的背景。问题的背景不同,审计人员就要考虑审计结论或审计意见是否符合当前的管理背景。审计人员要记住,不论以为自己是多么客观的评价,都应该建立在设定的条件和背景之下的,因为条件和环境也是客观的事物。