亚洲内部审计师协会联合会问卷调查报告
2021-09-23严忠新肖竞编译
严忠新 肖竞编译
[摘要]本问卷调查报告旨在通过反映亚太地区内部审计现状、未来工作、新兴风险和趋势,以期帮助内部审计未来为组织发挥更大作用。
[关键词]内部审计 受访者 风险
一、前言
内部审计在为组织增加价值方面起着重要作用。新冠肺炎疫情对经济和组织的商业职能已产生重大和广泛的影响,组织识别、评估新兴风险并对之实施有效管理面临的压力愈来愈大。亚洲内部审计师协会联合会(ACIIA)将此次疫情视为内部审计重塑其角色和定位的契机,内部审计部门通过改变技术方法和运作模式,提高利益相关者的信任,进一步彰显内部审计的作用,以期为组织提供更大价值。
二、关于问卷调查
(一)问卷调查的背景
2021年2月ACIIA与SyCip,Gorres,Velayo&Co
公司(以下简称SGV)联合开展了题为“內部审计转型:未来的工作、新兴风险和趋势”的线上问卷调查活动。问卷通过对“内部审计在组织中的新兴角色”和“内部审计工作的未来”两个主要方面的调查,了解亚太地区不同行业的内部审计在帮助组织应对疫情影响和日益加剧的风险时,如何转变未来的工作重点和运作模式,提高人员的职业技能,适应未来工作环境和关注员工福祉等。SGV对调查结果开展了进一步研究,还在内部审计如何发展才能满足和响应不断变化的业务需求方面提供了富有价值的见解。
问卷收集了来自于亚太地区15个国家和地区的高级内部审计执行人员和利益相关者共376份回应。受访者大多数来自中国内地(173人,占比46.0%)、日本(58人,占比15.4%)和菲律宾(57人,占比15.2%),其他少数来自澳大利亚、斐济、印度、印度尼西亚、韩国、马来西亚、中国香港等国家和地区。
受访者所属的行业具有一定的代表性。如图1所示,金融和保险业参与人数最多(78人,占比20.7%),制造业次之(70人,占比18.6%)。
大多数受访者来自大型组织,其中128人(占比34.0%)所在组织年度营业额在10亿美元以上。
(二)受访者内部审计的组织架构及其组成
80.3%的受访者(302人)称内部审计机构是由全职人员组成的独立部门,只有少数受访者称其所在组织要么完全外包(19人),要么采用混合方式获取内审资源(55人)。菲律宾和日本受访者称,其内审组织由全职或者部分外包人员组成,没有完全外包的形式。在不考虑组织年度营业额的情况下,大多数受访者(221人,占比58.8%)称,内审部门由不到10人的团队组成。
三、内部审计在组织中的新兴角色
目前大多数组织的内审机构提供与合规、经营和财务审计等相关服务。为此,问卷调查了内审部门在过去5年和未来5年的主要任务。对于过去5年,大多数受访者认为,主要任务按重要性和优先程度由高到低排序为:(1)向管理层提出建议,提升组织的内部控制有效性;(2)对现有控制措施、政策及其实施和落实情况进行监督;(3)为组织的内部控制提供鉴证和确认服务。当被问及未来5年将如何变化时,受访者对内审任务进行了不同的排序,但对总体排序结果影响不大,都希望继续参与提供管理建议,并在确认组织全面风险管理和业务连续性时,为内部控制和舞弊侦测提供服务。在使用分析技术处理重点关注的新兴领域方面,也都拥有共同的预期。
调查结果也显示了在一些特定行业或者国家(地区),受访者的反馈呈现出独特的趋势。一是重要行业。(1)金融和保险业。预计将转向数据分析,审查人工智能流程治理、控制和信息科技相关事项。(2)施工建筑业。与大多数行业的回应不同,施工建筑业过去5年尤其重视其他咨询服务,如舞弊侦测,并将在未来5年持续进行。(3)公司和企业管理服务业。期望未来5年高度重视支持组织的业务连续性。(4)信息科技业。更加重视支持:组织的业务连续性工作;数据分析的应用;为人工智能和自动化流程/控制的治理提供确认服务。二是国家和地区。(1)菲律宾。除了对自动化流程和控制治理的确认审查上升外,其他任务排序与上述总体回应一致。(2)中国内地。受访者预见未来工作重心将从确保组织的内部控制转向支持组织的业务连续性工作。(3)日本。管理层期望内审继续在内部控制方面提出建议,并对组织的全面风险管理方案提供指导。
