内部审计对组织重要创新的响应(二)
2020-02-14曾繁荣
曾繁荣
[摘要]2019年8月,国际内部审计师协会(IIA)发布了研究报告《内部审计对组织重要创新的响应》,该报告基于对首席审计执行官(CAE)和内部审计师的专业调查,介绍了组织的重要创新现状及内部审计对组织重要创新的响应情况、响应效果。因该报告篇幅较长,故分篇刊载。
[关键词]内部审计 组织 创新 响应
(承上篇)
二、内部审计如何应对十项常见的组织创新
(二)云计算
1.定义。即使用远程服务器(而非使用本地服务器)网络来存储、管理和处理数据。
2.对组织/风险的影响。给组织带来了一系列风险,包括隐私、安全、数据泄露、数据敏感性、声誉和监管方面的风险。此外,向云计算的转变从根本上改变了组织对数据存储、使用和管理的方法。正如一家食品饮料公司CAE所述:“我们的IT战略是建造自己的数据中心,开发与利用云,从而可以用更少的钱、更有效地完成这项工作,安全性更高。这将极大地改变IT部门,使IT人员减少三分之一。”
3.调查结果。云计算是报告次数排名第二的创新类型。内部审计人员在审查或确定该项创新方面比其他创新更积极(36%)。在所有创新中,云计算的得分最高,因为它要求审计人员在审计计划中增加更多领域,并要求对这些创新进行培训。内部审计参与云计算创新决策情况见图1。
4.深刻见解。考虑到向云过渡普遍存在新风险,受访者强烈建议将评估云计算控制作为最佳实践,并建议雇佣具有IT技能的人才来评估云计算控制。因此,企业很可能改变内部审计人员的招聘方法,许多受访者建议聘请外部专家进行渗透测试,并引入具有专业IT技能的人员。所有受访者均认为,要想获得成功,建议在转向云计算之前与IT部门建立牢固关系。
5.最佳实践。一是评估控制。除了评估数据安全、隐私等方面的内控,还要评估“软控制”,因为关注企业文化和知识也十分必要。二是内部审计需要雇用具有IT技能的人才,增加内审人员的IT专业知识以促进对云计算控制的评估。部分企业的招聘重点已从会计转向编码、网络安全、信息学和数据分析。三是指派员工密切监控云合作伙伴,以便清楚传达测试结果,确保包含尽可能详细的信息。四是注意成本。内审应帮助组织密切关注云供应商,因为云供应商不会预先披露真实成本,维护成本可能很高,但在协商阶段并不明显。
(三)敏捷過程
1.定义。即一种项目管理方法,其目标是以较低成本提供较高质量的产品。通常,它包括一个“冲刺”(Sprint)阶段,这是一种增量、迭代的工作序列,逐步改进产品质量。这种方法专注于在短迭代中逐步交付测试过的产品。当敏捷过程在整个组织中实现时,内部审计必须认识到业务流程将发生变化,参与这些过程的员工也具有不同的项目管理思维和方法,内部审计可以通过敏捷过程来管理审计活动,内部审计工作性质将发生变化。
2.对组织/风险的影响。当组织或内部审计功能实现敏捷过程时,内部审计人员应意识到存在许多风险。敏捷需要转变整个组织的文化和创建新的思维方式,这一转变带来更多的不确定性。因此,敏捷比过去需要更多纪律,因为冲刺期间的业务流程可能不关注内部控制,这将给内部审计带来更多问题,由于冲刺阶段是快速的,可能难以履行其职责并提供及时的建议。当组织转向敏捷过程时,内部审计需要改变思维方式。以大型教育机构首席技术官(CIO)最近的经历为例,虽然CIO的IT团队已转向敏捷过程,但内部审计仍延用传统方式来审计——召开会议、评估流程或控制、审查所有材料、提供建议/发现。从CIO的角度看,所面临的挑战是,当内部审计提供建议时,IT团队已发布了被审计流程的两个新迭代。由于敏捷过程的快节奏性,使得内部审计结果无关紧要,因而内部审计此时是一种遵从性的实践,没有增加多少价值,因为未能跟上IT变化的速度。为了在敏捷过程中提供价值,内部审计必须做出重大调整,以更接近实时的方式来进行审计和报告结果。
