基于SIPOC模型的企业供应链审计模式创新研究

杨悦 王瑶瑶

[摘要]外部环境的突变性和内部环境的复杂性都催促企业进行风险管理模式变革。无论是制造型还是服务型企业，在经营过程中形成的供应链，作为企业价值链的重要一环，是企业风险管控的主要对象。于企业而言，对供应链风险进行全面管理有助于实现降本增效目标。本文在分析目前企业供应链审计缺陷的基础上，结合SIPOC模型，进一步研究企业应如何顺应数字经济时代发展，实现供应链风险全覆盖审计，为企业完善和创新自身供应链审计模式提供相关借鉴。

[关键词]供应链风险   审计模式   SIPOC模型数字化

本文系浙江省审计厅审计科研课题（20210472）基金项目“国企管治中三审协同模式创新研究”阶段性研究成果

一、引言

随着企业内外部环境的变化，降本增效成为多数企业的重要运营目标之一。企业力求通过流程再造和供应链重塑等途径实现经营低成本和高效率，最终达成盈利目标。内部审计作为企业运营保驾护航的重要力量，一直将供应链作为主要审计对象。随着数字经济时代的迅速发展和业务规模的不断扩大，传统的供应链审计模式已无法满足企业供应链风险全覆盖和全面管控的需要。在此背景下，为更好地发挥“十四五”期间内部审计助力企业高质量发展的护航作用，需要对企业的供应链审计模式进行创新。

二、企业供应链审计存在的缺陷分析

供应链的优化是实现企业降本增效的关键。无论生产、制造，还是服务型企业，采购业务、运营（或生产）业务和销售业务这供应链上的三大价值链环，是供应链审计的主要内容。就目前企业供应链审计的现状来看，仍存在风险覆盖面有限、风险审计能力不足等缺陷。

（一）深耕熟悉领域，新风险挖掘能力不足

就供应链审计而言，多数企业内审部门在制订年度审计项目计划时，易倾向优先安排对前期已熟悉的风险领域进行跟踪审计，之后再针对其他领域规划审计项目。在做供应链新风险审计项目计划时，内审人员会局限于熟悉的业务模块进行新风险的挖掘。比如，相较于采购业务模块，内审人员更偏好于销售业务模块的新风险挖掘，主要是因为采购业务中时常存在的收受回扣和采购价格虚高等风险一般较难通过采购数据分析挖掘出相关线索，其舞弊问题往往因采购制度较大的自由裁量权和采购人员业务能力等因素而被合理化解释，导致内审人员在获取和固定审计证据时存在一定难度;而在销售业务中，调价和定向批发等舞弊行为往往较易被发现，相关审计证据易被获取和固定。长此以往，内审人员难以跳出舒适圈，在采购业务审计工作中较难实现突破。就目前企业内部审计现状看，一些内审人员主要依靠内外部举报等方式获取供应链采购环节问题线索，其在采购业务端的新风险自主挖掘能力是不足的。

（二）审计方式传统，风险监管融通性不足

企业供应链审计方式大致可以分为两类：一类是“被动式”项目制，即完全依赖举报和投诉等外部信息进行分组立项审查;另一类是“被动式+主动式”项目制，即除了“被动式”项目制审查方式外，还包括项目组自立专项进行审查。随着内部审计发现问题能动性的不断提升，越来越多的企业采取“被动式+主动式”项目制的审计方式。实践证明，这种传统审计方式对单个问题审查来说较为适用，但其风险监管的融通性是不足的。比如，当企业在核查销售端舞弊事件时，常常伴随挖掘出与采购端相关的问题线索，但为了满足案件核查时间要求，项目组往往仅围绕销售舞弊方面问题进行审计证据的深入锁定，而将采购相关线索转交给其他管理采购端问题的内审人员。而企业供应链是包含采购、生产和销售的完整链条，链条中各环节的风险环环相扣，若采用传统的项目制审计方式，未能打破项目组间的壁垒，则较难最大化利用审计成果。

