赵玲

摘 要：随着市场竞争的日益激烈和国际环境的复杂，企业要想占得竞争先机，就必须加强内部审计，发挥内部审计在识别风险、改善风险管理、提高治理效果方面的作用。而实际上，当前的内部审计存在一系列的问题，如缺乏合理性关注点、对问题原因的挖掘程度不够、审计结论缺乏新意等。流程审计是一种较为新颖的审计概念，能够从流程出发，分析企业的业务结构，并发现流程方面的问题，进行针对性地改进。文章阐述流程审计的概念和特征，并从多个角度分析流程审计的方法。

关键词：企业流程审计;方法

流程审计基于企业的业务形态，以职能管理转向以流程管理为中心的审计方法，它能在充分理解企业业务流程的前提下，运用一系列的审计手段评价企业的内部控制、治理效率、风险水平等，便于企业在业务流程管理中实现各方面的目标。流程审计具有明显的优势，不但规避了审计专业视角的狭隘性，将内部审计同价值创造相互连接，同时也使实际层面的目标更加精准。而在实践中，很多企业尚未认识到开展流程审计的重要性，所采取的流程审计方法还存在一系列的问题。因此，在这种背景下，开展企业流程审计方法的研究就显得尤为重要。

一、相关概念介绍

1.流程审计

关于流程审计的概念，基于不同的研究视角，形成了大量差异化的结论。根据国际标准化组织在质量管理体系标准中的阐述，所谓流程指的是一组将输入转化为输出的相互作用的活动。有研究认为流程审计指的是基于企业的组织结构和业务形态，坚持“以流程管理”为原则的一种新型审计方法，它完美体现了“受托责任观”和“流程管理观”，能更好地反映企业的市场价值和经营状况。流程审计的前提是内部审计小组要充分理解企业的业务流程，能够对业务流程做整体性的把握，进而对流程体系进行系统性的检查，从而梳理所有流程的合理性、合规性和有效性，及时发现流程管理中存在的问题，并提出稽核建议。

有研究认为流程审计指的是在理解企业内部业务流程的基础上，运用审计手段对企业的内部控制水平、风险水平和治理效率进行评价，并采取措施提高企业的内部控制水平和运作效率，从而达到企业价值最大化的目的。流程审计的重要内容是加强内部审计小组的建设，引入有关审计专家，确定审计范围，并评估各个审计项目的运行、客户满意程度、流程缺陷等。通过对流程的分析和评估，审计小组开展实质性测试，就发现流程操作中存在的问题进行针对性地改进。

2.流程审计的步骤

分析业务流程是流程审计的立足点和出发点，是后期流程审计步骤的基础。通常而言，流程审计的步骤主要体现在五个方面。

第一，流程识别。流程识别又分为三部分的内容，首先是确定各个流程之间的关系，其次，依据一定标准对流程进行划分。最后，确定各个流程的主要功能。企业审计小组要对流程的输入、输出顺序进行了解。所谓输入和输出指的是流程中数据的录入和传输过程。无论是何种性质的业务流程，都存在数据的录入和输出阶段。基于输入和输出之间的顺承关系，审计小组能明确整个流程的研究方向，从而发现其中存在的问题。在流程划分阶段，审计小组可以通过企业的《业务流程管理办法》，根据业务性质的特点，进行划分。在完成流程划分以后，审计小组还应该对各个业务环节在整体业务环节中的地位、步骤和主要的功能进行分析，并通过流程图的方式进行熟悉，以发现其中的关键环节。

第二，流程能力分析。这一步骤是建立在流程识别的基础上，通过对流程各部分的分析，以实现准确控制的目的。同时，这一步骤对审计专家的主观经验要求较高。文章认为可以将企业的流程能力分为风险控制能力、业务运营能力和合规性、信息安全能力。风险控制能力指的是企业的各个环节防止各种风险漏洞、识别风险、评估风险和控制风险的能力，举例来说，财务审批环节有无岗位权限制约、报销信息和相关单据的真实性识别是否有效等。

就业务发展能力而言，指的是该业务的生产效率、产品效果、返工损失和停工损失等情况是否能满足企业发展的需要，是否能实现对成本的有效控制和盈利能力的提升，是否能完成全面预算管理目标等。就合规性发展能力而言，指的是该业务流程是否存在违反法律法规的情况，是否所有的环节都在法律框架内运行。这是业务运行最基本前提。就信息安全发展能力而言，主要指的是企业的各个业务环节能否防止数据泄露，各个业务信息系统是否具备良好的信息安全防泄漏、防病毒机制，是否完善了数据备份制度，是否在信息系统的管理岗位上实现了权限控制等。

