操作审计101:流程、示例和清单

运营审计是一个前瞻性的过程，是许多组织正在进行的工作的一部分业务改进过程工具包。业务审计的结果旨在诊断哪些领域需要注意，并通过避免潜在的未来风险来保护资产。的业务审计手册借用内部审计师协会(IIA)对业务审计的定义:“在管理层的控制下，对组织的有效性、效率和业务经济性进行评估，并向适当的人员报告评估结果以及改进建议的系统过程。”

而一个审计通常与财务事项有关，业务审计更全面，超出财务数据(尽管经常包括这种类型的报告)。主要信息来源是与组织目标有关的政策和成就。

运营审计是对管理各个方面的“深入”。因此，从开始到结束的时间范围可能从几周到几个月不等，这取决于组织的范围、复杂性和规模，以及审计是针对整个实体还是特定的业务单元。与由外部实体进行的财务审计不同，业务审计通常由内部审计员进行。

为了澄清这类审计中涉及的许多不同的活动部分，专家兼讲师/导师Seetharam Kandarpa提供了他的观察和最佳实践。

除了Kandarpa在这篇文章中提供的信息，你还可以查看他最新的教学幻灯片，审计基本原理．

“第一步是确定它的目标，”Kandarpa解释说。目标可以根据组织的类型及其kpi而变化，或者是否正在进行审计以回答在人力资源、客户关系或生产放缓等领域中出现的挑战所引起的特定关注。欧宝体育app官方888可能还需要考虑政府的合规问题，比如消费者安全。”

目标的一部分还应该是保持审计过程的质量。“适用的标准是由ISO 19011这就是我推荐的最佳实践，”Kandarpa说。下面的图表涵盖了管理审计的主要标准领域:

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

1. 完整性:承受可能施加的压力，并注意遵守任何法律要求。
2. 公平的陈述:公平地展示所有结果并报告重要问题。
3. 应有的专业谨慎:在任何情况下都要使用勤奋、应有的谨慎和理性的判断。
4. 机密性:保持信息安全，保护机密或敏感信息。
5. 独立性:保持公正，保持行动和报告无偏见。
6. 以证据为基础的:依靠基于事实的方法来得出可靠的结论。

了解业务的真实状态是一个更健康、更有竞争力和更有利可图的组织的基础。

审计由内部或外部审计员进行，是客观的。它们为组织实践和过程的好的和不太好的方面提供了新的视角。最终报告应使管理人员意识到他们可能不了解的问题，并为他们提供改进的知识库。管理人员还可以使用组织审计结果来激励团队成员，并强调现有的或新的目标。从长远来看，随后的行动可以带来更大的盈利能力、法律遵从性和员工满意度。

Kandarpa说，从总体角度来看，运营审计项目对四个实体有价值:

该组织能够通过运用有纪律的、系统的方法来评估和提高控制的有效性，从而实现其目标;风险管理，以及治理过程。

• 个人能够不断提高他们运用知识和技能的能力，以交付预期的结果。
• 最终用户或消费者获得更多具有成本效益和高质量的产品或服务。ob欧宝娱乐app手机下载
• 世界受益于更美好、更可持续的未来。

组织可以期望通过实施运营审核实现五个主要目标或主要优势:

• 积极改变:了解未来的过程、政策、程序和其他类型的管理如何产生最大的效力和效率。
• 审查内部控制:确定成功和失败对专业运作职能领域的潜在影响。
• 理解风险:与业务和操作风险相关的风险类型包括业务中断、员工疏忽或错误、IT系统故障、产品故障、安全和健康问题、关键员工的损失、欺诈、供应商的损失以及诉讼。ob欧宝娱乐app手机下载
• 识别改进机会:由于了解风险，审核员可以确定在哪里进行改进，以及如何减轻风险和改善机会。风险的大类——以及应该改进的地方——是操作风险、财务风险、环境风险和声誉风险。
• 通知高级管理层:审计结果应出现在一份清晰的报告中，对所审查的活动提供客观分析、评价、建议和相关评论。

