全球視角和觀點：創(chuàng)新與科技

第三部分：技術(shù)人才領(lǐng)域面臨的挑戰(zhàn)

作為創(chuàng)新與技術(shù)系列三部分的最后一部分內(nèi)容，本文將探討內(nèi)部審計“技術(shù)挑戰(zhàn)”相關(guān)議題，精選行業(yè)專家所提供的意見，提供一些最佳實踐和策略，無論團隊所處的行業(yè)、預(yù)算或職能規(guī)模如何，均可利用這些最佳實踐及策略來提高確認和咨詢服務(wù)水平，跟上技術(shù)加速且持續(xù)發(fā)展的步伐。

《2024年北美內(nèi)部審計脈搏調(diào)查報告》顯示，網(wǎng)絡(luò)安全和信息技術(shù)被廣大受訪的內(nèi)部審計負責(zé)人視為所在組織風(fēng)險水平最高的兩個領(lǐng)域，分別有78%和58%的受訪者將其評定為高風(fēng)險和極高風(fēng)險。這一結(jié)果并不意外，過去數(shù)年間，技術(shù)一直在所有的風(fēng)險領(lǐng)域中占據(jù)主導(dǎo)地位，內(nèi)部審計在這一領(lǐng)域也面臨著嚴峻挑戰(zhàn)，若不及時應(yīng)對，這些挑戰(zhàn)將愈發(fā)嚴峻，成為內(nèi)部審計“盔甲上的裂縫”。

脈搏調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)安全和信息技術(shù)相關(guān)工作在審計計劃中所占的比重接近20%，在所有風(fēng)險領(lǐng)域中占比是最高的。與此同時，網(wǎng)絡(luò)與數(shù)據(jù)安全以及信息技術(shù)也是外包或聯(lián)合外包最多的領(lǐng)域。此外，約20%的調(diào)查受訪者表示會將技術(shù)視為首要關(guān)注事項，但卻有近半數(shù)的審計部門將增加內(nèi)部員工數(shù)量列為優(yōu)先事項。調(diào)查結(jié)果顯示，審計部門在招聘方面持續(xù)面臨諸多問題，29%受訪者表示薪酬期望是最大的挑戰(zhàn)，17%的受訪者表示求職者缺乏必備的工作能力。

綜上所述，內(nèi)部審計部門雖然可以通過外包和聯(lián)合外包的方式盡力應(yīng)對技術(shù)風(fēng)險，但總體而言，技術(shù)能力內(nèi)化發(fā)展并不理想。從長遠來看，這種做法不僅會對內(nèi)部審計風(fēng)險覆蓋范圍產(chǎn)生重大影響，還會影響其利用技術(shù)改善各方面工作的能力。因此，盡快組建自身的技術(shù)支持團隊尤為重要。

事實上，并非只有內(nèi)部審計職業(yè)面臨著招攬技術(shù)人才的競爭，各行各業(yè)的組織中幾乎每一個部門都在經(jīng)歷著同樣的挑戰(zhàn)。在新冠疫情期間科技行業(yè)大規(guī)模裁員之后，許多分析人士曾預(yù)言，大約要兩萬名科技行業(yè)人才能在一定程度上滿足上述需求。然而，隨著技術(shù)的快速發(fā)展，所需崗位與具備足夠技能的人才之間的差距不斷擴大，符合招聘需求的人才薪資要求也越來越高。

與此同時，脈搏調(diào)查數(shù)據(jù)卻顯示，51%的審計職能部門預(yù)算與上一年基本持平，顯然，任何想要招聘技術(shù)人才的審計職能部門都面臨著嚴峻的挑戰(zhàn)。當(dāng)受訪的內(nèi)部審計負責(zé)人談到技術(shù)應(yīng)用方面的難題時，對充足資金的需求成為他們反復(fù)提到的話題，其中不僅包括購置信息技術(shù)工具的資金、內(nèi)部審計部門員工技術(shù)培訓(xùn)的資金，還有聘請合適技術(shù)人才的資金。很多時候，當(dāng)你試圖從某個特定領(lǐng)域，如網(wǎng)絡(luò)安全，招聘技術(shù)人員時，他們對于薪酬的期望會比傳統(tǒng)的內(nèi)部審計人員高出很多，而且很多人更愿意在自己的專業(yè)領(lǐng)域而非內(nèi)部審計領(lǐng)域發(fā)展。