第三，流程评估。对流程能力的评估，除了要凭借审计专家的主观经验之外，还应该通过其他方法进行了解，常见的方法以问卷调查和访谈方式为主。通过访谈和问卷调查，审计小组能对流程的整体作初步了解，并找到初期存在的问题。流程评估能够明确后续审计测试的主要方向，并且能及时纠正发现的初期问题。

要想提升流程评估的有效性，审计小组有必要从以下三个方面入手，首先，要保证问卷问题的全面性和完整性，避免问题在设计上存在遗漏，比如关键环节是否存在，是否包括业务的日常运行问题，关键岗位的职责是否清晰，人员的配置状况以及常见的风险识别和控制能力，部门之间的沟通效率等。其次是评估流程的可操作性和合理性。通过问卷调查，审计小组应该评估整体的流程是否合理，工作人员能否在规定的时间内完成工作，各个部门之间的沟通是否具有效率。最后，审计小组还应该评估流程的效率性，比如整体流程是否存在工作重复的情况，人员是否能够得到充分的利用等。

第四，审计测試。审计测试是流程审计的关键环节。审计小组在工作开始之前要选取一定的样本，而且要保证样本的代表性，比如可以在业务的各个部门进行选取，从而保证样本能够合理代表企业整体状况。在审计测试开始之前，审计小组要明确控制目标。一旦在审计数据中发现目标偏差，就应该梳理流程找到问题，并分析差异的重要性水平。如果判断重要性比较高的，并归结于流程操作原因的，那么审计小组就应该考虑选取样本的策略。

第五，流程评价。在审计措施完成以后审计小组要对整个流程进行评价而初步的评价结果并不是最终的结论，只是内部审计部门得出的流程评价。审计小组开展流程评价主要基于两个方面的考虑，一方面是给审计部门的审计报告提供参考和依据，让审计部门对企业的整体运营状况有适当了解。另一方面，是为同类型的业务审计提供案例参考。

二、企业开展流程审计的必要性

企业开展流程审计的必要性主要体现在三个方面。首先，在传统的内部审计模式中，审计人员很难发现业务流程中存在的问题。审计人员基于问题导向，倾向梳理具体细节中存在的问题，从而给出针对性的建议，常用的审计方法是实质性检查。而这种方式未能考虑业务流程可能存在的问题，同时随着信息系统审计的逐渐发展，传统审计人员对信息技术的依赖程度越来越强，对实地审计项目流程存在一定的抵触情绪。而开展流程审计能完美克服传统审计工作模式和弊端，具有很强的必要性。

其次，流程审计是提高企业内部控制制度水平的必要手段。关于内部控制审计，传统审计模式所产生的结果仅停留在问题的表面，对深层次的内部控制流程很少触及，这就意味着传统审计模式的审计力度较弱、深度不够，无法就实质性的问题开展探讨。而流程审计完美梳理内部控制制度的整个流程，比如控制环境、风险评估、信息系统和内部监督等，从而发现各个环节中存在的问题，并提出根本性的改革建议。因此，流程审计能完美克服传统内部控制审计模式中存在的弊端。

最后，流程审计是提高风险管理有效性的必要手段。一方面，传统的审计模式持续时间较长，因此，企业面临的风险因素类型和大小都是处在不断变化之中的。而传统审计模式无法实现对较长周期风险的有效识别和评估。另一方面，传统的内部设计独立性较差。处在较为复杂的控制环境之中，审计人员无法就问题给出专业、客观和公允的审计报告，“人情化”审计现象普遍存在。

三、企业流程审计的方法

1.界定审计项目

界定审计项目的内容主要包括以下几个方面。第一，开展审计项目分析。审计人员应该通过查阅有关文件、访谈和定量分析的方式了解审计项目所包括的产品以及业务的具体情况，比如可以进行文献搜集和查询。审计人员可以在搜索网站上输入关键词，获取有关文件;可通过访谈有关部门，向有关部门搜集相关资料;可以通过影像调阅的方式来调取有关影像资料;可以开展业务咨询，可就业务运行和岗位职责咨询有关人员，从而了解业务概况，常见的咨询部门有业务部门、法务部门、授信管理部门等。通过一系列的方式，审计人员可以了解到应收账款的管理状况、各个业务所生产的主要产品、产品的生产周期等。

