2009年3月30日星期一

現金發薪

大家在讀書考會計師試時或多或少都讀過現金發薪(Cash Payroll) 的流程吧?當時我只當笑話來聽,因為在我考會計師試的年代,很多公司甚至大陸工廠都改用自動轉賬發薪了,還學現金發薪流程不是浪費時間嗎?

造物弄人,誰會料到廿一世紀的今天我還會遇到有工廠現金發薪呢?上文《悲情城市-加勒》提到我曾探訪公司位於斯里蘭卡加勒的工廠,他們就是以現金方式發薪給員工的。問他們為什麼不改做既安全又省時的自動轉賬時,他們給我的答案是這樣,在當地最近工廠的銀行及自動櫃員機要半個鐘車程,所以工人都不願意以自動轉賬支薪。

為了要審核工廠的發薪程序是否妥當,我特地在現場由頭到尾看一次,真是相當有趣。首先在發薪的前幾天,負責計算工資的會計便要準備一份薪金名單 (Payroll),當出納收到這份名單後,她便要計算所需要的現鈔及各鈔票面額的數量,不要看輕這計算,因為每位員工的薪金都不同,又不可以找鑟,所以計算要很準確。在發薪的前一天早上,銀行便會由解款車將現鈔送到工廠。經相方人員 (每方兩人) 點算後,現鈔便會分成一盤一盤,接著整個會計部的人員便傾巢而出,幫助出納將現鈔放入每個小信封內。每個小信封都印有員工編號及附有一張薪金明細,明細還會列出各現鈔面額的數量。會計部人員每兩人一組,一位負責按明細將薪金放入信封,另一位則負責核對。為了方便追查,出納會有一個表,列名那組會計部人員負責那些工人的薪金小信封。

會計部正在準備薪金信封


工廠不算大,只有千多位工人,千多個小信封在一天內便可以完成,將信封按部門擺放在一個個膠盤內,完成後便存放在工廠的保險箱內。存放前經兩次盤點,出納,會計主管,廠長及會計均在場。保險箱是重型的那種,出納負責保管鑰匙,會計主管則保管密碼,密碼每次不同,全由會計主管自己調教,而且當晚公司的保安員會每小時巡查保險箱一次。

發薪的那天早上,出納將盛載不同部門的信封的膠盤分發給各會計人員。會計人員每兩人一組將信封送到各部門,然後一位負責核對工人證件及發放信封,另一位則負責要求工人當面拆封點算金額並監督簽收。發薪時工人放下手頭的工作排隊領薪,長長的人龍場面壯觀,每位等待領薪的工人們都流露出既興奮又期待的眼神,有些工人領到薪金後會急不及待將現鈔放在口袋中,一些則三五成群討論誰領的工資最多 (其實我只是靠估,因為我根本聽不懂他們說什麼)。發薪時總會有一些工人因未有上班而未有領薪,這些信封則會由出納登記好後存放在保險箱待領。 我反而覺得這些未領取的薪金風險最高,記得有一位前輩講過,現金發薪出問題做手腳往往都在這個環節,所以我特地抽取了幾位在上月未有及時領薪的員工,看看他們是否真實存在。

看完發薪流程後我在加勒的工作便已完成,喝過最後一杯奶茶後便踏上返回科倫坡的歸途。

--------
相關文章連結:
斯里蘭卡
科倫坡
悲情城市-加勒

&&&&&&&&

2009年3月28日星期六

悲情城市-加勒

南亞海嘯奪去了很多斯里蘭卡人的生命及摧毀了很多房屋,災難過後不久我到訪過一次。除了首都科倫坡外,公司在重災區加勒 (Galle) 附近設有一家工廠,我要乘四小時車從首都到那那裡工作並在逗留幾天。

加勒位於斯里蘭卡的最南部,是一個大城市。往當地途中的道路兩旁盡是被摧毀了的房屋的瓦礫,新豎立了的墓碑及給災民臨時栖身的帳篷。雖然事隔已差不多一年,但很多災民還是沒有房屋居住。可能當時死傷不計其數,很多墓碑都是建在房屋的瓦礫之上,印象最深刻的是路過一個相信曾經是小巿鎮的地方,在整遍頹垣敗瓦的土地上盡是大大小小的墓碑。到達後與當地幾位同事談起,坐在我面前的那位小姐其家在一夜間便不見了,慶幸的是她的家人全部平安。由於工廠並不靠近海邊,當地同事都安全無恙,但很多同事的家和那位小姐的一樣被摧毀了。雖然家是沒有了,但總公司給予每位受影響的同事財政資助,而整個集團的員工還籌集了捐款幫助他們,聽當地員工說,我們的捐款比當地政府的還要快到達他們手中,所以他們顯得十分感激。

災民的臨時帳篷

頹垣敗瓦上的墓碑

我說過愛喝當地的奶茶,這家工廠Tea lady所做的奶茶更是極品,我在那裡待了幾天,天天都要喝四至五杯才過癮。工廠環境不錯,大門口建有一個小花園,內裡有很多漂亮的花,我對花沒有研究,不知道它們的名稱,但紅橙黃綠五彩繽紛的,很是好看。

在加勒的幾天,我住在工廠附近的一家酒店。酒店只有兩層高,建築在長長的沙灘上,每間客房均有一個向著印度洋的小露台,每晚都可以聽著澎湃的海浪聲睡覺,早上起來在露台上坐一會十分適意。可惜行程太緊湊,晚上又要在工廠加班,而且內子也不肯隨行,否則與她在日落時分在露台坐一坐會十分寫意。除了我以外,酒店有還很多外籍遊客,差不多全是歐美人士,他們晚上在沙灘的酒吧夜夜笙歌。酒店設施沒話說,但可惜洗澡的水帶咸味,洗了和沒洗差別不大。


酒店的沙灘

--------
相關文章連結:
斯里蘭卡
科倫坡

現金發薪

&&&&&&&&

2009年3月27日星期五

科倫坡

科倫坡 (Colombo)是斯里蘭卡的首都,在斯里蘭卡的西岸。近來「泰米爾猛虎游擊隊」在科倫坡發動了連串恐怖襲擊,連國際機場也受到襲擊,已往游擊隊只活躍於斯里蘭卡的北部,現在的情況實在令人擔憂。每次聽到泰米爾游擊隊的新聞,我都會想起當地公司的其中一位同事。他是泰米爾族人,身材魁梧,眼神強悍,但卻平易近人,說話有禮。泰米爾族人信奉印度教,在斯里蘭卡是少數族裔,佔全人口不到20%;而斯里蘭卡人多是屬於信奉佛教的僧加羅族,所以泰米爾族人整天都想獨立。

記得每次到訪斯里蘭卡,我們都會住在首都內一家臨海的旅館。房間清潔,設備完善,而且每個房間都可以看到海景,日落時太陽像極一個鹹蛋黃,太陽漸漸落下,傍邊的霞彩由金黃色向外申延漸變成藍色,當太陽落至水平線以後,整個天際頓時被我最愛的憂鬱深藍色所籠罩,景色最美。可惜因要在公司加班關係,鮮有機會可以回旅館看日落。

從旅館房間看到的日落


旅館附近有一個火車站,每天早上從旅館房間向下望時,都會見到一群群當地人爭先恐後地上火車,每輛駛過的火車看來都十分殘舊,進不到車箱的人會站在車箱入口的樓梯外,雖然十分危險,但他們像不怕死,看來是習以為常。

火車站外是一個長長的沙灘,沙灘傍開有多家酒吧和餐廳,很多當地人每晚在這裡喝酒聊天,周日的沙灘就最熱鬧,什麼時候都可以看到男女老幼在沙灘上散步和玩耍。試過有一天到其中一家餐廳吃飯,但味道只是一般。

公司離我們住的地方車程有一個半小時,每天由公司派車過來接送我們。回公司途中會穿過大街小巷,未到九時人們便已辛勞地工作。路邊小販最多,水果、麵包、鮮魚、鮮肉、衣服、鞋襪、日常用品等等應有盡有。

由於旅館的早餐不好吃而且價錢昂貴,除周日外,我們每天都是在公司飯堂吃的。公司設有兩個飯堂,一個是給普通工人的,我們去的那個是給管理人員的。其實早餐也沒有什麼特別,多是麵包雞蛋牛奶之類,有時會弄些方便麵給我們吃。午飯時我們也要在公司飯堂解決,但差不多天天都是咖喱,所以有時我索性不吃,只喝我最愛的當地奶茶及吃些餅乾便算。


--------

相關文章連結:

