基于风险的业务流程审计

1、基于风险的业务流程审计定位和角色管理层：宝钢股份：缪建亚 1. 目前有各种类型的审核，审计和评估，如何在公司中，能很好的协调好相互关系，目前公司对于其管理的不同领域，如何管理？2. 体系，风险，内控来自不同的领域和要求，评估报告可行度？3. 各种审核，审计，对于问题的提出过于表层，作为管理者，既希望了解企业实情，又怕对最深入的问题，实际性的公开。4. 各个部门站在自己本位考虑问题，审计部门作为新型部门，不敢得罪业务元老，审计报告是否可信？5. 公司的业务流程，是否能有效运转？完成公司年度计划和战略规划？6. 公司业务流程管理的主要问题在哪里？7. 影响公司业

2、务目标实现的主要风险在哪里？如何急躁发现这些风险，如何能够管理这些风险？8. 业务部门说预算远远不够，但是审计部门说，业务太浪费了，打起来了，沃恩管理层盖如何抉择？审计报告可行吗？l 困惑的老大l 当关系VS规则l 当资源VS能力l 企业成熟度模型？l 审计报告成熟度模型：审计报告的艺术？l 企业经营的进销存：n 进：供应商n 存：存量n 销售：客户n 上述进销存的整合定位：被审核方：宝钢：胡静1. 审核组的专业性2. 审核方式，集中？滚动？3. 审核名目繁多，缺少整合？4. 免检可能性？5. 内审过程不规范？6. 审核报告，形式不深入？角色？内审员？7. 不能真正发现问题，信息安全，内控风险

3、？8. 改进建议缺乏？l 期望：l 免检机制l 尽量整合l 主题明确l 免检：还是体现在对于风险的认可程度，对于成熟度的认可程度，对于企业内部的各个流程成熟度的认可？定位：客户：1. 售后服务系统是否完善2. 订单交付流程是否完善？3. 质量保障体系是否能满足客户要求？4. 客户的一些特殊要求在公司内审内有得到关注5. 合同交付组织流程？6. 客户投诉后内部反应机制？7. 内部审计活动是否存在缺失？8. 内审发现问题的整改是否能够做到举一反三？定位：内部审计人员制度对应责任资金流和工作流：制度建立在流程上，制度作为一种要求，大于流程；制度：What？流程：How？内审：l 三个要素l 威慑力度

4、l 问题的诊断者l 问题的解决者，或者是问题的解决者之一1. 流程审计对于内控职责的配合与职责划分2. 对业务的了解，熟悉度不够3. 流程的可执行程度不高4. 流程的KPI 绩效考核不清楚，不明确5. 流程优化的思路和建议6. 内审结果的被认可程度？7. 流程中的风险识别，关键控制点的把握？8. 被审计方的抵触情绪，不能正确认识，甚至可能不配合作为基于业务的风险审计工作的开展：1. 老板：企业的能力： ownership 2. 部门：KPI和短期的问题：真正短视的人，都在部门内部。3. 审计人员的营销能力，审计人员的个人成熟程度a) 归类：合规的，不合规的b) 分级的：i. 成熟度分级ii.

5、成熟度，五级从控制角度来讲：三道防线：1. 业务部门：希望控制风险a) 效率b) 更加高效的做事c) 所以关注流程d) 事情做对2. 财务控制风险：财务做的，财务舞弊；只看到结果，财务可以作假a) 财务控制衍生出：风险控制部：Chief Risk Officer CROb) 制度和要求，规范等等，相当多的要求和规范c) 制度：符合规范3. 威慑力：审计a) 威慑力b) 检查c) 指导者4. 上述三个方面的，共同点在什么，在哪里？做风险控制的方法就是：l 最根本的方法就是：岗位分离 SODl 真的岗位分离了，就发现：效率低下？：事后查一下：审计出现了l 其他：控制方式 控制：l 管理：PDCA，

6、但是缺乏的是：缺点是：考核机制的导向问题l 治理：发现控制的不全治理：1. 决策：谁，用什么方式决策？2. 激励：激励导向，和绩效相挂钩；绩效考评；机制；六西格玛；a) 审计者：有个权利，权力；曝光的权力，起到避害的作用3. 管控：a) 资源是有限的，b) 目标挑战的c) 要求有限的；其他因素是不确定的d) 考虑风险的一个度，度量，量化风险业务增长：企业增长的环境：有价值的增长？l 微利增长？超越行业的增长？可持续的增长？从外部看：企业发展的环境：l 经营环境l 行业所处的环境l 组织环境从内部看：l 管理l 成熟度l 风险的概念，企业风险认知程度不确定性和负责经营环境下的风险策略l 审计为核

