曾繁榮

[摘要]2019年8月，國際內(nèi)部審計師協(xié)會（IIA）發(fā)布了研究報告《內(nèi)部審計對組織重要創(chuàng)新的響應》，該報告基于對首席審計執(zhí)行官（CAE）和內(nèi)部審計師的專業(yè)調(diào)查，介紹了組織的重要創(chuàng)新現(xiàn)狀及內(nèi)部審計對組織重要創(chuàng)新的響應情況、響應效果。因該報告篇幅較長，故分篇刊載，本篇為最后一篇。

[關(guān)鍵詞]內(nèi)部審計? ? 組織? ? 創(chuàng)新? ? 響應

（承上篇）

二、如何應對十項常見的組織創(chuàng)新

（七）改變組織戰(zhàn)略

1.定義。指組織實施新戰(zhàn)略、新市場或新業(yè)務的模式。

2.對組織/風險的影響。受訪者認為改變組織策略可能造成戰(zhàn)略變更困難，降低審計質(zhì)量;內(nèi)部審計可能難以對“變動了的目標”進行審計，因為內(nèi)審人員可能對戰(zhàn)略本身有意見，戰(zhàn)略過于簡單化、實施時間表不切實際等。

3.調(diào)查結(jié)果。內(nèi)部審計對該創(chuàng)新的參與度最低。雖然受訪者希望參與戰(zhàn)略討論與決策，但內(nèi)審對于準備工作或?qū)π虏呗缘挠行匀狈π判?，如圖1所示。

4.深刻見解。研究表明，內(nèi)部審計可有效地幫助制定戰(zhàn)略，當涉及戰(zhàn)略咨詢或咨詢服務時，組織的資產(chǎn)回報率更高。而內(nèi)部審計難以參與該創(chuàng)新的主要原因是外部審計人員和商業(yè)專業(yè)人士對內(nèi)審有較多負面看法。本次參與調(diào)查的受訪者認為，部分組織的管理層認為內(nèi)審價值較低。

5.最佳實踐。一是讓管理層了解內(nèi)審作用、重視內(nèi)審工作，內(nèi)審不僅僅是測試和報告。二是參加各種培訓，讓內(nèi)審成為組織內(nèi)部戰(zhàn)略對話的一部分，內(nèi)審人員需要擁有廣泛的技能，參加各種培訓以全面了解組織的業(yè)務情況和所在行業(yè)狀況。

（八）人工智能（AI）

1.定義。指使用計算機程序執(zhí)行通常需要人類智慧或判斷力的任務，如使用聊天機器人進行客戶服務、提出產(chǎn)品購買建議和執(zhí)行精算工作。

2.對組織/風險的影響。AI有潛力促進商業(yè)變革，就像過去幾十年互聯(lián)網(wǎng)帶來的變革一樣。但仍處于起步階段，理解AI還需做更多工作，因而對組織的影響還無定論。有受訪者表示，內(nèi)審人員往往高估其在該領(lǐng)域的專業(yè)知識和能力，使用AI的最大風險之一是雖然個人可能會使用某種形式的AI，但尚不了解其實際在做什么。當引入一個新場景時，人們擔心AI由于缺乏理解而被誤用。

3.調(diào)查結(jié)果。如圖2所示，內(nèi)部審計對實施AI的決策參與程度較高，約80%的受訪者表示內(nèi)審通常會參與決策或?qū)撛诘腁I供應商進行審核。當前，受訪者表示對組織內(nèi)的人工智能創(chuàng)新幾乎無需做改變，是所有創(chuàng)新中變化最小的一個。因為該革新仍處于初期階段，內(nèi)審尚未真正開始對AI過程進行審計。另外，與其他創(chuàng)新相比，內(nèi)審對AI領(lǐng)域做的準備最少、效率最低，可能由于內(nèi)審人員尚未掌握用于編寫AI底層代碼的重要技術(shù)技能。

