一、持续审计对持续监控的利用
对会计流程实施持续监控,审计人员可以利用管理层实施的持续监控系统,也可以通过在会计流程中内嵌审计模块(EAM)来实现。这两种监控方式的运作模式基本相同,都是通过对系统及其会计系统和业务流程的控制设置和业务数据进行分析,识别控制缺陷和异常交易,并通过邮件或手机短信的方式向审计人员、企业内部相关责任人发送预警,以期他们采取进一步的行动。
从内部审计的角度来看,EAM和持续监控在功能上存在交叉,这是由内部审计部门在内部控制监控中的作用决定的。因为内部审计部门既可以是管理层内部控制监控系统实施中的主要参与者,也可以是内部控制监控职能的执行者。国际内部审计师协会(IIA)在第3号全球技术审计指南《持续审计》中,详细地阐述了持续审计与持续监控之间的依存关系,提出在持续审计中,充分利用持续监控,能够同时满足对控制程序的有效性和用于决策的信息的可靠性和相关性确认的需要。
不过,根据COSO《内部控制系统监控指南》的观点,当前很多企业没有很好地利用持续监控程序,或者总体上缺乏必要的监控程序,这就给依赖持续监控而运行的持续审计实施带来障碍。在这种情况下,内部审计部门可能会主动帮助管理层建立持续监控程序,虽然他们并不拥有该程序的所有权。持续审计是一种在较高频率上进行审计的方式,实现审计程序自动化是开展持续审计的必要条件。内部审计部门无论是为了满足审计的需要来开发EAM,还是为了帮助管理层实施持续监控系统,都应该考虑将更多的现有审计程序整合进EAM或者持续监控系统,也即如何将现有审计程序实现自动化,进而实现审计流程对会计流程的嵌入。
二、审计流程嵌入的基本思路
审计是一种充斥着职业判断的工作,由于计算机对审计程序执行刚性与人工处理柔性之间的差异,使得在将审计流程转换成计算机可执行程序时,必须对现有审计流程进行重构。审计流程重构主要是将当前针对会计流程的手工审计程序和审计判断的可规范部分与不可规范部分相分离,目的在于减少对非正式审计判断技术的依赖,以使审计程序尽可能实现自动化。
(一)规范审计程序
要实现审计程序自动化,首先必须对现有的手工审计程序进行规范化。规范化就是通过建立一种统一的审计方式,减少不同审计人员对于具体审计程序理解和运用上的差异,借以提升审计程序执行上的准确性和一致性。
根据自动化的实现可能性与程度,手工审计程序可分为可直接实现自动化、不可能实现自动化和具备实现自动化潜力三类。一般来说,那些用于完成常规的、重复性的结构化工作的审计程序都可以实现自动化。对于那些既不能分离出可自动化部分,也不能利用计算机来实现对审计职业判断的模拟,或者必须由人工来完成的部分,是不能实现自动化的。某些审计程序虽然需要运用审计人员的职业判断,但这种职业判断具有一定的逻辑性,可以通过计算机实现模拟,这类审计程序可以通过进行重构实现规范化,进而使之具备实现自动化的潜力。
对审计程序进行规范就是针对具备自动化潜力的审计程序部分。这种规范化并非消除审计职业判断的空间,而是通过考虑审计人员在不同审计环境下执行审计程序的各种可能情形,将这些情形内化于计算机审计程序中,用一种统一的方式来执行,而不能由审计人员根据自身偏好进行选择。对于那些需要审计人员进行逻辑推理和形式思维才能完成的工作,可能需要借鉴构建审计专家系统时采用的方法,如知识工程学。由于规范化的最终目的是将人工审计程序转换为计算机可执行的程序,所以,在软件设计人员所进行的审计程序设计中,需要有经验丰富的审计人员的参与。
(二)利用基线来实现审计程序自动化
某些审计程序想要实现规范化,不是在技术上不可行,就是成本太高,此时可以考虑采用对基线的监控来实现审计程序的自动化。如果规范化的审计程序是自动化“审计面”,那么通过基线所进行的监控则是自动化“审计点”。基线是对某个时点系统和业务流程设置的一个参照,它是作为后续审计过程中的参照标准。在系统运行过程中,通过将后续时点与基线进行比较,识别偏离基线的情况,借以实现审计自动化。这种方式的优势在于容易实施、成本较低。不足之处在于其审计覆盖面狭窄,且仅仅对那些限制性的控制设置起作用。在进行基线设置的时候,可以采用前次全面审计的结果,也可以通过对内部控制系统进行重新评估来获取。企业经营环境的变化,要求基线也随之调整,这就需要大量的手工工作来验证基线的有效性。所以,在基线设置中还需要在风险和成本之间进行权衡。一般来说,参数值越固定,越适用于基线监控。基线设置并非一蹴而就,在初始设置运行之后的一段时间内需要对监控结果进行仔细分析,审慎决定是否应该对当前基线值进行添加、删除或者修改,直到系统平稳运行为止。控制基准设定好之后,还应定期对其进行评估。
(三)确定持续审计活动的执行频率
持续审计活动的频率将会从对详细交易的实时或接近实时的评价到对详细交易、快照或者综合数据的周期性评价。高频率的持续审计可以提供较高水平的认证,因为持续审计的高频率将导致留给不符合要求的调整或者进行交易的时间有限,而且,执行一些高频率的审计程序,可以减少对那些不能够实现自动化的审计程序的依赖。因此,审计人员可以考虑在持续审计的频率和范围之间进行权衡。
持续审计相对于传统审计之所以能够在一个更高的频率上执行,是因为自动化的持续审计测试可以降低执行风险评估和控制确认的成本。审计频率将不仅取决于所检查的系统或者流程的风险水平,也取决于审计程序的自动化程度和可以使用的资源。比如拥有关键控制的系统可能需要对交易数据进行实时分析;支持年度审计计划的风险评估可能每季度进行一次;用于支持单项审计和对审计建议的追踪可能会在一个特定的基础上进行。
(四)强化持续审计系统生成的警报管理
持续审计系统是企业预警管理系统的一种,该系统一旦发现控制异常或风险增加的情况,会自动生成警报,然后通过电子邮件、短信或自动电话系统通知审计人员,并选择性的通知企业内部相关责任人或管理人员,以促使问题及时得到纠正,防止形成重大控制缺陷或重大风险,从而提升内部控制系统的“免疫力”。警报需要记录的细节应该包括所检测到的结果、关于将要采取什么行动的决策、谁应该被告知、应该何时被告知、期望得到响应的日期。警报有轻重缓急之分,审计人员应该先将这些审计结果进行排序,然后再按照顺序执行。审计警报管理关键不在于如何将警报发送给相关人员,而在于如何解决“警报涌现”的问题。如果出现警报大规模涌现,将不利于审计人员和企业相关人员对这些问题的处理。最糟糕的是,警报涌现可能使得企业相关人员决定全部忽略警报或强迫审计师关闭信息警报开关。产生警报涌现的原因可能是审计系统中发送警报的控制参数设定错误,或者设定的过于保守。通常一个持续审计系统在初次实施的时候,会出现警报涌现的情况,但并不能据此作出结论,因为持续审计系统初次设置的参数通常具有一定的主观性和片面性。在出现这种情况时,应该先对例外报告进行调查,然后对相应的控制参数进行调整,如此反复,不断完善。如果在系统平稳运行一段时间后,再次发生警报涌现,则可能是企业经营环境发生变化的信号,需要重新对原有的控制参数进行评估和调整。
三、审计流程嵌入在我国会计信息化建设中的相关考虑
2009年4月财政部印发的《关于全面推进我国会计信息化工作的指导意见》中提出,未来5-10年要实现大型企事业单位会计信息化与经营管理信息化融合,同时要根据企事业单位内部控制规范的要求,将内部控制流程、关键控制点等固化在信息系统中,促进各单位内部控制规范制度的设计和运行,并形成自我评价报告。2011年9月9日财政部发布的《会计改革与发展“十二五”规划纲要》中重点要求“全面推进会计信息化建设,为会计科学化和精细化管理提供助力”,则再次重申了企业要实现内部控制信息化、内部控制评价报告信息化和内部控制审计信息化。
