一、组织文化的概念 组织文化泛指在一定社会历史环境条件下,组织的价值追求以及在实现价值追求过程中所创造形成的独具特色的精神文化、行为文化和物质文化的总和。 组织文化概念起源于二十世纪八十年代,是美国管理学者总结日本管理经验后提出的,认为日本企业成功的关键因素在于其特有的组织文化。美国管理学者特雷斯.E.迪尔和阿伦.A.肯尼迪认为,组织文化包括价值观、英雄人物、习俗仪式、文化网络、组织环境。管理学者约翰.P.科特和詹姆斯.L.赫斯克特认为,组织文化是指一个组织中各个部门,至少是高层管理者们所共同拥有的价值观念和经营实践。国内管理学者认为,组织文化的内涵是指组织的核心理念、经营哲学、管理方式、用人机制、行为准则的总和,其中最为主要的是组织的核心价值观。IIA认为,可用价值观和行为来定义组织文化。中国审计学会副秘书长刘力云认为,组织文化包括四个层次:价值观、行为、规章制度和外在形象,其中价值观是组织文化的灵魂、核心和源泉。 二、开展组织文化审计的必要性和可行性 组织文化学奠基人劳伦斯·米勒认为,谁拥有文化优势,谁就拥有竞争优势、效益优势和发展优势。从内部控制的角度看,组织文化作为一种软性的内部控制要素,越来越受到各方的关注。COSO内部控制整合框架(2013)将组织的诚信和道德观作为内部控制环境要素的首要内容。COSO新的ERM框架(2016)将风险治理结构和文化作为新的五要素之首。IIA指出,过去的经验表明,组织的文化能够为组织的财务、运营和声誉带来直接、甚至是负面的影响。《福布斯》杂志认为,文化是审计中最没有得到应有重视的因素,不能接受的行为或者不符合职业道德要求的行为会将组织置于风险之中,甚至可能会导致组织最终的失败。近年来,全球范围内发生了一系列重大丑闻,包括日本东芝公司虚报利润、国际足联官员索贿受贿、德国大众公司汽车尾气排放标准造假、埃克森美孚石油公司隐瞒气候变化风险等,这些事件背后可能就是组织文化的重大偏差。 IIA研究报告《全球视角和观点:新兴趋势》指出,文化包含了一个组织的信条和价值观,主要通过其员工的行动和行为表现出来。良好的组织文化首先应当由高层确立,由组织的核心价值观和职业道德规范来规定,明确地表达出哪些行为是组织希望看到的,哪些行为对于组织而言是不合适的。内部审计拥有对整个组织各个层面全面而客观的认识,具备检查组织文化可能为组织带来风险的潜力。内部审计有责任对与文化有关的问题进行确认,包括组织文化与核心价值观是否保持了一致,组织文化是否鼓励讲究职业道德和遵循法律法规的行为。内部审计通过提供确认和咨询服务,能够帮助组织监控和强化其文化,并对可能存在的问题提出警示。不论内部审计部门是否具备相关的胜任能力,对组织文化进行审计已经进入了内部审计的视线。根据甫瀚咨询开展的2016年内部审计胜任能力调查的结果,对组织文化进行审计在内部审计负责人心目中的工作重点里排进了前五。 三、全球开展组织文化审计的概况及审计方法 (一)基本概况 据IIA 2016年内部审计全球脉搏问卷调查显示,89%的被调查者表示他们所在的内部审计机构能够理解与组织文化相关风险,但只有53%的被调查者表示他们的内部审计机构知道如何对组织文化进行审计,只有28%的被调查者表示目前已开展对组织文化的审计。内部审计部门开展组织文化审计的原因包括:内部审计部门认为文化是一项高风险(40%)、组织高层管理层要求(30%)、应对与文化有关的事件(29%)。问卷调查还显示,导致不能对组织文化开展审计的主要原因包括:缺乏胜任能力(25%)、没有获得组织内部应有的支持(23%)、缺少时间(21%)、对文化的评估由组织的其他部门负责(18%)。 (二)审计方法和途径 IIA在2016年发布的《全球视角和观点:对文化进行审计——对“软”要素的“硬”研究》一文中提出了“三道防线模型”法,认为内部审计部门可以通过系统、规范的方法对组织与文化相关的活动进行评估并帮助组织改善提高。在对文化进行评估时,每一道防线的职责应当包括:第一道防线是业务条线管理,负责对希望看到的价值观和行为标准进行设定、沟通和建模;第二道防线是负有监控职责的部门,如职业道德办公室等,负责设立有关职业道德的项目,监控与文化有关的风险及相关的政策和程序的遵循情况,并为第一道防线提供建议;第三道防线是内部审计,负责评估对组织明确的或期望中的行为标准的遵循情况,并对组织文化能够支持组织的目标、战略和商业模式进行评估。内部审计负责评估整体文化,并识别文化薄弱的领域。IIA全球理事会主席Angela Witzany认为,对组织文化进行的审计必须嵌入到每一项审计业务中去,为组织开展持续监控和帮助内部审计部门发现早期预警信号划下一条基准线;CAE可以通过制订风险导向审计计划并与组织高层保持良好关系,帮助组织建立健康、优秀的文化,以实现组织的战略任务和达成相关的经营与运营目标。IIA研究报告《全球视角和观点:新兴趋势》认为,至少有三种方法可以用于对组织文化开展审计:在组织范围内专门开展对文化的评估;嵌入到部分(或全部)审计业务中的文化检查;通过整合一段时间内对一系列“微观”文化评估的结果形成报告。对组织文化进行审计的方法如图1所示。