（三）管理对象复杂，风险监控不全面

供应链审计是企业内部审计工作中较为复杂的一个业务。企业的供应链业务覆盖面较广，采购、生产（运营）、销售（含售后）各环节产生的违规操作和舞弊等风险给企业全面风险管理带来挑战。随着审计全覆盖概念的提出，越来越多的企业管理者开始意识到推行全面风险审计的重要性。但就多数企业的供应链审计现状看，内审人员对企业供应链风险的监控是不全面的。受审计惯性思维影响，内审人员对供应链运营销售端的问题查处较多，对该部分风险管理规划较为细致全面;而对采购端，由于风险场景较为复杂，审计证据较难固定，很多企业内审部门在实际开展工作中虽对采购业务模块的风险进行了罗列，但并未有效执行采购风险全面审计。此外，在进行工作规划时，内审部门往往未留出适当的时间进行突发事件处理，导致一旦非规划内风险发生，部门原有工作规划被打破，从而影响部门整体的年度工作进度。由此可见，无论从内容还是时间上看，目前很多企业的全面风险管理规划是不全面的，执行效果与预期存在偏差。

（四）审计资源局限，信息化管理能力不足

随着管理层对内部审计和内部控制重视程度的不断提升，越来越多企业在设置内审部门时采用内审内置的模式，即自行成立内审部门或者内控部门。但是，由于企业内审力量和工作模式的参差不齐，很多企业仍处于制度流程建设和流程执行审查等内审常规化工作中，所能创造的有形价值较少。鉴于此，基于成本效益原则，很多企业在内审部门的人力资源安排仍较为薄弱，审计资源存在一定局限性。此外，企業在招聘审计人才过程中，往往偏向审计和财务会计专业的人才，这类专业人才虽拥有一定的信息化概念，但其信息化技术水平存在局限性，在开展内审工作过程中很难自主融入、运用大数据审计技术。受信息化审计人才资源的匮乏及审计负责人数字化管理思维和能力局限等因素影响，目前大多数企业的审计信息化管理水平仍存在较大提升空间。

三、数字经济时代企业供应链审计的挑战与机遇

随着数字经济时代的到来，企业在开展供应链作业和管理过程中越来越多地融入信息化技术。Python、SQL、Java等技术在业务管理中的不断深化运用，区块链技术的提出与尝试使用，都使企业供应链审计面临前所未有的挑战与机遇。

（一）数字经济时代企业供应链审计的挑战

1.信息爆炸与信息不足的矛盾。数字经济时代最为明显的特征是信息爆炸，无论在企业采购、生产、运营，还是销售环节，但凡通过系统进行沟通和执行的信息，便会在系统中留下痕迹，以数据的形式储存在系统后台中。然而，这些数据所反映的信息很多都是无效或无用信息，真正存在操作不规范和舞弊的信息数据含量非常少。因此，对于内审人员而言，如何运用恰当的审计技术，从海量的数据中提取出有效信息，是数字经济时代所面临的一大技术挑战。若企业内审部门仍沿用传统审计技术，采用excel进行数据关联和分析，那么当数据条超过100万条时，excel的使用便会存在局限性，对互联网企业而言这一问题尤为明显。此外，通过风险建模，从海量的数据中挖掘到风险数据，再对风险数据进行进一步论证时，往往会因后台关联数据的存储缺失等原因导致风险无法进一步追责到人。追根究底，业务数据流的闭合性缺失和审计技术创新性的匮乏，是企业供应链内审人员所需要攻克的两大问题，也是数字经济时代产生信息爆炸与信息不足矛盾的根源。

2.风险形式的变异性和隐蔽性。技术是一把双刃剑，一方面，各种新兴技术的发展为企业提高了作业效率和管理效率，另一方面，多样的技术也为舞弊人员提供了更多手段和机会。比如，恶意批发者通过收买公司内部人员进行优惠券的定向发放，而后通过多个账号进行批发购买，使得数据表面呈现出零售的规律，从而隐藏其舞弊行为。此外，随着互联网对各种舞弊手段的传播，企业供应链上的舞弊風险也随之不断变异，愈发隐蔽。内审人员若要发现其中的风险问题，一方面需要对企业业务有更为深入的了解，另一方面则需要运用更多的审计技术进行数据的清洗和关联分析，综合多维度因素搭建更为精准的风险模型，以缩小核查范围。供应链舞弊风险形式的隐蔽性还受业务本身的特性影响。就目前企业的业务风险查处情况看，相对于销售端和运营端，采购端风险的自主挖掘能力仍较弱，主要因为采购价格不仅受采购量、采购方话语权因素影响，还与付款方式、采购人员职业能力等因素相关，因此采购人员通过拿回扣谋取不正当利益的风险较难被察觉。如何从海量的合同条款中提取有效影响因素，分析问题数据，发现隐形风险，这对数字化时代的内审人员也提出了更高的要求。