虽然上述两个文件没有要求将审计流程嵌入会计流程,却明确提出了要将会计流程、业务流程和内部控制流程进行融合。从效率和效果方面考虑可看出,将审计流程嵌入会计流程,通过对会计流程、业务流程和内部控制流程进行实时监控,实现持续审计,无疑是内部审计的发展方向。国际上,普华永道的调查,以及ACL公司和IIA的联合调查都表明,持续审计已经受到了广泛的重视,许多大公司内部审计部门已经开始部分采用了持续审计。IIA和ISACA还专门发布了进行持续审计的指南。在我国,一些特大型企业,如中国石油天然气集团公司,已经能够通过信息化手段随时掌握全国各地加油站交易等相关信息,以此实现集团对所属各单位业务流程的实时监控。
将审计流程嵌入会计流程,需要进行大规模的定制。目前一些主流ERP软件厂商(如SAP、Oracle)推出的“治理、风险管理和法规遵循”解决方案,能够与他们的ERP软件进行集成,实现对业务流程的持续监控。许多ERP软件还内嵌了一些持续监控模块。但这些应用只能局限于某个特定的ERP软件。
关键词:贸易公司;海外子公司;内部审计
作为一般贸易公司,在海外的子公司,也是以一般贸易公司形式运营,业务相对简单明了,那么在贸易型公司的子公司中,内部审计主要划分为哪几类呢?依据审计的目的基本可以划分为以下几类:首先,为管控日常运营风险,应定期对海外子公司的日常业务流程进行审计,可称之为“内部流程审计”;其次,对于海外子公司的关键岗位变动,需进行“离任审计”,主要包括子公司的第一负责人,及财务负责人等关键岗位;再次,根据对新市场开发的需要,应进行尽职调查的审计;针对海外特殊事项,为规避运营风险,还需要进行特殊事项审计等。
一、内部流程审计
对于海外子公司应每年就其在日常财务管理流程的严谨性及科学性进行梳理,并对海外子公司本身财务制度的全面性,科学性及执行总部下发各项管理制度的严格性进行监督及管理,这就要求总部每年均需派遣相关人员对海外子公司进行内部流程审计,一般主要分为以下几个步骤:
(一)下发内部审计通知书,告知被审计单位审计日期、审计范围并要求被审计单位在三个工作日内给予答复。
(二) 根据初步了解,编制内部审计实施计划,罗列重要事项与问题。
(三)进行现场审计,与相关人员面谈,了解子公司负责人对业务熟悉度及对子公司管理的整体规划。或远程通过电话、视频等方式进行访谈。
(四)现场巡视,诸如:办公场所、仓库等作业现场,使审计人员取得初步 的直观了解,可以为后续工作提供帮助。
(五)索取反映财务收支及有关经营管理活动的会计资料及其他相关资料,被审计单位应及时提供并对所提供的资料的真实性及准确性负责,对所提出的问题及重大事项提供说明和相关资料,实地审计结束时,审计人员应归还所索取的资料。
(六)审计人员执行审计业务,应当取得充分、相关和可靠的审计证据,作 为审计结论和建议的依据。可以采用下列方法获取审计证据:
1.审阅复核会计凭证、会计账簿、会计报表、各项管理制度和其他与审计项目有关的文件、资料;
2.抽查盘点被审计单位现金、存货等各种实物资产;
3.实地察看被审计单位的经营场所、实物资产和有关业务活动;
4.了解被审计单位各项业务流程,分析其合理性,并执行“穿行测试”;
5.为印证被审计单位会计记录所载事项向有关单位和人员询问;
6.复核被审计单位原始凭证及会计记录中的数据;
7.分析被审计单位重要的比率或趋势。
8.将审计过程、审计证据、审计判断等记录于书面底稿中。
(七)对上次内部审计问题点进行复核,追踪整改情况。
(八)实地工作终结,应与被审计单位沟通,主要内容包括审计概况、审计结论、审计建议等重要问题,与被审计单位达成共识,初步形成问题的改进方案。
二、内部关键岗位离任审计
内部关键岗位在离职时,尤其作为海外子公司的主要管理岗位在离职时,总部应派遣权威的审计人员对其在职期间的履职情况进行审计,就其在履职期间是否存在重大违规违纪行为、是否存在重大营私舞弊行为、是否对关键工作内容进行交接等内容进行审计,主要可采取以下步骤:
(一)了解审计目的:
任职人的离职背景(正常离任审计、违纪离任审计 、其他非正常原因)以及基本任职情况,结合不同背景和离职原因,制定相应审计策略及审计侧重点。
取得职位说明书,了解职位工作目标与职责。
(二)根据初步了解,编制内审实施计划,罗列重要事项与问题。
(三)与相关人员访谈,审核任职者的职责履行情况或者远程通过电话、视频等设施进行访谈。
(四)查阅相关业务资料、财务资料,审核任职期间公司或经办项目的财务状况,落实取得业绩、披露存在问题、明确责任。包括业绩目标的实现情况、所管辖事务的开支状况、公司资产负债状况、盈利或亏损状况以及项目效益状况、所签订的重要合同及其财务结果等。
(五)与相关人员访谈、查阅业务记录,审核任职期间的管理状况
包括部门或单位的组织结构建设、管理系统建设及其实施情况;人员结构、知识结构与职责的匹配性、组织系统的通畅性和效率性;管理风格是否符合发展需求;团队的信任机制是否正常等等。
(六)任职期间风险状况审核
包括管理不善或涉及违规操作导致公司存在风险或面临罚款,如项目失败风险、管理不力或违规操作涉及国家、行业法规风险、业务的法律漏洞或其他条 款导致公司损失风险、管理控制风险等等。
(七)未决事项审核
包括尚未执行完的合同、尚未结束的项目、财务事宜、技术事宜或法律事宜等等。
(八)其他事项,如可能涉及的舞弊问题等等
三、内部专项审计
内部专项审计是针对财务强相关的、在内部管理出现漏洞的事项,需要专业审计部门或者财务人员对此事项进行审计,调查出现漏洞的原因及相应的责任人并最终出具处理意见。主要应由以下几个步骤:
(一)制定审计调查方案,编写审计计划。
(二)审计部门应根据专项审计调查事项的大小和工作难易程度及要求,指派能足够胜任该项工作的人员,或组成调查组,确定调查组组长,实行组长负责制,明确责权
(三)进行现场调查,与相关人员访谈、翻阅相关资料。对发现的问题进行描述,并提出改进建议。
(四)完成现场审计后,编写审计报告。
(五)审计报告内容应征求被审计单位的意见,就报告中所列的问题和情况作进一步核实
(六)审计报告逐层上报上级领导审阅,涉及被审计单位相关负责人经济责任的应将审计报告同时送交人力资源部,由其出具相应的惩处措施。
四、内部审计报告的撰写基本要求
内审人员完成现场审计后,应撰写内部审计报告。
(一)内审报告应包括以下内容:
标题 正文 撰写人 报告日期
(二) 内审报告的正文应包括以下主要内容:
1.审计调整:针对会计核算中的主要问题提出的调整意见,并重述被审计单位的资产负债表和利润表。
2.审计结论:对被审计单位在制度建设、财务管理、业务流程、内部控制等方面存在的问题作出评价,并对影响企业经营的重大事项、相关风险予以揭示。对于审计中发现的重大违规违纪行为需单独列示,并详细描述问题及可能带来的损失及风险,明确整改期限及相关责任人。
3.审计建议:针对审计发现的主要问题提出改进建议。
一、开工前跟踪审计
工程开工前,内审机构可对建设项目可行性研究报告的真实性、完整性和科学性进行审查与评价,对工程项目投资估算、资金筹措、施工设计、招投标及合同签署等内容进行审核,重点评价工程项目工作的内部流程设计、职责分工、内部控制是否完整、有效等。
