「来源: |审计实践 ID:one_auditor」
一、审计工作分析
国际内部审计师协会对内审的定义是:一项独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。
内部审计的内容或形式包括:财务审计、内控审计、经济责任审计、舞弊调查、离任审计等,大部分审计工作内容的最终落脚点是完善企业经营管理,具体又分为两个层面,第一个层面是核验公司的运营是否符合公司制度和法律法规等硬性规定(刚性标准),目的是推动政策执行落地;第二层面分析比较公司的经营管理和优秀管理思想、行业标杆、公司最新战略等非刚性标准的差异,并针对差异提出改进建议。第一层面是基础,第二层面是出彩,也是一位优秀审计人员的努力方向。
实际工作中,公司管理层更希望审计人员能发现改善公司经营管理的问题,尤其是合理性问题,而不只是执行偏差;公司领导更希望能提高经营管理的效率和灵活,更好的适应市场变化,而不是为了控制而控制。
二、审计中常见的不足
1、审计发现问题揭示深度不够,很难引起管理层的关注。(1)内控审计更多是遵循性审计,发现问题多数是执行偏差,合理性关注点较少;(2)在审计报告中揭示的问题往往是与被审计对象进行确认的具体问题,不会提炼总结分析问题的根本原因,就事论事。
2、审计结论大都很中庸,新“八股文”。(1)审计结论往往因为内控评价缺少数量级评价标准,以及照顾被审对象的情绪或维护关系,结论基本偏于中庸化,如:基本满足、未见异常、基本规范;(2)审计发现问题和风险仅限某一审计期间,缺少与前期审计结果之间的比较,不能反映问题的变化趋势和内部控制的完善过程。
3、审计建议空泛,强调加强控制,可操作性差。(1)审计人员没有深入分析问题的根本原因,与被审部门缺少沟通,不能提出合理化、系统化建议;(2)审计建议普遍是加强内部控制,如:增加人员配置、系统建设和复核点,增强监督复核及考核机制。这些建议往往会增加成本和降低效率,被审计对象可执行性差,难以落地,前查后范、屡查屡犯、此查彼范时有发生。
造成此情况的原因与审计目标、审计部门的考核机制、审计人员素质相关,尤其是合理性审计需要审计人员对公司业务情况、行业发展情况、公司战略、公司当年需要解决的重点问题、商业模式、流程管理、制度建设以及其他职能战略都有一定的了解和认识。
三、流程审计
1、流程管理的基础知识
(1)流程的本质
流程是跨部门、岗位之间的工作流转的过程。《流程管理》(王玉荣/葛新红)提出流程的本质是“六个要素,以终为始”。六要素包括:流程的输入资源、流程中的若干活动、活动的相互作用(例如串行还是并行、哪个活动先做哪个活动后做,即:流程的结构)、输出结果、顾客、最终流程创造的价值。
审计人员在审计流程时,首先需要识别流程,涉及到流程的分类、分级和分层;需重点关注流程需要创造的价值,即:流程的目标,如:业务发展、风险控制(信用风险、合规风险及市场风险等)和信息安全等。
(2)流程与制度的关系
流程是河道,制度是堤坝,流程规定了工作的流转路径,制度规定了工作在每个环节的活动规范。流程是连续的,直达客户(企业内部客户和外部客户);制度是非连续的,体现的是制度的等级;制度中的相关规定内嵌在流程中时能更好的促进制度的落实。
(3)流程与组织的关系
《流程管理》(王玉荣/葛新红)提出“高阶流程决定了组织结构,高阶流程和组织结构共同决定了低阶流程”。高阶流程体现的是经营管理思维,比如华为的集成供应链和集成产品开发流程、丰田的及时生产系统、小米的粉丝经济。组织结构体现的是企业内部的分工和企业边界,是实现经营管理思维的工具。在高阶流程和组织结构决定的情况,二者共同决定了低阶的流程。
(4)流程与业务的关系
《超越再造》(迈克尔.哈默)提出:“公司走向以流程为中心并不创造或发明它们的流程。因为流程本来就在那里,只是没有受到相应的尊重和了解。”。流程是业务的载体,从业务中来,到业务中去。
