某公司的内部审计概况

世界领先公司的内部审计 这是翻译的几个大公司的内部审计概况，希望与大家共享业界的理论、工具和方法！ 案例：世界领先公司的审计部门一、 新时代的审计-IBM IBM去年的全球雇员是30万，收入884亿美圆，利润81亿美圆。Janet Andersen （简称JA）是IBM内部审计与业务控制部门（Internal Audit & Business Controls）的首席审计师。1、 专门的团队216人向JA直接汇报，其中125人是职业的审计师。有一小队支持人员负责提供控制培训、推进审计计划和总结控制中存在的问题。一名技术人员提供审计工具并对我们在全球的机动部队提供支持。IBM的审计团队以及使用的审计和控制工具是一流的，但是其最与众不同的是审计与控制、系统和流程的结合。内审不是控制改进建议唯一的来源渠道，内审要与遍布在IBM各业务部门的控制团队紧密结合，一起工作。业务控制（BC）部门的员工要向业务部门或财务管理部门汇报，帮助一线的管理者实施更好的控制。IA和BC的结合是成功的关键。因此，JA的团队称为IA&BC。IA&BC与业务部门保持很好的沟通，例如，提供培训并定期发送IA&BC期刊。这些努力使得在IBM存在很好的控制文化氛围。在IA&BC中，有人会负责全球的业务控制实践，着眼于与电子商务、流程再造和效率改进建议相关的全球范围的控制措施。这些控制专家可以为内审人员提供建议与咨询，并与相关流程的实施业务部门保持沟通，共同改善。还有一些人负责联盟、收购与合资，确保我们有能力遵循正确的控制程序。此外，IBM还关注发展中国家，这些国家的IBM业务不会应用全部的流程和控制措施。2、应用系统的认证和审计度（ASCA）和半年控制评估（SACA）这两种方法使IBM达到很高的审计水准。ASCA确保开发任何新的或新更改的系统之前都要经过审计，以保证它们达到预期目的。这与质量复核不同，更加全面并以控制为导向。IBM已经为ASCA审核过程申请了专利。ASCA团队审视应用系统，确保控制健全，包括控制点和文档管理。IBM审计部有三个子部门，各有一个经理负责此事。业务部门使用SACA(半年控制自我评估)流程评估和报告控制情况。为了得出SACA排名，IA&BC提供了一系列调查问卷，包含8个基本的问题，各个业务部门可以对这些问卷更改和个性化。回答的结果要按照矩阵的方式交叉比对，看存在那些交叉问题。这种方法可以使其从不同角度关注重要的问题。它很好用，主要体现在：业务部门是控制的核心；确保矩阵结构的组织的各部分相互充分沟通。3、教育和知识共享IBM内的专业人员（BC）都是风险责任人，他们都意识到其识别和管理业务部门风险的职责。这部分是因为高度发展的内部教育与知识共享机制，也是因为高层管理者对IA&BC function.的支持。JA的团队自己开发诸如专业审计训练、专业写作、审计团队领导力和审计专用语言（ACL）的课程。IA&BC 有两名专职人员负责教育。除了这些及IBM标准的介绍课程外，JA还敦促她的控制专家参加其他业务部门组织的培训项目，如供应链管理、采购和全球融资等。对于企业范围内的知识共享，JA的团队有几个有力措施：与相关控制人员共享我们的审计报告、控制报告、业务流程审核，确保他们能够发现问题并在各自的业务部门使用这些信息。审计部每季度组织业务控制论坛，不同业务部门的经理应邀来参加并探讨控制的问题。另外还有在线用户讨论区。每年有两次JA要与IBM的高层经理讨论公司的整体的控制问题也关注各部门专门的问题。然后JA的高级经理会每季度把这些谈话传播下去，对于审计一线经理，审计部要求其每月与各业务部门的主管密切合作。在变化的时代，IBM的IA&BC部门保持与时俱进的方式是靠新流程支持（NPS）部门的努力。该部门主要负责审视新业务流程的控制情况，他们会为业务部门做咨询，说明控制状况并就新流程的一些重要影响因素培训IA&BC的团队成员，发布一些信息并更改审计程序。所有这些都集中关注客户满意度。组织的矩阵结构、控制团队的贡献和协作以及关注教育和知识共享都集中于此。二、 INTEL承担风险Risk Buster项目在INTEL是不同寻常的。INTEL全球雇员6万人，去年营业额是250亿美圆。在日益变化的技术行业中，Risk Buster本来应该作为瞄准风险并减轻风险的工具，但是在INTEL，Risk Buster项目并不是如何避免风险，而是如何获取、承担风险。在Risk Buster项目中，内部审计经理对审计人员的排名是按照他们在某项审计中承担的风险数量来决定的，通常通过奖励程序，要给予承担最大风险的审计员奖赏，换句话说，就是奖赏捕捉到最大机会而超过审计预期目的审计员。审计部欢迎风险似乎与常理不符，但其经理解释，这与INTEL的文化相关（鼓励承担风险），公司要求每个人都遵从公司的文化，包括审计人员。没有风险就没有收益INTEL的主席格鲁夫说过只有偏执狂才能生存，对INTEL来说，这意味着承担风险成为日常业务。例如，公司对产品研发的投资模式往往领先于市场需求，公司可能建造一些针对将来的制造厂和附属设施，在建造这些东西前，产品甚至还没有设计。另一个例子是Intel Inside的合作市场营销活动，它建立在INTEL在其他产品中创造产品的理念。