(一)内部控制制度审计
基建规章制度越是健全完善,工作流程越是完整有效、岗位职责越是明确合理,工程质量控制、造价控制、进度控制越是有保障。内审机构首先要审查基建内控制度的健全完整性,以及审查工作流程的完整性有效性。健全有效的基建制度为基建各部门充分发挥业务部门的管理作用提供保障。
(二)建设程序审计
建设程序是国家对建设项目的重要管理控制流程制度,是国家对建设项目管理的一项重要内容,严格执行国家基本建设领域的制度,保证建设行为的合法性,提高建设项目管理水平,为按期、保质完成项目做好基础保障工作。建设程序的合规合法也是国家审计及社会审计重要内容,内部审计是以服务工程为目的,也应该关注建设程序。建设程序审计重点包括以下内容:包括项目建议书、可行性研究报告、环境影响评价报告、概算批复、建设用地批准、建设规划及施工许可、环保及消防批准、项目设计及设计图审核等文件是否齐全。
(三)对工程建设资金的审计
资金安全也是跟踪审计关注的重要内容之一,重点审查资金管理制度是否建立,资金使用、拨付的审批和监督机制是否完善,建设资金是否落实到位、是否合理、是否专户存储,是否能满足项目建设当年应完成工作量的需要。
(四)招投标审计
基建项目招投标管理情况是政府各管理部门关注的重点,也是确定工程造价是否合理的依据之一。为顺利通过最终工程造价决算审核,内审机构开展招投标审计可重点督促完善招投标管理体系、业务流程及管理流程等方面。
内审机构的审计内容主要包括审核招标方式是否合规,招标程序包括资格预审、招标方式、开标、评标等过程是否合法、合规;评标结果是否按项目隶属关系报各主管部门备案;是否在规定的期限内签订书面合同,合同中内容是否与投标书承诺内容一致,检查投标保证金的财务处理是否合规;招标代理机构是否具有相应资质;标底编制单位是否具有相应资质;检查投标保证金的财务处理是否合规等。
(五)合同审计
有效的合同管理可减少和消除企业管理和经营风险,内审机构可重点关注合同的签订、履行、变更、终止过程及合同管理是否有完善的管理制度及管理流程。可通过以下几个方面实现制度与流程的审查:合同的主要条款是否与招标文件、中标条件相符;合同的执行及变更情况;合同管理情况的审计主要审计管理制度、管理台账、管理机构是否完善。
二、施工过程中跟踪审计
为实现对工程质量、工程造价、工程进度管理的有效监督与控制,内审机构在施工过程中对工程质量、工程造价进行审核能起到控制与促进工程管理的作用。
(一)造价控制审计
工程造价主要由合同、设计变更及现场签证等决定,施工阶段造价控制审计的工作重点是审查合同执行情况及工程中间量变更的管理及控制流程是否有效。内审机构主要对工程施工过程中的工程进度款拨付、材料价款及其现场变更签证等内容进行监督控制。
1.工程进度款拨付的审查。在跟踪审计过程中,首先审查工程进度款拨付的工作流程是否有效,是否能达到施工单位、监理单位及建设单位逐级制衡、控制造价的目标。
2.材料价款审查。材料价格确定要根据合同条款进行区分。材料若为建设方自行购买,则要对材料购买各环节内部控制的严密性进行审查。如果合同为统包价,材料价格跟踪审计主要以材料选择是否与合同承诺一致予以确定。
3.变更签证的确定。设计变更及现场签证对于工程造价的控制起到重要作用。首先,内审机构要审查是否有明确的设计变更及现场签证流程。其次,审查根据变更的提出方是否有相应的控制流程,同时,审查控制流程中工程现场监督和工程量的核实工作有控制环节及控制措施。变更签证单的内容决定了签证流程的不同,只有发挥监理、造价咨询机构监督、鉴证职能才能从源头上控制工程造价。
(二)工程质量管理、进度管理审计
工程质量审计是跟踪审计最重要的环节,是“免疫系统”功能最好的诠释。首先审查工程质量管理是否完善,参建方有否有控制质量的有效措施,管理流程是否健全有效。内审部门主要审查工程管理质量控制、进度控制环节内控制度的建立与执行情况;审核质量控制措施、进度控制措施是否真实有效,重点审查和评价设备材料验收是否合格、中间环节验收、隐蔽工程验收的质量控制措施落实是否有效。
三、工程竣工后跟踪审计
工程竣工验收后,此阶段内审机构要严把审核质量控制关,重点关注工程造价咨询公司是否有效履行职责。审计首先要查看工程结算流程是否合理有效,就争议费用是否存在有效的沟通机制,其次要对施工方提请竣工结算资料的完整性、真实性进行审查。
【关键词】精益管理化 审计项目 流程优化
LPM最早产生在制造行业中,在多年进步与发展背景下LPM开始走出制造业并向全世界范围内不同企业以及行业迈进,可以说LPM的出现为避免资源浪费并应用有限资源实现价值最大化予以了保证,更能够将审计成本降低并提升其效率。
一、初探LPM内涵和基本原则
(一)LPM内涵
LPM重点体现在精细以及有序和相应的经济三方面,其中有序指的是业务流程和相应的施工工序之间运转协调,此外财力配置以及信息配置和相应的物力、人力等方面配置也较为科学;而精细指的是对管理制度和相应的考核方式予以细化以及相应量化,将全体员工实际覆盖其中并实施全方位立体化良好操作;经济指的是管理环节需要尽量避免资源浪费状况,这对于实现经济效益较有帮助。总的来讲LPM并非是一种模仿活动也并非是一种管理运动,而是经过长久经验总结基础上的新型管理模式,能够基于管理环节以及生产系统将其中问题良好探寻并予以改善和实际调节。
(二)基本原则
LPM基本原则主要是集中在三方面:其一原则是细化以及量化、简化有效融合,简单来讲将企业相关规章条例予以不断细化,甚至是可以利用霸王条款将规章漏洞予以堵塞,而对于业务流程更加需要简化,不必要环节则可以删减掉。而量化则是将考核等标准调整到能够合理执行和便捷操作;其二原则是增加收益以及杜绝浪费有效融合,现今企业能够长久立足关键是利益获取,因此各个环节均需要增加价值部分,在投资方面做到科学决策并孩子定合理成本方案;其三原则是局部优化以及整体协调有效融合,从企业整个系统而言良好运转需要关注整体功效,而并非是片面的孤立的予以改进。
二、探析基于LPM优化审计项目相关流程措施
(一)基于LPM优化流程目标
基于LPM优化审计项目相关流程措施首先是体现在流程目标优化上,具体来讲流程目标优化应该是将普遍适用以及审计共有相关流程当作具体优化对象,在对以往审计流程予以相应整合基础上,依托于实效模式对审计流程潜在风险进行找寻,并在审计流程中嵌入质控工具,核心是加强审计整个流程自我监控并实现审计整体性质量有效提升,为审计价值增加保驾护航。
(二)基于LPM优化流程总体思路
基于LPM优化流程总体思路为对审计项目予以流程方面良好梳理,构建关于审计流程方面统一规范;对审计项目控制措施以及质控标准进行有效整合;对设计项目涉及到的管理工具以及技术方法予以健全完善;依据审计岗位具体落实制动措施并将措施向岗位职责有效转化。最终实现建立在审计项目相应流程基础上,依托于质控措施标准,以及岗位职责的整体化流程体系。
(三)基于LPM优化具体流程
在确定了流程目标以及总体思路之后就需要基于LPM具体优化审计流程,一般来讲优化方式需要集中在定义以及测量和相应分析改进、控制四个阶段。首先,从定义来讲,定义阶段需要针对企业自身实际发展状况对现有审计流程和制度予以良好梳理,具体包含了审计制度规章和准则章程,如将项目筹备这一项添加在审计流程中,用于不同项目开展各阶段的有效衔接。此外还可以依据自身企业对于审计工作整体需求构建关键质量三大特性,包含审计项目实际年度考核结果以及年度要情采用状况和年度人员专业化积分。
