新冠肺炎疫情之后,让消费者对即将到来的供应链 中断做好准备,成为新闻媒体不断重复的任务。早 在 2021 年初,消费者就被告知要做好应对从汽油、 漂白粉、鸡肉到电脑芯片等各种商品短缺的准备。
组织自然希望能够更有效地应对风险因素,因为这 些风险因素会影响他们接收和提供对其业务模式至 关重要的产品和服务的能力。组织希望有技术可以 帮助他们解决这个问题。软件工具在供应链风险管 理领域发展迅速,并且…
[[既然]人工智能、预测分析和指导性分析的 价值已有充分的文件记录,那么这项技术 成为新的规范只是时间问题。1
毫无疑问,高科技工具提供的对供应链洞察的深 度、广度和即时性可以帮助组织减少不受欢迎的意 外,并获得宝贵的时间来应对新出现的风险。同 时,还会引起组织考虑如何在内部审计职能以外充 分发挥这些工具的作用。因此,内部审计部门需要 积极主动地维护自己的能力,就管理层设计和实施 的控制措施以及对供应链残余风险领域的评估提供 实用、客观的保证和建议。
供应链中的社会合规性
环境和社会责任等领域似乎是最适合人类审计师将 自己与控制供应链风险的持续监测技术区分开来的 地方。然而,德勤 2019 年的研究表明,即使在劳工 道德实践和环境责任等领域,组织也希望拥有能够 支持和监控对社会负责任的供应链实践和环境可持 续性的工具与技术。2 该研究指出,在某些情 况下,组织不再重视传统的内部审计方法,希望将 审计资源用于技术工具,因为尽管审计仍然是社会 合规审计中占据主导地位的实践,但由于各种各样 的因素,这种审计被认为是“不充分和无效”的方 法。3 这些因素包括范围限制,多项审计工作会给员 工带来负担,以及审计和第三方认证制度有可能存 在腐败现象。
因此,随着组织更多地把重点放在持续监测技术上 面,内部审计部门必须把自己定位为这些持续监测 工具与技术不可或缺的补充力量,以便保持相关性 并实现在供应链风险管理领域的价值。内部审计部 门有多种方式展现其独特价值。
差异点
持续监测工具看似可以执行相同的审计流程,但实 际上持续监测、合规性测试和发现不合规之处只是 审计职能部门使命的一部分。内部审计部门的核心 目的是帮助组织实现其业务目标,并且由于和供应 链风险相关,因此内部审计可以在与供应链持续监 测流程协同发展的同时通过多种方式展现其独特 价值。
赋予意义
随着供应链监控工具和技术迅速发展,会产生有关
组织供应链的大量信息。组织的决策者需要帮助以
便了解这些信息的影响,特别是对全局的影响。通
过将其工作与利用技术完成的持续监测活动结合,
内部审计部门应能够投入更多的资源,赋予数据持
续监测意义,并将意义转化为可行建议,从而为组
织的战略、使命及核心价值观提供支持。
凭借其独立性和接触广泛的利益相关方,内部审计 部门可以确保将供应链持续监测信息全面、准确地 传播给适当的利益相关方,以便他们做出明智的决 定,从而展现自己的价值。
评估组织政策
为了保证供应链持续监测流程的有效性,组织必须
实施相应的政策来定义需要或不需要以及可接受或
不可接受的行为。供应链的许多方面都必须确立参
数,物料规格、交付时间表和环境影响阈值只是其
中的几个例子。随着时间的推移,必须根据市场状
况和监管变化定期更新这些参数,内部审计部门还
应向组织保证供应链持续监测工具采用的是最新、
准确且合适的标准。
内部审计部门应帮助确保内部人员普遍了解与 供应链职能部门相关的政策和程序。
内部审计部门应参与管理层的工作,确保供应链持 续监测流程在运行过程中使用有关组织需求、限制 和业务条件的最新信息。为此,对审计师而言,有 益的做法是向管理人员提出涵盖供应链方方面面的 问题,例如:
- 相关的监管要求是否发生了变化?
- 组织是否增加或删减了供应商或第三方?
- 组织的持续监测、保证和审计资源是否可以为现 有的供应链提供支持?
- 政策是否仍然与业务模式、战略目标、客户/利益 相关者的期望及核心价值观保持一致?
- 现有控制系统是否存在差距?
