内部审计未来展望,本文主要内容关键词为:内部审计论文,未来论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
现代内部审计的发展历程充分证明,内部审计在促进完善组织治理和发展中发挥着重要作用。不容置疑,过去几十年内部审计职业界积累的丰富经验,对于现在和未来内部审计的发展仍然具有十分重要的参考价值。认清形势和环境变化,积极应对挑战,内部审计职业只有做到因势而谋、应势而动、顺势而为,才能在新环境下实现更好的创新和发展。本文拟对内部审计即将面临的环境变化和挑战进行分析,对未来内部审计职业的发展进行展望,以期为内部审计的未来发展提供参考和启示。
一、内部审计面临的环境变化和挑战
随着经济技术的快速发展,组织将不可避免地处在全球化和信息化的环境中,组织的运行风险更加复杂多样,组织的利益相关者的期望在不断提高,这就导致内部审计的重要性不断显现,其承担的职责也不断增加,内部审计将面临更多的挑战。
(一)不可避免的全球化和信息化环境
1.全球化
在全球化的市场和行业里,公司可以从一个国家获取金融资本,然后在另一个国家购买原材料,利用从第三国购买的生产设备进行生产,产品在第四个国家销售。因此,全球化为在当前竞争格局下竞争的公司增加了机会(Ciarione et al.,2009)。
尽管全球化创造了很多机会,但公司必须要预见在经营过程中不断增长的复杂性,如组织、产品、服务、人员以及穿越国家边界在不同的经济市场中自由流动,进而可能产生文化冲突和适应当地市场竞争等问题。
普华永道公司2012年调查发现,全球化是一个影响当今和未来内部审计重要而持续增加的因素。当组织扩张利用全球化市场和供应链时,增加了对内部审计服务的需求。大多数受访者都认为全球化、业务外包和海外经营会在未来的5年中,对内部审计的作用和责任产生重大影响。近75%的受访者预期全球化将会对内部审计的作用和责任产生中度到非常强烈的影响。
2.信息化
信息技术不断地影响和改变着审计职业。一方面,信息技术创建了更为复杂的系统,内部审计的审查对象渐趋自动化。在自动化环境下,信息系统横跨许多部门,审计范围不仅包括业务环节、控制活动,还包括信息系统的设计与运行,这些使传统审计工作变得更加困难。另一方面,信息技术也对审计方法技术带来了巨大影响,传统手工方式被大量借助计算机硬件及审计软件所取代,审计人员可以利用信息技术,将其作为审计工具,使得在信息化条件下审计工作更加及时高效。
根据普华永道2012年调查,大多数受访者认为技术将对内部审计产生重大影响,并且都预计他们对技术的应用在未来5年中将会增加。当询问受访者对未来五年与内部审计有关具体技术的相对重要性时,近90%的受访者认为持续监控和审计软件应用最为重要,数据提取和分析,欺诈侦查和风险分析软件紧随其后。
尤其随着以社交网络为代表的web2.0的兴起、智能手机的普及、各种监控系统及传感器的大量分布,人类正在进入一个大数据时代。大数据(Big Data)作为IT产业一次颠覆性的技术创新,对人们的思维、商业和管理造成巨大变革。维克托·迈尔-舍恩伯格和肯尼思·库克耶(2013)认为大数据造成了三大思维转变:一是不再依靠分析少量的数据样本,而是要分析与事物有关的所有数据;二是要乐于接受数据的纷繁复杂,不再追求精确性;三是不再探求难以捉摸的因果关系,转为关注事物的相关关系。
大数据时代的出现给内部审计部门产生了巨大影响,大数据不仅改变了审计检查的风险,而且还为审计部门提供了履行职责的新工具。在大数据背景下,审计人员可以获取与此相关的所有数据,利用相关关系准确地进行监控和预测,更好地把握企业可能存在的风险。审计人员不再局限于依赖少量的数据样本,而是立足于总体样本的审计检查,不用担心某一数据点对整套分析的不利影响,可以从这些纷繁的数据中获得相应信息,不需要以高昂的代价消除所有的不确定性。因此,大数据改变了原先审计方式,可以更准确地进行风险评估,不断降低审计风险和成本,全面提升内部审计价值。
但是,大数据也是“双刃剑”,在给内部审计产生巨大收益的同时也造成了无边的风险。数据安全的风险更加凸显,用户隐私的保护变得更加重要,由此也造成了数据分析和管理人才的紧缺。
(二)复杂多样的组织运行风险
随着组织的发展壮大,组织所面临的风险开始多样,市场风险、经营风险、财务风险等不一而足。在全球化和信息化环境下,风险相比以往更加复杂、隐蔽、不容易控制,且更加容易转化,这就导致内部审计的重要性不断显现,其承担的职责也不断增加。
2012年普华永道调查发现在未来5年增加内部审计责任的内容中,企业风险管理位列第二,77%的受访者预期企业风险管理活动将增加,而这种大幅度的增加中,77%的受访者认为与全球化有关。全球化市场带来的风险可能使审计人员难以识别和评估,可以预期的风险包括:合规风险、文化风险和政治风险等。另一方面,信息化的快速发展也给组织带来了较高的风险。2012年普华永道调查发现绝大多数(79%)受访者认为技术风险给组织带来高的或显著较高的风险。
(三)空前提高的利益相关方的期望
在全球化条件下,利益相关者变得众多,而且可能分散在全球不同的地点,借助信息化条件,他们的期望和诉求会变成非常现实的要求。利益相关者的期望不断提高,内部审计在组织中的角色、任务也在不断变化。尽管内部审计现在的工作重点是经营审计、合规审计、财务风险审计、舞弊调查或对内部控制进行评价,但重点关注的领域在未来5年会发生很大的变化。利益相关者已经认识到内部审计在评价和降低风险方面发挥了很好的作用。但是,随着内部审计工作重点不断变化,利益相关者的期望也会不断变化。
内部审计负责人都知道满足利益相关者期望对提高内部审计工作可信度和价值是至关重要的,而要做到这一点,内部审计范围应尽可能地匹配利益相关者关注的领域。2012年3月参加IIA职业脉搏调查的参与者要求确定董事会、审计委员会和高级管理人员集中关注的前五大风险。虽然,内部审计计划包括了这样的一些风险,但分配到这几个领域的优先级别和内部审计资源表明在许多组织中内部审计范围和管理层与董事会优先关注领域存在不一致。董事会、审计委员会和高级管理人员关注的主要内容没有充分反映在计划审计范围上。因此,面对主要利益相关者不断提高的期望和关注的重点,审计人员需要加强协调,更好地匹配其期望和要求。
二、内部审计的未来展望
面对内部审计环境变化和挑战,内部审计的领域应更加宽广,重视战略和社会责任,关注第三方风险和信息安全,方式上更加注重合作,在更基础的道德价值观层面发挥作用,手段上更多地利用信息技术,对审计人员素质和技能要求更加全面。
(一)审计的领域将更加宽广
全球化和信息化的发展使得组织竞争日益激烈,风险延伸到组织之外,进而变得更加隐蔽和不确定。内部审计应重视组织战略和社会责任,关注第三方风险和信息安全。
1.高度重视组织战略
经济和技术的全球化发展,特别是技术的快速变化,是引起超级竞争环境和当前竞争格局的两大主要动因(希特等,2013)。在这一背景下,战略管理在组织中的重要性突显出来。组织战略直接决定着组织内部的资源配置和未来发展方向,影响着组织的生死存亡。因此,内部审计部门应该高度重视组织的战略。
为了制定和实施一个好的战略,内部审计部门应参与到战略管理过程之中。战略管理过程是指一家公司想要获取战略竞争力和超额利润而采用的一整套约定、决策和行动(希特等,2013)。在此过程中,公司第一步要对内外部环境进行分析,以决定其资源、能力和核心竞争力。借助这些信息,公司能够形成愿景和使命,并制定其战略。审计部门可以发挥自身专业能力,利用广泛接触公司各个层面的优势,调查分析,获取最全面的内外部信息,通过列席战略决策会议,直接对公司战略提出可行的建议,以优化战略,增加战略决策过程的可行性。
执行战略的过程就是公司为获得战略竞争力和超额利润而采取行动的过程。有效的战略执行整合了战略规划和执行,并且会有期望的战略产出。在审计过程中,审计人员根据战略指导方针,加强战略实施过程中的协调,通过检查战略决策的执行情况,评估战略执行过程中是否达到预期的目标,查找战略执行中存在的问题,以供战略制定者参考。
另外,战略管理过程是一个动态的过程,因为不断变化的市场和竞争结构与公司持续发展的战略输入——资源、能力和核心竞争力都是动态的,审计部门需要关注外部市场环境变化和企业自身资源条件的改变,及时向战略制定者提供信息,为修正已有战略或者进行新的战略决策提供帮助。
2.关注社会责任
在经济全球化大背景下,国际市场竞争日益激烈,使社会责任逐渐成为世界各国和地区广泛关注的热点问题。国际组织和欧美国家都制定了相关法律规范来严格规定企业的社会责任。2010年11月,ISO26000社会责任指南的出台引领了世界社会责任标准的进一步发展。随着参与全球竞争和国际化经营的深化,我国企业一定会越来越多地面临社会责任问题,社会责任将成为影响企业发展的重要方面,因此,内部审计部门需要关注企业的社会责任。
首先,内部审计部门应了解和熟悉与本企业相关的社会责任标准。目前,全球有关社会责任的标准或要求多达400多份,包括指南、规程、规范、导则等多种形式(刁宇凡和周立军,2012)。对于跨国公司而言,内部审计人员尤其要熟悉跨国经营所在国的相关社会责任标准,以及上下游供应链客户对社会责任的要求。
其次,审计人员应制定或协助企业有关部门制定社会责任标准。在熟悉本行业、本企业有关的社会责任标准的前提下,审计部门可以制定或者协助有关部门制定适合企业自身实际的社会责任标准,以作为内部经营守则或供应商行为守则。同时,根据企业社会责任标准,建立社会责任评价指标体系和权重,开展企业社会责任自我评价。
最后,在不影响独立性和客观性的前提下,审计人员应开展企业社会责任审计。审计人员围绕社会责任标准,通过定期或不定期以及与财务收支审计、绩效审计或经济责任审计等类型相结合,开展对企业社会责任的审计,了解企业在履行社会责任标准方面存在的问题和需要改进的不足,并将相关问题和改进建议以审计报告的形式提供给企业管理层,不断改进企业在履行社会责任方面的成效,保障企业持续健康地发展。
3.确认和管理第三方风险
普华永道《2010年全球信息安全状况调查》显示,超过60%的中国受访者认为,在全球经济放缓的背景下,自己的企业正在面临着更多来自于第三方的安全风险(宗菊,2010)。
从全球范围来看,第三方风险的第一种类型是商业伙伴风险。这一商业伙伴已经不再局限于传统的供应商和客户层面,而是由供应商在内的供应链要素延伸到外部,包括联合营销企业、权益投资、共同进行产品研发的伙伴、技术和软件分享安排以及各种广泛合作的形式(Pollock和Sumner,2012)。第三方风险的第二种类型是来自外包服务的风险。
在全球化背景下,跨国公司都在扩大经营区域,进入新兴市场以增加全球市场份额。尽管这些市场提供了大量的机会,包括新客户、商业伙伴以及资源安排,但他们也呈现出对增加有效管理合规风险的需要。公司应设计和更新合规程序以加强对商业伙伴的尽职调查,防范商业伙伴因为贪污、贿赂和声誉损害,以及隐藏的利益冲突而造成对企业自身的损害。
企业需要更好地理解与其开展业务合作的伙伴,内部审计可以利用对组织机构、商业风险以及评价内部控制设计合理性和整体有效性的专业知识,促进公司对业务伙伴的尽职调查。审计人员通过在风险识别、对重要的业务伙伴尽职调查程序的设计或修改,以及随后的监督评价整体政策执行和程序有效性方面发挥重要作用。总之,内部审计部门应关注第三方风险,收集和分析组织的风险信息,制定一个可持续发展的计划,回应日益显现的业务合作伙伴的风险。
4.拓展信息安全审计
在信息化背景下,信息是每个企业的重要资产,企业保密的和专有的信息以及其他形式的知识产权都可能成为竞争对手觊觎的对象。随着办公业务对信息系统的依赖越来越高,信息系统存在的风险使得企业信息被窃取的可能性增加。
尤其在大数据时代,数据安全的风险更加凸显,数据再利用的方式可能很巧妙、很隐蔽,甚至企业员工在网上留下的数据废气都可能被竞争对手利用,从而暴露企业未来关注的领域、发展战略等商业秘密。2013年7月,安永会计师事务所发布“全球信息安全调查”显示,大多数企业对信息安全重视不够,未将信息安全提升到管理层面,导致安全问题频发。来自中国在内的64个国家的1863家企业的调查显示,在过去的12个月内超过50%的受访企业发生超过5起以上的信息安全事件;11%的受访企业甚至不知道公司是否曾经发生信息安全事件。信息安全一旦出现问题,将给企业带来不可估量的损失。2012年普华永道调查显示审计信息安全有关的活动在未来5年中会大大增加内部审计职责。面向未来,内部审计人员应不断拓展信息安全审计。
斯皮内洛(1999)认为安全漏洞有两大来源:一是技术上的欠缺;另一类是糟糕的公司政策或有问题的数据传播和披露的操作。有时信息系统可能非常安全,但管理这些系统的人员也许非常容易或漫不经心地分享这些敏感数据。
重视信息安全风险,应关注“技术、程序和人”安全三角的每一部分,尤其是员工安全意识对防范信息安全风险更重要。内部审计部门应审计安全意识程序和它的管理程序,判断这些程序是否得到执行。意识程序文件连同所附的员工同意和道德标准应递交给全体员工,并每年进行审查和签字确认。Semer(2012)认为审计人员应该密切关注在这一安全意识程序中的六个领域:数据、网络、用户行为、社交媒体、移动设备以及社会工程。除此之外,对于借助云服务商进行云计算的企业而言,云风险也应该是审计关注的领域。
对于信息安全问题,审计部门要建立一个详细的IT风险管理程序,识别和解决与新兴技术相关的风险;进行风险评估工作,找出潜在的风险,并制订适当的基于风险的应对策略;树立以信息为中心的安全观点。
(二)方式上更加注重合作
随着环境的变化,内部审计发挥作用的空间增大,对审计人员的要求提高,需要发现和提示跨市场、跨国别、跨专业、跨监管的集团性风险、整合性风险、系统性风险和机制性风险,这就使得审计人员广泛地开展合作变得必要。
从具体合作形式来看,一方面应加强内部审计部门自身审计项目组和部门内部的协作配合。在全球化背景下,母国审计部门总部应协调东道国审计部门或审计中心,加强不同国籍员工的跨文化管理,共同服务于降低风险、实现企业价值增值的目标。另一方面,随着信息化发展和大数据时代的到来,审计部门更需要与部门外部开展合作。特别是对于规模庞大的跨国企业,“部门墙”导致企业部门各条线沟通不畅,阻碍了交流,隐藏了风险,审计的优势在于能开展跨部门的合作,将由于管理体制导致的信息分割和信息碎片化进行整合,跨部门地获取信息和独立思考问题,从而对海量信息进行分析并发现存在的问题。除了需要与本单位境内外各相关部门合作之外,审计人员还需要加强与会计师事务所、政府审计机关、外部专家、内部审计职业组织(如中国内部审计协会,国际内部审计师协会等),甚至是企业重要贸易伙伴的合作和配合,交流审计技术和经验,更好地发挥审计在企业和企业供应链中的作用,有效防范企业自身和第三方风险,提升内部审计的贡献和地位。
