顾问委员会

Nur Hayati Baharuddin, CIA,CCSA, CFSA, CGAP, CRMA

– 马来西亚内部审计师协会

Lesedi Lesetedi, CIA, QIAL

–非洲内部审计师协会联合会

Hans Nieuwlands, CIA, CCSA,CGAP

–荷兰内部审计师协会

Karem Obeid, CIA, CCSA,CRMA

–阿联酋内部审计师协会

Carolyn Saint, CIA, CRMA, CPA

– 国际内部审计师协会北美部

Ana Cristina Zambrano Preciado,CIA, CCSA, CRMA

–哥伦比亚内部审计师协会

前期报告

请访问以下链接，获取前期全球视角和见解报告

www.theiia.org/GPI

读者意见反馈

请将问题和建议发送至

globalperspectives@theiia.org

灵活性和创新性

现代内部审计需要在传统的审计活动与组织的战略目标和风险之间建立更加紧密的联系。大多数首席审计执行官（CAE）在与董事会和组织第一道防线的高管交谈中，在执行《国际内部审计专业实务标准》过程中，早已认识到了这一点。事实上，内部审计人员只有遵循“实务标准”要求，从组织战略目标的角度对风险进行评估，才能确保内部审计发挥作用，保障并增加组织的价值。

然而，有两方面的现实因素会阻碍内部审计发挥作用。

一方面，组织面对的风险正在不断增加，这些风险会在极短时间内酝酿发酵，为组织发展带来不良影响。例如，社交媒体一夜之间出现的负面信息、导致组织关键雇员被解雇的性骚扰丑闻、食品安全事件、竞争对手或供应商的合并，以及新的交易或监管政策颠覆了组织多年来业已成型的商业模式等。

另一方面，CAE还必须加大在确认业务方面投入资源的力度，为其他向组织提供确认服务的部门或机构提供确认支持。例如，对运营风险管理进行监督，开展合规测试，为外部审计人员准备相关证据，以及对财务制度进行审查，保证符合反贿赂法的规定。

内部审计在继续完成传统审计业务的同时，要不断提升自身灵活性和创新性，以更快捷的反应帮助组织其他部门应对日益复杂、难以预测的外部环境，才能实现转型，这将是一项艰巨的任务。但国际内部审计师协会（IIA）认为，只要内部审计充分了解组织战略目标和风险，并确保内部审计业务的开展符合目标和风险防范的要求，就一定能够成功。

IIA《2018北美内部审计脉搏报告》（以下简称“报告”）简述了对北美600多名首席审计执行官（CAE）的调查结果。其中，我们看到一个相当矛盾的现象。有三分之二的受访者认为，灵活性对于审计职能的未来发展至关重要。的确，科技不断进步，市场全球化程度不断提高，组织声誉对企业价值的重要性也在不断增强。这些因素导致风险发展速度越来越快，预测风险的难度也在不断提升。因此，董事会和企业领导都希望能够不断提高自身应对这些风险的能力。

与此同时，这些受访的CAE中，却只有45%认为自己所在部门的审计职能确实具备灵活性。虽然这一结果不尽如人意，但也并不出乎意料。资源不足、组织过于复杂以及管理层仍然因循守旧地看待内部审计，都是阻碍审计部门发挥灵活性的常见因素。CAE需要协助管理层改变对内部审计的固有观念，支持审计部门为组织提供应对快速发展、难以预测风险的确认服务。

尽管上述提到的这些阻碍内部审计部门发展的因素由来已久，确实难以克服，但更糟糕的是，内部审计本身也存在阻碍自身发展的问题。CAE需要利用创造性思维不断加以克服。尽管绝大部分CAE都认可内部审计应当具备灵活性，但对如何做并没有明确的认识。

换句话说，现代内部审计职能如何才能在日常工作中做到灵活敏捷呢？一个灵活的审计职能到底体现在哪些方面？创新性风险管理与客观风险确认之间有何区别？

审计准则

IIA标准2120：风险管理

内部审计活动必须评估风险管理过程的有效性，并对其改善作出贡献。

2120.A1:

内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险：

组织战略目标的实现

财务和运营信息的可靠性和完整性

运营和程序的效率和效果

资产的安全

对法律、法规、政策、程序及合同的遵循情况

从培养应对复杂局面的能力入手

想要成为一个“敏捷”的审计部门，审计团队必须在风险评估程序中培养和运用全新的能力，即能够使审计部门从容应对复杂多变、要求严格的商业环境的能力。

比如，审计部门的领导需要在应对和理解风险时提升灵活应对的能力。为此，审计部门的领导需要加强与组织第一道防线中运营高管间的沟通，具体了解运营中存在的威胁；同时，加强与组织第二道防线的沟通，了解目前组织在风险管理中采取的具体方式。

