建立一个有效的内部审计部门 ESTABLISHING AN EFFECTIVE Internal Audit Department

ommittee. 
The IAD mission statement should be specified in the charter. The mission of Schwan's IAD was: 
"To provide independent, objective assurance services designed to add value and improve the Schwan Company's operations. The IAD helps the organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of the overall control environment and the network of enterprise business risk management control and governance processes." 
This mission statement is almost verbatim with the Institute of Internal Auditors' approved definition of the purpose of internal auditing. In other words, the department's mission corresponds with Schwan's overall mission in that the IAD exists to help the company reach its goals and achieve its business objectives in an ethical, legal, well-governed manner. This mission is accomplished by helping improve controls, business processes, and business risk management. 
To promote good relations and introduce the lAD's mission at Schwan, Randy Just initially met with all the members of executive management and then the senior management to gain an understanding of their expectations. Through these meetings he was able to introduce internal auditing as a service function charged with helping management to achieve company objectives rather than as something to fear or view as a threat. 
STAFFING THE DEPARTMENT 
Based on the analysis of Schwan's external auditor, the audit committee and senior management decided to staff the IAD with 10 internal auditors supported by an annual budget of approximately $1.63 million. The size of the function was expected to increase as the company grew. Ideally, Just wanted people at the senior and manager level to have public accounting experience as well as internal auditing work in industry. He recognized that it wasn't possible to find people at the staff level with that combination of experience. He staffed the IAD so it possessed a fairly broad-based assortment of expertise in financial, operational, compliance, and information systems auditing. 
Initially, the greatest challenge was convincing qualified people to relocate to Schwan's corporate headquarters in Marshall, Minn., a community three hours from Minneapolis with a population of 12,000. While this is an attractive community for individuals with a family-based lifestyle, it was a hurdle to overcome in seeking to completely staff a new IAD. The company used industry contacts to recruit staff in addition to receiving assistance from outside recruiting organizations. After a few months, Schwan was able to fill all the positions. 
OVERALL STRATEGY 
Once the staffing was completed, Just worked with two of his managers to develop a risk-based assessment methodology tied to the COSO (Committee of Sponsoring Organizations of the Treadway Commission) internal control framework and a consumer products business process model. The IAD used this risk-based approach to determine the scope of its services. 
As part of this risk assessment process, Just reviewed the strategic plans of the company and its business units. The lAD's efforts focused on the key areas and objectives on which the company and the business units focused. This was accomplished by having auditors meet with executives at the various business units and walk through a questionnaire they developed as part of the risk-based assessment approach 
The IAD then weighted and prioritized potential projects across all the business units, giving consideration to the volume of their activities and their importance to the company's overall strategic plan. 
RISK-BASED ASSESSMENT 
The risk assessment framework closely incorporated the concepts of risk and control. Schwan established business objectives at all levels of the company from corporate down through each business unit. To achieve these objectives, it put in place core business processes that were groupings of related business activities (e.g., procure materials, manufacture products, distribute products, sell products, serve customers). The core business practices were supported by processes that provided resources and services to them. 
Risks threaten the achievement of business objectives at all levels, while controls are the activities put into place to manage or mitigate the risks. Controls are often built into the core business processes and support processes. 
Within each process, the IAD assessed: 
* Gross risk (threats or impediments to the accomplishment of corporate or process objectives), 
* Strength of relevant controls and management's response to the identified risks, and 
* Residual risk (a reevaluation of risk in light of controls and management's response). 
The IAD rated the risks based on the magnitude of the impact of the risk as well as its probability. They conducted residual risk assessments through focused interviews with multiple levels of management, a review of business plans, analysis of financial and operational reports, and a review of miscellaneous information (e.g., industry information, process documentation). For validation, they discussed the assessment results with the appropriate levels of management. 
At Schwan, food quality and safety is one area of continual vigilance. Every single batch of raw materials or product that comes into Schwan's factories is tested for contamination, and the IAD assesses a gross risk of contamination of raw materials at a certain level. As a result of Schwan's very stringent controls, residual risk has been assessed as extremely low. 
ASSESSING EFFECTIVENESS 
On average, Just reviewed the status of the internal auditing plan with the auditing committee five times a year. The main criterion against which the success of the IAD was measured was whether the internal auditors were adding value. For example, were the major projects being performed? Was the IAD receiving requests from the business units for other projects? 
Just budgeted approximately 80% of the internal audit staff time for projects identified through the risk assessment process, leaving 20% of their time open for emerging priorities. In its first year, the department received a large number of requests for other projects, and that was clearly viewed as a substantial measure of success. 
During the meetings with the audit committee, Just also reported what percentage of the audit plan was complete, although that wasn't the primary measure of success since the IAD was created to address risk as it arises. Consequently, the annual internal audit plan could be revisited throughout the year and changed as need dictated. 
Another major measure of success was the open acceptance by the business units and their willingness to work with the internal auditors. On the audits that came up in the risk assessment process, company personnel were willing to offer ideas on areas where they felt they could use audits, and they called the internal auditors for projects. 
[Sidebar] 
History of The Schwan Food Company 
The Schwan Food Company began in 1952 with one man and one truck. Marvin Schwan, the founde

上一页  [1] [2] [3] [4]  下一页