公司总部 - 美国
公司员工人数 - 近1万人
行业 - 分时度假
年收入 - 18亿美元(截止于2016年1月1日)
内部审计职能人数 - 9.5个全职等效人员
内部审计职能成立年数 - 4.5年
内部审计总监/首席审计执行官报告对象 - 董事会下属审计委员会
内部审计职能对万豪全球假日公司
技术层面的工作进行监督
作为一家拥有超过60个度假村的全球领先的纯分时度假公司,万豪全球假日公司提供多样化的产品、计划及管理专业技能组合。该公司的旗下品牌包括万豪假日俱乐部(Marriott Vacation Club)、丽思卡尔顿目的地俱乐部(The Ritz-Carlton Destination Club)和万豪公寓俱乐部(Marriott Grand Residence Club)。万豪全球假日公司曾是万豪国际集团旗下的分支机构,其于2011年通过业务分拆成为一家独立的上市公司。
在进行分拆时,担任高级副总裁兼首席审计执行官的朱莉 ・ 科克伦 ・ 迈耶受命创建公司的内部审计部门。“我们的内部审计职能于过去几年的经历可谓独一无二,”迈耶说道,“在公司从万豪国际剥离时,我们要在相对较短的时间里建立和运行大量的作业流程。”
迈耶此前担任万豪国际的财务和会计副总裁,她与万豪全球假日公司的高管并肩工作,因此对他们非常熟悉。她表示,这一点对她从零开始创建内部审计职能有莫大的帮助。“我曾亲眼目睹管理层团队如何应对挑战和进行决策,”她解释道,“这自然而然会影响我的团队与管理层团队的沟通及合作方式。”
万豪全球假日公司的内部审计职能具备各种技能,包括多种信息技术(IT)专业技能。例如,内部审计部门也能执行与网络安全评估及公司的数据泄露响应计划有关的,更具咨询特点的工作。
“我们的审计委员会希望探讨新闻里报道的网络安全违规事件,并且能够更多地了解我们所面临的网络安全风险种类,”迈耶说道。她补充说,她与公司的首席信息官和首席财务官都有密切合作,以确保审计委员会能够获得有关这些话题的最新信息,同时让他们确信我们正着手管理网络安全风险。
迈耶对审计委员会所关注的问题了如指掌,因为她在职能上向该委员会汇报,行政上则向首席财务官汇报。据迈耶表示,内部审计部门完全能够应对审计委员会所担心的网络安全问题,因为他们的9.5名全职等效员工(包括五名全职专员和以分包关系与甫瀚咨询确立的4.5名审计师)拥有各种审计、会计和IT专业技能,包括IT审计、IT安全和数据隐私技能。
“我认为将不同的技术专业技能集中于内部审计部门大有裨益,”迈耶说,“在考量风险和其它业务挑战时,你可以获得多种见解和方法。我还认为基本的商业触觉至关重要。作为一个内部审计师,你需要在理想的风险或控制解决方案和现实的业务问题之间进行权衡,然后得出自己的观点。”
她继续说道:“我们每天都绝对有可能遇到各种不同的问题,这是我在内部审计部门任职后才切身体会到的。因此,适应能力或许是我最重视的一项技能。”
随着网络安全风险越来越多地出现在所有公司,万豪全球假日公司也无法独善其身。该公司的内部审计部门已调整其审计计划,将更多有关IT的审计项目包含进来。迈耶的部门通常会根据公司的全公司层面年度风险评估和仅针对IT风险的风险评估工作,来筛选具体的IT审计项目。
上文提及的全公司风险评估覆盖约20种不同类型的风险。这些风险类型是在考量了公司的年度报告(包括财务报表)内所列的风险因素后筛选出的。“这样一来,我们就能确保和高管团队心目中的首要风险保持一致,”迈耶说,“然后我们再根据管理层团队的建议对风险进行评级。最后,我们创建一份风险地图,我的部门据此识别需要审计的领域,而管理层则将其用于他们的风险管理计划。”
