原标题：对2020年及以后年度内部审计的五项建议

“钱伯斯内部审计博客”的忠实读者知道，我每年的第一篇博文，通常都会为内部审计人员提供5个新年建议。为了更好地促进内部审计行业的发展，并帮助所在组织获得成功，今年的建议榜单充分利用了我们在2019年新获取的知识。

IIA在2019年发布了两份具有里程碑意义的报告，为健全的风险管理和组织治理——以及内部审计在支持这两方面应当发挥的作用——提供了新的、独特的见解。《风险管理2020:风险理解、调整和优化指南》对董事会、执行管理层和内部审计如何协调、管理关键风险进行了独特的审视。美国公司治理指数(ACGI)提供了美国上市公司的治理报告。虽然IIA编写的这两份报告主要是为其在美国的成员服务，但我相信，这些主题均具有全球适用性。

对于支持审计规划和有效的风险管理，这两份报告提供了丰富的数据。同样，这两份报告对我提出新年建议也提供了很好的帮助。下面，就直奔这五项建议主题：

1.与董事会坦率地讨论组织的管理风险的真正能力。

我认为，OnRisk 2020报告最有价值的发现之一就是：针对其所监管组织在管理风险的能力成熟度方面，董事会显得过于自信。董事会对关键风险和组织管理风险的能力的评价是否现实，应该引起严重关注。

纠正治理层上述可能存在的误解，内部审计责无旁贷。无论是通过审计委员会主席还是直接向董事会建言，首席审计执行官都应该就这个问题展开对话。很重要的一点是，内部审计应该就组织调整风险管理提供自己的见解和建议，而不是对需要为风险管理负责的人横加指责。

2.评估组织可持续性发展的风险，并与管理层和董事会讨论。

去年12月，IIA和田纳西大学(University of Tennessee)尼尔公司治理中心(Neel Corporate Governance Center)联合发布的ACGI姗姗来迟。我开始相信，美国企业对可持续发展的漠不关心本身就是不可持续的。然而，我们仍有乐观的空间。

企业越来越认识到可持续性发展的重要性，特别是在投资者越来越多地将其财务支持与能够创造长期价值（而不仅仅是短期收益）的组织联系在一起的情况下。内部审计必须利用这一点，了解和评估组织的可持续性风险，包括与组织的经济、环境和社会影响相关的可持续性报告的准确性。

3.讲好内部审计故事。

向利益相关者展示内部审计如何增加价值是从业者面临的最大挑战之一。正如前一个建议所讨论的，企业领导人通常关注短期目标和眼前的风险。从长远来看，他们可能不会欣赏独立确认和全组织视角所提供的价值。

根据世界大型企业联合会(ConferenceBoard)的《2020年CEO挑战调查》(2020 CEO Challenge survey)，在我们进入新的十年之际，衰退是全球CEO们最担心的风险。如果出现经济衰退，高级管理层无疑会想方设法削减成本。这就是为什么我们必须在勒紧裤腰带之前就展示内部审计价值的原因。更清楚地说明内部审计如何增加价值并没有坏处。

因此，我们必须改进我们营销内部审计的方式。有两句话特说得特别好。哈佛大学(Harvard University)教授霍华德·加德纳(HowardGardner)说，营销是“领导者武库中最强大的武器”。这意味着，我们需要在如何证明内部审计能够增加价值的问题上变得清晰而有说服力。第二句话来自企业家和市场营销家赛斯·高汀（Seth Godin），他说：“营销与你做什么无关，与你怎么营销有关。”内部审计的确会改善组织，但如果我们不改进我们自我营销的方式，那我们就会变得无关紧要。

4.扩大机器人流程自动化（RPA）和人工智能( AI)等技术在内部审计领域的使用和影响力。

公司董事会和高级管理层，如果充分理解这些技术，就可以改善组织运营，提供竞争优势，并实现战略目标。内部审计人员必须向利益相关者表明，我们也可以采用并适应技术变革来改进我们的工作。

机器人流程自动化(RPA)和人工智能(AI)正在努力进入内部审计流程，但进展缓慢。根据甫瀚公司(Protiviti)2019年年报《拥抱新一代的内部审计》显示，只有19%的内部审计部门使用了RPA, 17%使用了人工智能。更重要的是，包括持续监控、即时审计和高级分析在内的其他新一代技术中，没有一种技术的使用率超过30%。

一言以蔽之，我们必须做得更努力。

5.关注与数据伦理相关的风险。

随着组织对数据的使用增加，与如何收集、管理、使用和保护数据相关的风险也会增加。对数据的监管必然会发生变化。的确，公众对与数据有关的组织行为的关注正在增加。

因此，内部审计必须发挥引导作用，对利益相关者进行与数据伦理相关的风险教育。我们可以首先鼓励管理层制定指导方针，以衡量组织对数据的使用是否符合风险承受能力，然后为遵守这些指导方针提供确认。

正如这五条建议所概述的那样，新年提供了重要的机会。如果我们能够接受它们并稳步取得进展，我们就能够实现我们的2030年愿景，即成为公认的有效治理、风险管理和控制不可或缺的组成部分。

我一如既往地期待您的评论。