最初这一想法由一名副总裁提出，马上，一个由市场营销专家、财务人员和律师组成的团队就设计出了Intel Inside的商标。经过千心万苦，终于与下游厂家达成了这一创新协议。在此例中，INTEL抓住了机会，不用等到管理层告诉他们怎麽做，这就是主动承担风险的精神和文化。目标管理审计部实施目标管理，即确定目标并设计策略实现目标。制定年度目标，每月衡量进程，效绩考核以目标的完成程度进行。经过客户调查，公司制定年度审计计划，决定需要多少资源。然后制定零基预算，即审计部会划定一条线，线上的是必须要审计的项目，下一层是审计部认为要审但资源可能不够的项目，在零基线下的项目暂时不需要审计。年度计划经审核后，制定季度计划，可能还要根据管理层的需要更改。对这些特别需求，我们可能会邀请客坐审计师，他们来自业务部门或外部审计师。培训审计团队通过优势劣势分析决定需要改进的领域，然后制定计划，可能包括：改变招聘模式与战略，开发技能和专项培训计划，设计自动操作流程，改善客户服务等。对于员工招募模式，INTEL的审计部是作为一个轮岗的部门，也是公司的一个培训基地。审计员通常要在审计部呆上2年，经理要3年，主要培训他们的控制理念和方法，可以使他们在全公司游刃有余。由于审计工作主要是外勤，所以审计员至少有65%的时间在外。审计部也计划从校园招募的人员，主要是MBA。以前公司通常从事务所招牌专业人员，但是现在愈发需要多样化的审计人员，他们最好有工程背景或信息系统知识。因为INTEL是一个工程公司，所以审计员必须发展工程和研发方面的能力。对INTEL来说，在职培训是其重要的经营哲学之一，所有雇员都要接受在职培训，从应用技术到职业技能，如谈判和操作E-MAIL系统。像谈判及项目管理等审计人员必须技能以及要转到其他部门所需技能通常在内部网上发布。对于专业的审计人员，如基建审计，他们也能在内部网上学习到相关的知识。此外，每个审计员每年至少有3000美圆的培训费。审计部的自动化流程包括审计专用语言（ACL）和TeamMate，除这些标准的技术外，它还通过内部网广泛地传播知识加强沟通。如何增值以前，审计部的价值就是提交给客户一份遵循性的审计报告，但是客户需求的更多，今天审计部是业务伙伴，能够与业务人员一起诊断经营，使其更有效地运作。审计部向业务部门咨询如何改善流程，如何识别风险和制定控制。这是一种趋势，但是审计部应该有一种机制去显示其如何增值，关键是把审计和咨询的专业知识拿到桌面上来，使管理层认识到这些专业知识的价值。三、微软的工具够酷毫无疑问，在微软的审计部技术是其核心特征，而且这种技术环境也使得审计人员和内部客户之间在沟通审计结果、推进工作和合作、达成解决方案和发布信息等方面均要依赖技术。另人吃惊的却是，微软这家价值4000亿美圆，拥有28000人的公司仅有18名审计员，但他们却可以控制微软在全球的风险。微软是一家软件厂商，但是近年却开始多元化经营，现在它拥有Expedia, 一家旅行定票网站，CarPoint, 一家汽车信息与市场营销的站点,以及Microsoft Encarta ， 它经营百科全书的光盘。除了经营网站，微软还有70多家遍布各地的分公司，所以对审计部的挑战在于：不仅要评估微软的核心产业，即软件工程和开发的风险，还要识别、评估和减轻这些领域的风险。审计管理器和问题管理器审计部有非常酷的工具，在微软，如果不懂得如何应用技术，那就没法开展工作。审计管理器和问题管理器是两个非常先进的工具。审计管理器是审计团队的流程工具，它提高审计的工作效率。它使审计员的工作前后一致，有系统的展开，使部门内外的人员都可以追踪审计流程，查看审计结果。审计管理器后端是文件管理器，前端是HTML格式的界面，这使审计员对审计相关活动进行组织，并快速、交互式地获取信息。一些功能都有相关的模版，如报告模版和访谈模版。这是一个方便而且动态的发布机制，使每个人都能得到审计相关问题的通知。该工具有点象网站，有三个阶段，计划、外勤、报告，每个阶段都有问题清单和模版供大家以相同的格式输入信息，每个审计项目都有一个文件夹，当模版使用时，文件夹就创建了。审计管理器的管理功能是一页界面，它对所有的审计项目都一样，但是可以按不同的字段索引查询。这是一个网上报告，有HTML连接，可以用浏览器获取相关信息。例如审计报告概要让读者看简要，同时有一个完整报告的连接，你可以看更详细的信息，图表和分析工具。这是一个决策支持系统，审计部不强制实施控制，而是给客户与其决策相关的信息。通过审计管理器，审计部可以与客户沟通项目计划，包括发布日期，时间期限等，审计部可以比较承诺日与实际发布日，这可以用来评估效绩。项目管理的功能实际上已经包含在该工具中了。当审计人员与高层沟通时，他们必须尽量简要地说明，但也需要随时准备给他们所有相关的信息。通过这个工具，高层可以根据需要看到各个层次的信息。问题管理器用来解决审计跟进程序的问题。审计跟进是一项劳动密集型的工作，如果管理的不好，很可能使审计流程放慢。该工具属于管理会计部门，他们负责问题的跟进解决，每季度跟踪数据库，并与审计按期接口，按季向审计委员会报告。而且，审计委员会每年会有两次收到有关内审和外审问题的状况报告。