内部审计如何为企业实现增值
大多数业内人士都赞同在企业内部施行标准操作程序(Standard Operating Procedures, SOPs)来定义“最佳实务(Best Practices)”, 将其在企业内部以制度形式固定下来并最终实现质量系统的有效性。 在我们追逐一个持续、有效、以质量为导向的工作程序时, 有必要首先定义一下我们对这个工作程序的期望值。
一旦这些“最佳实务”定义好并且以文档的形式记录下来,新的挑战又出现了。 我们如何维护并不断发展这一标准操作程序系统以保证该系统能够适应环境的变迁,对业务流、工作流及客户需求的变化做出及时的响应?
毋庸置疑, 内部质量审计应该对这些需求做出反应来保证系统的可靠性和必要的强壮度。一些质量研究机构对内部审计的定义是这样的:内部审计是在企业内部执行的,衡量企业自身流程与系统的性能、优势和缺陷的一项活动。内部审计向管理层提供了一个良好的反馈循环, 这一循环考虑了以下两个方面: 一、业务程序是否执行? 二、是否应该执行该业务程序?
让我们再想深入一些, 一个只是偶尔对企业业务程序进行审查的审计体系是否真的能够覆盖企业所有最为关心的问题?答案可能是否定的。如果内部审计不是通过一种真正的“增值”方式来实现的话,这种审计行为就是“舍本逐末”, 内部审计也绝对不可能达成为企业成功添砖加瓦的初衷。
那究竟什么是“增值型”的内部审计呢? 我们说, “增值型”内部审计就是在关注“持续改良(Continuous Improvement)”的同时为企业管理层提供有关那些对企业成功起到决定性作用的业务程序和系统的执行情况反馈的一系列企业内部活动。那些不关心影响企业生存发展问题的内部审计系统无疑将面临被高管层忽视的命运。
我们以Banta Book 集团公司/BBG现有的内部审计系统为例,来解释企业是如何发展一个能够为企业增值并且关注“持续改良”的内部审计系统的。 这是一个“渐进式”的系统,它能够适应企业经营环境的变化并实现改善。另外值得一提的是, 尽管该系统有很大程度上以ISO-9002为模版, 但因为并没有申请ISO-9002标准, 它又保留了一些为适应行业特点而必须的灵活度。
一、制定审计进度表
BBG现有的审计系统是以关注企业最重要事项为核心。根据帕雷托定律, 只有20%的业务流程对企业是最为关键的,其他的次之。 这样我们决定遴选并关注这20%.
为实现这一目的, 内部审计人员通过向总监和经理们提问来收集各部门认为关键的业务程序信息, 并把这些程序按照优先级分为1(重要)、2(一般)、3(不重要)三类。
这一排序标示那些我们应当关注的关键业务程序并要求所有管理团队成员参与到这个流程中来。 相信不管是对于高管层还是对于经理人员来说, 他们更希望关注的是自己提出的程序而不是他人强加的。
在业务程序定义完毕后,内部审计人员应依据此前确定的程序优先级制定审计进度表。 BBG公司制定的是一份跨度达12个月的审计进度表, 每三周执行一次审计。
所有优先级被标示为1的标准操作程序将被纳入这一进度表中,在资源允许的情况下, 可以同时适当考虑一部分优先级标记为2的操作程序。取决于程序复杂程度, 每项审计一般关注三到五个程序。 在制定审计进度表时, 审计人员应该考虑到一些质量问题或者客户抱怨情况。 审计人员可以通过“纠正行动请求系统(corrective Action Request System,CAR System)”来记录这些可能的问题。 解决这些问题可能需要增加额外的操作程序, 这就有必要在审计进度表上为这些新增程序留出一些空位。 制定审计进度的同时还应考虑对标准程序进行再审计的可能。 总之, 制定审计进度表最关键的就是(一)关注最重要的方面;(二)持续改良。
二、培养审计人员, 建立审计队伍
一份好的审计进度表应该重视培养合适的审计人员。 可以这么说, 一个审计计划的成功与否,效率高下完全取决于执行该审计的工作人员。在BBG公司,所有内部审计人员都必须接受为期两天的入职培训, 并在授予认证资格之前通过规定的能力考核。 这些审计候选人应是由公司高管层或经理人员推荐的,他们认为业务能力强的骨干人员。从企业管理和人员培训的角度来看, 内部审计人员入职前培训应当作为领导人发展项目来执行。 内部审计人员培训每两年开展一次, 审计人员的任期也为两年。
BBG公司现有四组共12名内部审计人员。 在设立这四个审计小组的时候,公司综合考虑了成员的业务经验,教育背景和个人性格,将他们有效地组成不同的工作团队, 并为每个审计小组指定专门的督导指导日常审计工作。 按照此前制定的审计计划,每一个审计小组每年都要执行3次审计任务。
三、审计执行
现在我们已经完成了审计进度表和审计团队的建立, 接下来我们讨论实际审计的动态执行。 内部审计包括三个关键部分:(一)计划,(二)执行, (三)报告。
审计的计划部分应该是三部分中最重要的构件。 没有一个完善的计划,之后的工作都会举步维艰。 计划部分的核心工作是为所有标准程序准备一份清单和时间表,保证审计工作一步步正常的走下去。 考虑到时间资源, 审计不可能覆盖企业的所有业务程序。 这样,审计成功很重要的一个因素就是关注企业生死攸关的业务程序。 在审计的这一阶段, 审计小组将选定关注点以及相关的技能、知识和业务记录。
在程序清单准备好以后,审计小组应该将每一业务程序范围缩小到可管理的子程序。毕竟审计小组是要下到现场执行审计的。首先审计小组应拜访被审计程序所属部门的负责人, 接着与执行某一程序的员工逐一面谈。 对业务程序的了解程度非常重要, 但更应该关心的是实物形式的证据如记录,系统日志,工作表格等等。
每天审计的计划表中应留出部分时间供审计小组成员讨论当天审计结果。 审计负责人通过与审计小组成员的讨论, 决定是否应当做进一步调查, 确定被审计的程序是否需要发送“内部审计纠正行动请求/IACAR”(Internal Audit Corrective Action Request)。 如果审计小组认为某个部门未能遵守标准程序,且严重程度危及员工安全, 生产质量, 客户满意度或者企业获利能力的时候, 审计小组就会发出IACARs给负责该部门的经理。原则上每一审计都只应该发出一份IACAR, 除非之前发出的IACAR引致后续审计的失败。 在这种情况下, 允许发出补充IACAR. 其他不需要后续处理的对业务流程的审计意见将被列示在审计报告终稿中。 审计结束后, 审计小组将与部门负责人再次碰面,回顾当天的审计结果。
最终报告步骤包括一份书面的审计报告和一次管理层参与的演示会。 由审计小组负责人签字的审计报告将被分发给每一位经理和总监。
如果一位部门负责人收到了IACAR, 他/她应该在收到后的5个工作日内准备一份解决问题的计划书。 这些纠正行动计划将被纳入审计进度表,在下一次审计中予以审查。
四、总结:
BBG公司内部审计部门的工作宗旨就是为企业提供增值型的内部审计, 主要包括以下5个方面:
1、关注对企业发展起到决定性作用的业务程序;
2、吸引并培养公司的业务骨干成为内部审计人员;
3、高效的管理审计,保证审计小组始终如一的关注企业发展的重点;
4、将审计结果以报告的形式定期报送各个管理阶层;
5、对发出的IACARs进行后续审计跟踪。