由于全球组织的员工继续在混合或完全远程的环境中工作，远程审计已成为后疫情时代的常态。尽管远程审计带来了诸多便利，但也伴随着一些挑战，如沟通障碍、减少的人际互动、在职培训机会的减少、安全问题以及更高的技术成本。这些问题中最关键的两点在于如何建立和维持关键关系以及获取信息。

虽然远程审计带来了新的挑战，但也有许多好处，例如降低差旅和办公空间成本、工作与生活平衡的灵活性、招聘地理位置不限的优秀人才，以及由于节省时间而可能提高生产效率的潜力。

远程审计已经改变了审计工作的执行方式，在进行一些调整后，可以高效地开展。探索成功应对远程审计的建议具有重要价值。

成功开展远程审计的策略

为确保远程审计获得成功需要做一些调整。在新冠疫情期间，员工已经证明了审计可以以高效且富有成效的方式远程进行。尽管许多企业在疫情之后要求员工返回办公室，但员工已经展示他们重视远程工作的能力并希望继续保持这样的方式。审计行业已经看到选择审计职业的毕业生数量下降，因此吸引和留住人才是许多企业的关注点。

即使获取证据的格式和执行方法与传统审计不同，远程审计师也必须继续遵循必要的审计准则。例如，内部审计师协会(IIA）标准 14.6 概述了项目文件编制的要求，以及重新执行支持审计结论的审计工作的必要性。类似地，上市公司会计监督委员会（PCAOB）审计标准（AS）1105：审计证据要求提供充分且适当的审计证据以支持审计意见。

为了开展更有价值的远程审计，企业应考虑几种策略。

拥抱数字化协议

常见的审计技术，如询问、检查、观察、确认、重新计算和复核都可以远程进行（图1）。例如，在进行控制设计的穿行测试时，屏幕共享可让审计人员详细了解流程及其相关证据。如果公司政策允许会议录音，则审计人员可以专注于审查流程而不是记录笔记，之后可通过回放录音来记录证据。此外，当涉及多方利益相关者时，虚拟会议可能比面对面会议更容易管理，因为虚拟参与提供了更大的日程安排灵活性。

图1——标准与远程审计程序对比

拥抱数字化证据

远程审计推动了审计工作向数字化证据的全面转型。过去那种装满手工签名的会计对账单和其他纸质材料的厚重文件夹已成为历史。如今，数字签名和电子邮件记录已被广泛接受为有效证据。在收集截图作为证据时，审计人员通常要求截图包含日期和时间信息，以确认其生成时间。远程审计的重点在于确保证据的妥善保存，并严格管理访问权限，防止未经授权的修改。

审计团队可以通过治理、风险与合规（GRC）审计平台工具发送调查问卷，收集审计所需的信息（例如流程描述更新、年末问询以识别流程、负责人或系统的变更）。这种方式相比召开会议收集信息，能显著节省时间，也更受被审计方的欢迎。

管理审计请求

正如许多审计师所知，及时获取审计证据常常是一大难题。面对面的跟进通常更为直接有效，因此远程审计人员必须更加主动、持续地跟进审计请求。团队应制定并明确沟通未完成请求的升级处理时间表。

在远程环境中高效工作

除了采用推荐的远程审计策略外，企业和审计人员都应强化对远程工作最佳实践的承诺，以提升整体效率。

保持沟通与参与

经验较少的审计团队成员可能在远程环境中难以快速掌握工作职责，也容易感觉缺乏指导。为缓解远程团队可能带来的孤立感，定期沟通和保持联系至关重要。这可以通过与下属进行一对一沟通以及团队会议来实现。开启摄像头能让交流更有“人情味”，但也需注意平衡，避免造成“视频会议疲劳”或时刻面对镜头的压力。每年安排一次线下团队聚会，让成员面对面交流，会很有帮助。为了弥补办公室里自然发生的“茶水间闲聊”，许多团队会使用群聊工具来促进非正式交流。

与被审计方的沟通同样重要，启动会、进度会、穿行测试会和结束会等都可以顺利转为线上进行。在某些情况下，甚至可以用问卷调查代替会议来收集信息。像SharePoint这样的云平台也可用于收集审计证据。

设定界限

尽管一些远程工作者担心工作与生活界限模糊，但建立每日例行公事和专门的工作空间可能会有所帮助。远程工作者应意识到工作时间的开始和结束时间。应根据员工所在时区明确核心在线时间。此外，应使用不同的设备用于个人和工作目的。随着审计工作旅行减少或取消，企业大幅降低了差旅成本，员工也获得了更好的工作生活平衡。

建立虚拟会议协议

为线上会议建立明确的规范至关重要。例如，需要提醒团队成员，在公共场所参加视频会议是不可接受的——即使不发言时关闭了麦克风，背景噪音和干扰依然存在。更重要的是，在公共场合进行线上会议可能泄露敏感信息。远程审计人员需时刻注意在公共场所的谈话内容。

