流程审计在企业管理中越来越普及,但流程的审计方法却参差不齐,导致流程审计质量不高,不被高层重视。许多流程审计人员容易把流程审计当作内部审核来进行,最终草草了事。要实现流程审计工作的价值,企业需要一套完整的流程审计系统技术方法。
一、合规性审计
流程审计的首要任务,便是审计流程的合规性,简称“合规审计”,流程是否合规可从以下五个维度入手展开审计。
1. 流程系统完整性维度
流程系统完整性审计的目的,是审计流程在设计上是否符合公司的战略发展要求,是否违背或影响公司的战略规划与发展路径,并以此为基础,分层次、多维度地审计各业务模块的流程组、流程分支,确保各业务模块的流程无缝衔接及高效运作。
流程完整性审计要从目标高度一致性开始切入,即公司目标到部门目标、部门到班组、班组到个人的目标是否高度一致、层层分解,流程的节点权责是否清晰明了,并采用5W1H的模式来审计流程在完整性方面是否存在缺失。
2. 质量维度
流程的质量维度,主要从三个方面来审计:其一,法律法规的符合性审计,即流程制度的设计与运行是否充分考虑到法律法规要求的落地;其二,公司产品标准与流程制度是否具有一致性;其三,流程制度的细节要求,即是否根据实际的业务单元设计控制节点。
流程设计应统一规范,过往的成功经验应被有效固化和应用。流程还应具有良好的导向性。在流程设计过程中,不要盲目地画流程图,描流程节点,首要任务是对法律法规进行识别,找出业务单元需要执行的法规要素,作为流程设计的输入条件。其次,才是评价流程设计部门是否凭空而谈,是否根据业务发展需要,考虑了企业的未来发展。
站在审计的角度,需坚持做到“管得住、行得通、易遵守、提绩效”的流程质量审计方针,确保流程设计符合企业高质量发展需求。
3. 运行环境维度
流程运行环境的审计目的,是审计流程从设计、评审、颁布到实施的合规性。流程能否落地实施与流程的运行环境有着紧密的关系.
譬如:一个流程没有高层批准,也没有关联部门参评审,这样的流程制度即使再完美,显然也不会有人去遵从(没有得到授权,合规存疑)。流程运行环境的建设,不仅要合规,更要体现领导作用,其具体表现为,
(1)领导者完全认同流程是企业核心竞争力之一;
(2)领导者始终秉持流程建设工作是实现公司战略目标的关键要素;
(3)领导者是宣传流程建设的最佳导师,坚持促进员工流程管理意识的理念不变;
(4)领导倡导遵从流程,以身作则为建设流程运行的良好环境树榜样。
4. 执行维度
流程的执行符合程度,不能只靠流程审计,还需形成内部自评机制来确保流程有效执行。流程归属部门要建立一套自查、自纠、自我完善的流程改进机制,而非依赖于流程管理部门的稽查和审计,流程管理部门的稽查体现的仅仅是执行程度,真正有效落地的是执行部门的自我检查与完善。
5. 创新维度
流程是一套逻辑性强、构成复杂的系统性工程,如果没有不断创新的机制和体制驱动执行者遵从与改进,流程管理很可能流于形式。
审计流程的创新维度应从流程审计的创新、流程监管机制的创新、流程载体与应用价值创新三个方面展开:
(1)流程设计创新,不仅仅评价流程结构、层次、逻辑性上的创新能力,更要评价流程设计是否考虑到本身的文化组织结构,并采用了创新的方式来补强短板。
(2)流程监管机制创新,一是流程的监管制度是否与绩效钩挂,二是在流程管理人才的培育方面,是否采用创新机制。
(3)流程载体的创新,工业化发展已经迈入4.0时代,流程的载体也进入了IT化时代,流程的载体也应不断创新与科技发展同步。
6. 为企业解决的问题
流程合规性审计是对流程设计、流程缺陷、流程合规、流程质量的全面性审计评价,可有效助力企业在战略、经营、执行等方面及时发现缺陷与短板,及时提出预警,进而为企业规避潜在的经营风险。
(1)规避企业的违法违规风险。流程的合规性审计,用来评价流程制度对法律法规的解读、应用、实施、监控与改进效果,定期的综合性合规审计能有效规避企业的违法违规风险。