当问题解决之后，文件存档而且可以随时查询。该工具不但在公司内传播了知识，而且问题可以较快地解决。我们可以在上面回答问题，查询进展，对问题建立优先级，推进问题和解决方案的讨论。由于问题管理器嵌入到公司的邮件系统中，所以审计员可以提醒某些人注意尚未解决的问题。有巨大创造力的业务伙伴微软的员工都是赋有创造性、自信、好奇的特征，他们爱好改进商业的新技术和新方法。审计人员通常被分配在各个专业领域，如司库和国际商务。负责某一领域的审计员有责任指导另一名审计员，以便在两年一次的轮岗中，每个人都较容易地进入角色。审计团队的风险评估方法和对风险的感觉很好地与管理层对付风险的方法结合起来，这就是价值增值的过程。审计部的建议与管理层的年度目标结合的很好，管理层对业务的看法和审计部的看法之间如何能协调一致是很关键的。审计部总要仔细聆听管理层的建议，这样审计部的员工就会更好地理解风险。审计团队是严于律己的，他们总是会关注是否为公司创造了更多的价值。他们尽量减少遵循性审计的份量而更关注于成为业务部门的合作伙伴。客户都很聪明、机智，为了增加审计部的工作价值，就必须提供可操作性的解决方案。审计人员都在做一流的工作，提供解决方案，使用和改善有益于工作的技术，寻找自己的兴趣点。他们团结在一起，尽力为他人服务。微软内审的未来内审正在面临的挑战是公司动态的迅速演进的商业模式。对审计部的经理来说，最重要的事是领先变化、评估未来两年审计人员所需的能力。四、通用汽车：指引未来GM World展览会的大部分还隐藏在帆布下，这里将举行一个多媒体展示会，内容是1908年开始的通用汽车是如何发展壮大的。通用汽车是世界上最大的制造公司和全线汽车产品制造商，它在73个国家拥有39万雇员，拥有子公司、合资公司和附属机构共约260多家。GM World即观瞻了通用汽车辉煌的历史，也展望了未来国际化电站项目。充满挑战、风险和机遇的未来是通用汽车审计服务（GMAS）团队最关注的事。Wagner是该部门总经理，她曾就职于菲力普石油公司和化学银行的审计主管，目前是内审协会的高级副主席。内审协会对内审的最新定义使内部审计师愈发向咨询师的角色靠近。该定义正好与Wagner对GMAS的定位相符。而必要的条件就是必须有综合知识的审计人员，多样化的商业背景和IT技术Walter是GMAS的IT部主管，具有丰富的商业背景并曾在安达信就职。他说，一提起雇员和审计技术，我们实际是在寻找对商业和技术都有很深理解的人士。尽管我们今天实施综合的审计是将IT审计师和业务审计师结合称为一个团队，但我们仍然希望一个人就具有全部技能，技术是精益的、全球化企业的主要动力。GM的战略目标反映在审计部的战略目标中，战略目标仅仅是GMAS最优实践的一部分，而其他的内容风险管理实施和积极的业务伙伴正在推动GMAS向业界最优前进。2000年战略目标1999年GMAS重新定义了它的使命并按照新的审计实践实施了一项战略计划，计划表明，让GMAS成为业界领导者。有5项战略目标：F 为审计客户提供例外和公认的价值提供；F 创造激情、开发专业能力；F 开发先进的方法和技术；F 最优执行；F 按照最优标准考核这些目标采取几个方法实现：正式的客户反馈流程、鉴别员工积极性和效绩的年度计划会议、以Lotus Notes为基础的工具和万维网工具帮助审计员改善效率和效果、标杆方法。业务风险管理服务GMAS最近经重组进入公司的服务链系统，这些服务链上的部门财务、环境、控制、咨询、信息技术使得GMAS有能力发展必备的知识和技能，可以为GM的各业务部门提供更好的服务。GMAS在风险管理的全球流程负责人项目中担任重要的角色。该项目是企业级风险管理项目的关键组成部分。风险管理为评估风险、识别机会、优先考虑关键任务和建立责任体系等方面提供综合的、系统的、动态的流程。该项目建立了管理风险的基础，风险管理团队与业务部门一起合作建立这种基础。风险管理团队提供培训、协助推进控制自我评估、维护包括控制知识和最好做法的全球知识库。他们使用投票技术并结合访谈技术和基本原因分析等解决问题。这既是一个知识共享的工具，也是一个管理报告系统。风险管理关注三个风险领域，战略、经营和流程层面的风险。以Lotus Notes为基础的知识共享工具是跨国风险管理的有效武器，为不同文化和语言的GM专业人士提供知识。流程风险管理知识库帮助GMAS与业务部门实施控制自我评估，并使用知识共享的推进模块每天将风险和控制的知识提供给审计员和业务管理人员。这些电子工具使审计人员充分思考和判断，但是他们决不会使用没有个人判断和经验的定制的审计方法。积极的业务合作伙伴在e-GM项目中，GMAS被赋予新的职责，即电子商务项目的合作伙伴，他们帮助业务部门勾画新流程、开发新系统。e-GM完全是指导业务的新方法，这使得审计人员在成为团队中的一员。GMAS擅长咨询，在审计和自我评估方面与会计师事务所相象。对于e-GM项目，审计部发展了一个跨职能的团队，含盖IT、审计和咨询的职能。审计部参与e-GM项目的方式类似于参与一般的系统开发项目，要与项目小组成员一起工作，给他们提控制建议，帮助他们梳理流程。实际上已经是流程制定者之一。