企业如何有效的提出内部审计建议.doc

企业如何有效的提出内部审计建议 前段时间有一个调查“大家所在企业组织的内部审计报告中是否出具审计建议？” 笔者有简单的回复此份调查，就此调查笔者个人观点再此整理下： 回到这个「调查的本身」“内部审计是否出具审计建议”，若一家企业内部审计完成之后审计报告中不提出可行性（通常说：建设性）审计建议，会直接说明「两个疑点」： 1.企业对内部审计部不重视，只是应付主管机关检查而做样子。 2.内部审计Team的技术能力不够（因为内部审计对企业业务部清楚以及作业程序、控制系统不熟悉无法提出可行性建议，当然还有对于一些内部审计来说“经验会有帮助”）。 简单聊聊，笔者所在企业是如何有效的提出内部审计建议（仅供参考）。 1.稽核过程中，对于「查核发现」与被查单位沟通及确认。 通过「数据分析」、「数据分析」、「系统作业单据Link」、「穿行测试」发现被查单位问题，问题的发现，需要与被查单位沟通及确认（通过数据说话），异常数据是用ACL系统Run出。 2.审计结果确定之后，归纳整理本次稽核的循环所有的「风险」及「问题」，「从点到面，面对点」并使用「数据体现（金额）」 3.将审计“发现”与“结果”，整理制作成CloseMeetingPPT「PPT简单明了突出问题与重点」。 4.Internalaudit内部讨论，对本次InternalAuditTeam需要与被查单位讨论「主题」与「重点」Review。 5.主导CloseMeeting，发会议邀请通知，参与人员包含：CEO、COO、CFO、被查单位的BuHead、高中层管理人员（若涉及系统必须要求IT参加）。 6.会议过程中InternalAudit将稽核发现通过PPT分Agenda呈报说明，针对每个事项的问题，由CEO、COO、CFO在会议上对于稽核发现问题需要改善控制风险部分指定PM（ProjectManagement）或者由被受查单位回复PM负责主导改善，给出完成时间，由PM自行制定PIC（PersoninCharge）执行完成，（ProjectManagement） 7.CloseMeeting结束之后，将会议决议E-mail给与会人员，相关单位按会议决议执行改善。InternalAudit负责追踪及改善结果验证。 注：CloseMeeting上均由InternalAudit各自报告所负责项目（Team人员培训）。 8.会议结束后将「会议记录」将「会议决议」E-mail与会人员，再出具的稽核报告「含稽核建议」给董事长核准，报备董事会与审计委员会备份保留报告。 之所以需要这样的做的原因，除了体现「问题的改善需要沟通」，更隐藏着对被审计部门的尊重，而不是「僵硬的命令」，因为实施控制的是被查单位。 从CIA的书籍上你是否记得，看过“三道防线模式”InternalAudit是「第三道防线」，而前面还有两道防线，而真正在「实施控制」的是被查单位，不与被稽核单位讨论的内部审计建议，很多时候除了无法落实，反而降低内部审计的价值。 知道IBM内部审计为什么处于世界领先位置吗？（插一个话题，华为的今天，除了任正非之外，与IBM有非常大的关系，而这个关系，就是与「内部控制」有关），除了IBM是世界上最早参与内部审计发展方向讨论的公司之外，更重要的一点就是：“内部审计不是控制改善建议唯一的来源渠道”（这点直接体现IBM高层人员的睿智，更是让内部审计发挥出巨大的功能），在IBM还有一个团队叫BC（业务控制），BC团队必须保持与业务单位在内部风险控制过程中良好的沟通与协调，然而在目前的企业中BC这个单位其实就是“被审计单位中的管理组织”。 回头看看，是否明白内部审计出具审计建议，应该知道如何去完善了吧~