没有年度计划,没有正式的审计报告,审计发现报告就如同软件缺陷(bugs)报告。最近,国际内部审计师协会(IIA)在美国奥兰多召开了审计管理会议,会议期间,这样的观点在首席审计执行官中间引起了很大的轰动。 硅谷的大多数公司,不断变化的创新性思维已是司空见惯。在那里,人们的思维取向就是他们正在改造这个世界。谷歌公司的内部审计总监丽萨·李就指出,公司要鼓励员工对自己做的事情提出质疑,不能安于现状。她认为,“只有不断挑战现状并以不同的方式看待事物,你才能做到这一点。” 丽萨·李和那些在世界顶级技术和互联网公司工作的内部审计同行正是在这样一些不断变化和创新的组织中工作。对他们来说,内部审计必须要适应这种快速发展的节奏,并且要对如何应对风险和提供确认服务提出新的设想。内部审计师必须要对自身的工作进行不断创新。 一、找出解决问题的方法 丽萨·李领导着谷歌公司的审计团队就像工作在一个“有序的混乱”环境中。她曾在KPMG、SAP咨询公司、思科以及OpenTV工作,目前对她而言相当于一种调整,因为那些公司的变化速度和增长率各不相同。丽萨·李2004年加入谷歌公司,她认为,“当你刚进入这个公司时,不仅要学习谷歌的流程和产品,而且还要适应那里的文化和工作方式”,“那真像是用消防水龙头带喝水”。 她提出,为了适应环境,审计师们必须具有前瞻性地了解公司的其他方面。公司有时会要求这支40人的团队不断修正他们对于风险及其在应对风险中的作用的想法。在她看来,最大的差别就是谷歌公司的风险应对。公司在创造改变世界的产品和服务的同时,“不会很好地规避风险”。 在谷歌公司,风险管理不是消除风险,而是对风险进行管理,重点是关注风险的上限。谷歌公司的风险范围同样也包含了其他公司所要面对的财务风险、监管合规风险以及经营风险,同时,公司还要面对那些颠覆性技术开发中所产生的风险。作为丽萨·李团队中的一员,必须要认识到他们有关风险方面的建议对于公司而言则是一项巨大的机会成本。丽萨·李认为,“许多组织都希望更多地规避风险”,试图去削减风险,而没有考虑到一旦风险与公司的经营目标相冲突时,他们是否要容忍这种风险的存在。她说,“谷歌公司在开发创新产品期间,会出现很多我们所不知晓的风险,但我们必须要认同这些风险。” 丽萨·李负责的内部审计工作就是基于谷歌的创新进行的,他们工作在一个充满创意的环境中。谷歌公司一直都在不断开发新的技术和产品:如近期上市的谷歌眼镜以及开发自动驾驶汽车的创新项目。对于每一种创新产品或项目,内部审计团队都要向运营单位了解该项目的目标、工作流程以及取得成功所要冒的风险。当一项创新付诸实施后,审计团队可能更多的是成为一名咨询人员,对管理风险提出选择性的建议。对此,以一个更为合作的、以解决问题为导向的方法开展审计工作,重点是防止出现“意料之外”的问题。丽萨·李说道,“如果房子着火了,你不能站在边上告诉大家着火了,这不算是帮助”,她强调的是,“真正的帮助就是要确定用什么样的方法灭火。” 二、不断站在新的起点上 就像丽萨·李在谷歌公司调整自己一样,汤姆·奥斯汀现在也正经历着这一切。奥斯汀是2013年加入到网络设备公司的思科公司,担任公司主管治理、风险和控制的副总裁,负责管理工作在世界各地50多名内部审计人员的团队。思科的文化是以销售为导,尽管不全是这样,但这种理念更强于他之前所在的半导体设备制造商应用材料公司所秉承的那种以经营为导向的文化。奥斯汀说,“怎么才能最有效地理解这种文化,是我所面对的挑战。”他承认,“直到我认识到要用一种不同的方法时,我才完全认可了这种文化。” 奥斯汀认为,思科尽管已经是一个知名的公司,但它仍然像一个新建公司。不久前,思科公司招聘了像奥斯汀这样的高管人员,帮助公司在逐渐发展成熟的过程中建立更为完善的业务流程。奥斯汀对公司的管理人员们不断进行内部控制方面的培训。他告诉管理人员,“在公司逐渐发展成熟的过程中,你们需要取得更高的、超过公司的现有效益,方法只有一个,那就是在整个业务流程中要有更多的约束和规范。” 按照内部控制的要求规范流程正在成为思科公司非常重要的工作,也是现有经营模式下的一种很大改变。思科公司最近宣布,未来两年,他们将对云服务开发项目投资10亿美元。思科将为客户提供一系列解决方案的服务,而不仅仅停留在销售路由器和交换机,以及视频及网络会议技术的阶段。对此,奥斯汀提出,“如果公司的视野转向云端技术,那么,内部审计面临的挑战则是公司将如何实现这一目标。” 成为解决方案的提供商也会产生新的风险,尤其是云数据的安全性,而销售队伍、基础框架以及以制造和销售为中心的流程整合则是思科所要面对的另一个问题,不仅仅是提供解决方案。为此,奥斯汀认为,“我们将会重视新业务模式下现行的各种业务流程,并试图评估现有设置是否妥当。” 三、时刻具有一种紧迫感 相比谷歌公司和思科公司,邻客音则是一个规模较小、极具发展前途的公司,但它不再是一个刚起步的公司。这家专门面向商业客户的社交网络服务网站已经是一家上市的社交网络公司了,并依然还保持着公司初创启动阶段的发展势头。公司内部审计的负责人因德尔·古拉蒂早年曾在维萨和普华永道会计师事务所工作,2011年加入邻客音公司并建立了内部审计部门。在他看来,尽管发展步伐很快,但公司仍然保持着很强的紧迫感,他认为,“内部审计相关利益者的期望主要集中在增加价值方面。” 古拉蒂负责的内部审计部门有12名内部审计人员,部门工作就是与管理层和运营单位紧密合作,共同建立完善流程、控制和系统,使其能覆盖公司各个方面直至全球各机构的经营管理。例如,当邻客音在一个新的国家开展业务,内部审计就必须了解其所包含的技术、法律、监管要求、财务准则以及市场方面的其他特定要求。古拉蒂认为,“深入了解业务运营活动并知道什么可能出错是非常重要的。”
