用科学方法支撑起内部审计的可靠性和合理性

自然科学方法是严谨而理性的，它有两个最基本的支柱：一是对自然现象进行因果关系的解释；二是用概率和统计的方法来研究不确定现象。对照内部审计，在去发现问题和描述问题时，也需要参照这两点，剖析问题中的因果关系，给不确定的风险给予确定的描述。

一、剖析问题要素间的因果关系

问题是客观存在的，无论审计人员是否发现，问题都在那里。有些问题，管理层比审计人员更早知道。有些问题，各种迹象已经显现在细心的人面前。审计人员需要做的是通过剖析各要素间的因果关系发现真正的问题。

1.表面的问题可能不是真正的问题。审计人员最容易的事情，是对照法律、法规、制度来检查经济事项，如果不符合、不一致，就作为问题写进审计报告里，但这是真正的问题吗？如果单位A出现某个合规性问题，单位B也出现该合规性问题，单位C还是出现该合规性问题，那问题仅仅出在违规操作吗？也许违规操作只是一个结果，导致这个结果发生的原因可能问题更大，例如内控流程本身就存在问题，甚至规章制度本身还存在不合理的地方，等等。

2.通过关联和因果关系发现问题。审计人员在检查中可能会发现异常现象，但也拿不准是什么问题。如果经过认真排查，发现异常现象和其他的经济事项、经济行为存在关联关系，再仔细检查，发现存在因果关系。也就是因为某种违规、舞弊行为导致异常现象的发生。大数据分析和审计模型的应用，能够使审计人员发现传统抽样忽略掉的关联关系和因果关系，从而发现问题的存在。

二、对不确定的风险给予确定的描述

现代内部审计是以风险为导向。风险可以量化，也可以对风险程度进行经验或职业判断。对风险的关注，使内部审计能够把看似孤立的单个问题都给关联起来，从而发现系统性和某些领域的风险。

1.统计学是设计审计模型的基础。很多审计模型其实就是统计模型，如果不熟练掌握统计学原理，就不能设计出全面的审计模型。

2.用统计学的方法对不确定的风险进行评价。即使审计人员是风险领域的专家，但对具体风险的测量因为缺少相关业务的专业知识而无法量化风险的大小。而统计学的方法能够增加对风险判断、测量的可信度。将统计学和大数据分析结合起来，设计出审计模型，将历史经验数据、行业数据、现有的业务和财务数据放在一起进行分析，审计人员就能发现问题的规律。

3.管理层需要审计人员的判断。管理层不只是希望听到审计人员发现哪里有风险，有些风险管理层也心知肚明。管理层更想审计人员对不确定的风险有确定的描述。对那些很难量化的风险，管理层也希望听到审计人员根据职业经验，对风险进行高、中、低或更加明确的判断。

三、用科学思维撰写高水平审计报告

审计报告的撰写需要经验、思路、技巧，更需要科学的思维。科学思维不仅是认知水平的表现，还是一种思维的习惯。我们并不要求所有的审计报告都是高水平的，但高水平的审计报告都彰显出科学思维和方法。

1.审计报告的问题描述要能看清逻辑关系和因果关系。那些低水平的审计报告，从定性到具体描述，不仅层次不清，而且无法从证据推导出审计结论。

2.审计报告要有审计人员对不确定风险的判断。审计报告阅读者要通过阅读报告知道审计人员的审计意见具体如何，违规问题的性质大小，风险程度的大小，能够量化的尽量量化。

科学的方法并不复杂，但把科学的方法论运用到审计工作中，却会遇到许多阻力，因为科学方法可能会增加工作量，可能会在短期内显现不出实际效果。然而，为了支撑起内部审计的可靠性、合理性，必须把科学方法贯彻到底，这是内部审计的生存问题。