构建面向未来的审计成熟度模型

在第五次工业革命（5IR）掀起的数字风暴重塑商业格局之际，内部审计若想保持其价值与相关性，就必须主动转型。过去那种仅聚焦历史、被动响应的审计模式，亟需被一种更具前瞻性的新模式所取代——这种新模式不仅能预见未来风险，更能推动创新和数字化转型。

这一转变得到了最新版《国际内部审计实务框架》（IPPF）的有力支持。新版IPPF重新定义了内部审计的角色，强调其应助力组织创造并持续实现价值。具体而言，审计服务的范畴不再局限于传统的“确认”职能，而是扩展到提供咨询建议、深度洞察与前瞻性预判。这一理念也与ISACA发布的《IT审计框架》（ITAF）高度契合——该框架明确指出，IT审计人员可承担顾问角色，参与项目评审、方案设计乃至实施评估等工作。

通过融合这些理念以及先进的管理方法和技术能力，内部审计部门能够探索新的战略路径，将技术专长融入日常实践，从而提升主动性，放大对组织的整体影响力。

当前已有多种战略方法和技术手段，旨在帮助组织在审计职能中培育前瞻性思维。采用这些做法，意味着告别纸上谈兵式的理论建议，转而聚焦于交付切实可行、价值导向的解决方案。这些实践按“主动性成熟度”划分为不同层级，构成了本文提出的审计主动性成熟度模型（APMM）。该模型不仅为审计部门向“变革推动者”转型提供了实用路线图，也为董事会评估内部审计的前瞻性水平提供了清晰标尺。

值得注意的是，尽管APMM最初是为内部审计量身打造，但其核心原则同样适用于风险管理、合规及内控等相关职能。

重新定义内部审计

新版IPPF在“第一领域：内部审计的宗旨”中明确指出，内部审计应成为组织明智决策和长期价值创造的关键推手。这意味着审计人员不能止步于传统确认服务，而应主动提供咨询、洞察与前瞻判断，以增强组织持续创造价值的能力。

其中，“咨询服务”（或称“顾问服务”）指审计人员在不执行正式确认程序的前提下，就新政策、流程、系统、产品或服务的设计与实施提供建议，并参与有关风险与控制的讨论。

此外，《IT审计框架》（ITAF）第2001.2.3、2003.5.2和2003.8条进一步细化了IT审计的顾问职责：IT审计师可作为临时顾问或评审人参与IT项目，也可受邀加入项目指导、实施或评估团队。

然而，无论角色如何拓展，独立性与客观性始终是审计工作的基石。IPPF第二领域“职业道德与专业精神”中的第二条原则，以及ITAF第2008.3.1条均强调：审计人员在提供服务和作出专业判断时，必须始终保持独立、客观、无偏。

传统确认活动对新产品、流程或服务的影响有限，对独立性的威胁相对较小；而咨询服务则更具前瞻性，直接影响未来决策，可能引发客观性质疑。为此，必须建立有效的风险缓释机制，确保两者相辅相成而非相互冲突。

主动审计的战略路径

成熟度模型用于衡量某一职能在流程、目标或能力方面的成熟程度，并为改进提供清晰路径与愿景。在主动审计的语境下，APMM构建了一个结构化框架，帮助审计职能逐步提升前瞻性能力。

如图1所示，APMM将主动性划分为五个成熟度等级：

图1：审计主动性成熟度模型（APMM）

第一级：初始级 —— 被动响应，零散行动

此阶段的内部审计主要应对既成事实，偶尔开展一些临时性的主动举措。由于缺乏系统性、持续性的前瞻性方法，审计的整体影响力十分有限。

第二级：可重复级 —— 系统化、实时审计

审计开始具备系统思维，虽仍以确认为主，但已能通过实时介入，在决策关键节点提供及时建议。这种“趁早干预”的方式，使建议能在客户尚未固化方案、修改成本尚低时落地，大幅提升采纳率与实际成效。

第三级：已定义级 —— 数据分析与概念验证（POC）能力

审计在此阶段系统性地运用数据分析与人工智能（AI）技术，通过构建可运行的概念验证（Proof of Concept, POC），直观展示自动化控制的可行性，并推动基于数据的决策。

一个成功的POC必须是完整、可独立运行的解决方案。否则，若客户还需额外投入大量资源（如开发系统接口、部署新基础设施或升级平台），很可能因实施成本过高而拒绝采纳。

例如，若审计发现客户在填写数字贷款合同时存在识别错误的控制漏洞，可设计一个包含SQL脚本的POC，自动执行输入验证（如范围、格式、数据类型检查），并交叉比对内外部数据库（如资产抵押记录）。通过在样本数据上应用这套自动化方案，不仅能发现现有控制未覆盖的问题，还可结合投资回报率（ROI）指标，清晰证明新方案在实际运营中的价值。

当然，审计建议并不总局限于数据处理。许多情况下，还需涉及功能设计、用户体验、技术架构乃至新技术融合等更广泛的领域。此时，POC的价值不仅在于技术验证，更在于搭建起审计与业务之间的信任桥梁，让前瞻性建议真正转化为组织行动力。

第四级：已定义级 —— 基于技术的概念验证（POC）能力

尽管数据分析极具价值，但许多审计建议不可避免地超越了常规数据处理范畴，涉及功能设计、用户体验、技术基础设施乃至新技术整合等更复杂的领域。在这些情况下，内部审计若想有效证明方案的可行性，往往需要借助额外的工具与技能——例如，构建一个具体、可运行的技术型POC，以直观展示其实际价值与落地潜力。

