企业文化审计

如何审计“组织的文化”

如果是大约十五年前开始工作的人，应该还会对安然、世通、阿德尔菲亚等公司惨遭失败的事情有印象。随着真相不断变得清晰， 越来越多公司运营中的违法行为和不当做法被揭示了出来，这些行为重创了国际金融市场，迫使无辜的员工和利益相关者来承担无法补救的经济损失，人们理所当然地会感到震惊、沮丧和愤怒。

金融权威和专家们不禁要思考，我们为了防止这些情况发生制定了那么多控制流程， 为什么无一例外地都遭到了失败？愤世嫉俗的人则会得意地点着头，告诉你这也许可以让天真的顾客认清公司生活的丑恶现实，使他们了解到失去控制的资本主义会带来什么负面影响。

十五年过去了， 现在的我们也许悄悄长出一口气， 觉得这种公司的不正当行为应当不会再发生了。很遗憾，按照目前的事态和各种媒体渠道的报道来看，真实并非如此。

不良公司文化导致违法行为和不当做法并不罕见，由此而来的问题不再仅仅是“董事会和执行管理层为什么没有采取措施？”，还包括“内部审计为什么没有发挥作用？”内部审计也因此需要同时面对前所未有的挑战和机遇。内部审计的独特地位， 让它可以通过对文化这个“ 软”因素狠下功夫， 从而为组织增加价值。

什么是文化？

对于文化，一个简单的定义是：“某时某地我们做事情的方法。” 这句话也许能够让我们有一个初步的了解，但文化的内涵绝不仅止于此。三十人集团（G30）在最近发布的一份关于银行业组织文化的文件中用价值观和行为来定义文化，并把它们作为文化的两大基石，通过它们建立一个具有操作性的平台，对文化进行检查、改善和审计，因为价值观和行为是能够被观察和衡量的，还可以在原则和准则中形成正式的要求。此外，高级管理层在设定高层基调的同时，就可以明确地表达出他们推崇什么样的价值观和行为。

有关不良行为的坏消息

公司中的不当行为仍在继续发生，似乎并没有减少：

■ 2015 年 9 月，大众公司承认开发并安装了用于规避美国尾气排放规定的软件。这家汽车制造商宣布将会召回一千一百万辆装有上述软件的汽车，此次召回行动预计将会带来六十五亿美元的损失，同时还会对公司的品牌造成不可估计的影响。

■ 安永会计师事务所发布的报告《 2015 年欧洲、中东、印度和非洲舞弊调查》中指出，百分之五十一的受访者认为他们所在的国家中行贿和腐败横行，甚至有更多人（百分之六十一）指出发展中国家的腐败行为屡见不鲜。百分之三十七的受访者则认为他们所在国家的公司经常会出具虚假的财务报表。

■ 2015 年 3 月，德国商业银行与美国联邦政府和纽约州政府就违反美国交易法一案最终达成了民事和刑事和解。还有报到指出，随着对奥林帕斯公司舞弊案的调查，还揭露出德国商业银行由于未能建立一个适当的合规项目来提前发现可疑活动和阻止高风险交易，同时也违反了美国 1970 年颁布的《银行保密法案》等其他反洗钱法规。

我们还可以考虑一下什么不能被称为文化。文化不是一系列预先设定的准则、法规，或适用于所有组织的实务标准。文化是每个组织个性的组成部分。适合某一家公司的理念未必就适用于另一家公司。强有力的文化更依赖于双向沟通，而不仅仅是由上至下的命令；通过协作来进行决策；通过团队努力来实现目标。通过考察一家公司对治理的态度、与客户的关系、哪些东西对这家公司很重要（体现在价值观中）、它如何对待自己的员工、如何应对负面事件的发生、在竞争中和在行业中表现如何，我们就可以在很大程度上了解它的文化。

为什么文化应当是每项业务的一部分？

不讲究职业道德的行为会将组织置于风险之中，甚至可能会导致组织最终的失败。如果某个事件对于组织能否取得成功具有如此重要的意义，那么我们就必须对其进行深入的定期检查。

《福布斯》杂志最近指出，文化是审计中最没有得到应有重视的因素，文章写道：“对文化的审计可以让我们清晰地看到公司的核心 DNA，而正是核心 DNA 左右着决策的过程、问题的解决和跨职能的沟通流程。”对文化的审计能够帮助组织积极地管理风险和在问题爆发之前及时纠正内部控制中的缺陷，从而为利益相关者提供价值。要能够真正发挥“提前预警”的作用，就不能把对文化的审计作为一年一次的任务（且很少有例外）。必须在每一项审计业务中包含对文化的检查，让审计人员看到有价值的趋势和共性，为组织提供长期监控的基础。尽管文化一直被看作是一种普遍的、覆盖整个组织的“思维模式”，它同时也可能会在不同区域、不同分支机构、不同部门甚至不同场所呈现出不同的现象。