(2)及时发现导致战略偏移或战略失效的重大问题。合规性审计小组会提前拿到《战略规划报告》《公司年度经营方案》《公司年度经营目标与指标》,以此为依据,审计评价公司的流程制度是否偏离公司的整体运营与战略目标,是否存在潜在的运营风险等。
(3)及时发现流程制度的设计缺陷。流程团队是由专业的流程管理部门、流程管理专家组成的。流程审计小组会对公司的主要流程进行全面的合规审计,为流程设计、职责权限匹配、流程效率是否存在缺陷,提供有力的改进依据,及时纠正流程设计带来的流程价值和流程效率问题。
二、流程穿行测试审计法
流程穿行测试,是指模拟一个业务活动,依据业务流程的设计要求,进行全流程运行轨迹的穿行测试,用穿行的实际运行轨迹与设计标准进行比对,来评价流程的符合程度。
1. 流程穿行测试原理
图1是正向穿行原理图,表示从流程的起点输入或者提出要求,启动测试机制,每个活动节点会根据输入特定要求,输出预测结果。审计员依据活动节点的输出结果进行对标判定,把活动节点的输出结果与流程设定要求进行对标,评价流程的符合性及有效性。整个穿行测评贯穿全流程活动,直至流程结束为止。
2. 流程穿行测试方法
正向穿行法:正向穿行是依据流程的设计原理,有顺序地逐一穿行测试。
反向穿行法:反向穿行是流程的逆行测试,也可以称为流程回溯。从流程的最终环节开始,将流程的最终产出物或关联证据进行拆解回溯。把最终产出成果按照“人、机、料、环、法”的结构逐项拆分,拆分后按照流程进行回溯穿行,如测试设备是否符合要求、人员能力是否违规、生产环境是否存在风险、材料是否合规等。
截断穿行法:截断穿行法是将全流程截断成若干个阶段,可以依据流程的难易程度来截断,也可以依据现场环境来截断,亦可依据流程节点来截断。其截断的理由是可以分阶段去评估每个活动节点的效率和权限边界问题,有利于流程活动权限分配的最大效益化。
3. 为企业解决的问题
流程穿行测试方法可以有效找出流程的断点、流程的瓶颈以及影响流程效率的活动与关键节点,进而为流程优化、流程变革提供依据,有效提高企业效率。
三、流程敏捷度测试法
流程敏捷度,是指在流程活动中遇到异常情况或异常信息时,可以做出快速反应,让流程的所有者(指负责该流程的设计、优化和整体运行绩效的人,确保流程不因跨部门而导致割裂、断层)快速准确地采取措施,规避潜在风险,减少损失。
1. 流程敏捷度审计理论
流程的敏捷度有两个指标,一个是敏捷的触发机制(简称触发点);另一个则是快速的反馈机制。流程运行的敏捷度与软件开发敏捷度有本质区别。
近些年,软件开发敏捷度非常流行,它主要是评价软件本身的敏捷程度,而流程实际运行的敏捷度,主要反映在流程发生异常时,流程本身的触发机制和反馈机制,如图2所示。
2. 流程敏捷度测试法应用
在流程敏捷度测试中,可以采用输入错误信息来测试流程对异常信息的反馈速度,以及反馈的准确程度。
在图2中给出了两条流程路径,一条是正常流程路径(X表示),另一条是流程审计使用的错误测试路径(Y表示),两条路径都可以用于流程审计时的敏捷度测试。
第一种正常流程测试法,输入订单X1通过“控制点①”,正常的订单信息应顺利通过,接着通过“活动1”输出“成果X1”依次走完全流程,正常的订单信息在整个流程不会触发异常反馈即为测试通过,如某一控制点触发了反馈机制,则判定敏捷过度既“误判”嫌疑。
第二种为异常信息路径测试,即输入“特定的错误订单信息”测试,来验证“控制点①”的反应敏捷度,如果能快速触发反馈机制,即第一节点测试合格,如果信息通过,则“控制点①”判定失效。依次测试完所有控制点,最终计算全流程的敏捷程度。
从敏捷触发系数和误判系数两个维度,可以评价流程自身的控制能力和敏捷程度:
敏捷触发系数=1-未触发控制点÷总控制点数
误判系数=1-误判数÷总控制点数
全流程敏捷度=(敏捷触发系数+误判系数)÷2×100%
以图1为例,假设此流程共计9个控制点,在错误测试中有1个控制点未触发反馈,正常流程全通过,其全流程的敏捷度:
敏捷触发系数=1-1÷9=0.89
流程误判系数=1-0÷9=1
全流程敏捷度=(0.89+1)÷2×100%=94.5%