沟通
在供应链风险的管理中,沟通是一个重要的环节,
组织内的各个层级都需要进行沟通。
内部审计部门应帮助确保内部人员普遍了解与供应 链职能部门相关的政策和程序。通过面谈、合规性 测试和培训活动评估等方式,知晓员工对其要求的 理解程度。
内部审计部门还应考虑是否有持续进行的沟通活 动,以此教育供应商、潜在供应商、监管机构、外 部审计师、公共部门及其他利益相关方,让他们了 解组织的要求、期望和质量保证活动。
例如,在德勤报告中,受访者提及的困难之一是各 种外部利益相关方(如客户、顾客和监管机构)要 求的审计师数量,各方会提出不同的审计要求和期 望。4 这可能导致组织内部出现返工和审计疲劳。但 是,如果可以利用供应链持续监测工具和技术有效 地满足特定要求并向外部各方提供保证,那么内部 审计部门凭借其在审计流程和标准合规性方面的专 业知识,应该能够提供指导意见,确保有效地完成 审计工作。
问责制
内部审计部门具有独立性且对董事会负责,因此能
够履行特定职能,确保管理层有效且负责任地管理
供应链风险。内部审计部门可以确定管理层是否有
效地利用从供应链持续监测工具获取的信息和见
解。然后,内部审计部门将提出旨在提高供应链运
行效率、可靠性及监管合规性的审计建议。
新出现的风险
为了有效地管理供应链风险,组织必须能够应对新
出现的风险。新出现的风险包括新开发的风险领
域,这些风险虽然尚未完全评估,但未来可能会影
响组织战略的可行性。.5 根据 2020 年毕马威公布的
研究数据,执行层的利益相关方意识到识别现有风
险和新出现的风险是内部审计职务的关键组成部
分,但内部审计部门自己还没有意识到这一点。6 报
告指出“现代 IA 职能部门应了解组织的关键风险,
并积极主动地识别新出现的风险,以便增加组织的
价值。”7 为此,内部审计部门必须从整体角度对供
应链的现有假设大胆提出质疑,包括供应链的输
入、流程和输出;用于管理供应链的政策和法规;
以及供应链运行的社会经济背景。
审计技术工具
尽管技术工具可以提供关于供应链的效率、安全性
与合规性的强有力的见解,但它们无法审计自身。
如上所述,供应链持续监测工具和技术会产生大量
数据。因此,必须对供应链持续监测技术存在有效
的数据治理系统,并且内部审计部门应在这方面提
供有价值的保证。内部审计部门可以提供以下方面
的见解:供应链持续监测数据是否安全,技术是否
按预期运行,是否以合乎道德且负责任的方式使用
这些工具创建的数据。
结论
近二十年前,甫瀚咨询发表了一份报告称,侧重于合 规性的传统审计,“虽然还是很重要,但仅凭传统审 计工作无法为供应链和采购领导者以及采购流程中的 其他利益相关方提供最佳价值。”8 如今,供应链中 断几乎已成为许多组织首当其冲的风险,业务领导者 希望找到新的供应链控制方法,内部审计必须实现平 衡。内部审计部门必须将其工作与高科技供应链持续 监测工具结合,只有这样才能保证自己不会被视为此 类工具的替代品。但同时,内部审计部门必须展现其 有别于技术工具的独特价值,才能被视为是对技术工 具的必要补充。通过这种做法,内部审计部门可以帮 助确保高级管理层继续将内部审计部门视为供应链风 险管理中的基础职能部门。
内部审计部门必须从总体角 度出发,对供应链的现有假设 大胆提出质疑。
尾注
1 Bonner, H.; “Managing Risk With Supply Chain Risk Management Software,” Riskpulse, 2020 年 6 月
4 日, http://riskpulse.com/blog/managing-risk-with-supply-chain-risk-management-software/
2 Deloitte Monitor Institute, Responsible Supply Chain Tools: Understanding the Market Opportunity, 2019 年 4 月, http://www2.deloitte.com/content/dam/Deloitte/us/Documents/about-deloitte/us-about-deloitte-humanity-united-responsible-supply-chain-tools.pdf
3 同上.
4 同上.
5 Protiviti, Board Perspectives: Risk Oversight,第 23 期,
美国,2011 年 1 月 http://www.protiviti.com/US-en/insights/board-perspectives-risk-oversight-issue-23
6 KPMG, 20 Key Risks to Consider by Internal Audit Before 2020,2020 年 1 月,瑞士, Switzerland, http://assets.kpmg/content/dam/kpmg/ch/pdf/key-risks-internal-audit-2018.pdf
7 同上.
8 Op cit Protiviti
Kevin M. Alvero, 注册信息系统审计师 (CISA)、数据隐私解决方 案认证工程师 (CDPSE)、注册舞弊检查师 (CFE)
注册信息系统审计师 (CISA)、数据隐私解决方 案认证工程师 (CDPSE)、注册舞弊检查师 (CFE) 尼尔森公司内部审计、合规与治理部门高级副总裁。他负责领导 内部质量审计程序及行业合规性计划,涵盖澳门赌场官方下载的全球媒体产品 和服务。