其次,从测量来讲,需要依据当前企业审计方面现状予以具体详细的流程图绘制,并对基线数据予以有效收集,将流程优化实际目标值良好确定下来。此过程中需要依据流程结构进行层层递进式深入分析,对流程冗余部分以及缺失部分和相应的瓶颈部分进行检查,尤其是对流程衔接研究其是否通畅,依托于失效模式对不同阶段流程进行重点梳理,此外还需要以关键质量三大特性当作实际基准考虑在内。
其三,从分析改进来讲,此阶段中企业需要对审计全部员工予以良好的调查,总结各个环节流程中实际存在问题,在调查基础上组织员工填写流程优化相关工作表,内容涉及细化流程以及标准和相应的控制措施等等,之后组织相应审计骨干予以会议讨论,重点将问题以及解决方案总结出来。上述工作完成之后实施改进,在实际实际改进中反复检验解决方案的有效性,一旦不适合则需要立即予以调整和健全。
最后从控制来讲,该阶段主要是对改进方案的实际落实予以良好监控,可以组建相关监控小组,对改进方案中具体效果予以监督,并在此过程中关注审计员工实际工作状况,重点考察审计项目实际流程操作是否规范符合条例,同时还需要在此阶段中践行员工审计质量考核,最终通过上述定义以及测量和相应分析改进、控制四个阶段促使审计项目实际流程实现有效优化。
综上分析可知,时代进步以及社会发展,在该种环境背景下各个行业企业要想实现长足发展除了紧抓生产运营之外,还需要对审计工作予以强化,而强化手段在于利用LPM优化项目流程,基于LPM对于项目流程的优化一方面能够促使审计工作实现高效化,另一方面也能够对审计工作质量大幅度提升,最终为审计工作进步起到重要影响作用,由此当前各个企业强化审计工作与LPM结合势在必行。
参考文献:
[1]郑焕敏,马欲晓,卢莹等. 基于精益六西格玛管理的审计项目流程优化研究[J].中国内部审计,2013.
关键词:风险导向;内控审计体系建设
中图分类号:F83
文I标识码:A
doi:10.19311/ki.16723198.2017.09.045
1引言
随着全球经济一体化的到来,市场的竞争日益加剧,各方外部环境的不确定性导致企业面临的系统风险也在不断增加。合理保证企业健康持续发展的风险管理也应运而生。内部控制审计作为一种保障企业有效完成组织目标,落实内部控制体系的企业内在机制,其重要性不言而喻。企业为了在市场竞争中得以生存发展,开展以风险为导向的内部控制审计成为必然。内部审计自上世纪80年代开始,进入了以风险为导向的全新内审领域,其基于企业的全面风险评估报告确定审计方向和审计重点,将风险分析渗透到审计的整个流程中。将风险概念融入审计中,加速了内部审计的发展。
风险导向的内控审计体系建设已经得到西方发达国家的普遍重视和广发的发展与运用,相比较而言我国企业在这方面的建设依然处于探索阶段。我国企业虽然已经开始意识到管控风险对于企业生存发展的重要性,但就目前情况而言,大多数企业仍然只停留在事后审计,并没有针对性的存在一套行之有效的内控审计体系,同时,学术界对于内控审计的研究也没有可观的成果。因此,基于前沿的理论基础,并结合相关的具体实际工作经验,构建一套科学完整的以风险导向的内控审计体系是我国企业当前面临的重要课题。这不仅可以提升企业的价值,同时也能够推动我国内部控制审计的发展。
2内控审计体系建设的发展历程
风险导向内部审计作为近几年新发展起来的一种审计模式,已经引起了西方发达国家的普遍重视,并在现实实践当中得到广泛应用。与之相对应的审计理论体系和审计方法也得到了理论界和实务界的高度重视,引起国内外学者对风险导向审计展开了更为深入的探讨与研究。
二十世纪九十年代,IIA公布的“基于风险导向的内部审计的新定义”以及“内部审计职业准则新框架”中着重突出了内部审计是通过系统规范的方法以达到完善公司的风险管理、内部控制、公司治理,进而达到实现企业价值提升的最终目标。随后,其又多次对《内部审计实务标准》的具体内容做出修订和完善,而多次修改中仍然强调风险导向的内部控制审计,这在一定程度上也奠定以风险为导向的内审基础,使得其成为了审计发展的总体趋势。
我国的内部控制体系相对于西方发达国家来说,起步略晚。王光远于1994年首次在《论管理审计概念》中建议中国审计的发展模式应该转变向以管制为导向的审计,之后,在相关文章中具体讲述了以风险为导向的审计具体发展模式,同时,也介绍了内部审计通过什么途径达到抵御企业风险的目标。
2008年,我国五部委颁布的《企业内部控制基本规范》中明确提出了对作为内部控制要素之一的风险评估的具体要求,随后也在18个与内部控制相关的应用指南中强调了应该关注风险。这也可以看出风险管理在内部控制中的核心位置。2009年,郝素利具体分析了以风险导向的内部控制审计的步骤以及方法。
直到现在,虽然有许多大型的中国企业先后实行了以风险导向的内部控制审计,但身为中国内部控制审计的未来趋势的以风险导向的内部控制审计依旧止于初步阶段,仍需要不断地成长与完善。
3关于以风险为导向的内控审计体系建设的相关构想
综上,当前企业内控审计的发展趋势是以风险为导向,我国企业逐步开展以风险为导向的内控审计体系建设以成为必然。但是,企业究竟该如何构建一个合理完善、符合企业发展现状和需求的内控审计体系?在我国还缺乏深入的探讨和研究。笔者认为,这个问题的本质涵盖了如下两层含义:一是应该构建什么样的风险导向内控审计模式,即回答以风险为导向的内控审计体系包含哪些内容;二是如何构建并持续完善以风险为导向的内控审计体系,即回答如何合理有效的发挥风险导向内控审计体系的作用,实现其企业价值。
3.1内控审计体系的基本要素和主要内容
笔者认为要推行风险导向的内控审计模式,企业首先应构建一个合理完善符合企业发展现状和需求的内控审计体系,该体系的基本内容应涵盖在风险导向的理念下内控审计的目标并与风险导向内部审计的对象相对应。笔者参考了风险导向内部审计理论方面现有的研究成果并结合个人在实务中的一些体会和相关经验,总结了风险导向内部审计框架体系内容应至少包含以下5个基本要素:战略布局、业务流程、组织结构、技术要素、人员要素。涉及的具体内容如下:
战略布局:战略布局指明确审计工作的战略定位和战略目标。战略定位即制定风险导向的内控审计工作实施的具体方案和流程。战略目标即确定风险导向的内部审计的范围、对象、职能、方式,关键在于基于风险管理对内部审计的业务范围进行重新审视和规划。
业务流程:业务流程由对现有流程进行检测和流程变革两部分构成。对现有流进行程检测主要是分析现行的审计业务的具体流程及其运行中存在哪些问题;而流程变革则在流程检测的基础上说明哪些审计业务流程需要变革及如何实现变革,从而实现整个业务流程的优化及升级。
组织结构:组织结构由对现行组织结构进行检测和组织结构变革两部分构成。对现行组织结构进行检测主要是分析先行的审计组织结构及其运行中存在哪些问题;组织结构变革则主要说明审计组织结构的哪些部分需要变革及如何实现变革。
技术要素:技术要素由技术检测和技术变革两个部分构成。对企业现有技术进行检测主要是分析企业目前采用的审计方法及其中存在的重大问题;技术变革则主要说明哪些审计技术需要变革及怎样实现变革。
人员要素:人员要素由对现有的人员构成进行检测和人员变革两部分构成。对现有人员的构成进行检测主要是分析目前的人员构成情况及其存在的问题;人员变革则主要说明审哪些人员需要变革及如何实现变革。
