(三)内部审计领导度量标准。
内部审计领导的度量标准旨在帮助CAEs、高级管理人员和董事会将他们的职能活动与类似组织的职能活动进行比较。本报告使用过去和现在的脉搏数据来探讨风险评估和审计计划分配方面的四年趋势。2020年调查的另外20项数据显示,员工配置水平和招聘实践因组织类别而异。本报告确认了五种组织类型:公开交易型、私有型、公共部门型、非盈利型和金融服务型。金融服务型是从其他四类组织类型中提取金融服务受访者设立的,因为金融服务的调查结果通常与其他组织类型的调查结果有很大差异。
1. 风险和审计计划趋势。
(1)风险-所有受访者。2017年至2020年所有受访者都表示几乎所有风险的预期水平都呈强劲的上升趋势。此外,网络安全、信息技术和第三方关系方面的风险上升趋势也很明显。
(2)审计计划-所有受访者。2017年至2020年所有受访者分配给关键风险领域的审计计划结果表明,每年分配给关键风险领域的审计计划并没有显著变化。但是不同组织类型在审计计划分配之间也存在明显差异,如认为与信息技术有关的风险很高的公开交易组织的受访者百分比上升了19个百分点;在上市公司(不包括金融服务行业),CAEs继续将约40%的内部审计计划用于财务报告和合规/监管风险。与此同时,网络安全、机构风险管理、信息技术和第三方关系这四个位居最高或非常高评级名单的风险加起来只占2020年审计计划的23.2%;金融服务行业受访者继续将高/非常高的风险问题列在他们最关心的问题列表的首位,其中涉及网络安全(85%)、IT(65%)和合规性(59%)(不包括财务报告内部控制(ICFR));公共部门受访者将网络安全和IT相关的风险评为高或非常高(分别为79%和67%)。将遵循性、第三方关系和治理与文化评为高/非常高的受访者比例有所上升,而将运营风险和财务风险(不包括ICFR)评为高/非常高的受访者比例较前几年有所下降。自2017年以来,公共部门将合规性审计作为最大的审计计划类别,这种趋势并不奇怪,因为公共部门经常需要强制性的合规性审计。尽管网络安全位于高风险/极高风险名单的首位,但致力于这种风险的审计计划的百分比下降到约 5%,在所有组织类型中是最低的。