曾繁荣
[摘要]2019年8月,国际内部审计师协会(IIA)发布了研究报告《内部审计对组织重要创新的响应》,该报告基于对首席审计执行官(CAE)和内部审计师的专业调查,介绍了组织的重要创新现状及内部审计对组织重要创新的响应情况、响应效果。因该报告篇幅较长,故分篇刊载,本篇为最后一篇。
[关键词]内部审计 组织 创新 响应
(承上篇)
二、如何应对十项常见的组织创新
(七)改变组织战略
1.定义。指组织实施新战略、新市场或新业务的模式。
2.对组织/风险的影响。受访者认为改变组织策略可能造成战略变更困难,降低审计质量;内部审计可能难以对“变动了的目标”进行审计,因为内审人员可能对战略本身有意见,战略过于简单化、实施时间表不切实际等。
3.调查结果。内部审计对该创新的参与度最低。虽然受访者希望参与战略讨论与决策,但内审对于准备工作或对新策略的有效性缺乏信心,如图1所示。
4.深刻见解。研究表明,内部审计可有效地帮助制定战略,当涉及战略咨询或咨询服务时,组织的资产回报率更高。而内部审计难以参与该创新的主要原因是外部审计人员和商业专业人士对内审有较多负面看法。本次参与调查的受访者认为,部分组织的管理层认为内审价值较低。
5.最佳实践。一是让管理层了解内审作用、重视内审工作,内审不仅仅是测试和报告。二是参加各种培训,让内审成为组织内部战略对话的一部分,内审人员需要拥有广泛的技能,参加各种培训以全面了解组织的业务情况和所在行业状况。
(八)人工智能(AI)
1.定义。指使用计算机程序执行通常需要人类智慧或判断力的任务,如使用聊天机器人进行客户服务、提出产品购买建议和执行精算工作。
2.对组织/风险的影响。AI有潜力促进商业变革,就像过去几十年互联网带来的变革一样。但仍处于起步阶段,理解AI还需做更多工作,因而对组织的影响还无定论。有受访者表示,内审人员往往高估其在该领域的专业知识和能力,使用AI的最大风险之一是虽然个人可能会使用某种形式的AI,但尚不了解其实际在做什么。当引入一个新场景时,人们担心AI由于缺乏理解而被误用。
3.调查结果。如图2所示,内部审计对实施AI的决策参与程度较高,约80%的受访者表示内审通常会参与决策或对潜在的AI供应商进行审核。当前,受访者表示对组织内的人工智能创新几乎无需做改变,是所有创新中变化最小的一个。因为该革新仍处于初期阶段,内审尚未真正开始对AI过程进行审计。另外,与其他创新相比,内审对AI领域做的准备最少、效率最低,可能由于内审人员尚未掌握用于编写AI底层代码的重要技术技能。
4.深刻见解。受访者担心AI的“黑匣子”性质,即当无法观察机器如何作出决策时,往往无法确定审核技术。若机器学习不准确,则担心AI性能存在大规模错误。例如,一些公司采用AI技术编制聊天机器人,用于与客户进行交流,回答客服相关问题。但若客户的问题未以聊天机器人可识别的方式表达,其响应可能是荒谬或不充分的,从而使客户感到沮丧。当客户意识到在与机器人而不是人类交流时,往往会加剧不满。
5.最佳实践。一是加强内审人员的培训,内审人员必须理解AI原则。二是了解组织的AI计划。了解管理层何时推出AI,以便内审人员提前做好准备。
(九)监管变化
1.定义。指外部团体(如政府、证券交易所)对实体实施监管的所有要求。受访者表示,存在一系列影响其组织的广泛而多样的监管变化。从行业看,包括银行、保险和医疗保健等;从政府看,包括地方政府和中央政府;从活动类型看,包括税收、网络安全/隐私、财务报告等。监管规则每年都在不断变化。
2.对组织/风险的影响。受访者最担心组织未能适应监管变化而遭受罚款、声誉受损甚至倒闭等,宁愿回到更熟悉的“旧”过程。为适应新监管变化,內审需审查和修订所有审计程序和其他文件,这将是一项艰巨任务。
3.调查结果。如图3所示,应针对监管变化采取更改审计计划和增加培训两方面措施。鉴于监管变化的持续性和内审在该领域的丰富经验,内审人员相信自己已为这项创新做好准备,对内审处理监管变化的能力充满信心。
4.深刻见解。多数受访者认为,监管内容要么是所面临的创新所在,要么是对正在考虑的创新产生深远影响的因素,因此关注监管是首要任务。CAEs强调了解当前和潜在法规的重要性,预测新法规建立后将出现的风险和变化,是内部审计被视为可以信赖的顾问并为组织增加价值的关键所在。
5.最佳实践。与第二道防线或合规部门协作是适应监管变化的关键途径。受访者指出,接触法律顾问和政策工作人员,了解政策的制定、执行和执行情况是很有帮助的。
(十)数字化
1.定义。指利用数字技术提供新的、有价值的生产机会。
2.对组织/风险的影响。随着组织的数字化发展,向客户交付产品和服务的工具和流程也在发生变化,因而组织及其内审部门需要考虑新风险。特别是数字化与网络安全风险增加紧密相关,因为关键数据和输入都通过电子方式收集、记录、存储和处理。与此相关的是,有些关键风险与技术本身的功能相关。技术失败或过时可能会对组织的经营业绩或核心价值产生重大影响。数字化也可能需要与第三方供应商合作。