斯里蘭卡

悲情城市-加勒

現金發薪

&&&&&&&&

2009年3月26日星期四

斯里蘭卡

先前講過菲律賓,這次講講我到斯里蘭卡(Sri Lanka)出差的趣聞。

因工作關係曾到訪過斯里蘭卡數次。斯里蘭卡在印度下方,比起印度,斯里蘭卡可愛得多。

先講人,斯里蘭卡人認為肥是福氣,所以隨處都可以看到心廣體胖的男男女女。斯里蘭卡人很有趣,當他們說「Yes」的時間會把腦袋左右搖擺。試過要求當地的一名會計給我找些文件,他一邊搖頭一邊說 Yes,初時不知道他們有這習慣,還以為他英文不好,把No說成Yes。斯里蘭卡男人愛穿襯衫(恤衫)和西褲,也常看到男人不穿西褲但穿傳統的Dhoti。Dhoti是一件圍巾,穿起來像長裙。女人則愛穿傳統服飾Sari。穿了Sari女人的模樣像極我們印像中的印度西施,因為露腰,纖瘦的女子會顯得很性感,但斯里蘭卡人喜愛肥,在街上看到肥西施的機率遠較纖瘦的高。同事小F買了一套Sari,穿起來像極斯里蘭卡的女子。還有,斯里蘭卡人信奉佛教,所以到處都有佛寺,原來當年唐三藏取西經後,在回中國前曾在斯里蘭卡逗留過,聽說斯里蘭卡某佛寺現在還收藏著唐三藏的一些物件。

斯里蘭卡著名的土產是茶葉,錫蘭紅茶就是產自斯里蘭卡,其實錫蘭二字就是斯里蘭卡的舊有名稱。到當地旅遊必買的手信是水果茶葉和茶包,最出名的牌子是 Dilmah,蘋果、檸檬、葡萄、熱情果等等口味應有盡有,而且價錢便宜,是送禮自用的佳品。但當地同事不愛喝,他們說這些水果茶包是用茶葉碎來製造,不是上等貨色云云。我不計較茶葉是否上等,反正我又不是品茗專家,覺得好喝便是了。除了錫蘭紅茶外,斯里蘭卡的奶茶也很著名。我愛喝,因奶香而且茶味濃郁,與香港的絲襪奶茶相比則茶味較重但略欠幼滑。

在斯里蘭卡吃飯最頭痛,三餐分別是咖喱,咖喱,還是咖喱,美味程度遠較印度咖喱遜色。初次到斯里蘭卡時,吃了兩餐咖喱後大家便嚷著要吃中國菜,在首都有多家中菜館,但由於巧婦難為無米炊,菜色只是一般。雖然斯里蘭卡四面環海,但上好的海鮮全都出口去了,所以價錢昂貴。最便宜的是蟹,因當地人不吃。在斯里蘭卡最珍貴的是帶葉的青菜,因當地沒有出產,所以要從中國運過來,不要說新鮮的,在那裡能吃得到已經是不錯了。

由於當地法例,工人的工資必需是定薪,所以當地工人多是懶洋洋的,而且斯里蘭卡人的家庭觀念極重,就算加班費是平時的2-3倍,大多數工人都不願意加班,到了下班時間,所有工人一同離開公司排隊打卡,場面壯觀。講起當地法例,記得其中一條是規定工廠內每幾多個工人就需要設置幾多個馬桶,剛巧我們要做HR audit,而我是負責compliance那一環的,所以我要走訪工廠內所有洗手間數馬桶數量...天呀。除早餐外,之後的一整天我也沒有進食。

--------
相關文章連結:
科倫坡
悲情城市-加勒
現金發薪

&&&&&&&&

2009年3月25日星期三

COSO內控要素:監督

在上六篇文章中我們已探討過四個COSO的內控要素,現在我們談談最後一個,監督 (Monitoring)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對監督的詮釋是這樣:

對企業風險管理進行全面監控,必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。

上述詮釋中所提及的風險管理其實是指企業的目標是否如預期般達到,以及相關的內控系統 (Internal Control System)是否有效運作。跟所有其他系統一樣,內控系統也需要維護以適應環境的轉變。轉變有外部的,也有內部的,例如法例,巿場等的轉變是屬於外部的;流程,資源調配,企業目標等轉變是屬於內部的。

監督的方法主要有兩種,第一種是一個持續的過程 (On-going Process),由內控系統擁有人 (System Owner) 負責在日常中進行,是內控系統的一部份。為方便監督目標是否達到及內控是否有效運作,管理人員會訂立一些指標。以先前講過的採購流程為例,為確保採購的物品及時送到這一個目標,採購部會監察供應商的送貨進度。又例如緊急採購,因為這流程會繞過幾個控制,所以採購部會定期統計這類採購的宗數,當發現有濫用跡象時及時防止。

另一種是監督的方法是由獨立的第三方,例如內審,外審,顧問等負責,對內控系統的進行有效性進行審核。一家企業有多個內控系統,要為每個系統進行評價並不符合成本效益,所以一般的做法是按風險程度來排行審核次序及審核的周期。例如風險較高的採購功能,很多企業都會每年或每兩年進行一次審核,風險較低的功能如行政,海外的小型代表處等,可能會每幾年或按需要時才審核一次。審核完成後,如發現內控系統有缺陷,企業應盡早將制定措施以彌補缺陷,而且在一定的時間後進行後續跟進,確保問題已經妥善解決。

如上面所講,第一種監督方法是嵌入(Built-in) 在系統內的,是持續的 (On-going);第二種則是附加 (Add on) 的,是獨立的。企業除了鼓勵各功能運用第一種監督方法外,也會視第二種方法同樣重要。因為在現實中,營運單位多傾向於「報喜不報憂」,很少營運單位願意坦誠及主動向管理層報告問題,所以兩種監督方法都需要並存。

以免各位打瞌睡,寫完這一篇後,COSO系列文章會暫時完結,日後我會再細談一下COSO Control Model的其他東西,例如新的COSO ERM Model,COSO-based Audit等。

--------
上一篇文章:COSO內控要素:資訊與溝通

&&&&&&&&

2009年3月24日星期二

COSO內控要素:資訊與溝通

在上五篇文章中我們已探討過內控環境 (Control Environment),風險評估 (Risk Assessment) 及控制活動 (Control Activities),現在我們談談第四個要素,資訊與溝通 (Information & communication)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對資訊與溝通有以下的詮釋:

相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。

資訊與溝通良好與否分兩方面看,分別是訊息的質素及溝通的有效性。

訊息的質素 (Quality of Information)

訊息的質素首先取決於數據是怎樣收集。這裡的數據泛指原始數據 (Raw Data),是未經分析或處理過的,而訊息 (Information) 則是指經分析或處理過的數據。例如銷售,每張銷售單 (Sales Invoice Amount)的金額就是數據,將當天的銷售單金額加起來形成每天的銷售金額 (Daily Sales Amount) 就是訊息。相信大家都一定聽過「Garbage In, Garbage Out」,如果收集回來的數據是不準確,不可靠或者過時的話,即使擁有一套先進而龐大的數據處理系統也是徒然。所以在設計信息系統時,必先要清楚了解企業需要什麼訊息和何時需要從而決定收集什麼數據及怎樣分析和處理。例如上述的銷售金額,假設我們需要知道每天的銷售金額,那麼收集的數據就是每一天的每一張銷售單的金額;而按每天將每張銷售單的金額加總起來就是數據的處理方法;最後將每天的銷售金額列出來形成銷售日報表 (Daily Sales Report)就是最後我們期望得到的訊息了。

上面提及到數據需要準確 (Accurate),可靠 (Reliable) 和及時 (timeliness)。準確主要是指數據本身是否能真正反映實況,當中更涉及精確度 (Precision)。例如銷售金額,我們需要多少個小數位?一般來說兩個小數位以經足夠,但匯總以後供管理層參考的銷售報告是否也需要兩個小數位呢?還是要將金額化成每百萬做單位?數據可靠與否主要在於其來源,又以銷售金額為例,如果當中涉及現金銷售 (Cash Sales) 及賒賬銷售 (Credit Sales),我們要知道每天的銷售金額時,最可靠的來源便是銷售單,但如果只收集當天的現金收入當成銷售金額,數據便不可靠了。及時也是非常重要,如果數據不能在一定時限前得到,即使數據十分準確及可靠也是沒有用處。

溝通的有效性 (Effectiveness of Information)

大家可否記得在《淺談內控架構 Control framework》一文中曾經提及過資訊與溝通這要素是位於COSO三角形的兩旁?這代表資訊能夠自由貫穿其他四個要素。訊息能否自由流動是有效溝通的根基,這包括由上而下 (例如由管理層到各功能),由下而上 (例如由各功能到管理層)及在各功能之間的流動。

在今天資訊發達的年代,企業將訊息下達到各功能以至每位員工並不難,但要他們真正清楚了解其訊息就不容易。特別是跨國企業,不同地方不同文化,有效溝通是一個挑戰。要將訊息下達困難,相反要將訊息上呈就更困難。例如日常的營運數據,首先必需通過有效的方法收集並加以分析後才能供管理層審閱。又例如下層或營運單位員工的意見,也需要通過有效的方法收集並匯總以後供管理層參考。

不論溝通是從那一個方向流動,有效溝通還應包括反饋 (Feedback) 的信息。就好像台上講者只顧滔滔不絕地說,但原來台下聽眾一個個悶得發荒地打瞌睡一樣。(請老實告訴我,你們看我寫的文章時有沒有相同的感覺?)

