内部审计报告应包含的5个关键词
在过去的几天里,我一直在研究最近的网络入侵事件,让我思考了内部审计如何在战略上利用内部审计报告进行书面沟通。这是一个简单的概念,具有潜在的深远影响。一名记者在Equifax公司(美国最大的征信结构之一)被黑客入侵事件中写道:
在过去的几天里,我一直在研究最近的网络入侵事件,让我思考了内部审计如何在战略上利用内部审计报告进行书面沟通。这是一个简单的概念,具有潜在的深远影响。一名记者在Equifax公司(美国最大的征信结构之一)被黑客入侵事件中写道:
如果在Equifax公司过去五年的年度报告中进行关键词搜索,如搜索风险管理、网络风险、客户隐私、数据安全、数据泄露或信息安全等显示风险意识的词汇,你会发现这些关键词几乎没有出现过。事实上,“网络风险”这个词在过去5年的任何一个信用机构的年度报告中都没有出现过。
我们现在知道,在网络入侵事件中,黑客盗取了Equifax公司客户的个人信息——出生日期、姓名、家庭住址、驾驶执照、社会保险和信用卡号码等,影响了超过半数的美国成年人。事后看来,我认为这些词的明显缺失与该公司的网络安全文化有着直接的关联。
让我们一起来想一想…...如果我们也用一些关键词去搜索过去的内部审计报告,我们会发现什么?董事会、审计委员会和高级管理层是否看到了他们需要看到的东西?我们用什么关键词来影响组织积极的经营成果?这些关键词是遵循还是挑战组织的文化?
考虑到这个问题,结合我自己的研究和与业内领导者的互动,我列出了在接下来的12—18个月里,我会定期在审计报告中披露的5个关键词:
1.网络安全
这是最重要的,但是IIA的调查结果告诉我们,由于缺乏资金和缺少拥有专业知识的员工,大部分内审部门仍在回避这一问题。这是必须解决的重要问题,内审部门可以选择合作、外包或者付出高额费用来聘请拥有相关专业知识的人才。否则,这个问题仍会困扰董事会,甚至会阻碍内部审计的提升。
2.文化
在过去的一年里,很多关于企业文化的文章都写过了,而且它仍然是董事会的首要任务。文化是一个抽象的概念,而且我也不建议一次性把它全部解决。也就是说,文化是审计过程中发现的大多数问题的根源,并且必须被挑战,直到达成持久的解决方案。
3.转型
我最近经常听到这个词,几乎成了陈词滥调。然而,这个词被大量使用,并不意味着它不涉及潜在的风险。我最近写了一篇关于“内部审计数字化转型势在必行”的文章。内部审计的转型涉及三个变化——利益相关者需求的变化、竞争格局的变化、技术的变化,这在组织中引起共鸣,应该作为内部审计报告的一部分加以探讨。
4.人才
人才是每个组织的核心,并且能够让组织持续运转。高效率地部署胜任的人才才能推动组织成功。但是如果做得不好,就会导致组织的失败。解决人才问题可能会很棘手,但对组织绩效至关重要。
5.数据
无论是数据分析、数据科学、数据治理、数据安全,还是简单的大数据,我们都可以认为数据是交织在一起的。越来越多的组织依赖数据分析进行决策。确保数据的完整性、准确性、可靠性和道德使用对内部审计的相关性至关重要。
这些只是一些应该在2018年得到关注的关键词,还有很多其他的关键词可能与你和你的组织有关。重要的是,内部审计人员需要仔细考虑选择的关键词,关键词不仅应当反映利益相关者所关注的问题,还应当对组织的发展产生积极的影响。
本文源于IIA
作者:Jim Pelletier
发表于2018年1月19日
译者:Zero.G