內(nèi)部審計(jì)對組織重要?jiǎng)?chuàng)新的響應(yīng)（二）

曾繁榮

[摘要]2019年8月，國際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）發(fā)布了研究報(bào)告《內(nèi)部審計(jì)對組織重要?jiǎng)?chuàng)新的響應(yīng)》，該報(bào)告基于對首席審計(jì)執(zhí)行官（CAE）和內(nèi)部審計(jì)師的專業(yè)調(diào)查，介紹了組織的重要?jiǎng)?chuàng)新現(xiàn)狀及內(nèi)部審計(jì)對組織重要?jiǎng)?chuàng)新的響應(yīng)情況、響應(yīng)效果。因該報(bào)告篇幅較長，故分篇刊載。

[關(guān)鍵詞]內(nèi)部審計(jì)? ? 組織? ? 創(chuàng)新? ? 響應(yīng)

（承上篇）

二、內(nèi)部審計(jì)如何應(yīng)對十項(xiàng)常見的組織創(chuàng)新

（二）云計(jì)算

1.定義。即使用遠(yuǎn)程服務(wù)器（而非使用本地服務(wù)器）網(wǎng)絡(luò)來存儲(chǔ)、管理和處理數(shù)據(jù)。

2.對組織/風(fēng)險(xiǎn)的影響。給組織帶來了一系列風(fēng)險(xiǎn)，包括隱私、安全、數(shù)據(jù)泄露、數(shù)據(jù)敏感性、聲譽(yù)和監(jiān)管方面的風(fēng)險(xiǎn)。此外，向云計(jì)算的轉(zhuǎn)變從根本上改變了組織對數(shù)據(jù)存儲(chǔ)、使用和管理的方法。正如一家食品飲料公司CAE所述：“我們的IT戰(zhàn)略是建造自己的數(shù)據(jù)中心，開發(fā)與利用云，從而可以用更少的錢、更有效地完成這項(xiàng)工作，安全性更高。這將極大地改變IT部門，使IT人員減少三分之一?！?/p>

3.調(diào)查結(jié)果。云計(jì)算是報(bào)告次數(shù)排名第二的創(chuàng)新類型。內(nèi)部審計(jì)人員在審查或確定該項(xiàng)創(chuàng)新方面比其他創(chuàng)新更積極（36%）。在所有創(chuàng)新中，云計(jì)算的得分最高，因?yàn)樗髮徲?jì)人員在審計(jì)計(jì)劃中增加更多領(lǐng)域，并要求對這些創(chuàng)新進(jìn)行培訓(xùn)。內(nèi)部審計(jì)參與云計(jì)算創(chuàng)新決策情況見圖1。

4.深刻見解?？紤]到向云過渡普遍存在新風(fēng)險(xiǎn)，受訪者強(qiáng)烈建議將評估云計(jì)算控制作為最佳實(shí)踐，并建議雇傭具有IT技能的人才來評估云計(jì)算控制。因此，企業(yè)很可能改變內(nèi)部審計(jì)人員的招聘方法，許多受訪者建議聘請外部專家進(jìn)行滲透測試，并引入具有專業(yè)IT技能的人員。所有受訪者均認(rèn)為，要想獲得成功，建議在轉(zhuǎn)向云計(jì)算之前與IT部門建立牢固關(guān)系。

5.最佳實(shí)踐。一是評估控制。除了評估數(shù)據(jù)安全、隱私等方面的內(nèi)控，還要評估“軟控制”，因?yàn)殛P(guān)注企業(yè)文化和知識也十分必要。二是內(nèi)部審計(jì)需要雇用具有IT技能的人才，增加內(nèi)審人員的IT專業(yè)知識以促進(jìn)對云計(jì)算控制的評估。部分企業(yè)的招聘重點(diǎn)已從會(huì)計(jì)轉(zhuǎn)向編碼、網(wǎng)絡(luò)安全、信息學(xué)和數(shù)據(jù)分析。三是指派員工密切監(jiān)控云合作伙伴，以便清楚傳達(dá)測試結(jié)果，確保包含盡可能詳細(xì)的信息。四是注意成本。內(nèi)審應(yīng)幫助組織密切關(guān)注云供應(yīng)商，因?yàn)樵乒?yīng)商不會(huì)預(yù)先披露真實(shí)成本，維護(hù)成本可能很高，但在協(xié)商階段并不明顯。

