作为德国和整个欧洲的行业领导者,德意志银行在全球范围内提供金融服务,并在亚洲、北美洲和主要新兴市场持续拓展业务。这家银行在72个国家和地区拥有77000名员工,由3个业务部门组成:企业与投资银行部、私人客户与资产管理部,以及企业投资部。 圈定审计职能 克里斯蒂安·斯内尔曼过去3年来一直担任德意志银行审计部的首席运营官,马丁·伊斯特斯是审计部的首席信息官,他担任该职位已经5年,负责向斯内尔曼报告。审计部在德意志银行管理委员会的授权下开展业务,并向首席财务官有组织地汇报。整个审计团队拥有约400名专业人士,他们分布在31个国家,确保所有地区都有审计代表。 审计部的结构与银行的组织和业务部门设置紧密相关。3名审计业务合伙人分别对应3个地区并负责向审计部全球负责人汇报。每个业务合伙人配有1名首席内审师负责该地区具体工作的实施。8名首席内审师负责编制和完成地区的审计计划。 审计部的战略目标包括以下内容:向利益相关者,如负有监管职能的审计委员会、管理委员会、银行的业务负责人和监管机构,提供他们所需要的独立、透明的保证服务;向利益相关者提供增值服务,这就要求除了审计之外,还要开展尽职调查工作和咨询活动;帮助银行完成其目标,比如有效的风险管理、控制和公司治理;有效地使用资源。 上述战略目标列表的最后一项促使审计团队去发掘,信息技术如何在增加效率和改进审计流程方面起到更加有效的杠杆作用。“2007年,我们提议重新配置方法论,目标是提供一种更加动态和以风险为基础的审计方法。”伊斯特斯说,“最终,我们开发出了MAPS(方法论和流程战略项目),我们的愿景是将所有的审计应用系统整合为一体,这将使我们可以看到整个审计生命周期。” 审计工作流程 目前,用于支持上述举措和涵盖所有审计职能的信息技术——审计工作流程和风险评估引擎(AWARE)在内部已得到开发。该系统综合了风险评估要素、年度计划、现场审计、报告的出具以及问题跟踪。 网上审阅和审批促成了更加严格的控制,工作流程也由此得到改进。AWARE在整个审计流程中为用户提供指导,并产生了更好的信息管理,这些信息均储存在一个中央数据库中。“AWARE让我们能够在全球范围内实时分享信息。”斯内尔曼说,“我们所有的数据储存在一个数据库,每个人在任何时间都可以看到这些数据。” “AWARE已经在德意志银行得到了广泛认可,我们对所有应用系统进行合并,这本身就是一大改进。目前,我们的内审师必须进入3个不同的应用系统,分别是计划、现场工作和后续跟踪。未来,一切将由一个系统完成。这对用户来说大有裨益。”伊斯特斯说。 AWARE的益处显而易见,但挑战也随着系统的实施不断涌现。最重要的挑战就是实施过程的时间瓶颈。“我们必须确保分配了足够的时间去开发培训资料。我们的流程是在课程资料的帮助下训练培训人员,使他们完全理解该系统并且可以在特定的办公室开展培训。我们的目标是让每个地方都有一名专家,这样一旦出现问题,就有指定的联系人。” AWARE为审计团队提供了一个框架,他们由此可以将注意力放在审计工作而非审计程序上。AWARE的一个环节是风险控制库,集中了所有潜在活动的风险和预期控制。当一名内审师在一个特定地区开展审计时,他可以从风险控制库中找出参考资料,从而确保审计工作的一致性。 去年,德意志银行审计部将计划和问题跟踪功能整合到了AWARE上。计划功能可以对比审计计划中列举的工作量和实际现场工作量,以及两者之间的联系和透明度;跟踪功能则有助于自动化审计报告的生成、派发和审批流程,同时为问题解决和验证工作流程提供支持。 其他还需要实施的关键部分包括: My Queue——一个集中了内部审计所有整改措施、相关审批和通知的在线队列,它设计的目的是为了改进审计工作流程; My Dashboard——一个特制的演示屏,帮助用户关注关键风险指标,从高层面进行监督,必要时再深入这些风险。 绩效和投资回报率 工作中,德意志银行审计部利用平衡计分卡的方法衡量部门绩效,该方法与银行的战略目标相一致。其中,人员、流程、财务和服务构成4个关键绩效指标。“我们希望把评估简单化,操作容易化。”斯内尔曼表示,“有了平衡计分卡,我们可以衡量整个审计部的行为是否满足了之前设定的目标。”审计部向管理委员会和审计委员会报告审计计划的执行进度,同时也报告审计中发现的主要控制缺陷。 投资回报率的评估是建立在成本的基础上。“通过合并不同平台和各种信息技术,我们减少了将来开发和维护应用程序的成本。”伊斯特斯说,“我们并不从盈利的角度看待这个问题,只是希望确保设计的应用系统能够很好地支持我们的方法论。”斯内尔曼补充说。