4月7日,中国内部审计协会举办了“新兴风险的挑战”专题报告会。亚洲开发银行审计长Hock-Chye Ong以《内部审计是否拥有未来(亚洲开发银行的经验和观点)》为题发表演讲,并与欧洲投资银行内部审计总监Ciaran Hollywood、美洲开发银行审计长Jorge da Silva、中国东方航空集团公司总审计师、亚洲内部审计师协会联合会副主席、中国内部审计协会常务理事席晟,就内部审计需要关注哪些新兴风险等话题进行了探讨。 欧洲投资银行内部审计总监Ciaran Hollywood: 内部审计必须关注利益相关者的期望 欧洲投资银行(EIB),是欧洲经济共同体成员国合资经营的金融机构。有3000名员工,内部审计团队有20人。在组织里,行长是最高的执行官,审计委员会有7名成员,他们在组织中并不担任行政职务。就内部审计工作的独立性而言,我向行长直接汇报工作,每个月还要向审计委员会报告,听取他们的意见。就客观性来说,我在这个组织中没有业务运营的责任。 在银行业,内部审计必须关注高风险项目、战略性项目,还要兼顾重要项目。大概每5年,我们都会被问及“内部审计工作有未来吗?”这个问题,归根结底,这个问题的本质就是我们是否满足了利益相关者的期望。就我个人而言,这里所说的利益相关者,包括银行管理层和审计委员会。但这两者的期望有时一致有时又相悖,而这取决于当时所处于的监管环境。EIB虽然不受中央银行监管,但是很多业务使得我们与中央银行又有所关联,所以必须遵守市场的期望。这些利益相关者会影响我们,我们也必须对此作出回应。在组织当中,我们提出审计意见或建议,要得到相关部门的认同。 现在内部审计领域越来越关注信息技术,比如网络安全、颠覆式技术等等。出于监管合规和经济性的考虑,人们也在关注内部审计与外部审计的关系,两者必须更加有效地进行合作。内部审计必须非常清晰地界定自己在组织中的职责,明确不同的部门需要关注的重点是什么。 就当前欧洲的银行业来说,首要风险就是IT信息技术,比较典型的像网络安全、银行系统安全。现在银行与客户以及利益相关方的互动方式都发生了变化,我们会为董事会和其他一些机构提供一个通道来进入银行网站。我们不再使用电邮发送保密信息,而是开发出专用通道供客户或利益相关方使用。除此之外,我们还开发移动应用,让员工无论身处何地都能便捷高效地工作。而且我们还想实现一种转型,运用移动应用来接触更多的用户。欧洲的相关监管非常严格,这些都让我们面临巨大的风险。 这里我想再补充一点,数据也是一个很大的风险因素。随着组织的发展,数据呈几何级增长,我们如何存储数据,如何获得数据,如何对数据分级,如何确保人们快速安全地获取数据,都是值得我们考虑的问题。 美洲开发银行审计长Jorge da Silva: 内部审计不应该“靠边站” 我所在的美洲开发银行(IDB)大概有100亿美元的融资规模,现在每年会做1500亿美元左右的项目。现在我们的全职员工和顾问咨询人员遍布了26个拉美以及加勒比海国家,实际上现在一共有40个国家为IDB融资,其中有26个也是我们的股东。我们由股东,而不是由贷款方来提供资金。我们有48个这样的股东,我们每年的债券达到5500亿美元,我们行政预算是520万美元左右。 我们内部审计部门一共有23名全职员工,有7位咨询人员。就独立性而言,我向行长报告,同时也向审计委员会主席报告。每个项目需要大概1000个小时的工作量,在银行内网上公开发布独立报告,供执行董事和高管参看。此外,我们还做年度报告。我们的工作必须基于风险来进行,必须考虑组织目前存在哪些基本风险,并在此基础上研究在固定年份的风险。我们还要考虑以前的审计结果,把这些内容融入到这一年的审计计划当中去。 内部审计是不是有未来,我在思考这个问题的时候联想到了另外一个问题:内部审计能给组织带来怎样的价值,我们到底有没有实现他们的期望。内部审计在实现利益相关方期望时遇到的困难越多,越能充分表现其给组织带来的价值到底有多大。 实际工作当中,内部审计自身也面临一个挑战,就是被人贴上了“审计应该靠边站”这样一个标签。人们往往会认为,审计只要有所发现就可以靠边了,而后续审计建议和审计效果如何,便如泥牛入海不得而知了。 正因为如此,我们必须要改变自己的工作方式和方法。比如说审计报告的长度要适中,在概述中点明工作的亮点和不足,在发现问题的同时要看到工作中好的地方。帮助组织评测是否实现了预期的目标,也是内部审计的重要职责之一。在三条防线里面,内部审计要告诉组织,这个目标已经达成,或者没有达成,给组织提出有助于实现预定目标的建议。这样,董事会、管理层看待我们的方式也会不一样。管理层对我们的要求越来越多,让我们做的事越来越多,我们为组织带来了价值,那么内部审计就走上了正轨。 对于IT,现在我们已经意识到IT不再仅仅是一个对象,它已然成为业务的一部分,我们需要把这些审计融入进来,或者IT技术能够与审计运营结合起来,更为全面地开展审计工作。