4.深刻見解。受訪者擔心AI的“黑匣子”性質(zhì)，即當無法觀察機器如何作出決策時，往往無法確定審核技術(shù)。若機器學習不準確，則擔心AI性能存在大規(guī)模錯誤。例如，一些公司采用AI技術(shù)編制聊天機器人，用于與客戶進行交流，回答客服相關(guān)問題。但若客戶的問題未以聊天機器人可識別的方式表達，其響應可能是荒謬或不充分的，從而使客戶感到沮喪。當客戶意識到在與機器人而不是人類交流時，往往會加劇不滿。

5.最佳實踐。一是加強內(nèi)審人員的培訓，內(nèi)審人員必須理解AI原則。二是了解組織的AI計劃。了解管理層何時推出AI，以便內(nèi)審人員提前做好準備。

（九）監(jiān)管變化

1.定義。指外部團體（如政府、證券交易所）對實體實施監(jiān)管的所有要求。受訪者表示，存在一系列影響其組織的廣泛而多樣的監(jiān)管變化。從行業(yè)看，包括銀行、保險和醫(yī)療保健等;從政府看，包括地方政府和中央政府;從活動類型看，包括稅收、網(wǎng)絡安全/隱私、財務報告等。監(jiān)管規(guī)則每年都在不斷變化。

2.對組織/風險的影響。受訪者最擔心組織未能適應監(jiān)管變化而遭受罰款、聲譽受損甚至倒閉等，寧愿回到更熟悉的“舊”過程。為適應新監(jiān)管變化，內(nèi)審需審查和修訂所有審計程序和其他文件，這將是一項艱巨任務。

3.調(diào)查結(jié)果。如圖3所示，應針對監(jiān)管變化采取更改審計計劃和增加培訓兩方面措施。鑒于監(jiān)管變化的持續(xù)性和內(nèi)審在該領(lǐng)域的豐富經(jīng)驗，內(nèi)審人員相信自己已為這項創(chuàng)新做好準備，對內(nèi)審處理監(jiān)管變化的能力充滿信心。

4.深刻見解。多數(shù)受訪者認為，監(jiān)管內(nèi)容要么是所面臨的創(chuàng)新所在，要么是對正在考慮的創(chuàng)新產(chǎn)生深遠影響的因素，因此關(guān)注監(jiān)管是首要任務。CAEs強調(diào)了解當前和潛在法規(guī)的重要性，預測新法規(guī)建立后將出現(xiàn)的風險和變化，是內(nèi)部審計被視為可以信賴的顧問并為組織增加價值的關(guān)鍵所在。

5.最佳實踐。與第二道防線或合規(guī)部門協(xié)作是適應監(jiān)管變化的關(guān)鍵途徑。受訪者指出，接觸法律顧問和政策工作人員，了解政策的制定、執(zhí)行和執(zhí)行情況是很有幫助的。

（十）數(shù)字化

1.定義。指利用數(shù)字技術(shù)提供新的、有價值的生產(chǎn)機會。

2.對組織/風險的影響。隨著組織的數(shù)字化發(fā)展，向客戶交付產(chǎn)品和服務的工具和流程也在發(fā)生變化，因而組織及其內(nèi)審部門需要考慮新風險。特別是數(shù)字化與網(wǎng)絡安全風險增加緊密相關(guān)，因為關(guān)鍵數(shù)據(jù)和輸入都通過電子方式收集、記錄、存儲和處理。與此相關(guān)的是，有些關(guān)鍵風險與技術(shù)本身的功能相關(guān)。技術(shù)失敗或過時可能會對組織的經(jīng)營業(yè)績或核心價值產(chǎn)生重大影響。數(shù)字化也可能需要與第三方供應商合作。