(三)在更基础的道德价值观层面发挥作用
自从安然/世通事件之后,人们认识到道德和企业文化置于组织中的重要性,正如Jennings(2003)所言,有形的财务破产开始于无形的企业和个人道德价值观被严重侵蚀、直到最终崩溃。而与之相对的是,良好的企业文化和道德价值观有助于组织获得成功和竞争优势,威廉·大内(2007)在“Z理论”中强调了组织管理的文化因素,认为企业在生产力上不仅需要考虑技术和利润等硬性指标,而且还应考虑软性因素,如信任、人与人之间的密切关系和微妙性等。
在全球化和信息化的环境下,文化和道德价值观变得更加重要。内部审计人员需要在这些更基础的层面发挥作用。首先,一个有效的道德规范要求公司、员工和所有的利益相关者都要做出正式的“做正确的事”的承诺,尽管SOX只要求针对公司的高级财务管理人员制定这样的道德行为方案,但管理有效的企业应当为所有的利益相关者制定这样的道德行为方案(罗伯特·莫勒尔,2007)。对于跨国公司,在道德行为方案中必须考虑东道国的文化和道德价值观。通常,这样的道德方案将由公司的首席道德官牵头,如果公司中没有真正的职业道德部门,内部审计应该在帮助建立全公司范围内的道德行为方案中发挥主要作用,或者对现有的道德行为方案进行改进。
其次,公司使命或价值观声明已经成为构筑强有力的公司道德观念和良好公司治理非常重要的组成部分。公司的内部审计可以与公司的道德办公室和高级管理人员一起,帮助对现行的公司使命进行评价或改写,或者在需要的情况下帮助公司制定新的使命或价值观声明。如果说使命或价值观声明代表的是保持公司治理总体架构基石的话,那么公司的行为准则就是一系列的界定优良行为的支持性规定和要求。内部审计应该通过审计监察和与公司内部各部门的联系,在促进公司行为准则建设和监控其遵循情况中发挥主要作用。
再次,已经建立了道德部门的公司通常都有自己的热线或者类似的道德问题专线电话。内部审计可以通过对现有的道德热线进行检查,提出适当控制措施的建议,并向审计委员会提出指导意见,从而成为帮助管理层和审计委员会完成这一工作的主要力量。对于设立道德与举报部门的企业而言,内部审计要对道德与举报部门进行检查,评估道德部门的成员是否遵循了良好的内部控制程序,有效地利用其资源,以及遵循良好的保密程序和约束道德部门行为的部门章程。
最后,审计部门除了对道德部门的检查或与之合作外,通过自身对企业的审计活动,查处企业存在的贪污舞弊等不法行为,纠正违规违纪问题,通过审计宣传正确的道德价值观,向组织和个人传递正能量。
(四)手段上更多地利用信息技术
由于环境和对象的变化,在全球化和大数据的条件下,受到空间和时间的限制,不采用信息技术就将无法开展审计,审计信息化是内部审计发展的必然趋势。非现场审计、持续审计,以及云审计的出现,已使传统的现场审计“脱胎换骨”。
非现场审计是内部审计机构或人员通过计算机远程访问、调用被审计单位的财务会计资料、业务数据资料,按照一定的程序,利用辅助审计工具实时检查和评价相关资料及其所反映的经济活动的真实性、合法性、效益性以及内部控制的健全性、有效性,帮助企业加强风险管理、增加组织价值,从而实现组织目标的独立性经济监督和评价活动。非现场审计是提高审计效率、节约审计成本、弥补现场审计不足的有效方法。
