之前我們談過如何選題,如果你的選題領導初步同意,則需要你透過調研報告和APG才能透過立項。那如何做調研報告,才能在調研階段就發現一些深層次的問題,如何能把審計重點在報告中講清楚,如何能讓專案順利立項?
各家企業的管理現狀不同,可能獲取的資料和資訊的途徑也可能不同,我僅講講一些自己的經驗,我相信還是有很多共通之處的。
一、先獲取已經存在的相關制度等。
一般來說,大大小小林林總總的業務,都有各種各樣的管理規範、操作細則、稽核細則等等,透過公司內部的公文系統借閱參考就行了。大家肯定會想,有什麼呀,誰做個審計還不是先看制度呢。獲取制度本身很重要,大家至少要熟讀現在在執行的相關制度和規範。當然,到這裡不是結束了。而僅僅剛剛開始。你研讀了目前的在執行制度,請你梳理出它涉及的主要流程、稽核點、風險管控點、涉及的主要部門、具體職責分工。
接下來,請你閉上眼睛,你就根據這個業務名稱,忘卻你已經研讀的制度,你想想如果你是業務管理員,你該如何設定業務流程,如何撰寫業務規範。
將你認為的合理的業務流程、風險管控點、相關部門權責等等,也請畫下來。經過你自己的全面思考,用一個門外漢的思維去重新界定一次業務,時常你會發現,你想的和現用的差距很遠。
有人會說,就你一個門外漢,想的東西能對?您還別說,很多時候就是這麼囂張。主管業務的很多同事,為什麼不覺得現有的流程和制度有問題,一個是習慣問題,一個是燈下黑。你如果問他們這個流程為什麼這麼執行,他多半告訴你一直都這麼執行的或者本來不就該這樣嗎。
給大家舉個例子,企業多少會收到一些客戶投訴,為了弄清楚客戶投訴的具體原因,需要查詢客戶使用業務的一些資料,企業為了更合規,設定了查詢客戶資料必須有投訴工單。嗯,一切設計的似乎很完美。但是你閉眼想了想,一定是投訴工單嗎,別的工單行不行?一定是客戶當前投訴的工單嗎?之前他投訴過的工單行不行?我能不能跨地域查……。等你思考了一圈,你再得空親自嘗試下,一個看上去完美的控制點完全形同虛設,使用者資訊基本在裸奔。而當你問相關的管理員為什麼是這樣的時候,他們都很詫異,他們的理所當然給企業和客戶帶來巨大的風險,有的還造成了巨大損失。
當然,也有人說,我定了個題目,不好意思,這個業務剛剛發展或者是個小業務,啥制度玩意沒有。那也要恭喜你,這樣的處女地,幾乎遍地都是問題。
二、查閱業務部門自己的業務通報、經營分析報告、風險通報等等。
我們必須要承認,業務部門有很多盡職盡責的人在,業務持續健康發展,我們這個企業內審才可能還存活。所以,業務部門很多時候,有自己的分析,也能發現很多問題。有些雖然沒有點出問題,但是他們的經營分析資料也說明了一切。比如,某個月某個業務收入出現幾倍幾十倍增長,業務部門的確很高興。對於審計而言,你需要提高警惕,到底是長期客情積累?營銷投入產生了效果?業務是否真實?是否過度營銷?多看看別人的分析材料,做到自己心知肚明。
三、在全網或者企業內部的標杆庫裡去查詢是否有相關案例和審計結論。
這個屬於碰運氣成分,不一定別人做過,即使別人做過,結果在本地也不一定適用,但是如果有的話,可以看闊思路。
四、提取財務口徑的每月業務收入報表、子公司每月業務收入報表、子業務層級的每月收入報表等。
從財務維度進行全面的分析,從總量上看,這個業務的規模是否有突增、突減的情況,同比和環比都很重要。從子公司維度,看看該業務的收入佔比是否跟公司總體運營規模成正比,有沒有年底衝指標的問題。從子業務的維度,去分析分析業務發展的平衡度。透過這些分析,你基本能知道業務發展健康不健康,哪些子公司可能問題突出,哪些子業務可能問題更大,選擇哪個審計區間更合適。
五、開通相關的測試賬號,把業務相關的系統全流程自己試一試。
這個環節很重要,你必須親自去嘗試過,你才可能知道,這些相關係統是否協調,分散的系統是否影響效率,是否系統間、系統記憶體在一些明顯的風險,系統的歸屬部門是否一致,是否可能產生推諉問題等等。
六、找幾個相關的當事人或者這塊熟悉的人,瞭解具體的一些細節。
透過制度、財報、通報,都是比較靜態的事務。很多時候需要找更多的當事人去了解一些可能從頁面無法獲知的訊息,這個時候人際關係、訪談能力顯得尤為重要。
審前調研至關重要,因為審計框架的產出、審計大方向問題的確立、審計現場地點的確定、審計區間的確定,包括跟管理層彙報的立項材料,都來源於這裡。一個主審是否經驗老道,在調研報告做出來的時候就已經看出來了。當然,報告的形式可以多種多樣,目前除了Word,很多時候還推薦PPT,將很多重大問題的實操查證流程直接畫出來,對於立項會、後期組內宣貫都很好用。
