技术在发展,审计要创新,本文主要内容关键词为:技术论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
没有年度计划,没有正式的审计报告,审计发现报告就如同软件缺陷(bugs)报告。最近,国际内部审计师协会(IIA)在美国奥兰多召开了审计管理会议,会议期间,这样的观点在首席审计执行官中间引起了很大的轰动。 硅谷的大多数公司,不断变化的创新性思维已是司空见惯。在那里,人们的思维取向就是他们正在改造这个世界。谷歌公司的内部审计总监丽萨·李就指出,公司要鼓励员工对自己做的事情提出质疑,不能安于现状。她认为,“只有不断挑战现状并以不同的方式看待事物,你才能做到这一点。” 丽萨·李和那些在世界顶级技术和互联网公司工作的内部审计同行正是在这样一些不断变化和创新的组织中工作。对他们来说,内部审计必须要适应这种快速发展的节奏,并且要对如何应对风险和提供确认服务提出新的设想。内部审计师必须要对自身的工作进行不断创新。 一、找出解决问题的方法 丽萨·李领导着谷歌公司的审计团队就像工作在一个“有序的混乱”环境中。她曾在KPMG、SAP咨询公司、思科以及OpenTV工作,目前对她而言相当于一种调整,因为那些公司的变化速度和增长率各不相同。丽萨·李2004年加入谷歌公司,她认为,“当你刚进入这个公司时,不仅要学习谷歌的流程和产品,而且还要适应那里的文化和工作方式”,“那真像是用消防水龙头带喝水”。 她提出,为了适应环境,审计师们必须具有前瞻性地了解公司的其他方面。公司有时会要求这支40人的团队不断修正他们对于风险及其在应对风险中的作用的想法。在她看来,最大的差别就是谷歌公司的风险应对。公司在创造改变世界的产品和服务的同时,“不会很好地规避风险”。 在谷歌公司,风险管理不是消除风险,而是对风险进行管理,重点是关注风险的上限。谷歌公司的风险范围同样也包含了其他公司所要面对的财务风险、监管合规风险以及经营风险,同时,公司还要面对那些颠覆性技术开发中所产生的风险。作为丽萨·李团队中的一员,必须要认识到他们有关风险方面的建议对于公司而言则是一项巨大的机会成本。丽萨·李认为,“许多组织都希望更多地规避风险”,试图去削减风险,而没有考虑到一旦风险与公司的经营目标相冲突时,他们是否要容忍这种风险的存在。她说,“谷歌公司在开发创新产品期间,会出现很多我们所不知晓的风险,但我们必须要认同这些风险。” 丽萨·李负责的内部审计工作就是基于谷歌的创新进行的,他们工作在一个充满创意的环境中。谷歌公司一直都在不断开发新的技术和产品:如近期上市的谷歌眼镜以及开发自动驾驶汽车的创新项目。对于每一种创新产品或项目,内部审计团队都要向运营单位了解该项目的目标、工作流程以及取得成功所要冒的风险。当一项创新付诸实施后,审计团队可能更多的是成为一名咨询人员,对管理风险提出选择性的建议。对此,以一个更为合作的、以解决问题为导向的方法开展审计工作,重点是防止出现“意料之外”的问题。丽萨·李说道,“如果房子着火了,你不能站在边上告诉大家着火了,这不算是帮助”,她强调的是,“真正的帮助就是要确定用什么样的方法灭火。” 二、不断站在新的起点上 就像丽萨·李在谷歌公司调整自己一样,汤姆·奥斯汀现在也正经历着这一切。奥斯汀是2013年加入到网络设备公司的思科公司,担任公司主管治理、风险和控制的副总裁,负责管理工作在世界各地50多名内部审计人员的团队。思科的文化是以销售为导,尽管不全是这样,但这种理念更强于他之前所在的半导体设备制造商应用材料公司所秉承的那种以经营为导向的文化。