要成为业务单位的合作伙伴，最重要的因素是在审计部内发展跨学科的团队。GMAS目前由400名专业人士组成，遍布世界五大州，使用20多种语言，提供多种审计和咨询服务，如流程图制作、分析风险、评估控制、建立风险框架等。有巨大创造力的业务伙伴 微软的员工都是赋有创造性、自信、好奇的特征，他们爱好改进商业的新技术和新方法。审计人员通常被分配在各个专业领域，如司库和国际商务。负责某一领域的审计员有责任指导另一名审计员，以便在两年一次的轮岗中，每个人都较容易地进入角色。审计团队的风险评估方法和对风险的感觉很好地与管理层对付风险的方法结合起来，这就是价值增值的过程。审计部的建议与管理层的年度目标结合的很好，管理层对业务的看法和审计部的看法之间如何能协调一致是很关键的。审计部总要仔细聆听管理层的建议，这样审计部的员工就会更好地理解风险。审计团队是严于律己的，他们总是会关注是否为公司创造了更多的价值。他们尽量减少遵循性审计的份量而更关注于成为业务部门的合作伙伴。客户都很聪明、机智，为了增加审计部的工作价值，就必须提供可操作性的解决方案。审计人员都在做一流的工作，提供解决方案，使用和改善有益于工作的技术，寻找自己的兴趣点。他们团结在一起，尽力为他人服务。微软内审的未来内审正在面临的挑战是公司动态的迅速演进的商业模式。对审计部的经理来说，最重要的事是领先变化、评估未来两年审计人员所需的能力。四、通用汽车：指引未来GM World展览会的大部分还隐藏在帆布下，这里将举行一个多媒体展示会，内容是1908年开始的通用汽车是如何发展壮大的。通用汽车是世界上最大的制造公司和全线汽车产品制造商，它在73个国家拥有39万雇员，拥有子公司、合资公司和附属机构共约260多家。GM World即观瞻了通用汽车辉煌的历史，也展望了未来国际化电站项目。充满挑战、风险和机遇的未来是通用汽车审计服务（GMAS）团队最关注的事。Wagner是该部门总经理，她曾就职于菲力普石油公司和化学银行的审计主管，目前是内审协会的高级副主席。内审协会对内审的最新定义使内部审计师愈发向咨询师的角色靠近。该定义正好与Wagner对GMAS的定位相符。而必要的条件就是必须有综合知识的审计人员，多样化的商业背景和IT技术Walter是GMAS的IT部主管，具有丰富的商业背景并曾在安达信就职。他说，一提起雇员和审计技术，我们实际是在寻找对商业和技术都有很深理解的人士。尽管我们今天实施综合的审计是将IT审计师和业务审计师结合称为一个团队，但我们仍然希望一个人就具有全部技能，技术是精益的、全球化企业的主要动力。GM的战略目标反映在审计部的战略目标中，战略目标仅仅是GMAS最优实践的一部分，而其他的内容风险管理实施和积极的业务伙伴正在推动GMAS向业界最优前进。2000年战略目标1999年GMAS重新定义了它的使命并按照新的审计实践实施了一项战略计划，计划表明，让GMAS成为业界领导者。有5项战略目标：F 为审计客户提供例外和公认的价值提供；F 创造激情、开发专业能力；F 开发先进的方法和技术；F 最优执行；F 按照最优标准考核这些目标采取几个方法实现：正式的客户反馈流程、鉴别员工积极性和效绩的年度计划会议、以Lotus Notes为基础的工具和万维网工具帮助审计员改善效率和效果、标杆方法。业务风险管理服务GMAS最近经重组进入公司的服务链系统，这些服务链上的部门财务、环境、控制、咨询、信息技术使得GMAS有能力发展必备的知识和技能，可以为GM的各业务部门提供更好的服务。GMAS在风险管理的全球流程负责人项目中担任重要的角色。该项目是企业级风险管理项目的关键组成部分。风险管理为评估风险、识别机会、优先考虑关键任务和建立责任体系等方面提供综合的、系统的、动态的流程。该项目建立了管理风险的基础，风险管理团队与业务部门一起合作建立这种基础。风险管理团队提供培训、协助推进控制自我评估、维护包括控制知识和最好做法的全球知识库。他们使用投票技术并结合访谈技术和基本原因分析等解决问题。这既是一个知识共享的工具，也是一个管理报告系统。风险管理关注三个风险领域，战略、经营和流程层面的风险。以Lotus Notes为基础的知识共享工具是跨国风险管理的有效武器，为不同文化和语言的GM专业人士提供知识。流程风险管理知识库帮助GMAS与业务部门实施控制自我评估，并使用知识共享的推进模块每天将风险和控制的知识提供给审计员和业务管理人员。这些电子工具使审计人员充分思考和判断，但是他们决不会使用没有个人判断和经验的定制的审计方法。积极的业务合作伙伴在e-GM项目中，GMAS被赋予新的职责，即电子商务项目的合作伙伴，他们帮助业务部门勾画新流程、开发新系统。e-GM完全是指导业务的新方法，这使得审计人员在成为团队中的一员。GMAS擅长咨询，在审计和自我评估方面与会计师事务所相象。对于e-GM项目，审计部发展了一个跨职能的团队，含盖IT、审计和咨询的职能。审计部参与e-GM项目的方式类似于参与一般的系统开发项目，要与项目小组成员一起工作，给他们提控制建议，帮助他们梳理流程。实际上已经是流程制定者之一。要成为业务单位的合作伙伴，最重要的因素是在审计部内发展跨学科的团队。