ID:内审师修行与实战
什么叫审计全覆盖?
组织内所有的业务都审计到了,就叫全覆盖?
还是将所有风险点都审计完才叫全覆盖?
就算你全面审计到了,那么多长时间审计一次能称为覆盖到位了?
一年审一次可以说覆盖到了,那十年审一次能说覆盖吗?
一、整体审计任务和单项审计计划
无论是从整体审计业务层面,还是单个审计事项的层面,是否做到审计全覆盖都要考虑两个指标:审计效力和审计频率。
1.业务模块方面
主要考虑各个业务模块和审计领域的审计任务,涉及时间最少一年,甚至三到五年。
如果你们的审计工作是以财务审计和营销审计为主,每月或每季度就需要审计一次;
以采购审计和成本审计为辅的话,一年审计一次或两年审计一次也可。
2.单项审计业务
就比如采购审计,你这次重点审计供应商入围的流程业务,下次重点审计评价风险,再下次重点在供应商评价,再下次就是舞弊审计。
每一次的审计重心不一样,其风险点的覆盖面就不一样。
如果你非说:“我每次审计都会把采购业务所有风险点都审到,审计深度也都足够!”
那当然最完美啦,只不过不现实。
仅仅风险点的数量和变化你都覆盖不完,更别说审计深度了,如向着地心挖土,越挖越深,就算你知道它有多深,你也挖不到底。
二、什么是审计效力和审计频率?什么叫覆盖?
审计效力,可以理解为审计价值的实现程度,也可以说是审计质量,它包括你能发现多少问题,能改进多少治理效果,能产生多少效益,等等。
审计频率,简单来说就是多久审一次,一月一次,一年一次,还是三年一次?
一个是质量,一个是数量。
形象比方一下吧,就比如年轻男女们最爱的运动,人与人也是有差异的:
对男人来说,在体力足够的情况下,次数越多,产生的快感就越多。
但对于很多女人来说,一次充分的、深入的快乐或许能持续很好时间,不需要太频繁去做。
审计覆盖的意思就是:假如你是皇帝,要让每一位后宫妃子感到快活,那就要了解她们的习性:喜欢频率高的就多来几次;喜欢频率少的就少来几次,一次喂饱。
所以,对于后宫,每个妃子都得到了自己想要的深度和频率,才能算覆盖到位!
缺少一项,都不能算。
对审计来说,有些业务一年审一次就算覆盖到位了,而有些业务,一个月审计一次才勉强算是覆盖。
风险点亦如此。
三、怎么做?
想做到全覆盖,当然要先了解业务属性,以“风险大小”和“预计审计成果”为出发点来设计覆盖。
风险的重头是剩余风险,即:风控之后还剩下的风险。
审计覆盖,就要考虑全面。
评价审计效力时,关注:业务本身存在的风险和漏洞、审计成果大小,审计后可提升程度,审计过程中各方面配合程度(包括整改)。
评价审计频率时,关注:上次审计时间,问题重复出现风险,问题的严重程度,当然也要参考审计成果的多少和风险大小。
当审计效力和审计频率全面指标化和数据化之后,就可以全面评价是否做到了审计业务的全覆盖?
也能从中找出审计漏项或未来审计重点。
四、举个小例子
一次招采部门同事向我们抱怨:“为啥每到年底你们都来审计一次履约保证金的收取情况,去年罚了我们一次,今年年底又罚了一次,让领导怎么看我们?”
我的回复是:“我们不是为了罚款,要不然也不会一年只审一次,处罚力度也不会这么小,主要得定期检查一下这方面所存在的问题。”
只在年底对就所有的工程类合同的应收取履约保证进行了全面检查,也发现一些问题:有的保证金没收,有的从后续工程款内扣除,有的只交了一小部分,有的还打个欠条。
与合同约定不符的,当然要出具处罚建议,招采、工程和财务都有责任。
小编所要说的是:是否收取履约保证金,只是工程审计中的一项风险点,当然有时也可以做为专项审计。
考虑审计效力:审计一次,就要能查出问题,查一次,就能保证他们在一段时间内不重复犯这类错误。
考虑审计频率:如果一个月一查,既浪费人力又不出成绩,还影响人家工作,如果三年审计一次,那中间又会出现大量未收取保证金。
这一个风险点对于这家公司来说,一年审计一次就可算覆盖到位。
亲,多点赞转发哈!
热门跟贴