全球視角與見解靈活性和創新性

顧問委員會

Nur Hayati Baharuddin, CIA,CCSA, CFSA, CGAP, CRMA

– 馬來西亞內部審計師協會

Lesedi Lesetedi, CIA, QIAL

–非洲內部審計師協會聯合會

Hans Nieuwlands, CIA, CCSA,CGAP

–荷蘭內部審計師協會

Karem Obeid, CIA, CCSA,CRMA

–阿聯酋內部審計師協會

Carolyn Saint, CIA, CRMA, CPA

– 國際內部審計師協會北美部

Ana Cristina Zambrano Preciado,CIA, CCSA, CRMA

–哥倫比亞內部審計師協會

前期報告

請訪問以下鏈接，獲取前期全球視角和見解報告

www.theiia.org/GPI

讀者意見反饋

請將問題和建議發送至

globalperspectives@theiia.org

靈活性和創新性

現代內部審計需要在傳統的審計活動與組織的戰略目標和風險之間建立更加緊密的聯系。大多數首席審計執行官（CAE）在與董事會和組織第一道防線的高管交談中，在執行《國際內部審計專業實務標準》過程中，早已認識到了這一點。事實上，內部審計人員只有遵循“實務標準”要求，從組織戰略目標的角度對風險進行評估，才能確保內部審計發揮作用，保障并增加組織的價值。

然而，有兩方面的現實因素會阻礙內部審計發揮作用。

一方面，組織面對的風險正在不斷增加，這些風險會在極短時間內醞釀發酵，為組織發展帶來不良影響。例如，社交媒體一夜之間出現的負面信息、導致組織關鍵雇員被解雇的性騷擾丑聞、食品安全事件、競爭對手或供應商的合并，以及新的交易或監管政策顛覆了組織多年來業已成型的商業模式等。

另一方面，CAE還必須加大在確認業務方面投入資源的力度，為其他向組織提供確認服務的部門或機構提供確認支持。例如，對運營風險管理進行監督，開展合規測試，為外部審計人員準備相關證據，以及對財務制度進行審查，保證符合反賄賂法的規定。

內部審計在繼續完成傳統審計業務的同時，要不斷提升自身靈活性和創新性，以更快捷的反應幫助組織其他部門應對日益復雜、難以預測的外部環境，才能實現轉型，這將是一項艱巨的任務。但國際內部審計師協會（IIA）認為，只要內部審計充分了解組織戰略目標和風險，并確保內部審計業務的開展符合目標和風險防范的要求，就一定能夠成功。

IIA《2018北美內部審計脈搏報告》（以下簡稱“報告”）簡述了對北美600多名首席審計執行官（CAE）的調查結果。其中，我們看到一個相當矛盾的現象。有三分之二的受訪者認為，靈活性對于審計職能的未來發展至關重要。的確，科技不斷進步，市場全球化程度不斷提高，組織聲譽對企業價值的重要性也在不斷增強。這些因素導致風險發展速度越來越快，預測風險的難度也在不斷提升。因此，董事會和企業領導都希望能夠不斷提高自身應對這些風險的能力。

與此同時，這些受訪的CAE中，卻只有45%認為自己所在部門的審計職能確實具備靈活性。雖然這一結果不盡如人意，但也并不出乎意料。資源不足、組織過于復雜以及管理層仍然因循守舊地看待內部審計，都是阻礙審計部門發揮靈活性的常見因素。CAE需要協助管理層改變對內部審計的固有觀念，支持審計部門為組織提供應對快速發展、難以預測風險的確認服務。

盡管上述提到的這些阻礙內部審計部門發展的因素由來已久，確實難以克服，但更糟糕的是，內部審計本身也存在阻礙自身發展的問題。CAE需要利用創造性思維不斷加以克服。盡管絕大部分CAE都認可內部審計應當具備靈活性，但對如何做并沒有明確的認識。

換句話說，現代內部審計職能如何才能在日常工作中做到靈活敏捷呢？一個靈活的審計職能到底體現在哪些方面？創新性風險管理與客觀風險確認之間有何區別？

審計準則

IIA標準2120：風險管理

內部審計活動必須評估風險管理過程的有效性，并對其改善作出貢獻。

2120.A1:

內部審計部門必須評估下列與組織治理、運營及信息系統有關的風險：

組織戰略目標的實現

財務和運營信息的可靠性和完整性

運營和程序的效率和效果

資產的安全

對法律、法規、政策、程序及合同的遵循情況

從培養應對復雜局面的能力入手

想要成為一個“敏捷”的審計部門，審計團隊必須在風險評估程序中培養和運用全新的能力，即能夠使審計部門從容應對復雜多變、要求嚴格的商業環境的能力。

比如，審計部門的領導需要在應對和理解風險時提升靈活應對的能力。為此，審計部門的領導需要加強與組織第一道防線中運營高管間的溝通，具體了解運營中存在的威脅；同時，加強與組織第二道防線的溝通，了解目前組織在風險管理中采取的具體方式。

