李博

摘 要：内部控制是现代企业管理的重要手段，是企业加强风险防御和危机管理的重要工具，是企业内部控制不可或缺的重要环节。本文以内部审计价值增值为目标，引入BPM理论，即业务流程管理，开展了以内部控制流程为核心的内部控制审计研究和实践。全文阐述了内部审计与内部控制的关系、BPM引入和应用、基于BPM的内部控制审计模式构建和审计实践等，为企业开展内部控制审计提供了一种全新的思路、方法，并做出了有益尝试。

关键词：内部控制;内部控制审计;BPM;价值增值

1内部控制审计理论简述和现状

1.1内部控制审计理论简述

内部控制审计是确认、评价企业内部控制有效性的过程。即对被审计单位特定基准日内部制度设计与运行的有效性进行审计，对内部控制是否有效作出鉴定的一种审计方法。内部审计在评估内部控制有效性中充当着重要角色，同时还充当着监督角色，即既要评估内部控制是否控制有效，提出完善内部控制的意见，又要检查内部控制执行情况，督促执行内部控制。

1.2内部控制审计现状

1.2.1内部控制审计缺乏系统性

由于专业管理相对独立，各专业流程被层层细分，散落在零散业务中，审计人员无法对内部控制形成系统性、整体性认识。在审计实务中，审查任务往往按专业管理职能进行划分，各专业审查之間相对独立，专业审查存在条块分割情况，而忽略了相关业务衔接的环节，形成审查空白。

1.2.2内部控制审计方法较单一

目前内部控制审计的主要审查制度，已不能满足全面评价经营管理的需要。制度在实际执行中往往不到位，制度执行存在“重立轻执行”、“习惯性违章”情况，制度建设存在不完善、不适用情况。因此，仅以制度为基础审查缺乏系统性和不能满足审查全覆盖要求。

1.2.3内部控制审计成果运用不充分

由于审计中缺乏对业务整体系统性审查与分析，往往就某一业务点提出管控薄弱、执行不到位的情况，无法延伸相关业务，因此审计成果运用打了折扣，对审查深度和审计问题整改的彻底性有较大影响。

2基于BPM理论内部控制审计模式构建

2.1 BPM理论简述

BPM （Business Processes Management），即业务过程管理，是一种以规范化构造端到端的卓越业务流程为中心，以持续提高组织业务绩效为目的系统化方法。BPM是流程驱动型理论，强调的是端到端流程。端到端流程即指由一个或多个“职能流程”连接而成的“流程”，体现了“需求发起”至“需求关闭”的完整过程，也就是完整的业务链条。端到端流程有可能涉及多个业务区域，是跨专业、跨职能的流程，各子流程之间首尾相连，形成完成业务链条。

2.2基于BPM的内部控制审计模式构建

A公司基于BPM理论探索出以内部控制流程为核心的多维审查模式，以端到端业务流程为主线瞰视业务全貌进行风险辨识;对贯穿于流程的制度、标准、岗位职责、绩效、风险控制等要素进行健全性性和符合性测试查找薄弱环节;对内部控制的健全性、适用性和有效性进行评价，促进内部控制体系完善形成闭环管理。通过上述模式，增强审计人员风险辨识能力;实现对内部控制控制环境、控制活动、信息沟通等要素的全覆盖，并通过有效性和适用性审查深挖问题产生根源，促进公司体制机制的完善，实现闭环管理。

3基于BPM理论内部控制审计模式应用

基于前述构建的内部控制审计模式，A公司在内部控制审计项目中主要开展以下应用：

3.1瞰视业务流程全貌，预判内部控制审查重点

审计人员在梳理制度流程基础上，依据企业内部控制规范和要求，分析各专业存在内部控制缺陷和风险点。在审计实施前，即可事先通过查看整合的端到端业务流程，甄别流程的健全性和关键控制环节，确定审计重点;结合审前调查结果，对被审计单位关键控制环节和薄弱环节进行风险预判，从而较为准确聚焦重点，增强审计方案指导性与针对性，提高现场审计质量与效率。

