構(gòu)建面向未來(lái)的審計(jì)成熟度模型

在第五次工業(yè)革命（5IR）掀起的數(shù)字風(fēng)暴重塑商業(yè)格局之際，內(nèi)部審計(jì)若想保持其價(jià)值與相關(guān)性，就必須主動(dòng)轉(zhuǎn)型。過(guò)去那種僅聚焦歷史、被動(dòng)響應(yīng)的審計(jì)模式，亟需被一種更具前瞻性的新模式所取代——這種新模式不僅能預(yù)見未來(lái)風(fēng)險(xiǎn)，更能推動(dòng)創(chuàng)新和數(shù)字化轉(zhuǎn)型。

這一轉(zhuǎn)變得到了最新版《國(guó)際內(nèi)部審計(jì)實(shí)務(wù)框架》（IPPF）的有力支持。新版IPPF重新定義了內(nèi)部審計(jì)的角色，強(qiáng)調(diào)其應(yīng)助力組織創(chuàng)造并持續(xù)實(shí)現(xiàn)價(jià)值。具體而言，審計(jì)服務(wù)的范疇不再局限于傳統(tǒng)的“確認(rèn)”職能，而是擴(kuò)展到提供咨詢建議、深度洞察與前瞻性預(yù)判。這一理念也與ISACA發(fā)布的《IT審計(jì)框架》（ITAF）高度契合——該框架明確指出，IT審計(jì)人員可承擔(dān)顧問角色，參與項(xiàng)目評(píng)審、方案設(shè)計(jì)乃至實(shí)施評(píng)估等工作。

通過(guò)融合這些理念以及先進(jìn)的管理方法和技術(shù)能力，內(nèi)部審計(jì)部門能夠探索新的戰(zhàn)略路徑，將技術(shù)專長(zhǎng)融入日常實(shí)踐，從而提升主動(dòng)性，放大對(duì)組織的整體影響力。

當(dāng)前已有多種戰(zhàn)略方法和技術(shù)手段，旨在幫助組織在審計(jì)職能中培育前瞻性思維。采用這些做法，意味著告別紙上談兵式的理論建議，轉(zhuǎn)而聚焦于交付切實(shí)可行、價(jià)值導(dǎo)向的解決方案。這些實(shí)踐按“主動(dòng)性成熟度”劃分為不同層級(jí)，構(gòu)成了本文提出的審計(jì)主動(dòng)性成熟度模型（APMM）。該模型不僅為審計(jì)部門向“變革推動(dòng)者”轉(zhuǎn)型提供了實(shí)用路線圖，也為董事會(huì)評(píng)估內(nèi)部審計(jì)的前瞻性水平提供了清晰標(biāo)尺。

值得注意的是，盡管APMM最初是為內(nèi)部審計(jì)量身打造，但其核心原則同樣適用于風(fēng)險(xiǎn)管理、合規(guī)及內(nèi)控等相關(guān)職能。

重新定義內(nèi)部審計(jì)

新版IPPF在“第一領(lǐng)域：內(nèi)部審計(jì)的宗旨”中明確指出，內(nèi)部審計(jì)應(yīng)成為組織明智決策和長(zhǎng)期價(jià)值創(chuàng)造的關(guān)鍵推手。這意味著審計(jì)人員不能止步于傳統(tǒng)確認(rèn)服務(wù)，而應(yīng)主動(dòng)提供咨詢、洞察與前瞻判斷，以增強(qiáng)組織持續(xù)創(chuàng)造價(jià)值的能力。

其中，“咨詢服務(wù)”（或稱“顧問服務(wù)”）指審計(jì)人員在不執(zhí)行正式確認(rèn)程序的前提下，就新政策、流程、系統(tǒng)、產(chǎn)品或服務(wù)的設(shè)計(jì)與實(shí)施提供建議，并參與有關(guān)風(fēng)險(xiǎn)與控制的討論。