（二）数字经济时代企业供应链审计方式变革的机遇

1.大数据管理理念的冲击。大数据管理较早应用于金融行业和电商行业等数据量较大的行业中。随着大数据管理技术的发展和管理成效的突显，越来越多的行业也开始接受大数据管理理念，布局大数据管理所需的基础设施建设。对企业而言，大数据审计必须建立在数字化运营和管理的基础上，因此，在数字经济时代背景下，受大数据管理理念的冲击，企业管理层重新布局供应链业务开展模式，优化供应链管理模式，为内审部门开展大数据审计提供了数据来源和保证，为实施大数据审计提供了支撑。

2.智能风控技术的运用。会计电算化的普遍实施促进了企业财务智能化的实现，从财务运营的物理集中，到财务共享专业化作业链的拆分，再到可视化的财务智慧共享，财务的管理职能在不断深入的财务分析报告和建设性改进建议中得到体现。内部审计作为企业风险防控的重要职能部门，深入挖掘财务数据，在工作开展中不断融入新的风控技术手段，使企业风险的智能化监控成为可能。从最初的单表数据分析，到多表联合分析，再到如今很多大型企业智能化监控平台的搭建，通过大屏进行各类风险指标的实时监控，并将异常数据发送给相应的内审人员。智能风控技术的成功运用大大提高了企业内部审计的工作效率，供应链智能化风控体系打造的成功案例也让越来越多的企业意识到改革供应链审计模式的重要性和必要性。

四、SIPOC模型在企业供应链风险全面审计中的应用分析

就企业供应链风险管理现状看，很多企业因审计资源和审计技术的局限性，对供应链环节往往存在“厚此薄彼”的情况，无法实现供应链风险审计的全覆盖。内审人员对部分业务节点的风险识别不足，无法进行数据分析或制定合理的业务流程控制制度，无法充分实现企业内部审计的管理效益。为了改变这一现状，内部审计过程中首先应对企业供应链风险进行全面识别、全面分析及全面管控。

（一）SIPOC模型的适用性分析

SIPOC模型最早由戴明提出，用于优化流程管理，其将整个流程划分为五个节点：供应者（Supplier）、输入（Input）、流程（Process）、输出（Output）、客户（Customer）。从审计对象看，使用SIPOC模型有助于内审人员跳出供应链业务单一环节局限，从整体业务流的角度去审视可能存在的业务风险，SIPOC模型的供应链分节点分析也有助于内审人员实现点到面、面到点的全面审计对象识别。此外，从审计目的看，内审人员通过对企业供应链审计发现和整改问题，促进企业流程再造和流程管理的优化，这与SIPOC模型运用的目标也是一致的。最后，从审计方式看，很多企业的审计过程中采用了“逆查法”，即通过对财务指标异常、内外部举报线索的核查，倒推分析至业务问题。该种模式往往仅能实现对供应链风险的点状管理，难以实现对供应链风险的全面管理。SIPOC模型的运用，使企业内部审计过程中实现从业务到财务的“主动顺查法”，深入到业务本身进行问题审查，较好地体现了“业审融合”理念。综上可知，SIPOC模型适用于企业供应链审计工作的开展。

