內部稽核的洞見－聚焦高影響風險領域

內部稽核的客觀性、觀點與技巧能夠在各種組織的無數領域協助利益關係人並提供珍貴的洞見。然而在2016勤業眾信的全球企業稽核主管調查中顯示，只有28%的企業稽核主管相信他們（內部稽核）的功能對組織能帶來強烈的作用與影響，一般而言，這個作用與影響會隨著內部稽核涉入領域對關鍵利益關係人來說具風險重大性、重要性與主要商業考量的程度而增加。內部稽核的洞見系列內容辨識出11項內部稽核應聚焦高影響風險領域，同時說明了這些領域對利益關係人之重要性。

策略規劃

策略規劃是管理階層描繪組織未來成敗的藍圖。調查中，53%的企業稽核主管提及他們的內部稽核單位預計在未來三年將重新審視組織的策略規劃流程(相較於過去三年增加了35%)。同時，對於需要核准策略規劃的董事會而言，他們需要獨立客觀的一方來協助確認計畫中的流程是否確實施行。

第三方管理

管理階層需要清楚所有第三方生態系之風險，包含供應商、銷售通路、關係企業、研究與發展夥伴、授權對象，雲端與其他IT服務提供業者等。同時，94%的受訪者表示，對於用來管理第三方風險的工具及科技具有低度至中度的信心，87%受訪者回應對於潛在風險管理流程的品質也是具有類似的信心水準。

內部稽核分析技術

分析技術有助於提升內部稽核執行的效率與效果。動態的稽核計畫能夠讓內部稽核依據不斷演變的風險來擬訂稽核計畫，而不再是基於過去的既定風險。分析技術也讓內部稽核能夠提供利益關係人針對利益獲取有關之各項風險議題的洞察意見及前瞻觀點，及由動態報告所驅動的深度觀察。

整合性風險確信/聯合確信

聯合確信漸漸地變得較不適用，取而代之的是整合性風險確信。追求聯合確信能夠引導注意力在由各種資料來源彙整的確信報告，而非產出一份整合性的風險藍圖。

網路

董事會認知到只有來自於資訊長(CIO)或資安長(CISO)的資安事件報告是不足夠的。他們期望內部稽核可採取獨立、客觀與全面性的角度來檢視網路風險。另外，立法單位、監管機關與其他機構也同樣促成這股趨勢，大眾普遍認知到網路對組織績效及安全是非常關鍵重要的。

數位化

虛擬型式可能較為彈性、涉及範圍更加廣泛、也更具獲利性，因此對稽核來說也更加挑戰。不同的應用依據業務、利益關係人、與組織弱點而衍生不同的議題、風險、與機會，更代表著不同的企業數位化成熟度。

風險文化

監管機關與董事會關注組織的風險文化，因為它大大的決定了組織中的決策、行為、與風險承擔能力。風險文化並不是僅僅影響日常營運和財務狀況，它也決定了研發決策、產品及服務發展、及市場的進入或退出。

策略與新興風險

策略風險主要(但不僅僅是)是指那些與外部破壞力、或影響關鍵策略假設、及對組織達成策略目標能力造成衝擊的各項相關因子。新興風險則是指能夠對組織達成策略與經營目標能力造成衝擊的初期發展風險。

企業永續確信

內部稽核應針對企業永續的公開揭露資訊，提供董事會與管理階層相關資料正確性與一致性的確信程度報告。內部稽核也應提供作業及法遵風險管理有關的確信程度報告，將影響利益關係人對企業永續表現的評估結果。

媒體稽核

組織通常仰賴廣告代理商來規劃、執行、及自行報告投入廣告成本與創造成效。近年廣告生態的改變帶來了關於代理商透明度與廣告成效的疑慮，即是代理人因利益衝突考量而犧牲廣告客戶權益的現象。

報告的新方法

因應利益關係人的需求，內部稽核正試著採用新報告方法，以更簡化的方式呈現資料及洞見，改善使用者體驗。報告的結果更具前瞻性、洞見性、更精簡、及有層次感，並且是更加視覺化與動態的呈現。隨著組織越大與越複雜，利益關係人越是忙碌，內部稽核則更加需要採用這些新的報告方法。