对文化进行定期和持续的评估对于在多个国家和地区开展业务的组织来说尤其有益。文化能够在不同的地方生根发芽，但位于遥远场所、区域和国家的雇员可能会对向总部报告有关文化或职业道德方面的问题感到犹豫。对于文化的开放式讨论能够帮助确保董事会能够理解这些行为，并鼓励汇报和沟通。评估结果还可以用于支持那些在不同国家和地区负责处理文化事务的人员。我们必须能够清楚地了解不同地方的文化与整个组织的文化有什么异同，如果存在冲突，我们必须要有能力进行处理。

需要对哪些东西进行审计和衡量

在对文化进行审计的时候需要考虑的因素很多，以下列举了部分范例。对于接受审计的文化的某个方面，内部审计人员需要确认这个方面是否适应组织的要求，并且关注了与它相关的环境、机遇和挑战。

对满意度/意见的考虑

■ 雇员观察到的不当行为和对上述行为的报告。

■ 雇员对其所处的环境和文化的看法。

■ 雇员认为强有力的高层基调是否存在。

■ 雇员对于合规和职业道德项目的看法，以及在他们眼中合规和职业道德项目在组织中的重要性。

■ 雇员和客户调查的结果。

■ 客户的投诉。

培训

■ 是否存在对新老员工的全面培训项目，是否根据岗位的不同进行了有针对性地设计。

■ 培训的频率和出勤情况的记录。

■ 评估培训有效性的机制。

合规

■ 对提供线索的人员身份和权利的保护（例如，对提供线索的人员或在其他人眼中提供了线索的人员的职位变动、绩效评估的结果和被分配到的工作内容进行监控）。

■ 组织出现法律方面问题的频率。

■ 内部审计和其他确认职能发现的风险和控制中的问题数 vs. 职能部门自主发现、主动披露和积极处理的问题数。

■ 整改措施的时效性和有效性。

人力资源管理、激励措施和强制措施

■ 组织在媒体上（包括社交媒体）遭到负面曝光的频率。

■ 对于违反规定的人员的处罚措施是否得当，是否保持一致性。

■ 对无心失误的处置是否得当。

■ 员工离职率

软控制的证明

■ 胜任素质——适应性强，愿意学习提高。

■ 信任和开放——团队合作精神，在解决问题的过程中帮助和依靠他人。

■ 优秀的领导能力——通过以身作则指导和领导。

■ 保持高期望值 ——努力提高，设置更高的标准。

■ 对价值观的认同——用正确的方式做正确的事。

■ 职业道德高标准——诚信、平等、公平。

如何对文化进行审计

作为一项常规的确认和咨询业务，对文化的审计需要内部审计师保持开展其他业务时的高水准：遵循有关的标准和原则，利用富有洞察力的访谈技巧，采取具有针对性的调查流程，依赖客观的评估结果。可信和信任对于鼓励被审计部分的员工积极参与具有十分重要的意义。良好的沟通——特别是在向管理层通报问题的时候——对于以友好、合作的方式促成变革来说也是必不可少的。

内部审计如果不能深刻理解组织的价值观和行为标准，不能充分认识这些因素如何影响组织在良好治理、风险管理和控制等方面的工作重点，就无法有效地对文化进行评估。培养出这样的深刻见解，应当是一个协作努力的过程，不但需要内部审计人员的投入，还需要其他职能，特别是合规和职业道德部门的帮助。由此获得的知识让内部审计有能力关注文化的外在指标，并对深层次原因进行分析——发现和理解为什么会出现问题，以及这些问题如何导致了不当行为的产生。

内部审计的角度和职能使得它特别适合于对公司文化进行检查，但想要获得成功，完善的准备工作仍然必不可少。要为在每项审计业务中对文化进行评估，必须做到：

1、 利用可以获得的资源。

举例来说， 金融稳定委员会为金融机构提供了有关如何评估风险文化的指南。实际上其他行业也可以参考。该指南确定了四个可能会影响组织风险文化的关键领域——高层基调、问责制度、有效沟通和激励制度。除此之外， 指南还为每个领域选定了多个绩效指标。值得注意的是，在使用和参考这些资源的时候，必须对其中的难点、存在的限制和潜在的局限性有所讨论，毕竟这些资源都是在过去经验的基础上建立起来的。

2、检查有关员工投入程度的调查问卷及其它组织用来调查工作满意度和预测绩效的工具。

对这些工具中的问题给出正面答案的员工，可能会更愿意投入到工作中去，也更可能会继续留在组织中任职。在开展内部审计业务的时候，可以寻找机会开展深层次原因分析，对员工投入程度较高和较低的领域进行研究。把员工的投入程度和审计发现综合起来考虑，由此向人力资源部门提出如何强化组织文化的建议。

3、确保获得董事会、审计委员会和执行管理层的支持。

在正常的程序中，应当先知会首席执行官（ CEO），再把问题提交给董事会和审计委员会讨论，以便 CEO 能够有所准备。在理想情况下，CEO、董事会和审计委员会都应该支持对文化的持续评估。接下来，还要寻求执行管理层的支持，因为他们是否愿意支持内部审计在各项审计业务中对文化进行评估，对于整个流程是否有效具有不可忽视的作用。内部审计不应该因为存在抗拒，就放弃对文化的评估，但是审计人员必须充分了解他/她所工作的环境。因为这样的抗拒也许就意味着文化方面问题的线索。

