组织的存在就是为利益相关者提供价值,并使那些存在可接受风险的业务活动不断增加价值。但是,会有哪些风险?有多少不确定性才算有重大风险?要对此做出判断,管理层就必须对业务的发展机会、目标、相关风险和资源的有效配置进行评估和平衡,同时,要将目光紧紧盯住组织的战略和发展目标。 毋庸置疑,内部审计在企业发展过程中发挥着重要的作用。然而,是用久负盛名的审计勾选法开展传统的内部审计业务,还是对那些更能直接创造价值的活动开展审计活动,一些内部审计师还在两者之间摇摆不定。俄克拉荷马市一位在内部审计、企业风险管理和战略规划方面的资深负责人拉瑞·贝克认为:“这两类活动都很重要。即使管理层确信组织所进行的各种活动都在有效开展,但审计仍然需要对内部控制进行独立审计,这样才会使管理层感到轻松。” 然而,在任何经营活动中,时间和资源都是有限的,因此,内部审计师如果希望自己成为组织信任的咨询顾问,就必须确保自身的工作能够提供最大的投资回报,在审计项目的选择上就必须要设定优先级。对于内部审计师而言,重新审视什么是企业最重要的事项所必须的做法也许就是确定项目选择的优先级。 一、识别“恰当”的风险 在俄亥俄州哥伦比亚市,国富浩华公司的合伙人比尔·沃茨认为:“如果十多年前提出用识别‘风险’的方法决定对什么事项进行审计,远不如在今天提出更为恰当。”那时的审计工作更倾向于结构化的程序和可重复性。而当美国2002年萨班斯-奥克斯利法案颁布后,间接促使各个公司重新检视自身控制架构以及考虑如何改善控制,同时也使得其他领域的管理得到改进。他提出:“当今内部审计师的思维必须要更加宽广,要从企业整体出发。要考虑哪里是公司战略所关注的领域,主要举措有哪些,在哪方面的花钱最多。如果这些问题有了答案,就使内部审计师能够了解什么是公司最重要的。这就是内部审计师应该关注的内容”。 美国加利福尼亚帕罗奥图市惠普公司的内部审计总监布拉德?艾默思认为,能够帮助内部审计识别“适当”风险并加以重视的另一个问题是,谁对具体战略负责。他说:“一旦你了解到是谁,你就能和他们建立一种可信的关系,他们就是你的利益相关者。”对此,他还说:“要问问利益相关者,什么会阻碍其战略目标的实现。在讨论风险之前,总要确立风险的可见性,这样就不会过高估计风险或对风险产生恐惧。提前决定怎样的合作方式将会加速实现经营战略。这样的环境,将有助于利益相关者对风险更有自信,并且把不能实现战略目标的可能性降到最低。” 在许多组织的诸多领域中,其中需要关注的一个方面就是技术。企业开展所有业务都必须了解如何使技术的利用最优化,这里所指的技术,不仅是指对所有能为客户提供产品和服务的技术,还包括使组织内部业务流程取得更大效益和效率的技术。许多组织的战略都包括了有关技术方面的具体目标。如艾默思所言,内部审计必须关注的一个明确信号就是“与战略相关”。 然而,同样重要的是,内部审计师还要认识到即使他们将注意力集中在战略方面,也必须要继续保持常规的审计活动,比如核查职责分工、潜在舞弊、合规性和交易活动。对此,艾默思指出,即使是传统的审计活动,也能够并且应该“朝着战略目标的方面发展”。 二、明确风险的关联性 2017年即将面世的COSO“企业风险管理—整体框架”对企业风险管理过程与控制的高度关联性进行了说明。内部审计师可利用COSO的企业风险管理整体框架指导其开展以风险为导向的审计活动,也可以此规定及要求为基础建立自己的工作框架,并在经验和惯例的基础上进行不断修正。对此,沃茨告诫大家,要提防这种从框架内“刻意挑选”的情况。如果仅仅关注框架的某一部分而忽略了其他部分,可能会妨碍获得来自控制过程所形成的所有益处,甚至可能会失去一些机会。因此,具有宽广的、与企业战略相符的风险管理整体观,则能更好地促进内部审计师了解组织战略本身及其在企业主要业务活动中的作用。 当然,这并不是说内部审计师关注了组织战略目标,组织的风险管理就能自动得到改善。斯德哥尔摩市兰斯夫塞利格(Lansforsakringar)集团AB公司的总审计师夏洛塔(Charlotta Lfstrand Hjelm)就指出,“希望如此,但现实与希望之间总会有距离”,“如果没有目标,也就没有风险。假如能明确的话,那么重要的事就是反映哪里有价值增长,它们是怎样受某些意外事项的影响”。能够反映其他领域的目标是如何影响价值和风险的,也有助于在审计计划与组织其他计划方面上明确目标定位,审计计划不仅仅是确认性服务,而是包括了咨询和顾问两个方面,组织其他计划则包括战略计划、经营计划和风险报告等。 审计师往往倾向于采用关注风险的方法。事实上,艾默思推断,管理层更容易认为内部审计师所做的事情都是一些有关合规或风险方面的工作,他认为,以风险为基础的方法是“我们的工作基础”,但内部审计师应该更关注如何为企业增加价值,如何在战略上将内部审计定位为合作伙伴。 三、强调速度非常重要