審計部門可能還需要加強與審計委員會以外的其他董事會委員會之間的溝通。審計委員會優先考慮財務報告和監管合規無可厚非，這是他們的職責所在。但是這些風險與其他重大的戰略風險不同，并不屬于戰略目標的范疇（只能說是組織為了完成其他重大戰略目標而必須完成的小目標）。

董事會的董事們主要擔心的風險有哪些呢？甫瀚咨詢公司（Protiviti）和北卡羅萊納州立大學合作開展了一項調查，采訪了來自全球的700多名董事會董事和高級管理人員。調查結果確定了五項最受關注的風險，分別是：

1. 組織無法理解或跟上變革性科學技術的快速發展

2. 組織內部對變革的抵觸可能會瓦解組織為改善運營狀況做出的努力

3. 網絡安全

4. 政府監管的變化

5. 組織內部存在不愿意確定、通報和向上級報告關鍵風險的負面情緒

美國企業董事聯合會近期也針對上市公司董事會董事開展了一項調查，確定了他們最擔憂的五大問題：

1. 重大的行業變化

2. 商業模式的變革

3. 全球經濟形勢的不斷變化

4. 網絡安全

5. 人才競爭

值得注意的是，監管合規并不在列，只排在第九位。

為了對上述兩項調查確定的這些問題進行評估，審計部門的領導必須征求公司內部某些關鍵人群的意見，才能對風險作出清晰的判斷。也就是說，CAE需要與組織第一道防線的運營高管和第二道防線的管理者進行合作，可能還需要和那些以前很少打交道的董事會委員會進行溝通。CAE在處理特殊問題（如解決網絡安全風險或是數據治理程序）時，有時也會需要尋求外部專業人士的幫助。

好在審計部門已經開始著手這方面的工作。報告結果顯示，58%的受訪者表示，為了提升審計部門的靈活性，已經與組織其他兩道防線的相關部門進行了新的合作。

然而，從更為實際的角度看，CAE還需要對人才知識技能組合和科技進行合理的整合，才能對風險做出迅速的分析。比如說，運營部門的高管可能會支持改善物流和供應鏈管理的分析項目，從而更好地應對運營的不穩定性和成本浮動問題（通過傳統的審計項目幫助實現戰略目標）。除此以外，審計團隊需要了解如何與運營人員進行合作，理解工作流程；需要知道在哪里可以找到IT分析專業人士來學習工作程序；還需要判斷哪些業務的本質只是單純的測試工作，可以通過分包或交由機器人程序自動化完成。

首席執行官（CEO）對威脅因素的評估

來自85個國家的1300名首席執行官（CEO）參與的一項調查結果顯示，組織CEO的觀點會影響組織的戰略風險和董事會的觀點

普華永道（PwC）

第21次CEO調查報告顯示，“全球各地的CEO對廣泛的社會威脅，如地緣政治的不穩定性、恐怖主義和氣候變化的擔憂程度越來越高，甚至超過了那些直接的商業風險，如客戶行為的變化以及新的市場準入。”

進一步講，PwC報告中指出，CEO還十分擔憂人工智能的前景和潛在的危險。

經評估，CEO認為最重要的五大威脅是：

1.監管過度

2.恐怖主義

3.地緣政治的不穩定性

4.網絡安全威脅

5.掌握關鍵技術的情況和科技變革的速度（兩者并列）

關于這個問題的調查結果還出現了一個有趣的現象：自2008年該問題第一次提出起，監管過度一直是受訪者最擔憂的威脅，但近年來其擔憂程度一直沒什么變化。然而，對其他幾項威脅因素的擔憂程度卻在不斷增長，其中恐怖主義就從第12位增長至第2位。

內部審計實務的靈活性和創新性

由于現實環境中往往存在預算緊張、工作人員任務繁重以及監管要求嚴苛等問題，因此，審計部門需要不斷優化職能，才能提高自身的靈活性和創新性。

第一，強大的內部控制永遠是培養靈活性和創新性的基礎。內部控制產生的數據是開展其他工作的動力，如果內部控制失靈，就可能產生不良數據，給組織帶來負面影響。未來內部控制的設計和測試可能會發生巨大變化，但是審計部門的領導要牢記，數據時代，強大的數據管理能力至關重要——而強大的內部控制是組織管理企業數據的良方。

第二，強大的數據管理有助于提升數據分析能力。審計部門領導應該招募或培養能夠提升數據分析效率的人才，雖然在當前的人力資源市場環境下，做到這一點并不容易。如果不得不在缺少必要綜合技能的情況下開展工作，內部審計部門就需要與信息技術審計部門、信息技術部門或是業務分析團隊（在組織條件允許的情況下）合作。2018年，基于全球幾百個人工智能（AI）的使用案例，麥肯錫全球研究所（MGI）推出了一篇針對各項AI“深度學習”技術的研究報告，其中包括強化學習、前饋神經網絡、遞歸神經網絡、卷積神經網絡和生成對抗網絡。充分利用傳統分析技術十分重要。MGI表示，AI能夠為組織采用的傳統分析方法增加價值。MGI評估結果顯示，綜合各行業情況，在AI的推動作用下，傳統分析技術的價值將會增長62%。