虽然首席审计执行官认为内部审计的核心任务不会发生变化,但内部审计仍然需要不断自我变革。内部审计需要提供确认之外的服务,并扩大重点,以应对不断升级的风险。
(一)不断加剧的风险领域
组织持续受到技术、全球化和环境等压力的困扰,所面临的风险也在不断演变和加剧。大多数受访者认为,网络安全风险、信息科技风险和财务风险是未来几年最有可能加剧的风险。虽然大部分国家(地区)、行业的组织中受访者共同反映了这一观点,但可能由于受访者所属行业的性质不同,菲律宾、中国内地和日本的受访者的观点具有更加鲜明的特点:菲律宾和日本的受访者认为,与财务风险相比,业务连续性风险显著增加;而中国内地的受访者则普遍认为,与财务风险相比,战略风险更为重要。从行业角度看,公司和企业管理服务业受访者认为,战略风险比网络安全风险更为重要。可持续性/环境风险、第三方风险和社区/利益相关者关系风险是长期潜在不断加剧的风险领域。随着越来越多的组织继续寻找更高效、更有效的工作方式,未来它们将专注于核心优势领域,并将非核心业务委托给第三方和第四方。鉴于此,第三方风险将日益受到关注。同样,对于业务连续性风险,由于投资者和监管机构不断要求组织披露其在环境、社会和治理风险的管理等方面的工作,这些方面未来也将是潜在增加风险领域,这是各国(地区)、各行业和各个规模组织受访者的普遍回应,但中国内地和日本受访者认为声誉风险是一个重要领域,其重要性预计今后将会增长。为了降低这些风险,每个组织都有其独特的应对措施。
1.内部审计应对不断加剧风险的准备情况。调查结果表明,总体来说,当前内审职能在财务风险相关领域的能力已经比较健全,但需持续加强在新兴领域的专业能力、资源、工具和技术方法等。问卷设计了内审在应对不断加剧风险所做的准备情况,包括:(1)做好了准备(内审具备应对这些风险的专业能力、资源、工具和技术方法);(2)已做一些准备(个别领域仍有提升空间);(3)未做好准备(大多数领域都有欠缺)三类。受访者基本回应是“已做一些准备”,详细占比情况如表1所示。
2.内部审计在应对新兴风险中的作用。问卷专门设计了相关问题,试图了解内审在帮助组织降低新兴风险和实现组织商业目标时所扮演的角色和所发挥的作用,具体包括:(1)值得信赖的顾问,指内审持续引导管理层和相关部门采取措施;(2)咨询专家,指内审定期提供有关如何应对关键风险的建议;(3)被动参与者,指内审仅在管理层提出需求时才会评估有关风险和提出建议。对于认为内审职能已做好应对新兴风险准备的受访者(平均16%—21%的参与者),其选择扮演角色的情况如图2所示。
3.内部审计作为值得信赖的顾问。组织在提供重要风险洞见方面对内审的依赖性持续增加。由于利益相关者希望内审向组织提供更多的战略价值,内审职能成为关注焦点,受访者更加关注和强调内审对组织有意义的风险领域,如战略、信息科技和业务连续性风险。新冠肺炎疫情加速了商业环境变化,正在逐步实现流程自动化的组织必须快速推进数字化。每个人都得在数字环境下开展远程工作,但并非都为此做好了准备。内审被视为值得信赖的顾问,旨在帮助组织从应对新兴挑战中获得发展,确保业务流程仍然受控、合规和有效。内审作为转型的推动者,如果想要满足组织的战略需求,就需要保持敏捷的特点,充分利用数字化赋能,同时将风险作为开展工作的基础。
(二)内部审计关注点的变化