战略布局为整个内部审计工作指明了方向,而战略布局正是通过具体的业务流程来实现的。因此,业务流程的变革是实现战略计划的关键。首先,它进一步推动企业的组织变革,企业的组织结构是业务流程得以实施的具体环境和保障。其次,要实现业务流程的变革,就得具备相应的人员和技术。总之,体系中的5个基本要素相辅相成,互不可缺。
3.2如何有效推行风险导向的内控审计体系建设若干经验体会
3.2.1预先识别风险节点,正确把握审计方向
以往的审计项目经常会存在由于缺乏对审前的调查而出现较大盲目性的问题,事实上企业首先需根据审计工作前的相关准备工作特别是风险评估工作为基础,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,从而确保审计工作的顺利实施。这就需要广泛征求意见,收集相关信息,通过各种途径预先识别审计风险,明确审计的范围,在识别主要风险后,分析形成风险的原因,并制定具有针对性的审计工作计划和具体方案,这样才能正确把握审计的方向,合理有效利用审计资源。
3.2.2重新梳理审计流程,纵向厘清审计思路
根据制定的内部审计整体战略规划,重新梳理审计工作实施的各个流程和环节,把握审计思路。可以通过规范内部审计工作并实现精细化管理来实现这一目的。为此,还需建立与风险导向的内控审计体系相适应的一套内控审计管理制度。其中应包括具体的实施章程、相关业务准则、操作流程指引及后续的考核和归档安排等;以此来规范企业的内控审计工作,使得审计人员熟悉并掌握具体的审计操作流程,从而顺利开展相关的审计工作。
3.2.3充分借助信息系统,全面提升审计效率
随着经济社会信息化进程加快,信息系统的运用促进了审计行业与具体技术的进一步发展。现代企业和相关机构等相关业务操作的电子化和网络化,迫切需要企业完善相关的技术支撑,通过信息系统优势,提高审计工作效率,如实现对业务的在线监控,使得监控作业可以实现动态化、持续化;通过信息系统的运用还可以实现对数据的智能分析并通过事前建立的风险预警系统及时发出预警,有助于企业对相关的风险的由事中和事后控制向事前控制转变。信息系统也可以实现一些非审计现场技术方法的强化,从而提高具体的现场审计业务效率,缩短审计时间,最终实现审计成本的节约。
3.2.4详尽设计审计程序,严格确保程序到位
审计程序是否细化详尽,在很大程度上会影响内部控制审计的效果。以往的审计程序往往存在可操作性差,随意性大等问题,为了使审计程序能够更具可操作性和可检查性,企业应该详尽设计审计程序。
首先需根据审计工作前的相关准备工作,把握风险节点,明确审计方向,在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤,包括确定审计抽样的数量、审计样本名称等等,同时,在具体审计工作实施的过程中要详细地记录实施过程、抽取样本情况以及相关的结论,以增强审计程序的可检查性,在一定程度上也能降低审计人员随意操作的可能性,明确相关责任归属情况,确保程序执行到位。
3.2.5合理配置人力资源,有效达成审计目标
内部审计的质量的一个重要制约因素就是审计人员的专业技能和职业判断。在选取内部审计人员时应该制定较高的准入条件和严格的选拔程序,内部审计人员应该具备一定的学历、工龄,并在某专业领域有着丰富的实战经验。与此同时企业要注重对审计人才的培养,如制定定期的培训及考核、跟组学习积累实践经验等;总之,以人为本,合理使用人力资源,全面提高审计人员的综合素质,是提升内部审计质量的根本,也是风险导向内部审计开展的条件之一。
4结论
风险导向内部审计要想在我国审计实践中被推广、应用和完善,必须探索和完善出适合我国企业的风险导向内部审计程序。而我国风险导向内部计的本程序还一直处于探索之中,所以还需要理论界实务界通力合作建立适合我企业的权威而统一的风险导向的内部审计框架体系。笔者认为,我国企业想要构建一个合理完善符合企业发展现状和需求的内控审计体系,关键点在于持续有效的风险评估,预先识别风险节点,把握正确的审计方向,在此基础之上制定有针对性的审计计划方案,从而指导审计工作中具体的审计程序和步骤;此外,企业为持续完善风险导向的内控审计体系使之能持续有效为企业服务,还需建立与风险导向的内控审计体系相适应的企业组织结构及管理体制。
参考文献
[1]周庆西,谢伟.风险导向内部审计模式创新[J].中国内部审计,2013,(03).
[2]卓和平.基于风险导向型内部审计机制的思考[J].中国注册会计师,2013,(01).
关键词:风险管理基础审计 风险基础审计 流程基础审计控制基础审计
审计模式(Auditing Approach),又称审计方式模式、审计取证模式,是指为了实现特定的审计目标所采取的审计策略、方式和方法的总称,它规定了审计取证工作的切入点,规定了审计人员在实施审计工作时,从何处人手、如何人手、何时人手等问题。审计模式的发展与审计目标的变化是相适应的。企业内部审计的审计目标相继在制度遵循、流程规范、风险控制、风险管理之间变化,审计模式亦相应地经历了控制基础审计(Control-based Auditing,简称CBA)、流程基础审计(Process-based Auditing,简称PBA)、风险基础审计(Risk-based Auditing,简称RBA)风险管理基础审计(Risk Management-based Auditing,简称RMBA)等审计模式。这些审计模式分别在什么背景下产生及其特征如何,模式演进的动因有哪些,这些都是我们需要回答的问题。本文以美国内部审计发展为例,探寻这些问题的答案,期望通过对美国内部审计模式的发展革沿,把握各种审计模式的特征,从而助于探寻我国内部审计模式跨越式发展之路。
一、控制基础审计
(一)控制基础审计产生背景 首届美国国会在1789年通过了审计署长任命法案,建立起国家审计制度,但由于殖民时期的美国几乎没有大规模的工业,内部审计并不很需要,导致美国内部审计滞后其他国家审计近百年。实际上,美国内部审计的源头只能追溯到19世纪,当时的美国铁路公司通常被认为是最早雇佣首批内部审计人员的公司。由于此阶段相应的法律并没有明确规定公司管理层在公司违规时需要承担怎样的责任,外部审计也还没有法定,故此阶段内部审计模式还没有显现。真正意义上的内部审计直到20世纪上半叶才随着大规模商业公司而出现,其后一系列法案的出台,使得内部审计工作日益为管理层所注重,控制基础审计在这一过程中完善起来。其主要有:一是《所得税法》的系列修订使内部审计需求趋大。美国国会于20世纪初对《所得税法》进行了系列修订,1913年通过了《所得税法》的第16次修订,法案条款要求所有公司保持充分的会计记录。由此,管理层开始重视对会计师以及内部审计师的需求。二是《版权法案》中有关管理层法律责任的规定对控制基础审计的作用不可或缺。1976年开始制定的一系列与知识产权有关的版权法案,其中对公司管理层即使并不知道公司的任何违法行为,也需要承担法律责任的规定,使公司管理层意识到减轻法律责任的办法唯有从源头上寻求内部控制制度的帮助。三是《外国贿赂行为法案》使控制基础审计渐臻完善。1977年的《外国贿赂行为法案》(Foreign Corrupt Practices act,简称FCPA),要求在SEC登记的公司必须建立和保持充分的账簿、记录和会计,并必须保持一个能合理保证组织目标得以实现的内部控制系统。《FCPA》包含以下规则:当公司由于进行非法支付而被控有罪时,公司管理层不可通过声明不知情而逃脱责罚;若其试图这样做,又会因既有的内部控制系统没有发现非法支付而获罪。因为《FCPA》规定,内部控制系统未能合理保证组织目标达成也同样会被认定为未遵守联邦法律。由此,内部审计需要对内部控制遵循情况加以审计,从而控制基础审计最终确立并渐臻完善。