下一篇我會談談最後一個重要要素,監督 (Monitoring)。寫完這一篇後COSO系列文章會暫時完結,日後有機會會再細談。

--------
上一篇文章:COSO內控要素:控制活動
下一篇文章:COSO內控要素:監督

&&&&&&&&

2009年3月23日星期一

一個 Never Ending Story 的誕生-AIG獎金風波

在奧巴馬總統「激到咳」,議員要求AIG高層腹謝罪及美國人人怒忿的情況下,美國眾議院於上周3月19日通過法案,向接受政府注資的金融機構員工徵收九成花紅稅,據報法案還可以追溯至2008年12月31日以以後所發放的花紅。

弄至今時今日的地步,除了AIG外,美國政府何嘗沒有負責呢?一家企業要借貸,其開支不外乎還債及應付日常營運開支,而且華爾街金融機構出名花紅高得驚人,難道在財政部工作多年的財長蓋特納真的如他早前所說「我當時沒能早一點知道此事」?還是他根本無法預料AIG高層居然還可以厚顏無耻至如斯田地發放花紅?其實AIG的無耻早已有跡可尋。就在政府於2008年9月注資後數天,AIG高層豪花金錢到加州及英國「開會度假」,當時消息一出已經人人怒忿填胸,就算蓋特納真的不能早一點知道,他身邊的同僚就沒有一個可以想到?

如果政府能勸化AIG高層並令他們自願退回花紅,這風波或者可以告一段落,但偏偏眾議院為了平息民忿通過法案,不惜以憲法手段來對付一小撮人,在美國憲法人人平等之下的精神以及美國人的一貫作風,幾可肯定,日後挑戰這法案的訴訟肯定陸續有來,令風波沒完沒了。

--------
相關新聞連結:

眾院通過九成花紅稅 美八大行人人自危
http://hk.news.yahoo.com/article/090320/4/b9wd.html

AIG高層再被揭豪花公帑遊英狩獵
http://hk.news.yahoo.com/article/081016/3/8r0s.html

&&&&&&&&

COSO內控要素:控制活動

在上四篇文章中我們已探討過內控環境 (Control Environment) 及風險評估 (Risk Assessment),接下來我們談一談控制活動 (Control Activities)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對控制活動有以下的詮釋:

制訂和執行政策與程序以幫助確保風險應對得以有效實施。

其實控制活動就是我們說的內部控制。在設計及制訂內部控制前,我們需要了解一些概念。

內控的性質

內部控制主要有三種性質,包括預防性 (Preventive Control),偵測性(Detective Control)及矯正性 (Corrective Control)。故明思義,預防性控制就是預防問題的發生,例如將現金鎖在保險櫃,開具支票前需要審批等;偵測性控制就是當有問題發生後把問題報告出來,例如現金盤點,Bank Reconciliation等等;矯正性控制就是當發現問題後將其改正。

理論上,我們會優先考慮預防性控制,正如我們不會只依賴現金盤點而不將現金鎖在保險櫃裡。但有很多時候出於成本的考慮,我們不得不捨棄預防性控制而以偵測性控制取代。例如存放的現金就只有幾百元,要買一個保險櫃或保險箱似乎不切實際,那麼我們可以利用現金盤點這偵測性控制,加上將現金歸到負責人名下,便可以確保現金的安全。

內控的成本效益

如上述所說,控制是需要成本的,如果設置的控制的成本高於其風險或帶來的得益,那麼這個控制就不應該實施,就好像要花幾萬元購買一個保險櫃來存放幾百元一樣。

常用內控的方法

內部控制採用的方法有好幾種,我們常用的包括:

政策及程序 (Policies & Procedures)-建立一個框架,所有活動都控制在這個框架之內。框架首先要有一套政策(Policies),列明各個功能的目標、職責、權限及統屬關係。有了政策後,就應該有一套程序了 (Procedures),程序通常詳細列明功能內部運作的流程,涉及的崗位、文件及信息流向等。各功能應按照既定的政策及程序(Policies & Procedures) 運作。

審視 (Review)-通過第三者審視並給意見,按不同情況,第三者可以是上司,同級人員,其他相關部門人員等。

審批 (Authorization)-一項交易需要得到上級的同意後才可以進行,例如採購單需要採購經理的審批,支票需要授權人簽名等。

憑證 (Documentation)-每項交易有適當的憑證以支持其是否真實,合理或符合程序,例如供應商開具的發票,銀行月結單,內部的請假單等等。

會計記錄控制 (Accounting Controls) -有系統地收集及記錄各項財務活動及成本等資料,從而編制財務報表及各種分析以協助管理。

實物控制 (Physical Controls)-例如將現金鎖在保險櫃,固定資產貼上標籤及為資產造帳登記,現金及實物盤點等。

異常報告 (Exceptional Reporting) -當有異於正常的事情發生時向相關單位報告,例如當系統被入侵,某交易金額異常大或少,系統在非辦公時間被啟動等等。

職責分離 (Segregation of Duties) -交易由準備,審批,執行到記錄由不同的人員負責。例如開出銀行支票,由司庫負責準備支票,授權人負責審批及簽名,行政部負責將支票寄出,會計文員負責記錄造賬。

計劃及預算 (Planning & Budgeting) -進行一項交易甚至一項業務前都需要有一個計劃及預算。

人事管理 (Personnel Management) -我們經常強調人事管理,這是因為內部控制本身是沒有意思的,一定要依靠人來執行,所以每個崗位的招聘,升遷,表現評核,輔導,培訓,離職,薪金報酬水平和道德及操守都需要一套準則來規範。

--------
相關文章連結:
上一篇文章:COSO內控要素:風險評估(二)
下一篇文章:COSO內控要素:資訊與溝通

&&&&&&&&

2009年3月20日星期五

COSO內控要素:風險評估(二)

在上一篇文章《COSO內控要素:風險評估(一)》中,我們已探討過風險及一些相關的概念,現在我們談一下風險管理(Risk Management)的程序。整個程序可以簡單地分成三個環節,包括:

訂立企業目標 (Objective Setting)

目標可分為兩個層面,第一層是組織層面 (Company-wide Objective),第二層是運作層面(Process-wide Objective)。組織層面的目標包括我們時常聽到的使命 (Mission) 或願景 (Vision),策略 (Strategy)及企業目標(Business Objectives);運作層面的目標就是指個別功能的目標,例如採購功能的目標就是在合理的時間以合理的價錢為企業採購符合要求的物品,銷售功能的目標就是為企業獲取最大的利潤或巿場佔有率等。

假設企業的目標是在未來五年提升其盈利達五倍,為達到這個企業目標,各個功能將會訂立不同的目標來配合,例如採購功能會在未來五年降低採購成本x%;銷售功能會提升巿場佔有率xx%等等。

識別風險 (Risk Identification)

風險就是任何威脅或障礙,它們的存在可能影響企業達到其企業目標,企業要有一套方法將這些威脅識別及記錄下來。例如上文提到的現金,其固有風險就是容易被盜取;存放在貨倉的存貨,其固有風險除了容易被盜取外,還可能包括過期 (例如食品、化學製品、藥品),容易腐爛或壞掉(例如食品、化學製品),價值下跌 (例如時裝),儲存的危險 (例如化學製品、煤炭、燃料) ,危害環境 (例如化學製品、燃料)等等。

識別風險以後,我們還需要評估它們影響及重要性。因為企業資源有限,我們不能降低或轉移所有的風險,只有屬性高及有對企業有巨大影響的風險才會受控制。例如一家銀行,她們肯定會投放大量資源以控制現金安全性的風險;一家日常只儲存幾千元現金的企業,雖然現金的安全性風險甚高,但對企業的影響有限,我們不會預期企業會利用銀行相同的手段去保管現金。

評估了各個風險的影響及重要性以後,企業便需要設計適當的控制措施以降低或轉移風險。以化學製品的庫存為例,為了降低被盜取及儲存的危險,企業會設立一個穩固而且備有完善消防,通風及恆溫設備的倉庫,而且每一種化學製品均有標籤列明數量及有效日期,加上庫存記錄系統,企業可以追蹤每一種製品的進出及限期。企業還會有一套環境管理制度,監察化學製品一旦洩漏對環境做成的影響及其應變措施等。為了進一步轉移風險,企業可能會為化學製品購買適量的保險。

管理變革 (Managing Change)

商業環境瞬息萬變,經濟、巿場、法規等的轉變均有可能影響企業的目標。例如一年前香港的銀行還在爭奪按揭貸款巿場的佔有率,現在的銀行則寧願得失客人也不輕易批出借貸。所以識別風險以後,企業還要定期審視環境的變化對企業目標及風險的影響。

--------
相關文章連結:
上一篇文章:COSO內控要素:風險評估(一)
下一篇文章:COSO內控要素:控制活動

&&&&&&&&

2009年3月19日星期四

COSO內控要素:風險評估(一)

在上兩篇文章,我們已探討過內控環境,現在我們談一下風險評估 (Risk Assessment)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對風險評估有以下的詮釋:

通過考慮風險的可能性和影響來對其加以分析,並以此作為決定如何進行管理的依據。風險評估應立足於固有風險和剩餘風險。

這裡的風險評估其實是指風險管理 (Risk Management),那麼具體要怎樣做才算足夠呢?首先我們要了解什麼是風險及一些相關的概念。

什麼是風險?

風險 (Risk) 就是任何威脅或障礙,它們的存在可能影響企業達到其管理或控制的目標。例如現金,其最大的風險就是被盜取;一個計算過程,其最大的風險就是計算錯誤。那什麼是固有風險呢?以上述的兩個例子,現金比貨物更容易被盜,複雜的計算比簡單的計算更容易出錯,那麼容易被盜取就是現金的固有風險 (Inherent Risk),容易出錯就是計算的固有風險,其性質是不能改變的,即是說,不論你運用任何手段,你都無法將「容易被盜取」及「容易出錯」的風險本質改變,唯一可以做的只有將風險降低或轉移。

風險能完全消除嗎?

在現實中我們只可以降低 (Reduce) 或轉移風險 (Transfer),但卻不能將風險完全消除 (Eliminate)。例如現金,我們可以把它放進保險櫃裡去,但放進去後還是有被盜取的風險啊!不是嗎?開啟保險櫃需要鑰匙或密碼,沒有把鑰匙或密碼好好保管的話還是有風險吧。還有,保險櫃並不是百分百安全,賊人可以將整個保險櫃抬走或是利用工具進行爆破,就算買了現金保險,你仍需要付保險費以及保險公司會有倒閉的風險,盡管這些情況出現的機會都很微,但風險仍然存在,尤其是當雷曼倒閉以後,還有誰敢說沒可能?所以在現實中風險是無法完全消除的。

固有風險、控制風險及剩餘風險有什麼關係?


將現金放在保險櫃以降低被盜取的固有風險,如何保管好鑰匙或密碼就是控制風險了(Control Risk)。最後因鑰匙或密碼被盜,或賊人將整個保險櫃抬走或爆破以至現金不翼而飛,這就是剩餘風險了 (Residual Risk)。曾在一個培訓中見過這一個圖解,它解釋了固有風險,控制風險及剩餘風險的關係。



風險管理並不艱深,如何找出固有風險,企業可以承受多少風險,通過什麼方法將它們降低或轉移(這涉及到控制風險),要降低或轉移多少(這涉及到剩餘風險),這就是風險管理了。

下篇將會探討風險管理的程序。

--------
相關文章連結:
上一篇文章:COSO內控要素:內控環境(二)
下一篇文章:COSO內控要素:風險評估(二)

&&&&&&&&

2009年3月18日星期三

內審的專業文憑課程

前幾日在某免費報紙內看到中大專業進修學院將會舉辦一個關於內審的專業文憑課程(Professional Diploma Programme in Internal Audit and Control),根據其簡介,這課程是依照IIA的CIA考試內容來編排的,報名截止日期是09年3月31日,詳情如下:


先旨聲明,我從未報讀過中大的課程,所以不知道這課程好或不好。

--------

http://www.scs.cuhk.edu.hk/scs/scs_news/press_release/doc/pr_1_500?disp=ch

內 部 審 計 及 監 控 專 業 文 憑 課 程 ( 第 二 屆 )

加 強 企 業 內 部 監 管 效 用 助 專 業 人 士 考 取 內 部 審 計 師 資 格
(2009 年 3 月 16 日)
面 對 全 球 經 濟 不 明 朗 , 不 少 企 業 日 益 關 注 內 部 審 計 及 風 險 管 理 工 作 , 而 市 場 對 內 部 審 計 專 才 的 需 求 亦 不 斷 增 加 。 有 見 及 此 , 香 港 中 文 大 學 專 業 進 修 學 院 開 辦 第 二 屆 「 內 部 審 計 及 監 控 專 業 文 憑 課 程 」 , 特 別 適 合 從 事 會 計 、 銀 行 、 金 融 業 , 及 有 志 從 事 內 部 審 計 及 監 控 人 士 修 讀 , 助 他 們 掌 握 相 關 的 專 業 知 識 , 以 加 強 企 業 的 內 部 審 計 功 能 。

課 程 亦 為 有 意 報 考 The Institute of Internal Auditors (IIA) 的 內 部 審 計 專 業 考 試 人 士 而 設 , 以 取 得 備 受 內 地 及 世 界 各 地 認 可 的 Certified Internal Auditor (CIA) 專 業 資 格 。 IIA 成 立 於 一 九 四 一 年 , 是 國 際 性 的 內 部 審 計 專 業 機 構 , 在 業 內 的 專 業 培 訓 及 認 可 方 面 佔 有 領 導 地 位 , 會 員 人 數 逾 十 三 萬 , 遍 佈 全 球 一 百 六 十 五 個 國 家 及 地 區 。


課 程 內 容 課 程 採 用 IIA 認 可 教 材 , 分 為 四 個 單 元 , 共 123 學 時 , 學 員 可 於 約 八 個 月 內 以 兼 讀 形 式 修 畢 課 程 。 上 課 為 面 授 形 式 , 以 廣 東 話 授 課 , 輔 以 英 語 。 四 個 單 元 分 別 為 ( 一 )Introduction to Internal Audit and Control 、 ( 二 )Internal Audit Skills and Techniques 、 ( 三 )Business Analysis and Information Technology 及 ( 四 )Business Management Skills 。 全 部 單 元 已 獲 持 續 進 修 基 金 認 可 。


報 讀 資 格 申 請 人 須 具 備 下 列 資 歷 : - 持 有 認 可 大 學 學 位 或 同 等 學 歷 ( 報 考 IIA 專 業 試 之 基 本 要 求 ) ; 或 - 持 有 由 認 可 機 構 頒 發 的 相 關 文 憑 或 同 等 學 歷 ; 或 - 年 滿 21 歲 或 以 上 , 及 最 少 兩 年 相 關 工 作 經 驗 。


學 費 及 上 課 時 間 地 點 上 課 時 間 為 逢 星 期 一 晚 上 七 時 至 十 時 及 逢 星 期 六 下 午 二 時 半 至 五 時 半 , 上 課 地 點 為 學 院 的 中 環 教 學 中 心 。 課 程 全 期 學 費 港 幣 18,500 元 , 於 二 零 零 九 年 四 月 底 開 課 , 三 月 三 十 一 日 截 止 報 名 。


課 程 簡 介 會日 期 ︰ 三 月 二 十 五 日 ( 星 期 三 )時 間 ︰ 晚 上 七 時 至 八 時 三 十 分 地 點 ︰ 香 港 中 環 夏 道 十 二 號 美 國 銀 行 中 心 一 樓 106 室 留 座 及 查 詢 電 話 : 2209 0289 / 2209 0233

索 取 資 料 及 報 名 方 法 如 欲 索 取 章 程 或 報 名 , 可 致 電 上 述 電 話 或 電 郵 至 scs-pa@cuhk.edu.hk , 亦 可 親 臨 本 院 教 學 中 心 : 香 港 中 環 夏 道 12 號 美 國 銀 行 中 心 1 樓 / 九 龍 尖 沙 咀 漆 咸 道 南 67 號 安 年 大 廈 13 樓 / 九 龍 旺 角 山 東 街 90 A 號 4 樓 , 及 沙 田 香 港 中 文 大 學 博 文 苑 專 業 進 修 學 院 總 辦 事 處 , 或 瀏 覽 網 址 : www.scs.cuhk.edu.hk 。

這裡有這課程的詳細說明:

http://www.scs.cuhk.edu.hk/scs/course/bus/ab/doc/091-682400-01?disp=en

&&&&&&&&

COSO內控要素:內控環境(二)

在上文《COSO內控要素:內控環境(一)》中我們已探討過三個內控環境 (Control Environment) 的良好特質 (道德及誠信價值觀、對完成目標的保證及董事局和審計委員會),接下來我們繼續餘下的三個。

4) 管理層的管理和運作模式 (Management’s Philosophy and Operating Style)

管理層十分看重風險管理及內部控制,並且定期評估企業需要面對的各種風險。李嘉誠(李超人) 曾經說過,他每天想得最多的就是企業將會遇到什麼問題,所以他往往花上九成時間去考慮失敗,他這種管理模式其實就是風險管理。

其次就是企業主要人員的穩定性,好的企業管理人員不會頻繁更換,如看到管理層在短時間內紛紛「跳船」,企業的前景有多好就可想而知。另外就是企業的各個功能的目標都是清晰而且是現實可行的,經常聽到有企業說要將盈利翻多少翻,但其實只是空談而沒有實質可行計劃支持,這些「志大才疏」的管理層就是不好的例子。還有的是管理層的目光較長遠,不會太著重短期的利益。例如在樓巿暢旺時,一些製造商不務正業轉移投資地產,這就是不好的例子。最後一點,企業的所有運作及決定都是基於既定的商業模式,可靠的巿場信息及合理的假設等。例如在決定參與一個投資項目前,企業會先進行財務分析,可行性研究和投資計劃等。

