[专栏|Army]聊聊内部审计是否出具审计建议

前段时间有一个“调查：大家所在企业组织的内部审计报告中是否出具审计建议“，笔者有简单的回复此份调查，就此调查笔者个人观点再此整理下。

回到这个「调查的本身」“内部审计是否出具审计建议”，若一家企业内部审计完成之后审计报告中不提出可行性（通常说：建设性）审计建议，会直接说明「两点问题」：

1.企业对审计部不重视，只是应付主管机关检查而做样子。

2.内部审计Team的技术能力不够（因为内部审计对企业业务部门清楚以及作业程序、控制系统不熟悉无法提出可行性建议，当然还有对于一些内部审计来说“经验会有帮助”）

简单聊聊，笔者所在企业是如何让内部审计建议如何有效的提出（仅供参考）：

1.  稽核过程中，对于「查核发现」与被查单位沟通及确认。

a) 通过「数据分析」、「数据分析」、「系统作业单据Link」、「穿行测试」发现被查单位问题，问题的发现，需要与被查单位沟通及确认（通过数据说话），异常数据是用ACL系统Run出

2. 审计结果确定之后，归纳整理本次稽核的循环所有的「风险」及「问题」，「从点到面，面对点」并使用「数据体现（金额）」。

3. 将审计“发现”与“结果”，整理制作成Close Meeting PPT「PPT 简单明了突出问题与重点」。

4.Internal audit 内部讨论，对本次Internal AuditTeam需要与被查单位讨论「主题」与「重点」Review。

5. 主导Close Meeting，发会议邀请通知，参与人员包含：CEO、O、CFO、被查单位的Bu Head、高中层管理人员（若涉及系统必须要求IT参加）。

6. 会议过程中Internal Audit 将稽核发现通过PPT分Agenda呈报说明，针对每个事项的问题，由CEO、O、CFO在会议上对于稽核发现问题需要改善控制风险部分指定PM（Project Management）或者由被受查单位回复PM负责主导改善，给出完成时间，由PM自行制定PIC（Person in Charge）执行完成，（Project Management）

7. Close Meeting结束之后，将会议决议E-mail给与会人员，相关单位按会议决议执行改善。InternalAudit负责追踪及改善结果验证。

注：Close Meeting 上均由InternalAudit各自报告所负责项目（Team人员培训）

8. 会议结束后将「会议记录」将「会议决议」E-mail与会人员，再出具的稽核报告「含稽核建议」给董事长核准，报备董事会与审计委员会备份保留报告。

之所以需要这样的做的原因，除了体现「问题的改善需要沟通」，更隐藏着对被审计部门的尊重，而不是「僵硬的命令」，因为实施控制的是被查单位。

从CIA的书籍上你是否记得，看过“三道防线模式” InternalAudit是「第三道防线」，而前面还有两道防线，而真正在「实施控制」的是被查单位，不与被稽核单位讨论的内部审计建议，很多时候除了无法落实，反而降低内部审计的价值。

知道IBM内部审计为什么处于世界领先位置吗？（插一个话题，华为的今天，除了任正非之外，与IBM有非常大的关系，而这个关系，就是与「内部控制」有关），除了IBM是世界上最早参与内部审计发展方向讨论的公司之外，更重要的一点就是：“内部审计不是控制改善建议唯一的来源渠道”（这点直接体现IBM高层人员的睿智，更是让内部审计发挥出巨大的功能），在IBM还有一个团队叫BC（业务控制），BC团队必须保持与业务单位在内部风险控制过程中良好的沟通与协调，然而在目前的企业中BC这个单位其实就是“被审计单位中的管理组织”。

回头看看，是否明白内部审计出具审计建议，应该知道如何去完善了吧~

笔者浅聊“内部审计是否出具审计建议”仅仅代表个人观点与思维操作方式。

请尊重原著，拷贝请说明来源，谢谢！