此外，《IT審計(jì)框架》（ITAF）第2001.2.3、2003.5.2和2003.8條進(jìn)一步細(xì)化了IT審計(jì)的顧問職責(zé)：IT審計(jì)師可作為臨時(shí)顧問或評(píng)審人參與IT項(xiàng)目，也可受邀加入項(xiàng)目指導(dǎo)、實(shí)施或評(píng)估團(tuán)隊(duì)。

然而，無(wú)論角色如何拓展，獨(dú)立性與客觀性始終是審計(jì)工作的基石。IPPF第二領(lǐng)域“職業(yè)道德與專業(yè)精神”中的第二條原則，以及ITAF第2008.3.1條均強(qiáng)調(diào)：審計(jì)人員在提供服務(wù)和作出專業(yè)判斷時(shí)，必須始終保持獨(dú)立、客觀、無(wú)偏。

傳統(tǒng)確認(rèn)活動(dòng)對(duì)新產(chǎn)品、流程或服務(wù)的影響有限，對(duì)獨(dú)立性的威脅相對(duì)較小；而咨詢服務(wù)則更具前瞻性，直接影響未來(lái)決策，可能引發(fā)客觀性質(zhì)疑。為此，必須建立有效的風(fēng)險(xiǎn)緩釋機(jī)制，確保兩者相輔相成而非相互沖突。

主動(dòng)審計(jì)的戰(zhàn)略路徑

成熟度模型用于衡量某一職能在流程、目標(biāo)或能力方面的成熟程度，并為改進(jìn)提供清晰路徑與愿景。在主動(dòng)審計(jì)的語(yǔ)境下，APMM構(gòu)建了一個(gè)結(jié)構(gòu)化框架，幫助審計(jì)職能逐步提升前瞻性能力。

如圖1所示，APMM將主動(dòng)性劃分為五個(gè)成熟度等級(jí)：

圖1：審計(jì)主動(dòng)性成熟度模型（APMM）

第一級(jí)：初始級(jí) —— 被動(dòng)響應(yīng)，零散行動(dòng)

此階段的內(nèi)部審計(jì)主要應(yīng)對(duì)既成事實(shí)，偶爾開展一些臨時(shí)性的主動(dòng)舉措。由于缺乏系統(tǒng)性、持續(xù)性的前瞻性方法，審計(jì)的整體影響力十分有限。

第二級(jí)：可重復(fù)級(jí) —— 系統(tǒng)化、實(shí)時(shí)審計(jì)

審計(jì)開始具備系統(tǒng)思維，雖仍以確認(rèn)為主，但已能通過(guò)實(shí)時(shí)介入，在決策關(guān)鍵節(jié)點(diǎn)提供及時(shí)建議。這種“趁早干預(yù)”的方式，使建議能在客戶尚未固化方案、修改成本尚低時(shí)落地，大幅提升采納率與實(shí)際成效。

第三級(jí)：已定義級(jí) —— 數(shù)據(jù)分析與概念驗(yàn)證（POC）能力

審計(jì)在此階段系統(tǒng)性地運(yùn)用數(shù)據(jù)分析與人工智能（AI）技術(shù)，通過(guò)構(gòu)建可運(yùn)行的概念驗(yàn)證（Proof of Concept, POC），直觀展示自動(dòng)化控制的可行性，并推動(dòng)基于數(shù)據(jù)的決策。

一個(gè)成功的POC必須是完整、可獨(dú)立運(yùn)行的解決方案。否則，若客戶還需額外投入大量資源（如開發(fā)系統(tǒng)接口、部署新基礎(chǔ)設(shè)施或升級(jí)平臺(tái)），很可能因?qū)嵤┏杀具^(guò)高而拒絕采納。

