10年前，也就是我担任IIA首席执行官的第一年即将结束的时候，我写了一篇博文，内容是回顾本世纪头十年里对内部审计产生巨大影响的事件。很难相信，今天又到了回顾第二个十年的时刻！对于内部审计机构来说，2010’s年代开始时，在后金融危机时期我们更加注重对监管规定的遵从。伴随着一系列旨在保护消费者数据和隐私的新规定的出台，第二个十年即将结束。对于一般的观察者来说，法规遵从性似乎仍然是内部审计的主要任务。然而，事实并非如此简单。

过去10年的技术进步为内部审计专业机构打开了一个充满机遇和挑战的新世界。从重塑网络安全的日益复杂而又厚颜无耻的黑客行为，到承诺颠覆传统工作模式的人工智能，技术以前所未有的方式重新定义和确定了风险管理的优先级。

很难准确地回答过去的这十年对内部审计行业的影响有多大，因为有太多重要的因素影响着我们，包括技术进步、气候变迁、监管加强、全球化、宏观经济波动、地缘政治动荡和投资者的激进主义。尽管如此，我还是希望通过研究2010’s年代给内部审计带来深远影响的十大头条来捕捉一些信息。

1.《多德-弗兰克法案》(Dodd-Frank act)凸显了董事会监督风险管理的职责

2008年金融危机的副产品是美国通过了具有里程碑意义的立法，这些法律旨在防范金融机构过度冒险，并改善公司治理。2010年7月通过的《多德-弗兰克华尔街改革和消费者保护法案》(Dodd-Frank Wall Street Reform and Consumer Protection Act)对美国金融监管进行了全面改革，设立了消费者保护局(Consumer Protection bureau)和一个维护金融稳定的机构，并大大扩大了美联储(FED)的作用。

对内部审计来说，最重要的是该法案制定了公司治理和披露规则，旨在强化问责，并对过度冒险行为进行监管。该法案以及随后由美国证券交易委员会(SEC)和新成立的上市公司会计监督委员会(Public CompanyAccounting Oversight Board，简称PCAOB)制定的规则，让董事会注意到了自己的监督职责。董事会再也不能只是被动地默认管理层的举措了。

2.美联储提高了大型银行内部审计的地位

2013年1月，美国联邦储备委员会(Federal Reserve)针对银行的内部审计部门及其外包业务发布了补充政策声明。这一听起来无伤大雅的声明传递了一个强有力的信息，即强大和有效的内部审计部门对于金融机构的重要性。事实上，这份声明让美联储比业内任何其他监管机构都更接近于认可或授权金融机构使用IIA的《国际内部审计专业实务标准》。该文件的开头一段声明：

“美联储提供这一补充指导，目的是加强被监管机构的内部审计实务，并鼓励被监管机构采用专业标准和权威指南，这其中包括由国际内部审计师协会（IIA）发布的标准和指南。”

美国联邦储备委员会(FED)的指引还表明，该机构不屑于看到向首席执行官（CEO）以下的首席财务官或其他高管进行行政报告。它意味着，内部审计在行政上应该直接向首席执行官（CEO）报告，否则，审计委员会应当解释没有这样做的原因。

3.COSO更新了内部控制和企业风险管理框架

2013年和2017年，我所在的COSO (Treadway委员会的发起人组织)董事会发布了对其两个著名框架的重要更新，这两个框架已经成为创建有效的内部控制和了解如何跨组织管理风险的重要工具。在快速变化的世界中，治理、风险和控制的复杂性日益增加，这两个框架需要反映并适应这些变化。

具有重要意义的是，更新后的内部控制框架建立在原有框架的基础上，着重于内部控制的设计、实施和有效性评价。与此同时，更新后的企业风险管理框架（ERM）有助于澄清什么是有效的ERM，什么不是有效的ERM。新版ERM指出：

企业风险管理不只是一项职能，也不只是一个部门。组织将文化、能力和实践与风险管理战略安排相融合，并在执行该战略时加以应用，其目的是在管理风险的同时创造、维持和实现价值。

4.纽约证券交易所邀请IIA敲响开市钟，彰显了对内部审计职业的认可

2016年7月，我非常自豪地与IIA的前任主席和其他人一起敲响了纽约证券交易所(NYSE)的开市钟。这不仅是IIA历史上的一件大事，也是整个行业的一件大事。作为内部审计的长期战略伙伴和盟友，纽约证券交易所再次认识到内部审计对上市公司的重要性和价值。正如我当时所写的那样，IIA敲响了纽约证券交易所的开市钟，为所有组织——不仅仅是上市公司——致力于良好治理吹响了号角，也促使这些组织拥抱那些行之有效的工具和实践。

