文/国际内部审计师协会秘书长兼CEO理查德·钱伯斯

译/肖竟

在《极端情况》一书中，辛西娅·库珀再次强调了内部审计在世通公司舞弊事件中揭露财务报告舞弊的责任，同时也再次描述了在审计委员会中找到愿意听取审计发现的人员的困难程度。审计委员会主席百般推脱和拖延终于耗尽了她所有的耐心。她向审计委员会主席下了最后通牒，单凭这一句掷地有声的话就值得为此拍一部克林特·伊斯特伍德的电影：“如果他今天仍然不召开会议的话，就由我来打电话召集大家。”我常常在想，内部审计人员当中又有多少人能有这样的勇气，有多少人会遇到需要采取这样手段的情况。

当审计委员会主席退让并召开会议后，他之前推脱的原因也就变得清楚了。当天晚些时候他在与辛西娅通电话时，责备她说：“你到底知不知道我接下来要做的事情是什么？我马上就要毁掉整个公司了。”尽管内部审计披露像世通公司事件这么具有破坏性信息的情况是万中无一的，但是依然存在审计委员会或其主席选择“把头埋进沙子里”，而不是认真听取内部审计提交的有关损失或其他令人不快的信息。

作为IIA的总裁，我经常会听到首席审计执行官哀叹如何才能扮演好自己的角色。根据个人的经验，我对他们所说的管理层不愿听取内部审计带来的坏消息——不管是关于他们自己的运营还是关于同事或子公司的工作——一点也不感到惊讶。绝大部分高级管理层的成员都非常愿意听取真相，但依然有太多的人（包括首席执行官和首席财务官）不愿意从内部审计听到坏消息。甚至在一些更极端的情况下，他们还会禁止内部审计对审计发现进行披露，甚至报复决定披露结果的首席审计执行官。对于为这类恶毒的高级管理层工作的首席审计执行官来说，他们的“安全网”应当是审计委员会。不论如何，董事会及其审计委员会都是受托负责确保股东权益的。

因此，更令我惊讶的并不是阻碍信息披露的高级管理层，而是某些首席审计执行官遭遇审计委员会不愿听取内部审计上报必须让他们知晓的信息。有时，这种不愿意是由于他们想要避免不好的消息，比如世通公司的例子。而有的时候，是因为他们已经焦头烂额，无暇去了解又一个风险或控制不力的情况。不论是何种原因，一个冷漠甚至存在对抗心理的审计委员会都是首席审计执行官最不愿意遇到的。

基于首席审计执行官们的第一手经验，我总结了几种会令审计委员会感到不快的信息或内部审计发现的范例，其中包括：

* 审计发现首席审计执行官或其他高级领导层成员的渎职或其他不当行为。

* 总体评估认为公司高层的基调不健康。

* 能力不足，无法对内部控制或风险评估的有效性提供确认。

* 认为内部审计资源不足，或管理层主导的对内部审计资源的削减力度太大。

* 首席审计执行官认为管理层干涉内部审计工作的开展。

* 讨论有哪些风险内部审计在下一个年度由于资源限制或专业知识不够无法处理。

* 关于需要审计委员会关注的那些新出现的风险清单。

很少出现审计委员会主席或全体成员阻止首席审计执行官讨论上述问题的情况，相反，审计委员会对这些问题兴趣缺乏的态度往往掩盖在其他做法之下。

比如，如果审计委员会从来不向首席审计执行官询问有关资源和业务范围限制的问题，因此很难就这些话题进行展开。审计委员会还可以通过限制或帮助限制内部审计的业务范围来防止坏消息的提交。

比如，如果内部审计的范围仅限于评估财务控制的有效性，那么审计委员会就不太可能听到有关运营、技术或合规方面的风险，除非此类评估是由管理层承担的。一位首席审计执行官最近刚刚跟我说过，当他尝试报告对非财务风险的看法时，审计委员会礼貌地提醒他，非财务风险不是内部审计的工作范围。

我的目的并不是批评审计委员会或已经饱受指责的审计委员会成员们。他们中的绝大部分人都能十分尽职地开展工作，但是我认为审计委员会不愿听取内部审计意见的情况为整个内部审计职业敲响了警钟。内部审计必须更善于让他人知晓我们在加强风险管理和内部控制方面能够发挥的作用。应当鼓励审计委员会提出尖锐的问题，如果他们不问，我们也应当主动提供这些问题的答案。

尽管不太可能会遇到需要威胁强制召开审计委员会会议的情况，但我们在履行职责、确保审计委员会获得及时完整信息的时候不应该退缩，特别是在报告他们也许并不愿意听取的事项的时候。