第二，界定审计项目范围。审计人员通过前期的资料搜集，深刻理解各个产品内涵、系统、业务等信息，并采取SIPOC图对审计项目的范围进行界定。可以用输入和输出来定义各种审计项目，具体要素主要包括供应商、输入、过程、输出、客户。就供应商而言，主要指的是材料和服务供应商，在内部审计中往往被看作是经营机构;就输入而言，主要指的是有关部门所提供的一切材料和数据信息;就过程而言，主要指的是审计人员通过一系列审计工具，来推动审计活动的开展;就输出而言，主要指的是产品和材料的输出阶段;客户指的是在对整体流程做了解之后，分析谁是最后的受益者。经过上述分析，企业可以将流程审计的范围界定为产品从采购、生产到售出的整个阶段。

第三，企业应该强化流程审计的组织机构建设，可以成立以审计项目负责人为主导的流程审计小组，内部成员从审计和财务部门中选取，同时明确各个部门相互配合的范围。

第四，绘制初步流程图。审计小组运用绘图软件绘制图表，以演示供应商、输入、输出、客户等流程。

2.流程风险分析

第一，流程能力分析。流程风险分析可以采取穿行测试、访谈调研和对比分析。首先，开展穿行测试。穿行测试指的是在符合企业内部控制水平时，从各种交易中选择具有代表性的业务进行测试，以此来审核内部控制信息的准确性和有效性。穿行测试要在流程审计中追踪流程中的全部输入和输出信息。穿行促使可以了解各个流程中存在的问题，并分析各个岗位的具体需求，以达到优化流程的目的。企业开展穿行测试应注意三个方面的问题：详细记录流程环节;记录各个环节所需的资料和信息系统;登录信息系统来测试业务环境，验证信息的真实性和准确性。

第二，开展访谈调研。审计小组应先设计问题，并制定问题提纲，通过访谈或者电话采访的方式来了解业务的实际情况，确认各个环节可能存在的风险类型和控制手段。在进行访谈时，一是要保证访谈对象具有全面性，要涵盖流程图中的各个人员，包括业务人员、后台维护人员等;二是要在访谈中注意倾听，加强对问题的纵向挖掘，深入分析风险因素;三是要在访谈结束之后，企业应梳理和核实访谈内容，验证问题答案是否准确。经过访谈和调研，审计小组了解到了业务流程以及业务制度，并可能发现业务执行中存在的问题，比如业务操作不规范、培训机制不足、业务人员对业务的理解存在偏差、业务流程的沟通机制不健全等。

第三，呈现流程中存在的风险。审计小组通过对资料和访谈记录的分析和整理，梳理每个流程所存在的风险点。根据资料，审计人员将整理的内容提交审计小组讨论，以呈现风险的全面性和完整性，举例来说，在客户方面。客户所提供的信息和数据可能存在错误、客户的经营能力恶化、审批控制失效、存在采购风险等。第四，梳理流程控制。通过对流程风险的评估和梳理，审计小组可以得出有效的控制手段。審计小组根据现有的操作手册和操作流程排查现有的操作手段是否同法律相互违背，并分析现有控制手段对业务的影响，评估替代性手段可能引发的后果。举例来说，就客户信息搜集而言，审计小组一旦发现客户信息存在错误的情况，那么可以采取通过网络手段调研客户资料的方法，并加强对客户的资信评估;就原材料入库而言，如果发生原材料登记错误、发霉变质的情况，那么就应该强化采购负责人和仓储管理人自查的制度。

3.流程分析，评估控制手段有效性

第一，审计小组要开展流程初步评估。根据前期获取的信息，审计小组应分析流程中的风险因子，并对每一项风险的详情进行分析，评估控制手段是否有效。审计小组所评估的具体内容包括风险存在的原因、风险的大小、风险的负责情况、如何控制此类风险、针对风险控制的预案是否有效等。在评估活动完成之后，要将未能控制的风险类型进行重点标注。一方面，审计小组应就前期搜集的问题進行分类，举例来说，针对原材料的存储问题可以归类为操作问题;针对授权审批控制的弊端，可以归类为流程问题;针对部门沟通之间成本较高的问题，可以归结为人员问题和信息系统问题。另一方面，要针对归类的问题进行归因分析，直到发现问题的真正原因。举例来说，针对客户资料信息不准确的问题，审计小组可以初步归因于客户资料不全面、进一步分析为客户的资料提供意愿不高、再次分析可能为沟通不够有效，不能调动客户提供资料的积极性、最后审计小组分析，出现客户资料信息不准确的根本原因是缺乏有效的资信评估工具。