（二）供应链风险识别中SIPOC模型的具体运用

为了对企业供应链风险进行全面管理，内审人员需对供应链风险进行全面识别。在运用SIPOC进行风险识别时，内审人员首先应梳理企业的供应链业务流程，将所有业务分为供应商引进与管理（S）、原材料（商品）采购（I）、生产与库存管理（P）、产成品（商品）销售（O）和客户管理（C）这五大环节，然后从业务流的角度去分析每个环节可能存在的业务风险，并采用罗列法或图表法将这些业务风险点进行罗列（如图1所示）。在供应商引进与管理环节，可能存在的风险主要有企业内部人员引进资质造假或资质不符的供应商以及供应商品牌授权存在瑕疵等;在采购付款环节，基于业务流要点分析，业务风险主要由采购价偏高、超量采购、质量瑕疵、合同条款利好卖方及结算方式不合理等因素引起;在生产与库存管理环节，主要包括费用管理、资金管理和库存管理等风险;在客户管理环节，则有可能由于额外增加物流费用和售后服务而提高企业运营成本，存在一车多装及虚假退货等舞弊风险。

运用SIPOC模型，从供应链业务流切入分析每个业务环节的控制关键点，从而识别出每个控制点存在的合规风险及舞弊风险，有助于内审人员对供应链风险形成概览。内审人员结合自身经验对已识别出的风险进行评估，针对每个风险点具体描述其风险场景、风险危害、风险模型和风险应对措施等，并将这些要素整合输出，形成较为完整的风险图谱，实现对供应链风险的全面识别，为后续的供应链审计工作开展明确方向。

（三）供应链审计中SIPOC模型的具体运用

在运用SIPOC模型进行风险全面识别的基础上，内审人员可以根据风险图谱制订审计工作计划。由于审计资源的局限性，在制订审计工作计划时需突出重点、避免盲点，结合上述初步形成的风险图谱，采用ABC分类法（最初用于对存货按其价值和价格分级分类管理），对风险图谱中的所有风险点进行等级划分，对于重大风险点（标注为A类风险）优先开展审查并重点关注，对于重要风险点（标注为B类风险）规划相应资源进行审计，对于一般风险点（标注为C类风险）则结合当年的资源分配情况决定是否审计，若不实施具体审计工作，则采用道德文化宣贯和访谈等措施对该类风险点进行跟进。基于上述风险图谱的风险点分类，内部审计部门可制订年度审计计划，并明确具体的内部审计项目。

目前，大多数企业的内审工作开展采用项目制。在制订审计计划时，内审人员应遵循“新旧风险兼顾，重点风险优先”原则，在对已查处风险进行跟踪审计的基础上，聚焦新风险的审计。在进行工作安排时优先审查A类风险，重视B类风险（相对于A类风险，可排在次优级），积极跟进C类风险，合理分配审计资源。其次，在对供应链风险进行审计时，适宜运用大数据分析，对同类型业务的某个环节进行批量审查，对于有问题的审查对象进行“全链式”审查。比如，在對供应商授权进行审查时，若发现某供应商的品牌授权存在瑕疵，则可围绕该供应商审查其与本公司发生的所有交易，分析这些交易是否存在采购价过高、采购量过多、结算条款不合理和售后投诉较多等其他风险。通过“由点到链”的审查方式，内审人员不仅能将发生的业务问题，尤其是舞弊问题追责到人，还能通过风险点辐射到整条供应链，从而提出更具建设性的问题整改建议。最后，结合每个业务环节存在的漏洞，内审人员需与相关环节的负责人进行沟通访谈，对提出的整改建议进行优化，协助并监督相关业务部门共同推进落实整改工作。

五、企业供应链风险全面审计模式创新实施建议

在数字经济时代，为了将SIPOC模型更好地运用于企业供应链风险全面审计，企业的审计模式需要进一步创新。综合来说，内审人员需在审计规划、风险防控和审计技术等方面加速创新，从而使供应链审计中SIPOC模型的运用成效得以突显。

（一）统揽全局，实现“三流合一”式风险审计计划

每个企业的正常运营都离不开“三流”——物流、资金流和信息流，随着数字经济时代的到来，越来越多的企业实现了“三流合一”，将这三流合成了数据流。因此，内审部门管理人员在进行审计计划时应统揽全局，以数据化思维制订风险审计方案。此外，对于风险图谱中的风险，或是假设而来或是已然发生，但其在实际案件中的发生方式并不是完全符合预设的，风险可能变异，也可能更为隐蔽。因此，在进行供应链风险审查时，内审人员应从多个维度进行数据分析，论证供应链风险发生的概率及危害。综上可知，无论是内部审计管理者还是内审人员，在制订审计计划时均需尽可能多地进行场景风险假设和舞弊手段假设，从物流、资金流和信息流这三个维度思考风险发生的方式，并通过数据流进行风险验证。

