内部审计出错

本文由ACFE China校对翻译，如需转载，请提前告知。

不受监督的内部审计到底有多危险

在千禧年之交，我是一家四大会计师事务所的初级审计员，拥有近一年的经验。我被分派到一家中型食品制造商的内部审计外包项目。负责领导审计的经理是该事务所的新星，同时也在美国一所顶尖商学院攻读MBA学位。他将大部分工作委派给我，并在客户现场花了很多时间与我交流。大多数日子，他在几个小时内完成工作，剩下的时间都用来阅读大学课程书和回答我的问题。他的高效率给我留下了极深的印象，我也从中学到了很多东西。当任务结束时，他在合伙人面前给予了我极高的赞扬。我离开这个项目时，感到很幸运能够与如此出色的经理一起工作。不久之后，他离开了事务所，去了一家知名的华尔街公司工作。

几年后，当我有机会赶上他时，我迫切希望他分享他是如何总能如此迅速地完成审计工作的。他犹豫了一下，然后看着我说：“如果你想达到顶峰，你需要更加注重人际关系和融洽，而不是过多地执行控制测试。”他说他会测试控制的设计，如果通过了，他只会记录交易编号和唯一标识符，以满足操作有效性测试的样本量要求。然后他会声明没有发现任何例外或问题，而实际上并没有进行任何实际测试。我问他为什么合伙人从未察觉到这一点。我的前任上司说：“关键在于你所讲述的故事以及你讲述时的自信。”我感到非常震惊，我脑海中伟大经理的形象瞬间破灭了。不幸的是，这并不是我第一次遇到不道德的内部审计员，也不会是最后一次。

我所认识的大多数内部审计员都是具有道德操守、认真负责的人。有些人甚至冒着自身安危去做正确的事情；正是WorldCom的内部审计副总裁揭露了其数十亿美元的财务报表舞弊行为。（请参阅2008年3月/4月《舞弊杂志》上Dick Carozza, CFE所写的“特殊情况：与辛西娅·库珀的访谈”）。

然而，内部审计员当然并不是完美的存在，他们也可能犯下与其他人一样的判断错误。虽然没有研究定量评估内部审计员的不道德行为程度，但我们确实有一些内部审计员的例子败坏了他们所从事的职业声誉：

美国，2022年：美国货币监理署（OCC）对富国银行前首席审计师处以700万美元的罚款，原因是他在2016年虚假账户丑闻中多次“失职”。（见“货币监理署法官建议对3名前富国银行高管处以1850万美元罚款”，银行部Rajashree Chakravarty，2022年12月8日。）

乌干达，2021年：一名公共部门内部审计师承认索贿和获取贿赂。（见“Masaka高级内部审计师承认腐败”，《独立报》，新闻，2021年5月7日。）

加拿大，2018年：温莎市的前内部审计师因为朋友的企业提交虚假咨询工作发票而被判入狱。（参见Doug Schmidt的《温莎星报》2018年11月13日报道的“前温莎审计员因舞弊纳税人被判处7个月监禁”。）

英国，2015年：莫里森超市的一名内部审计师因向多家报纸和数据共享网站泄露员工工资而入狱。（参见“莫里森员工Andrew Skelton因数据泄露入狱”，英国广播公司新闻，利兹和西约克郡，2015年7月17日。）

印度，2009年：Satyam计算机服务公司前全球内部审计负责人被捕，并被控与该公司伪造财务报表丑闻有关的“故意压制审计违规行为”。（参见Raghavendra Verma，AccountancyAge，2009年12月2日的“内部审计师因Satyam丑闻面临指控”。）

尽管这些例子远非详尽无遗，但它们确实展示了可能对内部审计职能的可信度产生负面影响的行为。

我们没有一个集中介绍内部审计师可能展现的所有不道德行为的一站式资源。此外，要对ACFE的舞弊树做全面的参考也很困难，因为内部审计师通常无法接触到他们部门之外的资产或交易。然而，舞弊树中包含了一系列内部审计师可能实施的舞弊方案，例如开票舞弊和费用报销舞弊。

不过，根据我从世界各地选定的内部审计从业者那里收集的信息，以下是一些常见的内部审计违规行为示例（无特定顺序）：

声称拥有教育学历或资格。虚假声称拥有认证内部审计师的资格或假装曾就读于某所大学（无论是享有声誉的还是其他）以获取工作、晋升或加薪。

保留不完整/虚假的工作文件。内部审计师应该以专业的方式执行任务，并且应该根据可靠的测试结果提供基于事实的工作文件来支持他们的报告。然而，懒惰或无能的审计师可能会遗漏工作文件，伪造或假造它们，没有解释地忽视审计目标，测试少于要求的样本量，或者未能妥善跟进已经发现的任何测试异常情况。

