在新型冠状病毒大流行的这一年,很难想象还有什么其他事情会对内部审计产生决定性影响。的确,这一致命病毒及其对商业、社会和内部审计的影响在2020年主宰了我们的生活,除此之外总还有一些事件也对内部审计行业产生深刻影响。
下面是我认为2020年对内部审计产生重大影响的七大头条新闻。
1、新冠全球大流行重塑了风险格局
在我的职业生涯乃至我的一生中,很少经历过像新冠大流行这样具有深远重大影响的事件。我相信大多数人也是感同身受。从内部审计角度看,新冠大流行及其后果对风险格局产生了重大影响。
新冠大流行对危机管理和业务连续性产生了重大影响。它暴露了组织治理中的优势和劣势。它很快就颠覆了传统的制造业、供应链、库存和产品交付。它改写了人们对工作场所的看法,使居家工作成为常态,从根本上改变了消费者的购买习惯。它摧毁了某些行业,如航空公司、旅游业和酒店业,同时为其他行业带来了繁荣,如包裹递送、在线消费和家庭娱乐。它加速了技术在商业中的应用,改变了人才管理的规则。下一个挑战将是如何让员工安全返回工作场所。
这一重大破坏性带来的风险和机会,直到现在才变得清晰起来,而且大流行对宏观经济、地缘政治格局和整个社会的长期影响必将带来新的、不可预见的风险。即使能以最快速度推出疫苗,2021年全球仍将面临与新冠大流行密切相关的重大风险。等到明年我们回顾影响内部审计的头条新闻时,很可能还要提及新冠大流行。
2、IIA发布新版三道防线模型
在新冠引发社会混乱的时候,IIA发布了修正后的三线模型。时机再好不过了。该模型修订了传统的三道防线模型,为改善组织治理,为鼓励治理中三个关键角色(治理机构(董事会)、执行管理层和内部审计)之间的沟通与协作提供了良好的指引。
重要的是,它描述了每个关键参与者的角色,同时阻滞了经常导致治理崩溃的“孤岛”。正如我在7月份新模式发布后不久的一篇博文中所写:
新版模型基于原则的方法旨在为用户提供更大的灵活性。治理机构、执行管理层和内部审计三种角色没有严格的界限。为了适应大家的思维习惯,这里保留了“条线”的概念。但是,它们不是用来表示结构元素的,而仅仅用来进行角色划分的。三种角色的职责范围一般描述为:治理机构代表利益相关者负责监督组织。管理层为实现组织目标采取行动(包括管理风险)。独立的内部审计部门提供确认和咨询服务,为持续改进提供洞察力、信心和鼓励。
有些人认为,内部审计应该保持在“第三道防线”之内,以确保其工作人员的独立性和客观性。然而,更新后的模型清楚地强调“独立并不意味着孤立”。正如新版模型中提到的,“内部审计和管理层之间必须有定期的互动……内部审计与第一道防线的管理层和第二道防线的管理层都需要协作和沟通。”
3、新冠大流行期间内部审计得到了强化
当整个世界开始适应新冠大流行带来的总体风险时,我们内部审计专业人士一直在关注与新冠大流行相关另一个主题:我们如何敏捷地应对危机。
鉴于新冠大流行带来的挑战,以及新版三线模型中对内部审计定期与管理层互动的鼓励,我们注意到,内部审计迅速采取各种行动支持组织应对疫情,令人鼓舞。
国际内部审计师协会审计执行中心在疫情之初的调查发现,内部审计部门积极参与了其组织应对新冠疫情的工作。包括承担特殊任务,例如识别节省成本的项目、跟踪费用去向、缓解风险等。
我在4月份的一篇博文中指出,调查结果反映了内部审计部门如何修改审计计划,以识别和减轻与大流行相关的风险。快速调查报告显示:
“总体而言,内部审计领导在应对新冠疫情带来的动态风险环境方面展现出了灵活性和敏捷性。四分之三的内部审计部门更新了他们的审计计划。三分之二的人正在识别新出现的风险,超过一半的人已经更新了他们的风险评估。”
快速调查还详细描述了在感受到疫情影响后的第一个月,美国的内部审计部门所做的工作。结果显示,许多内部审计部门灵活地运作,具有“全员参与”方式所需要的敏捷性。报告指出:
“超过一半的受访者已经停止或缩小了一些审计业务的范围,近一半的受访者已经取消了一些审计业务。近四成受访者增加了新的审计活动,40%的受访者让员工放下他们正常的审计工作,通过非审计工作协助组织渡过这一危机。这充分体现了内部审计领导人的快速反应。”
4、网络黑客威胁国家安全
最近,一场“大规模且持续的”网络攻击被揭露出来,这可能会为内部审计提供一系列新目标。根据可靠的新闻报道,网络安全专家认为,一群组织严密的黑客利用了一家IT公司开发的产品的漏洞。这家IT公司为政府机构和数百家大公司提供技术软件。
今年3月的攻击让网络犯罪分子成功地获得了敏感信息,并允许他们监控数十家使用该公司软件的公司和机构的通信。其中包括美国财政部、商务部、能源部,以及负责监督核武器的洛斯阿拉莫斯国家实验室。
这次攻击虽然是以网络攻击的形式进行的,但更像是间谍活动,因为黑客能够对企业和政府官员的通讯进行长达数月的监控。正如我们以前所目睹的那样,在新年到来后很长一段时间里,在年末才突然出现的头条新闻还将继续产生影响。因此,内部审计人员应该在其2021年度审计计划中,将这一风险和其他网络安全风险纳入考虑范围。
5、美国大选结果有望强化监管
正如我们反复目睹的那样,美国总统选举产生的新一届政府往往会严重破坏既有的监管格局。尽管即将离任的特朗普政府一直致力于系统性地废除法规,并消减合规监管的联邦机构规模,但即将上任的拜登政府面临着加强法规的巨大压力,特别是在与气候变化、国际贸易、移民和社会安全相关的领域。
我在许多场合指出的,新的法规会带来新的合规风险,新的合规风险必须在内部审计的风险地图上。
6、通用电气结束了内部审计轮岗模式
为了简化运营,通用电气在11月宣布取消CAS项目组。《华尔街日报》(Wall Street Journal)的一篇文章称,“CAS项目组”是通用电气集团培养未来的领导者的一种古老的制度安排,各个部门需要轮岗的人员,必须先进入“CAS项目组”,然后才能派往其他岗位。
我第一次研究通用电气模式是上世纪90年代,当时我正在领导美国陆军内部审计组的一项流程再造计划。我看到了这种方法的非凡价值,经过“CAS项目组”培养的人才进入公司的各种业务角色。通用电气模式被认为是岗位轮换制度的黄金标准。随着家得宝(Home Depot)和克莱斯勒(Chrysler)等公司采用了类似的方法,这一理念得到极大推广。该模型虽然不乏批评之声,但却有助于提高人们对内部审计价值的认识,因为它表明了对风险和风险缓解过程的深刻理解是良好治理的基础。
通用电气的行动将对内部审计行业产生广泛的连锁反应,这仅仅是推测性的;但不可否认的是,这条新闻是2020年与内部审计相关的重大新闻。
7、IIA-Australia制定了《澳大利亚金融服务行业内部审计最佳实务指南》
根据澳大利亚皇家委员会对银行、退休金和金融服务行业不当行为的调查结果,IIA-Australia制定了《澳大利亚金融服务行业内部审计最佳实务指南》,这是将内部审计定位为金融服务领域关键角色的重要工具。
经过一年多的修订,该指南列出了六条关键原则,显示出只有内部审计才能提供健全的独立鉴证。这些原则中的第一条定位了内部审计成功的目标:“内部审计的主要目的应该是协助董事会和高级管理人员保护组织的资产、声誉和可持续发展。”第六条原则敦促采用适当的方法对组织的风险文化进行审计。该指南于11月发布。
为了实施这6大原则,该指南列示了32条具体建议。附加注释部分提供了指导性建议,并在恰当的情况下引用了《国际内部审计专业实务标准》。该指南认可了内部审计在支持组织目标、强化企业文化和提升公司治理方面的重要价值。
本文所列示的头条新闻虽然各不相同,但都聚焦于2020年出现或演变的风险和趋势,以及内部审计支持组织努力缓解和利用风险的能力。未来的一年里,这些事件还将继续对内部审计行业及其服务的机构构成重大挑战。为了勇敢而果断地支持所在组织,为了实现内部审计专业的核心原则,内部审计从业者应该时刻准备着。
作者:理查德·钱伯斯(源自2020年12月27日IIA官网);翻译:陈国华
(资料来源:内审之友微信公众号)