运营审核是持续改进的工具

为了应对瞬息万变的市场和监管环境所带来的挑战，企业必须不断革新经营方式。正如Kandarpa所指出的，“最广泛使用的工具是计划-执行-检查-行动或戴明循环，审计员在自己的审计活动中使用。”组织应定期进行审核，以支持持续改进，并检查以前审核中建议的质量措施的进展情况。

内部审计也不能避免组织可能遇到的压力，因此审计人员需要找到创新的方法来帮助他们的公司取得成功。许多公司或特定部门(如IT)关注增量改进，以改进过程、产品和服务，或者三者都改进。ob欧宝娱乐app手机下载

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

通过阅读了解更多BPI专家如何攻击业务流程改进．

当被问及开展运营审计的最大挑战时，Kandarpa说:“有时很难获得最高管理层对审计项目的支持，因为从本质上讲，审计过程突出了管理问题。”他补充说:“需要有有效的管理流程来处理可能因审计而产生的冲突管理，以及一种将组织目标和目的联系起来的系统方法。”

变更管理
变更管理需要妥善处理。审计的结果可能会导致多种变化，团队成员和管理人员可能难以适应不同的期望、流程、人员或预算。变革也会影响团队合作，但这些问题是可以缓解的。要学习如何管理和建立能够应对变化的强大团队，请回顾你需要知道的关于团队评估的一切．

帮助管理变更的一个有用的工具是使用RACI(负责、负责、咨询、通知)原则来实现可能由操作审计产生的变更。有关如何有效实现RACI的更多细节，请阅读一个全面的项目管理指南的一切RACI，其中还包括免费模板，以帮助团队在变化时期应对和发展。

业务审计费用
在审计期间和之后都涉及成本。如果审计师是顾问，当然，他们的聘用会收取费用。当经理和员工与审计员一起工作时，还会有项目或生产暂时放缓的成本。ob欧宝娱乐app手机下载如果审计师通常在公司内部担任其他职位，那么他或她的常规工作职责可能会有所减缓。如前所述，必要的更改可能会带来成本。

审计师的评估
考虑到审计职位的主要责任(审计师或审计师是否在内部或外部运作)，Kandarpa认为“审计师或审计师的能力应该根据明确的评估标准来确定。”

他提供了以下评估清单，以帮助选择最佳候选人:

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

下载审核员评估清单

对内部审计专家的需求正在增加
由于业务审计的数量正在增加，对内部审计专家的需求也在增加。罗伯特哈夫国际发现，美国对内部审计师的需求正在强劲增长，到2024年，对内部审计师的需求增长速度将超过所有职业的平均水平。欧洲和亚洲对这一职业的需求也在增加．

除了整体业务审计外，还有一些子类别涵盖特定的业务功能和操作:

• 财务审计或审查:财务审计的重点是财务控制，因为它们与向内部和外部理事机构报告有关。财务报表审计是外部审计师的职权范围。内部审计是对业务审计工作的补充，业务审计包括某种形式的预算或财务审查。
• 操作审计:如前所述，运营审计侧重于对单个或多个业务流程的审查和评估。
• 部门审核:不同的部门或部门可能会进行定期分析，以评估控制的充分性、资产的保护情况、资源的使用情况，以及是否遵守适用的法律。欧宝体育app官方888
• 资讯系统审核:信息系统审计调查整个基础设施和网络、技术操作、数据中心操作、项目管理，并审查安全状态和程序。
• 调查审计:当公司怀疑存在安全漏洞的风险时，或者当个人或部门发生安全漏洞时，通常会进行调查审计，以了解原因并提供额外的背景信息和研究。
• 合规审计:法规遵从性审计审查对外部法规要求或内部政策的遵从程度。
• 营销审计:营销审计是对公司或企业的营销活动进行广泛、精确和自主的调查。审计既包括外部情况分析，也包括对内部营销目标、战略、能力、流程和系统的全面审查。其结果是提出可行的建议，以促进实现既定目标的进展。
• 后续审计:在发布运营审计报告后，通常在六个月内跟踪评估纠正措施是标准做法。

