内控闲谈
前些日子我们的集团总部到我们中国区进行内部审计,活活地被折磨了2个多月(1个半月的准备时间,半个月的现场审计)弄得我筋疲力尽、嗓子嘶哑,现在恨不得休个年假。因为我们集团的内部审计是出了名的严格,很多公司的CFO、CEO都倒在他们的审计之下。我们对审计原先也没有抱多大的希望,因为我们之前请来了已经通过审计的国外兄弟公司过来帮我们抓问题,他们的判断是非常悲观的。果不其然,我们的审计最终结果是:Unsatisfied !
当审计的几个冷血们,在会议室把他们的所观察到的(Observation )所谓的事实、所谓的违背公司原则的事项、所谓的建议讲了一大通,之后在最后一页很醒目地得出结论是:本次审计没有通过,你们有多长时间可以申诉、如不申诉或申诉无效则多长时间必须按照他们的建议进行改善,他们会定期跟进了解我们的改善情况等等。当时我们中国区CEO在内的所有的执行委员会成员们都恨不得吃了他们,可是人家是那么得坦然,那么的职业!
其实他们的最终结论出来以前,他们将他们的工作草稿跟我们沟通过一次。我们一群人当时感觉还不错,跟对方较真地说:“这段话有问题!你既然讲的是事实那么不能有‘there may not …’、‘it will be …’这种字眼——因为这是你的‘image’不是‘fact’。”。甚至有人语带威胁说:“如果你们的报告用中文出,那么你们死定了!汉语的遣词造句,我们比你们强多了!”。审计人员含含糊糊地表示可以考虑你们的意见,没有想到他们在最后的报告里在原则性的问题上基本上没做任何更改。我们大家都很失望,不过对我所控制的部分审计表示比较满意,但我还没来得及高兴,紧接着说到:这样好的控制经验没有在其他地方得到共享,说明我们内部的沟通环节有问题!
所以虽然我不是什么内控专家,但是对内控的机理、容易出问题的环节,多了一些了解,下面是我的一点心得(失败的经验也是很宝贵的~),或许对应付内部审计有一些提示吧~
首先,做好内控工作的关键是最高管理层对风险的认知程度和规避的态度,这是给内控的整个框架定基调的部分。就我们公司来说,因为是总部在瑞士,在美国上市的500强企业,所以对各种风险的控制是非常严厉的。尤其是需要提交SOX法案要求的管理层