以下内容是根据国际内部审计师协会(The Institute of Internal Auditors,简称IIA)全球理事会 2023-2024 年度主席安·皮特(S. Ann Pitt)女士在一次大会上的演讲整理并翻译成中文,为了便于阅读,CIA内审师小站对现场的一些主持、互动及重复内容进行了适度精简和整理,但核心演讲要点与信息均完整保留。演讲嘉宾介绍:
 IIA(国际内部审计师协会)全球理事会 2023-2024 年度主席——安·皮特(S. Ann Pitt)女士。安女士已在 IIA 全球理事会担任理事超过五年,同时也是澳大利亚内部审计师协会(IIA-Australia)的资深会员,持有国际注册内部审计师(CIA)和政府审计相关专业认证。

在本次大会上,安·皮特女士将为我们带来以「内部审计行业现状」为主题的精彩演讲,分享全球内部审计所面临的主要风险和趋势,并介绍 IIA 在应对这些挑战方面所做的工作与未来规划。

一、全球主要商业风险概览

1. 风险调研背景
IIA 在过去一年拓展了源自欧洲的“Risk in Focus(聚焦风险)”研究项目,覆盖全球各地区,旨在调查和分析当下及未来几年组织所面临的主要风险领域。本次调研在全球范围内收集了超过 4000 份反馈,其中来自亚太地区的受访者超过 1000 人,是所有地区中数量最多的。调研主要探讨了“当下的关键风险”“未来 3 年内最值得关注的风险”以及“内部审计在未来 3 年将主要投入哪些领域”等问题。2. 当前前五大风险
从亚太地区反馈来看,当前最突出的五大风险依次是:✅网络安全(Cybersecurity)✅业务连续性(Business Continuity)✅人才管理(Human Capital)——主要指吸引、留住并培养合适的人才✅市场变化(Market Changes)✅监管变革(Regulatory Change) 3. 未来 3 年内前五大风险
当被问及未来 3 年哪些风险将更加凸显时,结果发生了些许变化:✅网络安全继续保持高位✅数字化颠覆(Digital Disruption)从原先的较后位置跃升到第二✅业务连续性依然重要✅气候变化(Climate Change)从第 11 位上升到第 5 位✅监管变化和市场变化仍在前列这里最值得注意的是:尽管数字化颠覆和气候变化在未来将显得越发重要,但很多内部审计职能部门并没有将它们列为未来最投入精力的前五大领域。这种“风险优先级”与“审计投入”不匹配的现象,正是我们需要进一步思考的地方。

大重点风险领域及内部审计应对

在众多风险中,本次主要聚焦四大方面:网络安全、数字化颠覆、ESG(环境、社会与治理)以及人力资本。演讲旨在帮助内部审计人员更好地了解相关风险来源、潜在影响,并分享可行的应对思路。

1. 网络安全(Cybersecurity)

风险规模: 有研究显示,全球范围内网络安全事件所造成的损失在 2022 年高达 8 万亿美元,并预计 2023 年将达 9.5 万亿美元,2024 年可能超过 10.5 万亿美元。如此庞大的数字足以反映此类风险对组织造成的沉重经济与声誉压力。

主要关注点:

    1. 企业声誉风险:一旦发生网络攻击,往往会对组织声誉造成严重影响。

    2. 数据泄露:由此引发的合规、法律和公众信任问题日益突出。

    3. 供应链中断:网络攻击可能引发上下游的持续性运营风险。

  • 威胁来源:

    1. 有组织的网络犯罪团伙,主要以营利为目标。

    2. 黑客群体,他们有时只是出于技术挑战或炫耀心理。

    3. 内部人员:员工、内部承包商等,这一点对内部审计而言尤为关键。
  • 攻击方式: 社交工程(Social Engineering)、高级持续性威胁(APT)以及勒索软件(Ransomware)最常见。

    内部审计建议:

    1. 审视首席信息官(CIO)、首席信息安全官(CISO)与董事会之间的信息传递与职责分工,确保治理架构有效。

    2. 关注组织对于数据结构的管理,包括对数据安全、准确性的监督。

    3. 评估组织在应对网络安全全球趋势时的前瞻性、投入度以及对相关技术的应用情况。

2. 数字化颠覆(Digital Disruption)

数字化速度: 从 Netflix 花 3 年半时间拥有 100 万用户,到 ChatGPT 仅用数天就突破 100 万用户,数字化转型的节奏正在前所未有地加快。对组织的挑战与机遇: 数字技术正改变行业格局,人工智能、大数据、自动化等不断冲击和改造企业的业务模式,也带来全新的增长机会。