7、心前提下的：l 增长机会l 经营环境l 风险策略ln 保守还是进攻？n 宏观环境分析：u PESTLEu P：政治的u E：经济的u S：社会的：微博的力量u T：技术u L：法律的u E：环境行业分析：五力模型分析，用于分析宏观环境l 替代威胁l 买方议价能力l 新进入者的威胁l 供应商的议价能力l 核心是：行业内部现有竞争对手能力型的企业：看重的是客户资源型的企业：看重的是：不出事故，不出事；企业资产：l 企业资产保值l 企业资产增值企业资产分类举例：1、 人员2、 财产3、 物力4、 人员衍生出来的关系资产5、 财产衍生出来的，品牌资产6、 物产衍生出来的信息资产，IT信息资产资产：资源

8、型企业：稳健能力型企业：资产增值：对人员要求很高；企业组织的文化：体现在：1、 人员关系处理？2、 约定成俗的规定；3、 文档：4、 文档的整合a) 企业内部环境：i. 方针目标ii. 人员能力iii. 信息系统iv. 价值观v. 文化vi. 管理工具vii. 契约合同viii. 组织结构责任要求：1、 红头文件2、 表格3、 流程图整合：如何整合l 文档整合l 流程和制度的整合n 风险和效率的整合l 组织架构的整合：n 人的整合ERM：企业风险管理COSO模型：推行困难企业生命周期：l 成长期：对人的要求很高：效率第一；风险接受程度：企业愿意在其业务高速增加的时候，承担相应风险；接受风险加上

9、，事后审计的工作，时刻给老板，一些决策：强大的审计合规部门；庞大的审计部门，来确定和控制企业高速发展风险。举例：华为公司的例子。l 成熟期：l 衰退期动态情报系统反馈给决策者l 审计以目标为导向l 授权快。审计分类：1、 审计趋势2、 审计关系3、 审计价值审计趋势：财务发展来的审计，财务审计所关心的：1、 人员2、 合规3、 业务要做的；所以，就出现了流程的概念4、 财务到业务；5、 业务到ERP：企业资源规划6、 信息系统 IT审计价值：1、 合规审计：2、 能力3、 成熟度模型：CMMI4、 没有考虑环境的因素5、 环境是动态变化的审计的既定和未确定的关系问题：关注合规性1、 第一方审计

10、 ：内审要求是否已经符合2、 第二方审计：我的事情，你是不是做了？：关注能力a) 基于BCP：业务持续性的，可以给他机会改进；3、 关注自己的风险：第三方审计：关注合规；核心是：企业关注自己的风险：依赖于：第一方的内部审计；业务风险关注：1、 效率2、 有效IT审计：1、 关注流程2、 CIA 信息安全的概念：完整性，可用性，机密性3、 可信可靠程度IT审计：去做技术了忘记了信息这个主体；我们做IT审计，应该关注的是信息这个主体：业务审计趋势：1、 基于合规，基于要求的审核：符合性审计：制度，责任，关注：过去发生了什么，发生的什么事情，是不是符合了我的现有制度要求；2、 基于流程的能力审核：是

11、一种 水平，效率，效果，流程关注，能力，资源，问题，关注现在3、 基于风险的保障审计：对环境状态的判断，对业务的熟悉程度；关注将来；目标，风险，保障；环境内容ISO9001企业内控驱动力管理层或者是客户的要求监管要求或者是股东来源英国的BS5750美国的COSO，上市公式监管需要以风险为基础的全面风险控制目标客户满意，经营效果，合规性，能力导向合规，资产安全，财务报告，以及信息真实完整，经营效率和效果，以风险为导向。范围高度运营层次（流程和执行）治理层次（结构、机制、绩效、文化），包括组织结构，发展战略，人力资源社会责任和企业文化等我哥应用指引范围-广度、深度经营管理体系（活动）、风险管理体系

12、（风险）、内控体系（控制） 第一道防线经营管理体系（活动）、风险管理体系（风险）、内控体系（控制） 第二道防线验收方式内部审核和外部认证，以自愿性为主内控有效性评价，内部和外部审计，以强制性为主人员：l 人员能力l 人员权力l 人员l 是否能够适应环境变化？资源：能力资源安全资源，安全保证资源风险是未知的，未来的，不确定的，一定是使用 If 假定方式来做的。流程管理成熟度水平：等级状态描述1初级流程没有定义以个人经验为主2可重复级别部分流程已经规定团队按照了解的要求；来完成职能工作3已经定义级别多数流程进行了识别和规定，部分流程进行了测量。价值流，价值链已经明确，且能够持续稳定的满足顾客的期望

