编者按: 这是为期一周的ISACA Now系列的第一篇,展望数字信任领域从业者的首要任务. 请看即将发布的文章,探讨2022年安全领域的首要任务, 风险, 隐私, 治理和新兴技术.
过去的两年对每个人来说都很难熬. 大多数人仍在学习如何以不同的方式工作,并重新评估他们的策略,以便在最糟糕的赛季中取得最好的成绩. 我记得我们被封锁的时候, 我们的团队和CEO开了个会, 他要求, “现在我们被封锁了, 你打算怎么做? 你是否还能进行审计,或者你已经停止工作了?”
我相信,这个问题不仅适用于审计组,也适用于不同的部门——或者至少我希望我们不是唯一在疫情期间价值似乎受到侵蚀的部门. 几个月后,我读到了一篇文章 澳大利亚内部审计师协会的文章 题为“概况介绍:内部审计和流行病”."它提供了关于各组织管理大流行病过程的审计准则. The article provided great recommendations; however, 下面这些话引起了我的注意,它们把我带回到我们和CEO的谈话中:
- 声明1: “内部审计部门暂时退出,给业务部门喘息的空间,让它们继续处理危机,对该组织最有利。.”
- 声明2: “非核心业务活动,如内部审计,可以提供人员来填补空白或执行特定的角色,以帮助补救和恢复工作.”
- 声明3: “帮助公司完成任何需要做的事情, 即使这意味着要承担剥夺内部审计独立性的角色和任务.”
该文件提供了关于审计可以发挥的特定于保证的作用的指导方针,而不仅仅是关注审计师可以帮助组织的“填补空白的可能性”.
过去两年对所有人来说都是一次重新学习的旅程, 而且,疫情似乎可能会持续太久. 找到可行的解决方案是我们都需要的. 以下是我认为审计机构在2022年及以后应该关注的三大优先事项:
优先事项#1:审计策略
像任何业务单位或服务一样, 审计人员需要制定策略,以确保他们的工作保持相关性和有用性. 过去两年,我们一直致力于确保在我们组织的运营模式中建立弹性. 展望未来, 部分重点将是确保在提供审计服务方面产生明显影响.
敏捷审计过程承诺了这样一种方法. 该流程采用更动态的方法来审计工作,重点是深入了解问题并缩短解决时间, 合作的方法.
大流行开始时的战略之一, 当时我们处于封锁状态,情况不明朗, 是更注重咨询任务吗, 从本质上讲,哪些利用审核员的知识来协助管理层解决具体问题, 棘手的问题. 敏捷方法为保证审计带来了相同的动态. 我相信从2022年以后, 审核员将致力于构建明确强调其工作影响并为组织带来价值的策略. 什么是关键, 虽然, 确保审计团队采取的任何方法, 明确定义并向组织推销审计策略.
优先事项2:风险评估方法
风险管理框架对于确保风险评估过程容易进行并产生高质量产出至关重要. ISO 31000:2018将其概述为风险过程的一部分, 范围, 背景和标准应明确界定.
在大流行之前, 针对健康相关风险的组织风险评估简单且非常理论化. 如果我们都能分享关于大流行的可能性和影响的风险记录, 根据2019年我们目前的评估来衡量, 可能性和影响评级将会非常不同.
然而, 我们的公共卫生专家和医疗从业人员已经掌握并熟知关于大流行病和管理大流行病的知识. 大流行并非完全是一个盲区, 只是大多数组织没有为健康危机做好准备,就像它们为其他危机做好准备一样, 更具体的危机类型.
确定未来的风险标准和风险模型将需要一种更加集中和协作的方法. 在过去的一年, 各组织聘请了公共保健专家, 心理学家和医生要清楚地了解健康风险. 此次大流行暴露了各组织需要加强合作的若干领域, 比如理解供应链, 外交关系和, 在一般情况下, 不同行业系统性失灵的影响, 还可以接触到各行各业的不同专家.
2022年及以后的审计人员应评估用于识别和评估其组织内风险的风险标准和模型的稳健性和实用性. 他们应该探索组织如何在构建风险场景中应用协作方法来全面评估风险. 风险评估过程的范围和背景不应局限于过去所采用的判断方法.
优先事项#3:执行审计的数字化策略
展望未来, 审计人员不仅需要能够审计新兴技术的技能,还需要能够审计新兴技术的技能, 审计人员需要开始在执行审计时集成新兴技术的使用.
在我的桌面基准测试中, 我对亚洲开发银行(Asian Development Bank)在审计过程中采用无人机和bot感到惊讶, 揭示新兴技术将如何改变审计的战略地位,提高审计效率. 世行使用无人机审查基础设施项目,使用机器人审查贷款申请流程.
同样,普华永道也在其库存统计中采用了无人机. 2022年及以后, 审计机构将不得不想方设法利用新兴技术为自己谋利. 这些准备工作将包括为这些发展制定预算和建立强有力的商业案例.
举个例子, 当我们聘请提供机器人解决方案的数据分析软件供应商时, 我们注意到实现价值超过了我们分析预算的200%! 尽管花费巨大, 采用这种技术的必要性是必不可少的,审计师在与审计委员会和董事会接触时,需要准备好开始游说,争取更多的资金.
超越补缝
有人可能会说,当审计工作做得很好,它在组织中的作用是可见的, 我们团队两年前面临的问题不应该是恐吓性的,工作应该是自我促进的. 审计提供的支持服务不应被视为“填补空白”,而应被视为确保组织保持弹性的战略投入.
展望2022年, 通过采用有效的审计策略,审核员可以发挥杠杆作用,为组织带来适当的影响, 品牌化审计工作, 就采用协作风险评估方法和在审计过程中实施新兴技术提供咨询意见.