5) 組織結構及權責分配 (Organizational Structure/Assignment of Authority and Responsibilities)

企業的組織結構嚴謹而且健全,每個功能的目標、職責、權力、權限及統屬關係清楚分明,信息能有效從上而下,由下而上或在功能之間流通。例如採購部,企業規定所有對外的採購必須由採購部統籌及負責,部門的目標是在合理的時間內為用家以合理的價錢採購符合要求的物品,採購人員按級別有不同的採購權限,採購部透過採購系統收集及發放採購信息,如用家的採購申請,採購部的採購單,倉庫的收貨單等等。

6) 人力資源政策 (Human Resource Policies and Practices)

企業有一套完善的人力資源政策並且嚴格執行,政策的內容包括招聘,升遷,表現評核,輔導,培訓,離職,薪金報酬水平和道德及操守準則等,而且其政策還要符合當地法例的規定,不是「講一套,做一套」的那種。

一家企業如果能做到以上六點,內控環境其實是相當不錯的了。不過在現實中未必是那麼完美,例如上文提到管理層要有良好的道德及誠信價值觀,就算他們有良好的品格,要維持道德及誠信價值觀也相當困難,例如在一些第三世界國家做生意,企業真的可以百分百堅持其操守嗎?又例如在同業中其他行家都是這樣做的,但偏偏你的企業不跟隨,除了會受行家排擠外,也可能會影響在巿場的競爭力,所以有些時候企業也不得不向現實低頭做作出妥協。

下篇將會探討另一個重要的要素-風險評估。

--------
相關文章連結:
上一篇文章:COSO內控要素:內控環境(一)
下一篇文章:COSO內控要素:風險評估(一)

&&&&&&&&

2009年3月17日星期二

COSO內控要素:內控環境(一)

在《淺談內控架構 Control framework》中曾提及過COSO的八個內控要素,我將會在本篇及未來幾篇文章介紹其中五個較重要的,包括內控環境 (Control Environment)、風險評估 (Risk Assessment)、控制活動 (Control Activities)、資訊與溝通 (Information and Communication) 及監督 (Monitoring),這即是92年版的COSO Control Model。我個人認為92年版的較簡單易明,不像04年版的過於複雜及令人眼花撩亂,所以我們可以先研究舊的那個,有了基礎概念後再看新的便會事半功倍。

首先,我們先討論一下「內控環境」。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對內控環境有以下的詮釋:

內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經營環境。

那麼具體要怎樣做才算足夠呢?其實良好的內控環境有以下幾點的特質:

1) 道德及誠信價值觀 (Integrity and Ethical Values)

管理層具體良好的道德及誠信價值觀,所謂「上樑不正下樑歪」,如果管理層操守有問題,整家企業包括其員工的操守都不會好到那裡去,所以企業應訂立一套道德及操守準則 (Code of Ethics),並嚴格實施以規範企業內所有員工包括管理層的行為,而且企業應不時教育員工並傳達維護良好企業道德的好處。除此之外,一套健全的準則還應包括一套咨詢程序及投訴制度加以輔助,例如當員工有任何疑問時可以向誰查詢(上司,HR部門,Compliance Officer,還是其他部門?),遇到誠信問題時可以向誰投訴 (上司,HR部門,Compliance Officer,總公司?),投訴的形式 (書面還是口頭?具名或是匿名?通過公司設立的投訴熱線/信箱或是親身投訴?),企業收到投訴後如何處理 (是否接納匿名投訴?每個投訴會獲發一個序號,由Compliance Officer先細看並分派到相關部門進行調查等),調查完成後如何跟進及如何向管理層匯報等等。

2) 對完成目標的保證 (Commitment to Competence)

管理層為每一個職位訂立所需要的知識及技能並提供適當的培訓,而且還要有一套員工表現的審核基制加以輔助。例如要聘請一個會計的職位,你不會請一個沒有相關資格及經驗的人來出任吧?良好的做法應先有一個職務說明 ( Job Description),包括任職資格 (LCCI,CPA,Degree?),經驗要求 (X年會計經驗),職務內容 (Consolidation,AP/AR,Treasury等),薪金水平等,HR部門按照說明為企業尋找適當的人選,而每年評審員工的表現時,職務說明也是一個參考的基礎。

3) 董事局和審計委員會 (Board and Audit Committee)

企業的董事局成員由擁有相關資格及經驗的人士出任,他們對企業身處的行業十分熟悉,而且能夠給予企業富有建設性的意見。董事局中,執行及非執行董事應有一定的比例 (例如香港上巿公司規定至少要有三位非執行董事), 董事局設有審計委員會及董事薪酬委員會等,這些委員會由非執行董事出任及主持,可以獨立與外部審計師及內審溝通,並決定他們的工作範圍,薪酬/報酬等。

內控環境的特質還有另外三點,我將會在下一篇文章繼續和各位探討。

--------
相關文章連結:
上一篇文章:淺談內控架構 Control framework
下一篇文章:COSO內控要素:內控環境(二)
_
&&&&&&&&

2009年3月16日星期一

四則關於09年6月CISA考試的新聞

考試報名期限:
今年的CISA考試將於2009年6月13日舉行,報名期限是2009年4月8日,打算在今年報考CISA的朋友務必於期限前報名。相關的信息通報 (Bulletin of Information) 可在這裡下載:

http://www.isaca.org.hk/cms/content/view/187/42/

--------

CISA/CISM/CGEIT認證考試諮詢會

國際信息系統審計協會(ISACA)主辦的信息系統審計師(CISA)、信息安全經理(CISM)及企業IT管理認證(CGEIT)考試將於2009年6月及12月舉行。為向有志於信息系統審計與控制領域發展的人士介紹有關專業資格及認證的詳情,ISACA香港分會將於3月21日在北京、上海及廣州市舉辦免費諮詢會,詳情如下:

日期:2009年3月21日(星期六)
時間:下午 2:00-4:00
北京市地點:東城區東長安街1號 東方廣場安永大樓 8層
上海市地點:盧灣區湖濱路202號 普華永道中心 11樓
廣州市地點:天河區林和中路172號 廣州建國酒店(原 天倫萬怡大酒店)3樓
費用:全免

欲參加本次免費諮詢會,請將登記資料傳真或電郵發給我們: 傳真: 852-81012802 e-Mail: admin@isaca.org.hk This e-mail address is being protected from spam bots, you need JavaScript enabled to view it

查詢有關諮詢會詳情,請聯絡ISACA香港分會: (852)81012801

http://www.isaca.org.hk/cms/content/blogsection/1/47/

--------

CISA Practice Question Database V8 Upgrade

Purchasers of the CISA Practice Question Database v8 are now eligible to purchase an upgrade to your software containing 100 new questions. The new questions are the same questions found in the "CISA Review Questions, Answers & Explanations Manual 2009 Supplement". This upgrade is only available as a web site download. The upgrade can be purchased by ISACA members for US$30.00 or nonmembers for US$50.00.

http://www.isaca.org.hk/cms/content/blogsection/1/47/

--------

CISA Review Manual 2009現已有售:

The CISA Review Manual 2009 is a comprehensive study guide that assists candidates in preparing for the CISA exam. The manual can now be purchased through the office of Hong Kong Chapter until stock last, at a discounted price: HK$800 for ISACA members;HK$950 for HKCS / HKICPA / CGA members and;HK$1,100 for non-members.

For further details, please call our office administrator at 8101-2801.

http://www.isaca.org.hk/cms/content/blogsection/1/47/

&&&&&&&&

淺談內控架構 Control framework

筆者註:這一篇文章涉及很多專有名詞,如果不是從事會計及審核工作的朋友可能未看到一半便會沒有興趣,敬請多多包涵。

內控架構有很多不同的理論,最廣為人知的要算是COSO的那一個。COSO 全名是Committee of Sponsoring Organizations of the Treadway Commission,是一個由五個專業團體所資助的美國組織,早於1985年創辦,其目的是要找出企業財務報告造假的成因及如何避免的方法。COSO於1992年發表了一份名為《內部控制—整合框架 Internal Control—Integrated Framework》的報告,COSO認為一家企業的良好內部控制必需擁有五大要素,包括Control environment (內控環境), Risk assessment (風險評估),Control activities (控制活動),Information & communication (資訊與溝通),和Monitoring (監督)。由於這個架構是一個三角型,我們稱呼這個架構做COSO三角形或COSO金字塔。內控環境位於底部,代表這要素是內控的基礎,往上看分別是風險評估,控制活動及位於最頂部的監督,而在兩旁的資訊與溝通則代表資訊能夠自由貫穿其他四個要素。
_
當Enron及WorldCom事件爆發後,企業管治成為全球的熱門話題,很多公司都需要改善其內控架構,加上美國Sarbanes-Oxley (SOX) 法例明確要求上巿公司需要參考COSO的架構以改善其內控,所以從那時開始它便被廣泛應用。不過當時COSO的架構有些不合時宜,在2001年COSO開始修訂原有的架構,並在2004年推出一個全新的《企業風險管理-整合框架Enterprise Risk Management — Integrated Framework》。新架構由三角形變成了正立方形,五大要素變成八大要素,包括Internal environment (內部環境),Objective setting (目標設定),Event identification (事項辨認),Risk assessment (風險評估),Risk response (風險回應),Control activities (控制活動),Information & communication (資訊與溝通)和Monitoring (監督),而且還重申四個企業目標 (Objectives) 的重要性,包括Strategic (策略性),Operation (營運),Reporting (報導) 及 Compliance (遵循)。新的架構比舊有的全面,但較复雜,詳細資料可以到COSO的網站找得到,他們有一份多個語言版本的要覽 (Executive Summary),可按以下連結下載,費用全免。
http://www.coso.org/ERM-IntegratedFramework.htm

