内部审计:迎接未来的五大战略

作者简介:
理查德·F·钱伯斯,国际内部审计师协会秘书长兼CEO。

原文出处:
中国审计报

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2017 年 01 期

关 键 词:

字号:

      经常有媒体或者内部审计人员让我预测一下接下来五年或者是十年内部审计工作的趋势,我认为没有人能够精准地预测未来。展望未来的内部审计,是展望未来内部审计工作发展方向。探讨未来,着眼点不是2020年我们要做的具体工作,而是为了迎接2020年的挑战,我们现在要做怎样的准备。在此,我想与大家分享内部审计工作迎接未来的五大发展战略。

      回应客户的声音

      我们要回应客户的声音、利益相关者的声音。需要强调的是,一定要善于倾听客户或者利益相关者的声音。

      IIA2016年年初发布了一个通过甫瀚和IIA内部审计研究基金会调查得出的研究报告,这个研究报告展示了利益相关者希望内部审计人员做怎样的准备。该项调查针对董事会成员,董事长和公司的高管层发放调查问卷,收到了1000人以上的反馈。透过这个调查问卷我们可以看到,利益相关者希望内部审计人员一定要了解所在公司的使命、战略、目标及其相关风险,而非只一味闷头做常规的审计工作。

      其中值得一提的是,他们认为内部审计人员确认性审计业务极为重要。对于这一点,董事会审计委员会表达的意愿最为迫切,认为内部审计人员的第一要务就是把公司内部控制、风险这方面的确认工作做好。

      他们认为,虽然内部审计人员的咨询工作很有价值,但是其应当关注公司的高风险领域。另外,他们还表示,内部审计人员一定要与公司管理层和公司董事会建立良好的关系,希望内部审计人员与他们进行面对面的沟通,而非单单只依靠书面交流汇报审计发现。

      他们表示,内部审计人员要与“第二道防线”保持良好的协作。第二道防线是公司能够直接对内部控制、风险管理进行监控的管理层。他们可能是公司的合规部门、风险评估部门或者内部控制部门。作为第三道防线的内部审计部门应当与“第二道防线”合作,依赖客观、可靠的确认工作成果,避免重复性工作。

      他们还希望内部审计在组织内部的机构设置必须合理,努力提高独立性、客观性。内部审计人员不能只为公司做一些底层的审计工作,而应该提高层次,向高管层和董事会传递有用的信息,为迎接下一个世纪做好准备。

      为此,内部审计人员需要做到以下几件关键的事情。

      首先,必须掌握公司的使命、战略、目标和相关风险知识。在担任田纳西州一家电力公司的首席审计官时,一开始我对电力知识一无所知。我意识到,如果不了解公司的具体业务流程,就没有办法做好审计工作。所以我参加了一个电气工程师培训班,从最初级的知识开始学起。同时我也加入了美国电力协会,学习更多电力方面的知识。首席审计官虽然是一个很高的职位,但为了了解公司的战略、风险,必须从最基础学起。

      其次,在计划确认性审计工作时,一定要充分考虑当前和未来的风险。如果审计工作只看今天或者昨天的风险,那对公司的价值也就不大。就好像开车,如果只看后视镜,那肯定会迷失方向,好司机一定要往前看。

      最后我想强调的是,应当利用内部审计的独特地位,提升整个组织对于风险的认知,改善组织的风险管理。跟其他部门相比,内部审计部门具有独特的地位,比其他部门更了解整个公司的风险状况。但通常,内部审计人员都是默默无闻的。在谈到公司未来风险时,通常听不到内部审计人员的声音。我想跟大家说是,内部审计人员一定要鼓起勇气,一定要大声发言,去谈未来的风险,谈自己对未来风险的认识。

      追求灵活性

      内部审计人员应当追求灵活性,之所以强调这个灵活性,是因为当今世界的风险总是变幻无常。过去二十几年教会我们的唯一一件事,就是风险像天气一样,变化莫测。我们谈到当今的风险,比如网络安全、经营可续性、不健康的企业文化或者是地缘政治动荡风险,没有人能够预知下一个风险是什么。

      20年前我第一次来中国,当时一个审计人员能做风险评估,知道什么是重要风险,就已经很棒了。如果现在一个审计人员仅能够根据风险评估结果做审计计划,根据审计计划做明年的审计工作,那只能算是平庸。也就是说如果在现在某个时点做出一个风险评估,而明年完全按照这个风险评估结果展开审计计划,就好像安装了一个安全照相机,只照今天,并不知道接下来会是什么样。

      在2016年的现在,91%的内部审计部做风险评估,同时又有85%的内部审计部根据风险评估的结果来做审计计划,这些在20年前IIA的国际审计标准里都是没有的。

      两年前,我曾以“以风险发展的变化速度来开展审计工作”为题写过一篇博客,我们的审计工作应当随风险变化而变化调整。但是CBOK(IIA知识共同体)的研究结果认为我们并没有达到速度变化的要求:63%的受访者一年修订审计计划的次数不超过两次;只有15%采用了“具有高度灵活性的审计计划”;31%不会对风险评估进行更新;只有21%采用了持续风险评估的方法。

      如果审计计划和工作不因风险变化而迅速调整,审计工作必然过时。

      改变我们的人才结构

      新兴的风险,需要内部审计人员具备相应的技能。因此,组织需要有效的人才管理策略,预测五年之内到未来五年之后组织需要什么样的审计人才,五年之后的风险是怎样的,为了应对风险组织需要如何调整现有审计人才结构。

      组织可以整合现有的审计人才,通过培训提高他们的技能,也可以去社会招聘优秀人才;或者通过外包的方法,让第三方来帮助组织达成审计目标。组织必须通过调整审计人才结构,以应对未来的变化。

相关文章: