內部審計對組織重要創新的響應（三）

曾繁榮

[摘要]2019年8月，國際內部審計師協會（IIA）發布了研究報告《內部審計對組織重要創新的響應》，該報告基于對首席審計執行官（CAE）和內部審計師的專業調查，介紹了組織的重要創新現狀及內部審計對組織重要創新的響應情況、響應效果。因該報告篇幅較長，故分篇刊載，本篇為最后一篇。

[關鍵詞]內部審計? ? 組織? ? 創新? ? 響應

（承上篇）

二、如何應對十項常見的組織創新

（七）改變組織戰略

1.定義。指組織實施新戰略、新市場或新業務的模式。

2.對組織/風險的影響。受訪者認為改變組織策略可能造成戰略變更困難，降低審計質量;內部審計可能難以對“變動了的目標”進行審計，因為內審人員可能對戰略本身有意見，戰略過于簡單化、實施時間表不切實際等。

3.調查結果。內部審計對該創新的參與度最低。雖然受訪者希望參與戰略討論與決策，但內審對于準備工作或對新策略的有效性缺乏信心，如圖1所示。

4.深刻見解。研究表明，內部審計可有效地幫助制定戰略，當涉及戰略咨詢或咨詢服務時，組織的資產回報率更高。而內部審計難以參與該創新的主要原因是外部審計人員和商業專業人士對內審有較多負面看法。本次參與調查的受訪者認為，部分組織的管理層認為內審價值較低。

5.最佳實踐。一是讓管理層了解內審作用、重視內審工作，內審不僅僅是測試和報告。二是參加各種培訓，讓內審成為組織內部戰略對話的一部分，內審人員需要擁有廣泛的技能，參加各種培訓以全面了解組織的業務情況和所在行業狀況。

（八）人工智能（AI）

1.定義。指使用計算機程序執行通常需要人類智慧或判斷力的任務，如使用聊天機器人進行客戶服務、提出產品購買建議和執行精算工作。

2.對組織/風險的影響。AI有潛力促進商業變革，就像過去幾十年互聯網帶來的變革一樣。但仍處于起步階段，理解AI還需做更多工作，因而對組織的影響還無定論。有受訪者表示，內審人員往往高估其在該領域的專業知識和能力，使用AI的最大風險之一是雖然個人可能會使用某種形式的AI，但尚不了解其實際在做什么。當引入一個新場景時，人們擔心AI由于缺乏理解而被誤用。

3.調查結果。如圖2所示，內部審計對實施AI的決策參與程度較高，約80%的受訪者表示內審通常會參與決策或對潛在的AI供應商進行審核。當前，受訪者表示對組織內的人工智能創新幾乎無需做改變，是所有創新中變化最小的一個。因為該革新仍處于初期階段，內審尚未真正開始對AI過程進行審計。另外，與其他創新相比，內審對AI領域做的準備最少、效率最低，可能由于內審人員尚未掌握用于編寫AI底層代碼的重要技術技能。

4.深刻見解。受訪者擔心AI的“黑匣子”性質，即當無法觀察機器如何作出決策時，往往無法確定審核技術。若機器學習不準確，則擔心AI性能存在大規模錯誤。例如，一些公司采用AI技術編制聊天機器人，用于與客戶進行交流，回答客服相關問題。但若客戶的問題未以聊天機器人可識別的方式表達，其響應可能是荒謬或不充分的，從而使客戶感到沮喪。當客戶意識到在與機器人而不是人類交流時，往往會加劇不滿。

5.最佳實踐。一是加強內審人員的培訓，內審人員必須理解AI原則。二是了解組織的AI計劃。了解管理層何時推出AI，以便內審人員提前做好準備。

（九）監管變化

1.定義。指外部團體（如政府、證券交易所）對實體實施監管的所有要求。受訪者表示，存在一系列影響其組織的廣泛而多樣的監管變化。從行業看，包括銀行、保險和醫療保健等;從政府看，包括地方政府和中央政府;從活動類型看，包括稅收、網絡安全/隱私、財務報告等。監管規則每年都在不斷變化。

2.對組織/風險的影響。受訪者最擔心組織未能適應監管變化而遭受罰款、聲譽受損甚至倒閉等，寧愿回到更熟悉的“舊”過程。為適應新監管變化，內審需審查和修訂所有審計程序和其他文件，這將是一項艱巨任務。

3.調查結果。如圖3所示，應針對監管變化采取更改審計計劃和增加培訓兩方面措施。鑒于監管變化的持續性和內審在該領域的豐富經驗，內審人員相信自己已為這項創新做好準備，對內審處理監管變化的能力充滿信心。

4.深刻見解。多數受訪者認為，監管內容要么是所面臨的創新所在，要么是對正在考慮的創新產生深遠影響的因素，因此關注監管是首要任務。CAEs強調了解當前和潛在法規的重要性，預測新法規建立后將出現的風險和變化，是內部審計被視為可以信賴的顧問并為組織增加價值的關鍵所在。

5.最佳實踐。與第二道防線或合規部門協作是適應監管變化的關鍵途徑。受訪者指出，接觸法律顧問和政策工作人員，了解政策的制定、執行和執行情況是很有幫助的。

（十）數字化

1.定義。指利用數字技術提供新的、有價值的生產機會。

2.對組織/風險的影響。隨著組織的數字化發展，向客戶交付產品和服務的工具和流程也在發生變化，因而組織及其內審部門需要考慮新風險。特別是數字化與網絡安全風險增加緊密相關，因為關鍵數據和輸入都通過電子方式收集、記錄、存儲和處理。與此相關的是，有些關鍵風險與技術本身的功能相關。技術失敗或過時可能會對組織的經營業績或核心價值產生重大影響。數字化也可能需要與第三方供應商合作。

3.調查結果。如圖4所示，內審人員高度參與實施該技術的決策，并審核/確定實施數字化的供應商。內審對這項創新的參與度較高，組織與內審人員進行的咨詢涉及數字化可能帶來的風險和控制。數字化還通常導致員工技能組合的變化，且需要大量培訓工作。內審人員可能感到數字化準備相對不足，且審計效率低下。顯然，這是一項擴展內審人員技能的創新，值得內審人員在組織實施前予以重視和準備。醫療行業最有可能進行這種創新，其數字化集中于數字化記錄，如病人健康記錄。內審人員指出，與數據安全、完整和隱私相關的風險是需要管理的關鍵風險。衛生保健行業以外的受訪者認為，從舊經營方式向新經營方式過渡是一項重大挑戰。

4.深刻見解。多位CAE描述了組織最近進行的數字轉換，該轉換改變了客戶體驗，數字接口允許客戶與組織的系統進行實時交互。例如，若客戶需要更改地址，一旦將地址輸入數字應用程序，系統就能正式進行更改。與這種數字轉換相關的主要風險之一是執行風險。這類項目需要的資源投資非常高，產品開發時間也很長，組織必須快速執行。金融行業的CAE還指出，隨著數字化程度的提高，以前本應具有物理審核記錄的客戶交易現在僅具有數字烙印。因此，現在有關維護網絡安全和系統安全的風險有所增加，因為有關交易的所有信息都位于存儲設備和云上。

5.最佳實踐。一是具有適當的技能。隨著組織運作的數字化，內審人員的技術敏銳性和IT風險知識變得更加重要。正如一家政府機構的CAE被問及如何更好地應對這些挑戰時所述，“將繼續在數據分析、移動風險、網絡安全風險和其他技術驅動風險等方面提高技能”。二是投資員工。數字化創新需要靈活、敏捷的內審人員，CAE建議通過增加針對性培訓努力使審計人員成為該領域的真正專家。

三、最佳實踐綜述

（一）內部審計要有“一席之地”