问卷调查了内审人员认为对业务影响最大的几个因素:(1)合规仍是一个重点领域。组织期望内审继续密切关注监管部门的要求和法律法规的变化,与经营部门进行积极沟通,帮助其遵循现行的标准。(2)信息科技和网络安全的脆弱程度继续上升。信息科技、网络安全相关的威胁变得越来越复杂,内审被期望扩大其覆盖范围,不再局限于确认服务,而是帮助组织监控由于技术进步所带来的一系列更为广泛的风险。(3)需要更好地理解第三方风险。内审职能将扩大到帮助组织理解如何依赖第三方,从而能够指导组织正确管理外包给第三方的业务流程。(4)工作场所的多样性和包容性是一个不断演变的话题。多元化和包容性的团队能够提供更具创新性的方法,这样内审职能能够更好地响应不断演变的资源需求,利用个人的差异性加速转型。
作为值得信赖的顾问,内审应当不断改进自身工作,更好地了解和应对组织可能面临的不断变化的风险。
(三)内部审计新兴趋势和技术
在过去5年里,许多组织的一项重大举措是业务数字化(即利用信息科技和电子资源优化组织的运营)。大多数受访者认为,数字化进程不会停止,并将在未来几年持续下去。鉴于此,内审应当利用这一趋势,转变其生态系统,承担数字化、敏捷和高效的组织职能。
问卷咨询了受访者是否运用了以下新兴技术或实务,回应情况如图3所示。
一是机器人流程自动化(RPA)。在过去5年里,大多数受访者虽然目睹了技术上的重大进步,但却很少有人使用RPA,即使使用也仅限于流程的某些领域,如检查数据的完整性和验证数据的输入。RPA技术的使用带来了机遇和风险,当RPA应用于业务流程时,内审应查看流程的整个生命周期;在考虑将RPA嵌入审计流程时,应当设定明确的目标并在后续迭代中更好地使用。RPA对内审完成日常活动有很大帮助,如证据整理、报告和控制测试。
二是云计算。仅有26%的受访者表示使用了云计算,云技术主要被用于数据的存储、可用性和安全性方面,这一趋势也变得越来越明显。内审面临的挑战之一是如何制订审计方案,使其能够在云环境下评估控制情况。
三是敏捷审计。敏捷审计是指在内审业务开展过程中采取更加灵活的方式,利用不断更新的审计任务清单取代难以调整的审计计划,确保审计项目的优先程度根据风险的重要性和组织的需求进行排序,一旦资源到位,优先的审计项目可以立即展开。42%的受访者提到在审计方案中综合考虑了灵活性,而开展敏捷审计的用户中有一半也考虑了数据分析。
四是治理、风险与合规(GRC)。71%的受访者重视GRC流程的重要性,该流程允许跨部门的活动并及时进行适应性调整,在促进跨部门协作的同时仍能保持独立性。技术可以为实现GRC的高效和有效性方面发挥关键作用。作为GRC使用者之一,内审部门将从中获益,推进以风险为基础的审计方法,并将审计重点聚焦到更需要关注的领域。内审对GRC的使用,还将通过减少第二线和第三线业务中的重复劳动来提高组织的运作效率。
五是数据分析。世界正日益数字化,新冠肺炎疫情越发加速了这一趨势。由于拥有大量的在线实时信息,内审可以利用数据分析来管理审计项目全周期的活动,如风险评估、审计计划及其实施、报告和监督。70%的受访者表示已特别利用数据分析识别异常、趋势,进行根本原因分析和错误的量化影响分析等。
(四)三线模型职能之间的互动
IIA在“三道防线”基础上更新发布的“三线模型”能够帮助组织确定最有助于实现其目标的组织机构和流程,促进强有力的治理和风险管理。大多数受访者认为,作为组织的一部分,都通过设立独立的风险管理、合规和内审部门以适应三线模型,这与IIA推荐的结构一致,即第二线部门对第一线部门风险管理方面的专业知识提供补充,并对第一线部门的工作提出合理质疑与职能监督,以支持第一线部门有效管理风险;第三线是独立于业务管理的部门,负责对组织治理与风险管理有效性提供独立、客观的确认和咨询。
有必要加强各线职能之间的沟通,理解三线各自的作用和责任,以及如何协同工作,从而最大限度地发挥这些重要职能的作用。通过整合GRC流程,利用监督和有意义的“决策”来增强股东价值,可以进一步增加这些角色之间的相互协同。