4. 分别做出两个相对独立的决定。

一个是选择什么样的工具或方法开展工作最适合组织的情况。观察可能会是主要的方式，但是也不应忽略可定量衡量的工具，如对员工的问卷调查等，通过这些手段，可以收集到能够反映文化的指标。文化往往不会体现在审计人员通过传统的控制测试收集到的具体证据中，董事会和执行管理层也应当认识到获取有关文化的具体证据存在相当的难度，并愿意接受这一现实。然而，审计人员通过更多地使用问卷调查和精心设计的访谈，所能收集到的具体证据也会更多。

另一个重要的决定是如何在审计中表达有关文化方面的问题。一种方法是使用成熟度模型。这包括了询问高级管理层和董事会，了解他们眼中组织文化包括哪些特征，分析在实际操作中每个特征层面的成熟度如何，以及他们所期望的成熟度如何。内部审计工作由此可以确定组织在多大程度上实现了他们的期望。 发现存在的差距则能够帮助确定在审计业务中应当在哪些地方加大对文化的关注。

5. 培训员工。

我们已经提到过，内部审计人员应当使用他们在常规审计业务中展示的胜任能力来对文化进行评估。商业头脑作为成功内部审计人员必备的10项核心胜任素质 7 之一，就包含了对组织文化方面内容的考虑。也许有些内部审计人员在刚开始的时候会不太习惯处理组织文化这样一个过于主观的概念，但通过培训和经验就能够克服这一问题， 这也是职业发展和技能提高的重要一环。

6. 严格监管审计人员，确保主观性较强的材料不会导致他们得出不恰当的结论。

其他考虑

需要牢记的是对文化进行审计所得的结果，只能反映组织在某一个领域中的情况，不能体现组织的整体文化。最终，必须以整合的眼光看待不同领域得出的审计结果。 总的来说， 对文化的审计必须是从上至下、同时由下至上的双向过程，需要不断评价、 调节和校准。

员工的看法有时会发生偏差，可能是因为对于目前已经在使用的流程缺少了解，也有可能是因为完全的误解；有时，管理层的介入能够解决这一问题，例如通过设计合理的沟通能够弥补缺失的信息。如果发现了证据，那么应当将调查结果、 审计证据和改进建议一并进行报告。许多组织已经在所有员工中开展大范围的调查，主要是通过人力资源部门对这些工作进行管理，这样的调查可以作为评估文化的助力。

内部审计可以事先对调查的问题进行审核，看是否设计了关于文化和职业道德的问题，如果没有，可以建议增加这样的内容。如果受访者对调查中有关文化的问题的反馈是负面的，可以从以下几个方面利用他们的答案：发现未来应当进行评估的风险，将某个特定领域纳入审计范围并制定审计计划，用来与审计中所做的测试结果和发现的异常情况进行比对，或者立刻进行调查（在得到授权后）。不论使用何种类型的调查问卷，至少要做到以下两点，才能使得调查切实有效：

■ 员工不会因为提供诚实的答案而感受到威胁。如果员工担心可能会失去自己的工作，或遭到任何形式的打击报复，则提供调查希望获得的信息的可能性就会大幅下降。

■ 必须让员工感受到他们提出的意见会得到妥善的考虑，并会采取相应的措施加以处理。

在审计业务结束时，内部审计人员应当以清晰、客观的方式向董事会和/或适当的机构进行汇报。 把对文化的评估作为审计的一项内容并不会改变这种方式；文化只是报告中新增的一个部分而已。然而，对文化的报告可能需要采取一种不同的对话方式来与审计委员会主席或 CEO 进行沟通，需要传递比较主观的判断意见以及使用更加有效的沟通技巧。同时，定期把各个审计业务中对文化的意见收集起来整合成更具全面性的报告，可能会对审计委员会主席和 CEO 这样的沟通对象更有价值。

与其他内部审计人员通报和沟通的问题一样，如果在审计业务开展过程中发现了潜在的问题，也应与管理层定期进行沟通。管理层不应在接到审计报告时才首次了解到审计业务的意见和结论。 还有一点很重要，由于文化从高层定下的基调开始，而内部审计的地位让我们能够最好地了解整个组织的情况，并由此对组织文化的贯彻情况出具意见。

最后的思考

内部审计的年度工作计划已经涵盖了组织的许多方面。为什么还要再加上文化呢？因为对文化进行审计能够帮助组织管理文化。很难想象一个组织希望管理自己的财务、内部流程或信息系统，但却没有对什么地方存在差距、操作不可行、沟通不顺畅甚至存在舞弊现象进行持续审计。鉴于文化对于组织能够获得成功的意义十分重大，一家公司如果不能对文化开展长期的、持续的审计，就会向其利益相关者发出一个负面信息：公司的价值观和工作重心存在问题。

文章来源： IIA 研究报告《审计文化——对“软”要有“硬”的研究》