根据Kandarpa的说法，运营审核的整体流程有一系列步骤，其中包括使用PDCA进行质量和持续改进:

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

• 建立目标:以管理目标和优先级为基础。考虑产品、项目、过程的特征，以及它们的任何变化。ob欧宝娱乐app手机下载考虑管理体系要求、合同和法律要求以及其他要求。评价供方以及包括顾客在内的相关方的需求和期望。考虑被审核方的绩效水平、风险、以前的审核结果和被审核方管理体系的成熟度。
• 建立审核程序:确定审核程序经理的职责，并确定他或她的能力。确定范围和潜在风险，然后设定程序并确定资源。欧宝体育app官方888
• 实施审核程序:确定目标、范围和准则，选择审核组成员，并将职责分配给审核组组长。管理结果和记录。
• 监督审核程序:评估与程序、进度和目标的一致性，然后评估审核组成员的绩效和审核组实施计划的能力。评估所有利益相关者的反馈。一些因素可以决定是否需要修改程序，包括审核发现、已证明的管理体系有效性水平，以及被审核方管理体系、标准和其他要求的变更。
• 审核程序的评审和改进:评估目标是否已经实现。将吸取的经验教训作为持续改进的输入。评审应考虑结果和趋势、与程序的符合性、相关方不断变化的需求和期望、记录、替代或新的审核方法、应对相关风险措施的有效性，以及与审核方案有关的机密性和信息安全问题。

业务审计活动
典型的审计实现包括哪些内容?Kandarpa提供了一个概述，并简要介绍了每个阶段的细节:

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

• 启动审核:与被审核方和任何指定的领导建立初步联系。确定审核的可行性，并对任务进行评审，以确保目标的实现。
• 准备审核活动:审阅相关文件。准备审核计划，按需分配工作，组织必要的行动计划和文件。
• 开展审计活动:召开一次会议，确认各方都同意提出的计划。将团队成员介绍给管理层和彼此。仔细检查您是否可以按预期执行计划中定义的审计操作。在整个过程中根据需要审查文件。团队应该定期开会，回顾和交换信息，评估进度，并在必要时重新分配工作。

资料来源:《如何进行高质量内部审计》，Seetharam Kandarpa

• 收集和核实信息:收到审核文件后，审查信息源。审核证据并根据审核标准对其进行评价。评审结论。
• 产生审核发现:调查结果将符合或不符合审计准则。对于不符合的发现，记录支持证据。与被审核方一起评审信息，以确定证据是否正确。小组应在指定和/或适当的审计阶段开会审查结果。
• 开展审计活动:在评审结果的闭幕会议之前，审核组应根据目标进行讨论和收集信息。团队应该就结论达成一致，准备建议，并讨论后续行动。在团队领导的推动下召开闭幕会议，介绍调查结果和结论。
• 准备和分发审计报告:团队领导以完整、准确、简洁、清晰的审计记录报告结果，并在约定的期限内交付。如果发生延迟，被审核方和项目经理应讨论发生延迟的原因。报告必须注明日期，根据商定的程序进行审查和批准。将计划中定义的报表分发给适当的接收者。
• 完成审核:当所有计划的审计活动完成时，工作就完成了。文件的保存或销毁是根据审核开始时制定的程序和适用要求进行的。如有必要披露，应尽快通知审计委托人和被审计单位。将从审核中吸取的经验教训添加到持续改进过程中。

业务审计核对表

当被问及使用检查清单时，Kandarpa解释说:“检查清单根据目的、审计类型和审计标准而有所不同。然而，审计过程和审计原则保持不变。”

这里有一个清单，你可以用它作为一个框架。清单的每一部分都可能需要分解成单独的活动——计划、执行、检查和行动——基于你的特定运营审计的规模和范围。为了帮助组织更细粒度的活动，您将在本文后面找到可下载的模板。