（三）敏捷過程

1.定義。即一種項(xiàng)目管理方法，其目標(biāo)是以較低成本提供較高質(zhì)量的產(chǎn)品。通常，它包括一個(gè)“沖刺”（Sprint）階段，這是一種增量、迭代的工作序列，逐步改進(jìn)產(chǎn)品質(zhì)量。這種方法專注于在短迭代中逐步交付測試過的產(chǎn)品。當(dāng)敏捷過程在整個(gè)組織中實(shí)現(xiàn)時(shí)，內(nèi)部審計(jì)必須認(rèn)識到業(yè)務(wù)流程將發(fā)生變化，參與這些過程的員工也具有不同的項(xiàng)目管理思維和方法，內(nèi)部審計(jì)可以通過敏捷過程來管理審計(jì)活動(dòng)，內(nèi)部審計(jì)工作性質(zhì)將發(fā)生變化。

2.對組織/風(fēng)險(xiǎn)的影響。當(dāng)組織或內(nèi)部審計(jì)功能實(shí)現(xiàn)敏捷過程時(shí)，內(nèi)部審計(jì)人員應(yīng)意識到存在許多風(fēng)險(xiǎn)。敏捷需要轉(zhuǎn)變整個(gè)組織的文化和創(chuàng)建新的思維方式，這一轉(zhuǎn)變帶來更多的不確定性。因此，敏捷比過去需要更多紀(jì)律，因?yàn)闆_刺期間的業(yè)務(wù)流程可能不關(guān)注內(nèi)部控制，這將給內(nèi)部審計(jì)帶來更多問題，由于沖刺階段是快速的，可能難以履行其職責(zé)并提供及時(shí)的建議。當(dāng)組織轉(zhuǎn)向敏捷過程時(shí)，內(nèi)部審計(jì)需要改變思維方式。以大型教育機(jī)構(gòu)首席技術(shù)官（CIO）最近的經(jīng)歷為例，雖然CIO的IT團(tuán)隊(duì)已轉(zhuǎn)向敏捷過程，但內(nèi)部審計(jì)仍延用傳統(tǒng)方式來審計(jì)——召開會(huì)議、評估流程或控制、審查所有材料、提供建議/發(fā)現(xiàn)。從CIO的角度看，所面臨的挑戰(zhàn)是，當(dāng)內(nèi)部審計(jì)提供建議時(shí)，IT團(tuán)隊(duì)已發(fā)布了被審計(jì)流程的兩個(gè)新迭代。由于敏捷過程的快節(jié)奏性，使得內(nèi)部審計(jì)結(jié)果無關(guān)緊要，因而內(nèi)部審計(jì)此時(shí)是一種遵從性的實(shí)踐，沒有增加多少價(jià)值，因?yàn)槲茨芨螴T變化的速度。為了在敏捷過程中提供價(jià)值，內(nèi)部審計(jì)必須做出重大調(diào)整，以更接近實(shí)時(shí)的方式來進(jìn)行審計(jì)和報(bào)告結(jié)果。

3.調(diào)查結(jié)果。38%的受訪者表示所在組織或內(nèi)部審計(jì)部門已實(shí)現(xiàn)了敏捷過程，這是一項(xiàng)重要?jiǎng)?chuàng)新（排名第4），但內(nèi)部審計(jì)對整個(gè)組織實(shí)施敏捷過程決策的參與度低于所有創(chuàng)新的平均水平（見圖2）。在實(shí)現(xiàn)敏捷過程中，內(nèi)部審計(jì)更有可能將新的審計(jì)領(lǐng)域添加到年度審計(jì)計(jì)劃中，響應(yīng)創(chuàng)新的效率更高。敏捷過程改變了審計(jì)方式和審計(jì)重點(diǎn)，因此，當(dāng)組織實(shí)施敏捷過程時(shí)，很可能改變整個(gè)審計(jì)過程。