奥斯汀说,“怎么才能最有效地理解这种文化,是我所面对的挑战。”他承认,“直到我认识到要用一种不同的方法时,我才完全认可了这种文化。” 奥斯汀认为,思科尽管已经是一个知名的公司,但它仍然像一个新建公司。不久前,思科公司招聘了像奥斯汀这样的高管人员,帮助公司在逐渐发展成熟的过程中建立更为完善的业务流程。奥斯汀对公司的管理人员们不断进行内部控制方面的培训。他告诉管理人员,“在公司逐渐发展成熟的过程中,你们需要取得更高的、超过公司的现有效益,方法只有一个,那就是在整个业务流程中要有更多的约束和规范。” 按照内部控制的要求规范流程正在成为思科公司非常重要的工作,也是现有经营模式下的一种很大改变。思科公司最近宣布,未来两年,他们将对云服务开发项目投资10亿美元。思科将为客户提供一系列解决方案的服务,而不仅仅停留在销售路由器和交换机,以及视频及网络会议技术的阶段。对此,奥斯汀提出,“如果公司的视野转向云端技术,那么,内部审计面临的挑战则是公司将如何实现这一目标。” 成为解决方案的提供商也会产生新的风险,尤其是云数据的安全性,而销售队伍、基础框架以及以制造和销售为中心的流程整合则是思科所要面对的另一个问题,不仅仅是提供解决方案。为此,奥斯汀认为,“我们将会重视新业务模式下现行的各种业务流程,并试图评估现有设置是否妥当。” 三、时刻具有一种紧迫感 相比谷歌公司和思科公司,邻客音则是一个规模较小、极具发展前途的公司,但它不再是一个刚起步的公司。这家专门面向商业客户的社交网络服务网站已经是一家上市的社交网络公司了,并依然还保持着公司初创启动阶段的发展势头。公司内部审计的负责人因德尔·古拉蒂早年曾在维萨和普华永道会计师事务所工作,2011年加入邻客音公司并建立了内部审计部门。在他看来,尽管发展步伐很快,但公司仍然保持着很强的紧迫感,他认为,“内部审计相关利益者的期望主要集中在增加价值方面。” 古拉蒂负责的内部审计部门有12名内部审计人员,部门工作就是与管理层和运营单位紧密合作,共同建立完善流程、控制和系统,使其能覆盖公司各个方面直至全球各机构的经营管理。例如,当邻客音在一个新的国家开展业务,内部审计就必须了解其所包含的技术、法律、监管要求、财务准则以及市场方面的其他特定要求。古拉蒂认为,“深入了解业务运营活动并知道什么可能出错是非常重要的。” 古拉蒂还认为,对于内部审计而言,与利益相关者保持紧密的关系,并提供“一种健康、平衡的确认和咨询服务”也同样重要。因此,内部审计要和审计委员会紧密合作,进行风险监控并解决存在的问题。他认为,“我们要不断再访那些重点领域,实时防范风险的发生”,“也就是说,无论何时何地,我们都在对那些重要的业务运营活动提供支持”。 四、行动还是放弃 我们再看一下在奥兰多国际内审年会的全体会议上,古拉蒂和丽萨·李告诉与会听众,他们没有年度计划。古拉蒂认为,年度计划无法执行的原因是因为业务变化太快,在他看来,内部审计人员很难把公司全年的审计计划确定下来。在邻客音公司,内部审计部门经过与管理层和运营单位的协商,共同对风险和其他问题进行识别、确认,以此决定下一个季度的内部审计项目。这些审计项目需要与邻客音公司的战略目标紧密结合,并保持一致。 丽萨·李很爽快地说道,尽管谷歌公司的内部审计团队没有年度审计计划,但会有一些框架性的要求。她认为这就是审计工作的计划,并且还是一个适应性更强的计划。丽萨·李制定的不是一个需要持续不断完成的实际计划,而是一个潜在审计项目的清单,以核心风险作为指导。每个季度,丽萨·李和她的团队都会对谷歌公司各种创新业务进行评估,在与管理层协商后选择出那些需要关注的事项。