一、审计工作分析
国际内部审计师协会对内审的定义是:一项独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。
内部审计的内容或形式包括:财务审计、内控审计、经济责任审计、舞弊调查、离任审计等,大部分审计工作内容的最终落脚点是完善企业经营管理,具体又分为两个层面,第一个层面是核验公司的运营是否符合公司制度和法律法规等硬性规定(刚性标准),目的是推动政策执行落地;第二层面分析比较公司的经营管理和优秀管理思想、行业标杆、公司最新战略等非刚性标准的差异,并针对差异提出改进建议。第一层面是基础,第二层面是出彩,也是一位优秀审计人员的努力方向。
实际工作中,公司管理层更希望审计人员能发现改善公司经营管理的问题,尤其是合理性问题,而不只是执行偏差;公司领导更希望能提高经营管理的效率和灵活,更好的适应市场变化,而不是为了控制而控制。
二、审计中常见的不足
1、审计发现问题揭示深度不够,很难引起管理层的关注。(1)内控审计更多是遵循性审计,发现问题多数是执行偏差,合理性关注点较少;(2)在审计报告中揭示的问题往往是与被审计对象进行确认的具体问题,不会提炼总结分析问题的根本原因,就事论事。
2、审计结论大都很中庸,新“八股文”。(1)审计结论往往因为内控评价缺少数量级评价标准,以及照顾被审对象的情绪或维护关系,结论基本偏于中庸化,如:基本满足、未见异常、基本规范;(2)审计发现问题和风险仅限某一审计期间,缺少与前期审计结果之间的比较,不能反映问题的变化趋势和内部控制的完善过程。
3、审计建议空泛,强调加强控制,可操作性差。(1)审计人员没有深入分析问题的根本原因,与被审部门缺少沟通,不能提出合理化、系统化建议;(2)审计建议普遍是加强内部控制,如:增加人员配置、系统建设和复核点,增强监督复核及考核机制。这些建议往往会增加成本和降低效率,被审计对象可执行性差,难以落地,前查后范、屡查屡犯、此查彼范时有发生。
造成此情况的原因与审计目标、审计部门的考核机制、审计人员素质相关,尤其是合理性审计需要审计人员对公司业务情况、行业发展情况、公司战略、公司当年需要解决的重点问题、商业模式、流程管理、制度建设以及其他职能战略都有一定的了解和认识。
三、流程审计
1、流程管理的基础知识
(1)流程的本质
流程是跨部门、岗位之间的工作流转的过程。《流程管理》(王玉荣/葛新红)提出流程的本质是“六个要素,以终为始”。六要素包括:流程的输入资源、流程中的若干活动、活动的相互作用(例如串行还是并行、哪个活动先做哪个活动后做,即:流程的结构)、输出结果、顾客、最终流程创造的价值。
审计人员在审计流程时,首先需要识别流程,涉及到流程的分类、分级和分层;需重点关注流程需要创造的价值,即:流程的目标,如:业务发展、风险控制(信用风险、合规风险及市场风险等)和信息安全等。
(2)流程与制度的关系
流程是河道,制度是堤坝,流程规定了工作的流转路径,制度规定了工作在每个环节的活动规范。流程是连续的,直达客户(企业内部客户和外部客户);制度是非连续的,体现的是制度的等级;制度中的相关规定内嵌在流程中时能更好的促进制度的落实。
(3)流程与组织的关系
《流程管理》(王玉荣/葛新红)提出“高阶流程决定了组织结构,高阶流程和组织结构共同决定了低阶流程”。高阶流程体现的是经营管理思维,比如华为的集成供应链和集成产品开发流程、丰田的及时生产系统、小米的粉丝经济。组织结构体现的是企业内部的分工和企业边界,是实现经营管理思维的工具。在高阶流程和组织结构决定的情况,二者共同决定了低阶的流程。
(4)流程与业务的关系