5.英国特许内部审计师协会发布《金融服务规范》

过去10年，金融监管机构对金融机构内部审计的审查确实是一个全球现象。作为对英国金融监管机构的回应，英国特许内部审计师协会(Chartered Institute of Internal auditor)于2013年7月发布了《金融服务规范》(financial services Code)。该规范旨在“提高英国金融服务行业公司内部审计的整体有效性及其影响”。该报告由IIA成立的一个独立委员会撰写，该委员会的代表和观察员来自主要银行、保险公司、金融市场行为监管局(Financial Conduct Authority)、审慎监管局(PrudentialRegulation Authority)和英国央行(Bank of England)。

该准则在2017年9月做了一些微小的修改，进行了重新发布，并作为即将发布的更全面的内部审计实务准则的先驱，在英国更广泛的内部审计行业里推广。

6.有毒文化诱发的企业丑闻迫使内部审计提高水平

正如我上周所写的，在2010’s年代，企业丑闻以令人尴尬的频率出现。当丑闻发生后，“内部审计师在哪里？”的问题则一次又一次被提起。

我已经明确说过，将丑闻归咎于内部审计，那是及其罕见的。越来越认识到有毒文化才是丑闻的核心，越来越认识到内部审计在文化评估中的作用，为组织预防治理失败带来了一线希望。

许多业内人士和外部人士对内部审计能否有效地对文化开展审计表示怀疑，但我们已经取得了很大的进步。IIA最近发布的《对文化开展审计的实务指南》反映了这种进步。

7.IIA开始提供CRMA资格认证

2013年，IIA开始提供国际注册风险管理确认师(CRMA)的资格认证，以此来证明持证内部审计人员具备提供咨询和确认的能力。从那时起，将近16000名从业人员获得了这一称号。

IIA对CRMA的高要求，仅次于国际注册内部审计师（CIA），凸显了对关键风险管理和治理过程有效性提供确认的重要性。在当今动态的风险环境中，拥有一个CRMA认证的专业人员，可以为包括最高管理层和董事会在内的利益相关者提供安慰，因为他们知道，在内部审计领域里有一个值得信赖的顾问。

8.网络攻击将CAEs推到了风口浪尖

我敢肯定地说，过去十年里，没有任何一项发展比网络攻击对组织和行业造成的破坏更大。无处不在的网络攻击幽灵、以及媒体对重大网络入侵事件的持续报道，暴露了IT系统、数据管理、数据保护、员工培训、公司治理等方面的漏洞。

首席审计执行官们(CAEs)受到了猛烈攻击，他们承受着难以置信的压力，要求为开发和部署能够成功支持组织网络安全战略的人员提供保证。对这类确认业务的需求，正在为聘用和留住具备必要IT技能的审计人员带来巨大压力。

尽管这可能不公平，但大型组织中受到高度关注的网络攻击，已经把不少有才能的CAEs打趴下了。我的建议是：CAEs不要仅盯着在网络控制方面提供保证；当不可避免的网络入侵发生时，CAEs还要确认组织已经做好应对的准备。

9.IIA阐明了内部审计的原则

2017年更新的《国际内部审计专业实务框架》增加了“内部审计实务的核心原则”。这一变化不仅仅是对专业指南的补充或更新。这10条原则阐明了驱动内部审计行业和从业者的基本信念。

即使技术、气候、地缘政治、宏观经济和社会规范改变了我们周围的世界，这些指南将帮助从业者坚定以内部审计核心哲学为中心的理念。

10.全球媒体对内部审计的兴趣大增

在过去的十年里，内部审计行业得到了广泛的报道，而且大部分报道都是正面的。像《华尔街日报》、《金融时报》、《彭博社》、《财富》和《福布斯》这样的主要媒体机构正在扩大它们对内部审计所提供的独立确认的理解和赞赏。

这一点尤其值得关注，因为媒体、监管机构、投资者和公众普遍要求提高董事会和高管层的透明度，强化对他们的问责。人们越来越认识到，公司治理的失败是许多公司丑闻的核心，而良好的公司治理则有助于组织管理风险，有助于持续发展，并最终有助于公众利益。IIA将内部审计职业定位于增加组织价值。

媒体对内部审计的兴趣不仅限于美国或其他高度发达的市场。在最近一次中非之行中，我每到一站都会被媒体包围。他们最关心的问题是：内部审计如何帮助大家预防和发现公共机构的腐败?

在未来10年，IIA将有力地证明，内部审计是健全公司治理的基础。我期待着本世纪20年代即将来临的挑战和成功，因为我们将朝着实现我们的2030年愿景迈进，即：让这一职业被普遍认为是有效治理、风险管理和控制不可或缺的一部分。

作者：理查德·钱伯斯（源自2019年12月2日IIA官网）；原创翻译：陈国华（中国人民银行九江市中心支行）译文首发：内审网（ID：neishenwang），转载务必注明以上信息。