在过去的几天里，我一直在研究最近的网络入侵事件，让我思考了内部审计如何在战略上利用内部审计报告进行书面沟通。这是一个简单的概念，具有潜在的深远影响。一名记者在Equifax公司（美国最大的征信结构之一）被黑客入侵事件中写道:

如果在Equifax公司过去五年的年度报告中进行关键词搜索，如搜索风险管理、网络风险、客户隐私、数据安全、数据泄露或信息安全等显示风险意识的词汇，你会发现这些关键词几乎没有出现过。事实上，“网络风险”这个词在过去5年的任何一个信用机构的年度报告中都没有出现过。

我们现在知道，在网络入侵事件中，黑客盗取了Equifax公司客户的个人信息——出生日期、姓名、家庭住址、驾驶执照、社会保险和信用卡号码等，影响了超过半数的美国成年人。事后看来，我认为这些词的明显缺失与该公司的网络安全文化有着直接的关联。

让我们一起来想一想…...如果我们也用一些关键词去搜索过去的内部审计报告,我们会发现什么?董事会、审计委员会和高级管理层是否看到了他们需要看到的东西?我们用什么关键词来影响组织积极的经营成果?这些关键词是遵循还是挑战组织的文化?

考虑到这个问题，结合我自己的研究和与业内领导者的互动，我列出了在接下来的12—18个月里，我会定期在审计报告中披露的5个关键词：

1.网络安全

这是最重要的，但是IIA的调查结果告诉我们，由于缺乏资金和缺少拥有专业知识的员工，大部分内审部门仍在回避这一问题。这是必须解决的重要问题，内审部门可以选择合作、外包或者付出高额费用来聘请拥有相关专业知识的人才。否则，这个问题仍会困扰董事会，甚至会阻碍内部审计的提升。

2.文化

在过去的一年里，很多关于企业文化的文章都写过了，而且它仍然是董事会的首要任务。文化是一个抽象的概念，而且我也不建议一次性把它全部解决。也就是说，文化是审计过程中发现的大多数问题的根源，并且必须被挑战，直到达成持久的解决方案。

3.转型

我最近经常听到这个词，几乎成了陈词滥调。然而，这个词被大量使用，并不意味着它不涉及潜在的风险。我最近写了一篇关于“内部审计数字化转型势在必行”的文章。内部审计的转型涉及三个变化——利益相关者需求的变化、竞争格局的变化、技术的变化，这在组织中引起共鸣，应该作为内部审计报告的一部分加以探讨。

4.人才

人才是每个组织的核心，并且能够让组织持续运转。高效率地部署胜任的人才才能推动组织成功。但是如果做得不好，就会导致组织的失败。解决人才问题可能会很棘手，但对组织绩效至关重要。

5.数据

无论是数据分析、数据科学、数据治理、数据安全，还是简单的大数据，我们都可以认为数据是交织在一起的。越来越多的组织依赖数据分析进行决策。确保数据的完整性、准确性、可靠性和道德使用对内部审计的相关性至关重要。

这些只是一些应该在2018年得到关注的关键词，还有很多其他的关键词可能与你和你的组织有关。重要的是，内部审计人员需要仔细考虑选择的关键词，关键词不仅应当反映利益相关者所关注的问题，还应当对组织的发展产生积极的影响。

本文源于IIA

作者：Jim Pelletier

发表于2018年1月19日

译者：Zero.G