(二)控制基础审计的特征 控制基础审计的特征可从其审计目标、审计重心、审计方式、审计所用测试方法以及审计最终形成的建议等方面把握:以各项潜在的法律法规是否得到了遵循,即合规性,作为审计目标;以找出企业中法律法规未得到遵循,或错误遵循情形作为其审计重点;以了解法律法规的遵循情况作为主要的审计方式;审计测试集中于把法律法规的规定与本企业对规定遵循情况的比较;最终形成的审计建议则集中于企业如何就存在的法律法规未遵循方面或错误遵循等情形加以改善。由此可以看出,内部审计的控制基础审计与CPA的制度基础审计有着本质的区别。CPA的制度基础审计虽有时也被称作为控制基础审计,其审计目标是发表审计意见,其以评价内部控制系统为导向,从检查被审计单位内部控制系统人手,通过对被审计单位内部控制的全面了解、研究和评价,以形成对被审计控制风险的评估,在此基础上确定实质性测试的性质、时间和范围,然后,根据实质性测试收集的审计证据,形成相应的审计意见。而内部审计的控制基础审计却并不以发表审计意见作为自己的终极目标。
二、流程基础审计
流程基础审计,于上世纪80年代盛行,其以业务流程作为切入点,以最佳业务流程作为流程评价的标杆(Benchmark),对组织内关键业务流程的设计、效果和效益性进行评价,是控制基础审计的有效补充。
(一)流程基础审计产生的背景 首先是迅速发展的内部控制建设运动。法律法规对管理当局责任强调使得企业内部控制建设迅速发展。在这一过程中,管理当局需要确信组织效率没有因业务控制点的设置而降低,从而产生了需要内部审计师对提出对业务流程关键控制点设置情况给予评价的要求。从而内部审计师要以流程作为取证切入点,把流程作为其主要的评价对象。其次是计算机的技术发展。微型计算机在20世纪70年代出现后,企业不断在传统的生产与经营流程中引入这一新技术以对流程加以再造。由于对企业流程再造思想没有系统地总结,众多企业只能是在实践中摸索,新技术的开发与企业在生产经营流程引入使用几乎是同步的。在引领潮流企业的努力下,物料管理系统、项目管理系统、产品数据管理、管理信息系统成功推出,专家系统、决策支持系统、集体决策支持系统等方面也取得了突破。在新技术革命的诱惑与挑战下,众多的企业转向了对关键职能部门以及关键业务流程的梳理与优化过程中。寻求在其他业务领域拓展以为组织提供更多增值服务是内部审计部门一直以来的目标,充分利用在组织中所处相对独立地位以及审计工作中所积累的对企业流程的了解,适应管理阶层流程梳理与优化的需要,开展流程基础审计是其必然选择。
(二)流程基础审计的特征 流程基础审计特征:以业务流程规范,具有效果与效率,即流程的效果性与效率性,作为审计目标;找出当前流程与最佳实务之间的差距作为其审计重点;比较当前流程与最佳实务作为审计方式;审计测试着重于差距的询问;最终形成的审计建议则集中于如何缩短当前流程与最佳实务之间差距、如何改进流程等方面。流程基础审计的特征使其允许内部审计师发挥更多的创造力并为组织提供增值服务,但也决定了其只能是控制基础审计的有效补充,而不可取代控制基础审计成为当时的主流审计模式。一方面,流程基础审计是从当前流程与最佳流程的差距处人手,希望通过企业组织流程的重组与再造来优化流程以
为企业提供增值,流程基础审计的这一特点决定了其“治病救人”的非常规特征,而不能作为一个配置常规审计资源的方式。另一方面,流程基础审计是在传统审计领域之外的拓展,在控制遵循审计之外,开展流程改善为目标的审计,决定了其不会以全新的方式来配置企业的审计资源,这也是其不被认为是独立审计模式的主要原因之一。
三、风险基础审计
风险基础审计得以确立是上世纪90年代初期,其以审计项目所含风险作为切入点,在决定应开展哪一审计项目以及应以什么方式开展时,以项目所含风险作为决策依据和衡量标准,从而将审计资源分配到对财务报告和内部控制产生影响的重要风险领域。内部审计风险基础审计与CPA风险基础审计形相似但质不同。
(一)风险基础审计产生背景 企业对风险的关注达到新高。20世纪80年代,科学技术的进步使得国际经济金融一体化进程加快,市场竞争也日益激烈,企业面临的风险也日益增大,金融衍生产品交易的迅速发展更是推波助澜。英国巴林银行的倒闭、日本住友银行期货铜交易巨额经营亏损案,以及此起彼伏的金融危机风险,使企业管理当局意识到衍生产品投资与交易带来巨大利益同时也蕴含着巨大风险。同时,企业还面临着其他对生存造成影响的风险,企业管理当局需要内部审计控制这些风险,确保其保持在司接受水平不至于对企业的生存造成威胁。外部审计向内部审计业务的拓展。内部审计的风险基础审计,是在外部审计倡导风险基础审计并向内部审计业务转移的背景下得以确立。20世纪90年代,国际五大会计师公司(毕马威、德勤、安永、普华永道以及安达信等)比以往更加热衷于提供管理咨询服务,在他们的游说下,许多公司将内部审计业务外包,2001年美国安然公司是典型转移例案,其大量的内部审计工作被为其从事外部审计的安达信会计公司所承包,内部审计行业遭遇巨大生存压力。在外部审计的巨大竞争压力下,内部审计部门相应改变了工作方式,对于哪一审计项目应开展和以何方式开展的决策依据需要改变为项目所含风险。这一工作方式的改变,立刻就显现其生命力,行为方式的这一改变有助于公司领导部门确信公司审计资源已经得到很好运用。因此,控制基础审计项目、流程基础审计项目可能仍会开展,但在规划与执行时,则依据项目暗含的经营风险而定。使内部审计部门的工作成效显著,对组织的增值贡献立现,并取代了传统内部审计模式成为主导审计模式。
(二)风险基础审计的特征风险基础审计与控制基础、流程基础的区别可以从审计目标、审计重点、审计方式、测试方法、审计建议等方面:其以企业用以降低关键风险的控制与程序是否有效,即控制与程序的有效性,作为审计目标;审计重点能否查找出关键风险;能否识别出有效降低关键风险的控制与程序作为审计方式;查找失效的控制与不规范的程序,不单纯依赖于控制测试,还应结合以推测等方法;审计后形成的审计建议则集中于识别出关键风险以及对用于降低这些风险的控制与程序的评价。
内部审计的风险基础审计与CPA的风险基础审计有着本质区别。内部审计风险基础审计,是内部审计行业在遭受外部审计巨大竞争压力的情况下被动适应,其目的是发现企业关键业务流程、关键控制所包含的风险以便采取措施,降低组织面临的风险,是从组织、管理当局的视角看风险。内部审计师虽也会考虑需要将审计风险降低到可容忍范围之内,且这种考虑是可以服从于管理当局对某一领域的风险容忍度的,将CPA的风险基础审计,通过对审计风险的系统分析与评价以提高审计效率与效果,从而使审计过程成为一个不断克服和降低审计风险的过程,其最终目的是有效控制审计风险,弥合审计期望差距,减轻审计人员的责任,是以外部审计人员的视角来阐释风险。虽然也会考虑管理当局对某――领域的风险容忍度,但这一考虑是服从于审计人员对审计风险的整体。
四、风险管理基础审计