迈耶表示风险类型包含两套IT风险。“大约三年前,我们便确定,如果我们想充分利用我们的风险评估来识别哪些IT审计项目可以纳入我们的年度审计计划,我们就需要更深入地挖掘IT风险领域,”她解释道,“因此,我们绘制了一页图表来描述我们公司的IT风险环境。我们还和直接向首席信息官汇报的人员座谈,以获取有关近八种不同IT风险类型的更多信息。”然后内部审计团队和他们的IT同事再对这些IT风险类型进行评分。
内部审计部门根据风险评估的结果将IT审计项目纳入其年度审计计划。例如,其中一项IT审计着重网络安全。在成为一家上市公司之后,万豪全球假日公司通过一项过渡协议仍然处于万豪国际集团的IT网络。在该协议终止后,公司才转向自己新创立的网络。“我们的新网络一成立,”迈耶说道,“我便让我的IT审计团队对其配置进行了审计,以寻找潜在漏洞。”
另外一项IT审计则侧重公司使用 SaaS 技术(“Software-as-a-Service”,是一种通过Internet提供软件的模式)所涉及的数据安全问题。“和当今大多数公司一样,我们采用许多 SaaS 解决方案,”迈耶说,“我们因此对网络上使用的配置进行了审计,该配置主要用于在我们公司和为我们提供软件服务的第三方之间来回传输数据。”
还有一项单独执行的IT审计是针对全公司使用的移动技术。迈耶表示这项专注于安全性的审计是在甫瀚咨询的移动技术审计专家的协助下完成的。此次评估特别查看了设备中的数据和设备自身是否保持安全。
迈耶指出:“内部审计部门的移动审计带来的另一正面影响,是它引导整个管理层团队就我们希望如何推进整个移动计划展开了讨论。”
这种引导正是内部审计职能所开展的更具咨询特点工作的主要目标。“这正是我们业务所要面向的咨询领域,通过这些咨询工作可以促进控制和审计就绪度的提升,”迈耶解释道,“它和我们部门的确认服务是分开的。”
例如,当公司和新的技术供应商建立业务关系时,内部审计专员就向他们的同事提供隐私和数据安全指引。内部审计团队的成员还加入了一个旨在更新公司数据泄露响应计划的项目团队,该计划是公司网络安全工作的一个关键组成部分。“该项目团队拥有丰富的数据隐私专业知识。”迈耶说。
内部审计职能还协助万豪全球假日公司的信息安全部门参照美国国家标准和技术研究所(NIST)的《网络安全框架》,对公司的网络安全计划进行了评估和分析。
“ NIST 框架映射工作实际上非常全面,我们的角色是为确保这项工作得以完成提供帮助,同时在整个过程提出具有挑战性的问题和做出客观的观察。这种自我评估是新鲜的,我们希望确保风险得到全盘的考虑和应对。”
内部审计部门凭借其咨询和引导工作赢得了整个公司的信任。“虽然必要的监督是我们角色的一部分,但我当然希望我们更多地是被视作业务伙伴,”迈耶说,“我们经常受邀对开发中的或全新的流程提供审计或咨询,这说明了我们的业务伙伴是信赖我们的。我们经常就一项新的计划,在它形成时间尚不足以对其提供确认服务之前,就参与其中,执行审核或提供咨询。”
比如,内部审计师近期和一个IT项目团队合作,测试一项新应用于公司三个度假村的运行情况。“这项应用还在试运行阶段,”迈耶解释道,“我们和项目团队一起合作,试图在该应用被全面推行之前寻找出可以改进的地方。”
迈耶定期参加万豪全球假日公司的高层IT治理会议。“我密切关注我们在技术方面的内部治理——不只是关注支出,更有实施中的战略,”她说道,“即便我们在我们每年的风险评估中对IT风险进行了深入的挖掘,我们仍要力求对潜在的IT变革保持实时更新。”
更多精彩内容可向公众号回复关键词:
内控 | 2016版《全面风险管理框架的修订版》
会计 | 史上最全IPO审计的财务问题及其规范方法
报告 | 新审计报告准则发布,你做好准备了吗?
笔记 | 做财务总监十年,总结出98条精华笔记!
四大 | 都闪开,说到黑「四大」谁有我专业
审计 | 内部审计中常见的会计舞弊手段
