思维模式很重要: IT 审计向新常态的永久转变

2020 年 3 月 11 日，也就是在中国武汉发现首批新冠病例仅两个月后，世界卫生组织正式宣布新冠肺炎可以定性为大流行。八天后，美国加利福尼亚州成为第一个发布居家 令的州，要求所有居民除了执行必要工作或购买必需品之外，必须留在家中。

这两个关键日期之后大流行的发展，让世界各地的企业都面临着前所未有的挑战，内部审计部门也是如此。有些企业的准备工作做得较为充足，已经采取措施提高其敏捷性和适应能力。有些企业仍处于实施变革的过程中，还有一些企业缺乏准备，不得不仓促进行思维模式和行为上的必要调整。无论内部审计团队和支持他们的业务合作伙伴是否做好准备，大流行都极大地加速了进行中的形势演变。

到目前为止所述的内容，想必大家都不陌生。不太确定的是，审计团队能否适应长期的远程工作场所、IT 安全和职能部门面临的新挑战、面对面互动减少以及在许多情况下发生的资源减少现象。我们已经无法回到大流行之前的环境了。行业和组织不应将新冠肺炎视为需要处理的问题，而是必须认清他们在大流行后世界中实现的正常运营和繁荣发展将会是什么样子。

内部审计部门，包括侧重于 IT 审计的部门，都必须不断发展以应对组织在以下四个领域面临的挑战：

1. 远程员工
2. 审计规划
3. 技术
4. 内部审计能力

远程员工

为了努力缓解新冠肺炎的传播，许多员工不得不采用 远程办公模式（大多是第一次这样办公），因此与资产、治理、信息安全和审计范围相关的风险自然就会增加。此外，企业必须应对商业环境的混乱、声誉和可持续发展不确定性的增加，以及实施更多创新工具和技能的需求。这些结果给内部审计部门造成了更大的负担，审计部门必须适应形势的动态发展，同时确保安全监督。在许多情况下，内部审计从业人员不得不使用更少的资源在更紧迫的期限内提供更广泛的服务，达到事半功倍的效果。 麦肯锡公司用以下见解总结了这种情况：“总体情况是一致的 必须跟上新常态的发展步调，并解锁更高效的鉴证流程。”¹

这种新常态的一个关键方面是，员工喜欢或者已经习惯于远程办公，即使在保证安全的情况下也不愿意重新恢复在交通高峰期上下班。如果要求某些员工重返办公室，他们可能会担心感染新冠肺炎（或在不知不觉中感染他人）。这些问题要求首席审计执行官(CAE) 充分利用他们的情商，并且在某些情况下，在制定员工重返办公室（或不重返办公室）的计划时承担顾问的角色，确保内部审计部门的正常运作，并解决团队成员的需求，帮助员工消除恐惧心理。

CAE 需要密切关注团队成员的心理健康，这同样很重要。随着数周变成数月，数月可能变成数年，远程办公的孤独感可能会影响员工的士气。内部审计员工曾经很喜欢与同事日常的面对面互动，但自新冠肺炎大流行以来，他们再也没有这样的机会了。在大流行后的世界中，如果企业决定部分、大部分或全部内部审计员工将继续采用远程办公模式，领导者将不得不想办法减轻因独立办公而产生的压力和焦虑。“员工士气通常有起伏，但这种 [大流行] 导致员工士气低落的时间更长，程度更深。”²

在不久的将来，内部审计部门必须增加其多功能性，同时将资源重新部署到最需要的领域。

远程办公带来的另一个挑战是如何帮助审计师方便地使用技术资产。对于设施访问受限的 IT 审计团队，必须将物理访问纳入审计规划，与考虑旅行计划的程度相同。标准审计业务计划必须说明是否需要物理访问硬件、何时应允许访问以及如何在多个业务中实现该活动价值的最大化。

审计规划

审计部门内发生了明显的转变，现在重点是关注新出 现的风险因素和重塑审计计划，以便员工能够充分参与并足够灵活地处理特殊项目。在不久的将来，内部审计部门必须增加多功能性，并将资源重新部署到最需要的领域。这种战略上的变化必须与更快的业务周期和更大的复杂性无缝交互。内部审计职能部门可能必须将注意力转移到过去不被视为高风险（或任何风险）的领域。例如，鉴于工作环境的变化：

监督和职责分离等基本控制步骤可能会受 到影响——在公司依赖技术解决方法排除物理监督和问询的情况下尤其如此。与此同 时，远程技术延迟问题可能会影响对时间 敏感的流程。³

技术

在不远的将来，内部审计部门需要采用技术履行其自 身角色和职能。要能识别控制弱点，这直接关系到尽早识别新出现的风险因素。为此，必须将组织资源投 入到高级分析技术方面。通过这方面的投入，内部审 计部门将有能力优先执行可反映高度动态的内外部环境的审计与测试。他们将有能力履行更广泛的职能， 同时实现更高的准确性，这些职能包括风险评估、审计规划和执行。

随着内部审计师进入远程办公模式，团队面临着采用 更复杂的技术元素时带来的挑战，包括：

• 现场侦查—让当地员工进行虚拟现场访问，记录视频和音频信息并传回给总部的审计经理
• 违反职责分离 (SoD) 规定—从 IT 报告中检索安全和SoD 违规情况、错误和警报，以评估治理、风险与合规 (GRC)
• 历史模式—使用历史数据计算和评估企业按时间顺序发展的潜在模式
• 数据共享—使用在线共享工具实现对特定文件夹和信息的直接访问（无需再请求访问数据或文档）
• 数据分析—使用高级数据分析选项，包括流程挖掘、相关性分析以及例外情况或异常搜索⁴

