正文
1)
部分审计结论重文本描述而不重业务实质
:
“明月有情还顾我,清风无意不留人”,婉约派的一首温文尔雅诗词,当成了反清复明的罪证导致进士徐骏被雍正斩首。这段引述有点过分,但是确实也反映了当前审计报告中普遍存在的一些问题(流程各种自检也类似):
Ø
“
虽然你没造成损失,但是你违反了XX流程”
Ø
“
虽然这样做没有风险,结果也是好的,但是你没有遵从XX发文”
Ø
“
你没有遵从XX流程,这次虽然没有风险和损失,但是以后你敢保证不出问题?”。
流程就是这样,文件上写的越多,被查出来的问题越大,比如现在的MO/MAE和PROC流程。流程规则越少,审计问题就越少,因为调查失去了文本依据,比如工程交付流程7.11服务交付集成,各个L3都没流程文件,审计查无可查。以此类推,哪天我们把LTC流程日落成“销售、交付、回款”六字诀,是不是内控成熟度都可以到100%了?
一方面我们的流程Owner为了减少业务中的违规不断“完善”我们的流程规则,另外一方面我们的内控人员热衷于对照我们的流程文本和业务实质玩“大家一起来找X”,结论给GPO再把流程打补丁。这种滚雪球,导致公司现有的流程越来越复杂,各级管理者热衷于增加流程管控点降低审计风险,最终LTC流程“优化”的一个结果就是一线按时投标变成了违规。
如果我们的内审部门能看是否有实质损失,重点审“少赚钱”和“多花钱”,唯一的依据就是业务常识和红线(假设公司现在泛滥的红线已经被治理了),抛开所有的流程文本,是不是内审就真的成了业务的伙伴?是不是流程Owner就没有任何借口不放权、不简化了?
2)
部分审计问题逻辑值得商榷
:一只南美洲亚马孙河边热带雨林中的蝴蝶,偶尔扇几下翅膀,就有可能在两周后引起美国得克萨斯的一场龙卷风。现在德州发现了龙卷风,哪只蝴蝶是始作俑者?基于有罪假设,某只蝴蝶被判定为违规的蝴蝶要证明自己扇动翅膀没有导致龙卷风是有口难辩。目前部分的审计结论,会出现基于后端发现的某个问题,一定来定性某个前端的流程不遵从。然而这个不遵从是否一定会导致后端的问题,这个是没法证实的。即使这个问题在大部分其他代表处也存在,而且没有导致后端出现同样的问题,但在本代表处还是可能定性为XX流程未有效遵从;