继我国推动巡视制以来，随着巡视组向央企国企、金融、医疗系统各个领域的逐步延伸，各种问题、丑相被暴露出来。

问题的曝出，值得深思：在央企国企、各行业中，内部审计、纪检监察等内设监督机构并不缺失，也不乏陈定期的职业、专业学习，日常的监督、教育、培训工作也做的如火如荼、按部就班，但为什么这些问题没有被“内部监督”及时发现并解决呢？

偶然的机会，曾莫名其妙地进入到了审计监督领域，虽然直接承担的是制度、流程、内控、风控与合规管理等工作，但这些工作，与内部审计、监督等也有一定的耦合切面关系。所以，谈点不一定准确的观点。

记着在巡视对发现问题进行沟通后，某企业高级领导者曾问了一个问题：为什么外部监督能够发现的问题，我们内部的监督不能早发现？是能力不行、水平不够，还是碍于人情？全场一片沉默。

在很多从事监督工作的人眼里，很快会给出一个直观的答案：有些事儿能为但不能为，有些事儿可做但不想做，有些事儿是碍于人情不愿意去做。最后，还要补充一句 —— 大家都明白的。

我觉得，现实可能如此，但这个答案，实际是一种责任的开脱。毕竟，监督是由一个企业的最高领导者直接负责的，而且赋予了单独直达式汇报的权力。可以肯定的是，哪一个领导者，都不希望下级管理者出现令人痛心的问题。

在我看来，如果出现这一现象的背后，不是监督人员的专业能力不行、水平不够，而是责任认识的缺失、管理思维的欠缺。

如果不能为、不想做、不愿做的说法可以理解，难道眼观把一个个国家付出高昂成本、曾经为企业发展做出过贡献的管理者，因为违法违规或道德问题送去喝茶、双开、蹲牢，心里不觉得歉疚？如果早发现并给予及时的警示、处理，就存在避免问题发生的可能，也可挽救一个曾经的贡献者。

记着曾跟一个单位的监督主管领导闲谈，对方说了两句话糙理不糙的话，转眼十来年过去了，记忆犹存：

一是慨叹。很多人平时不愿意与监督打交道，其实他们不明白，请一些人及时喝口茶、出出汗，是通过监督的力量，把问题消灭在苗头，避免问题进一步扩大，是在保护他们。随口还不忘开了个玩笑：还得搭上自己的茶、烟呢。

二是监督怎么定位？他说了3点，监督是什么，要发挥的是领导“看门犬”的功能：一是有人随意拿走不该拿的东西，发现了要敢咬，是“追责”；二是要会叫，借助一个突出问题分析、深挖、宣贯，让其他人引以为戒，是“震慑”；三是要护好院，告诉大家哪些不能动，动了就会被追、被咬，是“盯着”。我觉得，第二、第三点体现的是审计与监督的“风险管理观”。

现实中，不乏监督管理者的侃侃而谈，但落实在行动上并不一样。我一直说，讲和做是不一样的，但讲的不对，意味着思考不全，行动就会不靠谱，所以，还要从思考、讲开始。

内部审计、纪检监察是企业中的两大监督职能。通常私下默认的观点是：内部审计是对企业运营的监督，不是对人的监督；纪检监察是对领导干部、组织活动及组织人的监督。现实中，二者也保持着这种默契。这种潜在的观点，体现的是知识、认识的碎片化，监督职能的割裂。有人即有事儿，有事儿就有人，企业中，人、事儿是分不开的。

“揭示问题、防范风险”是内部审计对基本职能的表述，这句话，在企业中并不少见。

在很多企业中，风控挂靠在审计部门，但风控的职能要宽泛得多，很多观点、做法不一样，也属正常。在社会上，不少审计工作者，把内部审计定义成天然的风控者，我并不认同，关键看做法，而不是讲观点。

偶然的机会，审计管理者曾让我发表一下对内审的观点，我笑谈：审计不能停留于揭示问题，还要加一句，不能让揭示的问题重复发生。因为，这是“解决问题之道”，其实在我心里还有一个观点，如果我主管这块儿工作，我的定位一定是“预防问题、揭示问题、消灭问题”。

什么样的观点，就会带来什么样的工作方法。定位于“揭示问题”，监督人员必然千方百计挖掘问题，把发现问题视为业绩，无可厚非，这是专业角度的追求，但我只认可其履行了职能的40%。由于缺少“不让问题重复发生”的观点，在很多审计工作者的认识里，经常会存在一个观点：问题整改的管理责任是相关的主管部门。

这个观点看似有一定的道理。但“管理责任”与“组织管理责任”是关联的，“去集中化”的问题整改管理责任，当然需要一个归口牵引部门负责“集中化”，这个部门除了“揭示问题”部门之外，还能有谁？问题是监督发现的，当然有衡量的标准和满足整改要求的控制程度，而不是超脱。