4.深刻見解。由于工作節(jié)奏的變化，轉(zhuǎn)向敏捷過程可能導(dǎo)致員工耗費(fèi)更多精力;敏捷的最大挑戰(zhàn)是缺乏資源，尤其在了解的過程方面，敏捷過程可能需要不同于年度計(jì)劃的思維方式。

5.最佳實(shí)踐。一是公開溝通。絕大多數(shù)受訪者認(rèn)為高管和內(nèi)部審計(jì)人員需要公開溝通，參與實(shí)施敏捷過程的決策，特別是應(yīng)定期參加培訓(xùn)。二是通過聯(lián)合采購/外包獲得專業(yè)知識，尤其在實(shí)施敏捷過程的早期特別有價(jià)值。三是認(rèn)識學(xué)習(xí)曲線。內(nèi)部審計(jì)需要有一個(gè)過程來適應(yīng)敏捷過程，花費(fèi)的時(shí)間先多后少，效率先低后高。

（四）移動(dòng)技術(shù)

1.定義。即使用蜂窩技術(shù)連接電話、平板電腦或筆記本電腦進(jìn)行通信的技術(shù)。其應(yīng)用范圍很廣，從跟蹤人員和資產(chǎn)（如飛機(jī)、卡車等）到將基于紙張的文檔轉(zhuǎn)換為使用平板電腦的數(shù)字文檔，再到為客戶提供解決方案。

2.對組織/風(fēng)險(xiǎn)的影響。移動(dòng)技術(shù)具有網(wǎng)絡(luò)風(fēng)險(xiǎn)（如隱私、資料完整性等）以及存在盜竊和未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)，因?yàn)楹诳涂梢岳酶嗟娜肭贮c(diǎn)。此外，許多科技跨國公司和外國政府禁止本國公民攜帶私人或公司的智能手機(jī)或筆記本電腦到不同國家，否則會(huì)面臨風(fēng)險(xiǎn)。

3.調(diào)查結(jié)果。除了審查/確定實(shí)施移動(dòng)技術(shù)的供應(yīng)商外，內(nèi)部審計(jì)很少參與這項(xiàng)創(chuàng)新（見圖3）。內(nèi)部審計(jì)人員普遍認(rèn)為，除了在年度審計(jì)計(jì)劃中增加審計(jì)領(lǐng)域之外，尚不需要改變審計(jì)程序來應(yīng)對該風(fēng)險(xiǎn)。

4.深刻見解。有必要建立一套工作框架以監(jiān)測來自移動(dòng)技術(shù)的潛在風(fēng)險(xiǎn)，但創(chuàng)建工作框架是復(fù)雜的，因?yàn)楦鞯馗鹘M織的移動(dòng)技術(shù)不盡相同。在此背景下，組織必須整合所有影響其活動(dòng)的內(nèi)外部流程和資源，以有效管理移動(dòng)技術(shù)。

5.最佳實(shí)踐。一是明確移動(dòng)技術(shù)的戰(zhàn)略和運(yùn)營目標(biāo)。內(nèi)部審計(jì)必須了解為什么以及如何實(shí)施移動(dòng)技術(shù)，以便能夠識別潛在風(fēng)險(xiǎn)并進(jìn)行必要控制。二是創(chuàng)建一種相向的企業(yè)文化。由于移動(dòng)技術(shù)（尤其是移動(dòng)設(shè)備）被用于許多目的，幾乎涵蓋組織的所有領(lǐng)域，因此有必要與其他相關(guān)功能（如IT、公司安全等）協(xié)作以協(xié)調(diào)所有活動(dòng)。

（五）機(jī)器人處理自動(dòng)化

1.定義。機(jī)器人處理自動(dòng)化（RPA）是一種允許用戶設(shè)計(jì)執(zhí)行常規(guī)系統(tǒng)任務(wù)的機(jī)器人或機(jī)器人的自動(dòng)化。機(jī)器人本質(zhì)上執(zhí)行的步驟與人類完全相同，盡管研究團(tuán)隊(duì)正在努力構(gòu)建智能過程自動(dòng)化（IPA），但它并未像人工智能那樣“智能”。

