“审计周期缩减40小时”背后的真相
有新闻报道称,云服务公司Planview通过引入自动化SOC 2(服务组织管理标准)合规审计准备工具“Kiro CLI”,每个审计周期减少了超过40小时的工时。这个数字对于许多中小企业经营者和管理部门负责人来说,无疑是令人羡慕的。“如果我们也能节省这么多时间就好了……”
然而,请在此驻足思考一下。这“40小时”究竟是从哪里节省出来的时间?而这些时间,原本又是为了什么而被消耗的呢?
深入挖掘这个问题的答案,将超越单纯的“业务效率化”讨论,揭示出中小企业治理,特别是合规活动本质上的“设计失误”。因为在许多组织中,合规本身变成了“目的”,演变成一个产生庞大“作业工时”的自我增殖装置。
合规工时的真相:那是“翻译”与“搜寻”的循环
根据我对以往所支持的中小企业的分析,在应对审计或完善内部控制所耗费的庞杂时间中,存在一个惊人地一致的模式。那就是,大部分时间都耗费在以下三种“非生产性作业”上。
1. 对要求事项的“解读”与“翻译”作业
将“制定安全策略”、“实施访问权限定期审查”等审计标准或法规要求事项,“翻译”成公司具体业务流程的作业。很多时候,这种翻译是模糊的,导致一线不断提出“这样行吗?”的询问,而管理部门则不得不反复进行解释。
2. 证据的“搜寻”与“收集”作业
从公司内各种系统、文件服务器、邮箱中找出并汇总能够证明已满足翻译后要求事项的“证据”。这占据了所谓“制作审计资料”的大部分工作。如果系统未整合或规则未文档化,这项工作将如地狱般耗费时间。
3. 相关方之间的“协调”与“确认”作业
为了确认收集的资料是否满足要求、是否已获得相关部门批准、是否与过去的应对相矛盾而进行的邮件往来和会议。组织内责任归属越模糊,这种“为确认而确认”的链条就越长,工时也随之膨胀。
Planview的工具所削减的“40小时”的真相,正是自动化了上述第二项“证据的收集与生成”以及随之而来的第三项作业的结果。工具能够自动收集和整理系统日志及设置,并生成审计用报告。
根本问题:合规与“业务”被割裂开来
然而,引入自动化工具终究只是针对“症状”的治标疗法。根本问题在于,合规活动本身被设计成与日常业务运营完全“割裂”开来。
割裂的典型例子就是“临近审计时期才开始手忙脚乱地制作资料”这种模式。这意味着合规的证据制作,并非作为业务自然的输出在日常中生成,而是被定位为一项单独的“特别作业”。这样一来,无论用工具如何提高效率,工时仍会持续产生。
我认为普华永道《2025年全球合规调查》所指出的“合规重构”核心也在于此。它迫使人们转变设计思想,并非依靠工具自动化,而是转向“将合规嵌入业务流程本身”。
中小企业应从今天开始的3项“嵌入”实践
即使没有大规模的系统投资,通过改变思维和流程设计,也可以开始将合规嵌入业务。
实践1:用“输出”来定义规则
不要定义“必须遵守密码策略”,而是定义“登录系统A时,必须使用多因素认证,且该日志会自动保存至‘安全日志文件夹’”。这里的关键在于,关注的不是需要遵守的“行为”,而是遵守后自然生成的“输出”(此例中为认证日志),并从一开始就设计业务流程,使该输出能以可用作证据的形式保存。
实践2:将审批流程与“证据生成流程”一体化
费用报销或采购订单的审批,是否还在通过邮件或口头进行?那样证据会散失。利用云端审批工作流工具(许多面向中小企业的会计软件附带此功能),设计成“审批行为本身即成为审计证据”。谁、在何时、批准了什么将被自动记录,并以可检索的状态积累。这将使证据的“搜寻”工时趋近于零。
实践3:将定期报告设计为“审计资料的雏形”
部门负责人的月度报告或项目进展报告,是否还是简单的自由记述文章?在报告格式本身中,就嵌入审计所需的项目(例如:信息安全事件有无、主要系统变更状况、合同更新状况)。这样一来,收集定期报告本身,就直接成为审计资料的准备工作。这是让业务活动的“输出”直接成为管理活动“输入”的设计。
超越“自动化”的治理设计思想
JSOL开始与美国WitnessAI合作提供AI治理解决方案、日经新闻报道上市公司披露治理报告书、东京大学的治理成为话题——所有这些都表明,治理正处于从“面向专家的艰深仪式”向“推动业务发展的实用设计技术”转变的过渡期。
审计工时的自动化,只是这一潮流中的一个重要“结果”而已。真正应该追求的目标,是使用于审计的特殊工时趋近于零,即设计出这样一种状态:“日常业务的正确运转,本身就是在强化治理”。
在实现了这种状态的组织中,合规负责人将从“资料制作员”升华为其角色,成为“将治理视角嵌入业务流程的设计师”。被削减的不仅仅是40小时的作业时间,更是横亘在“业务”与“管理”之间、无谓的“翻译与搜寻”循环本身。
阅读后您的状态
您可能已经开始意识到,过去被认为是“合规工时”的大部分时间,实际上不过是“为了强行连接割裂流程的粘合剂”。下次当您感觉应对审计或完善内部控制耗费工时过多时,您会首先这样发问:
“这项工作,为什么没有作为日常业务的自然产出而诞生?”
“为了收集这个证据,应该如何‘重新设计’原本的业务流程?”
引入自动化工具,固然是对此问题的一个出色的“答案”,但在此之前,能否提出正确的“问题”,才是区分中小企业治理设计能力的关键。请迈出第一步,走向超越工时削减的、更坚固且与业务融为一体的治理构建之路。
评论