高效的内部审计职能,将对推动企业的风险管理、内部控制建设和可持续发展起到关键性作用。上期本刊介绍了建立战略性内审职能的十步启动框架中的第1~4步,本期继续介绍第5~7步。
在建立了内审战略框架后,工作的重点将转移到战术执行上。如图1所示,通过实施第5~IO步的职能和活动,内审工作将立见成效,并取得长期的成功。
第五步:编制当前和长期的预算
完成框架的第1-4步后,可得到足够的信息去建立当前和长期的预算。预算必须为内审提供足够的资源,以执行第4步制定的基于风险的审计计划,并应有适当灵活度以应对业务改变的需要。
预算应在风险评估结果和审计计划的基础上准备,并根据国际内审协会或其他第三方制定的内审标准,与本行业的类似内审部门比较,建立预算基准。像在框架第3步制定正式的战略计划中讨论的,预算应该跨越3~5年的时间段。
内审预算必须有灵活性,使内审能够应对突发事件。我们建议使用“灵活支出账户”。在应对变化的同时,编制高质量的审计计划。“灵活支出账户”运行如下:
·在风险评估和内审计划结果的基础上建立核心内审预算。核心预算提供足够的资源,以使内审计划有效地执行。
·同时建立单独的“灵活支出账户”。账户基于核心内审预算的百分比或其他估计设立。
·根据识别出的具体项目或需求,确定必要的资源和技术组合以支持核心内审计划。
·“灵活支出账户”满足突发的或企业内部一次性项目的需求。
·“灵活支出账户”中的未使用资金为内控预算的盈余差异。与年度内审风险评估流程和计划的制订流程相一致,每年估计一次。
使用“灵活支出账户”的好处包括:可以使内审预算流程与内审利益相关方的“价值驱动因素”紧密相连:同时,鼓励内审与其利益相关方直接对话,帮助内审清楚地识别需要特殊技能的领域,并投入适当的资源与资金,以及在特别需要的时候才配备特殊的资源。
总括来说,本步强调内审应先根据战略制定预算,然后再考虑战术。
第六步:尽早开展现场工作
内审部门往往希望在结构设立完毕、员工全部到位后才开始内部审计工作,这是非常不现实的想法。公司的主要利益相关方没有耐心去等待,他们希望马上看到进展,而不是在审计职能成立后的下一年或更远时期。企业不能期望在取得所有的资源之后才开展现场工作。
为了立刻体现价值,内审部门应该在成立几周之内开始现场工作。比较理想的是。在内审部门宣布成立起的100天内对3~5个已知的高风险领域展开审计工作。这些初步的审计通常应该关注某些特定的领域,例如:采购流程和销售渠道的有效性,信息系统总体控制和其他已知的存在内控问题的业务领域等。
使用正式的快速启动程序是保证尽快取得成果的有效方法。快速启动程序是一种项目管理技术。它对在最初100~120天内将要完成的不同审计和初步工作进行规划。快速启动程序包括具体的战略及战术,也包括可能需要同时开展审计的领域。计划包括预定的完成日期和用来衡量进度、识别问题和进行调整的里程碑。使用快速启动程序还可以防止启动程序的拖延以保证现场工作尽快开始。
当然,这样的快速启动程序需要有足够的资源来实施现场工作。通常,内审资源需要“加速提升”以满足执行完整审计程序的需要。为了达到快速启动,许多公司首先选择借用外部中介机构。这样做的优点是除了能在项目开展过程中获得专业建议和咨询服务,能获得完成特定高风险审计所需的资源、工具和技术,还能随着职能由内审人员独立执行或共同完成项目实现知识的转移。
通过使用快速启动的方法,在建立本文的10步框架的其他要素的同时,企业就可以向利益相关方交付工作成果了。值得注意的是,框架的不同活动在应用时不是线性的。某些框架中的要素应该在启动阶段就开始进行。
第七步:评估所需的技能
内审部门应结合在内审启动阶段对利益相关方的价值驱动因素和“使命声明”的认定,对所需的技能进行评估。一个常见的误区是管理层过于注重内审人员的数量,而忽略了高风险和主要价值驱动因素所需的技能。实现前述的“内审连续统一体”(具体内容见上期)通常要求一整套的技能。包括技术以及所处行业的专业知识。然而,吸引具有领导才能、技能及经验的高素质专业人士可能是一个耗时和漫长的过程。为了防止延误内审工作,内审部门可以考虑使用第三方中介机构来取得过渡期间所需的资源。通过外包专业服务的方法,管理层及审计委员会在取得内审工作成果的同时更可以关注聘用合适的人员。当聘用到了合适的人员,外包专业服务的形式可以调整为内外共同完成项目或彻底取消。
在考虑长期人员需求时,请记住内审是一个动态的、不断变化的领域,不只是“寻找能干活的人”的简单要求。在过去的十年中,许多国际性的公司开始通过内外部共同完成项目的方法取得工作灵活性,取得那些从内部无法获得的技能。
为了满足这一需求,普华永道开发了“资源的车轮模型。资源的车轮模型假设某些核心内审资源和能力在公司内可以保持不变。车轮的“轴心” 是企业内审的领导力、持续力及经验等在公司内保持不变的核心内审资源。车轮模型中的“辐条”代表可以与中介机构或企业的专业部门合作的内容。在图2的示例中,核心小组依靠合作伙伴的技能。来取得满足独特、复杂或特定领域审计所需的资源,如信息安全、ERP系统控制和安全、相关法规的合规性遵循、舞弊调查以及企业持续经营计划等。
“辐条”并不限于特定领域。如果在不同的地域需要核心内审资源,或者需要核心内审资源加入现有的某个审计队伍,轴心和辐条模型能在消除或控制审计成本的前提下,保证审计的质量和及时性、一致性。
与之前讨论的“灵活支出账户”相结合起来,资源的车轮模型能帮助内部审计按需取得必要的审计技能。随着内审重点的变化,轴心轮辐资源模型以及“灵活支出账户”可以保证内审职能中的“风险导向审计”的灵活性。