【观点】全球视野下的内部审计

编辑|数说审计

内部审计利益相关者对内部审计职能的需求无论在范围还是复杂性上都有了扩展和强化，内部审计的业务范围早已不再局限于财务和内部控制领域。只有当内部审计就风险、控制和战略影响方面的议题提供见解和观点时，才能为组织提供最大价值。

对内部审计人员而言，要出色应对地缘政治对本组织的影响就必须兢兢业业、不畏艰难。地缘政治涵盖许多相互交织在一起的因素，包括气候变化、传染病、政局动荡、经济、战争、内乱等，所有的因素都可能在未加注意的情况下给本组织带来风险。不能孤立地思考地缘政治风险，它们是相互影响的。

为了帮助组织应对地缘政治风险，内部审计应该在以下四方面做出努力：

• 明确内部审计的角色定位；

• 跟踪研究最新的地缘政治事件；

• 扩展思维触角；

• 注重相关能力和职业素质建设。

关于内部审计的角色定位，报告指出四个方面：

①要认识到地缘政治风险对所有组织都有潜在影响， 因此应该将其作为组织战略规划和企业风险管理的一部分。内部审计人员在开展风险评估时，应该首先对组织的内部运营有全面深刻的把握，并将地缘政治风险考虑在内。

②审计委员会应该把内部审计作为客观可信的专业资源，由其确保组织的风险管理框架已将地缘政治风险考虑在内，并确认这些风险已得到充分考量。

③内部审计人员应该清楚组织如何直接或间接影响地缘政治力量，及早介入，对组织应该采取的主动或被动措施提出意见建议，进而改变地缘政治风险的发展轨迹和可能影响。

④内部审计可能不是组织中最先对地缘政治事件做出应对的部门，但其后，组织很可能要求内部审计对组织的风险管理活动和相关控制的成效做出评价。

关于跟踪研究最新的地缘政治事件，报告指出六点：

• 尽可能地收集地缘政治方面的信息， 通过关注社会媒体和新闻摘要、利用专业协会提供的信息、与研究机构建立联系、借助跨国外部审计和咨询公司的海量资源等手段多渠道收集信息。

• 与公司领导层保持沟通 ，尽可能地参与战略规划方面的讨论。

• 经常与组织内部业务伙伴进行沟通。

• 建立与其他组织的内部审计人员和风险管理者的联系。

• 参加同行业的圆桌讨论活动。

• 参加会议和接受培训。

关于扩展思维触角，报告指出，对内部审计人员来说，与地缘政治相关的最大挑战就是打破财务和信息技术的思维局限。内部审计人员应该迎接挑战，探索治理、风险和控制之外的议题，并将新观点应用于风险评估。有时候，特定项目的审计范围需要有所扩展，以充分考虑地缘政治风险和机遇。内部审计人员应该撒下大网，脚踏实地，从运营管理中收集信息和观点；应该扩展思维，意识到治理框架的多个元素与地缘政治有关，并对内部揭示和灵光乍现保持开放态度。

关于相关能力和职业素质建设，报告指出，地缘政治涵盖多个复杂议题，管理地缘政治风险需要具备多项能力，其中最主要的是与治理、风险和控制相关的能力，还包括商业头脑、沟通能力、关键思维能力以及说服能力和协作能力。内部审计人员可以通过正规学习、参加具有全球视野的会议、听取不同观点、实地到访不同地域等来发展上述能力。

投资者和其他利益相关方越来越不满足于公司财务报告，他们希望从公司报告中得到更多东西。

例如，组织是否以可持续的方式经营、是否把对环境的影响作为监控事项、是否关注了包括多样性和平等机会在内的社会问题。

非财务报告能够提供主流财务报告内容范围以外的定量和定性信息，包括公司社会责任报告、可持续性报告、综合性报告、整体性报告、加强报告、服务工作和成果报告以及环境社会治理报告等。

而且，这并不只是一股短暂的风潮，对于非财务报告的全球性框架和规范性要求已经逐步得到认可，预计未来五年在全球范围内，组织机构在可持续性确认方面的投入将会增长20%。