然而,由于一切事物都在不断变化中,内部审计必须有足够的灵活性应对那些瞬间会成为重要性极高的问题。 奥斯汀认为,在思科公司制订审计计划是一件特别复杂的事情。审计计划中要具有高度的综合性,将组织中不同的运营部门以及160个国家的运营活动进行统筹安排。即使是一个规模较大的内部审计团队,也不可能事无巨细地对任何事项都进行审计。与邻客音公司和谷歌公司不同,思科公司确实是制订了年度审计计划,但奥斯汀每个季度都会对此进行修改。审计部门每季度要进行6项审计,每一个项目需要13周的时间。计划中要包括每年10个地区性的审计项目,此外,还要给审计部门留出可选择的余地以便开展咨询项目,如对新流程、系统或应用软件进行的设计审核,以及对内部调查中形成的总体控制问题进行处理。奥斯汀说,“对于一些正在发生的业务,我们也希望能够与管理层一起支持业务的发展”,“但我们对此还不够了解”。 五、成为内部审计的创新者 在一个充满创新的公司,当内部审计师必须适应迎面而来的变化时,他们也使自己的工作有所创新。正如我们所希望的那样,这些审计部门也在使用大量的技术手段开展工作。 在思科公司,所有的内部审计项目都和IT技术相关联。审计部门的法务团队已经开发了自己的数据分析软件,可以查阅来自各类公司的相关数据,比如旅游、费用报告、人力资源和采购情况。审计团队会在数据中寻找异常,比如一些人填报他们在休假期间的费用报销报告,或者是毛利低于临界值时的报价申请应该需要审批等事项。奥斯汀说,“数据的伟大就在于你能在大量数据的基础上进行抽样”,“现在的目标就是那些我看到出现异常数据的领域或可能会有问题的方面,据此,我会了解这类业务是否存在系统性的问题”。 同样,谷歌公司的内部审计部门也会充分利用他们自己的IT知识以及公司内部专家的优势。丽萨·李指出,“在谷歌公司,数据就是一切”,审计客户都是要“在数据的基础上进行决策。这已经在他们的DNA中了”。所以,谷歌公司的内部审计师要能与那些建立高端技术系统的客户紧密合作,就必须具备了解软件代码的专业知识。她还说,“你需要有足够深度的知识才能与他们进行对话,才能信任他们的工作,并挑战他们所做的工作。” 六、提出错误或缺陷报告 谷歌公司内部审计最独特的创新就是审计报告。以前,审计师只提交一份有关审计发现的独立审计报告,随后,运营单位会对审计发现进行核对、调整,并将其中的审计发现加入到他们自己的任务清单中。而谷歌的工程师们,就像大多数的技术公司,会习惯性地着手解决问题,或通过形成自动错误报告提出整改要求。 两年前,谷歌公司的IT审计团队就建议使用自动错误报告的形式来报告审计发现。错误报告系统会将审计发现与运营单位进行沟通,并自动生成问题尚未得到解决的提示。由于使用了工作优先级的工具,使得这种方式的最大好处就是时效性。就像丽萨·李所说,“只要问题一被提出,你就能马上知道”,“你不用再去等一份审计报告,流程拥有者也不必处理一份单独的整改要求清单了”。 运用错误报告的成功之处就在于它使丽萨,李的团队对传统的审计报告价值提出了质疑。直到最近,内部审计团队还会编制一份完整的审计报告,作为向审计委员会、公司管理层或运营单位进行工作陈述时的补充资料,但在会上不再给与会者读审计报告了。丽萨的团队正在尝试形成一份一页长短的报告概要来替代正式的审计报告。对此,她断言道,“我相信人们真正关心的不会是我们在审计过程中做了什么,他们真正关心的是审计的结果”,“这就又回到了有关价值的问题上,即要把时间花费在最有价值的事情上,给人们提供他们最关心的信息”。 这种方法类似于邻客音公司已经用于沟通审计发现时所使用的一种简洁、易懂的方法。