例如，若審計(jì)發(fā)現(xiàn)客戶在填寫數(shù)字貸款合同時(shí)存在識(shí)別錯(cuò)誤的控制漏洞，可設(shè)計(jì)一個(gè)包含SQL腳本的POC，自動(dòng)執(zhí)行輸入驗(yàn)證（如范圍、格式、數(shù)據(jù)類型檢查），并交叉比對(duì)內(nèi)外部數(shù)據(jù)庫(kù)（如資產(chǎn)抵押記錄）。通過(guò)在樣本數(shù)據(jù)上應(yīng)用這套自動(dòng)化方案，不僅能發(fā)現(xiàn)現(xiàn)有控制未覆蓋的問題，還可結(jié)合投資回報(bào)率（ROI）指標(biāo)，清晰證明新方案在實(shí)際運(yùn)營(yíng)中的價(jià)值。

當(dāng)然，審計(jì)建議并不總局限于數(shù)據(jù)處理。許多情況下，還需涉及功能設(shè)計(jì)、用戶體驗(yàn)、技術(shù)架構(gòu)乃至新技術(shù)融合等更廣泛的領(lǐng)域。此時(shí)，POC的價(jià)值不僅在于技術(shù)驗(yàn)證，更在于搭建起審計(jì)與業(yè)務(wù)之間的信任橋梁，讓前瞻性建議真正轉(zhuǎn)化為組織行動(dòng)力。

第四級(jí)：已定義級(jí) —— 基于技術(shù)的概念驗(yàn)證（POC）能力

盡管數(shù)據(jù)分析極具價(jià)值，但許多審計(jì)建議不可避免地超越了常規(guī)數(shù)據(jù)處理范疇，涉及功能設(shè)計(jì)、用戶體驗(yàn)、技術(shù)基礎(chǔ)設(shè)施乃至新技術(shù)整合等更復(fù)雜的領(lǐng)域。在這些情況下，內(nèi)部審計(jì)若想有效證明方案的可行性，往往需要借助額外的工具與技能——例如，構(gòu)建一個(gè)具體、可運(yùn)行的技術(shù)型POC，以直觀展示其實(shí)際價(jià)值與落地潛力。

為此，審計(jì)部門必須具備在受控環(huán)境中開發(fā)、部署并運(yùn)行應(yīng)用程序或技術(shù)組件的能力。為提升POC的真實(shí)性和相關(guān)性，該審計(jì)專屬的IT環(huán)境最好能與組織現(xiàn)有的應(yīng)用系統(tǒng)、工具和數(shù)據(jù)實(shí)現(xiàn)有限交互。值得慶幸的是，近年來(lái)人工智能（AI）以及低代碼/無(wú)代碼平臺(tái)的快速發(fā)展，為審計(jì)團(tuán)隊(duì)提供了成本可控、易于上手的技術(shù)支持。

仍以前述貸款申請(qǐng)為例，假設(shè)客戶填寫的是紙質(zhì)表單而非電子文檔，需人工審核。此時(shí)，審計(jì)團(tuán)隊(duì)可利用先進(jìn)的AI驅(qū)動(dòng)工具，對(duì)非結(jié)構(gòu)化的紙質(zhì)文件執(zhí)行光學(xué)字符識(shí)別（OCR），將其轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)表格，并同步開展自由文本分析。除了自動(dòng)校驗(yàn)輸入內(nèi)容、交叉比對(duì)數(shù)據(jù)庫(kù)外，還能精準(zhǔn)捕捉手寫信息在錄入業(yè)務(wù)系統(tǒng)過(guò)程中可能產(chǎn)生的偏差或遺漏。

然而，即便客戶認(rèn)可某項(xiàng)POC切實(shí)可行且價(jià)值顯著，其最終落地仍受限于組織的優(yōu)先級(jí)排序與預(yù)算安排。為提升影響力，內(nèi)部審計(jì)可考慮以下兩種機(jī)制，主動(dòng)推動(dòng)建議轉(zhuǎn)化：

