流程价值、风险评估与内部审计规划

郭锡超 张灵俐

[摘 要] 合理的规划有助于解决内部审计工作的碎片化问题。基于流程价值、风险，内部审计机构将能确立合理的审计范围、审计频率及审计方式，从而提高审计资源的有效使用并使得内部审计工作有前瞻性、系统性和价值。

[关键词] 流程价值；风险评估；审计规划

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 001

[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194（2018）11- 0004- 02

0 引 言

内部审计工作的碎片化问题是当前内部审计工作普遍存在的一种现状。审计工作呈被动状，无前瞻性和系统性，缺乏价值，在企业里多边缘化。有没有一种合理的方法，能通过合理的规划，使得内部审计工作更具主动性、前瞻性、系统性，从而增加其价值？本文将介绍一种笔者在多年实践基础上总结出来的内部审计业务规划方法，以享同侪。此方法具有以下逻辑：通过价值链分析，可以将公司的业务划分既相对独立又相互联系的业务模块；不同的业务模块在公司价值链上有不同的重要性与风险；重要性、风险不同，相应的内部审计所投入的资源就将不同。

1 流程价值、风险与审计规划

1.1 流程价值标注

流程是能为客户创造价值一系列业务活动（Michael Hammer，2010），价值创造是流程的核心。每个业务流程都必须有某种价值指向，所有的业务活动都是为这种价值指向服务。流程划分涉及流程分类与等级划分两个概念，这都是与流程边界相关的。APQC提供的流程分类分级的框架将流程分为运营与管理和支持两类共计12个一级流程，对初学者有较好的参照价值。但APQC提供的这个框架易导致在实践中忽略对公司的主价值链和核心竞争力。这就是为什么有些公司的流程越来越烦琐、越来越没效率的原因。对公司主价值链及司核心竞争力的关注，会导致流程的划分完全不同于APQC框架，比如本文中A公司的案例，与成本控制相关的流程为该公司最核心的流程。

对流程价值链的关注涉及本文第一个最重要的概念：流程价值标注。这种方法是根据流程对企业主价值链的影响程度的不同来划分流程的重要性。在实践中笔者采用五星法来进行标注，某个流程所标注的星越多，表明该流程越重要。五颗星一般只用于一级流程，表示这个流程对公司的核心竞争力、盈利模式具有决定性的影响，比如本文案例A公司的成本控制流程。一个公司的五星级流程不应过多，最多不应超过三个，如果过多，就易失真。四星主要用于一级、二级流程重要性标注，三级流程慎用，主要用于标注对公司核心竞争力、盈利模式具有重要影响的流程。三星、二星、一星流程的评估在此限于篇幅不再一一列举。

1.2 风险评估

风险是相对目标而言的不确定性，于流程管理而言，主要指影响流程价值实现的不利因素。对于那些标注为高星级的流程，更应关注其风险问题。传统的风险管理方法包括风险事件的识别、发生可能性及后果的评估。但这种方法要求相当高的专业素养，大部分的审计人员不具有这种专业素养，在实际操作中难度较大。本文强调风险事件对公司价值链的影响，依据风险事件对价值链的影响范围、程度来进行风险评估，这对经验较为丰富的审计人员来说，并不是太难。

在实践中，笔者采用红黄橙绿四色对各流程风险进行标志。红色代表风险巨大（可能破坏公司核心竞争力和盈利模式）；黄色代表重大风险（会对公司核心竞争力和盈利模式产生一定影响）；橙色代表中度风险（对某一重要一级流程产生一定影响或是对某些重要二级流程产生决定性影响的风险）；绿色代表可接受风险（影响仅限于某些三级流程范围内的风险）。

1.3 审计规划

审计规划包括目标、范围和审计资源的分配。审计目标的确立应以流程价值为导向，审计应充分关注流程的价值，这是整个内部审计工作的落脚点。审计范围则要确定哪些流程应纳入审计，内部审计资源的有限性决定了必须将其投入在价值更大、风险更高的业务流程上。审计资源的分配主要解决审计频率、审计方式、审计人力和物力的安排问题。

流程价值及风险决定了审计的范围、审计频率、审计方式及人力、物力的投入。对于价值高、风险大的流程，应当优先安排；而价值高但风险小或是价值相对低但风险高则次之；对价值低、风险小的流程则弃之。根据列出的审计频率及审计方式，能做出一个有效的年度审计工作计划。对于审计频率小于一年的流程，必须纳入每年的审计计划，而对于审计频率大于一年的流程，应确保按其频率要求纳入当年的审计范围内。当然还必须注意，审计不是线性工作，具有突发性，按审计规划表所列的年度计划任务最好仅为全年实际业务量的70%左右，以便为临时审计任务留出足够的调整空间。

