每当一年要过去的时候,我都会回过头来看看这一年中哪些事情会给内部审计职业带来深远的影响。在我看来,2015年是公司丑闻曝光的一年。与之前的年份不同,2015年被披露出来的丑闻更具有全球性。在北美有赫兹公司,亚洲有东芝,欧洲则是大众。另外还有国际足联(FIFA)的丑闻,更是具有全球性。 这些热点话题和其他事件都会为内部审计带来长期的影响,这种影响既有可能是直接的,也有可能是间接的。这些丑闻极大地挫伤了公众对公司文化的信心,对内部审计来说,全力以赴打造良好的治理变得前所未有的重要。 我认为,发生在2015年的以下五件事对内部审计影响最大: 一、公司丑闻的爆发削弱了公众的信任 在过去的一年里,我曾多次提到了公司丑闻。这些公司文化领域爆发的巨大问题极大地损害了像赫兹、东芝和大众这样全球知名品牌的价值。公众对于这种欺骗行为早已感到厌烦。全球公共关系领域的巨头爱德曼公司发布的“2015年信任度晴雨表”显示,接受调查的27个国家中有16个对其商业公司的信任程度有所下降,在绝大部分国家,对商业公司的正面评价都低于50%。 事件的意义:内部审计一直在思考如何对公司文化进行审计。不论将这项工作称为文化审计、高层基调还是审计软文化,我们所要做的事情都是找到一个合适的流程方法,使内部审计能够完成这种检查。这确实不太容易,但不应就此退缩。就如我曾经在2015年8月24日的博客中所写的:“我们必须开始认真讨论内部审计如何才能在这个领域取得发展。关键的第一步是要确定对文化进行审计意味着什么?我认为前提是必须深入地理解组织已经阐明或没有阐明的文化,发现在哪些场合或哪些个人存在不能遵循文化要求的行为,并对这种情况及时进行通报。” 二、国际内部审计师协会(ⅡA)呼吁应将建立内部审计制度作为上市公司的强制要求 2015年9月,IIA提交了一封给美国证监会的信,呼吁所有的上市公司都应强制建立内部审计制度。信中给出的理由是,组织只有在愿意设置一个资源充足、地位独立的内部审计职能的情况下,才会真正愿意实施良好的治理,来支持公司和保护投资者。 信中是这么说的:“一个有效的内部审计职能的存在,能够清楚地表明公司的领导层如何看待良好而有效的风险管理、内部控制和治理。” 事件的意义:内部审计职业在发展的过程中不能只是单纯地关注自身价值,明确为什么需要强制建立内部审计同样也是责任。有人也许会认为IIA之所以提出这样的倡议是为了自身的利益。作为内部审计职业最主要的推动者和宣传者,我们当然有责任提倡,应当有更多的组织建立内部审计制度。但IIA强调内部审计重要性的动机是为了保护公众的利益。2016年我们还将继续推进这项工作。 三、监管机构日益重视内部审计这一信息来源 美国证监会和其他监管机构越来越把内部审计看做是观察商业公司的窗口。确实,一个资源充沛的内部审计职能有能力为董事会、利益相关者和投资者提高公司的透明度。然而,我在2015年10月的一篇博客中也曾提到过,为组织提供确认和为监管机构提供信息之间应当有一条值得注意的界线。 事件的意义:内部审计在承担额外的职责,鼓励监管机构将其视作组织内部信息来源的时候,需要格外谨慎。对这种可能性必须保持警觉,并且牢记我们的职责是为利益相关者服务——董事会、审计委员会、投资者——但不包括监管机构。 四、东芝的失败:内部审计在学会“走”之前就开始尝试“跑” 东芝爆出的巨大丑闻也是一个难得的机会,让我们能够深入地探查到底是哪些因素共同导致了这种为了达成公司盈利目标不惜牺牲良好治理的情况。一个特别调查委员会经过对东芝的调查形成了一份内部报告,报告指出,该公司在截至2014年的6年期间,总共虚报的收入高达12亿美元,而内部审计的失败也是导致丑闻发生的一个重要因素。我在2015年7月也曾经提到过,东芝的调查报告显示,它的内部审计主要依靠轮岗员工,使得内部审计职能在资源和胜任能力上都存在极大的欠缺。此外,报告还认为东芝的内部审计过度倾向于咨询工作,忽略了确认职能。 事件的意义:随着内部审计的工作范围不断变化和扩大,内部审计面临的重大风险也在不断演变和增加。内部审计的负责人必须充分认识组织容忍风险的能力,理解组织希望内部审计职能发挥什么作用,确认内部审计是否具备重组的资源以及员工是否拥有合理的技能水平来满足这样的期望。我们在考虑对公司文化进行审计的时候扮演什么角色的过程中,也应当牢记上述几点。我们还需要抵制完全倒向咨询职能的诱惑,否则将会对内部审计的确认职能造成重大损害。 五、网络安全形势依然严峻 2015年,尽管越来越多的人开始关注保护网络安全的有效做法,但网络攻击继续呈扩散和发展态势。单是黑客对安森医疗保险、Premera蓝十字和加州大学洛杉矶分校医疗系统的攻击就影响了上亿名客户。黑客进入美国人事管理办公室的系统,导致2220万人的信息被泄漏,其中甚至包括560万人的指纹记录。 事件的意义:内部审计在网络安全方面必须发挥重要的作用,不应该放弃这项职能,全部交给IT部门去做,IT和内部审计完全可以并肩合作来保护组织、防范网络攻击。IT部门作为负责风险管理与合规的第二道防线,而内部审计则是提供确认的第三道防线。IIA在2015年早些时候发布的一份白皮书里专门对内部审计如何在网络安全防范工作中发挥必不可少的作用进行了说明。另外,使IT审计与整个内部审计职能的报告路径保持一致势在必行,最理想的情况是直接向审计委员会进行报告。