GMAS目前由400名专业人士组成，遍布世界五大州，使用20多种语言，提供多种审计和咨询服务，如流程图制作、分析风险、评估控制、建立风险框架等。五、沃尔-马特：世界级的审计沃尔-马特是美国零售业的奇迹。它不仅仅是折扣店、大型购物中心和批发店的连续发展模式，而且已经成为美国的文化象征。每个美国城市都至少有一个沃尔-马特店，而在过去的10年里，公司的店面及饮食业在全球都迅速地扩张。沃尔-马特在美国有2560家店和470家会员俱乐部，在世界其他地区有1000家店，公司在美国和其他地区的雇员分别是88万人和25万人。Sam Walton的经营哲学是：工作最出色、客户最满意、价格最低。在1962年开第一家店时就确立了三个信条是：尊重个人、服务客户、追求卓越。除此外，Wal-Mart还遵循Sam的经营原则：关注你的业务、与你的同事分享你的经验、与你的业务伙伴沟通、赞美成功、注意倾听、超越客户预期、控制费用、突破管理逆流而上、智慧。Wal-Mart显然很关注员工、业务和它的领导力。John Lewis在5年前成为副总裁和首席审计官时就接受了这一挑战。他受命管理327名审计员并对审计方法实施大规模的改进。John Lewis说，当我接受使命时，审计部的职能基本还停留于遵循性审查的阶段，更多的是外部审计的支持和对存货的盘点。他迅速明确了部门的长短期目标，包括经营审计、流程审计、价值增值审计、企业风险管理、与审计客户的战略伙伴关系、资格认证激励、职业发展和教育培训项目。这些目标的实现花了5年时间并为Wal-Mart节省了3亿美圆，这些主要是通过遵守制度和成本降低等方面实实在在的节约。战略伙伴关系首先是与客户建立战略伙伴关系，审计部做的其他任何事情都跟植于此，因为如果客户不认为你有价值，你就很难与他们打交道。Lewis发动了几个计划以实现这种关系。引进客户反馈调查，收集关键信息，明确客户满意度、相关评论和关注焦点，以改进以后的审计程序和方法。他还开发了价值增值说明程序用于清晰地说明审计部如何为公司省了钱。该程序表明了主要的风险并量化风险然后为了督促管理层改进而公布审计部发现的问题。然后每年把节省的钱通报给高层管理者、审计委员会和董事会。此外，风险评估流程在建立伙伴关系的过程中起到重要作用。该评估流程是花费5-6小时，由20多名高级管理人参加的工作会议，推进人是审计部的代表。该会议的核心是包括审计标准、风险种类和讨论线索的风险分析构架。他们尽量使这一过程简单，只关注两种风险：不可控风险，如法规和政治风险；内部风险，可控可避免的风险，内部风险又可分为战略、财务、经营和诚信风险。与会者使用投票技术可以快速、不记名投票。每类风险按可能性和重要性排序。会议的结果是要产生审计计划。风险评估过程除了有助于建立客户关系，还是进行企业风险管理的第一步。企业风险管理的目的是理解、测量、控制风险，使业务可以在预测关键事件和迅速实施最优决策前提下达成其目标。它要求持续不断地、有效地在部门间交换信息，使风险可以识别和控制。五、沃尔-马特：世界级的审计沃尔-马特是美国零售业的奇迹。它不仅仅是折扣店、大型购物中心和批发店的连续发展模式，而且已经成为美国的文化象征。每个美国城市都至少有一个沃尔-马特店，而在过去的10年里，公司的店面及饮食业在全球都迅速地扩张。沃尔-马特在美国有2560家店和470家会员俱乐部，在世界其他地区有1000家店，公司在美国和其他地区的雇员分别是88万人和25万人。Sam Walton的经营哲学是：工作最出色、客户最满意、价格最低。在1962年开第一家店时就确立了三个信条是：尊重个人、服务客户、追求卓越。除此外，Wal-Mart还遵循Sam的经营原则：关注你的业务、与你的同事分享你的经验、与你的业务伙伴沟通、赞美成功、注意倾听、超越客户预期、控制费用、突破管理逆流而上、智慧。Wal-Mart显然很关注员工、业务和它的领导力。John Lewis在5年前成为副总裁和首席审计官时就接受了这一挑战。他受命管理327名审计员并对审计方法实施大规模的改进。John Lewis说，当我接受使命时，审计部的职能基本还停留于遵循性审查的阶段，更多的是外部审计的支持和对存货的盘点。他迅速明确了部门的长短期目标，包括经营审计、流程审计、价值增值审计、企业风险管理、与审计客户的战略伙伴关系、资格认证激励、职业发展和教育培训项目。这些目标的实现花了5年时间并为Wal-Mart节省了3亿美圆，这些主要是通过遵守制度和成本降低等方面实实在在的节约。战略伙伴关系首先是与客户建立战略伙伴关系，审计部做的其他任何事情都跟植于此，因为如果客户不认为你有价值，你就很难与他们打交道。Lewis发动了几个计划以实现这种关系。引进客户反馈调查，收集关键信息，明确客户满意度、相关评论和关注焦点，以改进以后的审计程序和方法。他还开发了价值增值说明程序用于清晰地说明审计部如何为公司省了钱。该程序表明了主要的风险并量化风险然后为了督促管理层改进而公布审计部发现的问题。然后每年把节省的钱通报给高层管理者、审计委员会和董事会。此外，风险评估流程在建立伙伴关系的过程中起到重要作用。该评估流程是花费5-6小时，由20多名高级管理人参加的工作会议，推进人是审计部的代表。该会议的核心是包括审计标准、风险种类和讨论线索的风险分析构架。