2.調(diào)查結(jié)果。55%的受訪者并未參與到實(shí)施RPA的決策中（見圖4）。在所有創(chuàng)新中，內(nèi)部審計(jì)對編制RPA最有信心，RPA被認(rèn)為是一種最不需要作出改變的創(chuàng)新，占比達(dá)45%，這可能是因?yàn)镽PA的本質(zhì)與人工審計(jì)方式相同。但由于RPA執(zhí)行活動(dòng)的效率很高，因而設(shè)置“壞”流程不能自動(dòng)化就至關(guān)重要，以避免迅速加劇“錯(cuò)誤”的結(jié)果。有受訪者認(rèn)為，過去對RPA的審計(jì)并不十分有效，因?yàn)槿藗儗@種“內(nèi)審缺乏參與、自認(rèn)為沒必要改變這項(xiàng)技術(shù)、對準(zhǔn)備工作很有信心，但對其過去效力的評估卻很低”的現(xiàn)狀表示費(fèi)解。這表明，內(nèi)部審計(jì)要么沒完全理解該變化所涉及的內(nèi)容，要么高估了自身能力而未能很好執(zhí)行。

3.深刻見解。RPA主要用于與美國2002年《薩班斯—奧克斯利法案》相關(guān)任務(wù)和控制的自動(dòng)化。該技術(shù)是強(qiáng)大的，若適當(dāng)實(shí)施，投資回報(bào)會(huì)非常豐厚。比如，一個(gè)組織進(jìn)行RPA試運(yùn)行，方法是讓一名員工進(jìn)行自我培訓(xùn)，并將400個(gè)稅務(wù)報(bào)告實(shí)體的數(shù)據(jù)自動(dòng)匯總到一個(gè)稅務(wù)實(shí)體中。該員工為該流程構(gòu)建了一個(gè)機(jī)器人。之前的過程需要四個(gè)人花兩周時(shí)間才能完成，而機(jī)器人在不到24小時(shí)內(nèi)就完成了整個(gè)任務(wù)。盡管該技術(shù)具有提高效率的巨大潛力，但與所有技術(shù)一樣，它可能被誤用并產(chǎn)生重大問題。RPA在整個(gè)組織中使用時(shí)也存在同樣風(fēng)險(xiǎn)。正如石油和天然氣行業(yè)的CAE所述，“讓機(jī)器人或無人機(jī)收集數(shù)據(jù)時(shí)，我們需要了解發(fā)生了什么。若一切都是自動(dòng)化，就會(huì)有很多風(fēng)險(xiǎn)，因?yàn)樗鼈円坏╅_始做錯(cuò)事就會(huì)一直做錯(cuò)事，直到人類大腦介入為止。這就是機(jī)器人的風(fēng)險(xiǎn)。而它們之所以偉大，是因?yàn)樗鼈儧]有人類的錯(cuò)誤。審計(jì)的職責(zé)就是理解現(xiàn)有的控制，確保機(jī)器人按照設(shè)計(jì)運(yùn)行。我們確實(shí)需要幫助客戶識別存在的風(fēng)險(xiǎn)和控制，判斷是否存在控制缺口?！?/p>

4.最佳實(shí)踐。盡管審計(jì)人員相信能對RPA進(jìn)行有效審計(jì)，但也有受訪者認(rèn)為不要過于自信。相反，內(nèi)部審計(jì)應(yīng)專注于過程的風(fēng)險(xiǎn)和控制，而不是試圖審計(jì)并不真正理解的技術(shù)。必要時(shí)，從RPA審計(jì)的主題專家或外包方面尋求專業(yè)知識是適當(dāng)?shù)倪x擇。

（六）連續(xù)審計(jì)