第二，评估流程控制手段的有效性。审计小组在完成问题总结，和归因分析之后，应对风险控制手段的有效性进行评估。如果控制手段是有效的，那么则无须调整现有的控制手段。如果控制手段仅能控制关键风险，那么需要对控制手段做进一步强化。如果已有的控制手段无法实现对流程风险的控制，那么就应该对控制手段进行调整。

4.流程改进，调整控制手段

第一，流程评价。审计小组在完成问题总结和归因分析之后，开展流程控制手段的评估。在完成评估活动之后，审计小组应从人员、操作、信息系统、沟通和流程等角度提出改进性措施。

第二，审计小组在针对各个问题确定了改进措施之后，应同相应的问题部门开展沟通，并确定有关措施。比如针对仓储管理中的问题，审计小组确定了加强采购管理、加强信息系统建设的建议，那么应就该建议同仓储部门进行沟通。针对各个信息系统数据口径标准不统一的问题，审计小组确定了由信息部门统一信息系统技术标准的对策，并就该建议同信息部门开展沟通。

第三，加强对改进措施效果的跟进。审计小组应持续跟进改进措施的效果，并就这些效果进行记录。在审计意见发布一个月之后，审计小组组长应会同总经理跟踪改进措施的推进程度，对部分关键的改进措施进行监督，保证各项措施能在规定的时间内完成。举例来说，就客户资信评估而言，资信管理部门应确定了授信之前的资信评估表格，包括客户的成立时间、销售收入金额、利润额、利润率以及往年信用评级、有无经营异常状况等;资信评估部门通过多种途径来获取这些信息，包括走访调查、网络查询等方式;资信部门根据获取的表格信息，并结合客户提供的信息进行对比分析，最终得出客户的整体实力和信用水平、并根据客户的信用水平确定对应的信用政策。

5.流程后评估、评估跟进措施

在流程审计结束之后，审计小组还应对完成改进之后的流程进行评估，比如从制度落实、风险评估等角度，评估已经改进措施的有效性，是否增加了新的风险点，并引入信息技术、走访调研方法等。

第一，评估流程的执行现状。审计小组通过访谈调查、大数据选取数字的方式来确认流程的运营现状。评估的角度可以分为制度规范、执行效果、执行效率、成本控制水平、员工满意程度等，并设计定性化和定量化的评价指标。

第二，针对现行流程的评估，审计小组进行了详细记录，并发现了新流程中存在的问题。针对新增流程中的问题，审计小组还应重新进行流程评估，并采取新的流程改进措施，同业务部门沟通，落地新的整改措施。

第三，流程改进措施仅靠审计小组的力量是无法完成的，因此，必须加强同其他部门的沟通。就流程改进的关键措施，审计小组应会同业务部门共同讨论决定。就经讨论仍然无法确定的措施，可以交由企业领导决定。

四、结束语

流程审计是一种较为新颖的内部审计方法。对于企业而言，基于内部审计部门独立性的不足，所给出的审计意见公允程度不够。这对企业的风险识别、评估和应对是远远不够的。而流程审计可以以单个审计项目为单元，采取必要的审计方式对流程各个环节进行审计，只有这样，才能发现流程中存在的问题，并制定针对性的改进措施。文章阐述了流程审计的概念和步骤，并分析了流程审计在企业中运用的必要性。最后，从多个角度分析了流程审计的方法。期望文章的研究能为流程审计效能的发挥提供一定的参考和借鉴。

参考文献：

[1]李小倩.大数据环境下的内部审计模式转型思考——以上海汽车集团销售流程审计为例[J].审计与理财，2021（09）：11-13.

[2]尚颖，黄松.基于数字化审计平台的数字化全流程审计模式研究[J].企业管理，2020（S2）：218-219.

[3]朱志勇.流程审计在医院风险管理和成本控制中的应用[J].今日财富，2020（16）：52-53.

[4]栾志霞，庞鲁生.流程审计在医院增值服务中的功能定位与新作为[J].中国总会计师，2020（07）：94-95.

[5]任艳.基于DMAIC五步法下宁波银行内部流程审计实施研究[D].兰州大学，2019.

[6]毕旭云.流程审计在医院风险管理和成本控制中的应用[J].中国卫生经济，2018，37（08）：90-92.

[7]孙镝飞.流程审计——商业银行零售业务内部控制审计方法研究[J].中国内部审计，2016（09）：22-27.