师旭丽 唐定全 郭红锋
[摘 要] 在总结某上市公司流程审计的实践经验基础上,详细介绍了流程审计的理论、方法,探讨企业如何开展流程审计。
[关键词] 流程审计;理论;方法
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2020. 07. 017
[中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194(2020)07- 0037- 03
1 流程审计理论
国际标准化组织在ISO 9001:2000质量管理体系标准中给出的流程定义是:“流程是一组将输入转化为输出的相互关联或相互作用的活动”。流程审计是基于企业组织形态,从以“职能管理”为中心向以“流程管理”为中心转变而产生的一种新的审计方法,是“受托责任”理论和“流程再造”理论相互作用的产物。它是在充分理解业务流程的前提下,针对公司流程体系整体或局部进行全面的、系统的检查,以评估流程建设的充分性、符合性、有效性及效率性,发现影响企业控制管理和运作效率的不利因素,提出改进建议,为企业增加价值。就目前已经查阅到的资料分析,审计理论界尚未对流程审计给予明确定义,在审计实务操作中,一般将流程审计定义为:指企业的流程审计部门或企业专门组织相关专家组成流程审计小组,对审计范围内具体流程的运作现状、执行情况、流程缺陷、客户满意度、流程存在的问题等各方面进行稽查和评估,督促流程得到真正落实和执行,帮助流程不断优化和改进,形成又快又好又省的流程,并通过执行合规高效的流程促进企业绩效实现。流程审计与流程日常管理相辅相成,互相补充。目前,流程审计主要广泛运用于国外大型企业,特别是制造业和金融服务业中。
A上市公司对丰富审计模式进行了有意义的探索,在保持常规性审计项目的同时,如保证定期的经济责任、财务审计、专项管理审计的前提下,还不断地拓展审计范围、改变审计方法,增加了流程审计,这对内部审计监督模式的优化具有较好的参考价值。
2 流程审计方法
流程审计主要是从流程建设环境、流程系统性和完整性、流程设计质量、流程执行力四个方面针对流程整体架构或某一流程模块进行审计。
2.1 流程建设环境审计
流程建设环境审计是从定性、宏观方面围绕企业领导、管理者的意识、机制进行判断流程建设环境,主要从领导的作用、管理人员绩效导向、宣传和培训、流程意识、变革意识五个维度评价,通常是以调查问卷的方式开展,设置很不符合(0~2分)、一般符合(4~7分)、非常符合(8~10分)三个档,流程建设环境审计标准如下。
2.1.1 领导的作用
领导重视流程管理工作并亲自参与到流程建设中来,领导也严格按照流程办事,没有人超越流程。公司每年设定了流程建设的目标和阶段计划,并给予必要的资源支持,流程被视为企业业务运作和管理控制的主要手段。
2.1.2 管理人员绩效导向
流程建立和优化纳入了管理层工作职责并以相應的绩效指标予以考核,并作为管理人员晋升的考量内容之一。
2.1.3 宣传与培训
公司每年都有流程意识、设计和优化方法方面的培训计划并组织实施;业务和管理中的典型问题能总结成“关键事件”的案例形式广泛传播,教育全体员工,员工能清晰说出该事件的流程问题和影响。
2.1.4 流程意识
公司从高层到基层员工都理解流程的重要性,流程建设成为解决管理和业务问题的重要手段,从高层到基层员工愿意按照流程来执行,发现流程不合理的地方,愿意主动优化流程。
2.1.5 变革意识
公司的管理者意识到企业变革的意义,具有变革的紧迫感;管理者愿意在完成已有日常工作外,投入足够的时间参与流程变革;管理者理解变革的难度和风险,为流程变革设定了阶段性的、较为理性的目标;对于变革过程中遇到的阻力和困难,管理者愿意资源支持,能够及时决策确定变革方向。
2.2 流程系统性和完整性审计
流程系统性和完整性审计主要是评价流程体系是否很好承接企业发展战略,是否与组织、商业模式等相互匹配,是否在市场和客户导向下有机协同,奠定了竞争力建立的规划基础。流程系统性和完整性审计标准如下。
2.2.1 流程和战略、商业模式的匹配
流程体系的规划以战略为出发点,围绕客户及商业运营模式进行流程框架定义;支持战略实现的关键成功因素被清晰地定义;与核心价值元素相匹配的关键流程能力被清晰定义;成熟业务和战略性成长型业务分别采用了不同的流程策略。
2.2.2 流程和组织的匹配
流程体系的规划不会太理想化,导致目前的组织资源无法支持;流程体系的规划考虑了企业的规模和发展阶段特征,组织资源投入的成本会成为一个必要的约束条件;组织结构的设置有利于流程的整体效率的提升,不会因为职能化的分散导致责任不清晰,沟通效率低下。高阶流程都会有一个主导的责任人对全流程负责,并被赋予整合资源的权限。
2.2.3 流程以市场和客户为中心
有正式的流程收集市场和客户需求信息,并传递给内部的接口流程,以更好地满足客户的需求和期望;市场需求驱动新产品开发,研发人员关注客户需求不是基于个人技术偏好;流程的运作不是以职能为中心,流程中的每个角色都能将下游环节视为客户;有正式的流程收集客户对公司的产品和服务问题的反馈信息,并能在流程中加以改进。