他们尽量使这一过程简单，只关注两种风险：不可控风险，如法规和政治风险；内部风险，可控可避免的风险，内部风险又可分为战略、财务、经营和诚信风险。与会者使用投票技术可以快速、不记名投票。每类风险按可能性和重要性排序。会议的结果是要产生审计计划。风险评估过程除了有助于建立客户关系，还是进行企业风险管理的第一步。企业风险管理的目的是理解、测量、控制风险，使业务可以在预测关键事件和迅速实施最优决策前提下达成其目标。它要求持续不断地、有效地在部门间交换信息，使风险可以识别和控制。业务流程审计业务流程审计是建立在3E原则上的，即效果性，达到目标；效率性，投入最少资源达到目标；经济性，最低成本达到目标。Wal-Mart的业务流程审计的基础是审计范围（audit universe）内的七个核心流程。包括：1、 战略规划：核心是成长战略，如进入什麽市场。流程的负责人是CEO和管理委员会。2、 资产采购3、 人力资源4、 商品采购5、 物流6、 信息系统7、 连锁店经营状况在进行控制评估会议时，这些流程的代表会参加，审计计划围绕这些核心流程展开。发展人力资源Lewis实施了认证激励计划，即当员工取得职业资格的时候给予现金补偿，（如考取CIA或CPA资格）；还有教育培训计划，即为业务部门培训人才。 审计员要向审计部承诺工作两年，每年有40小时的培训，如果他们想去其他部门，审计部帮助其选择部门。每年我们要更换10%的审计员。将来，审计部计划更充分地开发企业风险管理项目，使得行动计划与股东价值的改善联系在一起。Wal-Mart的审计部团队在过去的5年里学到几个教训：不要试图在一年内完成所有的事，关键是明确哪项事对你和公司是最重要的。业务流程审计业务流程审计是建立在3E原则上的，即效果性，达到目标；效率性，投入最少资源达到目标；经济性，最低成本达到目标。Wal-Mart的业务流程审计的基础是审计范围（audit universe）内的七个核心流程。包括：1、 战略规划：核心是成长战略，如进入什麽市场。流程的负责人是CEO和管理委员会。2、 资产采购3、 人力资源4、 商品采购5、 物流6、 信息系统7、 连锁店经营状况在进行控制评估会议时，这些流程的代表会参加，审计计划围绕这些核心流程展开。发展人力资源Lewis实施了认证激励计划，即当员工取得职业资格的时候给予现金补偿，（如考取CIA或CPA资格）；还有教育培训计划，即为业务部门培训人才。 审计员要向审计部承诺工作两年，每年有40小时的培训，如果他们想去其他部门，审计部帮助其选择部门。每年我们要更换10%的审计员。将来，审计部计划更充分地开发企业风险管理项目，使得行动计划与股东价值的改善联系在一起。Wal-Mart的审计部团队在过去的5年里学到几个教训：不要试图在一年内完成所有的事，关键是明确哪项事对你和公司是最重要的。内部审计最佳实务By Ivy Mclemore 内部审计的角色正在向公司风险警察转变,就象他们财务部门的同事一样,内部审计师运用他们运营效率的知识,扩大了他们的内部咨询活动,最终大大增加了价值。不久以前，经理人员还认为内部审计就象片儿警一样仅仅“巡逻”于潜在的业务风险。虽然他们的名称还一样，但现在一流公司的内部审计师已经调整他们的活动更多地集中于组织资源最佳化和完成企业战略目标和任务。通过内部审计协会（一个内部审计商业组织和信息中心，位于佛罗里达州阿尔塔蒙特斯普林斯），内部审计争取到了许多原不属于内部审计的控制职责，象流程再造和新增的全面质量管理。虽然内部审计的职责还需要和外部审计一起遵循法律和政府的规定，影响会计实务保证所有企业遵守规章。这些新增的活动仅仅是内部审计职责的一部分。事实上，美国证券交易委员会的一项要求已经把内部审计引向一个更重要的咨询角色。1998年9月在一项改变收入环境的努力中，SEC发文要求公司管理层和华尔街提高数字的诚实性和财务报告系统的透明度，更多关注公司长期前景而不是最后一季所得。结果许多内部审计部门开始较少关注短期行为（虽然还是他们的职责），更多致力于公司长期战略的形成和完善。内部审计师开始和业务部门经理一道确定可以提高效率的区域。例如，接下来的新年休假，芝加哥Household国际的2000年问题主管Tom Wilkie Jr.将和他的同事保证2000年转换的平稳过渡.他说他将和内部审计组一起评定公司信息系统的状况,他获得的见识将有助于对组织如何处理未来IT挑战达成共识。引人注目的出新雅芳公司的内部审计部门就经历了一次比其他公司大的出新。两年前，Jack Hudson在纽约就任雅芳全球内部审计主管，他的部门被称作“内部控制警察”。Hudson的目标是使他的部门成为运营部门和公司管理层的业务伙伴。“我们根据公司战略行为和目标调整我们的审计策略。”Hudson说，“当一个新的业务风险降临，我们设法从开始就进入总比等到项目执行了再说这个不对那个不对要好。”雅芳通过雇佣员工执行原本草率行事的初始检查，成为内部审计新角色的先锋。Hudson以雇佣那些训练了两年对公司有切实了解的人，来替代寻找职业审计师。从那时起，审计师能够到几乎所有的部门，象营销、战略计划，从这些地方的工作中他们增长了见识、培养了多面手。