另外,在2006年6月COSO推出了一份《Internal Control over Financial Reporting – Guidance for Smaller Public Companies 財務報導的內部控制-較小型公開發行公司指引》及2009年1月的《Guidance on Monitoring Internal Control Systems》。其要覽可以在這裡下載 http://www.coso.org/IC.htm,費用全免。

除了美國COSO的內控架構外,世界各地還有其他的內控架構,例如英國的Cadbury Report所提及的企業管治系統 (Corporate Governance System),以及後期相繼推出的Greenburg Report,Hampel Committee Report及Combined Code。又例如IBM公司自己創立的CARES內控架構和US POSTAL自己創立的 Image 2000內控架構等等,其實每個架構背後的理論都是大同小異,分別在於如何演繹及應用的層次而已。例如Cadbury Report主要關注Shareholders的利益,而COSO,CARES 及Image 2000主要幫助企業如何達成目標。不過由於SOX的關係,現在講內控架構,大多數人就只會講COSO了。例如大陸於2008年5月推出的《企業內部控制基本規範》,其中要求企業的內部控制應包括上述COSO的五大要素 (但為何只用92年版的COSO model而不用最新的04版本呢?),並要求所有上巿公司於2009年7月起施行。全文可以在這裡下載:
http://www.gov.cn/zwgk/2008-07/02/content_1033585.htm

如有錯漏或有其他心得, 請大家指正及提出來研究。謝謝!

至於每一個內控要素及目標的詳細要求,我將會另文再談。
--------
相關文章連結:
&&&&&&&&

2009年3月13日星期五

孟姜女與胡孟青

古有姜女哭崩長城,今有胡青哭崩U盤,兩位女士雖然身處不同年代,但其哭聲震天,為後人津津樂道,妙哉妙哉!

匯控供股權上板 港交所腰斬收市競價

港交所宣布,由3月23日開始,即匯控供股權(2997)上板買賣當日,10分鐘的U盤時段會正式取消,港股收市時間將恢復在4時正。港交所行政總裁周文耀重申,作出有關決定是希望「挽回投資者對市場的信心」...

http://hk.news.yahoo.com/event/fc/20090313/buhkex.html

&&&&&&&&

令人既羨慕又妒忌的菲律賓勞動法

上文《再談菲律賓人》提到菲律賓的勞工法例對工人的保障甚多,單是超時加班費,按法例規定就有10種,現詳列如下:

1) On Ordinary Days: Number of hours in excess of 8 hours (125% x hourly rate)

2) On a Rest Day, Special Day or Regular Holiday: Number of hours in excess of 8 hours (130% x hourly rate)

3) A Special Day (130% x basic pay)

4) A Special Day, which is also a scheduled Rest Day (150% x basic pay)

5) A Regular Holiday (200% x basic pay)

6) A Regular Holiday, which is also a scheduled Rest Day (260% x basic pay)

7) Computing Night Shift Premium where Night Shift is a Regular Work On Ordinary Day (110% x basic hourly rate)

8) Computing Night Shift Premium where Night Shift is a Regular Work On a Rest Day, Special Day, Regular Holiday (110% of regular hourly rate for Rest Day, Special Day, Regular Holiday)

9) Computing Overtime on Night Shift On Ordinary Day (110% x overtime hourly rate)

10) Computing Overtime on Night Shift On Rest Day, Special Day or Regular Holiday (110% x overtime hourly rate for Rest Days, Special Days, Regular Holidays)

如果員工需要在夜班工作並且加班 (法例規定10:00pm至6:00am為夜班工作),按以上法例要求計算便會再多8個組合,即是總共有18種超時的加班費,最高可獲286%的時薪,而且當地企業多是每半個月發薪一次,單是計算Payroll就令人頭痛。

除了超時加班費外,當地勞工法例還有一些令香港人既羨慕又妒忌的保障,包括:

1) 最低工資:分農業及非農業職位,而且每個區域的最低工資都不一樣。

2) 最高工時:每天8小時或每周48小時,中間的小休時間也計算在8小時內。超過8小時的按加班計。

3) 服務年資獎勵:每做滿一年,員工便在下一年享有5天帶薪假期。

4) 休息時間:每餐必需要有至少1小時的休息時間。

5) 第13個月薪金:對,你沒有看錯,我也沒有寫錯!法例規定,僱主必需每年多付一個月薪金給員工。

6) 社保 Social Security System (SSS):僱主及僱員需每月供款,供款額按薪金水平計算,僱主的最高供款額是每月1090披索。

7) Home Development and Mutual Fund (HDMF):僱主及僱員每月各供款100披索以用作員工將來置業之用。

8) National Health Insurance Program (NHIP):僱主及僱員需每月供款,供款額由100至750披索按薪金水平計算,僱主及僱員各付50%。

9) 退休金:按服務年資計算,每1年相等於半個月的薪金。

先不論當地有多少僱主會完全跟從,單看法例,看完後各位有沒有打算到菲律賓打工去?

--------
相關文章:
菲律賓
再談菲律賓人

&&&&&&&&

2009年3月12日星期四

再談菲律賓人

菲律賓人窮,主要跟天氣和當地人性格有關。菲律賓以東海域盛產颱風,一年365日都受颱風威脅,而且全年平均氣溫高達27度,所以當地人多是懶洋洋的。不知是否他們看生死比較豁達還是因為他們性格樂天,他們的生活態度是今朝有酒今朝醉,千金散盡還復來。

菲律賓人崇洋,特別是美國人,這可能是因為菲律賓曾是美國的殖民地吧。在各大城市中,美式連鎖快餐店遍佈每一個角落,什麼McDonald,KFC,Burger King,Starbuck,Wendy,TGI Friday等等,簡直是應有盡有。記得有一次我在馬尼拉其中一家Starbuck排隊買咖啡,排在我前面的一位外籍 Backpacker 正在看價目表,我與她素未謀面,但她突然轉身問我,菲律賓人的工資那麼低,他們如何能負擔喝一杯那樣昂貴的咖啡,言下之意是不應將價錢定得那麼高,不應壓榨菲律賓人云云。

天主教是當地的國教,大主教地位超然,而且有能力左右政府施政,每一個大小城市都有教堂,教堂不單只大,還很漂亮。當地人最相信的是聖母,家家戶戶都擺放一尊聖母像,在辦公室內也會見到聖母畫像,但信奉程度近乎迷信,這就不太健康了。

菲律賓人愛節拍強勁的音樂,玩爵士樂也是能手,幾乎每家酒吧都設有 Live band 現場演奏。典型的菲律賓男人都有一個啤酒肚,愛蓄八字鬚,喜歡花天走地,到處留情。他們愛穿Barong,是白色為主近乎透明的薄衣,布料是以香蕉樹葉的纖維織成。典型的菲律賓女人都較矮,皮膚黑皙,傳統衣服是Baro't saya,兩件頭的,上衣是近乎透明的薄衣,下身是一條長長的裙子。不過現在很多婦女都愛穿西服,穿傳統衣服的不多。 菲律賓的俊男美女多是西班牙裔的,菲律賓人苦難多,除了美國外,也曾是西班牙的殖民地。

菲律賓的官方語言是「他加洛語Tagalog」,他們本身並沒有文字,寫出來的其實全是語音。我沒有語言天份,曾學過幾句你好嗎,早晨,晚安之類,現在已全部記不起,而且早以扔到爪哇國去了。做內審時偶爾會查到一些他加洛語寫的發票及文件之類,這時候翻譯網站就大派用場,我常用的是這兩個:

http://freetranslation.imtranslator.net/?dir=en/zt&text
http://www.lingvozone.com/

在菲律賓做HR及Payroll審計最頭痛,我曾任職的公司,單是超時工作時薪的種類就有18種。對,我沒有說錯,是18種。這是當地勞工法例的規定,超時工作的Pay rates由最低的時薪x125%至最高的260%,而且法例對工人的保障甚多,下篇再談。