3.调查结果。38%的受访者表示所在组织或内部审计部门已实现了敏捷过程,这是一项重要创新(排名第4),但内部审计对整个组织实施敏捷过程决策的参与度低于所有创新的平均水平(见图2)。在实现敏捷过程中,内部审计更有可能将新的审计领域添加到年度审计计划中,响应创新的效率更高。敏捷过程改变了审计方式和审计重点,因此,当组织实施敏捷过程时,很可能改变整个审计过程。
4.深刻见解。由于工作节奏的变化,转向敏捷过程可能导致员工耗费更多精力;敏捷的最大挑战是缺乏资源,尤其在了解的过程方面,敏捷过程可能需要不同于年度计划的思维方式。
5.最佳实践。一是公开沟通。绝大多数受访者认为高管和内部审计人员需要公开沟通,参与实施敏捷过程的决策,特别是应定期参加培训。二是通过联合采购/外包获得专业知识,尤其在实施敏捷过程的早期特别有价值。三是认识学习曲线。内部审计需要有一个过程来适应敏捷过程,花费的时间先多后少,效率先低后高。
(四)移动技术
1.定义。即使用蜂窝技术连接电话、平板电脑或笔记本电脑进行通信的技术。其应用范围很广,从跟踪人员和资产(如飞机、卡车等)到将基于纸张的文档转换为使用平板电脑的数字文档,再到为客户提供解决方案。
2.对组织/风险的影响。移动技术具有网络风险(如隐私、资料完整性等)以及存在盗窃和未经授权访问的风险,因为黑客可以利用更多的入侵点。此外,许多科技跨国公司和外国政府禁止本国公民携带私人或公司的智能手机或笔记本电脑到不同国家,否则会面临风险。
3.调查结果。除了审查/确定实施移动技术的供应商外,内部审计很少参与这项创新(见图3)。内部审计人员普遍认为,除了在年度审计计划中增加审计领域之外,尚不需要改变审计程序来应对该风险。
4.深刻见解。有必要建立一套工作框架以监测来自移动技术的潜在风险,但创建工作框架是复杂的,因为各地各组织的移动技术不尽相同。在此背景下,组织必须整合所有影响其活动的内外部流程和资源,以有效管理移动技术。
5.最佳实践。一是明确移动技术的战略和运营目标。内部审计必须了解为什么以及如何实施移动技术,以便能够识别潜在风险并进行必要控制。二是创建一种相向的企业文化。由于移动技术(尤其是移动设备)被用于许多目的,几乎涵盖组织的所有领域,因此有必要与其他相关功能(如IT、公司安全等)协作以协调所有活动。
(五)机器人处理自动化
1.定义。机器人处理自动化(RPA)是一种允许用户设计执行常规系统任务的机器人或机器人的自动化。机器人本质上执行的步骤与人类完全相同,尽管研究团队正在努力构建智能过程自动化(IPA),但它并未像人工智能那样“智能”。
2.调查结果。55%的受访者并未参与到实施RPA的决策中(见图4)。在所有创新中,内部审计对编制RPA最有信心,RPA被认为是一种最不需要作出改变的创新,占比达45%,这可能是因为RPA的本质与人工审计方式相同。但由于RPA执行活动的效率很高,因而设置“坏”流程不能自动化就至关重要,以避免迅速加剧“错误”的结果。有受访者认为,过去对RPA的审计并不十分有效,因为人们对这种“内审缺乏参与、自认为没必要改变这项技术、对准备工作很有信心,但对其过去效力的评估却很低”的现状表示费解。这表明,内部审计要么没完全理解该变化所涉及的内容,要么高估了自身能力而未能很好执行。
