调查显示，大多数首席审计执行官（CAE）认为现有绩效水平与他们希望达到的水平之间存在显著差距。日前，内部审计师协会（IIA）对512名审计经理和董事进行了调查，其中包括447位CAE。

目前，CAE最关注的领域是网络安全。有53％的受访者表示，他们的所在的组织正在不懈努力，以“向执行管理层和董事会传达组织的风险水平，并努力防范这些风险。”

还有一些与网络安全相关的问题亟待解决。如“为准备和响应网络威胁提供保证”“与IT部门和其他各方合作，建立有效的防御和响应”“确保与组织就网络风险进行沟通和协调”。

“落差可能反映出内部审计未能迅速适应不断变化的需求。”IIA在其调查报告中表示，“这也表明风险优先级与审计计划之间存在潜在的错位。”

51％的调查参与者表示，内部审计人员缺乏网络安全专业知识会对组织产生深远的影响。43％的调查参与者对与IT部门缺乏合作或沟通以及缺乏执行管理层的支持表达同样的看法。

调查结果清楚地表明，“内部审计在招聘方面进展缓慢，合理利用第三方的专业知识或增加培训都能为这一风险领域提供保障。”

该报告为CAE提供了一些建议：

一是“向审计委员会报告在职能范围内建立网络技能及其原因的任何进展（或缺乏进展）。与审计委员会坦诚讨论审计范围不足或缺乏技能的问题，是促进转变的唯一方法。”

二是“CAE必须记录存在工作差距的原因，包括用于采购或外包的资源不足，审计计划优先级错位以及与IT的沟通脱节。”

三是“投入更多时间与首席信息安全官和首席信息官建立伙伴关系。与IT部门缺乏合作可能反映出内部审计缺乏信息化能力的担忧。“

四是“投入更多时间帮助团队了解网络安全，包括深入了解网络安全中常用的框架，如NIST CSF、NIST 800-53和ISO / IEC 27001。”

五是“当内部技能不足时，考虑将战略寻源（co-sourcing）作为一种可行的选择。”

六是“寻找机会，让员工在不需要网络专业知识的信息技术支持下进行基本的网络安全审计。”这些机会包括：“确定组织需要保护的最重要资产；测试内部威胁控制；评估旨在防止意外或无意泄露组织信息的流程和结构。”

与此同时，该调查揭露了其他一些风险领域。例如，只有30％的受访组织使用高级数据分析来识别和评估新出现的和非典型的风险；43％的受访者表示，他们对内部审计识别和评估此类风险的能力不会过于自信；57％的受访者表示他们很少或从不与董事会或管理层讨论内部审计提供信息的准确性、完整性、及时性、真实性或透明度。

IIA在报告的结论中表示：“内部审计机构今天面临的挑战——复杂、快速、全球性——将需要灵活、创新，并与董事会和执行管理层进行有效对话。”

来源：《中国会计报》