面對這一嚴峻挑戰(zhàn)，內(nèi)部審計需創(chuàng)造性地填補技能缺口，以適應(yīng)技術(shù)驅(qū)動的風(fēng)險形勢變化。技能組合策略并非千篇一律。每個審計部門的技能需求也各不相同，因此需要把內(nèi)部自主培養(yǎng)和提升與咨詢公司合作外包以及外部招聘等方式結(jié)合起來，共同應(yīng)對這一挑戰(zhàn)。

外部招聘

如前文所述，較低的預(yù)算水平以及額外資金缺乏的現(xiàn)狀使得內(nèi)部審計部門實施這一策略有些不切實際，甚至?xí)煌耆鲆?，但我們可以另辟蹊徑，從審計委員會的角度尋求進展。

董事會和審計委員會在批準(zhǔn)內(nèi)部審計的年度預(yù)算方面起著重要作用，因此內(nèi)部審計負責(zé)人應(yīng)該向董事會和審計委員會闡述當(dāng)前技術(shù)部署和創(chuàng)新情況，并就招聘技術(shù)人員需要額外資金提出有力的業(yè)務(wù)需求。單純的數(shù)據(jù)援引是遠遠不夠的，相反，我們的目標(biāo)應(yīng)該是“講述一個令人信服、讓人難以拒絕的故事”。內(nèi)部審計負責(zé)人必須讓審計委員會和高級管理層認可內(nèi)部審計部門對技術(shù)人才的需求，相信這些人才將為組織提供價值，并解釋為吸引此類人才而制定適當(dāng)?shù)男匠甏龊吐殬I(yè)發(fā)展路徑的必要性，讓他們認識到這類人才屬于小眾領(lǐng)域，適用于內(nèi)部審計團隊的薪酬待遇方案對網(wǎng)絡(luò)領(lǐng)域的專業(yè)人才來說并不足夠。

審計委員會也需要重新考慮如何有效地構(gòu)建內(nèi)部審計團隊。就當(dāng)今的風(fēng)險環(huán)境而言，內(nèi)部審計部門更需要招募的不是傳統(tǒng)的審計人員，而是網(wǎng)絡(luò)安全等領(lǐng)域的專家，這些人的職位頭銜里甚至可能都沒有“審計”二字，因此不能繼續(xù)遵照以往內(nèi)部審計人員的薪酬標(biāo)準(zhǔn)。

這樣的專業(yè)人士并非必須明確地專為內(nèi)部審計服務(wù)。只要技能適用，在任何地方都可以啟用他們。例如，當(dāng)進行網(wǎng)絡(luò)安全審計時，需要這些專業(yè)人士配合全面開展工作，但這樣的專項審計工作并不會持續(xù)很長時間，項目結(jié)束之后也可以允許這些專業(yè)人士流向其他職能工作。組織可能不需要讓一名網(wǎng)絡(luò)安全專家全職加入內(nèi)部審計團隊，而在必要時讓一名通常在組織二線職能工作的網(wǎng)絡(luò)安全專家來做審計員，只要能處理好獨立性和客觀性方面的顧慮，那這就是極具價值且高效的做法。

當(dāng)然，內(nèi)部審計負責(zé)人的游說對象不應(yīng)止于審計委員會或董事會，而是應(yīng)充分利用自身作為值得信賴的顧問這一身份，在組織內(nèi)宣傳技術(shù)型專業(yè)人才的價值，通過與管理團隊進行溝通，推動組織變革。在組織高層進行這樣的溝通，也會逐漸影響到組織內(nèi)的其他部門，從而營造一種鼓勵協(xié)作的環(huán)境，以開發(fā)或啟用技術(shù)解決方案來達成共同目標(biāo)。有了足夠的組織認同感，資金自然就會隨之而來，整個組織也會朝著更具技術(shù)賦能的未來邁進。

在進行外部人才招聘的同時也要盡可能利用一切途徑來擴大人才庫規(guī)模，例如，始終注重多元化、公平性與包容性（DEI）舉措，這樣做不僅能提升部門及組織內(nèi)部的認知能力，還能提升組織對年輕一代專業(yè)人才的吸引力。此外，各部門應(yīng)當(dāng)充分了解年輕一代對遠程辦公等新型辦公模式的需求，從而擴大人才庫范圍。