下载PDCA运行审核过程核对表

审计PBC检查表模板
无论你有内部还是外部审计师，如果你做好了准备，整个过程都会容易得多。基于审核的目标，检查表可以成为收集所需文档、向团队阐明目标以及保持关键涉众参与循环的有价值的指南。此模板有助于管理和跟踪预审计，您可以与审计师实时共享，以生成评论线程、附加文档和跟踪RYG警报状态。

下载审计PBC检查表模板

运营IT审计指南
如果您正在为IT审计做准备，那么这份针对IT经理、安全主管、系统工程师、开发人员或服务台经理的完整指南将提供信息，以最大限度地提高审计效率、确保安全性并创建可重复的流程。

下载《IT运营审核指南》

为了了解实际操作审计流程和文档是什么样子，我们提供了一些示例。

政府审计:对于任何规模的实体- -从城市到美国联邦政府- -为了透明度起见，这些文件都向公众开放。

民间审计:根据定义，审核是组织管理层用于自身改进的专有内部过程。根据该组织的自由裁量权，它们将被发布给公众观看。

财务审计:这种类型的审计根据会计准则对财务报表是否真实提供意见，这有利于税务机关、客户、投资者和监管机构。要了解更多关于财务审计的具体信息，请阅读《财务审计手册:流程、要求和清单》。

• 城市运营审计示例-德克萨斯州埃尔帕索:像大多数城市一样，德克萨斯州埃尔帕索市每个财政年度都会报告多种业务、功能和服务，如社区和人类发展管理、资本改善和其他其管辖的特定领域。2017财政年度的内部审计可在多个可下载部分获得。每年的报告也关注不同的领域。审查2017财政年度埃尔帕索内部审计和2016财政年度埃尔帕索内部审计．
• 州业务审计计划示例-印第安纳州管理和预算办公室:2012年，德勤(Deloitte & Touche)为印第安纳州税务局(Indiana Department of Revenue)的监管机构进行了一次审计。您可以在其中查看完整结果管制及表现审核．
• 医院业务审计计划文件示例-德克萨斯大学(UT):uthehealth North内部审计办公室进行了一项基于风险的审计，审查了设备租赁、收购、维护和保修。你可以在这里查看完整的27页文件基本设备运营审计．
• 大学内部审计计划-科罗拉多大学:业务审计评估大学的过程是否充分，是否以有助于确保实现目标的方式发挥作用。他们审查业务以了解可以改进的地方，对可疑或报告的违规行为进行调查，评估项目和举措，与利益相关者协商，并提供反馈以确保良好的业务实践。你可以回顾当前科罗拉多大学内部审计部门2018年审计计划．
• 公共设施-西雅图港:审查了机场公共停车场运营管理控制，以确保西雅图-塔科马国际机场车库的交易得到正确处理，并确保设施得到妥善管理。检查内部审计报告:综合运营审计机场公共停车场运营看看结果。
• 信用合作社-信用合作社业务报告样本:这是信用合作社遵循的报告模板，以符合国家信用合作社管理局(NCUA)的业务和管理审查标准。检查22页的格式信用合作社业务报告样本．
• 非营利/国际救济-联合国(UN)审计:联合国进行了一项审计，以跟踪非洲联盟-联合国达尔富尔混合行动2008年1月至2010年期间后勤支持受到阻碍的情况。检查对达尔富尔混合行动后勤业务的审计完整的报告。
• 知识产权-世界知识产权组织;2015年的运营报告检查了基本业务流程的有效性和效率，包括组织结构、风险管理和控制。检查对WIPO客户服务管理的审计．
• 医药制造- Univar:Univar是全球领先的化学及相关创新产品和服务的分销商。ob欧宝娱乐app手机下载咨询公司Labtopia为供应商制作了一份样本审计报告，用于报告运营情况。回顾18页的模板审计报告．
• 制造业-工厂审核报告(亚洲):亚洲检验公司为客户提供操作审核的手段。报告的格式包括工作流程图、系统管理、劳动、卫生和社会责任等部分。查看33页工厂审核报告．