（二）逐一突破，构筑“一体多翼”式风险防控高地

受工作经验积累、风险审查偏好及业务风险的明显性等因素影响，内审人员在进行供应链风险审计时往往倾向于自己熟悉的和便于进行数据审查的风险领域，而难以在其他业务风险领域有所突破。比如，就互联网零售企业而言，较为明显的异常风险就是销售端的风险，内审人员在进行新风险挖掘和旧风险跟踪审计时都倾向于销售领域，即便销售端风险的发生率及影响范围更大，但并不意味着企业供应链其他业务环节不存在缺陷。故内审人员应适时跳出舒适圈，运用SIPOC模型进行风险全面识别，对业务环节的控制关键点风险进行深度审计，逐一突破，构筑“一体多翼”式风险防控高地（此处的“一体”指的是成熟的风险群，适合采用风险建模进行智能化跟踪审计，“多翼”指的是多个供应链环节上对不同风险的挖掘与探索），实现风险全面覆盖，为企业高质量发展运营保驾护航。

（三）技术创新，加速“智能风控”理念的落地实施

审计资源的投入并不是一蹴而就的，当内部审计工作的开展受到人、财、物等资源局限时，内审人员必须变革审计理念和创新审计技术。面对海量的供应链数据，为了提高审计效率，内审人员应熟悉从数据的初分析和风险模型的搭建到大数据分析这一数据化工作流程，通过数据的批量处理和风险模型指标的不断优化来缩小审查对象范围，筛选出最为异常的业务数据，而后再有针对性地逐一进行排查，在实际工作中实践全覆盖审计下运用大数据分析进行重点审查的理念。此外，为了将有限的审计资源分配到更为重要和未被发掘的风险领域，对于熟悉的供应链业务风险，内审人员可通过搭建智能风控平台，利用成熟的风险模型进行定期跟踪监控，当业务事件触发风险模型时，相关的业务数据便会实时传输给风险模型监控人员，帮助监控人员及时进行业务核实和审查，避免屡审屡犯问题发生。目前，很多企业内审部门都认识到智能风控的高效性，但在实际建设过程中，底层数据与风险模型不够丰富、投入资金的阶段性产出效益不明显等因素导致很多企业存在较大畏难情绪，将智能风控仅仅当作未来内审工作的发展方向和理念，难以真正落地实施。

六、结语

数字经济时代已经到来，传统的企业供应链审计模式在为快速发展的企业保驾护航过程中已显现出后劲不足的缺点。为实现“业审融合”，使内部审计进一步深入业务，服务于业务流程再造及优化，企业内审部门在新时代亟须改变旧的供应链审计模式，积极运用SIPOC模型进行供应链风险的识别，并在此基础上制订审计计划，开展大数据审计，创新跟踪审计模式，提高企业供应链审计效率和效果。

（作者单位：宁波财经学院  杭州网易严选贸易有限公司，邮政编码：315175，电子邮箱：747841328@qq.com）

主要参考文献

[1] 黄浩岚，梅青.绿色协同目标下供应链企业内部控制评价问题及相关思考：汽车供应链信息披露视角[J].中国管理信息化， 2020（17）：62-65

[2] 危经华.审计视角下构建农发行供应链金融风控体系[J].农业发展与金融， 2021（6）：77-79

[3] 吴强，张亚明.基于供应链风险管理的商贸流通企业绩效分析[J].商业经济研究， 2020（24）：114-116

[4] 徐鹏.基于结构方程模型的农产品供应链金融风险防范研究[J].西南政法大学学报， 2018（6）：128-135

[5] 徐晓莉.供应链核心企业4E绩效审计评价指标体系研究[J].会计之友， 2019（17）：77-85

[6]袁峰.同业网络视角下跨境电商企业供应链风险分析[J].商业经济研究， 2021（14）：98-101

[7]张江朋，张璞，吕跃聪，李庆社.供应链模式下核心企业应收账款风险的形成：以西部欠发达地区制造业为例[J].财会月刊， 2018（17）：23-31