审计师受到来自两方面的压力。一方面，由于远程办公环境（以及更普遍的在线生活方式），企业更容易受到欺诈和网络安全攻击，导致内部控制发生重大变化。另一方面，由于可能出现裁员和资源限制的情况，内部审计部门面临着严峻的形势。但由于对工作的期望和标准都没有改变，因此新冠肺炎迫使内部审计部门不得不寻找新的方式履行其职能。审计师必须利用：

…现有技术和新技术进行远程审计，从提取 和分析远程数据到使用无人机技术进行库存盘点…这需要遵守既定标准并向利益相关者 提供鉴证，才能完成这些新的运作方式。⁵

然而，新技术往往伴随着新的挑战。如果新冠大流行之后内部审计团队仍然部分采用远程办公模式，则企业需要确保更高水平的信息安全并投入更多资源为员工提供足够的计算机访问权限。预计企业将继续“投资于基础设施分析和基于安全的工具……以实现高效的远程审计办公。”⁶

无论内部审计部门面临怎样的挑战，很明显他们不能只把注意力放在远程审计上面。他们必须继续致力于“使用技术转变基础流程，以实现三个目标：相较于传统审计流程实现更高质量的审计、更有效的审计和更好的业务洞察力等。”⁷

如果新冠大流行之后内部审计团队仍然部分采用远程办公模式，则企业需要确保更高水平的信息安全并投入更多资源为员工提供足够的计算机访问权限。

内部审计能力

由于资源紧张，审计职能部门承担了更多责任，CAE 不仅必须重新设想内部审计部门的形式和构成，还要重新设想其团队成员。远程审计方法自然适合于测试团队成员的弹性、技能和能力。尽管面临新的挑战和不断变化的环境，审计师需要提高几项宝贵技能以保持审计动力：

• 批判性思维—收集、验证、分析或评估及解释数据并得出结论
• 演绎推理—以针对逻辑和明确定义的前提条件的理解和建议为基础，包括内部 SoD 规则或标准；记录在案的程序、指南和政策；基于内部控制系统 (ICS) 框架的控制要求
• 归纳推理—针对所提供证据（如签名、首字母缩写和日期）和个人经验（如最佳实践知识）的客观解释的理解和建议为基础
• 弹性—具备应对多项并行活动的同时专注于关键事宜并与受审方保持联系的能力⁸

CAE 必须了解其团队的优势和劣势，这就需要能够评估人员技能和能力，将这些属性与修订后的审计策略对应，促进适当的职业发展，并熟练地将技能培养与员工目标和绩效评估保持同步。此外，CAE 必须在组织和团队的需求与他们对理想审计师的愿景之间取得平衡。这可能需要改变部门的资历级别、重新配置工作团队或变更审计人员。

如果需要做出改变，面临的问题会变为：是否有强大的人才库提供实现既定目标所需的员工？此外，这些新员工能否与现有团队成员很好地融合，从而实现无缝过渡？如果找不到新的人才，领导层有责任为现有人员提供机会，帮助他们获得必要的专业知识以取得理想的结果。

结论

CAE 若不愿转变思维模式或偏离一贯做法，则将无立 足之地。新冠肺炎不再是需要解决的突发事件。在许多方面，它无可辩驳地改变了审计行业的发展方向。相比可能做出的任何战术决策，更为重要的是，CAE 必须采用接受和关注当前现实的思维模式，并以开放的心态考虑必须做些什么才能在当今的新常态中取得成功，并在人才管理、审计规划和技术采用方面加以有效利用。一旦实现了这些目标，前进的道路可能会出奇地清晰。

尾注

¹ Kristensen, I.; M. Manocaran; E. Sannini; H. Usman; “Building the Internal-Audit Function of the Future,” 麦肯锡公司，2021 年 2 月 21 日, https://www.mckinsey.com/business-functions/risk-and-resilience/our-insights/building-the-internal-audit-function-of-the-future
² Kohnke, A.; “Sizing Up the Impact of COVID-19 and Remote Work on IT Auditors,” ISACA Now, 2020 年 12 月 3 日，https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2020/sizing-up-the-impact-of-covid19-and-remote-work-on-it-auditors
³ Op cit Kristensen et al.
⁴ Zupan, L.; “IA After COVID-19: New Skills and Capabilities Needed,” KPMG, 2020 年 11 月 11 日, https://home.kpmg/ch/en/blogs/home/posts/2020/11/ia-after-covid-new-skills.html
⁵ Kalia, N.; “How the Pandemic Is Accelerating the Future of Audit,” KPMG, 2020 年 10 月 19 日, https://home.kpmg/ca/en/home/insights/2020/10/how-the-pandemic-is-accelerating-the-future-of-audit.html
⁶ Parker, S.; “What Will the Future of Audit Work Look Like?” AuditBoard, 2020 年 7 月 8 日, https://www.auditboard.com/blog/future-audit-work/
⁷ Op cit Kalia
⁸ Op cit Zupan

KEVIN M. ALVERO | 注册信息系统审计师 (CISA)、数据隐私解决方案认证 工程师 (CDPSE)、注册舞弊检查师 (CFE)

尼尔森公司内部审计、合规与治理部门高级副总裁。他负责领导内部质量审 计程序及行业合规性计划，涵盖企业的全球媒体产品和服务。