《超越再造》(迈克尔.哈默)提出:“公司走向以流程为中心并不创造或发明它们的流程。因为流程本来就在那里,只是没有受到相应的尊重和了解。”。流程是业务的载体,从业务中来,到业务中去。
审计部往往是在公司业务规模发展到一定阶段后才成立的,设置的初衷包括:加强管理和满足监管要求,主要包括:上市公司、大型集团企业、金融企业等。审计人员在进行流程审计时,要秉持“流程是业务的载体,从业务中来,到业务中去”的原则,从业务活动入手分析理解流程,流程审计成果最终要能回归到完善业务活动。
2、流程审计的内容
流程审计的内容包括:(1)流程基础管理工作的规范性;(2)流程的完整性;(3)流程的合理性;(4)流程的可操作性。
(1)流程基础管理工作的规范性
审计点 | 说明 |
是否制定流程管理制度?制度是否存在不合理? | 同常规审计。 |
流程设立、调整、停用是否有相应的流程? | 同常规审计。 |
是否设立流程负责人?流程负责人的选择标准? | 流程负责人负责收集使用人员对流程的评价,并分析总结改进建议;流程负责人的选择标准并不统一,如果有设置流程负责人,核查流程负责人是否履行其职责。 |
(2)流程的完整性
审计点 | 说明 |
核心关键流程是否存在缺失? | (1)没有开展此业务活动导致没有建立相应的流程,如:部分企业没有建立统一的定价机制,由业务团队和企业的协商决定。 (2)开展了业务活动,但没有明确业务流程,主要是将非正式化的流程转换为正式化流程。 |
核心关键环节是否存在缺失? | 应由某个部门进行复核的,但流程中未设置该环节。如此流程的目标包括规避合规性风险,应该增加合规审查环节。 |
是否涵盖所有的业务场景? | 当出现其他业务场景时,往往执行的是非正式流程。如:企业根据用印类型来分别建立流程时,用印类型应该包括所有场景。 |
重要风险环节是否设置了充分的控制措施? | 贷款业务,需二级部门负责人及以上级别的领导到现场尽调,设置业务流程时,应该明确相应的送审要求(领导到现场尽调的照片),将其作为流程运作的一个条件,确保公司风控措施落地。 |
(3)流程的合理性
审计点 | 说明 |
从流程创造价值的角度分析流程的科学性 | 分析流程创造的价值是什么,与优秀企业的同类业务流程进行比对,以发现差距,评价业务流程是否是最佳解决方案。这是业务流程审计的优势之一,不同行业不同背景的企业,制度规范很难借鉴,但是流程是相通的,可以相互借鉴学习的。保洁公司的新产品研发成功率明显高于市场的其他同类机构,此时可以认真分析保洁的研发流程,并作为企业研发流程的比较对象,找到差异点和差异的原因,进而改进业务流程。华为的费用报销流程,全部是系统化操作,无纸质单据。 |
从成本的角度分析流程的效率性 | 分析整条业务流程消耗的资源,包括人、财、物、时间等是否得到充分的利用,是否存在压缩的空间。业务流程各环节设计是否存在重复或冗余,在操作上是否能够满足时效性要求。如:信托业务中,单一信托业务主要风险是法律风险,所以项目从送审到放款全部由合规法务部一人来审核,既可以提高效率,又可以针对性控制风险。 |
(4)流程的可操作性
审计点 | 说明 |
分析公司现有的人员、信息技术能否保证流程顺利运转 | OA系统灵活,但是数据与其他系统共享的性能差,容易形成信息孤岛,业务部门反复录入数据,增加工作量。 公司在推动创新业务时,是否配置了相应的专业人员。 |
分析业务流程中的“瓶颈点”,是否在优化的解决办法 | 信息披露流程节点到了用印部门办公室时,出现大量业务部门未到办公室用印,信息披露文件未进行用印存档。如果单独设置一枚信息披露专用章,由存档部门来用印,此问题可解决。 |