• 專項(xiàng)預(yù)算配額（“審計(jì)錢包”）

即為審計(jì)職能預(yù)留一筆專用預(yù)算額度（以“代金券”形式），用于支持基于POC的審計(jì)建議實(shí)施。該額度可覆蓋全部或部分實(shí)施成本，有效緩解因資金限制導(dǎo)致的采納阻力，從而放大審計(jì)的實(shí)際成效。 鑒于資源有限，審計(jì)部門應(yīng)建立一套結(jié)構(gòu)化流程，依據(jù)風(fēng)險(xiǎn)等級(jí)、組織影響程度及與戰(zhàn)略目標(biāo)的契合度，科學(xué)分配這些預(yù)算資源。

• 項(xiàng)目組合中的預(yù)置優(yōu)先級(jí)席位

在組織整體項(xiàng)目管理框架中，為審計(jì)預(yù)留若干“優(yōu)先實(shí)施通道”。審計(jì)可利用這些席位，將源自POC的關(guān)鍵建議直接納入高優(yōu)先級(jí)項(xiàng)目清單，避免因排期競(jìng)爭(zhēng)而被擱置，進(jìn)一步提升建議落地率。

為確保這些機(jī)制持續(xù)有效，審計(jì)部門需通過(guò)關(guān)鍵績(jī)效指標(biāo)（KPI）進(jìn)行常態(tài)化追蹤與優(yōu)化。但必須警惕：此類深度介入可能對(duì)審計(jì)的獨(dú)立性與客觀性構(gòu)成潛在挑戰(zhàn)。因此，應(yīng)同步設(shè)置關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI）作為早期預(yù)警機(jī)制——例如，監(jiān)控“審計(jì)支持預(yù)算占全組織創(chuàng)新投入的比例”，或“審計(jì)優(yōu)先項(xiàng)目在整體高優(yōu)項(xiàng)目中的占比”，防止角色越界。

達(dá)到第四級(jí)成熟度的內(nèi)部審計(jì)，已不僅限于數(shù)據(jù)層面的驗(yàn)證，而是能構(gòu)建包含真實(shí)業(yè)務(wù)流程、完整用例和技術(shù)驅(qū)動(dòng)邏輯的綜合性POC。此時(shí)，審計(jì)實(shí)質(zhì)上扮演了“類IT驅(qū)動(dòng)者”的角色——在一個(gè)貼近實(shí)戰(zhàn)的沙盒環(huán)境中，對(duì)新概念與解決方案進(jìn)行全流程驗(yàn)證與演示。

這種技術(shù)賦能的POC能力，極大拓寬了審計(jì)價(jià)值的呈現(xiàn)維度，不僅顯著提升了主動(dòng)性，也增強(qiáng)了業(yè)務(wù)部門的參與意愿與協(xié)作深度，最終放大審計(jì)的整體影響力。

第五級(jí)：戰(zhàn)略優(yōu)化級(jí) —— 塑造思維，驅(qū)動(dòng)變革，持續(xù)進(jìn)化

在第五級(jí)成熟度下，內(nèi)部審計(jì)已深度融入組織的戰(zhàn)略肌理，其核心使命不僅是提供建議，更是主動(dòng)塑造組織的決策思維與文化范式。這種參與不再是偶發(fā)或被動(dòng)的，而是制度化、常態(tài)化的戰(zhàn)略行為，旨在實(shí)現(xiàn)雙重價(jià)值：一方面提升組織決策質(zhì)量，另一方面增強(qiáng)管理層對(duì)審計(jì)所驗(yàn)證理念的接受度與行動(dòng)意愿。

更重要的是，審計(jì)在此階段持續(xù)尋找推動(dòng)變革的機(jī)會(huì)，不斷拓展自身在組織中的影響力邊界。這種“永不停歇的改進(jìn)精神”，確保審計(jì)的貢獻(xiàn)始終與組織發(fā)展同頻共振，實(shí)現(xiàn)影響力最大化。