审计部往往是在公司业务规模发展到一定阶段后才成立的,设置的初衷包括:加强管理和满足监管要求,主要包括:上市公司、大型集团企业、金融企业等。审计人员在进行流程审计时,要秉持“流程是业务的载体,从业务中来,到业务中去”的原则,从业务活动入手分析理解流程,流程审计成果最终要能回归到完善业务活动。
2、流程审计的内容
流程审计的内容包括:(1)流程基础管理工作的规范性;(2)流程的完整性;(3)流程的合理性;(4)流程的可操作性。
(1)流程基础管理工作的规范性
(2)流程的完整性
(3)流程的合理性
(4)流程的可操作性
3、流程审计的程序
(1)识别流程
收集企业的现有制度文件、流程文件等,对企业现有的流程进行梳理。现在企业基本都有办公系统,可以查询系统中的流程清单。识别核心业务流程、管理支持流程、发展战略流程。流程识别环节需梳理出3级及以下的流程情况,而不只是一级流程,流程的粒度越细越好。
在了解业务活动、现有流程、制度文件、法律法规的情况下,自行编制业务流程清单(不是编制具体的流程),充分考虑各种工作场景。
(2)确定审计重点
可以将公司现有的业务流程与自行整理的流程进行比对、发放问卷调查、分析前期内部审计中发现的问题集中点等来确定审计重点。如果是首次开展流程审计,可以从核心业务流程开始。
(3)分析及测试
可以采用鱼骨分析法、5W2H、ESEIA法(清除、简化、填补、整合和自动化)等方法进行分析。
①基础管理工作的规范性
同常规审计。检查核实公司是否建立了运行、检查、监督、总结和改进的流程管理机制。涉及到流程管理的牵头部门、具体的流程责任人、改进频率、流程改进的审批流程等。
②完整性分析及测试
将自行整理的流程与公司现有的流程进行比对,分析公司现有流程是否涵盖所有的业务场景或业务环节。如存在不完整,则针对性的进行检查。
分析此流程的目标,尤其是合规性目标,核实流程是否设置了相应的审批环节。如存在不完整,则针对性的检查此活动开展的情况是否存在违反法律法规及监管文件的情况。
查看与此流程对应的制度文件,核实制度中确定的刚性要求有没有在流程中进行体现。如没有体现,则针对性的进行检查。
完整性分析和测试可以利用前期审计发现成果,尤其是前查后范、屡查屡犯、此查彼范。
③合理性分析及测试
站在客户角度分析流程的输出是否合理?此流程创造的价值是什么?是否真正创造价值?此流程与已知的标杆流程之间的区别是什么?此流程是否可以参照来改进?如果公司有流程管理制度文件,可以检查其遵循性。如果没有,此分析作为评价公司流程管理规范度的参考依据之一。重点是:客户投诉较多的流程、占用公司资源且收益较低的流程(如:存货、现金)。
依据信息系统的数据来统计流程实际运转时间。审计人员需要与流程中的相关人员进行沟通,了解流程运转效率,效率不高的原因是什么?分析此流程的目标和时效性,分析的目标主要是风险控制目标和业务发展目标,站在效率性的角度分析流程是否存在冗余环节?是否可以通过工作合并、减少审批环节来提高效率?重点是:耗时过长的流程。
合理性分析及测试很难得出被审对象的问题,除非极端情况,审计人员要做的是数据呈现、理论分析以及改进建议。
④可操作性分析及测试
可操作性更多强调的是操作的便利性,而非是否能操作。往往涉及到跨部门、跨地区合作的情况,比如贷款项目,因没有配置远程视频会议系统等,项目评审会一定要现场召开,异地委员请假的较多。重点是:同时被多个部门、多个流程共同占用的资源或环节(如:风险审批、用印等)。
(4)确认问题和编制审计报告
此环节与传统内审内容相同。审计报告呈现审计成果,报告要把握“流程”这一主线,描述业务背景、问题、产生的原因影响以及改进建设。
四、总结
内部审计发现的问题最终要回归到加强企业的内部管理上来,通过制度和流程等方式从根本上解决问题,提高企业的经营管理水平。流程管理作为一项重要的管理措施,在很多企业受到重视,如各大银行企业都在打造流程银行。流程管理和其他企业管理相比较,其跨行业、跨时间、跨区域的适用性更强,审计切入点更容易,审计成果更容易被审计对象和公司管理层接受及采纳,更能体现内部审计的价值。
原文首发于2019年8月。
举报/反馈