当所有者或管理层不能亲自监督代理人或下属的行为,必须依赖第二手信息做出决策时,就会产生对内部审计服务的需求。内部审计作为一种应对风险的手段,要求内部审计师应尽可能地保持知识的最快更新与综合,从而保持较高的专业胜任能力。另外,内部审计师所在的组织面临的环境也相对复杂,内部审计师需要从一个全新的视角出发,审视及思考如何提升自身的专业胜任能力。根据国际内部审计师协会(IIA)的定义,内部审计师的专业胜任能力是指内部审计师个人能恰当地完成一项工作或任务的能力,它是由特定的知识、技能与行为所构成的一个组合。因此,本文从知识、技能与行为三个维度,结合IIA下设的专门从事内部审计研究工作的“知识共同体”组织(CBOK)近期的调研报告,从全球视角出发,分析内部审计人员的活动及其特点。 一、内部审计师知识结构的需求变化 在美国、加拿大、西欧、澳大利亚和日本等发达国家,内部审计师的需求呈现如下趋势:对具有IT(信息技术)、数学建模、金融衍生产品等专业知识的技术专家的需求与日俱增,远超对掌握一般审计知识人才的需求。这主要是由于内部审计部门为更好地满足高级管理层的需要,不断地扩展服务活动范围。因此,符合公司商业模式并具有这些专业知识的技术专家将在内部审计部门变得日益重要。以往内部审计专业经验是获取内部审计部门经理、首席审计官等中高级职位的关键;而当前,这仅是成为初级审计人员的必要条件。是否能将内部审计领域经验与技术领域知识有效地结合,未来将成为获取内部审计部门主管或经理等中高级职位的关键。 内部审计师一般在大学阶段学习会计、审计和其他相关课程,其中学习最多的是:会计、审计、财务管理、企业管理以及经济专业的课程,学习领域相对狭窄。目前首席审计执行官都特别希望寻觅到能深化和提高内部审计部门批判性思维和沟通能力的内部审计员工,对内部审计师应具备知识的要求为:风险管理、信息技术(通用)、行业知识、数据挖掘与分析、商业分析、舞弊审计、金融、取证技术与调查、网络安全与隐私。由此可见,特定行业的知识和通用的IT技能也是首席审计执行官(CAE)优先考虑的知识,并应该强调内部审计员工所学的知识内容应与组织目标、需求具有一定相关性。 二、内部审计技术工具的变化 1.目前最常用的内部审计技术工具。从全球来看,目前内部审计师在实施审计活动时最常用的五种技术工具及其应用程度分别为:①基于风险分析的审计计划(76%),在所有的地区,基于风险分析的审计计划均位列第一;②其他的电子沟通方式(70%);③分析性复核(64%);④统计抽样(57%);⑤电子工作底稿(56%)。 2.未来五年最常用的内部审计技术工具。未来五年将会最常使用的五种内部审计工具及其应用程度分别是:①计算机辅助审计技术,全球平均数为63%,中东拥有最高比例(73%),随后为拉丁美洲/加勒比(71%)、美国及加拿大(65%),预期最低的是亚太地区,为58%;②电子工作底稿(55%);③连续/实时审计(54%);④数据挖掘技术(52%);⑤基于风险的审计计划(52%)。 三、内部审计师的技术技能需求变化
1.当前技术技能分析。根据CBOK的调查,内部审计师应具备的重要能力及其重要程度如图1所示。需要强调的是,业务、风险分析和内部控制这三项最重要的技术技能之间存在着重要的逻辑关系。为了更有效率地开展内部审计工作,内部审计人员需要了解关键业务的目标,着力分析最为关键的业务风险,帮助企业识别和解决控制系统的弱点或缺陷,从而提高内部审计工作的绩效。 2.未来技术技能分析。有的研究认为,商业智慧(对公司的业务拥有广博的知识并了解当中的风险)以及分析和批判性思维将成为未来内部审计师必备的五大技能之一。此外,有研究表明,有能力了解高层领导的需求将成为内部审计师必备的五大技能之首。 3.数据分析技能与技术风险的特别考虑。在未来,内部审计师的IT技能将会因诸如云计算、电子商务和社交媒体等技术的广泛使用而变得更加重要。另外,计算机辅助审计技术被更广泛地使用,如数据挖掘、商业智能和预测分析,也会对内部审计师的IT技能提出更高要求。由此可见,信息技术或信息系统方面的能力和技能将继续成为挑战内部审计从业者的重要话题。 内部审计人员必须不断提高其数据分析能力和技术来提升工作效率。除了能够分析完整数据库,这种技术还可使内部审计师提高工作效率,并以更加复杂的方式对数据丰富的领域进行审计。从全球统计结果来看,将近50%的内部审计师使用数据挖掘和数据分析技术来识别舞弊行为,用以发现风险管理或监控系统中存在的问题,通过测试数据总体来寻找审计线索,这表明,未来需要对这些技术进行更广泛的应用。 根据CBOK的调查,IT风险是2015年内部审计最为关注的五大风险之一。内部审计人员必须积极主动地帮助组织识别、监控、应对这种新兴的IT风险,并建议董事会采取更好的应对措施。然而,对一些重要的、非常规的IT问题,整个组织对此的关注度以及内部审计部门在此方面开展审计活动的覆盖率,却非常低。例如,在全球范围内,约17%的受访者表示他们从未花费时间来审核其组织的网络安全系统;约四分之一的受访者表示他们没有花费任何时间对有关社交媒体的问题进行审核;但大多数受访者表示,在未来2~3年内他们在网络安全和社会媒体方面的审计活动将增加。