第四級(jí)與第五級(jí)所積累的綜合能力，使審計(jì)人員能夠完整驗(yàn)證并演示端到端的數(shù)據(jù)與技術(shù)驅(qū)動(dòng)方案。這一點(diǎn)至關(guān)重要——因?yàn)榧幢銟I(yè)務(wù)方認(rèn)同某項(xiàng)建議的價(jià)值，其落地仍常受制于僵化的組織心智模式。這些根深蒂固的思維定式，往往源于既有的流程架構(gòu)、工作習(xí)慣和決策機(jī)制。例如：

• 群體思維（Groupthink）：決策團(tuán)隊(duì)過(guò)度追求共識(shí)，壓制異議，導(dǎo)致判斷失真；

• 權(quán)威主導(dǎo)（Overshadowing）：強(qiáng)勢(shì)個(gè)體主導(dǎo)討論，抑制多元聲音；

• 異見污名化：持不同觀點(diǎn)者被視為“阻礙者”，久而久之，團(tuán)隊(duì)成員傾向于附和主流（尤其是高層）意見。

此類現(xiàn)象嚴(yán)重削弱心理安全感，阻礙知識(shí)融合與創(chuàng)新涌現(xiàn)，最終拖累數(shù)字化轉(zhuǎn)型進(jìn)程。

要真正釋放審計(jì)價(jià)值，就必須在決策發(fā)生的地方、發(fā)生的時(shí)刻主動(dòng)介入。這意味著審計(jì)應(yīng)常態(tài)化出現(xiàn)在定義組織未來(lái)的關(guān)鍵節(jié)點(diǎn)——如戰(zhàn)略研討會(huì)、項(xiàng)目指導(dǎo)委員會(huì)、高管會(huì)議乃至董事會(huì)。理想情況下，可通過(guò)正式章程賦予審計(jì)“常設(shè)觀察員”身份，使其有權(quán)參與文化與戰(zhàn)略塑造的核心場(chǎng)域。

更進(jìn)一步，審計(jì)可制度化地扮演“紅隊(duì)”（Red Team）或“魔鬼代言人”角色：專門負(fù)責(zé)挑戰(zhàn)既有計(jì)劃、提出對(duì)立視角與替代方案。建議在會(huì)議中設(shè)立固定時(shí)段，由審計(jì)紅隊(duì)系統(tǒng)闡述其洞察與依據(jù)；隨后由管理層提問、反饋，審計(jì)再予以回應(yīng)。這一結(jié)構(gòu)化對(duì)話機(jī)制，不僅能豐富決策的信息維度，更能培育一種尊重多元、擁抱變革的組織文化——在這種文化中，一線與二線員工敢于安全地表達(dá)不同聲音，創(chuàng)新才真正有了土壤。

結(jié)語(yǔ)

審計(jì)主動(dòng)性成熟度模型APMM的實(shí)踐，將徹底重塑內(nèi)部審計(jì)的角色定位——從回溯性的審查者，轉(zhuǎn)變?yōu)槊嫦蛭磥?lái)的價(jià)值共創(chuàng)者與變革催化劑。隨著審計(jì)團(tuán)隊(duì)逐級(jí)躍升，他們將越來(lái)越靠近決策中心、價(jià)值源頭與影響力核心。

當(dāng)組織真正擁抱APMM，內(nèi)部審計(jì)便不再只是“指出問題的人”，而是“共建解決方案的伙伴”，其相關(guān)性、話語(yǔ)權(quán)與戰(zhàn)略價(jià)值將獲得質(zhì)的飛躍。最終，審計(jì)將成為推動(dòng)組織韌性、創(chuàng)新與可持續(xù)發(fā)展的關(guān)鍵引擎。

來(lái)源：ISACA微信公眾號(hào)

編輯：孫哲

目前190000+人已關(guān)注我們，您還等什么？