内部审计现状:

    • 来自 IIA “Vision 2035” 项目研究显示,亚太区内部审计部门对 AI(人工智能)的应用仍处在相对早期阶段。

    • 更令人担忧的是,在调查中,亚太地区有 62% 的内部审计团队尚未对 AI 做任何实际部署或探索,甚至连计划都没有。

  • 内部审计建议:

    1. 与管理层就新兴技术的风险和机遇保持紧密沟通,进行前瞻性的风险识别与评估。

    2. 评估组织对数字化颠覆的理解和准备程度,帮助组织平衡风控与创新。

    3. 内部审计自身也应积极拥抱数字化工具与方法,提高审计效率和洞察力。

3. ESG(环境、社会与治理)

价值结构转变: 过去,企业主要以有形资产占据价值核心,如今,无形资产(声誉、知识产权、可持续发展等)对企业估值的影响日益显著。
  • 宏观风险趋势:
    • 世界经济论坛预测,未来 2 年内,各大风险领域相对分散,包括经济、环境、社会、技术等方面。
    • 但展望未来 10 年,前十大风险几乎全部集中在 ESG 相关领域,包括环境风险(如气候变化)、社会风险(如虚假信息、社会动荡)和技术风险(如网络攻击、数据误用)。

      内部审计关注点:

    1. 确保组织对可持续发展相关指标的数据收集、管理和披露真实有效。

    2. 即使内部审计人员对 ESG 本身并非专家,也可从审计角度评估数据源、数据准确性和信息披露流程。

    3. 对企业的 ESG 战略和治理水平进行评估,为利益相关方提供更客观的信心。

4. 人力资本(Human Capital)

组织层面: 人力资本在吸引、培养和留住人才方面面临严峻挑战,内部审计也不例外。
  • 内部审计行业:
    • 技术领域人才匮乏最为突出,尤其是具备数字化审计、数据分析和 AI 应用能力的专业人员。
    • 招聘难度加剧:近年招聘到合适技能的内部审计人才变得越来越困难,技术技能的需求增长特别快。

  • 内部审计建议:

    1. 明确未来团队的核心能力需求,并有针对性地制订培训和人才引进策略。

    2. 重新审视组织的招聘和留用机制,对关键技术人才给予更多关注。

    3. 同时关注组织整体的人力资源政策是否足以应对数字化、监管及市场的快速变化。

       

三、IIA 在促进内部审计行业发展中的工作

安·皮特女士强调,IIA 在全球范围内有近 25 万名会员,分布于 117 个国家或地区协会,覆盖了 170 多个国家和地区,是一个庞大而有影响力的专业组织。过去一年多来,IIA 在“ONE IIA(一个IIA)”的全球主题下,重点推进了以下工作:
  1. 全球风险报告:大力开展跨区域调研(如“Risk in Focus”),为内部审计师提供最新的风险视角。
  2. 倡导与监管对话:持续提升专业地位与影响力,与监管部门、政府机构等保持积极沟通,使内部审计在企业治理中拥有更重要的参与度与话语权。
  3. 建立合作伙伴关系:与其他专业团体或区域组织协同,共同推进内部审计的发展与价值提升。
  4. 催化小组(Catalyst Groups):凝聚来自全球不同地区和领域的专家智慧,为内部审计的创新与变革提出多元化的解决方案,而不仅仅依赖总部或少数团队。
  5. 拓展会员基础:从在校学生到职场转换人群,吸纳更多有潜力的专业人士加入 IIA 大家庭,为行业的可持续发展注入新的活力。
与此同时,IIA 建立了七年期的全球战略规划,希望通过循序渐进、分阶段的实施,推动内部审计行业在技术应用、人才培养、专业认可度等方面取得质的飞跃。
在演讲的最后,安·皮特女士总结道:
  1. 紧扣组织风险重点:内部审计要深入理解当前与未来的重大风险,并围绕它们展开最具价值的审计工作。
  2. 积极拥抱数字化:数字化颠覆既是风险,也是机遇。我们应结合技术手段,改进审计模式,提高专业胜任能力。
  3. 强化人才战略:不断优化团队结构,重视技术与数据分析人才的培养和引进。
  4. 勇于思考与创新:在内外部环境变化日新月异的时代,内部审计应当跳出固有思维模式,为组织提供更多前瞻性建议。
她也呼吁全球内部审计同仁一道,充分利用 IIA 的资源和平台,共同推动内部审计在组织治理和风险管理中发挥更大的作用。