内部审计作为第三道防线,在有效风险管理和控制活动中的重要性逐步提高,在组织内外都获得了更多关注。为了适应这一变化,首席审计执行官(CAE,指内部审计负责人或其他负责有效管理内部审计活动的高级职务)和内部审计机构也都在寻找新的方法,运用内部审计专业知识来加强其对于组织整体使命的价值。这就引出了一个问题——一个所有对企业优秀绩效起支持性作用的部门(如财务、人力资源、IT、法务等)都需要扪心自问的问题——我们如何为组织带来战略上的影响? 内部审计在组织内部处在一个特殊的位置,因而能够在战略上发挥作用。由于拥有向首席执行官(CEO)或其他执行官、审计委员会、董事会直接报告的路径,绩效优秀的CAE通过其自身的睿智、专业、勤奋和求知欲等优秀品质,能够带领内部审计走向极具战略影响力的高度。尽管如此,目前在大多数人的认识里,传统的CAE并不能在战略方面对其所在的组织施加重大影响。对于那些希望提升内部审计在战略方面地位的CAE来说,在采取下一步的行动之前首先需要回答几个问题:CAE是否能够深入地理解组织的战略使命?CAE能否理解CEO和董事会的看法,是否尝试通过不懈努力成为值得信赖的合作者,为关键问题提出建议和解决方案?内部审计的工作方针与组织的战略使命是否保持一致?内部审计工作是否具有前瞻性,是否积极主动而不是被动等待?CAE是否会对风险评估进行确认? 令人遗憾的是,传统观念下对于内部审计的认识使得其他人很难将内部审计看作战略上的合作者。此外,内部审计还需要在独立性和对各项经营业务的参与之中实现平衡,前者是内部审计职能的要求,后者则是实现组织目标的必由之路。不论是积极主动的内部审计,还是消极被动的内部审计,到最后都会需要接触这些经营业务。但是如果内部审计能够主动地应对这些业务带来的挑战,那么就有可能成为他人眼中的战略合作者,在战略方面做出的贡献也会得到认可。 理解你的战略使命 来自哥伦比亚Audilimited,Organización Corona的高级经理(CIA,CISA)Luz Dary Bedoya Bedoya这样解释这个问题:“如果不能理解一个流程的目标、治理原则和行业背景,就不可能对这个流程开展审计。对于经营来说也是一样:如果不能深入理解经营战略,就不可能制定出合理的年度审计计划。”因此,要想成为战略合作者的关键一步在于理解组织的战略使命、为实现这一使命制定目标以及用于评估是否实现目标的指标。 所以CAE必须对组织的战略使命是什么进行分析,并且理解这些使命背后的战略意图。尽管这看上去并不困难,但却非常重要。如果内部审计不能理解组织的战略使命和战略意图,就不可能成长为战略合作者。 此外,理解战略使命就要求对执行战略使命的具体经营计划和整个执行过程有深入的理解。战略计划一般包括一系列战略目标,这些战略目标被设计出来的目的就是为了描述完成计划所需的步骤,另外计划中一般还包括一组可供衡量的指标,用来评价计划和目标的实现情况。这些战略目标和业务活动以及设计出来的评价指标都很重要,因为它们能够驱动整个组织和各个业务部门的具体行为。如果某位高层管理人员和某个业务部门被赋予了某项目标,并且将会有专人对他们实现目标的情况进行评估,那么CAE和内部审计就可以由此了解应当关注哪些领域以寻找战略计划存在的风险。在这样的分析过程中需要提出一些重要的问题:这些目标和评价指标是否支持了整个战略计划?评价的标准是否与目标和战略使命保持了一致,并且能够支持它们?这些目标和评价指标是否有可能带来更大的风险,特别是在这些目标不能被实现的情况下?哪些人员和部门需要为实现这些目标负责,他们是否具有相应的权限来执行有关战略? 可以看到,CAE和内部审计与战略使命保持一致的程度越高,就越有可能发现和评价与使命、目标和评价指标有关的风险。此外,对于战略计划的深入理解可以让内部审计了解到更加全面的信息,从而更好地服务于组织、董事会和执行管理层。如果内部审计不能细致地理解组织各个部门的任务和如何评价,那么内部审计提出的建议和给予的帮助就会被认为是毫无价值的。在这种情况下,业务部门很有可能会礼貌地拒绝内部审计提出的建议,甚至有可能会粗暴地提出反对意见,因为在他们看来,内部审计提供的支持缺少价值,尤其是在战略方面。理解战略计划并与其保持一致能够帮助内部审计提供有意义、有价值的确认服务和支持活动,来帮助组织更好地解决它所面对的挑战。 提升内部审计的战略价值 在一个绩效优异的组织里,各个部门都会希望以较高的水准做出贡献,不论它们负责的具体工作是销售、运营还是支持性的行政工作。内部审计绝不是唯一一个希望在战略层面贡献其专业知识的职能部门。其他传统的公司和管理部门也遇到了类似的挑战,但是他们成功地克服了这些问题,超越了原有的角色。首席财务官(CFO)借助于对财务问题的深刻理解,突破了原本仅仅负责报告的单一角色,成为战略经营团队的一员。人力资源部门通过把甄选和培养正确的员工与实现组织目标联系起来,职能从单纯的人员配备发展为战略性员工管理。首席信息官(CIO)和法律顾问也在不断提升他们在战略方面的地位和影响力。因此,内部审计想要实现这一目标,完全可以借鉴其他职能部门超越自身角色的成功范例。而内部审计拥有更加独特的地位,通过其覆盖整个组织的广泛视野和报告路径,在今天这样不断产生新的挑战的商业环境中必然能够获得更大的成功。