一、“管理层应该考虑……”内部审计报告应该为采取具体行动而提出严谨的整改建议。
当我们的建议仅仅是“考虑”某个问题时,会削弱对问题采取行动的紧迫感。没有任何内部审计人员会希望管理层对建议的反馈就是简单的“好,我们会考虑的。”
二、模棱两可的语句。
我们有时会不自觉地使用像“似乎是”、“我们的印象是”或者“看起来好像是”等短语来降低我们做出论断的潜在风险。但如果你太执着于规避这种风险,那就会出现新的风险,报告的读者就会得出这样的结论,你提交的报告没有确凿的证据予以支持。他们需要了解是否能够信赖你的各种审计发现及建议,模棱两可的词句听起来可能更像是来自直觉。如果你们的报告中有这些模棱两可的词句,复核人员将报告退回并要求你提供更多信息,也就不足以为奇了。
三、强调程度的词。
由于“明确地”“特别是”或“非常”这类的词主要表达强调的意思,看上去不再模棱两可。但是这些强调并不确切,以致于他们会导致另一类型的模糊。强调语句会产生这样的问题,比如“重大的”,是和谁进行比较?“明确地”,又是依据哪些标准?如果你在审计报告中大量使用强调程度的词,那么,同一份报告的不同读者就可能对你所表达的内容形成非常不同的印象。如果用数字23%或三百万就能够说明一件事情,使用“非常大”又究竟意味着什么呢?
四、绝对化。
避免模糊不清是好的,但使用像“所有”“没有”“从来不”和“总是”等词也是一种风险。“你总是”和“你从来不”对于客户来说都是容易引起争议的提法,这会促使他们寻找例外来驳斥你,而不是检查真正存在的问题。你可以说一共测试了10 笔交易,并发现这10 笔交易都没有经过批准,这样会比较合适。但如果说所有交易都没有经过批准,就显得过于武断。
五、指责。
内部审计报告的目的是带来积极的改变,而不是确定责任。当我们的报告让人觉得我们站在中立而不是对抗性的立场上时,客户就更有可能与我们达成共识。我们的目标就是提出问题根源,而不是要公布当事人的名字。审计报告确实需要落实根据建议进行整改的责任人,但如果说“这都是弗雷德的错”,结果就会很糟。
六、失败。
报告中如过度使用“管理层未能实施适当的控制措施”这样的陈述,就一定会惹恼那些能够提供解决方案的人。我们应当简单地说明问题,不要使用像“缺乏”或“不能”等词来进行指责,这样才更有可能产生所需要的整改行动,同时要有助于维护与管理层之间的关系,为下次我们能够再在该领域继续开展审计工作打下基础。
七、“被审计对象”。
几年前,接受审计的机构或个人通常被称为“被审计对象”。但那是过时的说法。现在许多专家都认为这个词汇带有负面的含义,同时还暗示了接受审计的机构被迫接受了审计。内部审计已经成为一种合作的工作过程,像“审计客户”和“审计顾客”等词汇就能够表达我们正在和管理层一起工作,而不是指导他们工作。
八、专业术语。
每个专业都需要特定数量的专业语言,但是我们在内部审计报告中用的技术术语越少,我们的信息就会更清晰。如果你的审计报告中一页多的篇幅都是用“交易控制”、“分层抽样法”或“非同步传输模式”等术语,你就会发现一些读者在阅读报告时半途而废。
九、委婉的自夸。
我们都倾向于在审计报告中使用像“内部审计发现”或“我们发现”这样的表述,如果内部审计由于一开始就发现了某些肤浅的问题而沾沾自喜,管理层通常对此感到不满。
十、冗余的词。
你希望这些审计报告的读者都记得你的建议并采取行动进行整改,所以不要把那些建议埋没在大堆华而不实或冗余的词藻中。例如,当可以用“由”时就不要用“由此种方式”;当你是指“现在”,就不要用“在目前的时间”;可以用“为了”时,就不要用“为了达成该目标”。