每一个职业都会随着知识体系的扩充以及新工具、新技术的问世而不断发展。最优秀和睿智的专业人士懂得顺应发展的潮流,利用新战略和新技术提高工作效果。内部审计人员也同样(应该)如此。 早在几年前,我就为那些固步自封、不思进取的内部审计人员起了一个外号,把他们称为“侏罗纪审计员”。侏罗纪是一个地质年代,跨越五千万年,大约在一亿四千五百万年前结束。该时期的绝大多数物种由于不能适应环境的变化早已灭绝。那些没有进步、难以适应周围工作环境变化的内部审计人员最终可能也会像它们一样被时代所淘汰。 但是我想强调的是,“侏罗纪”这一形容词并不是特指内部审计人员的年龄。许多资深内部审计人员虽然经验丰富,但依然积极进取。与此同时,也有许多年轻内部审计人员还在采用早已过时的工作方法。在这里,我想指代的仅仅是哪些不愿意做出改变的人。对于这种因循守旧的性格特征和做法,我个人总结了“侏罗纪内部审计人员”的七大特征。 沉迷于过去 内部审计职业刚刚出现的时候,工作重点主要还是事后检查——对上个月或者去年发生的事情进行复核。后来,审计关口不断前移,我们开始关注正在发生的事情。现在,我们开始提供有关未来的见解——如果关键风险没有得到合理控制会造成什么后果。就个人经验来说,“侏罗纪审计员”往往还停留在价值有限的事后复核工作上。而这部分工作恰恰是最有可能被人工智能(AI)取代的。正如侏罗纪时期的物种一样,沉迷于过去的内部审计人员注定会被淘汰。 根据时间周期(而不是风险)制定审计计划 过去内部审计人员习惯根据事先确定的审计周期安排工作。以前在美国军队从事审计的时候,我们每三年就必须对军官俱乐部进行一次审计——无论俱乐部经营管理状况是好是坏。后来,我们开始提倡以风险为导向的审计工作方法,但是有些内部审计部门依然墨守成规,按照既定安排推进审计工作,没有将风险评估的结果作为制定审计计划的依据。 在执行年度审计计划时拒绝修订和调整 我曾多次强调要“根据风险发展的速度开展审计”。然而,许多审计部门还是会先制定一个全方位的年度审计计划,之后便在接下来一整年的审计工作中简单地贯彻这一计划,而不会根据风险变化和发展的情况进行调整。沉迷于过去不仅有损内部审计的价值,也会阻碍内部审计部门开展持续风险评估。 拒绝使用新技术 我之前曾经写道,科技能够大大增强内部审计人员的能力。无论是在内部审计管理(包括电子工作底稿)、数据分析还是持续审计/监控等方面,科技都起到了助推作用。先进技术有利于提高审计工作的效率和效果,但是有些内部审计部门在引进技术方面过于迟缓,甚至拒绝采用新技术。更有甚者还在坚持20世纪的手工工作底稿。 逃避对技术领域进行审计 很多内部审计人员不愿意或是没有能力对组织内有关技术的风险进行审计。审计人员不愿意对网络安全、云计算和移动技术等领域的风险进行评估,也不愿意将其纳入审计计划。但是对于许多组织而言,这些都已经成为了无法忽视的关键风险,如果内部审计人员不愿将其纳入审计范围的话,一旦出现问题,内部审计存在的价值将会受到严重质疑。 相比提出建议,更愿意描述问题本身 在刚从事内部审计的时候,指出问题并进行沟通令我感到兴奋。因为当时我觉得能够指出控制不当、浪费、效率低下以及管理不当等问题,就能够充分展示我自身的价值。随着时间的推移,我渐渐意识到我们不仅要揭示问题,还必须充分了解问题产生的原因和影响,并为解决问题提供建议。我发现现在还有很多内部审计人员仍然满足于提出问题,忽视了提出解决方案。 依然把审计客户称为“审计对象” 我承认这与以上六点相比有些微不足道。然而,这一点也反映了审计人员过时的观念。IIA(国际内部审计师协会)在几十年前就已经不再使用“审计对象”这一说法了,而是将接受审计的职能和人员称为“客户”。 以上仅是我个人对于“侏罗纪审计员”的看法。除此以外还有很多其他特征。在整理观点的同时,我还与几位同事就这个问题进行了探讨,他们提出的看法包括:只谈论内部控制而忽略风险;采用标准化的审计项目;只从影响和发生的可能性两个方面评估风险;认为组织文化应当由人力资源部门负责评估;甘于处在边缘位置(而不是积极争取成为值得信赖的顾问);满足于现有的资源/技能水平;止步于满足期待而不考虑如何能够做得更好;认为数据分析就是在审计报告中加入几个图表和图形;审计报告冗长,罗列过去大量工作细节。