审计部门可能还需要加强与审计委员会以外的其他董事会委员会之间的沟通。审计委员会优先考虑财务报告和监管合规无可厚非，这是他们的职责所在。但是这些风险与其他重大的战略风险不同，并不属于战略目标的范畴（只能说是组织为了完成其他重大战略目标而必须完成的小目标）。

董事会的董事们主要担心的风险有哪些呢？甫瀚咨询公司（Protiviti）和北卡罗莱纳州立大学合作开展了一项调查，采访了来自全球的700多名董事会董事和高级管理人员。调查结果确定了五项最受关注的风险，分别是：

1. 组织无法理解或跟上变革性科学技术的快速发展

2. 组织内部对变革的抵触可能会瓦解组织为改善运营状况做出的努力

3. 网络安全

4. 政府监管的变化

5. 组织内部存在不愿意确定、通报和向上级报告关键风险的负面情绪

美国企业董事联合会近期也针对上市公司董事会董事开展了一项调查，确定了他们最担忧的五大问题：

1. 重大的行业变化

2. 商业模式的变革

3. 全球经济形势的不断变化

4. 网络安全

5. 人才竞争

值得注意的是，监管合规并不在列，只排在第九位。

为了对上述两项调查确定的这些问题进行评估，审计部门的领导必须征求公司内部某些关键人群的意见，才能对风险作出清晰的判断。也就是说，CAE需要与组织第一道防线的运营高管和第二道防线的管理者进行合作，可能还需要和那些以前很少打交道的董事会委员会进行沟通。CAE在处理特殊问题（如解决网络安全风险或是数据治理程序）时，有时也会需要寻求外部专业人士的帮助。

好在审计部门已经开始着手这方面的工作。报告结果显示，58%的受访者表示，为了提升审计部门的灵活性，已经与组织其他两道防线的相关部门进行了新的合作。

然而，从更为实际的角度看，CAE还需要对人才知识技能组合和科技进行合理的整合，才能对风险做出迅速的分析。比如说，运营部门的高管可能会支持改善物流和供应链管理的分析项目，从而更好地应对运营的不稳定性和成本浮动问题（通过传统的审计项目帮助实现战略目标）。除此以外，审计团队需要了解如何与运营人员进行合作，理解工作流程；需要知道在哪里可以找到IT分析专业人士来学习工作程序；还需要判断哪些业务的本质只是单纯的测试工作，可以通过分包或交由机器人程序自动化完成。

首席执行官（CEO）对威胁因素的评估

来自85个国家的1300名首席执行官（CEO）参与的一项调查结果显示，组织CEO的观点会影响组织的战略风险和董事会的观点

普华永道（PwC）

第21次CEO调查报告显示，“全球各地的CEO对广泛的社会威胁，如地缘政治的不稳定性、恐怖主义和气候变化的担忧程度越来越高，甚至超过了那些直接的商业风险，如客户行为的变化以及新的市场准入。”

进一步讲，PwC报告中指出，CEO还十分担忧人工智能的前景和潜在的危险。

经评估，CEO认为最重要的五大威胁是：

1.监管过度

2.恐怖主义

3.地缘政治的不稳定性

4.网络安全威胁

5.掌握关键技术的情况和科技变革的速度（两者并列）

关于这个问题的调查结果还出现了一个有趣的现象：自2008年该问题第一次提出起，监管过度一直是受访者最担忧的威胁，但近年来其担忧程度一直没什么变化。然而，对其他几项威胁因素的担忧程度却在不断增长，其中恐怖主义就从第12位增长至第2位。

内部审计实务的灵活性和创新性

由于现实环境中往往存在预算紧张、工作人员任务繁重以及监管要求严苛等问题，因此，审计部门需要不断优化职能，才能提高自身的灵活性和创新性。

第一，强大的内部控制永远是培养灵活性和创新性的基础。内部控制产生的数据是开展其他工作的动力，如果内部控制失灵，就可能产生不良数据，给组织带来负面影响。未来内部控制的设计和测试可能会发生巨大变化，但是审计部门的领导要牢记，数据时代，强大的数据管理能力至关重要——而强大的内部控制是组织管理企业数据的良方。

第二，强大的数据管理有助于提升数据分析能力。审计部门领导应该招募或培养能够提升数据分析效率的人才，虽然在当前的人力资源市场环境下，做到这一点并不容易。如果不得不在缺少必要综合技能的情况下开展工作，内部审计部门就需要与信息技术审计部门、信息技术部门或是业务分析团队（在组织条件允许的情况下）合作。2018年，基于全球几百个人工智能（AI）的使用案例，麦肯锡全球研究所（MGI）推出了一篇针对各项AI“深度学习”技术的研究报告，其中包括强化学习、前馈神经网络、递归神经网络、卷积神经网络和生成对抗网络。充分利用传统分析技术十分重要。MGI表示，AI能够为组织采用的传统分析方法增加价值。MGI评估结果显示，综合各行业情况，在AI的推动作用下，传统分析技术的价值将会增长62%。