滥用机密或专有信息。由于他们的工作性质，内部审计师经常接触到机密甚至专有信息。不道德的审计师可能利用这些信息为自己或朋友谋利，例如进行股票交易、获得优惠贷款利率、与雇主竞争商机、从商业计划中获利（例如购买尚未公布的购物中心附近的土地）、滥用员工或客户的个人数据、泄露合同或投标价格信息等。外包的内部审计师可能会从一家公司收集工作产品或数据，然后在其他公司使用或分享。

向管理层或服务提供商索取利益。内部审计师为公司带来的价值在很大程度上取决于他们的客观性。当他们试图从正在审计的对象中获取利益时，这种客观性就会受到损害。例如，要求管理层向内部审计师参与的慈善机构捐款，在审计过程中与管理层拉关系以期在公司内获得下一个角色，试图从市场部获得比赛门票，传递朋友或亲戚的简历等。

外包的内部审计师可能更注重从他们审计的公司获得附加销售和收入，而不仅仅局限于持续的审计。这些行为给受审计方带来压力，并对内部审计结果的客观性产生质疑。

操纵内部审计结果

报告是内部审计员传达他们工作结果的主要方式。不诚实的内部审计员可以通过将报告信息与管理层的叙述（或特定高管的议程）保持一致，删除或淡化发现和评级，误导审计委员会关于内部审计进展或绩效指标等，有意发布虚假报告。

其他不名誉行为

这些行为包括对非法公司活动视而不见、骚扰、歧视、虚假声称符合内部审计标准、监视管理层（例如，在调查完成后仍保留对电子邮件收件箱的访问权限）、在发出审计报告后不披露已知的审计报告错误（即掩盖内部审计的错误）等等。

[参见侧栏：“猎巫、求职和其他形式的不道德行为”，了解内部审计师可能表现出的不道德的行为类型的案例研究。]

成为一名注册舞弊审计师（CFE）的一部分是理解犯罪学话题和舞弊三角理论。尽管这些话题适用于所有不道德行为，但导致内部审计师特定的不道德行为的主要因素可以归纳为两个广泛的类别：审计委员会对内部审计职能的监督不力和内部审计职能的管理不善。

审计委员会对内部审计职能的监督不力

组织的内部审计职能和内部审计主管的独立性和客观性是通过向审计委员会进行有效报告和监督来保障的。

监督不力可能使内部审计职能处于管理层（即被审计的人员）的控制之下。当呈现负面审计结果时，也会增加与管理层发生冲突的可能性，并且（在极端情况下）可能导致内部审计员面临敌对的工作环境（压力、被排除在关键会议之外、被拒绝晋升或奖金等）。

CFE（注册舞弊审计师）和澳大利亚一位审计委员会主席安德鲁·考克斯表示：“有效的监督包括确保内部审计主管与审计委员会和审计委员会主席之间具有无拘无束的联系。曾经出现监督薄弱的情况，使得管理层能够干涉内部审计职能的范围和结果。这种情况将使内部审计主管处于一个困难的境地，伦理可能会受到考验。”

审计委员会监督不力的一些危险信号包括：

• 首席执行官、首席财务官或首席运营官在将审计报告提交给审计委员会之前对其进行筛选。

• 审计委员会成员不会质疑或讨论拟议的内部审计计划以及实施该计划所需的预算。

• 审计委员会不参与内部审计负责人的薪酬和绩效评级。

• 委员会很少在管理层不在场的情况下与内部审计负责人私下会面（或者根本不私下会面）。

• 内部审计职能避免审计业务的某些领域。

• 内部审计职能以前从未接受过审计。

• 内部审计师更喜欢发布没有评级的报告。

• 内部审计职能部门从未发布过令人不满意的报告。

内部审计职能管理不善

内部审计主管负责建立其职能的流程、招聘合格的人员、培训他们的员工以及领导职能的质量保证活动。质量差的领导层为不道德行为创造了机会，并在内部审计团队中引发了不满情绪。一些警示信号包括：

• 员工流动率高。

• 缺乏内部审计领导（软弱/胆小/容易受到恐吓/缺乏勇气）。

• 审计小组缺乏开展工作所需的技能。

• 内部审计师导致多起数据丢失相关事件。

• 内部审计要求IT能够访问高度保护的系统（当内部审计没有进行审计时）。

• 内部审计师专注于建立关系网和讨好管理层。

• 对内部审计师的投诉。

• 审计后反馈调查中管理层的持续负面反馈。

• 有重大错误或遗漏的审计报告。

• 缺乏内部审计业绩衡量标准或一贯表明业绩不佳的衡量标准。

除此之外，还有一些因素可能促使不道德行为的发生，包括企业文化的类型（如有毒或“只传好消息”的文化）以及管理层的道德底线。英国的内部审计领导者Pritesh Dattani表示：“企业的文化和高层的氛围极大地影响着内部审计的行为和效果，正如英国一些企业的失败所表明的那样。”