3.调查结果。如图4所示,内审人员高度参与实施该技术的决策,并审核/确定实施数字化的供应商。内审对这项创新的参与度较高,组织与内审人员进行的咨询涉及数字化可能带来的风险和控制。数字化还通常导致员工技能组合的变化,且需要大量培训工作。内审人员可能感到数字化准备相对不足,且审计效率低下。显然,这是一项扩展内审人员技能的创新,值得内审人员在组织实施前予以重视和准备。医疗行业最有可能进行这种创新,其数字化集中于数字化记录,如病人健康记录。内审人员指出,与数据安全、完整和隐私相关的风险是需要管理的关键风险。卫生保健行业以外的受访者认为,从旧经营方式向新经营方式过渡是一项重大挑战。
4.深刻见解。多位CAE描述了组织最近进行的数字转换,该转换改变了客户体验,数字接口允许客户与组织的系统进行实时交互。例如,若客户需要更改地址,一旦将地址输入数字应用程序,系统就能正式进行更改。与这种数字转换相关的主要风险之一是执行风险。这类项目需要的资源投资非常高,产品开发时间也很长,组织必须快速执行。金融行业的CAE还指出,随着数字化程度的提高,以前本应具有物理审核记录的客户交易现在仅具有数字烙印。因此,现在有关维护网络安全和系统安全的风险有所增加,因为有关交易的所有信息都位于存储设备和云上。
5.最佳实践。一是具有适当的技能。随着组织运作的数字化,内审人员的技术敏锐性和IT风险知识变得更加重要。正如一家政府机构的CAE被问及如何更好地应对这些挑战时所述,“将继续在数据分析、移动风险、网络安全风险和其他技术驱动风险等方面提高技能”。二是投资员工。数字化创新需要灵活、敏捷的内审人员,CAE建议通过增加针对性培训努力使审计人员成为该领域的真正专家。
三、最佳实践综述
(一)内部审计要有“一席之地”
受访CAEs给出的最常见和最重要的建议是确保内部审计在创新早期就了解所有重要创新。理想情况下,这意味着内审应在创新决策过程中拥有一席之地。所有CAEs都认为,在创新决策时内审人员应在场,并提供关键风险和控制信息以帮助组织作出明智决策。
(二)有效沟通
确保内审人员与参与创新的其他人员(如管理层或负责创新的职业经理)进行有效沟通,可以从内审开始,但应贯穿整个过程。当一个新的流程、技术或产品无法奏效时,对公司而言,更好的做法是迅速找出问题,并在问题失控前减少损失,否则将面临严重的声誉和市场影响。在创新实施过程中与内部审计沟通,提高及时评估的可能性,并就创新实践向管理层提供有意义的建议。
(三)强有力的治理
有的单位员工、业务部门在不遵循整个组织创新治理策略或政策的情况下自行创新,导致内审始终不了解创新情况而无法提供指导;或在整个组织中实施了类似但不同的创新,这些创新几乎不可能进行比较和评估;进行复杂数据分析之类的创新,以无法确认数据完整性或违反数据访问策略的方式进行。这三种情况,均缺乏强大、协调一致的治理结构,都会使组织面临巨大风险,若采取有效的预见、治理和有意义的沟通,则可避免这三种情况。
(四)发挥内部审计在企业风险管理中的作用
为确保内审了解正在讨论和实施的所有创新,CAEs建议内审参与到ERM中来,尽早了解组织所有风险的重要性,以根据需要在审计中处理风险。
(五)内审人员本身应是创新者
内审人员应是组织的引导者,应努力创新实践,更有效地为组织增加价值。作为风险方面的专家,组织应依靠内部审计了解影响该行业和领域其他组织的创新。通过参与专业组织、出席会议以及广泛的培训,内审甚至应在本组织开始探索前就了解可能发生的变化。广泛影响组织的各种革新也可能影响内审,如数据分析、机器人、人工智能、敏捷过程和无人机技术等实践,可在组织实施前用于内审,通过内审创新,为组织决策提供依据。
(六)培养必备技能
组织一旦实施了创新,无论是在洞察力还是提供保证服务方面,重要的是内部审计人员必须具有一定的技能满足组织需求。技术上的洞察力和IT知识变得越来越重要,但对内审人员来说,更重要的可能是保持求知欲和灵活性,并愿意了解新实践和新技术,保持快速学习的能力至关重要。
四、结论
当组织创新时,意味着管理层、董事会和审计委员会需要根据新的信息来履行职责,而内审必须保证新的审计目标。技术和管理正以闪电般的速度发生变化,组织需要具备识别大量潜在风险的眼光和知识,内审必须认识到其在支持整个组织技术变革方面的作用,以便利益相关者及时得到相关信息。
理想情况下,内部审计应尽早、主动地评估创新的潛在风险,以便组织利用这些深刻洞见来进行创新决策。内审部门必须建立一套制度或程序,以迅速查明与组织革新有关的风险。创新不仅能改变一个业务部门,而且能改变整个组织甚至整个行业。内部审计应借此机会给予利益相关者独立的见解和评估的远见,通过咨询活动为创新及在创新环境中创造附加值提供宝贵的视角。
受访者认为,管理层缺乏认识是妨碍更好地拟订内审计划以促进创新的障碍。创新不仅仅是“时髦词”,必须得到认真实施和监督。最终内审面临的挑战是识别和理解组织引入新技术所带来的风险和机会。在创新背景下,作为可信赖的顾问,若内审能够主动解决新问题,则可创造额外附加价值。内部审计作为提供独立、客观的监督和评价机构,可能不是组织创新的“先锋”,但通过对创新和创新方法进行审查,可以进一步促进组织价值增值。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)