上述案例的全流程敏捷度测试结果为94.5%。当全流程敏捷度低于90%时,应及时采取措施进行优化改进,消除过程控制的潜在风险。
3. 为企业解决的问题
流程敏捷度测试审计,能有效评价流程控制的缺陷与风险,为企业经营和应对市场风险提供更可行的保障,让经营者及时发现企业运营短板,进行预防纠正。
四、访谈测评审计法
流程的访谈测评审计方法,是应用非常普遍的一种流程审计方式,通过对流程的所有者、执行人进行访谈,通过访谈对象的回答结果,来判断流程的所有者对流程的执行程度与现状。
1. 流程访谈评估理论
流程审计的访谈评估法是一种方法和技巧,如果仅用聊天的方式进行流程访谈审计,最终将会一无所获。实施流程审计中的访谈法之前,需要进行整体策划,一般会制定访谈审计检查表,可参照表1要求,设定提问清单和确认内容,有效引导审计人员全面审计被审对象。
2. 访谈评估法应用
通过现场访谈,可以更直观地了解流程的运行现状,流程现场访谈的对象必须是流程的所有者,否则访谈评价结果没有任何意义。
访谈前根据流程的重要性、复杂程度、对公司主干业务以及客户满意度的影响程度,设计访谈查核表,现场访谈逐一提问核查,并记录现场访谈和查看到的相关信息与证据,最终输出访谈评估报告。
3. 为企业解决的问题
对于流程审计来说,现场访谈评估法是最快捷、应用最广、成本最低的流程审计法。同时,它也是最难驾驭的审计方法,如果审计人员专业不过硬,很有可能让审计流于形式,无法审计出流程的运行现状和存在的问题。
流程审计访谈法是最接近运行一线的审计手法,能让流程管理者更好地体会到流程存在的缺陷,流程的效率和流程所有者的心声与期望,是解决流程所有者与流程设计者“两张皮”现象的有效办法。访谈法也可作为流程审计的摸底手段来应用。
五、流程遵从度测评法
对于中国企业来说,流程遵从度是一个崭新的课题。流程管理的概念随着日本、欧美企业的成功,被渐渐引入中国企业。但许多企业喜于学其皮毛,疲于练其内功,最终仅剩下一堆没用的流程制度而已,流程遵从度则不知从何谈起。
1. 流程遵从理论与方法
流程遵从度指实施者完全按照流程制度执行的程度。其方法是将全流程的活动节点逐一展开,列出清单逐一核查清点,如表2所示,每个节点都有明确的输入和输出,需要流程的所有者执行与遵守。通过遵从度计算法核算出遵从程度,从而判定流程是否需要改进与优化。
流程遵从度的具体计算方法是,针对全流程的所有节点,将完全遵从的设定为1的整数,每一个不被遵从的节点被换算成系数,最终由1的整数减去未遵从的系数,再乘以百分比,即为流程的遵从程度,可参考表2中的计算公式。
2. 为企业解决的问题
流程遵从度是组织实现流程化管理的最后“一公里”,这“一公里”如果没走完,前面的流程设计、战略规划、流程绩效、流程分析都将付诸东流。再完美、高效、先进的流程,没有人去遵从,都将是一纸空文,终将流于形式。而流程遵从度审计,将更加有效地发现流程遵从的问题所在,通过流程遵从度审计分析,可以有效地分析究竟是流程本身的设计缺陷,还是执行被降级处理,最终导致流程无法被尊重。进而快速提出流程再造或优化,打破流程流于形式的困局,提升企业的运营效率。
六、流程IT化审计技术
流程IT化审计将成为未来企业管理的一种必然趋势,更是流程落地的一种现代化信息手段。
1. 流程 IT化审计理论与方法
不是所有的流程都可以IT化,流程IT化要从三个维度去分析评估。
其一,成本维度。如果流程IT化开发的成本远大于利益回报,就没有必要开发。
其二,效率维度。流程IT化必须遵从效率原则,假如一个流程走线下5分钟即可完成,硬要去开发IT只会拖累流程效率。
其三,协调维度。有的流程属于单独性运营单元,与其他流程相互协调性有限,就没必要进行IT开发,这样的流程会给今后的IT维护带来技术上的困扰。
流程IT化审计,可依据流程管理IT化系统模型,从四个维度展开。
第一,流程IT化建设的合理性。通过考察流程的IT化建模是否采用了系统方法,来评估IT化的合理性及有效性。