2.2.4 流程和制度的匹配
管理制度作为流程构建的输入,而不是代替流程;制度不会影响流程运作的效率,而是更好地促进流程的有效运行,流程优化的同时,也会对不适用的制度进行修正。
2.2.5 流程和信息化建设的匹配
信息系统的实施是以提升流程效率为目的应用实施,会对流程进行梳理和优化,不会将效率低下的流程加以固化;各业务领域的信息系统会有比较好的集成性,信息孤岛的现象比较少。
2.2.6 流程缺失的程度
流程体系的规划涵盖了市场、销售、产品研发、供应链、售后服务、管理支持的整个经营过程;常规的业务和管理活动都能在流程中加以定义;除了主流程外,子流程及配套的支持流程以及底层的操作模板比较完备;流程的例行化程度至少达到90%以上。
2.2.7 流程体系的集成化程度
流程体系进行了分层分级定义,并形成了企业级的流程目录,而不是分散和片段式;流程体系与ISO 9000等各类标准进行了融合;流程与流程之间的逻辑关系是清晰的,没有出现中断和重叠;流程体系向客户端延伸,强化和客户内部流程之间的集成性,取得市场优势;流程体系向供应商和外包商延伸,强化整体价值链的集成性,提升流程的整体运营效率。
2.3 流程设计质量审计
流程设计质量审计主要是评价流程设计过程是否在科学机制的指导下开展,形成了统一规范,成功经验被有效固化,具有良好的指导性。流程设计质量审计标准如下。
2.3.1 客户价值导向
流程清晰展现了所服务的对象、阐述了要实现的价值目的、对客户的需求进行了规范化描述。
2.3.2 流程适用范围
流程明确了在什么情况下或什么范围内应用本流程(如客户、产品、区域、领域、阶段、人员、设备等范围控制)。
2.3.3 流程触发条件
流程明确定义了驱动规则(时间或事件),对于触发条件为事件触发时,明确了事件的类型和内容;对于时间触发方式时,明确了启动时间的要求及时间频率,明确定义了由谁来启动流程。
2.3.4 流程的输入与輸出
对流程的所有输入、输出进行了名称定义,明确了流程的输入信息来源及流程的输出对象,及谁对流程的输入信息负责。
2.3.5 流程的边界
流程没有按职能进行片段化设计,流程的起始活动明确、结束标志清晰,流程基于价值导向形成了端到端闭环。
2.3.6 流程的接口与协同
流程中的关键活动得到了充分呈现,流程活动间的接口没有出现断点、多头接口或重复中转,流程活动间的输入输出是清晰的,流程明确活动间的协同是否采用了并行化的方式。
2.3.7 流程的责任匹配
流程所有活动责任分解到岗位,流程主导角色明确,流程支持和协作角色明确且没有重叠或遗漏,流程决策者明确且没有重复设置,流程角色设置合理,没有明显的角色错位。
2.3.8 流程关键活动的业务规则
业务活动产生的经验和教训在模板(包括各类操作指引,操作标准、检查表等)中得以固化;活动的操作说明符合5W2H的标准要求;活动的输入和输出有正式的文档(包括表单、计划书、报告等)进行规范。
2.3.9 流程文件的规范性和统一性
流程文件(含流程图)按照统一的规范格式进行编写,流程文件描述的要素完整,流程文件是唯一的,没有重叠。
2.4 流程执行力审计
流程执行力审计主要是评价流程是否被有效宣贯执行,流程执行符合性审计标准如下。
2.4.1 流程文控管理
流程是由业务强的相关人员共同制订出来的,流程经过正式的途径审批后发布,流程的更新有版本化管理,没有出现版本混乱现象,员工可以方便地查阅与其相关联的流程。
2.4.2 推行实施
新流程会进行试运行,针对试运行的发现问题会进行记录和修正,有专门的培训资料或教材,新员工上岗前会进行相关流程的培训和学习,员工对流程不明确的地方可以有途径进行询问。
2.4.3 流程执行的符合性
流程在运行中根据文档要求形成相关记录;流程的运行记录显示与流程文件要求是一致的;员工能清晰地说出自己在流程中的角色职责;流程执行过程中发现有不完善的地方,执行者会主动反馈;针对出现的局部运行不匹配问题,执行者的态度是提出修正建议而不是抱怨;针对现有流程没有涉及到的例外情况,业务主管会亲自解决问题,并促进例外事件转入例行管理。
完成以上审计后,应该撰写流程审计报告。流程审计报告要以正面发现和负面发现相结合的方式进行报告;将审计中所发现问题尽可能分类总结,报告重点问题、系统问题,问题点不宜过多,相同类型的问题作为一个问题点总结,每个问题点都能举出具体事例。审计报告的语气委婉,既能表明发现的问题,又能令被审计方接受。
3 结 语
对于具有一定规模的企业,企业内部需要开展的管理工作复杂多样,譬如需要开展诸多体系审核,如ISO 9001质量管理体系审核、ISO 14001环境管理体系审核、OHSAS 18001职业健康安全管理审核、两化融合管理体系审核、风险管理体系审计,而所有体系的要求都应该融入企业运营流程中。所以,流程审计与各种体系审核、审计紧密相连,流程审计与流程管理工作相辅相成、互相补充。