受訪CAEs給出的最常見和最重要的建議是確保內部審計在創新早期就了解所有重要創新。理想情況下，這意味著內審應在創新決策過程中擁有一席之地。所有CAEs都認為，在創新決策時內審人員應在場，并提供關鍵風險和控制信息以幫助組織作出明智決策。

（二）有效溝通

確保內審人員與參與創新的其他人員（如管理層或負責創新的職業經理）進行有效溝通，可以從內審開始，但應貫穿整個過程。當一個新的流程、技術或產品無法奏效時，對公司而言，更好的做法是迅速找出問題，并在問題失控前減少損失，否則將面臨嚴重的聲譽和市場影響。在創新實施過程中與內部審計溝通，提高及時評估的可能性，并就創新實踐向管理層提供有意義的建議。

（三）強有力的治理

有的單位員工、業務部門在不遵循整個組織創新治理策略或政策的情況下自行創新，導致內審始終不了解創新情況而無法提供指導;或在整個組織中實施了類似但不同的創新，這些創新幾乎不可能進行比較和評估;進行復雜數據分析之類的創新，以無法確認數據完整性或違反數據訪問策略的方式進行。這三種情況，均缺乏強大、協調一致的治理結構，都會使組織面臨巨大風險，若采取有效的預見、治理和有意義的溝通，則可避免這三種情況。

（四）發揮內部審計在企業風險管理中的作用

為確保內審了解正在討論和實施的所有創新，CAEs建議內審參與到ERM中來，盡早了解組織所有風險的重要性，以根據需要在審計中處理風險。

（五）內審人員本身應是創新者

內審人員應是組織的引導者，應努力創新實踐，更有效地為組織增加價值。作為風險方面的專家，組織應依靠內部審計了解影響該行業和領域其他組織的創新。通過參與專業組織、出席會議以及廣泛的培訓，內審甚至應在本組織開始探索前就了解可能發生的變化。廣泛影響組織的各種革新也可能影響內審，如數據分析、機器人、人工智能、敏捷過程和無人機技術等實踐，可在組織實施前用于內審，通過內審創新，為組織決策提供依據。

（六）培養必備技能

組織一旦實施了創新，無論是在洞察力還是提供保證服務方面，重要的是內部審計人員必須具有一定的技能滿足組織需求。技術上的洞察力和IT知識變得越來越重要，但對內審人員來說，更重要的可能是保持求知欲和靈活性，并愿意了解新實踐和新技術，保持快速學習的能力至關重要。

四、結論

當組織創新時，意味著管理層、董事會和審計委員會需要根據新的信息來履行職責，而內審必須保證新的審計目標。技術和管理正以閃電般的速度發生變化，組織需要具備識別大量潛在風險的眼光和知識，內審必須認識到其在支持整個組織技術變革方面的作用，以便利益相關者及時得到相關信息。

理想情況下，內部審計應盡早、主動地評估創新的潛在風險，以便組織利用這些深刻洞見來進行創新決策。內審部門必須建立一套制度或程序，以迅速查明與組織革新有關的風險。創新不僅能改變一個業務部門，而且能改變整個組織甚至整個行業。內部審計應借此機會給予利益相關者獨立的見解和評估的遠見，通過咨詢活動為創新及在創新環境中創造附加值提供寶貴的視角。

受訪者認為，管理層缺乏認識是妨礙更好地擬訂內審計劃以促進創新的障礙。創新不僅僅是“時髦詞”，必須得到認真實施和監督。最終內審面臨的挑戰是識別和理解組織引入新技術所帶來的風險和機會。在創新背景下，作為可信賴的顧問，若內審能夠主動解決新問題，則可創造額外附加價值。內部審計作為提供獨立、客觀的監督和評價機構，可能不是組織創新的“先鋒”，但通過對創新和創新方法進行審查，可以進一步促進組織價值增值。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）