3.調(diào)查結(jié)果。如圖4所示，內(nèi)審人員高度參與實施該技術(shù)的決策，并審核/確定實施數(shù)字化的供應商。內(nèi)審對這項創(chuàng)新的參與度較高，組織與內(nèi)審人員進行的咨詢涉及數(shù)字化可能帶來的風險和控制。數(shù)字化還通常導致員工技能組合的變化，且需要大量培訓工作。內(nèi)審人員可能感到數(shù)字化準備相對不足，且審計效率低下。顯然，這是一項擴展內(nèi)審人員技能的創(chuàng)新，值得內(nèi)審人員在組織實施前予以重視和準備。醫(yī)療行業(yè)最有可能進行這種創(chuàng)新，其數(shù)字化集中于數(shù)字化記錄，如病人健康記錄。內(nèi)審人員指出，與數(shù)據(jù)安全、完整和隱私相關(guān)的風險是需要管理的關(guān)鍵風險。衛(wèi)生保健行業(yè)以外的受訪者認為，從舊經(jīng)營方式向新經(jīng)營方式過渡是一項重大挑戰(zhàn)。

4.深刻見解。多位CAE描述了組織最近進行的數(shù)字轉(zhuǎn)換，該轉(zhuǎn)換改變了客戶體驗，數(shù)字接口允許客戶與組織的系統(tǒng)進行實時交互。例如，若客戶需要更改地址，一旦將地址輸入數(shù)字應用程序，系統(tǒng)就能正式進行更改。與這種數(shù)字轉(zhuǎn)換相關(guān)的主要風險之一是執(zhí)行風險。這類項目需要的資源投資非常高，產(chǎn)品開發(fā)時間也很長，組織必須快速執(zhí)行。金融行業(yè)的CAE還指出，隨著數(shù)字化程度的提高，以前本應具有物理審核記錄的客戶交易現(xiàn)在僅具有數(shù)字烙印。因此，現(xiàn)在有關(guān)維護網(wǎng)絡安全和系統(tǒng)安全的風險有所增加，因為有關(guān)交易的所有信息都位于存儲設(shè)備和云上。

5.最佳實踐。一是具有適當?shù)募寄?。隨著組織運作的數(shù)字化，內(nèi)審人員的技術(shù)敏銳性和IT風險知識變得更加重要。正如一家政府機構(gòu)的CAE被問及如何更好地應對這些挑戰(zhàn)時所述，“將繼續(xù)在數(shù)據(jù)分析、移動風險、網(wǎng)絡安全風險和其他技術(shù)驅(qū)動風險等方面提高技能”。二是投資員工。數(shù)字化創(chuàng)新需要靈活、敏捷的內(nèi)審人員，CAE建議通過增加針對性培訓努力使審計人員成為該領(lǐng)域的真正專家。

三、最佳實踐綜述

（一）內(nèi)部審計要有“一席之地”

受訪CAEs給出的最常見和最重要的建議是確保內(nèi)部審計在創(chuàng)新早期就了解所有重要創(chuàng)新。理想情況下，這意味著內(nèi)審應在創(chuàng)新決策過程中擁有一席之地。所有CAEs都認為，在創(chuàng)新決策時內(nèi)審人員應在場，并提供關(guān)鍵風險和控制信息以幫助組織作出明智決策。

（二）有效溝通

確保內(nèi)審人員與參與創(chuàng)新的其他人員（如管理層或負責創(chuàng)新的職業(yè)經(jīng)理）進行有效溝通，可以從內(nèi)審開始，但應貫穿整個過程。當一個新的流程、技術(shù)或產(chǎn)品無法奏效時，對公司而言，更好的做法是迅速找出問題，并在問題失控前減少損失，否則將面臨嚴重的聲譽和市場影響。在創(chuàng)新實施過程中與內(nèi)部審計溝通，提高及時評估的可能性，并就創(chuàng)新實踐向管理層提供有意義的建議。