古拉蒂说,“沟通的事项只有清晰并具有可操作性才能被运营单位真正理解和接受。对客户而言,内部审计的目的无非就是提供最重要的信息。” 思科公司的奥斯汀和他的团队尽管还继续编写并提交传统的审计报告,但他们会利用报告的过程与整个公司就广泛的经验和教训进行沟通。思科公司的规模大,对单一运营单位进行审计往往要经过较长的时间间隔,但是,一个领域的审计发现和整改建议却可用于公司内部的其他运营单位。而这样却可能会产生较大的效果。奥斯汀认为,“如果能确定一种趋势或主要根源,我就能让人们对此有所认识,以至于当问题出现时就能得到解决。” 奥斯汀的团队还有更多、更全面的策略,使运营单位和其他审计相关利益者能对审计过程身临其境,上述这种报告审计发现的方法只是其中一种。还有一种方法就是在运营业务领域与相关人员进行点对点的交流或持续性的会面讨论。这种方式,一方面使内部审计得到许多确定其审计范围的信息,另一方面也使客户了解到部门正在进行的审计和咨询工作,并扩大因审计发现而进行整改所带来的益处。对此,奥斯汀说,“整个过程就是一个与被审计对象有更多互动的过程。” 七、成功的必要条件 如何打开一个新的思路,并使其帮助内部审计师在一个变化飞快的公司中获得成功,我们以上所提到的报告方式只是其中的一个例子。成功需要适当的技能组合和洞察力。 古拉蒂提出,邻客音公司是一个“到处都在转变你的职业经历”的地方,对内部审计师也是如此。该公司内部审计部门的工作分为风险管理、转型活动、精良的流程和控制、内部审计和调查、境外审计和合规性核查、合规性监测、持续控制监测以及美国2002年《萨班斯—奥克斯利法案》的遵循性检查等八个领域。总之,其审计部门在以上这些领域都具有丰富的经验。古拉蒂说,“对于特定项目,我们也会从会计师事务所获得一些咨询服务作为对资源需求的补充。” 思科公司的内部审计团队,有一半的审计师和专业人员都是来自运营部门的不同岗位。奥斯汀认为,每个人都给审计工作带来了不同的专业知识和技术,即职业审计师的内部控制和财务专长以及不断更新的运营知识,他说,“你们需要一个多才多艺、技术全面的团队”,虽然,“我从来不认为我们在任何领域都是专家,但我们却能够有效地了解每一件事情”。 谷歌公司的内部审计部门已经为公司业务运营输出了很多人才,一方面,审计部门有助于审计人员的职业发展,而另一方面,审计参与人员在完成审计工作后,又能给团队带来新的洞察力,并会对公司的发展有所帮助。丽萨·李肯定地认为,“你们正有效地建造一种更完善的控制环境”。 为使审计工作更为有效,谷歌的审计师们还必须成为问题的解决者和好的倾听者,并能够在模糊不清、杂乱无章的境地中保持头脑清醒并辨明方向。在丽萨·李看来,“我们需要那些卷起袖子就能做事的人,但同时也要明确需要他们做什么”。我们在对待那些可能认为内部审计是一种障碍的审计客户时,无序的纷争迟早都会发生。丽萨·李回忆起她与一名客户进行沟通的情景,他们之间的这次谈话是为了让客户更加理解风险问题的重要性。但当她与客户进行交谈时,其内容和方式都发生了一些变化。她说,“我感到这就是一种责任”,因此,“我们会说‘让我们讨论一下这个问题存在的原因’,而不是‘你在批评我所做的一切’”。 最后,丽萨·李由此得出的结论就是:内部审计和其他团队一样都是公司团队中的一部分。改变思维方式就能打破很多禁锢,在高速发展的企业中,内部审计师的工作会更加有效。标签:内部审计论文; 审计计划论文; 审计报告论文; 审计软件论文; 项目公司论文; 技术风险论文; 审计方法论文; 审计流程论文; 审计目标论文; 审计职业论文; 审计准则论文;