首先,请大家来看一段案例,并思考:假设你是下列案例的内部审计师,你认为该审计问题是否得到整改?审计事项是否形成闭环?
一个组织在生产过程中要使用多种爆炸品,处理爆炸品需要谨慎和经验。因此,组织政策规定,所有爆炸品处理者要完成该科目的课程学习,并获得爆炸品处理的资格,井持有证明其资格的证书。这些人每年都需要经过处理爆炸品知识和能力测试,重新取得证明其资格的证书。
内部审计师检查了证书取得的程序,以及相当部分处理者的资格证书状况。内部审计师发现没有一个制度告知这些处理者或他们的主管需要进行年度的测试。此外,内部审计师询问了100个处理者中的30人,发现有2人根本没有取得任何资格,有3人的证书已过期,上述5人都被安排进行日常的爆炸品处理工作。
内部审计师立即报告上述审计发现。作为回应,生产经理对上述5个员工进行测试并授予其资格。然后,他告知内部审计师上述信息,并声称他已纠正了缺陷。
这个案例摘自《索耶内部审计》。在我学这个案例之前,我一直认为审计执行,就是被审计单位完成对审计问题的整改。所以,如果我如果是该案例的审计师,我会认为该审计问题已经整改完成,审计事项已完成闭环。
但是,学完这个案例之后,才发现这个审计执行远远不够。具体有如下原因:
1.该整改措施没有回应审计报告中提出的缺陷——资格证书的管理缺陷。被审计单位需要对资格证书管理流程及办法提出明确的整改措施。
2.该整改措施没有完整地纠正问题,因为被审计单位只对审计师发现问题的5人进行整改,而未对审计师未检查的剩余70名处理者,进行检查,确认其整改情况。
3.该整改措施没有连续性。因为没有建立制度去确保处理者和他们的主管被告知在证书届满时应如何处理。
4.缺乏监督,相同的问题可能下次还会发生。因为没有作出规定,保证处理爆炸品的人员得到培训并获得资格。
书上关于该审计执行,给出的比较彻底的改进行动如下:
● 负责培训和证书的人事部门将其建立的列明每个爆炸品处理者的姓名和证书届满日期的卡片履历存放于到期备忘卷宗中。而资格卡片则放在待处理的卷宗中,只有在收到重新认证的情况下才被置换。
● 对100名处理者进行检查,以确定他们是否都有合法、有效的资格卡片。
●处理者的证 书期满前一个月,这些处理者的经理将会被告知所需进行的重新认证。他们还会被告知,即便重新认证的日期已公布,但任何处理者的资格仍可能被在此之前终止。
● 首席安全工程师应指导属下的工程师。他通过巡视厂区以发现违反安全规定情况,并核实所检查的爆炸品处理者是否都具有有效的证明资格卡片。
这个案例给我带来的启发:
我们在抓审计问题整改时,不能仅仅满足于解决表面问题。虽然解决表面问题,审计执行工作推动起来会更容易,但也容易治标不治本,同样的问题可能屡次再犯,审计效果也不容易体现。如果我们每一次在推动审计问题整改时,能够帮助公司彻底地解决某一类问题,虽然过程可能会难一点,但是效果确实非常显著的,审计给公司提供的服务价值也更能突出!
下次,我们再推进审计问题的整改时,一定要注意满足以下四个特征:①回应审计报告提示的缺陷;②完整地纠正缺陷的所有主要部分;③保持纠正行动的有效性;④得到监督以防止缺陷重现。
网友评论