仅仅几天时间,新冠(COVID-19)疫情就从一场日益严重的医疗危机演变成了一场宏观经济危机。随着该疫情在中国以外的地区蔓延,其潜在影响吓坏了世界各地的市场。虽然没有人能确定其最终影响,但疫情迅速蔓延本身及其对全球活动的间接影响,已经引起了普遍的高度重视。
对于过去几年里我广泛提及和分析过的新风险,这种疫情提供了一个生动的案例。有些新风险难以预见,其最终影响难以判断。但是,这并没有掩盖这样一个事实,即疫情不仅对普通民众的健康和福祉、而且对世界各地的组织都构成了明显和令人担心的危险。
风险引人关注,而内部审计在关注风险方面的独特技能和定位应得到充分发挥。作为内部审计人员,可以采取以下重要行动来支持所在的组织:
管理层负责管理风险。他们正在作出多方努力,尽可能地识别风险,评估其潜在影响,谋划各类应对措施。内部审计是客观定位风险的大师。通过与管理层的对话和参与各种活动,内部审计可以评估管理层是否确定了各类风险——直接的和间接的,评估管理层是否确定了针对潜在影响——尤其是那些始料未及的事情发生时——的管理力度。
管理层可能已经开始讨论与商务旅行有关的风险,评估员工远程工作的能力,确定关键的业务操作是否可以转移到不同的地点,关注供应链的中断,并强化与员工的有效双向沟通。然而,这些只是疫情潜在影响的一部分。内部审计可以评估疫情对异地数据存储服务的潜在干扰,疫情如何影响客户购买行为,或者组织向客户提供技术服务的能力是否会受到干扰。
突发的疫情强化了组织对良好开发而且经过演练的应急预案的需要。危机管理和业务连续性计划应清晰地指定角色,制定沟通和协调计划、决策规程和紧急行动计划。管理层应审查这些计划,以弥补可能存在的空白。内部审计可以监督这项工作,并在存在不足之处提供建议。现在不是仅仅报告问题的时候,而是帮助确保计划足够充分的时候。
同样关键的是确定如何最好地让利益相关者了解组织的活动,并促使员工、高级管理人员和董事会在当地发生疫情时采取适当的措施。
新冠疫情还存在一些应该引起组织注意的相关风险,包括对网络和声誉的威胁。IIA最近发布的关于新冠疫情的指南指出,“尽管组织在确定新冠疫情对其运作的潜在影响方面尚处于初级阶段,但一种从属的风险正在出现——危机中的社会工程。”该公告接着描述了伪装成病毒防护指南的钓鱼攻击。
同样,组织的声誉也会受到它对疫情回应方式的影响。最近,一所重要大学在其社交媒体上发布了一条帖子,将“仇外心理,或对其他国家的人的偏见”列为对日益担忧的新冠疫情传播的“正常”反应,从而受到了广泛的批评。
新冠疫情对运营和整体经济的影响可能会持续数月甚至数年。组织应该关注长期破坏如何影响供应链、生产力、业务增长预测、现金流、利润预期等等。
组织还应该考虑如何管理疫情后的情景,比如快速增加产量以应对被压抑的需求。有充分的证据表明,那些在自然灾害后最先开业的企业,往往是那些在长期发展中表现最好的企业。
新兴风险的本质是不可预测的。管理层和内部审计必须持续关注组织内外发生的事情,并根据需要灵活地适应和调整。管理层可能疲于应付那些在他们计划中的事情,而忽视已经发生了的变化。内部审计可以很好地协助助管理层建立这种联系。
上述5个行动建议,都来源于诺曼•马克斯(Norman Marks)阐述过的一个核心概念。诺曼•马克斯(Norman Marks)长期担任首席审计执行官(CAE),是IIA内部审计博客的专栏作家。他上周在一篇关于新冠病毒的博文中写道,内部审计的最大贡献就是向管理层请求:“我们能发挥什么作用?”发挥作用的方式很多。对内部审计而言,重在给组织带来独特的客观性、视角、流程。
为了成为一个有效的、值得信赖的合作伙伴,内部审计人员必须充分理解组织的业务,以了解、理解和预测风险。对组织的战略和运作有一个坚实的基础对于全面了解风险状况是至关重要的。
对新冠疫情的应对就很好地诠释了风险管理的全部内容。CAEs应该毫不犹豫地在组织的计划和行动中扮演积极和高调的角色。
董事会总是担心,管理层是否有能力成功识别新出现的和非常规的风险。在美国企业董事协会(NACD)休斯顿分会的最近一次会议上,IIA受邀就《2020年风险评估报告》发表演讲,清晰地传达了这一信息。董事会还希望得到这样的保证:他们的企业文化鼓励整个组织的协作,以制定适应市场混乱(如新冠病毒疫情)时的商业计划。内部审计应该提供这种确认。
有些人可能会认为股市暴跌、新闻高度关注、社交媒体对新冠病毒的痴迷都是过度反应。但是,即使疫情得到控制,经济影响是暂时的、轻微的,这次暴发也为我们提供了一个机会,以检查我们的能力,完善我们对重大危机的应急计划,并将内部审计定位为可信赖的合作伙伴和顾问。
作者:理查德·钱伯斯(源自2020年3月2日IIA官网)