(一)风险管理基础审计的产生背景一是企业风险管理活动的盛行。风险管理在20世纪70年展起来,到90年代随着经济的快速发展和社会的不断进步,对风险的认识发生了很大的变化,对风险管理概念的理解也超越了传统,认为风险管理不再是针对使企业遭受损失的负面事项管理,而是有助于企业在更广阔领域里进行决策的工具。综合了财务风险管理、业务风险管理、流程风险管理、以及战略风险管理等在内的整体风险管理体系开始为一些企业所探索。至上世纪90年代后期,整体风险管理体系作为通盘管理企业所面临风险的一种方式,逐步为更多的企业所采用。在这一过程中,内部审计部门为配合管理当局需要,主动调整自己的工作方式,开展风险管理基础审计,即对风险管理情况的审计。风险管理基础审计最初的出现是零星的,主要是一些金融企业或从事衍生金融新产品交易企业的内部审计部门在应用。风险管理基础审计除了具有风险基础审计的许多特征,更以在组织战略目标、管理层风险容忍度、关键风险度量、业绩指标以及风险管理能力等方面予以更大关注为特色。二是COSO委员会《企业风险管理整体框架》的出台。在风险管理活动盛行情形下,实施风险管理的企业需要一个健全的框架有效地识别、评估并管理风险。美国的COSO委员会于2001年启动开发《企业风险管理整体框架》项目,并于2004年完成。考虑到《ER_M整体框架》制定者的背景,不妨参考一下《内部控制整体框架》,使其成为企业风险管理的指导与准则,势必会为更多企业在更广、更深领域里所应用。在《ERM框架》中,董事会在企业风险管理方面扮演更加重要的角色,即对企业风险管理负总体责任,并且变得更加警惕。由此,内部审计人员在监督和评价成果方面承担重要任务。他们必须协助管理层和董事会监督、评价、检查、报告和改革EKM,内部审计风险管理基础审计的基本形成。某种审计模式的零星出现与基本形成有着应用的深度、广度、效度、以及领导层的支持力度等方面的区别。
(二)风险管理基础审计的特征 风险管理基础审计在保留其他审计模式优点的基础上,更加关注于组织的战略目标、管理层对风险的容忍度、关键风险度量或表现指针等方面。在风险基础审计模式下,内部审计部门运用所确定的关键风险审计项目,与管理层在ERM过程中所关注的关键风险有所相同,但正RM还有许多其他方面的特征,却并不为风险基础审计所涵盖。其特征:以组织目标的达成、缓解风险和最优化企业风险管理,亦即组织风险管理活动的有效性作为其审计目标;审计重点在于识别当前风险管理有效性与期望有效性之间的差距;审计方式则是由理解目标、识别与影响目标达成的风险、理解容忍度、识别绩效与风险衡量方法、以及评估风险管理的有效性组成的一个总体体系;测试方法,聚焦于关键目标及与其相关的风险,结合推测与遵循性控制测试;审计后形成的审计建议主要是就风险管理有效性的差距与潜在风险和关键商业目标之间给以建议。
内部审计的风险管理基础审计具有CPA风险基础审计不可比拟的优势。新的审计模式的确立却立刻就显现了其在风险管理、内部控制等方面对组织的增值贡献是外部审计所无法比拟的优势。CPA风险基础审计是以审计人员对审计风险的容忍度为关注点时,而内部审计的风险基础审计则是以企业、以管理层对风险的容忍度为关注点,这有助于让管理层确信内部审计资源已被有效地配置,且集中于那些真正与组织价值相关的领域。而这也是研究内部审计模式与注册会计师审计模式差异时特别要注意的。在内部审计风险管理基础审计模式的形成过程中,美国国会通过了《Sarbanes--Oxley法案》,在其302节、404节等部分体现了强化管理当局责任、加强信息披露质量的治理精神。尤其是404节对上市公司管理当局提出评估和报告公司最近年度的财务报告的内部控制的有效性要求。内部审计作为公司内部控制重要组成一部分的,其重要性再次得到强调,这为内部审计在新的审计模式下开展工作,提供了更强有力的法律支持。
一、BPR理论简介
业务流程优化理论(BPR)是由业务流程再造(Business process improvement,以下简称BPI)理论发展而来的。1993年迈克尔 哈默和詹姆斯钱皮在其著作《企业再造:企业革命的宣言》一书中,首次将BPI定义为:“对企业业务流程进行根本性的再思考和彻底性的再设计,以使得企业在成本、质量、服务和速度等衡量企业绩效的关键指标上取得显著性的进展”。
BPI理论提出后,引发了热烈的讨论,同时诱发了企业流程再造的浪潮,成为20世纪90年代经典的管理理论。但在实际应用中,BPI理论出现了大量的案例。人们纷纷反思,看上去严谨有效的管理理论,为什么在应用领域的推广受到如此大的阻力。原因在于,如果企业的经营环境不是遇到诸如技术革命、产品革新或是不可抗力引起激烈变化,企业不需要颠覆性的改变。更需要的是系统性、持续性的完善改进。所以,在对BPR理论反思的基础上,人们提出“流程优化(BPR)”的管理理念。
流程优化是一种管理思想。对现有工作流程的梳理、改进和完善的过程,称为流程优化。其目的是在成本、质量、服务和速度等方面取得显著的改善,使得企业能最大限度地适应以顾客、竞争、变化为特征的现代经营环境。
二、内部审计应用BPR理论的必要性
就地市级公司内部审计工作而言,在审计流程方面并没有太多的自,主要是执行上级单位制定的审计工作流程。近年来,经济形势及行业自身都遇到不同程度的阻力,审计环境也在不断发生改变,审计流程也应该不断的创新与改善,向科学化、合理化不断发展,不仅满足于提出问题,更要有解决问题的意识,满足企业管理层及上级审计部门的需求和要求。这也使BPR理论在内部审计的应用提供了必要性。
(一)审计流程优化是提高审计质量的重要手段。审计工作质量是内部审计的关键。对于地市级企业内部审计工作而言,审计工作质量不单单在于完成了多少个审计项目,审计工作的质量在于是否满足管理层需求。提不出好的能够解决问题的管理建议,对企业规范治理没有起到应有的作用;在面对困难问题时,无法向管理层谏言献策,都是内部审计工作质量底下的表现。要提高审计工作质量,就要对现有的流程进行优化,把审计人员从流程中解放出来,专心于发现问题、解决问题,用高质量的审计成果来满足管理层需求。
(二)审计流程优化是提高审计效率的重要方法。在现行的派驻体制下,审计人员兼顾监督驻地与参审异地的双重职能,如何用充分利用审计资源,提高审计效率,发挥全体审计人员“一盘棋”的作用,是派驻审计体制的重要课题。利用BPR理论,对多余的程序进行简化、整合,让有效的审计资源发挥最大的审计作用,让审计人员的关注点集中放在审计效果而不是审计程序上,让审计工作从履行程序向发挥职能进一步转变。
三、BPR理论在内部审计领域的具体应用
依据BPR理论,内部审计部门在现有审计流程上,分析影响审计效能的程序,主动优化,并不等到审计程序与审计环境、审计目标相互矛盾时,再被动的修改审计程序。审计流程优化是为实现审计目标服务的,基于BPR理论,提出审计流程优化的四个基本步骤实现:
(一) 审计流程规划和分析
要开展审计流程优化,首先要对现有的流程进行客观的分析与审视,查找流程中与审计质量直接相关的关键环节。现有的内部审计主要流程可以概括为:审前准备、现场审计、审计报告、审计整改四个阶段,其中又可以细分为审前调查、编制审计方案、审前培训、现场审计、编制底稿、编制报告、与被审计单位交换意见、审计整改等流程。审计人员在现有流程的基础上,通过集体讨论,并结合内外部环境的变化,提出并分析现有流程关键点有:审前知识培训、审计方案执行、审计文书编制。
(二)审计流程设计
