卫士即为企业的安全运营保驾护航的保镖。企业面临的风险首先不是外界的诸如“金融危机”这类系统性风险,而是内部的隐患、漏洞、错弊这类非系统性风险。卫士不是有勇无谋的“打手”,这个问题的落脚点要依靠内部审计中严密的内部控制制度。必须要有以致力于消除隐患、堵塞漏洞、防范风险、审慎经营为宗旨和标志,建立全方位的控制体系、多元的监控措施和设立顺序递进的多道保安防线。所谓全方位的控制是指内部控制必须渗透到企业的各个业务过程、各个经营环节,覆盖企业所有的部门和岗位,不能留有任何“盲区”、“盲点”和“盲人”。所谓多元的监控措施是指既有事后的监控措施、更有事前、事中的监控手段、策略;既有约束手段、也有激励的安排;既有财务上资金流量、存量预算指标的设定,会计报告反馈信息的跟踪,也有采用人事委派、生产经营一体化的策略;所谓顺序递进的多道保安防线,对企业采购、生产、营销、融资、投资、成本费用的办理与管理必须由两个人、两个系统或两个职能部门共同执掌,既是单人单岗处理业务更需要相应的后续监控手续;这种对一线岗位双人、双职、双责的制度可以成为第一道保安防线,能够成为企业保安第二道防线的,在上述制度的基础上建立相关的票据、合同等业务文件在相关部门和相关岗位之间传递的制度,并明确这些文件的签字授权。可以成为企业保安第三道防线的,以内部审计部门能够独立对各岗位、各部门各项业务活动全面实施监督、检查,同时及时将监测结果反馈给最高管理者。 医士即医生。作为医师,审计主管首先要能快速诊断出企业所得的病症,然后对症下药,将病症消除,并以此不断提高企业的抗病、免疫能力,以抵御企业面临的各种风险。这就要求审计主管对企业业务流程、生产经营、财务管理、会计报告有一种敏锐的洞察力和判断力。写到这里,我想起尼克·李森自传《我如何弄垮巴林银行》中的一段描述:巴林银行倒闭固然是我所为,但是伦敦方面的审计来了三次,没查出他私设的帐户,他们应该承担什么和多大的责任?显然巴林银行的倒闭,其内部审计负有重大责任。作为医士,我认为具体有两项要求:第一,能对企业运营中的情况,特别是对“病变”之处敏感度高。因此,审计主管应以自身对企业进行预警的职业要求,能够整合企业的整体业务状况,包括销售、服务、供货渠道、制造、财务、项目及人事管理等所有事务。要建立必要的监控监测机制,形成有效的预警、预报系统,通过内部审计获得洞察企业经营状况所必需的各种信息,在每天的工作中有意识地对企业经营管理、生产营销、财务人事等进行跟踪、监测;运用现代企业管理技术、企业诊断技术对企业营运状况的优劣作出客观、及时的判断,找出企业运行中的弊端及其病根之所在。第二,找出病根后,能够对症下药。一旦发现某种异常征兆就应着手应变,寻求良策,开出药方,以避免或减弱逆境对企业的破坏程度,使企业回复到正常运转的轨道。同时,要致力于增强企业的免疫能力,将企业纠正偏差与过失的一些经验、教训转化成企业管理活动的规范,以免重犯同样或类似的错误。 谋士即高参,这是更高一层的职业要求。由于内部审计在企业内部的权威性(在西方企业,内部审计主要是立足企业出资人的利益,代表享有企业原始产权的股东开展工作)、宏观性(它可以触及到企业的方方面面,必须着眼企业的全局)、独立性(它的工作不应该受到企业某方面的干扰,而且是专职的)等特征,因此有条件去思考、谋划企业生存与发展的一些深层次的问题,这些思索是源于审计人员应有的神圣的使命感,高标准要求自己的责任感。单环节或层次的管理已不足以解决所面临的复杂管理课题,权变、整合和系统化的管理已成为现代企业内部审计的必然选择。内部审计是企业运营的重要组成部分,它的作用除了为企业的创新保驾护航外,还主要在于为企业的创新提供建设性的、可操作性的信息与建议,为企业的创新推波助浪,使企业在战略和战术上都能取得竞争的优势。在出谋划策方面,内部审计要培养自身“逆向思维”、“跳跃发展”的能力,否则难以独辟蹊径,这也是知识经济的本质要求之一。最后内部审计务必做到内外兼顾。进入市场经济时代之后,我们应该深知企业的命运不再唯一掌握在自己的手中,而更多地掌握在供应商、客户及投资者的手中,于是内部审计的范围也就从内部扩展到外部,把企业的内部管理与针对供应商、客户及投资者的外部管理紧密结合起来。