在很多企业，内部审计团队年复一年地发现问题、提出建议、推动整改。但你有没有发现：整改“完成了”，问题却依旧反复出现。

        为什么查了不改？为什么改了无效？内审如何打破这种“整改假象”？。

看似整改动作已经落实，实际上可能只是对问题表象的修补，而不是对系统缺陷的修复。

我们在审计中经常看到这样的整改反馈：

“已完善制度流程”   “已增加审核环节”   “已组织员工培训”

这些表述听起来很规范，但本质上是在“演动作”。如果没有真正识别问题背后的深层机制，不论动作做得多标准，效果都会是短暂的。

整改假象的本质，是问题没有被“从源头改掉”。

1. 查问题靠经验，找根因要系统思维

发现一个制度缺陷或操作错误，经验足够的审计人几乎可以立刻指出。但识别制度为何缺陷、流程为何反复失效，需要对业务、治理和文化有系统性理解。

2. 组织天然排斥“深层追问”

问“问题出在哪里”，大家都愿意配合；但若问“为什么问题总出在这个环节”，就开始触及管理责任、流程设计或资源投入，阻力自然加大。

3. 内审自身也容易止步于“查完即止”

在项目周期紧张、资源有限的前提下，审计团队往往更倾向于完成任务清单，而不是花时间追溯问题链条。

RCA并不是一个新鲜词，但很多内审团队知道有用，却不知道怎么用、用到什么深度。

它之所以关键，是因为它让你不止于“提出问题”，而是有能力回答“为什么问题会反复出现”。

RCA的核心作用，是将“发现问题”变成“修复机制”。

IIA新标准怎么看RCA？

根据《IIA全球内部审计标准》（2024版），当审计师能够识别出问题的根本原因，应当在审计结果中加以记录。

这意味着，RCA已被正式纳入国际审计规范的“基本动作”，不再是可选项。

方法一：五问法（5 Whys）

适用场景：问题清晰、流程简单

案例：差旅报销单据频繁缺发票

1. 为什么缺发票？→ 员工忘了附

2. 为什么会忘？→ 没有系统提醒

3. 为什么没提醒？→ 系统没设

4. 为什么没设？→ 设计时没识别需求

5. 为什么没识别？→ 流程上线前未征询使用部门

根因：流程需求未在系统上线前有效识别
改进：上线前设置业务流程复核环节

方法二：三足五问法（Three-legged 5 Whys）

适用场景：流程复杂、控制分层、多部门交叉

案例：ERP系统出现“审批绕过”

改进建议：更新权限控制规范 + 风控规则设置自动预警 + 建立异常审批处置流程

方法三：鱼骨图（因果图）

适用场景：问题多因多果、需要跨团队研讨

案例：客户订单频繁延误

根因：供应链计划机制弱化 + 客户预警未接入系统

建议：导入计划管理制度、连接客户系统预测数据

方法四：RCA + 控制矩阵法

适用场景：控制设计失效、内部流程复杂或跨系统

案例：未经授权的供应商付款

根因：系统控制设计未覆盖审批责任链 + 执行存在默认信任漏洞

建议：调整系统审批逻辑 + 禁用代签 + 建立审批日志追踪机制

一个有效的根因必须满足三点：

✅可验证：能够被证据支持而不是假设推导

✅可归因：能指向具体流程/职责/制度/文化层面

✅可改变：整改后有实际改进路径和评估机制

1. 审计报告不要止于表象，要呈现问题—成因—根因—建议的逻辑链

报告里如果只写“发现制度缺失”，等于只解决了“信息传达”。真正的影响力来自：

问题出在哪里 → 为什么出问题 → 是什么根因 → 如何改才能根除

2. 把RCA前置，不要等到写报告时才追因

很多团队在执行阶段不问因果，等到报告阶段才追溯，往往证据链已经断裂，问题只能靠假设补全。

正确做法是在审计初期就设置追因视角，在访谈和取证中同步分析原因链。

3. 验证整改时，不只看动作，更要验证机制是否改了

别被“流程已更新”、“人员已培训”迷惑，要问一句：这次改动是否能防止下次再出错？

在组织治理体系中，内审不是问题的“搬运工”，而应是机制优化的“放大镜”。

能打破整改假象的内审，靠的不是更多的审计项目数量，而是更深层的问题洞察力与机制改进能力。

而RCA，是你迈向这个方向的起点。