最后，內(nèi)部審計要綜合考慮技術(shù)發(fā)展的最新情況，及時更新人才招聘職位描述中的能力要求。人力資源經(jīng)理應(yīng)避免僅依據(jù)技能清單刻板篩選，而應(yīng)著重考察應(yīng)聘者持續(xù)學(xué)習(xí)新技能的能力。內(nèi)部審計部門需要那些適應(yīng)性強，能夠像海綿吸水一樣吸收新技能的人，這些人是最能從團隊協(xié)作中獲益的群體。那種集所有風(fēng)險、業(yè)務(wù)知識、審計以及數(shù)據(jù)科學(xué)和技術(shù)技能于一身的“獨角獸”式人物是非常罕見的，因此，招聘工作的重中之重還是要打造一個能讓大家協(xié)同工作的團隊，讓其他領(lǐng)域的專家和內(nèi)部審計人員形成相互協(xié)作的關(guān)系，從而實現(xiàn)共同成長與進步。

為審計團隊提升技能的外包和聯(lián)合外包

鑒于目前人才招聘方面存在的挑戰(zhàn)和限制，內(nèi)部審計又很難在組織內(nèi)部獲取最新、最前沿的技術(shù)知識，必須走出去尋找專業(yè)技能。因此，從實際需求出發(fā)，越來越多的審計職能部門傾向于選擇人才外包戰(zhàn)略，尤其在網(wǎng)絡(luò)安全等技術(shù)領(lǐng)域，這種做法更是一種必要之舉。

然而，在引入這些外部資源時，有時會忽視外包人才在合同期限之外可能會對審計職能產(chǎn)生負面的影響。為此，內(nèi)部審計部門可以利用現(xiàn)有的供應(yīng)商、合作伙伴或是咨詢公司來提升本部門內(nèi)部審計人員的技能水平，與此同時，讓外包或聯(lián)合外包的人才去執(zhí)行既定的審計工作。在業(yè)務(wù)開展過程中，將外包或聯(lián)合外包的人才、合作伙伴、咨詢顧問與內(nèi)部的內(nèi)部審計人員進行組隊搭配，以實現(xiàn)知識轉(zhuǎn)移，進一步提升內(nèi)部審計部門人員的技能水平。另外，內(nèi)部審計部門還可以采用研討會或小組會議的形式，向從業(yè)人員推廣外包及聯(lián)合外包人才所具備的基礎(chǔ)技術(shù)能力，使他們能夠直接看到技術(shù)所帶來的各種可能性，并把新學(xué)到的知識帶回各自的工作領(lǐng)域中去。

然而，即便是實現(xiàn)了團隊技能提升，或是全職引入了專業(yè)人才，聯(lián)合外包也應(yīng)該始終作為組織技能戰(zhàn)略的一部分。因為一旦高技能人才成為全職雇員，就不可避免地會失去其原本具備的優(yōu)勢，例如，假設(shè)在網(wǎng)絡(luò)安全領(lǐng)域引入了具備最新技術(shù)專長的“白帽黑客”來做滲透測試之類的工作。如果他們不再從事“黑客”相關(guān)工作，其技能水平就難以再處于該領(lǐng)域的前沿了。所以，無論內(nèi)部團隊的技能水平如何，在某種程度上，組織總會希望聘請外部公司來了解最新的情況。

從內(nèi)到外提升技能水平

外部人才引進固然重要，但也不能忽視內(nèi)部人才的價值。在維護與高級管理層和信息技術(shù)團隊之間的關(guān)系，并與之進行協(xié)作互動的過程中，內(nèi)部審計應(yīng)當(dāng)努力了解這些部門所具備的技能和工具，探索各種可以開展協(xié)作的途徑。例如，數(shù)據(jù)分析或持續(xù)監(jiān)控軟件可能在二、三線職能部門有著廣泛的應(yīng)用，稍加培訓(xùn)后，這些軟件就能毫無違和感地融入審計任務(wù)當(dāng)中。內(nèi)部審計負責(zé)人要利用自身作為變革推動者的角色，在與所有部門的互動交流中倡導(dǎo)針對當(dāng)前技術(shù)發(fā)展趨勢開展強制性培訓(xùn)。鼓勵每一位內(nèi)部審計專業(yè)人員以及其他職能部門的工作人員按照要求接受培訓(xùn)，不拘泥于單一的形式，可以通過在線課程自學(xué)，也可以通過參加跨部門的知識分享來獲得，以掌握其工作崗位所需的基本信息技術(shù)技能，并隨著知識儲備的增加，使這些技能能夠?qū)崿F(xiàn)持續(xù)且有效地拓展和應(yīng)用。

