【观点】内部审计应更多关注高风险领域

　　国际内部审计师协会下属的审计执行中心自2011年开始，每年都发布针对北美内部审计最新发展趋势的内部审计职业脉搏调查报告(以下称“脉搏报告”)。脉搏报告2019年主题为《动态风险状态下理解一致性》。基于对500多名北美首席审计执行官进行的调查，脉搏报告认为网络安全和数据保护、第三方风险、新兴和异常风险以及董事会和管理层活动是组织未来需要应对的四个重要风险领域，而内部审计应当思考与董事会和管理层在风险观上保持一致，提供更好的风险预警和应对方案，并在以上四个领域扩大审计覆盖范围。这四个方面的风险领域，应当成为我国今后内部审计关注的重点。

　　重视网络安全风险

　　2016至2018年，连续三年的脉搏报告显示，内部审计对网络安全和IT方面的关注度逐年提升，首席审计执行官将网络安全列为组织最大风险的比例从60%升至68%，将IT列为最高风险的比例从39%上升至53%。根据2019年的脉搏报告，70%的受访首席审计执行官最担心网络入侵带来的公司名誉上的损害。

　　随着组织及其内部审计信息化水平的提升，信息安全的风险逐步凸显。一方面，信息系统可能遭遇网络黑客攻击，导致数据丢失和秘密泄露;另一方面，信息系统本身存在设计缺陷或者漏洞，运行中出现数据丢失或者被组织内部员工或者外部客户盗取的风险，可能会给组织带来不可估量的损失。面向未来，内部审计机构应当高度关注信息安全，大力开展信息系统审计，将网络安全纳入审计内容，还可以根据组织的具体情况，开展信息系统专项审计。

　　重视对第三方风险的审计

　　第三方风险主要包括两个方面：一是来自商业伙伴的风险。当前，第三方风险已不局限于传统的供应商和客户层面，而是由供应商在内的供应链要素延伸到外部，包括联合营销企业、权益投资等各种广泛合作的形式。二是来自外包服务的风险，包括一些企业将非核心业务流程的外包，如果不能对外包服务提供者进行必要的限制，内控缺失导致安全风险的上升几率变化加大。全球化背景下，我国企业实施走出去战略，进入新兴市场，与更多商业伙伴建立联系，也会将更多业务外包出去，面临着更高的合规风险、道德风险和信息风险。脉搏报告显示，首席审计执行官们普遍担心组织选择和监督供应商或服务商时产生的相关风险，近半数认为组织对第三方关系的监督比较弱。随着数字化、数据共享及对第三方关系监管的弱化，与第三方相关的风险变得更为复杂，给组织带来声誉上损害的风险加大。内部审计机构应当密切关注、收集和分析来自组织第三方的风险，及时评估第三方的风险信息，审查评价组织对重要业务伙伴尽职调查程序设计的合理性，以及相关政策和程序执行的有效性，防范第三方风险带来的损害。

　　关注新兴风险和异常风险领域

　　由于变动不居的地缘政治因素、经济的转型和科技的飞速发展，组织面临着更多新兴风险和异常风险的挑战。脉搏报告显示，受访的CAE中，80%多都对组织识别和评估新兴和异常风险的能力有足够的信心。但实际上管理层经常被猝不及防的风险弄得手忙脚乱。内部审计应当利用自身优势，时刻关注科技发展等各类因素带来的新兴风险和异常风险，保持敏感性，及时为董事会或管理层提供风险信息。

　　重视与董事会或管理层沟通风险信息

　　在各种风险凸显的情况下，董事会或最高管理层关注的重点领域是高风险的业务领域，以及风险出现后如何化解风险的问题。内部审计机构应当就董事会或最高管理层关注的领域日常沟通和交流，密切关注业务领域的高风险点和最新动态，及时与董事会或管理层沟通讨论业务管理重点，及时调整内部审计年度计划，更好地服务于组织。脉搏报告显示，即使网络和IT问题已是首要的风险，但内部审计计划仍然把更多的资源配置给常规、低风险的领域，如运营审计、合规审计和财务报告审计。董事会面临着股东和外部监管机构的更多压力，迫切需要与战略决策相关的信息，而这也正是内部审计发挥作用的重要机遇。内部审计的重要价值就是向组织提供风险预警和评估，为组织防范风险发挥重要作用。因此内部审计应当不断更新内部审计理念，确立风险导向和问题导向，及时向董事会或高管层及时汇报风险未有效管理的情况，确保董事会全面、充分和及时地了解各类风险信息。

　　内部审计必须与董事会和管理层在风险观上保持协调和一致，及时对风险管理的有效性提供及时确认。我国内部审计应高度重视信息系统审计、风险管理审计、第三方审计等类型审计，及时向组织董事会或管理层沟通风险信息，助力组织防范风险和健康发展。(中国内部审计协会 尤广辉)