最近和团队中的新同事交流，讨论到内部审计一些基础性的问题，比如内部审计是干什么的？内部审计能干什么？审计问题是什么？等等。尤其是对审计问题，在讨论中有一些感悟，梳理如下。

      德国著名物理学家，量子力学的主要创始人海森堡说过：“提出正确的问题，往往等于解决了问题的大半。”

      庄稼地里的植物再茂盛，如果打不出粮食也没有价值。而内部审计工作最直观的产出物就是审计问题。内部审计人员如何正确提出有价值（好）的审计问题呢？

      好的审计问题不仅仅是揭示风险，还会激发思考，帮助发现之前被忽略的重要问题，进而促进管理提升。

      对审计问题加大整改力度是一方面，正确提出审计问题也很重要。在很多审计报告中，审计问题混淆了问题表现和问题原因，以为描述的是问题，但只是结果的镜像。

      审计问题的作用路径应该是：从经营一线抓问题事实，剖析管理原因，推动条线有效整改。

      沿着这个路径，在落笔写审计问题之前，搞清楚什么是事实、什么是问题、什么是原因非常重要。

      我们结合一个常见的审计案例，探讨下如何提出有价值的审计问题。

      这个案例的背景是，根据内外部管理制度规定，客户经理要定期对建立某类客户关系的客户进行回访，做好存续期管理，确保客户交易符合法律规定的资格要求。

      审计人员对这个内部控制点检查发现：XX客户建立客户关系时所用的证照资料已经过期，但客户在过期之后仍有交易发生。

      这其实只是事实、现象，不是问题，更不是原因。但很多审计报告上的问题就停留在事实镜像这一层，审计问题的描述一般为：

      XX客户建立客户关系时的证照资料已经过期，但客户在过期之后仍有交易发生，不符合可交易客户的资格要求。

一般的审计建议会有两条：

1.关停XX客户的交易，并做好客户反馈和说明工作。

2.举一反三整改，客户经理加强存续期管控，定期进行回访。

这样的问题描述和这样的审计建议，形式上都没有错，但发生屡查屡犯的概率很高。

      因为报告的所有阅读者都觉得这个问题和自己没有啥关系。

      这样的建议也等于没有说，因为如果所有客户都要做定期回访，那么在客户经理分管客户很多的情况下，客户经理将不是在做回放，就是在去做回放的路上。

      “一眼看到的原因往往不是真正的原因。”

      这样的审计问题，实际上只是描述了事实，但并未分析原因。而审计问题如果只描述问题的结果，对改善管理并没有价值。

      如何避免事实“镜像”式审计问题？

1.跳出拟态环境

      作为一名合格的审计人员，在分析存在这个现象的原因之前，首先要了解存续期管理的工作要求和工作流程。

      这么做的原因，是为了防止陷入“拟态环境”中，犯“刻板印象”的错误，避免《舆论》中所说“当你形成一个观点时，也许你对事件的真实情况远谈不上了解”，“我们在观察中会倾向于选择性地识别我们熟悉的符号，这些符号代表着一些观念，我们会用脑海中储存的图景将这些观念补全”。

2.从常识和逻辑出发

      从常识和逻辑的角度，对这个事实存在的原因进行分析，不外乎有如下几种可能：

1.客户经理不知道需要在存续期进行回访。

2.客户经理知道要回访，但没有做或者虚假动作。

3.客户经理管户太多，还没有排到XX客户。

4.客户经理回访了，在下一次回访之前过期了。

3.提出正确的问题

      原因分析完了，再进一步进行佐证，才能准确提出问题：

1.二道防线管理部门的培训宣导不到位，或者客户经理缺乏制度了解的途径。

2.客户经理履职不到位，或者存在诚信问题。

3.内控资源承载力不足。

4.系统缺乏临期提醒功能。

4.价值创造和数字化思维

      基于事实描述和分析思考，将对事实的还原和分析的结论落实在可行的建议或方案上，建议不仅仅要能执行，执行效果还要可评估。

审计问题的阅读者是被审计对象，那么对其有价值的事就是满足客户的需求。而审计建议或方案必须有明确的边界和可以预见的效果，才能有效落地，填补管理需求。

      对这些问题，从通常经营管理的角度可以提出如下审计建议：

1.管理部门做好制度宣导和执行情况检查。

2.加强客户经理合规意识教育，采集回访信息，抽样核验。

3.做好资源配置，平衡客户经理工作任务。

      从数字化思维的角度，还可以进一步提出数字化解决方案：

1.业务系统关联证照签发机构数据，自动监测证照有效的临期的信息，推送给客户经理 （制度数字化）。

2.通过客户经理手持终端的GPS轨迹和回放照片的GPS信息读取识别地点，匹配推送任务（减少客户经理信息录入，为基层减负）。

3.根据客户在网情况、日常交易行为评分、风险阈值识别，差异化定期回访推送任务 （更好地适配内控资源承载力）。

审计问题最常见的问题就是“问题屡查屡犯”。对此，从提出好的审计问题的角度思考，“屡查屡犯”只是事实重复出现，原因却大相径庭。

第二年现场检查，审计人员对这个内部控制点又发现一个事实：

YY客户建立客户关系时所用的证照资料已经过期，但客户在过期之后仍有交易发生。

从事实表现上看，这个问题好像是一个屡查屡犯的问题，但真实情况呢？

在判断这个问题是不是屡查屡犯之前，审计人员还是需要跳出拟态环境，防止经验主义错误，需要了解问题发生的场景是否发生了变化。（不断学习的能力）

去年检查发现这个问题后，在落实整改过程中，被审计单位对系统功能进行了完善，可以自动监测证照有效的临期的信息，推送给客户经理。

在此背景下，这个事实存在的原因有如下几种可能：

1.对YY客户，系统并没有产生自动监测推送任务。

2.对YY客户，系统产生了自动监测推送任务，但客户经理没有接收到。

3.客户经理对系统推送的任务，没有认真核实。

原因分析完了，再进一步进行佐证，才能准确提出问题：

1.系统自动检测推送模型或规则不完善，存在漏报。

2.系统任务推送机制存在缺陷，任务溢出。

3.如果是原因3，那么就是一个典型的屡查屡犯问题。