高呼數(shù)據(jù)之王——一切技術(shù)發(fā)展的基石

數(shù)據(jù)為王，如今這一說法變得日益貼切。無論采用何種策略來打造高效的數(shù)字化團隊，如果沒有高質(zhì)量的數(shù)據(jù)，都不會產(chǎn)生效果。

尤其是在系統(tǒng)控制和自動化控制盛行的當(dāng)下，數(shù)據(jù)對于審計工作至關(guān)重要，但獲取高質(zhì)量數(shù)據(jù)并非易事。很多內(nèi)部審計部門會把難以獲取數(shù)據(jù)當(dāng)作借口，拒絕在工作中推進技術(shù)應(yīng)用，這種情況也十分棘手。

另外，內(nèi)部審計不應(yīng)局限于對數(shù)據(jù)的“好壞”進行識別或分類，相反，應(yīng)該將獲取和利用數(shù)據(jù)的過程視為內(nèi)部審計推動技術(shù)進步的業(yè)務(wù)方案中的關(guān)鍵部分。內(nèi)部審計職能應(yīng)把握契機，讓執(zhí)行管理層關(guān)注這一問題，就如何提高數(shù)據(jù)質(zhì)量提出相關(guān)建議，并推動業(yè)務(wù)進展。若因數(shù)據(jù)質(zhì)量顧慮而停止在審計中運用技術(shù)，可能會導(dǎo)致內(nèi)部審計職能在技術(shù)探索方面永遠無法取得進展。

數(shù)據(jù)收集未必需要額外投入資金，要把工作的重心放在提升利用已有數(shù)據(jù)的能力方面，不斷擴展數(shù)據(jù)分析領(lǐng)域的思維方式。即便只是在Excel表格中記錄的信息也可被視作優(yōu)質(zhì)數(shù)據(jù)。我們要做的是要具備發(fā)現(xiàn)并利用這些數(shù)據(jù)的相應(yīng)技能，并且建立和維護培育此類技能發(fā)展的良好文化氛圍。換句話說，哪里培養(yǎng)并發(fā)展了相關(guān)人才，數(shù)據(jù)就能在哪里得到有效利用。

把握機遇，迎接挑戰(zhàn)

技術(shù)發(fā)展是一個機遇與挑戰(zhàn)并存的過程，不斷顛覆著我們的傳統(tǒng)觀念，也使人們開始質(zhì)疑自己工作的穩(wěn)定程度：隨著技術(shù)的發(fā)展，在某個時候，人類在職場工作中還會有一席之地嗎？

這種擔(dān)憂是可以理解的，但這種擔(dān)憂源于不良的組織文化。技術(shù)不應(yīng)被視作競爭對手或威脅，我們應(yīng)該滿懷熱情地將其視為一個能取得更多成果、為組織提供更多價值，甚至切實改善員工日常工作的機遇。對于內(nèi)部審計職能部門而言，內(nèi)部審計負責(zé)人應(yīng)當(dāng)鼓勵大家展開討論，探討在這個由動態(tài)技術(shù)驅(qū)動的時代保持靈活性的必要性，培養(yǎng)學(xué)習(xí)心態(tài)以及認識技術(shù)帶來的潛在益處，尤其要將技術(shù)視為減輕部門工作量或提高工作效率的手段，而不是取代審計人員的手段。

內(nèi)部審計能夠而且應(yīng)該成為組織內(nèi)技術(shù)應(yīng)用的最強有力的倡導(dǎo)者，是變革的推動者、合作伙伴，是傳遞好消息的使者，是價值的創(chuàng)造者，是組織不可或缺的角色。