与非现场审计相近甚至等同的是持续审计,有学者认为两者只是中西方不同的称谓(王会金和王素梅,2006),但从理解上又有所不同。如果说非现场审计强调审计空间的“非现场”的话,那么持续审计更强调“持续”“实时”“自动”和“异常”。持续审计贯穿整个审计周期,对被审计数据和系统进行持续监控和审计,通过嵌入式审计模块技术或分离式持续审计技术,任何与初始设置不相符或者异常的记录都将引起审计软件的报警,并通过电子邮件等形式传送到客户和审计人员那里,审计人员据此决定采取相应的措施,所有这些程序将通过信息系统自动完成。持续审计主要是针对内部控制和业务过程出现的例外或异常事务进行持续监控,从而发现问题,解决问题。基于例外事项的审计使得决策者能够随时掌握可能出现的异常情况,及时采取措施进行改进,避免更严重的异常发生。
2012年普华永道调查预测技术的哪些方面将最可能在未来5年中增加内部审计的职责,排名第一位的是持续审计或监控,有90%的受访者预测与持续审计应用相关的职责将在未来增加。尽管不同国家、不同组织实施持续审计的比重不同,但随着信息技术、IT环境的改进,持续审计运行费用的降低,这一技术将逐步扩大应用。另外,对应于大数据、云计算的发展,云审计可能在未来应运而生。
(五)对于审计人员素质和技能要求更加全面
随着组织面临的环境改变和利益相关者期望的不断变化,这些都对内部审计部门和人员提出了更高要求。根据2012普华永道调查,内部审计负责人对他们解决战略和业务风险以及涉及欺诈和技术风险的能力显然比较担忧。在利益相关者期望日益增长的条件下,内部审计负责人认为能力不足是他们主要的挑战。
为了应对审计环境变化和利益相关者诉求对审计能力的要求,审计人员必须不断提升自身能力和素质。一方面,内部审计要求审计人员具有财务专业知识以评估财务控制的充分有效性;另一方面,随着全球化和信息技术所带来的各种风险,审计部门将需要大量的能够识别、评估和分析风险数据,并且能够防止和发现舞弊的审计人员。2012年普华永道调查显示内部审计负责人始终认为数据分析在未来将是一种基本技能。尤其在大数据时代,数据分析和管理人才紧缺,如何有效地进行数据挖掘,建立预测模型,实施准确预测和监控,需要审计人员不断提高计算机应用能力。另外,2012年普华永道调查还显示,未来内部审计人员的非技术性能力也很重要。例如审计人员应具有商业知识,与高级管理人员、业务主管、审计委员会进行实质性交流的能力等。
同样,在2012年IIA内部审计职业脉搏调查也显示,内部审计负责人必须理解利益相关者的预期,确保审计人员有适当的技能来主动满足,或者超过这些期望。成功的内部审计负责人要不断评估是否现有的内部审计技能能使自己的团队实现利益相关者的期望和妥善评估组织的风险组合。职业脉搏调查显示,对于新的内部审计人员追求的五大技能是:分析和批判性思维、沟通能力、数据挖掘和分析、一般的IT知识以及商业洞察力。
全球化和信息化是组织发展必须面对的环境,在此背景下,组织的运行风险更加复杂多样,风险相比以往更加复杂、隐蔽、不容易控制,且更加容易转化。组织的利益相关者变得众多,而且可能分散在全球不同的地点,借助信息化条件,他们的期望和诉求会变成非常现实的要求。内部审计在组织中的角色、任务也在不断变化,这就导致内部审计的重要性不断显现,其承担的职责也不断增加,内部审计将面临更多的挑战。
面对内部审计环境变化和挑战,内部审计的领域将更加宽广,重视组织战略和社会责任,关注第三方风险和信息安全,方式上更加注重合作,在更基础的道德价值观层面发挥作用,手段上更多地利用信息技术,对于审计人员素质和技能要求更加全面。
标签:内部审计论文; 审计软件论文; 审计计划论文; 利益相关者分析论文; 社会责任标准论文; 企业的社会责任论文; 信息安全论文; 审计职业论文; 数据与信息论文; 社会责任报告论文; 战略分析论文; 企业价值观论文; 审计方法论文; 组织环境论文; 审计目标论文; 审计人员职业道德论文; 信息发展论文; 普华永道论文; 未来展望论文; 全球化论文;