为此，审计部门必须具备在受控环境中开发、部署并运行应用程序或技术组件的能力。为提升POC的真实性和相关性，该审计专属的IT环境最好能与组织现有的应用系统、工具和数据实现有限交互。值得庆幸的是，近年来人工智能（AI）以及低代码/无代码平台的快速发展，为审计团队提供了成本可控、易于上手的技术支持。

仍以前述贷款申请为例，假设客户填写的是纸质表单而非电子文档，需人工审核。此时，审计团队可利用先进的AI驱动工具，对非结构化的纸质文件执行光学字符识别（OCR），将其转化为结构化数据表格，并同步开展自由文本分析。除了自动校验输入内容、交叉比对数据库外，还能精准捕捉手写信息在录入业务系统过程中可能产生的偏差或遗漏。

然而，即便客户认可某项POC切实可行且价值显著，其最终落地仍受限于组织的优先级排序与预算安排。为提升影响力，内部审计可考虑以下两种机制，主动推动建议转化：

• 专项预算配额（“审计钱包”）

即为审计职能预留一笔专用预算额度（以“代金券”形式），用于支持基于POC的审计建议实施。该额度可覆盖全部或部分实施成本，有效缓解因资金限制导致的采纳阻力，从而放大审计的实际成效。 鉴于资源有限，审计部门应建立一套结构化流程，依据风险等级、组织影响程度及与战略目标的契合度，科学分配这些预算资源。

• 项目组合中的预置优先级席位

在组织整体项目管理框架中，为审计预留若干“优先实施通道”。审计可利用这些席位，将源自POC的关键建议直接纳入高优先级项目清单，避免因排期竞争而被搁置，进一步提升建议落地率。

为确保这些机制持续有效，审计部门需通过关键绩效指标（KPI）进行常态化追踪与优化。但必须警惕：此类深度介入可能对审计的独立性与客观性构成潜在挑战。因此，应同步设置关键风险指标（KRI）作为早期预警机制——例如，监控“审计支持预算占全组织创新投入的比例”，或“审计优先项目在整体高优项目中的占比”，防止角色越界。

达到第四级成熟度的内部审计，已不仅限于数据层面的验证，而是能构建包含真实业务流程、完整用例和技术驱动逻辑的综合性POC。此时，审计实质上扮演了“类IT驱动者”的角色——在一个贴近实战的沙盒环境中，对新概念与解决方案进行全流程验证与演示。

这种技术赋能的POC能力，极大拓宽了审计价值的呈现维度，不仅显著提升了主动性，也增强了业务部门的参与意愿与协作深度，最终放大审计的整体影响力。

第五级：战略优化级 —— 塑造思维，驱动变革，持续进化

在第五级成熟度下，内部审计已深度融入组织的战略肌理，其核心使命不仅是提供建议，更是主动塑造组织的决策思维与文化范式。这种参与不再是偶发或被动的，而是制度化、常态化的战略行为，旨在实现双重价值：一方面提升组织决策质量，另一方面增强管理层对审计所验证理念的接受度与行动意愿。

更重要的是，审计在此阶段持续寻找推动变革的机会，不断拓展自身在组织中的影响力边界。这种“永不停歇的改进精神”，确保审计的贡献始终与组织发展同频共振，实现影响力最大化。

第四级与第五级所积累的综合能力，使审计人员能够完整验证并演示端到端的数据与技术驱动方案。这一点至关重要——因为即便业务方认同某项建议的价值，其落地仍常受制于僵化的组织心智模式。这些根深蒂固的思维定式，往往源于既有的流程架构、工作习惯和决策机制。例如：

• 群体思维（Groupthink）：决策团队过度追求共识，压制异议，导致判断失真；

• 权威主导（Overshadowing）：强势个体主导讨论，抑制多元声音；

• 异见污名化：持不同观点者被视为“阻碍者”，久而久之，团队成员倾向于附和主流（尤其是高层）意见。

此类现象严重削弱心理安全感，阻碍知识融合与创新涌现，最终拖累数字化转型进程。

要真正释放审计价值，就必须在决策发生的地方、发生的时刻主动介入。这意味着审计应常态化出现在定义组织未来的关键节点——如战略研讨会、项目指导委员会、高管会议乃至董事会。理想情况下，可通过正式章程赋予审计“常设观察员”身份，使其有权参与文化与战略塑造的核心场域。

更进一步，审计可制度化地扮演“红队”（Red Team）或“魔鬼代言人”角色：专门负责挑战既有计划、提出对立视角与替代方案。建议在会议中设立固定时段，由审计红队系统阐述其洞察与依据；随后由管理层提问、反馈，审计再予以回应。这一结构化对话机制，不仅能丰富决策的信息维度，更能培育一种尊重多元、拥抱变革的组织文化——在这种文化中，一线与二线员工敢于安全地表达不同声音，创新才真正有了土壤。

结语

审计主动性成熟度模型APMM的实践，将彻底重塑内部审计的角色定位——从回溯性的审查者，转变为面向未来的价值共创者与变革催化剂。随着审计团队逐级跃升，他们将越来越靠近决策中心、价值源头与影响力核心。

当组织真正拥抱APMM，内部审计便不再只是“指出问题的人”，而是“共建解决方案的伙伴”，其相关性、话语权与战略价值将获得质的飞跃。最终，审计将成为推动组织韧性、创新与可持续发展的关键引擎。

来源：ISACA微信公众号

编辑：孙哲

目前190000+人已关注我们，您还等什么？