第三，强大的分析能力是审计部门帮助组织完成战略目标的有效手段。传统的测试只能判断一个业务流程是否能在既定的控制措施内正常运行；审计团队可以利用分析方法改善业务流程。然而，为了能够充分利用这项能力，审计部门需要与那些了解业务流程的团队进行合作——这也进一步强调了审计部门与组织其他部门合作的重要性。

创新性和灵活性在许多方面都是相辅相成的。为了能够在短时间内确定并解决新出现的风险（即提升灵活性），审计部门的领导需要让自己的部门摆脱劳动密集型的测试任务和文档整理工作，为此需要引进新的创新性技术（如机器人程序自动化），实现常规内部审计工作自动化，或引进AI技术，实现审计证据分析自动化。

为了改善业务流程，帮助企业实现战略目标（即提升创新性），审计部门的领导需要与董事会的董事以及运营部门的高管建立新的联系（即提升灵活性）。

提升创新性和灵活性过程中，还会产生另外一个值得注意的附加效应：审计项目越先进，就越容易吸引审计部门以外的专业人才，帮助审计部门共同完成审计任务。这一点在组织高层体现得十分明显，因为各部门的经理人和高级管理人员都能清楚地感受到审计部门能够帮助他们解决面临的问题，在普通员工层面也是如此。运营部门需要了解内部审计部门正在着手解决与他们相关的问题，而且也在不断尝试用新的方式来解决这些问题。

乌干达内部审计师协会的观点

在2018年4月举办的乌干达内部审计师协会第13届年度全国内部审计大会上，坦桑尼亚内部审计师协会副会长Juma Kimori强调了灵活的重要性，称灵活的审计工作符合IIA制定的《内部审计实务的核心原则》，其中规定内部审计工作要做到富有见解、积极主动，并具有前瞻性。

Kimori是NMB银行的首席审计执行官，所在的部门共有34名内部审计人员。“在未来，高效的领导能力至关重要，关乎内部审计职业和整个组织的生存发展”，Kimori表示，“因此，除了日常工作以外，CAE还必须及时了解组织内外部环境的最新动态。”

但只有了解是远远不够的。Kimori认为，保持灵活性要求内部审计在了解最新动态之后迅速采取应对措施，也就是说，内部审计部门必须做好准备，当组织战略或工作重点、竞争形势以及监管环境发生变化时及时做出反应。

虽然大型跨国组织的内部审计部门拥有更多的资源，支持其不断提升灵活性，但是这些组织的规模和复杂程度同样对内部审计提出了更高的要求，CAE需要了解更多与组织内外部商业环境有关的动态。

因此，Kimori认为，CAE需要灵活掌握审计计划的落实情况，确保审计流程简单明了，从而缩短交付审计结果的周期。

立即采取行动

内部审计部门领导的前瞻性思维已经为提升灵活性和创新性开创了良好的局面。内部审计部门足够重视数据治理，创造性地尝试使用分析方法，并与第一道防线和第二道防线进行合作，这些都打下了坚实的基础。最重要的是，董事会对此也很重视（最后的数据表明：“报告”调查中，只有21%的受访者所在组织的董事会对内部审计的期待仍然拘泥于传统观点）。

提升内部审计灵活性和创新性是极具挑战的任务，可能会遇到很多困难和阻碍，甚至会因为最初的失误影响后续的发展。尽管如此，想要成为集灵活性和创新性于一身的审计部门，就绝不能任由自身缓慢发展、固守陈规——否则将难以跟上未来的发展潮流。为了继续向前发展，内部审计需要：

转变思维方式。提升灵活性和创新性会带来一些新的机遇，内部审计一定要做好充足的准备，充分利用这些机遇，为此需要重视工作流程、转变对资源的理念并对自身进行重新定位。

衡量董事会对于内部审计参与战略风险和目标的意向和偏好。敢于提出一些棘手的问题，例如，审计委员会在应对战略风险方面发挥何种作用？是否有其他委员会能够承担这项任务？

为内部审计追求更高的灵活性和创新性制定技术路线图。需要考虑的问题包括：审计团队是否已经采用了电子审计工作底稿？工作流程自动化是否可行？审计团队是否开发并使用了线上合作平台，能够使团队人员通过线上方式实现协作？

为内部审计追求更高的灵活性和创新性制定资源路线图。需要考虑的问题包括：审计团队如何才能强大自身的分析能力？有哪些传统的审计活动可以通过与外部合作完成，或是完全实现自动化？

与组织第一道防线协作，确定阻碍其完成目标的业务风险。在完成目标的过程中引进数据分析方法。开发能够吸引信息技术或运营部门人才的审计项目，增强内部审计与他们的合作。