第三，強大的分析能力是審計部門幫助組織完成戰略目標的有效手段。傳統的測試只能判斷一個業務流程是否能在既定的控制措施內正常運行；審計團隊可以利用分析方法改善業務流程。然而，為了能夠充分利用這項能力，審計部門需要與那些了解業務流程的團隊進行合作——這也進一步強調了審計部門與組織其他部門合作的重要性。

創新性和靈活性在許多方面都是相輔相成的。為了能夠在短時間內確定并解決新出現的風險（即提升靈活性），審計部門的領導需要讓自己的部門擺脫勞動密集型的測試任務和文檔整理工作，為此需要引進新的創新性技術（如機器人程序自動化），實現常規內部審計工作自動化，或引進AI技術，實現審計證據分析自動化。

為了改善業務流程，幫助企業實現戰略目標（即提升創新性），審計部門的領導需要與董事會的董事以及運營部門的高管建立新的聯系（即提升靈活性）。

提升創新性和靈活性過程中，還會產生另外一個值得注意的附加效應：審計項目越先進，就越容易吸引審計部門以外的專業人才，幫助審計部門共同完成審計任務。這一點在組織高層體現得十分明顯，因為各部門的經理人和高級管理人員都能清楚地感受到審計部門能夠幫助他們解決面臨的問題，在普通員工層面也是如此。運營部門需要了解內部審計部門正在著手解決與他們相關的問題，而且也在不斷嘗試用新的方式來解決這些問題。

烏干達內部審計師協會的觀點

在2018年4月舉辦的烏干達內部審計師協會第13屆年度全國內部審計大會上，坦桑尼亞內部審計師協會副會長Juma Kimori強調了靈活的重要性，稱靈活的審計工作符合IIA制定的《內部審計實務的核心原則》，其中規定內部審計工作要做到富有見解、積極主動，并具有前瞻性。

Kimori是NMB銀行的首席審計執行官，所在的部門共有34名內部審計人員。“在未來，高效的領導能力至關重要，關乎內部審計職業和整個組織的生存發展”，Kimori表示，“因此，除了日常工作以外，CAE還必須及時了解組織內外部環境的最新動態。”

但只有了解是遠遠不夠的。Kimori認為，保持靈活性要求內部審計在了解最新動態之后迅速采取應對措施，也就是說，內部審計部門必須做好準備，當組織戰略或工作重點、競爭形勢以及監管環境發生變化時及時做出反應。

雖然大型跨國組織的內部審計部門擁有更多的資源，支持其不斷提升靈活性，但是這些組織的規模和復雜程度同樣對內部審計提出了更高的要求，CAE需要了解更多與組織內外部商業環境有關的動態。

因此，Kimori認為，CAE需要靈活掌握審計計劃的落實情況，確保審計流程簡單明了，從而縮短交付審計結果的周期。

立即采取行動

內部審計部門領導的前瞻性思維已經為提升靈活性和創新性開創了良好的局面。內部審計部門足夠重視數據治理，創造性地嘗試使用分析方法，并與第一道防線和第二道防線進行合作，這些都打下了堅實的基礎。最重要的是，董事會對此也很重視（最后的數據表明：“報告”調查中，只有21%的受訪者所在組織的董事會對內部審計的期待仍然拘泥于傳統觀點）。

提升內部審計靈活性和創新性是極具挑戰的任務，可能會遇到很多困難和阻礙，甚至會因為最初的失誤影響后續的發展。盡管如此，想要成為集靈活性和創新性于一身的審計部門，就絕不能任由自身緩慢發展、固守陳規——否則將難以跟上未來的發展潮流。為了繼續向前發展，內部審計需要：

轉變思維方式。提升靈活性和創新性會帶來一些新的機遇，內部審計一定要做好充足的準備，充分利用這些機遇，為此需要重視工作流程、轉變對資源的理念并對自身進行重新定位。

衡量董事會對于內部審計參與戰略風險和目標的意向和偏好。敢于提出一些棘手的問題，例如，審計委員會在應對戰略風險方面發揮何種作用？是否有其他委員會能夠承擔這項任務？

為內部審計追求更高的靈活性和創新性制定技術路線圖。需要考慮的問題包括：審計團隊是否已經采用了電子審計工作底稿？工作流程自動化是否可行？審計團隊是否開發并使用了線上合作平臺，能夠使團隊人員通過線上方式實現協作？

為內部審計追求更高的靈活性和創新性制定資源路線圖。需要考慮的問題包括：審計團隊如何才能強大自身的分析能力？有哪些傳統的審計活動可以通過與外部合作完成，或是完全實現自動化？

與組織第一道防線協作，確定阻礙其完成目標的業務風險。在完成目標的過程中引進數據分析方法。開發能夠吸引信息技術或運營部門人才的審計項目，增強內部審計與他們的合作。