--------
相關文章:
菲律賓
令人既羨慕又妒忌的菲律賓勞動法

&&&&&&&&

2009年3月11日星期三

菲律賓

早年因工作關係,我經常需要到菲律賓出差。菲律賓是一個我極不願意到訪的地方,原因有很多,首要是治安太差和當地人太貪婪。不是說所有菲律賓人都是這樣,至少我曾遇到過幾個不貪婪的警察。那次實在很幸運,我們幾個香港人在當地遇上交通意外,理虧的是我方,被「請」到警察局時心想這次死定了,豈料那幾位警察不單沒有勒索我們,還幫助我們調解糾紛。不過普遍來說當地人都不太誠實,今天偷了東西,去教堂懺悔過後可以在明天再偷過。其次是菲律賓的男人太壞,雖然我是男人但實在也看不過眼。雖然菲律賓奉行一夫一妻制度,但當地男人三妻四妾視作平常。他們不單只自命風流,而且懶惰,今朝有酒今朝醉是他們的座右銘,在一個家庭中,所有女的都要外出辛苦打工,所有男的卻可以整天游手好閒不事生產。

另一個我不願意到訪的原因是椰油。菲律賓人主要是以椰油煮食,而他們又特別喜愛煎炸食物,經椰油煎炸過的食物會有一陣陣「益」味,不要說下嚥,我連嗅也不想嗅一下。還有一種叫美人手指的蔬菜,即是秋葵。當地的秋葵特別「滑澀澀」,加上用椰油煮過的,對不起,我實在吃不下,對需要節食減肥的我其實是個喜訊。菲律賓的海產極豐富,最出名是 Lapu-lapu,即是我們常吃的石班魚,可惜他們最愛把新鮮味美的石班用猛火燒至黑炭後才拿來吃,真是暴殄天物啊!當地唯一能令我開懷大饞的就只有芒果,但始終不能把它當飯吃吧。

交通差也是一個原因。撇開因菲律賓小島眾多所以交通不發達不說,單是其主島呂宋,道路情況惡劣,雨季時道路水浸時有發生,首都馬尼拉的交通又經常擠塞,原本一個小時的車程往往需要三個小時才能到達目的地。話雖如此,但因交通差勁卻造就了我有多次乘坐直昇機的機會。早年經常要到當地做內審,但被審單位處於較偏遠的地區,不計算交通擠塞,單乘汽車也要多個小時,若果碰巧公司高層要到訪當地,我可以乘機搭一下「順風機」。不單直昇機,小型飛機也乘搭過一次,不過我較喜歡直昇機,因為飛行高度較低,沿途可以欣賞美麗的景色。

最令人害怕的原因是當地政局極不穩定,早年軍事政變頻繁,又試過以人民力量推翻執政者,除了要顧及自己的人身安全外,還害怕要令家人掛心。不過菲律賓人很「識做」,因當地的經濟主要依賴旅遊,很少聽到在這些事件中會傷及外國人。菲律賓總統是由菲律賓人民直接選出來,但目不識丁的窮人實在太多,容易被政客煽動。很記得有一次當地發生人民力量運動時我剛巧在當地,公司還讓員工提早下班參加集會,其中一位當地的中層經理向我說菲律賓不應有民主選舉,他認為菲律賓蠢人太多,所以每次都選出一個蠢人出來當總統,聽後我無言以對。

--------
相關文章:
再談菲律賓人
令人既羨慕又妒忌的菲律賓勞動法

&&&&&&&&

2009年3月10日星期二

No Pay Leave

今天3:15pm剛收到消息,又有一家會計師大行推出 No Pay Leave計劃,聽說是每個月要放4天無薪假,計劃直到2010年5月為止,即是變相減薪16-20%左右。這對員工來說當然不是什麼好消息,但總比裁員減薪好一些。在社會工作那麼多年,從來未見過經濟是那麼差,雷曼破產,香港及大陸出口下跌,企業倒閉、裁員、減薪,股巿插水,像是壞日子無止境似的。希望好境的曙光快點來臨吧。

後記:剛從新聞網內找到相關的新聞,以此存照,希望來年回看這篇文章時我們可以見到好日子的曙光。

--------
相關新聞連結:

會計也過冬 安永勸中港員工放無薪假
http://hk.news.yahoo.com/article/081218/4/9t29.html

安永倡放40日假兩折支薪 港澳內地8500員工受影響
http://hk.biz.yahoo.com/090415/241/3c7j2.html

畢馬威推40天「兩折有薪假」 電郵通知員工自願申請 下月生效
http://hk.news.yahoo.com/article/090305/4/b0i7.html

德勤會計師行變相減薪18%,要求員工每月放4天無薪事假
http://hk.news.yahoo.com/article/090311/9/b3my.html

均富變相減薪一成
http://home.on.cc/cgi-bin/orimain/search/orisearch.cgi?start=1&end=10&search_query=%A7%A1%B4I&x=26&y=4

羅兵咸永道推無薪假 半年15天
http://hk.news.yahoo.com/article/090327/4/bead.html

&&&&&&&&

外審與內審的複雜關係

要探討這個親密又複雜的關係,首先要了解他們及會計的工作性質及角色。

會計 (Accounting) 的基本工作是有系統地收集及記錄企業的財務活動及成本等資料,從而編制財務報表及各種分析以協助企業的管理。外審 (External Audit) 是獨立於企業以外的第三者,基本工作是審核企業的財務報表並給出意見,說明報表是否公允及真實地反映實況。內審 (Internal Audit) 則與會計一樣,是企業的其中一個功能,但又獨立於會計,其基本工作是審查各功能及流程 (不限於會計,還包括其他功能及流程) 以協助企業找出問題並向管理層建議適當的措施將問題解決。

簡單地說,會計是Doer,外審是財務報表的Checker,而內審則是功能及流程的Adviser。

為了審核企業的財務報表是否公允及真實地反映實況,外審需要審查企業的財務及其他相關的記錄,但100%的審查並不乎合成本效益,所以外審需要根據審計風險對記錄進行抽查。為了減少抽查的數量,外審可以先對企業的內部控制進行評估,如果發現企業的內部控制是有效及可靠的話,抽查的數量便可以減少。在進行評估時發現內部控制問題是副產品,外審會通過管理建議書 (Management Letter) 通知企業改善。

內審的工作也需要對企業的內部控制進行評估,但目的跟外審不一樣,當發現內部控制有問題時,內審需要協助相關單位設計適當的措施,而且還要在措施落實後跟進問題是否完全解決,這就是一個持續改進的過程。

一家企業需要面對很多風險,如果以COSO (Committee of Sponsoring Organizations of the Treadway Commission) 的方法劃分,風險包括Strategic (策略性風險),Operation (營運風險), Reporting (報導風險) 及 Compliance (遵循性風險)。外審專注的是Reporting及 Compliance內關於財務 (financial) 的部份,而內審則需要專注企業所有的風險。

但近年Sarbanes-Oxley Act (SOX) 的出現,令外審及內審的工作有了一些變化。因SOX要求企業管理層在年度報告中出具財務報導內控 (Internal control over financial reporting (ICFR)) 的評估報告,內審為企業的 ICFR 進行審核的需求大增,但ICFR只是企業需要面對多個風險的其中一項而已,令近年內審的工作過於側重ICFR。至於外審,SOX要求他們核證 (attestation) 企業管理層所出具的內控評估報告,所以他們對內部控制進行的評估已不單只用於審計抽樣。上述的外審和內審的工作變化,目前只對在美國上巿的企業有影響,但其他國家或地方已蠢蠢欲動,欲仿傚美國推出類似SOX的規定。這個趨勢必定對內審和外審做成長遠的影響。


&&&&&&&&

2009年3月9日星期一

$33蚊的意義

今天匯豐的股價收$33,我突然想起了一首歌曲的名字--夢醒時分。看來一眾股民、基金、靠匯豐股息營運的機構等等不用再躊躇選擇供股與否了,因為巿場已幫大家決定了,按$33元計,今天的除權價是$31.5 [($33x12)+($28x5) / (12+5) = $31.5],如果選擇供股,手上的股票理論上還值$31.5,但如果不供股,手上股票會被攤薄至只有$23.3 [($33x12) / (12+5) = $23.3],to be or not to be, that is the question。

相關連結:
馬沙筆記: 環球金融 地踎智慧
大口仔筆記: 匯控2008年全年業績及管理層報告 (基本分析)

&&&&&&&&

唐人街

上月紐約唐人街的一棟公寓發生大火,釀成2死多人受傷。有報導指公寓樓齡高,而且缺乏消防設施,令灌救非常困難。也有幸存者訴說想開窗逃生,卻發現怎也打不開。我未到過紐約的唐人街,但曾到過三藩巿的那一個,當時和幾位美國同事一起去看的,看過後令我蒙羞。與其稱呼為「街」,不如稱之為區,整個唐人區地上的垃圾及污水隨處可見,與隔鄰不屬於唐人區範圍的潔淨街道形成強烈的對比,美國同事問我為什麼中國人能忍受在這樣的環境中生活,其實說歸根究底就是比「各家自掃門前雪」還要差的態度,把污水及垃圾搬到屋外就等於和自己無關。