然而，这些因素的存在并不一定意味着内部审计人员就是不道德的，但它确实增加了不道德行为发生的可能性。有时，内部审计人员在所做和不做的事情上并没有太多选择，并且由于各种原因，他们无法找到其他就业机会。我了解到有一位首席审计执行官不得不匿名使用公司的举报热线报告他在审计报告中被排除在外的问题。这真的不是任何人想处于的境地。

在我们谈论预防措施之前，我们需要了解内部审计师应该如何行事。Dattani表示：“内部审计师在公司中扮演着独特的角色，使他们能够访问人员、数据和系统，以便分析他人的工作并突出改进的领域。” “这个涉及公司各个方面的独特角色，只应由表现出最高道德标准的个人来执行。”

至少，他们应该遵守公司的道德准则以及由内部审计师协会（IIA）发布的道德准则。IIA的道德准则定义了四个原则：

1. 诚信：诚实守信，遵守法律，不诋毁公司或内部审计行业。

2. 客观性：避免利益冲突和披露可能影响报告结论的重大事实。

3. 保密：保护他们获得的信息，不要将其用于个人利益。

4. 能力：遵守内部审计标准，只在具备必要技能和经验的领域进行审计。

在我的职业生涯中，我遇到的绝大多数内部审计师都表现出了IIA道德准则所要求的行为。遵守该准则（以及ACFE职业道德准则）为公司信任内部审计师及其工作结果提供了基础。

以色列内部审计负责人、CFE Doron Ronen表示：“内部审计主管需要成为遵守IIA道德准则的榜样，而不仅仅是将准则传达给内部审计团队，并期望团队做出相应的行为。”。此外，IIA标准要求独立方评估内部审计职能是否符合内部审计标准和IIA道德准则。

虽然大多数公司的内部审计师不会遇到麻烦，但他们确实需要采取切实可行的措施来降低不道德行为的风险：

1. 雇佣合适的内部审计师：进行全面背景调查（包括联系以前的雇主、查看犯罪记录和审查社交媒体账户），并获取他们简历中所列的任何专业资格或学位的证据。通过要求候选人进行演讲、解决问题或撰写审计发现或参与范围来评估其适合的能力。不要仅仅依靠面试问题。

2. 控制资金：在1992年的电影《阿拉丁》中，我学到了一个不同版本的黄金法则：“谁拥有金子谁做主”。在内部审计的背景下，控制内部审计主管的薪酬的人就是对内部审计主管影响最大的人。因此，为了维护审计职能的独立性和客观性，审计委员会应在设置内部审计主管的薪酬、奖金和绩效评级方面扮演积极的角色。

3. 有效监督内部审计职能：询问审计计划如何与公司的首要风险相关联，询问是否存在质量保证流程，并确保内部审计主管每年至少与审计委员会进行一次私下会议，最好更频繁地进行会议。

   Ronen指出：“负责监督内部审计职能的人应熟悉IIA的全球内部审计准则，以及针对公司治理负责人的建议。” “拟议的新全球内部审计准则的草案甚至以更加强有力的方式阐明了这一概念。”（参见“全球内部审计准则”，IIA。）

4. 审计内部审计师：虽然内部审计师忙于审计整个公司，但是谁在审计他们呢？内部审计准则要求合格的、独立的外部机构每五年对内部审计职能进行外部质量评估（有些公司更频繁地进行评估）。这些评估是管理层和审计委员会获取内部审计职能状况和是否符合专业准则的重要工具。通过这些评估，可以清晰地了解内部审计职能的健康状况。

内部审计是公司治理框架的重要组成部分。当内部审计师工作正确时，他们为管理层和审计委员会提供有价值的保证和建议，以改善治理、风险管理和内部控制流程。当然，不道德的内部审计师可能比你想象的更近在咫尺。Dattani指出：“内部审计师的不道德行为可能导致对内部审计职能的信任丧失，或在严重情况下，对公司造成罚款和声誉损害的后果。”

组织和舞弊审查人员需要保持警惕。他们必须确保内部审计控制措施到位并发挥作用，他们需要密切关注不道德行为的危险信号。最后，问问自己最后一次对内部审计职能进行彻底审计是什么时候？