（三）強有力的治理

有的單位員工、業(yè)務部門在不遵循整個組織創(chuàng)新治理策略或政策的情況下自行創(chuàng)新，導致內(nèi)審始終不了解創(chuàng)新情況而無法提供指導;或在整個組織中實施了類似但不同的創(chuàng)新，這些創(chuàng)新幾乎不可能進行比較和評估;進行復雜數(shù)據(jù)分析之類的創(chuàng)新，以無法確認數(shù)據(jù)完整性或違反數(shù)據(jù)訪問策略的方式進行。這三種情況，均缺乏強大、協(xié)調(diào)一致的治理結(jié)構(gòu)，都會使組織面臨巨大風險，若采取有效的預見、治理和有意義的溝通，則可避免這三種情況。

（四）發(fā)揮內(nèi)部審計在企業(yè)風險管理中的作用

為確保內(nèi)審了解正在討論和實施的所有創(chuàng)新，CAEs建議內(nèi)審參與到ERM中來，盡早了解組織所有風險的重要性，以根據(jù)需要在審計中處理風險。

（五）內(nèi)審人員本身應是創(chuàng)新者

內(nèi)審人員應是組織的引導者，應努力創(chuàng)新實踐，更有效地為組織增加價值。作為風險方面的專家，組織應依靠內(nèi)部審計了解影響該行業(yè)和領(lǐng)域其他組織的創(chuàng)新。通過參與專業(yè)組織、出席會議以及廣泛的培訓，內(nèi)審甚至應在本組織開始探索前就了解可能發(fā)生的變化。廣泛影響組織的各種革新也可能影響內(nèi)審，如數(shù)據(jù)分析、機器人、人工智能、敏捷過程和無人機技術(shù)等實踐，可在組織實施前用于內(nèi)審，通過內(nèi)審創(chuàng)新，為組織決策提供依據(jù)。

（六）培養(yǎng)必備技能

組織一旦實施了創(chuàng)新，無論是在洞察力還是提供保證服務方面，重要的是內(nèi)部審計人員必須具有一定的技能滿足組織需求。技術(shù)上的洞察力和IT知識變得越來越重要，但對內(nèi)審人員來說，更重要的可能是保持求知欲和靈活性，并愿意了解新實踐和新技術(shù)，保持快速學習的能力至關(guān)重要。

四、結(jié)論

當組織創(chuàng)新時，意味著管理層、董事會和審計委員會需要根據(jù)新的信息來履行職責，而內(nèi)審必須保證新的審計目標。技術(shù)和管理正以閃電般的速度發(fā)生變化，組織需要具備識別大量潛在風險的眼光和知識，內(nèi)審必須認識到其在支持整個組織技術(shù)變革方面的作用，以便利益相關(guān)者及時得到相關(guān)信息。

理想情況下，內(nèi)部審計應盡早、主動地評估創(chuàng)新的潛在風險，以便組織利用這些深刻洞見來進行創(chuàng)新決策。內(nèi)審部門必須建立一套制度或程序，以迅速查明與組織革新有關(guān)的風險。創(chuàng)新不僅能改變一個業(yè)務部門，而且能改變整個組織甚至整個行業(yè)。內(nèi)部審計應借此機會給予利益相關(guān)者獨立的見解和評估的遠見，通過咨詢活動為創(chuàng)新及在創(chuàng)新環(huán)境中創(chuàng)造附加值提供寶貴的視角。

受訪者認為，管理層缺乏認識是妨礙更好地擬訂內(nèi)審計劃以促進創(chuàng)新的障礙。創(chuàng)新不僅僅是“時髦詞”，必須得到認真實施和監(jiān)督。最終內(nèi)審面臨的挑戰(zhàn)是識別和理解組織引入新技術(shù)所帶來的風險和機會。在創(chuàng)新背景下，作為可信賴的顧問，若內(nèi)審能夠主動解決新問題，則可創(chuàng)造額外附加價值。內(nèi)部審計作為提供獨立、客觀的監(jiān)督和評價機構(gòu)，可能不是組織創(chuàng)新的“先鋒”，但通過對創(chuàng)新和創(chuàng)新方法進行審查，可以進一步促進組織價值增值。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）