刚进入IT审计行业的人可能会听到内部审计职能被视为“警察”的说法.几年前, 各组织认为内部审计的评估和评价职责类似于维持治安的职能,这种情况并不罕见. 查明和报告的操作错误或缺陷类似于执法领域的犯罪. 公平地说, 在内部审计行业中,有一些人并不反对这种描述. 然而,如果这种描述是真的, 大多数 审计人员不赞成这种描述,而且可能 所有 IT职能部门和管理层希望它消失. So, 审计人员努力反驳这种看法,管理层继续就其对内部审计人员的要求提供反馈. 管理层提出的一个重要问题是“如果内部审计发现了已经知道的或很容易纠正的问题, 内部审计提供了什么价值?”
当审计师通过合规举措创造机会时,这个问题就得到了答案, 业务流程文档和其他操作领域与审计流程之外的IT功能一起工作. 审核员和IT职能部门之间更频繁的参与比审核员被视为警察时提供了更好的工作关系的好处. 但在现实中,内部审计是否为增值是一个动态的感知. 因为组织的特点是从事破坏性创新, 不断向前发展, 或数字化, 审计职能必须以战略伙伴关系补充其业务伙伴关系,以与组织保持同步并增加价值. (澄清一下, the auditors are not creating strategy; rather, 他们在所有工作中都注意到战略影响,并与高级管理层和董事会沟通这些影响).
不过,通往战略伙伴关系的道路说起来容易,实现起来难. 在 2019年全球IT审计基准研究 来自ISACA和Protiviti, 来自非洲的81%的受访者表示IT审计主管(或同等职位)定期参加审计委员会会议, 但其他地区的受访者给出的结果就不那么令人鼓舞了, 数据点在46%到64%之间. A Chief Audit Executive (CAE) may attend audit committee meetings in place of an IT audit director; however, 这两个位置, IT审计主管通常更全面地参与IT审计评估和评估. 不参加这些和其他进行战略讨论的会议, 对审计行业来说,扮演战略家的角色是一项挑战.
为了在战略讨论中赢得一席之地, IT审计主管和他们的团队应该通过组织的视角来强调他们的工作,从而接受战略家的角色. 例如, 一旦确定了风险对组织的影响, 战略家将讨论扩展到组织影响对组织的整体战略和使命意味着什么. 高层管理人员通常会欣赏用财务术语进行这种沟通,而且相当容易做到. 对于战略家来说,更具挑战性的一端(也是对组织最有价值的一端)是具有前瞻性思维的沟通. 没有千里眼, 内部审计战略家可以与高级管理层和董事会分享他们的行业正在经历的趋势,或者在这些问题变成问题之前为已知问题提供解决方案. 这比事后总结问题所在要有价值得多.
自我评估他们创造了多少价值, 内部审计师应评估其战略伙伴关系的状态,并承认业务伙伴关系和战略伙伴关系的相互依赖性, 但要关注战略性所带来的前瞻性利益. 当向组织战略家的转变已经社会化并被组织所接受时, 也许他们会赢得梦寐以求的席位.