3.2借助“端到端”流程，开展流程风险诊断

针对关键业务，对工程、业扩、物资、电费等核心业务流程进行内部控制审查与诊断，提出完善建议。通过流程优化，消除流程盲点、断点，完善专业流程衔接点，构建企业级端到端框架，进一步破除各业务横向协同障碍，深化业务融合，提高跨部门、跨专业、跨层级业务运行效率。

3.3以流程为核心审查制度，开展多维制度评析

基于公司业务流程，对制度条款进行拆分并匹配到业务流程各环节，重点关注制度健全性、适用性、协调性和有效性等，促进制度控制体系完善。结合公司实际管理，对制度体系建设的完备性和适用性进行检查，提出差异化需求解决办法，消除制度缺失、冲突、模糊、分散等问题，提高制度体系的科学性和适用性。

3.4对岗位职责进行分析，规范标准岗位设置

通过将岗位职责与流程中匹配岗位进行对比分析，审查各单位岗位配置是否统一、岗位职责覆盖和履行情况、是否存在不相容岗位未分离，重点解决同一条流程在不同基层单位由不同岗位实施、相同岗位在不同单位参与流程及环节存在差异的情况。

3.5对风险点进行辨识，落实内控措施至流程和岗位

以业务流程为基础，了解关键控制环节设计和风险点情况，审查风险点是否准确、控制措施是否完整，通过与实际业务对比验证控制措施是否有效实施，对风险管理进行评价，提出完善风险管控体系建议。

3.6对绩效指标进行复核，完善员工绩效考核

以业务流程为基础，按照流程绩效指标、结果绩效指标两个类别“自下而上”梳理与公司战略、经营管理相关绩效指标，评价绩效指标建立的是否完整、合理，是否准确匹配到岗位，纳入员工绩效考核管理，考核结果是否与实际一致等。

3.7对关键要素进行全面梳理，规范表述业务流程。

即对流程相关技术标准、业务表单、业务系统进行全面审查。梳理各专业需要执行的技术标准，判断是否正确、完整地匹配到各个环节步骤，与业务流程建立关联，进一步完善覆盖各专业的技术标准体系;对业务表单进行全面梳理，梳理各专业需要采用的业务表单，判断是否符合实际业务要求、是否正确匹配到岗位，促进工作标准化;对业务系统进行全面梳理，将业务流程与系统流程进行对比，审查业务控制点在系统中落实情况，堵塞信息系统管理漏洞。

4展望

4.1提高审计人员风险辨识能力

基于BPM理念建立的以流程为核心对内部控制要素进行多维审查的模式，增强了内部控制审计的系统性和统一性，审计人员运用此种模式即是在审亦是在用，此种方式可以帮助审计人员统观全局，较准确辨识风险和把握重点，提高审计效率。

4.2促进内部控制机制优化

基于BPM理念的内部控制审计实现了对流程和相关内部控制要素的全面审查，即通过流程与岗位的匹配度分析，验证岗位设置的科学性;通过流程与制度、标准的匹配度分析，检验制度、标准是否存在重复、空白情况;基于风险控制要求，对流程实施评估，检查可能存在“不兼容”岗位情况，促进内部控制体系不断完善。

4.3创新内部控制审计方法

基于BPM理念的多维内部控制审查模式，促进审计职能定位从确认走向咨询，审计方式从事后走向事中、事前。从审查范围和深度上均有所突破，审查范围延伸至内部控制各要素，实现以流程核心的制度、岗位等要素联动审查;审查深度上，从管理视角揭示风险和漏洞，促进公司内部控制建设不断完善。

4.4促进审计成果有效转化

基于BPM内部控制审计从体制、机制建设提出管理建议，从本质上解决问题。从流程制度完善、措施建立、岗位调整、考核加强等方面提出具体意见，增强审计意见的操作性，促进执行有效性，达到以审促建、以审促质目的。