3.深刻见解。RPA主要用于与美国2002年《萨班斯—奥克斯利法案》相关任务和控制的自动化。该技术是强大的,若适当实施,投资回报会非常丰厚。比如,一个组织进行RPA试运行,方法是让一名员工进行自我培训,并将400个税务报告实体的数据自动汇总到一个税务实体中。该员工为该流程构建了一个机器人。之前的过程需要四个人花两周时间才能完成,而机器人在不到24小时内就完成了整个任务。尽管该技术具有提高效率的巨大潜力,但与所有技术一样,它可能被误用并产生重大问题。RPA在整个组织中使用时也存在同样风险。正如石油和天然气行业的CAE所述,“让机器人或无人机收集数据时,我们需要了解发生了什么。若一切都是自动化,就会有很多风险,因为它们一旦开始做错事就会一直做錯事,直到人类大脑介入为止。这就是机器人的风险。而它们之所以伟大,是因为它们没有人类的错误。审计的职责就是理解现有的控制,确保机器人按照设计运行。我们确实需要帮助客户识别存在的风险和控制,判断是否存在控制缺口。”
4.最佳实践。尽管审计人员相信能对RPA进行有效审计,但也有受访者认为不要过于自信。相反,内部审计应专注于过程的风险和控制,而不是试图审计并不真正理解的技术。必要时,从RPA审计的主题专家或外包方面寻求专业知识是适当的选择。
(六)连续审计
1.定义。即计算机技术在审计中的应用,使以前手工操作、经常执行的任务能以自动化、实时或近乎实时的方式执行。IIA在其2015年的《全球技术审计指南》(GTAG)中指出,“连续审计包括持续的风险和控制评估,该评估由技术支持并由新的审计范式推动,该审计范式已从基于交易样本的风险和控制的定期评估转变为基于较大比例的交易的持续评估。它还包括对其他数据源的分析,这些数据源可以揭示业务系统中的异常值,如安全级别、日志记录、事件、非结构化数据以及对IT配置的更改、应用程序控制和职责控制隔离”。连续审计的概念并不新鲜,几十年来,内部审计一直在努力实现连续审计。随着复杂的数据分析工具的出现以及完整数据集的使用,更多组织能够执行连续审计。对许多组织而言,它代表着一项重要创新,正在改变着审计方式。
2.对组织/风险的影响。它涉及以技术为基础的审计活动的持续风险和控制评估,使内部审计可以更实时地查看组织的风险和控制措施,更快响应风险和应对风险。通过更实时的监视和响应,内部审计应更加了解风险,从而可通过将审计工作集中在需要的地方以更好提供价值。值得关注的是,它使内部审计人员陷入一种虚假的安全感。若对连续审计的设计不当或对流程有误解,那么内部审计可能看起来有效实则对内部控制无效。
3.调查结果。在所有创新中,内部审计在这项创新中的参与度最高,仅7%的受访者未以任何方式参与连续审计的实施。此外,71%的受访者表示实施连续审计时需要对内审进行改变,鉴于连续审计必然涉及内审实践的转变,这一观点不足为奇。令人惊讶的是,在实施连续审计时,内部审计人员数量通常会增加,而且增加员工人数的频率更高。此外,受访者在实施这项创新时相对有效且有所准备(见图5)。
4.深刻见解。受访者的定性答复显示,连续审计影响员工规模的两种相反意见:一种观点认为它可以缩减员工规模、降低经费;另一种观点认为它会扩大员工规模,以适应额外工作量,增加行政负担。不同意见可能使不同组织进行连续审计的方式不同。
5.最佳实践。一是与管理层保持密切关系。这有助于避免各运营单位在进行连续审计和持续监控时出现重复,有助于增加内部审计工作的感知价值,得到管理层的认可;有助于减少“审计疲劳”,即减少“三道防线”的重复性。二是与其他治理功能有效协调。由于可以通过第二道防线的职能来解决连续审计和连续监控的问题,因此治理职能之间的协调以及职责和任务的明确至关重要。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)