增强安全性和技术效率

远程办公迫使企业加大在安全技术上的投入，如虚拟专用网络（VPN）、多因素认证（MFA）和数据防泄露（DLP）软件，以监控和保护敏感信息。同时，稳定的高速网络连接也是基本要求。另一个风险是，远程员工可能未连接公司网络，导致无法及时接收系统补丁和更新。其他常见问题还包括无法连接家用打印机，或因安全限制导致远程密码重置困难。

出于对数据安全的担忧，大多数本地笔记本电脑上的数据都会被自动备份到云端。但企业无法控制远程员工如何保管其设备的物理安全。例如，员工出差时应使用防窥屏保护企业数据。打印敏感资料也可能带来风险。解决这些安全问题，关键在于建立员工信任，并确保他们熟悉公司的相关政策。企业应至少每年为员工提供一次关于隐私和网络安全政策的培训。

远程审计的局限性

在某些情况下，远程审计可能并不理想，甚至无法实现。例如，实物盘点通常需要审计师亲临现场，以确保仓库内所有物品都被清点、观察仓库人员的盘点过程，并对存放在不同位置的物品进行抽点。而仓库环境往往缺乏稳定的网络连接。

不过，审计师可以远程检查位于不同地区的数据中心。由现场技术人员向远程审计师展示其检查清单上的各项要求是否满足（例如：灭火器上的检查标签、火灾探测与灭火系统、机房空调、上锁的机柜、监控摄像头等）。

借助“客座审计师”

许多企业面临越来越大的成本节约压力，导致差旅政策日趋严格。对多数企业而言，除非差旅直接支持销售、对运营至关重要，或能带来推动收入的战略性业务发展机会，否则不被视为必要。作为一种替代方案，企业可以启用“客座审计师”来执行远程内部审计。关键考虑因素包括：

• 人选选择——取决于完成审计所需的资质。可以是具备相关领域专业知识的人员、希望了解其他业务领域的高绩效员工，或仅仅是审计地点的合格员工，能代表审计团队进行观察或完成审计清单。

• 地理位置——被审计实体的位置将决定使用客座审计师的可行性。应权衡通过使用客座审计师实现的成本节约，以及不使用现有内部审计团队成员所获得或失去的价值。应评估相关的收益和劣势。

• 参与时间——审计经理必须确保客座审计师的时间范围足以实现审计目标。客座审计师必须获得现任经理的书面批准。典型的客座审计师角色持续约4-6周，应专注于特定任务，减少对日常活动的干扰。

• 独立性与利益冲突——客座审计师应要求披露与所审查流程的任何潜在冲突。理想情况下，客座审计师不应审计过去一年内他们直接参与的流程。

客座审计师应像正式团队成员一样接受监督，并接受内部审计方法和流程的适当培训，以确保审计任务成功执行。

管理虚拟审计

远程审计要求领导者转变管理方式。管理重点从“巡视办公室看谁在岗”或“监控在线状态”，转向关注审计成果的按时交付。这种模式需要管理者进行有策略的定期沟通，以了解项目进展，同时确保信息透明、期望明确。大多数审计团队使用GRC工具，可以轻松监控进度并生成状态报告。审计经理可能需要要求团队直接在工具内实时协作，而不是在系统外工作后再上传成果。

结论

数字世界的变化迅速且持续不断。审计人员必须不断探索如何通过挑战传统方法来提升效率。对于每个审计项目，团队都应结合其地理位置和相关风险，判断现场审计还是远程审计更为合适。对于高风险领域，现场审计可能更具说服力；而对于低风险领域，远程审计则更为高效。国际审计点通常差旅成本高昂，远程方式更具成本效益。远程审计需要调整方法、建立明确的指导原则，并由管理层严格执行。随着进入审计行业的毕业生减少，人才竞争将日益激烈。对于业务遍布广阔地理区域、跨越多个时区的全球性企业而言，依赖远程协作已是必然趋势，且将持续发展。适应远程审计不仅是当下的必要之举，更是一种战略优势，它让审计工作能在现场与远程模式间更灵活地切换。通过主动应对这些变化，审计工作不仅能得到增强，也能更好地满足现代workforce的动态需求。

编者注：本文出自ISACA Journal 2025年第4期。尾注略。文章内容仅代表作者本人观点。

作者：AYSELI SEN, CISA, CRISC, CFE, CIA, CPA, CRMA，Windstream公司内部审计部的高级总监。

FARAH SAMMOUR, CISA, CRISC，Frontier Communications 公司内部审计总监。

翻译：姚凯（Kevin Yao），CISA，CISM，CRISC，CGEIT，CDPSE，ISACA微信公众号特邀通讯员，拥有二十余年IT从业经验，近年来关注IT安全，隐私保护和数字化。 

校对：杨皓然（AdySec），CISSP，CISM，CISA，CDPSE，CRISC，CGEIT，PMP，CCSK，CZTP，CDSP，CCSSP，RHCA，CCNP，ISO27001 Auditor，ISACA微信公众号特邀通讯员，ISACA中国特邀专家，CSA大中华区专家，ISC2北京分会会员，致力于云安全、数据安全、安全运营、AI应用开发等方向。