报告指出，内部审计拥有得天独厚的优势，至少可以在以下四个方面支持组织基于非财务报告的治理模式：

• 作为变革的推动者在组织内部提倡综合性思考，而综合性思考正是实现非财务报告必要的先决条件。

• 加入非财务报告项目团队，为计划和执行提供指导。

• 根据实际情况，为报告中信息的准确性和可靠性从内部或外部提供确认。

• 与外部确认提供机构进行合作，确保整个业务有效、可靠、符合成本效益。

关于成为综合性思考的变革推动者，报告指出，新的报告类型需要新的思维模式和操作方法。睿智的组织已经意识到，非财务报告不仅能够为利益相关方提供信息，还能够帮助领导者进行实时战略经营决策。

但是单凭一年出具一次的报告是无法实现这些目标的，成功源自于组织各个层级在全年各个时段不间断综合性思考的组织文化。高级管理层是推动综合性思考和综合报告的主要催化剂。

但是作为针对治理、风险管理和控制的有效性提供确认的第三道防线，内部审计可以通过提出协作计划、改善建议、提倡组织整体有效性来支持综合性思考。

综合性思考包括员工的责任感，如何理解和认识对于组织和利益相关者所负的责任。这是一种积极的发现问题和寻找解决方案的思维模式，要依靠各个层级（包括治理机构）的通力合作来获得。

在暂时不能进行综合性思考的组织中，内部审计可以通过强调综合性思考是综合报告或非财务报告的前提条件来促使组织转变。一个能够彰显综合性思考能力的内部审计职能将会在面对战略、方向和执行层面的各种挑战时游刃有余，并能将这种思维方式转化为综合性的确认方法。

关于加入非财务报告项目团队，报告指出，内部审计除了提供确认外，还可以扮演咨询或顾问的角色。作为非财务报告项目团队的顾问或一员，内部审计可以帮助组织理解如何应对各类与非财务报告有关的问题。

同时，内部审计可以就一致性、如何遵循外部指引以及更为重要的数据来源的可靠性提出建议。参与改善非财务报告数据真实性的控制环境是内部审计可以大有作为的领域，在此过程中仍然要保持独立性，不应承担出具非财务报告或直接对其流程进行控制的职责。

关于提供确认，报告指出，内部审计不但可以对非财务报告的内容进行鉴证，还可以对产生定量和定性数据的过程进行确认。内部审计运用基于风险的方法，考虑投资者和外部利益相关方认为哪些非财务信息最具有价值，从而能够深入探查细节，对选定的事项提供确认。

在持续变化的环境中，更需要以富有弹性的方式对公司应对各类风险和机遇的能力进行确认，这对于组织实现短期、中期和长期目标都具有重要意义。

关于与外部审计合作，报告指出，审计事务所和其他咨询机构都希望为非财务报告提供确认及相关服务，这就需要内部审计在此过程中处理好与外部审计和其他服务提供商的关系。

非财务报告中数据的可靠性与全年开展的内部审计业务密切相关，内部审计具有组织独立性、对于运营的广阔视角和关于报告产出流程的深刻认识，为了实现收益最大化，内部审计应当与外部服务提供商在整个非财务报告业务的过程中保持合作。

不良公司文化导致违法行为和不当做法的案例屡见不鲜，由此对内部审计提出了前所未有的挑战。内部审计的独特地位，使其可以通过对这个“软”因素狠下功夫，从而为组织增加价值。

报告引用了文化的一个简单定义——“某时某刻我们做事情的方法”，指出可以用价值观和行为来定义文化。文化不是一系列预先设定的准则、法规或适用于所有组织的实务标准。文化是每个组织个性的组成部分。