在对审计流程进行分析、对关键点进行辨识的基础上,对其他不影响审计工作质量、与工作质量关联不大或严重占用审计资源影响审计效率的流程进行不同程度的简化。对不影响审计工作质量的程序进行清除,与工作质量关联不大的进行简化,严重占用审计资源的进行不要的均衡。在对审计流程进行清除、简化、均衡的基础之上,不断利用程序之间的内在联系对审计流程进行整合优化,提高审计质量和运行效率。利用简化和整理理论,我们经过认真思考后,缩短了审计通知书、审计方案方面的工作,缩短了审前准备的时间,使得审计人员在遇到新问题、新情况时能够迅速反应、及时处理;将检查问题和整改进一步整合,对问题早检查、早发现、早整改,边审边改,不断优化,提高了审计工作效率。
(三)审计流程实施
下一步,我们计划对新程序试运行一段时间,目的是为了根据新情况、新问题进行修正。全体审计人员统一认识,严格执行新流程,保证新的审计流程顺利实施。试运行的过程中,要注意对新流程运行过程中的问题进行收集。要认识到流程优化不是一蹴而就的事,是一个不断优化、持续改进的过程。
(四)审计流程评价
结合新流程的实际运行效果和发现的各项问题,对审计流程优化结果进行评价,判断哪些修改有利于审计质量提升,哪些修改影响审计工作质量,进行再优化、再补充。总结经验成果,有效推广,加快流程优化工作的稳定开展。
(一)审计人员专业知识结构单一,建设管理经验不足,独立开展投资审计难
工程项目建设的特点及项目建设管理流程,决定了工程项目建设审计的综合性、复杂性、广泛性、阶段性,对审计人员的能力提出了更高的要求,基层审计机关虽然开展了对工程审计的培训,但仅限于房屋建筑类造价和建设基本知识的培训,对工程项目管理、施工管理流程知之甚少,同时缺乏相应项目建设管理经验,理论与实际联系的不够,且建设项目涉及行业广,各行业都有自已的建设流程、项目管理和造价定额,对审计人员的业务技能和经验判断要求更高,基层审计机关独立开展投资审计难度大,难以对投资审计项目进行复核控制。
(二)造价咨询机构良莠不齐,管理流程和操作程序不完善,审计风险大
目前基层审计机关为解决投资审计能力不足的问题,基本上都与造价咨询机构进行了合作,但由于造价咨询机构的业务能力和职业素养的不同,对审计的结果影响较大,虽然基层审计机关对聘请造价咨询机构参与审计提出了一些要求,但尚未制订完善相关的管理流程和业务操作程序、风险控制、审理复核等制度规范。
(三)建设专业技术人员缺乏,造价核算管理不到位,加大审计难度
由于建设单位专业技术人员缺乏,管理不到位,很容易造成拦标价控制不完整、不规范,建设项目资料不完整、前后不一致,隐蔽工程签证不齐全、不完整,工程量计量不准确,结算时随意调整主材结算单价等情况,在进行竣工结算审计时,认定工程量、材料价格的工作量很大,且争议较大,难以准确核定工程造价。
(四)以竣工结算审计为主,向前置审计为主迈进,拓展绩效审计
由于建设单位存在前期工作不细致,未进行地质勘测、设计粗糙、预算编制偏高、招投标走过场、拦标价控制不严等情况,而竣工结算审计为事后审计,对造价控制难以达到预期效果;设计阶段是生成和确定工程造价的重要阶段,因此设计方案是否合理,预算编制是否科学,决定了工程造价的高低,只有积极开展前置审计,从源头上对造价进行控制,并拓展绩效评价。
二、对策
针对目前投资审计中存在的困难和笔者近几年的探索,建议从完善内部控制制度、落实投资建设项目基本建设程序、加强投资项目管理与监督等方面采取对策。
(一)投资审计涉及面广,情况复杂,审计机关应加强自身建设,强化党风廉政建设竣工结算审计涉及施工单位的核心利益,同时又要与建设单位、设计、监理、预算、结算、聘请的中介机构等多个部门进行沟通协调,在设计、监理、拦标价、签证、结算等造价控制环节,往往存在很多的问题,需要审计人员具有较高的业务素质和专业的判断,同时需进一步强化自身建设,完善廉政建设制度,构建预防腐败的制度体系。
(二)打铁还靠本身硬,充实和增加必要的人员编制,培养和壮大审计机关专业的投资审计队伍,是搞好投资审计的根本,是提高资金使用效益的坚强保障。
(三)建设单位应严格执行项目建设程序,加强对本单位的专业技术人员的培养,按项目建设管理流程、重要节点进行控制。
(四)聘请造价咨询机构参与审计,可引入招投标机制,择优选择造价咨询机构;制订完善聘请造价咨询机构的管理流程和业务操作准则,同时选派优秀的审计人员参与到项目建设审计中,缎练学习提高审计人员的业务技能,便于掌握项目建设审计的进度和审计情况,完善复核审理制度,透明、规范、高效的进行项目建设审计。
一、基于业务流程转变实施ERP应用风险审计的必要性
(一)ERP系统上线后业务流程发生根本性变化
ERP系统实施以前,许多基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如远光财务系统、远方物流系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。
(二)ERP的系统特性对公司的风险管理提出了新的要求
实施ERP系统后,公司所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。
二、基于业务流程转变实施ERP应用风险审计的主要途径
基于业务流程转变实施ERP应用风险审计是针对由ERP系统实施所带来的新的业务控制风险,对公司内部控制体系做出重新评估和完善。通过充分评估ERP环境中的控制方式,一种是基于系统的控制,另一种是基于流程的控制。将由于“流程自动化”带来的内部控制可能的削弱作为风险敞口进行重点审查。结合流程追溯法、循环测试法、实时审计法、系统辅助法和专家分析法五种ERP风险审计方法,合理运用了风险审计步骤,从风险描述、风险成因、风险影响、风险评价多个维度对ERP应用风险性质、影响结果进行详细的定性分析。
三、基于业务流程转变实施ERP应用风险审计的具体做法
(一)审前准备阶段
选择审计范围
ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此,对ERP应用风险审计范围的选择应采取逆向思维的方法,首先从公司整个业务风险域中寻找具有最大风险的业务流程,进而确定有哪些ERP模块在支持这些业务流程。在实施过程中,通过对各模块关键用户的访谈,来确定评估范围。
3、确立审计内容
在ERP环境下,舞弊和错误均由原来的手工操作变成了由系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析,进而确立基于业务流程转变可能引发的风险类型,得出下列结论:一是伪造数据输入的舞弊类风险;二是错误数据输入的数据质量风险;三是应用操作控制变化的系统用户授权风险;四是应用层面的操作风险;五是脱离ERP业务流程的非集成风险;六是运行过程中的流程风险。
(二)审计现场实施阶段
循环测试法
审计时通过查找各模块中的非集成业务风险,通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果,进而从ERP内部控制环境中寻找流程控制的风险点。这种方法适用于脱离ERP业务流程的非集成风险和运行过程中的流程风险。
以物资模块中线外采购为例,在ERP物资模块中,根据物资管理流程,从采购订单-发票校验-材料入库-材料出库有特定的业务流程,而往往对于成本中一次性消耗的大宗物料非集成风险频数较高,这类业务经常是绕过“线上”的ERP业务集成而直接采用“线下”的总账凭证在财务模块实现。这类业务涉及物资金额大、数量多,存在很大的二级库管理风险,如ERP系统外物资管理流程缺失的话,很容易造成物资流失。
3、实时审计法
