內部審計客戶和其他利益相關者,時不時對我們的職業抱有不切實際的期望。因此,人們對我們的角色可能存在困惑也就不足為奇了。畢竟,內部審計師的職責很多。我們是分析師、控制專家、顧問、教師、商業夥伴、監管者、財務顧問、合規專家,還可以是其他角色。我們真的可以審計幾乎任何事情。然而,有些風險顯然需要額外的專業知識來審計,正如我在2014年的一篇博文中所寫的那樣,《你無需成為馬戲團裡的審計小丑》。那時,我指出,雖然我們可能會審計任何事情,但我們不會對所有的事情都進行審計。
每當重大的控制失敗成為頭條新聞時,總會有人問:“內部審計師在哪裡?” 事實上,正如我們在過去一年中經常看到的,內部審計人員做了大量的工作,他們在災難來臨前發出了警告。然而,令人遺憾的是,管理層並沒有滿意地回應這些警告。考慮到當今許多組織的規模和複雜性,需要非常大的內部審計機構來處理組織所面臨的所有風險。有時,根本沒有足夠的內部審計資源來覆蓋所有重大風險,更為嚴重的是,有時內部審計也會忽視被證明是災難性的關鍵風險。
充其量,內部審計職能的有效性是與既有資源、培訓和人才的投入密切相關的。內部審計人員並非絕對正確,鑑於預算和成本的現實理由,我們也不可能審計一切。
這可能導致對內部審計人員能做什麼或正在解決什麼的期望差和誤解。近年來的幾項研究發現,內部審計師、審計委員會主席、董事會成員和高級管理層對公司如何管理舞弊和道德風險的看法存在巨大差異。普華永道幾年前的一項研究顯示,53%的審計委員會主席、董事會成員和高級管理人員認為舞弊和道德風險管理得很好,而只有35%的CAEs對此予以認同。
英國公司治理和舞弊問題顧問彼得•蒂克納(Peter Tickner)認為,誰應該對反舞弊負責、誰應該對道德文化的設定和評估負責,人們的看法存在分歧。Tickner指出:“最高管理層確信,首席審計官的關鍵職責之一是積極應對舞弊和貪汙的風險;而CAEs通常將其視為高級管理層的問題和責任。”
如果Tickner是對的,那麼有必要認真審視各自在“風險管理三道防線”中的角色和責任了。
不幸的是,我們的利益相關者有時期望得到超出我們能力範圍之外的保障。一個很好的例子是在網絡安全領域。根據波耐蒙研究所(Ponemon Institute)的數據,2017年,70%的組織表示它們的安全風險顯著增加。正如Barkly公司的喬納森•克羅(Jonathan Crowe)最近指出的那樣,“2018年伊始,隨著處理器A級漏洞Meltdown(熔燬)和Spectre(幽靈)的驚人曝光,地球上幾乎的所有操作系統和設備都置於危險之中。”
這些數據的確令人震驚。然而,顯而易見的是,內部審計師無法對其組織的網絡安全控制給出絕對的保證。當涉及到風險和控制時,我們可以提供重要的保證,但我們不能給予無限的保證。而且,雖然提供保證是內部審計人員的重要作用,但我們必須防止作出虛假的保證。
客戶的期望不是在真空中生成的。客戶們可能存在不切實際的期望,僅僅因為他們“選擇性的傾聽”,但問題的部分原因也可能源自我們。期望差可能來自某些我們說過或做過的事情,也可能來自我們說這件事情的方式,或者,可能來自我們的沉默。
我們總是解釋我們能為我們的組織做什麼,以及我們如何為組織增加價值。對於利益相關者而言,瞭解內部審計的好處是很重要的,因此我們將這些信息貫穿到我們的章程、公告備忘錄、項目開始時的進點會議,以及其他溝通過程中。然而,儘管我們可能擅長解釋內部審計的作用,但也許我們還應該多花一點時間來解釋我們能力的潛在限制,像傳統的客戶服務準則一樣,我們應該“低承諾,高回報”。
無論內部審計做什麼,風險都無處不在。無論保護我們組織的內部審計人員的數量或質量如何,某些災難肯定會發生。當危機發生時,組織中的所有目光都可能轉向內部審計來評估原因和後果。戰前女神的熱捧歌曲《我奔向你》唱得好:“這個世界一直在以更快的速度旋轉,演變成一場新的災難,所以我奔向你。”管理層和董事會在風險或控制失敗後轉向內部審計是自然而然的。儘管我們可以在失敗之前評估關鍵風險,但我們不能對所有事情都進行審計。在設定關鍵的利益相關者期望時,我們需要不斷地予以強調。
針對利益相關者期望的關注和監測,你有什麼好的想法呢?
翻譯:陳國華
閱讀更多 CIA內審師小站 的文章