1.定義。即計(jì)算機(jī)技術(shù)在審計(jì)中的應(yīng)用，使以前手工操作、經(jīng)常執(zhí)行的任務(wù)能以自動(dòng)化、實(shí)時(shí)或近乎實(shí)時(shí)的方式執(zhí)行。IIA在其2015年的《全球技術(shù)審計(jì)指南》（GTAG）中指出，“連續(xù)審計(jì)包括持續(xù)的風(fēng)險(xiǎn)和控制評估，該評估由技術(shù)支持并由新的審計(jì)范式推動(dòng)，該審計(jì)范式已從基于交易樣本的風(fēng)險(xiǎn)和控制的定期評估轉(zhuǎn)變?yōu)榛谳^大比例的交易的持續(xù)評估。它還包括對其他數(shù)據(jù)源的分析，這些數(shù)據(jù)源可以揭示業(yè)務(wù)系統(tǒng)中的異常值，如安全級別、日志記錄、事件、非結(jié)構(gòu)化數(shù)據(jù)以及對IT配置的更改、應(yīng)用程序控制和職責(zé)控制隔離”。連續(xù)審計(jì)的概念并不新鮮，幾十年來，內(nèi)部審計(jì)一直在努力實(shí)現(xiàn)連續(xù)審計(jì)。隨著復(fù)雜的數(shù)據(jù)分析工具的出現(xiàn)以及完整數(shù)據(jù)集的使用，更多組織能夠執(zhí)行連續(xù)審計(jì)。對許多組織而言，它代表著一項(xiàng)重要?jiǎng)?chuàng)新，正在改變著審計(jì)方式。

2.對組織/風(fēng)險(xiǎn)的影響。它涉及以技術(shù)為基礎(chǔ)的審計(jì)活動(dòng)的持續(xù)風(fēng)險(xiǎn)和控制評估，使內(nèi)部審計(jì)可以更實(shí)時(shí)地查看組織的風(fēng)險(xiǎn)和控制措施，更快響應(yīng)風(fēng)險(xiǎn)和應(yīng)對風(fēng)險(xiǎn)。通過更實(shí)時(shí)的監(jiān)視和響應(yīng)，內(nèi)部審計(jì)應(yīng)更加了解風(fēng)險(xiǎn)，從而可通過將審計(jì)工作集中在需要的地方以更好提供價(jià)值。值得關(guān)注的是，它使內(nèi)部審計(jì)人員陷入一種虛假的安全感。若對連續(xù)審計(jì)的設(shè)計(jì)不當(dāng)或?qū)α鞒逃姓`解，那么內(nèi)部審計(jì)可能看起來有效實(shí)則對內(nèi)部控制無效。

3.調(diào)查結(jié)果。在所有創(chuàng)新中，內(nèi)部審計(jì)在這項(xiàng)創(chuàng)新中的參與度最高，僅7%的受訪者未以任何方式參與連續(xù)審計(jì)的實(shí)施。此外，71%的受訪者表示實(shí)施連續(xù)審計(jì)時(shí)需要對內(nèi)審進(jìn)行改變，鑒于連續(xù)審計(jì)必然涉及內(nèi)審實(shí)踐的轉(zhuǎn)變，這一觀點(diǎn)不足為奇。令人驚訝的是，在實(shí)施連續(xù)審計(jì)時(shí)，內(nèi)部審計(jì)人員數(shù)量通常會(huì)增加，而且增加員工人數(shù)的頻率更高。此外，受訪者在實(shí)施這項(xiàng)創(chuàng)新時(shí)相對有效且有所準(zhǔn)備（見圖5）。

4.深刻見解。受訪者的定性答復(fù)顯示，連續(xù)審計(jì)影響員工規(guī)模的兩種相反意見：一種觀點(diǎn)認(rèn)為它可以縮減員工規(guī)模、降低經(jīng)費(fèi);另一種觀點(diǎn)認(rèn)為它會(huì)擴(kuò)大員工規(guī)模，以適應(yīng)額外工作量，增加行政負(fù)擔(dān)。不同意見可能使不同組織進(jìn)行連續(xù)審計(jì)的方式不同。

5.最佳實(shí)踐。一是與管理層保持密切關(guān)系。這有助于避免各運(yùn)營單位在進(jìn)行連續(xù)審計(jì)和持續(xù)監(jiān)控時(shí)出現(xiàn)重復(fù)，有助于增加內(nèi)部審計(jì)工作的感知價(jià)值，得到管理層的認(rèn)可;有助于減少“審計(jì)疲勞”，即減少“三道防線”的重復(fù)性。二是與其他治理功能有效協(xié)調(diào)。由于可以通過第二道防線的職能來解決連續(xù)審計(jì)和連續(xù)監(jiān)控的問題，因此治理職能之間的協(xié)調(diào)以及職責(zé)和任務(wù)的明確至關(guān)重要。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）