世界领先公司的内部审计--IBM
说明:以下内容选自2006年左右的材料,尽管距离2016年已经有十年以上的时间,但对这些世界知名公司的内部审计的宝贵经验仍然值得中国的内部审计部门和内部审计师一起学习。IBM公司内部审计部门在团队建设、认证与评估、培训与知识共享方面都取得了很大的成绩。从下面的材料中提炼出几点,和大家一起讨论、交流:
#内部审计应做好与控制、系统、流程的结合。
#内部审计部门不是提供改进控制建议的唯一渠道,需要与其他业务部门紧密配合。
#内部审计部门应该和业务部门保持良好的沟通。
#充分利用应用系统的审计认证(ASCA)和半年控制评估(SACA)工具和流程。
#内审部门要让每位业务人员都意识到:他们是风险责任人。
#配备专门的人力开发审计培训课程并对审计人员进行教育。
#鼓励审计人员参加其他业务部门的专业培训。
#共享审计报告、建立控制论坛、在线交流、高层沟通都是知识共享的措施。
IBM去年的全球雇员有30万,收入884亿美元,利润81亿美元。Janet Andersen(简称JA)是IBM内部审计与业务控制部门(Internal Audit & Business Controls)的首席审计师。
1.专门的团队
216人向JA直接汇报,其中125人是职业的审计师。有一小队支持人员负责提供控制培训、推进审计计划和总结控制中存在的问题。一名技术人员提供审计工具并对全球的"机动部队"提供支持。IBM的审计团队以及使用的审计和控制工具是一流的,但是其最与众不同的是审计与控制、系统和流程的结合。
内部审计部门不是控制改进建议唯一的来源渠道,内审要与遍布在IBM各业务部门的控制团队紧密结合,一起工作。业务控制(BC)部门的员工要向业务部门或财务管理部门汇报,帮助一线的管理者实施更好的控制。内部审计(IA)和业务控制(BC)的结合是成功的关键。因此,JA的团队称为IA&BC。IA&BC与业务部门保持很好的沟通,例如,提供培训并定期发送IA&BC期刊。这些努力使得在IBM建立了很好的控制文化氛围。
在IA&BC中,有人会负责全球的业务控制实践,着眼于与电子商务、流程再造和效率改进建议相关的全球范围的控制措施。这些控制专家可以为内审人员提供建议与咨询,并与相关流程的实施业务部门保持沟通,共同改善。还有一些人负责联盟、收购与合资,确保组织有能力遵循正确的控制程序。
此外,IBM还关注发展中国家,这些国家的IBM业务不会应用全部的流程和控制措施。
2.应用系统的审计认证(ASCA)和半年控制评估(SACA)
应用系统的审计认证(ASCA)和半年控制评估(SACA)这两种方法使IBM达到很高的审计水准。ASCA确保开发任何新的或新更改的系统之前都要经过审计,以保证它们达到预期目的。这与质量复核不同,更加全面并以控制为导向。IBM已经为ASCA审核过程申请了专利。ASCA团队审视应用系统,确保控制健全,包括控制点和文档管理。IBM审计部有三个子部门,各有一个经理负责此事。
业务部门使用半年控制自我评估(SACA)流程评估和报告控制情况。为了得出SACA排名,IA&BC提供了一系列调查问卷,包含8个基本的问题,各个业务部门可以对这些问卷更改和个性化。回答的结果要按照矩阵的方式交叉比对,看存在哪些交叉问题。这种方法可以使其从不同角度关注重要的问题。该工具很好用,主要体现在:业务部门是控制的核心;确保矩阵结构的组织的各部分相互充分沟通。
3.教育和知识共享
IBM内的专业人员(BC)都是风险责任人,他们都意识到其识别和管理业务部门风险的职责。这是因为IBM高度发展的内部教育与知识共享机制,也是因为高层管理者对IA&BC的大力支持。
JA的团队自己开发诸如专业审计训练、专业写作、审计团队领导力和审计专用语言(ACL)的课程。IA&BC 有两名专职人员负责教育。除了这些及IBM标准的介绍课程外,JA还敦促控制专家参加其他业务部门组织的培训项目,如供应链管理、采购和全球融资等。
对于企业范围内的知识共享,JA的团队有几个有力措施:与相关控制人员共享审计报告、控制报告、业务流程审核,确保他们能够发现问题并在各自的业务部门使用这些信息。审计部门每季度组织业务控制论坛,不同业务部门的经理应邀来参加并探讨控制的问题。另外还有在线用户讨论区。每年有两次JA要与IBM的高层经理讨论公司的整体的控制问题也关注各部门专门的问题。然后JA的高级经理会每季度把这些谈话传播下去,对于审计一线经理,审计部要求其每月与各业务部门的主管密切合作。
在市场不断变化的时代,IBM的IA&BC部门保持与时俱进的方式是靠新流程支持(NPS)部门的努力。该部门主要负责审视新业务流程的控制情况,他们会为业务部门做咨询,说明控制状况并就新流程的一些重要影响因素培训IA&BC的团队成员,发布一些信息并更改审计程序。