问卷调查了受访者的组织是否设有独立于内审团队的风险管理与合规团队。虽然一些受访者指出,他们组织中没有独立的风险管理与合规团队,但已经实施了保障措施和方案,以保持内部审计的独立性。仅有50%的受访者提出所在组织拥有独立的内审、风险管理与合规团队;13%的受访者提出既有内审团队,也有合规团队,但没有独立风险管理团队;12%的受访者提出同时拥有内审和风险管理团队,但没有独立的合规团队。年度营业额1000万—10亿美元的组织大多数受访者表示,其组织同时拥有独立的内审、风险管理与合规团队;未设风险管理与合规团队的25%的受访者回应,所在组织会经常采取措施,确保内审人员的客观性不受损害。澳大利亚教育服务业的一位受访者表示:“任何利益冲突或可能存在的冲突都必须向审计和风险委员会申报,利用共同组建审计团队的形式满足独立性要求。”设立独立风险管理的团队受访者回应,大多数内审在监督整个业务风险、报告与风险相关事项以及推动管理层应对风险时会与风险管理团队互动。然而,内审与风险管理团队在推动召开风险研讨会方面却很少互动。印度制造业的一位受访者表示:“内部审计与企业风险管理职能进行密切交互,既可以向其提供在确认中洞察的业务风险,也能收集其对业务和战略风险的见解,这有助于内审全面了解影响业务目标的企业风险,促进审计确认服务聚焦重点。”设立独立合规团队的受访者回应,内审与合规团队在监督内部流程、控制、风险和政策,以及评估和报告组织已识别风险时开展协作,在确定不合规将对组织内部某些业务活动造成的负面影响、建立控制和合规文化方面,也经常互动。菲律宾的一位金融与保险业受访者这样解释双方的分工:“合规团队来监督合规情况,而内部审计对合规和业务部门使用的合规程序进行评价。”
(五)内部审计在变革过程中获得信任
内审执行人员被期望具有远见卓识,为组织应对感知到的威胁和变革做好准备。内审工作必须具有策略(更智能地使用技术和分析),并在组织中保持被信任。内审作为值得信赖的顾问,通过提供洞见、建议及合理的确认服务,保护组织免受颠覆性事件的侵扰。在针对如何保持利益相关者对内部审计的信任的回复中,由高到低排序结果是:46%受访者认为最有效的方法是向利益相关者通报内审采用了新工具和策略,更新了风险评估方法;27%认为将风险情报整合到风险评估流程中,实现更具前瞻性和时效性的报告,推动符合战略重点要求且更加“敏捷”的决策;14%认为在组织中推动风险管理的转型,形成以客户为中心和关系导向的业务和风险战略;13%认为为适应变革的要求,推动风险评估和风险战略的转型。
内审人员应当对组织的运作和行业具有深刻理解,通过由外向内的视角,不仅要考虑带来负面影响的下行风险,也应思考可从中受益的上行风险。此外,内审还需研究一种远远超出合规检查或传统确认服务之外更加综合、全面的方法,通过灌输风险优化模式和创新思维方式,利用新的和变革性的工具、新方法来驱动组织获得更大效能、效率和价值,将风险转化为信任。
内审可以成为帮助组织应对变革的推动者,内审作为一项职能,需要提高技能才能够满足这一期望。内审需要在方法上保持灵活性,重新审视人才、技术和运作模式。
四、内部审计工作的未来
组织正积极采用新技术,以转变其商业模式、推动经济增长和提高工作效率。组织的流程和控制目前在效率和效果方面都很理想,但在未来却可能被淘汰,内审必须灵活地帮助管理层理解风险及其对组织的影响。
(一)内部审计团队的技能
随着内审职能的不断发展和加速转型,内审人员职业成功的技术技能和行为技能属性组合也在发生变化。未来内审人员除了应当具备技术技能外,还应当具有广泛的非技术胜任能力和行为技能属性。受访者评估了未来5年内审需要具备能力的重要性水平:(1)深厚的技术和商业技能,58%的受访者认为非常重要;(2)批判性思维和数据分析技能,以数据分析驱动的批判性思维也是未来内审人员高度重视的技能;(3)软技能,沟通技能在非技术/软技能的调查结果中居于首位,72%的受访者认为沟通技能非常重要。然而,随着组织数据量和信息量的不断增加,沟通正发生变化,这对内审职业的沟通方式提出了新的要求和期望。