第二,应用平台的快捷性和有效性。可采取抽样的方式来审计流程在IT应用平台的有效程度和快捷度。
第三,控制体系的全面性。用风险和预防的思维来审计流程IT化是否存在风险。
第四,流程IT化协调水平。审计公司的IT化系统是否做到了战略与流程协调、流程与IT协调、作业应用场景与IT高度一致,以及场景的数据分析是否应用到了日常改进活动中。
2. 为企业解决的问题
(1)可有效解决企业流程线上与线下“两张皮”问题,消除流程IT与线下制度体系融合的断点和缺陷,进而不断优化,推动企业建立信息化管理的高效运行体系。
(2)流程IT化将更好地实现流程的遵从度。作业员是否执行线下流程是非常难以监控的,而流程实现IT化以后,可以做到实时监控执行者是否完成作业单元要求,并进行实时反馈与报告。
(3)实现大数据时代的关键性最后“一公里”,强大的数据支撑能让企业高效快速地回应客户的各种需求。
七、各种流程审计方法
应用与判定
1. 流程审计的应用时机
流程审计是一个监督、评价、分析流程的系统工作单元,对于流程审计的应用时机需要严格规划与设置,确保流程审计的启用时机既合时宜又满足审计要求,具体方法可参照表3实施。
2. 流程审计方法选择与结果判定
选择合适的流程审计方法,将会更加有效地完成流程审计工作。流程审计的方法选择具有一定的科学性及逻辑性,不同的审计时机和场景,需要采用不同的审计方法。审计结果的判定也需要有规范严谨的标准要求,以实现流程在企业中的真正价值,详见表4所示。
流程审计的结果一般分为四种结果,也可称为四个水平层次。一级水平,为通过测评;二级水平,为不稳定水平,即观察水平阶段;三级水平,为有缺陷的流程,需要及时优化;四级水平,被判定为高风险流程,流程将会被立即冻结,流程的所有者需要对流程进行再造评估后才可上线。
水平Ⅰ:90分以上;被记录的不符合点数不得超过5项,单一流程不得超过2项。
水平Ⅱ:80~89分;被记录的不符合点数超过8项,单一流程超过3项。
水平Ⅲ:70~79分;被记录的不符合点数超过10项,单一流程超过4项。
水平Ⅳ:低于 60分;被记录的不符合点数超过15项,单一流程超过5项。
3. 流程审计结果应用
有效的审计工作,其最终的审计结果要被有效应用。其应用方式包括下发限期整改通知书,冻结不符合要求的流程,输出流程审计报告向最高经营者报告,流程审计结论纳入公司战略规划纲领。总之,流程审计的结果必须被重视、被应用,并能持续改进不断优化。
八、流程审计应用的启示
1. 走出流程审计与流程稽查误区
流程审计与流程稽查有着本质的区别。流程稽查,是通过现场询问、查验、验证流程的执行实施情况,以流程的有效执行为依托,确保流程有效实施;流程审计,是对流程的合理设计、规划、完整性、合理性进行全面审计,进而对流程的有效性作出评价,并发出风险预警。稽查讲究的是快速有效,及时反馈问题,因此流程稽查适用于日常的流程管理。而流程审计是个系统工程,需要有计划、系统地进行审计并输出审计报告,对组织的流程进行全面评估,一般流程审计以季度、年度实施为宜。
2. 什么样的组织适合流程审计
流程审计是一个系统工程,需要有专业的流程审计人员策划实施,这对流程管理人员的资质能力以及企业的整体水平有一定要求。由此,一些规模小,缺乏流程管理、流程设计、流程治理的公司,不建议强行实施流程审计。
3. 勿让流程审计流于形式
目前许多规模、实力、管理较完善的企业组织引入了流程审计,但大多数都流于形式。对流程审计报告,领导根本不闻不看,流程审计的问题及风险未纳入公司战略规划中。
要想公司的流程审计避免流于形式,建议有三:
其一,任命高层领导直接管理流程部门,只有高层重视才能做到全员参与。
其二,流程审计最好在公司的年度总结、战略会议前实施,这样可以将流程审计报告在年度会议上宣读,及时将流程审计结果编入公司的战略与经营计划之中。
其三,与部门绩效挂钩,流程审计要纳入各业务部门的绩效考评中,让流程管理责任归位,没有问责机制的流程审计工作,最终只能流于形式。