“我们也改变了我们对风险评价的看法。”Hudson说，“过去我们根据有特性的区域以及他们的财务指标来决定哪儿需要审计，现在我们利用我们的资源寻求哪些风险需要更多关注，风险被定义为阻碍实现全部公司目标的拦路虎。”信息技术增效一个值得注意的内部审计部门再造发生在明尼阿波利斯市的Cargill公司,一个在59个国家拥有超过82000名雇员的农业、金融、工业品生产批发和国际贸易商。Cargill部门再造的第一步成就是通过软件使得公司基于风险审计的员工数量和差旅费大减。同时，内部审计部门强调经验的价值，开始雇佣有着丰富业务背景的审计师。“员工有平均18个月的工作经验并不能有助于我们的可信度。”Cargill副总经理、全球审计主管Rich Peter说，“许多我们的客户不会看到同一个审计师两次，但我们能将审计师数量从150减到75，靠的就是事先好的风险评价，从而知道如何分配我们的资源。”Cargill已经定义了组织内的大约25个业务流程，并且培训1至2名审计师成为每个流程的专家。12名审计师仅仅做风险评价，这些业务流程专家从采集、整顿、新业务模型以及其他影响整个业务风险的角度关注管理及业务。这种转变已经有将近7年了，那时审计师在Cargill的平均工作年限已经从18个月增加到12年，签发审计报告的平均时间从25天减至9天。每次审计后通过电子邮件分发客户调查，根据客户反应的评价衡量审计成效。调查包括审计范围是否清晰、是否涵盖业务关键部位、审计师是否尽职。最终的结果？Cargill的内部审计师通常95%根据增加价值和合适的技能设置。“业务部门并不喜欢内部审计来。”迈阿密AnswerThink咨询集团CFO解决方案经理Jorge Sarria说，“但是由于已经增加的价值，他们还是加入到将存货成本和周期降低到公司最初要求内部审计规定范围的项目中来。”在俄亥俄的Hudson AnswerThink咨询集团CFO解决方案常务董事Adds Jeff Rosengard说：“公司看他们的内部审计部门更象一个咨询部门，他们能带给人们从人力资源、工程到处理整个价值链。无论何时我们帮客户组建一个项目小组，我们坚持必须有人来自董事会的内部审计部门，因为他们有很好的业务本身和流程的知识以及非常好的系统知识。”在Laurence A. Reiger的“内部审计最佳实务”报告中集中讲述了内部审计的四个主要组成：人、程序、技术和知识。位于芝加哥的安达信业务处理风险咨询全球常务董事Reiger认为，创建一个世界级的内审部门的真正动力是融合这四个部分。1人。“我们看到人们试图创建一个基于能力的组织，胜于雇佣一流的内部审计师。”Reiger说，“他们认识到如果着眼于他们必须去做的事情，他们需要各种各样的能力。”Reiger引用了一个Intel的例子，他们认识到内部审计过程需要各种各样的工程师。2程序。公司开始创建贯穿组织的风险语言。“在新奥尔良的一个能源公司Entergy，通过确定组织中存在的明显的35或40种不同的业务风险创建了一种风险语言。”Reiger说，“许多公司都在努力创造一种共同的程序语言，因为它迫使你超越组织的界限，尽管这是很难去做的。”3技术。“内部审计师需要使用技术理解他们所遵循的程序，”Reiger说，“把你使用的方法嵌入组织内所有内部审计师都能接触到的基于技术的平台是很重要的。”4知识。许多公司象Cargill一样在每次审计结束发放客户满意调查确定增值额。确定一个审计师积极相关的一个途径就是要求客户反馈。审计师要有效地完成他们的工作，他必须能够使用知识。“位于瑞士的苏黎世保险，全世界大约400名内部审计人员都有权使用集中的知识库，以决定各种业务部门的最佳实务。”Reiger说，“知识库的目的是帮助你所审计的业务部门减少当前的业务问题。”内部审计在21世纪初将更少扮演交通警的角色，可是没有人认为内部审计的符合性形象将消失。许多公司正在进行的试图再造内审部门的挑战将权衡符合性和增值活动。内部审计最佳实务这儿是芝加哥安达信全球最佳实务主管Susan J.Leandri提供的一些内部审计最佳实务。培育增值型客户中心营造一个畅通的客户中心很可能是创造成功内部审计组织最重要的一环。一个增值型客户中心可以给内部审计带来更高的价值，增进内部审计的能力以满足客户需求，最终提高客户满意度。通过识别和描述审计客户的方法，内部审计在打造审计所需的公共视野上迈出了第一步。一旦完成对审计客户的描述，自然会确定客户需求和期望，并将他们的需求排序。当这一切完成后，内部审计师将不断充当起运营顾问和业务伙伴的角色，而不仅仅是风险检查者。“如果你的业务处理合适的话，你可以接触到改变业务所需的各种资源，关注到未来市场会发生的变化。”Leandri说。扩大风险定义，改进审计计划，有效改善业务处理能力评价业务处理相关风险是内审组织存在的根本原因。通过可靠的风险聚焦方法识别风险，保证对业务处理的审计发现是相关重要的。引导公司改进审计计划，关注全面的业务风险，将利于优化公司的价值。当风险的定义扩大了，许多业务风险将被识别和减轻，业务处理控制得以增强。其结果公司增值，内部审计作为业务伙伴的形象得到强化。