13、4可管理级别流程被定性，定量化的管理，与绩效管理整合；既有效果，且既有效率，同时也有一定的敏捷性5最优级别达到了同行业水平对比的最好结果，并且进行持续改进以适应变化的要求。整合是为了什么：效率提高？安全提高？1、 整合：提高效率2、 分开：为了强化某些东西3、 组织架构调整：调整目的：有一个主导的目的，其他目的都可以放弃。跟企业发展的阶段，有关系。COSO中的，关于风险的六个方面：责、权、利人、财、物人规模化经营岗位发挥其创新能力制度标准化领导能力自动化绩效信息化成为领导力可预测团队风险可预知针对这个人，有制度的要求，对管理人的要求，对游戏规则的要求；做流程业务流程分析固化流程把人的作用降到最

14、小；平安保险：把制度建设在流程上，形成对人的行为规范。这个制度才能落地。流程上有制度，人们才可以执行流程。考聘制度，没有。升职的，审计报告，管理工具。其他部门要给你一份 风险控制的 自我评价报告。ERM：企业风险管理风险和风险推动：l 已知风险：l 处置中风险：Ongoingl 未知风险l 未知的未知风险：最好是转嫁风险；用别人的血汗来取得经验。l 时间触发：每隔一段时间，就做一次l 事件触发风险认知l 变更触发风险认知：公司组织结构重组；企业经营环境改变。l 动态触发的l 风险认知以后的推动：n 大部分项目再没有人推动的时候，应该如何去推动？有个Baseline：基准线。n 由什么部门，n

15、什么人去推动仅仅代表一个企业的利益相关方；风险清单：1、 外部审计2、 规定哪里有？3、 哪一个标准有一个风险清单4、 识别风险，和控制风险？5、 风险清单？6、 是一个最佳实践，通行做法？7、 是不是最佳，就看如何落地？8、 标准和企业的整合，结合是不是默契？Risk Point风险点的一个体系形式和展示的方法：风险：l 风险是对目标的不确定影响ISO 31000：2009有效和效率：效率：1、 成本效率2、 时间效率3、 目标：财务数据的可靠性，财务报告的正确性；体现在信息安全的CIA：4、 合规吗？风险的分类：l 战略风险l 运营风险l 财务风险l 名誉风险l IT风险l 法律风险l 合

16、规风险l 人员风险l战略风险，转化成为机会的话：项目管理，项目群来实现。靠运营来正常维护经营。战略风险，变成机会项目风险：介于中间状态；运营风险：预防为主，不出事，就是很OK，项目风险：l 项目管理中得项目风险准备金；l风险：转移风险：中止风险，终止风险：计划处置风险：计划容忍风险：审计自查自评：Audit内部审计师：风险管理如何做？ISO 28002+ 31000风险管理：28001+28002项目风险：风险分类风险定级风险分步实施风险识别：1. 基于流程分析的风险识别：按部就班方法2. 基于资源的风险识别：专家方法信息安全风险评估标准：CC 13335 标准。风险识别：练习题目：案例学习：

17、企业案例风险识别学习操练分析：发货流程：配送流程：1、 客户自提模式：a) 客人到了自提点，无法提货，因为只能存有6天的存货量，客人的货物，无法到达客人的自提点b) 等候区。客人车辆停满了，导致重型货车在等候区的车辆，停滞，排队等待，导致交通拥阻。c) 在指定的客人自提模式时间点上，客人爽约，该来提货的，结果没来；d) 客人临时说：临时有事，要求更改提货时间：e) 应对措施：i. 提高存货的容量，进行容量管理2、 送货上门模式a) 在承诺配送到的时间范围内，配送的物流公司员工，无法做到，导致客人不满，直接导致，客人进行投诉b) 送货上门的，配送过程中，客人所订购的商品，存现小部分，大部分，全部

18、损坏，导致客人感受度极差，导致客人强烈投诉；c) 在承诺配送的时间范围内，客人临时有事，不能在指定时间，指定地点，跟配送师傅见面，因此无法完成配送的：客人收货，客人付款的最后一步流程上述两个发货的流程的不完善，导致客人在对其AX公司，在互联网上，频频发布对其产品和服务不满意的评论，直接导致了AX公司的声誉影响供应链管理：采购：由母公司提供原材料：母公司XYZ公司的SAP信息系统和子公司AX公司的SAP系统，不是同一个系统，是两套系统，存在手动录入以后的信息不对称，直接容易导致非自动控制而造成的风险：比如进货单证，出货单证；在进存销上的问题；且两次录入SAP系统以后，事后没有人能做到及时复核，及时核实进销存订单单证信息。原料、添加剂断货风险母公司XYZ公司提供给子公司AX公司主要的原材料，但是子材料，添加剂，需要子公司AX公司自己采购，可能存在断货风险，如果断货，直接导致 非