内部审计客户和其他利益相关者,时不时对我们的职业抱有不切实际的期望。因此,人们对我们的角色可能存在困惑也就不足为奇了我谋洪荒。毕竟大宋美人传,内部审计师的职责很多。我们是分析师、控制专家、顾问、教师、商业伙伴、监管者、财务顾问、合规专家,还可以是其他角色。我们真的可以审计几乎任何事情。然而,有些风险显然需要额外的专业知识来审计,正如我在2014年的一篇博文中所写的那样钱映伊,《你无需成为马戏团里的审计小丑》。那时,我指出,虽然我们可能会审计任何事情,但我们不会对所有的事情都进行审计。
每当重大的控制失败成为头条新闻时,总会有人问:“内部审计师在哪里?” 事实上,正如我们在过去一年中经锦上添花造句常看到的,内部审计人员做了大量的工作,他们在灾难来临前发出了警告。然而,令人遗憾的是肖一鸣,管理层并没有满意地回应这些警告。考虑到当今许多组织的规模和复杂性陶天月,需要非常大的内部审计机构来处理组织所面临的所有风险。有时,根本没有足够的内部审计资源来覆盖所有重大风险,更为严重的是,有时内部审计也会忽视被证明是灾难性的关键风险。
充其量,内部审计职能的有效性是与既有资源、培训和人才的投入密切相关的吴岱豪。内部审计人员并非绝对正确鳄冰鱼,鉴于预算和成本的现实理由,我们也不可能审计一切。
这可能导致对内部审计人员能做什么或正在解决什么的期望差和误解。近年来的几项研究发现,内部审计师、审计委员会主席、董事会成员和高级管理层对公司如何管理舞弊和道德风险的看法存在巨大差异。普华永道几年前的一项研究显示,53%的审计委员会主席、董事会成员和高级管理人员认为舞弊和道德风险管理得很好,而只有35%的CAEs对此予以认同军政联姻。
英国公司治理和舞弊问题顾问彼得?蒂克纳(Peter Tickner)认为,谁应该对反舞弊负责、谁应该对道德文化的设定和评估负责,人们的看法存在分歧。Tickner指出:“最高管理层确信,首席审计官的关键职责之一是积极应对舞弊和贪污的风险;而CAEs通常将其视为高级管理层的问题和责任。”
如果Tickner是对的,那么有必要认真审视各自在“风险管理三道防线”中的角色和责任了。
不幸的是,我们的利益相关者有时期望得到超出我们能力范围之外的保障。一个很好的例子是在网络安全领域。根据波耐蒙研究所(Ponemon Institute)的数据炸三中,2017年,70%的组织表示它们的安全风险显著增加宋大德。正如Barkly公司的乔纳森盛世官商?克罗(Jonathan Crowe)最近指出的那样,“2018年伊始ca1415,随着处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)的惊人曝光,地球上几乎的所有操作系统和设备都置于危险之中。”
这些数据的确令人震惊。然而,显而易见的是,内部审计师无法对其组织的网络安全控制给出绝对的保证。当涉及到风险和控制时神鼎仙根,我们可以提供重要的保证威廉·密里根,但我们不能给予无限的保证。而且,虽然提供保证是内部审计人员的重要作用,初中什么时候开学但我们必须防止作出虚假的保证。
客户的期望不是在真空中生成的张文露。客户们可能存在不切实际的期望,仅仅因为他们“选择性的倾听”,但问题的部分原因也可能源自我们。期望差可能来自某些我们说过或做过的事情,也可能来自我们说这件事情的方式,或者,可能来自我们的沉默。
我们总是解释我们能为我们的组织做什么,以及我们如何为组织增加价值。对于利益相关者而言周宾浩,了解内部审计的好处是很重要的,因此我们将这些信息贯穿到我们的章程、公告备忘录、项目开始时的进点会议,以及其他沟通过程中。然而,尽管我们可能擅长解释内部审计的作用,但也许我们还应该多花一点时间来解释我们能力的潜在限制,像传统的客户服务准则一样,我们应该“低承诺,高回报”。
无论内部审计做什么,风险都无处不在。无论保护我们组织的内部审计人员的数量或质量如何,某些灾难肯定会发生。当危机发生时,组织中的所有目光都可能转向内部审计来评估原因和后果。战前女神的热捧歌曲《我奔向你》唱得好:“这个世界一直在以更快的速度旋转,演变成一场新的灾难,所以我奔向你雪之梦钢琴谱。”管理层和董事会在风险或控制失败后转向内部审计是自然而然的。尽管我们可以在失败之前评估关键风险,但我们不能对所有事情都进行审计。在设定关键的利益相关者期望时,我们需要不断地予以强调。陈硕嵩
文章来源:审计之家
文章选取:钱荷云
本文编辑:张蕾