利用沟通策略改进审计报告，鼓励知识共享和学习型组织内部审计师和客户之间沟通最重要的形式是审计报告。有效的沟通策略，譬如给人印象深刻的清晰的书写，将提高审计报告的处理，保证更多的审计建议得以执行。沟通的另一个重要方面是使用技术方法使信息交换更便捷。新技术下的信息交换对于知识共享和组织学习来说是至关重要的。正是补充个人知识、减少重复劳动、排除差错等方法提高了业务处理能力。另外，有效的知识共享也造就的强有力的内审组织和成功的企业。“这就是怎样写出更有效的会被采用的审计报告。”Leandri说。保证内部审计师具备传统和非传统审计背景成功的内审组织认为组建一流内审团队的办法是不要限定员工具有传统的审计背景。这些先进的内审团队由各种资历的专业人才组成。法律、会计、营销、供应计划等专门人才给内审组织带来了特殊的才能和视角。当他们完成内审组织的工作，这些审计师一般会转到公司内的其他部门。这样，他们利用他们业务风险和控制的知识又极大地增加了所在部门的价值。再造内审组织，不断改进审计程序“早些时候，公司设计流程要从外界获益是很难得。”Leandri说，“但处在一个最佳实务时代，你随便挑本杂志就可以发现最佳实务的文章。”Leandri引用一个无线通信公司AirTouch使用最佳实务的例子，这家有着4亿美元无线产品销售的公司的内审部门仅有10人，他们绝大多数工作采用了他们称之为合作审计的方法。Leandri说：“他们实际上和公司内的其他人合作，采用方方面面改进的方法进行审计。”但是AirTouch内审职责上最与众不同的是在过去三年树立了将咨询和内控评价相结合的典范。其结果使公司多了一种有助于评定未来风险、执行最佳实务的诊断工具。不断地改进强化内审程序、重塑内审职责，减少了审计报告周期，增加了与客户目标的趋同性，有助于减少去除不能增加价值或不必要的控制步骤。将技术整合到审计程序各方面以增加效率如同任一个业务程序，内部审计也可以通过技术手段大大增强。省时高效的技术有助于内部审计师更快更精确地完成审计程序，从而为客户带来更多的价值，增加客户满意度。除了加快审计过程和报告周期，技术也扩大了审计范围，增加了审计发现的可能。一体化的计算机审计技术，以及使用技术改善审计师和客户之间就审计的沟通，是技术改进审计程序的两个重要方面。“部分最佳实务取决于组织掌握技术的快慢，”Leandri说，“适应技术越快，在现在或将来的市场竞争中就越有利。”西方内部审计十大发展趋势1年月正式成立的世界贸易组织（）与世界银行、国际货币基金组织，被称为世界经济的三大支柱。在历经年的漫长等待之后的年月日，世界贸易组织第四届部长级会议审定并通过了中国加入世界贸易组织的决定。 入世必将对我国的审计工作产生深远的影响。作为我国审计工作主力军的内部审计，如何应对入世？如何与国际内部审计接轨？本栏将组织有关文章，以飨读者。 近年来，内部审计的发展和其作用的发挥在世界各国产生了广泛的影响，得到了产业界、政府部门和学术界的充分肯定。然而，要使内部审计专业在新的世纪里更加受到重视，内部审计从业人员必须不断努力，对内部审计的未来发展趋势进行前瞻性的预测。目前，国际内部审计师协会已成立专门小组研究内部审计发展的未来趋势。 从控制到风险 在过去数十年中，控制导向审计是内审人员普遍使用的审计方法。它使审计人员容易将审计重点偏向于单位的内部控制系统，而忽视了单位本身的目标。在未检查组织目标和所处风险前直接评估控制程序，其结果意义不大，因为审计人员无法判断哪些是最重要的控制，哪些控制对于风险而言是最重要的，以及缺少哪些控制。这一审计模式已经带来许多问题，如过度控制情况日益严重，多余的控制阻碍了组织程序的正常运作，沟通变得更加困难，许多人员从事无附加价值的工作；固定的、过时的控制限制了企业的发展，用以应付审计的无效率的控制不断增加；同时，由于控制的变更滞后于组织作业的快速改变，使对原有的、与组织目前所面临的风险根本无关的控制的审计变得更无意义。 没有风险就没有控制，控制只为管理风险而存在。不分析风险而想有效地评价控制是不可能的。最新的控制模型如美国的报告、加拿大的报告、英国的报告及南非的报告，将风险评估引入了内部控制并将其列为控制的核心，在风险管理上向前迈进了一步，不仅是管理上重要的里程碑，也是审计特别是内部审计发展的重要的里程碑。以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险，使审计人员必须根据风险评估的思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接起来。 从风险到环境 环境是风险的根源，控制系统就是针对它设计的。组织暴露于周边不断变化的条件和情况所导致的风险中。风险的来源对组织产生威胁的危险和创造潜在收益的机遇，必须成为风险分析的焦点。这些条件，情况，危险和机遇就是可能影响组织的环境。 环境包括一组相关内容：（）通用环境：国际的，经济的，法规的，政治的，环保的，知识的，科技的，社会的；（）社会环境：社会的，私人的，非盈利性的，公共的，以及宗教的；（）行业环境：各类不同的私人行业，公共行业，中介行业，以及这些行业的产品，流程，资源和其他市场要素；（）组织