多年以来,内部审计经历了比任何职业都多的变化,就像古人云,树欲静而风不止,变化仍在不断发展,到了2020年,内部审计某些方面的实务将会有所不同。而在这一天到来之前的7年中,内部审计还需要开展同样的服务,也就是对组织的经营管理活动进行评价。许多组织的内部审计部门在不断变化,服务内容迅速增加,服务对象范围不断扩展。但是,在许多方面他们仍然开展的是常规核心业务,即使在企业的新业务领域中也是如此。 美国达拉斯的7-Eleven连锁便利店的内部审计副总裁卡洛琳·圣感到内部审计工作向深度的发展远远超过其广度的发展。她提出,“也许这是我的管窥之见,但我认为在未来7年中,公司不会期望其内部审计部门的工作会有更大的改变”。她说,现在对内部审计的期望已经很高了,特别是在美国2002年《萨班斯法案》的实施、近年来的全球金融危机、监管机构的要求以及各地越来越复杂的市场形势下更是如此。事实上,人们已经认为内部审计人员应该对从策略至细节全方面进行战略性的考虑,要具有对业务运营发展状况的洞察力,并为控制及风险管理提供确认服务。 卡洛琳·圣又说,没有丝毫迹象反映出对审计人员的要求有所降低,“我们每天都在迎接迎面而来的挑战,但随之而来的期望值也就变得越来越高”。此外,还有一些专家也认为内部审计师需要时刻准备迎接即将来临并日益增长的挑战。 一、关注风险 事实上,内部审计确实要改变并且是持续改变的一个方面就是对风险的重视。对此,国际内部审计师协会CEO理查德·钱伯斯就指出,“我们或许会少强调控制而更多地强调风险管理和治理”。他认为,如果将注意力过多地集中在控制方面,就可能会导致内部审计人员忽略了控制只是手段,而不是结果这样一个事实。所以,内部审计人员要正确认识到,控制的目的是为了削减风险。 理查德·钱伯斯说,从ⅡA最近的研究资料中可以看到,在内部审计工作中,也许有80%的内容是对控制的有效性提供确认服务。但他认为,“那不一定就是公司经营活动中最致命的风险所在,因此,内部审计必须在关注控制与关注风险管理和公司治理之间做出更好的权衡”。 美国亚特兰大的佐治亚太平洋公司副总裁及首席审计执行官保罗·索贝尔就指出,内部审计师们常常会远离这些最令人烦恼的战略和经营风险,这是由于他们在解决战略和经营风险方面的经验和自信还不够。他认为这种局面“需要改变”。但是,表面上的显著变化都是外在的,而内在的变化无非还是延续内部审计现有的基本职能。在美国巴尔的摩的普华会计师事务所风险确认服务部门的内部审计负责人杰森·佩特认为,“当风险随着时间的变化而变化时,内部审计人员所关注的主要问题也会有所改变。然而,财务、运营、合规的基本原则以及战略风险依然存在,所以,内部审计仍然要继续关注这四个领域中的风险,即使在未来也不会有所改变”。 根据杰森·佩特的推测,内部审计至少有一个特别的内容会有所改变,那就是内部审计在第三方或服务提供商及风险管理中的作用会继续加强。他认为,“这是内部审计目前的关注点,但不是主要的关注点”。现在,内部审计部门关注的是公司如何对服务提供商的风险进行管理,佩特认为,今后,会有越来越多的内部审计师会去第三方的现场,以便“了解这些服务提供商的风险状况,并以更加具体的方式去观察各种事项”。这种具有持续性的外包风险将企业的风险状况扩展到了第三方供应商,其中包括与云服务提供者和类似服务提供商。迄今为止的外包主要在服务,现在则是技术外包,因此,也就产生了某些控制方面的缺失,主要就是关键数据的安全。他提出,“外包风险正在发生显著的变化,所以,内部审计必须更多关注有关供应商的风险管理”。 此外,其他领域中还有更为迫切需要内部审计做的事情。由于董事会和管理层对内部审计的期望每天都在增加,内部审计范围也就因此在不断扩展,即使到了2020年,这种情况都不会改变。理查德·钱伯斯认为,“未来董事会的期望之一就是希望内部审计能够帮助他们避免意外,也就是内部审计既要能够识别正在出现的风险,也要能够说出未来可能存在的风险”。因为,“如果你所做的只是告诉管理层你所看到的事情,而这些他们自己也可能会看到。如果你用你的知识和经验,对管理层提出一些他们没有想到的看法和观点,这才是未来内部审计所应该具有的特质”。 二、报告路线 2020年的内部审计在组织定位上也会有所变化。据美国弗吉尼亚州里士满市的酒精饮料控制部的审计总监约翰·维斯莱克预测,“内部审计在职能性报告方面将会有所改变,也就是在审计委员会不断强调审计职能独立性的情况下,有更多的内部审计部门向CEO进行职能性报告,而不是向CFO报告”。他认为,首席审计执行官很可能成为高管层(C-suite)的一分子,审计委员会也会更努力地推动内部审计的独立性。钱伯斯也指出,现在或许有75%的内部审计部门都是向审计委员会进行职能性报告,而到了2020年时,这个比例可能会提高到90%。 佩特在此基础上还推测出一个有趣的“转变”:即风险管理方面的委员会将设在董事会下,而不会直属于审计委员会的领导。他说,“我看到会有这样一种情况,就是他们会变得更具有共通性,甚至可能代表了大多数”。他认为“那是一个相当重要的转变”。在一些公司,内部审计将会是一种混合的报告结构体系,对此,他又强调道,“我不认为内部审计向CEO报告的趋势会遍布世界各地”。相反,一旦审计报告路线改变了,极有可能在首席风险官的职责中就会包含监督内部审计的内容。