内部审计师的作用是提供"保证"，对吗？"保证"是什么样子的？看起来是这样的——"在我们看来，内部控制（替代风险管理、合规、It安全）是有效的……"或者类似的话

如果有例外，就会有审计发现。如果审计结果是重大的，网络云服务器，保证可能是负面的，意见将反映"无效"的控制（等等）。

问题：什么是保证的反面？继续阅读。

保证意味着你认为你知道

让我给你一个相反的观点保证。

我相信"保证"使无知成为可能，并使无知永久化，阻碍了高管们对治理风险和合规（GRC）应该知道的事情的真正了解。它没有为管理者经营业务或利益相关者评估业务提供指导。

看看有多少在金融危机中失败的银行和其他企业对财务报告内部控制给予了积极的意见。

几年前，我被任命为首席内部审计师。我的首席执行官告诉我要做他的眼睛和耳朵。在今天的技术创新之前，管理一个遥远的复杂企业，spark大数据，有些无知是可以原谅的。依靠更多的眼睛和耳朵是可以理解的，在某种程度上是必要的。

但今天的情况并非如此。几乎所有管理治理、风险和合规性所需的数据都以机器可读的形式存在于业务中的某个位置。

创建、维护和报告知识的所有工具、能力和框架今天都在这里。

保证和异常报告不是简单的可接受的。鉴证报告降低了知识的帷幕。

我相信内部审计师现在能够领导创建和报告真正的知识，他们应该在这样做的进展情况下进行衡量。这是一个巨大的转变，但路径已经规划好了。

是时候让内部审计师摆脱控制，进入业务领域了。

GRC的一个飞跃：来自Exxaro的整合思维

我一直认为GRC是业务的一个可管理的维度，GRC专业人士面临的真正挑战是提供业务领导者我们需要一个框架来报告GRC的结果，并说明GRC与绩效之间的联系。

虽然综合报告在美国可能相对不为人所知，但这是一个日益增长的全球现象。在我看来，它提供了这个"透视镜头"，一个组织GRC信息并与业务绩效相联系的框架。如果你不喜欢资本模式，作为报告的组织原则，就用你的商业战略作为框架。

我认为三道防线是综合报告的引擎。它为管理层运营业务提供了杠杆。在三道防线模型中，

知识是由企业创造的，由GRC专家汇总，以及经内部审计证实

我们的客户之一Exxaro Resources将三道防线与综合报告相结合。Exxaro总部位于南非，在那里必须进行综合报告。

GRC中的知识是什么？

下图摘自2015年Exxaro综合报告第19页。

此报告是一个顶级仪表盘，业务部门可以从中深入了解各个业务流程和有关风险的相关信息，国内云服务器哪家好，以及如何管理风险。

Saret Van Loggerenberg，Exxaro卓越的风险和合规经理，在这段短视频中总结了他们的故事。

洞察与保证

Exxaro已识别、记录并评估了他们的风险和控制措施，根据综合报告使用的5个资本模型衡量了风险的净影响，将结果与利益相关者联系起来，并确定和报告了风险偏好水平和相关风险关键绩效指标。

这是知识的样子，云服务器和服务器，与"保证"截然相反。

知识，而不是毫无根据的观点，立返利，是最终的保证。

凭借这些知识和相关的关键绩效指标，Exxaro管理层经营着自己的业务。知识是由三道防线创造的。

他们不需要"保证"，而是有知识。本报告对GRC的作用与财务报表对财务管理的作用相同。

以下是一些需要考虑的问题：

了解更多信息：

请于3月20日至24日在拉斯维加斯参加SAP GRC Insider。参加3月20-22日在奥兰多举行的国际投资协会审计管理大会？参观SAP GRC展位。阅读GRC周二的其他博客和三道防线进一步了解SAP针对GRC的解决方案。