審計、風險內控、流程審計

審計的發展歷程

審計目的、內容和技術方法是經過逐步進化的，我們簡單看一下審計的發展過程。

反舞弊階段

審計產生於財產所有者與財產經營者之間的分離，簡單說就是對財產經營者的活動進行檢查，確保財產所有者的權益。早期的審計目的是發現財務方面是否有舞弊行為。這個時期的審計是全面的，查所有的財務憑證、賬簿和報表，非常費工費力。

獨立審計階段

19世紀中期，股份公司興起，資本主義國家為保證股東和債權人的利益，通過立法形式確立了強制審計。這使得審計業務量急劇增大，有了獨立於企業之外的審計人員，審計開始職業化。審計的目的也不再是傳統審計的查錯和防舞弊，而轉向證實資產負債表所有項目餘額是否真實，這就使得審計內容發生了變化。審計人員無須對審計期間內的交易活動進行檢查，而只需對於資產負債表項目餘額有關的會計記錄和存貨進行檢查、認證和盤存，然後對資產負債表的真實性做出判斷。由於業務量的增大和年度審計的時效性，獨立執業的審計人員必須講求效率，加之審計的內容也發生了變化，也就不可能依照原有的方法去操作，於是開始應用和發展了抽樣技術。

整體財務階段

20世紀20年代末期，資本主義世界爆發了大規模的經濟危機。企業大量倒閉，造成了信用制度的崩潰和大量股票持有者破產，包括那些資產負債表反映財務狀況良好的企業也未能逃脫破產的噩運。人們開始反思，單憑資產負債表這一張靜態的報表，無法反映企業的真實經營情況和應變能力。於是資產負債表審計又發展為以損益表為主的，包括資產負債表在內的審計。同時，不僅要查證財務報表是否真實、正確，更要查證相應的會計記錄是否依照會計準則的要求，公允地反映企業的財務狀況和經營成果。

風險內控階段

進入現代社會，審計的功能已經不限於財務本身，而是延伸到對企業經營活動風險的系統性控制。1972年，美國審計準則委員會發布公告，提出了今天我們熟知的管理控制的概念，將審計的內容從單純的財務審計延伸到管理審計。1992年，美國COSO委員會（反虛假財務報告委員會下屬的發起人委員會）發佈《內部控制整合框架》，就是著名的風險內控COSO框架。主要思想就是從單純的事後財務監督，轉向探究從企業的環境和活動中如何去控制風險，這些風險包括戰略、財務和運營過程。同時審計的方法也從財務結果的審計，到業務和管理過程的控制。

風險內控是審計專業的工作

風險內控在很多企業裡，尤其是上市公司是一種強制要求，其實這也是企業自身運營的需要。有一些企業把風險內控和審計分開，認為風險內控主要是分析和識別過程，而審計是檢查過程。

實際上，它們應該是一個共同的專業。從來源上說，風險內控是因審計而生的，是審計在尋求控制策略和方法的過程中探索的結果。也只有審計人員才能夠真正站在風險控制的立場上去思考企業運營的問題，這不是其他專業考慮的核心內容。就像質量體系的構建是質量專業人員的工作一樣，構建這樣的體系正是為了更好的確保專業工作目標的實現。

但同時，風險內控不是審計專業人員自己能夠完成的工作，因為它涉及到整個企業的運營，深入到各種業務的內容，是需要與其他專業協同才能實現的。而如果不能實現這種協同，審計人員就會覺得面對眾多業務的無力，畢竟審計人員不能通曉所有的業務。這個道理和質量、流程等管理體系是一樣的。

風險內控和流程

風險內控和流程是高度關聯的。流程是企業的活動，企業運營的風險會在活動中體現出來的，控制這些風險也是需要在流程中去實現。離開了流程風險內控就成了無本之木，這也是為什麼有一些企業做流程管理是從風險內控引發的原因。

在我的另一篇文章有講到，企業的流程就像灌溉的河網，而風險內控就像這些河網中的監控器和閘門，通過監測水位和控制水流來確保灌溉的結果，避免整個灌溉系統部分的洪澇和乾旱。從這個意義上來說，流程是風險內控的基礎工作，而風險內控是流程的保障措施之一。

有一點需要說明，這並不是說唯有在流程中才能體現風險，企業的風險是來自多方面的，包括經濟、環境、技術、法律等等，流程主要體現的是操作層面上的風險，而內控則主要是基於流程來考慮的措施。

流程審計

管理審計是一個比較新的方向，而流程審計更是當今的熱門話題。管理審計的水平有賴於企業流程和風險內控基礎工作的水平。基礎工作做的好就降低了審計的難度，否則對審計人員的個人能力要求就比較高。

流程審計主要是從兩個方面來說，一個是控制性檢查，一個是符合性檢查。

控制性檢查

控制性檢查就是看流程是否能有效的控制，這是對流程設計本身來說的。流程評價的四個因素是時間、成本、質量和風險。時間、成本和質量是業務團隊主要考慮的問題，而風險則是和審計專業（也可以說是風險內控專業）密切相關的。這部分工作，應該在流程設計的階段介入。在流程設計的時候，就需要考慮流程中可能存在的風險點，並且檢查設計的流程對於這些可能存在的風險是不是能夠有效的控制。在我們所有的流程優化報告中，都應該有對於風險的評估和相應的內控措施。風險的識別和評估，包括風險的類型、發生的可能性和影響，這些內容企業風險管理應該有相應的模型來幫助思考。

符合性檢查

符合性檢查就是看流程是否被很好的執行，這是對流程操作來說的。和前面說的抽樣是相同的道理，我們不可能去檢查所有的流程活動，就需要選擇那些可能發生風險而需要控制的點。具體哪些控制點需要檢查，用什麼方式，檢查什麼內容，在流程設計的時候就應該給出這樣的策略指引。就像我們在做產品工藝設計的時候就要給出質量檢驗策略一樣。這是給審計人員符合性檢查的輸入，沒有這樣的輸入對於審計人員來說，檢查的操作就是一頭霧水。

所以流程審計是一個系統性的問題，工作應該從源頭開始。

總結起來，儘管審計的目標、內容和方法在逐步進化，但它的初衷始終沒有改變，那就是對財產所有者負責，對企業經營的風險進行有效控制。發展到今天只是策略和方法更加系統化了，與企業的經營管理整體目標更加密切的結合。

閱讀更多 老包講流程 的文章

關鍵字: 審計 費工 技術