强有力的文化依赖于双向沟通，通过协作来进行决策，通过团队努力来实现目标，而不仅仅是由上至下的命令。

关于文化审计的重要性，报告指出，不讲究职业道德的行为会将组织置于风险之中，甚至可能会导致组织最终的失败。

对文化的审计能够帮助组织积极地管理风险和在问题爆发之前及时纠正内部控制中的缺陷，从而为利益相关者提供价值。

内部审计要真正发挥“提前预警”作用，必须将文化纳入每一项审计业务中，以便为组织提供长期监控的基础。对文化进行定期和持续的评估对于跨国组织来说尤其有益。

报告的重点放在如何开展文化审计上，包括六个方面：

• 借助可以获得的资源

报告以金融稳定委员会为金融机构提供的风险文化评估指南为例进行说明。

• 借助有关员工投入程度的调查问卷及其他组织用来调查工作满意度和预测绩效的工具

在开展内部审计业务时，可以寻找机会开展深层次原因分析，对员工投入程度较高和较低的领域进行研究。把员工的投入程度和审计发现综合起来，由此向人力资源部门提出强化组织文化的建议。

• 确保获得董事会、审计委员会和执行管理层的支持

在正常的程序中，应该先知会首席执行官，再把问题交给董事会和审计委员会讨论，接下来，还要寻求执行管理层的支持。内部审计不应该因为存在抗拒，就放弃对文化的评估。但是内部审计人员必须充分了解所工作的环境，因为这样的抗拒也许就意味着文化审计方面的线索。

• 分别做出两个相对独立的决定

一个是选择什么样的工具或方法开展工作，另一个是如何在审计中表达有关文化方面的问题。观察可能是最主要的审计方法，但通过使用问卷调查和精心设计的访谈，所能收集到的具体证据也会更多。成熟度模型可以用来在审计中表达有关文化方面的问题，包括询问高级管理层和董事会，了解他们眼中组织文化包括哪些特征，分析在实际操作中每个特征层面的成熟度以及他们所期望的成熟度。内部审计由此可以确定组织在多大程度上实现了他们的愿望。

• 培训内部审计人员

内部审计人员应当运用在常规审计业务中展示的胜任能力来对文化进行评估，在刚开始的时候也许会不太习惯处理组织文化这样一个过于主观的概念，但通过培训和经验就能够克服这一问题。

• 严格监管审计人员，确保较强的主观性不会导致不恰当的结论

内部审计人员在开展文化审计业务的各个阶段都必须与各个层级的管理人员保持沟通，对假设和结论进行复核，确保错误的结论在报告发布之前得到改正。

网络安全是一个处在高速发展中的复杂领域，考虑到网络技术带来的风险和极高的曝光率，具有相关知识的首席审计执行官完全可以将内部审计部门打造成网络安全领域值得信赖的顾问。

网络安全并不只是技术风险，同时也是经营风险，内部审计人员应当发挥重要作用。能否获得成功，关键在于董事会和审计委员会重视程度以及首席审计执行官如何应对。

对首席审计执行官来说，网络安全是一个良机，他们的工作不再局限于确保网络安全审计业务按计划开展，而且要针对经营提出预见性和战略性的观点，真正成为可信赖的顾问。首席审计执行官提出的意见包括网络安全风险是什么，对经营活动和组织声誉会造成什么影响，由此促进管理层及时讨论，为保证网络安全赢得应有的关注和资源。

首席审计执行官还可以与首席信息官和首席信息安全官建立高度合作的建设性关系，这样可以帮助首席审计执行官更好地了解IT和数据安全团队到底需要什么，内部审计又能为他们提供什么。

根据调查结果，董事会对网络安全的重视程度还不够，但情况正在向好的方向转变。这不仅仅是因为他们认识到网络攻击可能带来巨大的潜在风险，监管部门的要求也让他们感受到压力。

董事会、审计委员会和高级管理层需要依据适当的信息才能有效履行职责。由于内部审计拥有自由获取信息的独特地位，能够帮助他们获得有关网络安全的资讯。首席审计执行官必须关注整个网络安全的行业趋势，如监管要求的变动、购买险种的新要求、新的诉讼案例，并从内部审计的角度对这些新趋势进行分析。还要对目前正在开展的网络安全项目提出建议，将资源优先投入最重大的风险，及时发现和防范威胁。