2 实践运用

2.1 A公司简介

A公司是一家煤电铝一体化的大型电解铝生产企业，业务涉及煤炭采掘、火力发电及电解铝，同时为了平抑铝价波动对公司业绩的影响，还参与了铝期货交易。为了对A公司业务有个清晰的划分，该公司将业务划分为煤矿、发电及电解铝三个板块。作为价格的接受者而非制定者，成本控制是电解铝企业的核心竞争力，生产厂商的成本水平决定了其在市场上是赢利、持平还是亏损。因此一开始，该公司就设立了以成本控制为主价值链的流程分类及分级标准。

2.2 A公司的流程分类及等级划分

按成本控制价值链标准，A公司三大业务板块及集团管理本部共计划分为四级381个流程。限于篇幅，本文仅对一级流程进行说明。煤炭板块共计56个流程，一级流程4个，分别为矿下作业、仓储及运输、物资采购及安全管理流程。发电板块共计63个流程，一级流程5个，分别为煤炭采购及运输、煤炭入厂检验及仓储、配料及运维、检修、配件采购。电解板块共计168个流程，一级流程6个，分别为采购及储运、生产作业、安全管理、营銷及产品交付、期货管理、维检。集团本部94个流程，一级流程7个，分别为基建、企管、人事、审计、法律、财务、综合及后勤。

2.3 流程价值标注

按成本控制价值链标准，对A公司流程价值重要性进行标注。五星级流程4个，四星级流程19个。限于篇幅本文仅列出一二级流程及只对五星流程加以說明。煤炭板块中，安全管理被标为五星流程，因为没有安全就没有煤矿的持续经营。发电板块中，将煤炭的采购与运输标注为五星流程，因为煤的成本是发电最主要的变动成本。电解板块中，电解铝成本中变动成本主动受材料的消耗量、耗电量及生产稳定性的影响；另外期货套期保值能有效地锁定利润水平，因此将生产作业、套期保值列为五星流程。

2.4 流程风险程度标注

A公司采用红黄橙绿四色对流程风险程度进行标记。红色流程共计66个，黄色流程81个，橙色流程122个，绿色流程112个。限于篇幅，本文仅列出一二级流程，仅对列为红色风险的一级流程加以说明。

煤矿板块中，一旦出现安全问题，整个企业皆将受到影响，因此将其标注为红色。发电板块中，煤炭入厂过磅及检验是最容易出现问题的地方，因此煤炭入厂检验流程被标为红色。电解板块中，因期货的高风险度问题，因此期货管理流程被标为红色。另外，铝厂生产安全问题涉及整个铝厂的运营，尤其是电解生产线设备安全问题，一旦出了问题会导致整个电解生产线停滞，造成公司的重大损失，因此安全管理也被标为红色。

2.5 A公司审计规划表及年度计划

根据对A公司的流程分类及等级划分，流程价值链标注、风险程度标注，得出A公司的审计规划表。A公司审计频率为半年的流程共计65个，一年的85个，两年的140个，三年的91个。根据公司业务流程价值链重要性、风险程度优先情况，内部审计机构不但可以对各业务流程纳入审计范围的优先秩序情况进行排序，还可衡量需要投入的审计资源，进而对各业务流程的审计频率、审计方式进行预先设定，形成“审计业务规划表”，为每年年度的审计业务计划提供长远规划与指导。

3 结 论

相比其他线性业务，内部审计业务天生就具有临时性、项目制的特点，但这并不必然等于内部审计业务就会出现碎片化的状态，关键在于怎么样来做审计业务规划。规划做得好，能充分关注公司价值创造，想在公司管理层之先，内部审计业务一样可以如线性部门一样业务开展得井井有条且成系统。本文介绍的方法是基于笔者十多年在多家上市公司、超大型民企工作的经验，虽多有不足，但作为一种行之有效的经验，在此与同侪分享与交流，共促职业之进步。

主要参考文献

[1]叶陈云，叶陈刚，张琪. 企业集团公司内部审计战略规划体系构建研究[J].审计研究，2013（3）：68-75.

[2]王志楠. 加强审计项目计划管理的思考与实践[J]. 审计研究，2005（5）：68-75.

[3]白华，刘蔓葶，康林. 论风险导向审计中的“风险”定位——兼论风险管理相关内部审计准则的修订[J].财贸研究，2012（4）：149-155.

[4]郭忠金. 基于价值链的流程分类研究[J].科技管理研究，2010（13）：161-163.

[5]张金娟，张英华.顾客导向的服务流程绩效评价研究[J].财经问题研究，2012（12）：116-120.