对首席审计执行官(CAE)来说,过去十年里在所有工作关系中,与审计委员会的关系发生的变化最为显著。根据国际内部审计师协会(IIA)审计执行官服务中心的数据显示,北美地区超过75%的内部审计部门在职能层面都向审计委员会报告工作。在许多公司里,审计委员会每次会议中都会安排与CAE的会谈。 审计委员会能否取得成功与内部审计部门是否高效密不可分。同样,审计委员会的成员也必须对内部审计职能和CAE具备十足的信心。而只有通过CAE和审计委员会之间持续、有效、开放式的对话,才有可能做到这一点。当年,对话是一种双向的努力,既是CAE的职责,同样也是审计委员会的责任。但是审计委员会必须愿意展开这样的对话,并以此证明内部审计高度职业化、具备经营知识和风险意识。 我最近在芬兰一次审计委员会成员的研讨会上发了言。我提出了一个很老套的问题:“审计委员会应当向CAE提出什么样的问题?”尽管CAE和审计委员会之间的对话已经是老生常谈,但假如我是一名审计委员会的成员,我会提出五个尖锐的问题,希望我的CAE能够回答。这样的回答(以及随之而来的对话)不但可以增强审计委员会对内部审计部门的信心,还可以在双方的关系中建立坦诚和互信。 ——内部审计是否遵循了《国际内部审计专业实务标准》,最近一次外部质量评估的结果如何? 想要信赖内部审计部门提供的信息,第一步是要确认内部审计人员确实理解“职业内部审计人员”意味着什么。《标准》为此提供了指南。随着确认内部审计人员了解和执行《标准》,采取能够确保遵循《标准》的工作方法,审计委员会就可以充满信心,确认内部审计针对风险管理和内部控制适当性和有效性提供的信息。 ——内部审计如何定期或持续监控风险,并有针对性地调整审计计划? 一旦能够确认内部审计人员理解内部审计职业化的意义,下一步是确保内部审计部门能够完成最关键的任务。这些任务中的基础就是制订一个有效的方案应对组织的风险。CAE应当能够清楚地了解风险评估方案,并可以展示这一方案如何能够有效地确认关键和重要的风险以及内部审计部门如何应对风险。 ——内部审计由于缺乏资源或技能,不能处理的五项最重要的风险是什么? 对于内部审计资源,常常被提出的问题是“你们的资源够不够?”但如果我是审计委员会的成员,我会提出更多问题。我希望了解是否有足够的资源应对公司的关键风险。找到答案的一个方法就是了解有哪些问题没有得到处理。如果内部审计部门由于缺乏资源无法应对关键风险,审计委员会应当了解这些风险是什么,并且思考能否接受内部审计无力对管理层是否有效地应对风险做出确认这一事实。 ——内部审计采取何种战略提升内部审计人员对运营的理解? 内部审计部门要想获得成功,关键在于对组织运营的理解程度。如果不能准确地理解公司的经营战略、架构和流程,内部审计很难有效地评估风险并对运营的有效性做出确认和提供建议。这并不意味着所有内部审计人员都必须是运营方面的专家,但至少要求内部审计部门应该制订计划,确保所有人员都可以不断学习了解组织如何开展经营活动。 ——根据内部审计上一年度的业务范围,CAE对公司内部控制和风险管理整体有效性的评估结果是什么? 我们将要面对所有问题中的重中之重——这也是我发现几乎所有审计委员会成员都心存疑惑但是很少有人真正提出的问题。审计委员会提出这个问题,是希望CAE能够“理清关系和头绪”。然而,委员会也必须做好得到一个不理想答案的准备:内部审计部门去年的工作不足以对风险管理和控制的适当性给出一个评语或评估结果。在沟通过程中,CAE应当准备好提供基于去年审计覆盖范围有把握的结论。如果审计委员会对这一结论感到不满意,那就有必要重新讨论内部审计对资源的需求。 恐怕上面几个问题会带来一些不同想法(甚至争议)。某些时候,以“你不问我不答”的态度与审计委员会进行沟通可能更加容易。比如我上面提出来的这些尖锐的问题必然会带来一些令人不满的回答。然而,这些问题驱策着我们这些从事内部审计的人的内心。如果这些问题很麻烦,如果这些问题难以回答,如果它们涉及有缺陷的领域,请开始采取必要的措施在运营中做出改变。如果你可以轻松地得出所有答案,就努力设法使这些答案变得更好。 我欢迎你们对上述五个问题或者我遗漏的内容提出意见。