从本质上讲，运营审计是关于识别揭示组织日常业务实践的优势和劣势的细节。这些可下载的、可定制的检查表和模板有助于组织和记录必要的事实发现，这些事实发现是运营审计的重要组成部分。

审计项目计划模板

此可自定义模板包括预算、方差、带有依赖项的甘特图和状态摘要。审计项目计划可以很容易地在一页上比较材料、人工和任何其他重要的估计和实际人工和其他支出的成本。

在Smartsheet中创建审计项目计划

库存控制模板

您可以修改此库存控制模板，以确定库存水平、重新订购频率、过剩库存和有关主要供应商的信息。查看整个库存生命周期以发现审计信息，以确定您的库存过程是否需要改进。

下载库存控制模板

Microsoft Excel|内容

基本库存控制模板

对于只需要一个简单的库存管理系统的小型企业或组织来说，这个模板是理想的，也是一个可靠的审计工具。通过多种方式检查库存:描述、ID号、单价或名称。跟踪当前库存的价值和数量，重新订购的日期，和停止的项目。

下载基本库存控制模板

Excel|内容

资产跟踪模板

设备库存跟踪和管理模板

下载设备库存跟踪和管理模板

Excel|内容

公司目标跟踪模板

变更管理流程模板

下载变更管理流程模板

词|PDF

风险分析矩阵模板

对于一些较小的项目，您可能只需要使用风险管理矩阵(而不是创建冗长的管理计划)。有了这个矩阵模板，你可以在一个电子表格中组织重要信息，并创建一个详细的计划。在此风险分析模板中，您可以找到风险评级、缓解策略描述、用于识别和评估风险的管理矩阵，以及监控控制工作列表。

下载风险管理矩阵

Microsoft Excel|内容

SWOT分析模板

在进行运营审计时，您可能会发现公司没有达到预期的部分。某个特定部门的投资回报率可能会直线下降，或者你的营销可能没有吸引力。执行SWOT分析，以澄清优势和劣势，以及识别机会和威胁。这个SWOT矩阵模板提供了一个易于阅读的分析视图的2乘2布局。它还包括一个列，用于测量SWOT分类中每个项目的重要性，以便快速查看分析中的不同元素如何相互衡量以及哪些领域需要最关注。

下载基本SWOT矩阵模板

Excel|词|PDF|演示文稿|内容

工作时间表模板

组织部门计划和个人任务。您可以修改此模板来安排审计任务，或在审计后组织团队成员，以提高每天的效率。此外，您可以指定哪个部门的时间表，并自定义工作流程的一周。

下载工作时间表模板

Excel|内容

项目管理模板

这个在线甘特图让您控制您的项目和团队可用性的可见性。只要看一眼，您就会知道谁分配了哪些任务，以及哪些任务有影响项目进度的风险。利用这些信息为决策提供信息。

在Smartsheet中创建项目管理模板

根本原因分析模板

由于运营审计确定了组织中哪些是有效的，哪些是无效的，因此确定这些问题的原因以纠正这种情况非常重要。此模板支持对特定事件进行详细检查。用它来记录有关促成因素的信息，与原因有关的发现，以及为减少未来风险而采取或使用的行动。

下载根本原因分析模板

信息收集模板/市场调查网络表单

通过此在线意见箱和网络表格获取您所需的信息。自定义表单以收集审计所需的情报，然后将其添加到电子邮件和网页中，供员工或管理层提交查询或建议的答案。该表单是完全可定制的，以满足您的审计需求。

在Smartsheet中创建调查模板和表单

通过设计一个灵活的平台来满足你的团队的需求，并随着需求的变化而适应，从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并通过汇总报告、仪表板和自动工作流实时了解工作情况，以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时，就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。