(二)内部审计人员的工作方式和环境
在新冠肺炎疫情的背景下,组织被迫改变运作模式以适应“新常态”。调查结果显示,内审组织的运作模式将更具有灵活性,内审人员可能由全职的和外包给第三方的服务提供商共同组成。大多数受访者还倾向于利用内部轮岗平台来增加内审人员对商业和行业知识的了解,63%的受访者考虑来自其他部门的轮岗资源,57%考虑同时使用全职资源和第三方服务提供商,54%表示审计部门将由独立于其他部门的全职人员组成。
关于未来5年内审人员的工作环境。大多数受访者认为,内审将继续采用灵活的工作安排——在居家办公或办公室办公或在被审计单位办公之间保持平衡,62%的受访者预计将有分布式工作安排(被派驻到被审计单位办公场所办公),56%相信会更习惯于居家办公,47%建议审计团队更多依赖于使用共用工作空间。考虑到这些选项,当内审与第三方创建合同时,应当考虑关键领域(如保密条款、隐私等),同时,内审应当得到技术支持,能够设置虚拟工作环境和保护组织数据免遭潜在破坏。
(三)内部审计人员的福祉
员工福祉不仅包括身体健康,还包括其他因素,如员工的职责和期望、压力水平和工作环境等。调查结果显示,48%的受访者认为组织非常关心员工福祉,即便是在工作时间之外也不例外;38%认为组织很关心员工福祉,很少出现由于工作原因牺牲员工福祉的情况;13%认为组织关心员工福祉,但有时会出现由于工作牺牲员工福祉的情况。调查还了解到受访者认为解决内审人员福祉时可以考虑以下方式:80%的受访者认为提升工作进度和工作安排的灵活性将会有效改善员工福祉;53%认为扩大经济扶助和加强医疗保险服务能够支持员工福祉;43%考虑更多关注员工心理健康。心理健康和身体健康一样需要被认知和关注,内审作为组织的一部分,应当采取必要的步骤认识员工的心理需求。
内审要进行真正的变革,需要得到管理层的支持。只有获得适当层级的支持和资源,使得内审作用与组织的目标保持一致时,内审才能有效。另外,内审需要清晰阐释变革的理由,并确定如何将内审作为帮助组织转型的工具。
五、结论
内审人员在帮助组织管理和预测风险方面发挥着重要作用。未来内审必须调整其方法、运作模式、技术和人才结构,以灵活应对商业环境的迅速变化。目前,相当数量组织的内审职能仅限于传统确认业务,在继续开展这一业务的同时,主要利益相关者期望内审扩大覆盖范围,帮助其预测不断升级的风险领域。内审应当持续深入了解组织运营的业务环境,寻找新的工作方法来提高效率,重新调整与组织总体需求相一致的技能。
随着数字化和虚拟技术的快速发展,在定义正确的控制水平、管理与技术使用相关的风险方面,内审发挥着重要作用。内审应当跟上未来的技能要求,在可能需要特定经验的领域(如网络审计、云审计、区块链、RPA)考虑使用主题资源、专家、数据分析师/科学家以建立一个支持灵活方法的生态系统。此外,创造力、沟通能力和数据可视化能力,正成为组织对内审人员的必要和基本的期望。技术在内审为未来做好准备的过程中发挥着重要作用,借助与商业运作整合并允许灵活审计响应的工具,将使内审能够进行广泛的数据分析,同时以更及时和敏捷的方式执行审计方案、提交有意义的审计报告。
员工对福祉的关注和认可程度也在不断提高,特别是在世界突然转向远程控制环境以应对危机之际,我们必须接受这一将继续演变和持续下去的趋势。
内审还需要与第一线部门和第二线部门密切合作,通过允许跨部门的治理、风险与合规整合技术,适当地确定重点领域的优先级,从而在组织中有效发挥作用。随着商业环境的日益复杂,内审最适合为商业领导者在应当考虑的风险画像方面提出问题和建议,从而真正成为值得信赖的顾问。内审作用至关重要,转型势头现已开始。(本文不是全文翻譯只是部分翻译)
(译者单位:中广核工程有限公司 中国内部审计协会,邮政编码:518124,电子邮箱:yanzhongxin168@qq.com)