整改得好，也可以防范监督问题风险的重复发生。但审计的对象并不是单一的问题发生部门，还有其它的部门。类似的问题，如何去防范呢？还是继续保持“揭示问题、整改问题”的循环？这当然是审计的风险管理行动体现之一。

为什么监督存在了这么多年，每年累的呼哧带喘，但揭示的问题仍在不断产生呢？还常获得好的绩效评价，按下葫芦浮起瓢，就是这个道理。因为它是靠“劳动”衡量，而不是“管理”、“贡献”。企业追求的是“没有问题”，而不是“一个个问题越来越多”，前者是追求目标，后者是保障手段，不矛盾。监督如果停留于揭示问题，目标永远不可能实现。

曾经遇到过一个综合型的内部审计部门管理者，我们因推动风控工作而走在一起，当然他还负责内审管理工作。他主推了一件建立《内部审计管理手册》的课题，可惜的是，最先进的内审机构，仍然摆脱不了如何审计、审计方法的“做事儿轨道”。我理解，他的初衷是希望构建一套内部审计的“端到端流程”。虽然这个项目验收通过，但实质等同于流产，因为“手册”早不知道到哪去了。

在我看来，揭示问题，是内审机构的最基本功能；消灭问题，是内审管理的延伸，也可以发挥预防问题的作用。任何管理，都需要富有张力，而不是蜷缩在基本功能内。内审管理的张力，体现的就是“内审的风险管理”。

为满足“揭示问题”的基本功能，内审需要强化专业技术队伍能力和水平。问题是如何提升呢？政策学习、专业培训、经验传导是常见的例行现象，效果如何只有自己知道。我觉得关键在于“先进实践的实质性复制”。

内审中常见的活动，分别组织几个审计组，对不同的内审对象进行审计。内审主管机构对各审计组的工作质量也经常讨论，有好有坏的结论，是必然的结果。曾提出一个建议：既然认同某审计组做的很好，为什么不能让做的不好的，保持好的水准呢？问：怎么做？答：流程管理。回：流程能解决什么问题。闭口无语。

那么如何消灭问题呢？在很多人的认识里，问题是结果，风险是未来的。没错，这种观点，是从“理论”角度形成的认识。

从内部审计本身，也需要建立内部审计的风险管理能力，做好“事前预防、事中审计干预、事后问题完善与经验推广”。现实是，不少企业主管风控的内审机构，只记得“风险第三道防线”的定位，却忽略了也承担着“风险第一道防线”的责任。

要发挥好“揭示问题”的基本功能，还要冲破“揭示问题”的定位束缚。矛盾吗？一点儿都不矛盾。

现实中，被审计单位出现的问题，不少都是在“不知不觉”中形成的问题积累，当然也有刻意为之的现象。为什么出现这些现象？被审计单位只知道内部审计“审计项目名称”，并不知道他们怎么查、查什么？问题界定的标准？必然带来过程中不知道怎么做、怎么防范的结果，或者给出了“擦政策边”的主观侥幸心理。这一现象，不能用“遵从制度”来掩盖，没有好的制度管理基础，制度来源有多源性特点，遵从哪一个？监督参照的又是哪一个？

审计部门也一直提倡“做好审计配合”，所以，被审计单位始终处于“被动状态”，而不是“主动在过程中做到符合监督要求”。这就是很多人一直认为“内审是事后监督”的原因，根本问题是“预防监督风险”的事前管理缺失，这就是我不认同“内审是天然风控者”观点的原因，因为大多都没做到。

有人说，靠合规管理来解决。道理是可以的，要看做到什么程度、范围，以目前的流行做法，有作用，但没戏！

最直接的方法是：让被审计单位知道“可以做的范围、不可以做的事情、监督的是哪些事情”。所以，内部审计应该通过内审项目的分类，根据内审参照的规则，清晰的将企业“能够承受的内审、监督风险范围、可容忍度”传导出去，当然，需要进行必要的风险评估、干预。这是审计的风险管理行动体现之二。

范围体现的是强监管下的“灵活”，容忍度体现的是“监督问题的认定红线”。传导出去，就是控制前置；发现超出可容忍度的问题，就是内审“揭示问题与监督追责流程”的启动。难道这不是内审风险管理、推进合规管理的做法吗？这时候，内审是天然的风控者观点 —— 才成立。

谈到这，可以给出结论：企业建立《内部审计管理手册》，既是给审计工作者开展工作的参考，更多的是让所有的领导者、管理者、员工看到、理解、知悉，从而在过程中发挥防范监督风险、消灭监督问题的作用。