除了三藩巿外,我也到過英國倫敦,巴西聖保羅巿,菲律賓馬尼拉,越南胡志明巿及澳洲墨爾本的唐人街。印象中,墨爾本的唐人街最潔淨,有很多由香港人在那裡開店舖;倫敦的唐人街還算潔淨,但其中一家港式茶餐廳則臭名遠播;聖保羅巿的唐人街很熱鬧,有很多由當地華人開辦的商店,但只有幾家是賣華人雜貨的,其他多是售賣巴西的土產,例如蜂膠;馬尼拉的唐人街治安差勁,而且衛生惡劣,未到街口我已調頭走;胡志明巿的則最不堪,其衛生程度比國內任何一個地方還要糟糕。別的不說,單看附近的一條河,河水呈深黑色,從遠處也能嗅到其惡臭,河上還有人居住,現在回想起來也想吐。

埃及的開羅也有一個小唐人街,在中國領事館附近,不過只有寥寥幾家中國小商店及食店,最有趣的是一家賣豬肉的,其門面極其隱蔽,因為埃及人信奉回教,豬肉被視為不潔,雖然在當地賣豬肉不是犯法,但為免麻煩,他們只好低調地做生意。曾到過那裡吃過一頓晚飯,印象最深刻是那一碗雲吞菜湯,雲吞不是自家製而是香港「公仔點心」的出品。

--------
相關新聞連結:

紐約唐人街舊樓大火2死28傷

http://hk.news.yahoo.com/article/090225/3/aux6.html

&&&&&&&&

2009年3月7日星期六

運用審計軟件實例

繼續上文《善用 Audit Software 做內控評審 》的討論。目前流行的審計軟件分別是ACL及IDEA,有朋友說只要運用Excel了得也一樣。我認同這說法,但比較前兩者,Excel有以下缺點:Excel最多只可以處理66536條數據,而且當檔案大小起過了數MB以後,處理的速度會明顯降低,電腦還不時會擋機,但ACL及IDEA沒有這限制,分析大量數據的速度比Excel快很多;Excel不能直接連接大型數據庫 (例如SAP及Oracle),但ACL及IDEA則可以;ACL及IDEA有一個Log的功能,記錄了使用者所有的活動,方便日後參考。所以如果需要分析大量數據,ACL及IDEA是首選,但如果數據數量不大,使用Excel就足夠了。

返回正題,核實數據是完整及準確後,我們可以開始利用軟件進行一些分析,例如:

1) 採購流程效率統計
將採購申請單,比價單,採購單及收貨單連結起來 (Excel 可能需要用上Vlookup的formula,而ACL及IDEA則可以運用Relation或Join的功能),並將每一個採購的每一個環節的日期相減,例如遞交採購申請的日期與比價單製表日期相減,比價單製表日期與採購單審批日期相減,採購單審批日期與收貨日期相減,如此類推,最後計算出每一個環節所需要的平均時間。如有那一個環節需時特別長,抽查一些需時較長的採購並跟進其原因。

另外,將採購申請單內的需求日期與收貨日期比較,跟進那些需時特別長的採購並找出原因。

2) 採購申請單/採購單/收貨單的完整性測試
這三種單都有一個序號,利用ACL及IDEA將重號及跳號的即時找出來。利用Excel都可以做得到,但要先張序號由小至大排序,然後利用LEFT,MID或RIGHT等的formula將序號抽出並轉換成數值然後上下行相減,再用Filter將相減後數值不等於1的單子挑出來檢查。

3) 採購單付款測驗
向會計部索取一個付款清單,內容包括採購單編號,收貨單編號,付款日期及付款金額。將這清單與採購單對比,檢查付款清單上的採購單編號是否存在於採購單上,而且其金額是否相同。

同樣,將付款清單與收貨單對比,檢查付款清單上的收貨單編號是否存在於收貨單上,而且其收貨數量是否相同。

4) 沒有格價的採購/沒有採購申請單支持的採購單
不論Excel,ACL或IDEA,利用Filter將沒有比價單編號或採購申請單編號的採購單挑出來檢查。

5) 採購單審批限額測驗
若果不同職級的採購人員有不同的權限,先用Excel做一個表,列明每位採購人員的審批限額,再將這個表與採購單的數據連結,並以審批人做Key field,比較每張採購單的審批人是否超出其審批限額。

6) 合格供應商測驗
將合資格供應商名單與採購單做比較,如果採購單上的供應商不在合資格供應商名單,將這些採購單挑出來檢查。

7) 採購單價格測驗
將採購單及比價單連結起來,並將每一個採購單的金額與比價單中的最低價比較,如果採購單金額大於最低價,把這些採購單挑出來檢查並了解其原因。

另外,將採購單及採購申請單連結起來,比較採購單金額與預算金額,如果前者比後者高,把相關的採購單抽出來,並檢查是否得到用家部門的同意。

如果你們也有其他測試,請留言與大家分享。

--------

相關文章連結:
上一篇文章:善用 Audit Software 做內控評審
其他文章:
如何為採購功能做內控評審 (一)「平」
如何為採購功能做內控評審 (二)「靚」
如何為採購功能做內控評審 (三)「快」


&&&&&&&&

2009年3月6日星期五

善用 Audit Software 做內控評審

在《如何為採購功能做內控評審》的三篇文章中曾幾次提及抽查採購單,同事小E聽完後問了一個很好的問題,企業一年裡開出的採購單數以萬張計,要從中找到有問題的不是大海撈針嗎?

其實我們可以利用審計軟件 (Audit Software) 進行100% Scrutiny。它有別於100% Sampling 或 100% Checking,前者是通過各種分析將異常的地方先找出來再進行重點檢查,後者則是通過百分百的檢查來找問題。如果採購單一年裡只有幾十張,100% Sampling 未嘗不是好方法,但如果數量是千張萬張計,100% Sampling並不可行,所以為了提高審計效率及找到問題的機會,近幾年已流行利用審計軟件做 100% Scrutiny,但大前提是相關的數據必需是電子化的。

目前流行的審計軟件有三款,分別是 Microsoft Excel,ACL (Audit Command Language)及 IDEA (Interactive Data Extraction and Analysis)。三款軟件在功能上大同少異,差別只在於處理數據的容量及速度,使用方便的程度,可以直接連接數據庫的種類 (例如直接連接到 Oracle,SAP等Database) 等等。至於它們具體的比較及應用,他日我會另文再談。

那要怎樣做呢?以審計採購功能做例子吧。我們可以要求IT部門或親自從系統中把以下的數據抽出來:

1) 採購申請單:數據包括申請序號,日期,物品描述/編號,採購數量,預算金額,需求日期,申請人,審批人等

2) 比價單:數據包括比價單編號,供應商名稱/編號,相關採購單序號,報價金額,日期,物品描述/編號,製單人,審批人等

3) 採購單:數據包括採購單序號,日期,供應商名稱/編號,物品描述/編號,採購數量,金額,交貨日期,相關採購申請序號,製單人,審批人,相關收貨單序號,比價單編號等

4) 收貨單:收貨單序號,收貨日期,相關採購單序號,物品描述/編號,收貨數量,收貨人等

5) 合資格供應商名單:供應商名稱/編號,聯絡地址/電話,聯絡人姓名,加入名單日期/資格有效期等

要從系統抽取數據,最理想是由內審自己寫程式或運用審計軟件進行。但因技術所限,很多時我們需要尋求IT部們的協助。另外,數據抽取出來以後還不可以立即使用,在分析前我們需要核對(verify) 數據是否完整及準確。基本的核對方法包括:

Control total:一些系統會在倒出數據時自動將帶有數值的fields進行 control total 的計算,例如將所有採購單金額加起來。如果我們手上的數據和系統所計算的相同,這代表數據是完整及準確。

No. of transactions:以採購單為例,如果系統內有十萬個採購單,核查一下手上的採購單數據是否也是十萬個。

Range check:例如系統顯示採購單金額在$100至$9,000,000之間,檢查我們手上的數據和系統顯示的是否相同。又例如採購單編號,系統顯示編號在00001至99999之間,檢查手上數據的編號範圍是否一樣。

Reasonable check:以採購單金額為例,檢查是否有異常的金額,例如負數,數值很大的金額等。又例如採購單日期,檢查數據內是否有異常的日期,例如2月30日,11月31日等。將數據從系統中倒出並導入審計軟件內,日期格式是一個經常發生問題的地方,所以需要多加留意。

以上的核對方法可以利用審計軟件進行,使用Excel的話可能會麻煩一點,使用ACL及IDEA的話則較方便快捷。下一篇文章《運用審計軟件實例》將會介紹如何從數據分析中找出異常的地方。

--------

相關文章連結:

如何為採購功能做內控評審 (一)「平」
如何為採購功能做內控評審 (二)「靚」
如何為採購功能做內控評審 (三)「快」

&&&&&&&&

2009年3月5日星期四

做內審的Common Sense

我經常說從事內審的人要有常識 (Common Sense),有人問怎樣才算是有常識,應該要怎樣做才好。就以《如何為採購功能做內控評審》的三篇文章做例子,文中所提及「平,靚,快」的三個標準,其實就是Common Sense。

這好比你的手提電話壞了要更換一個新的,巿面機款琳瑯滿目,花多眼亂,在決定買那一款型號前,你要先知道自己有什麼要求及預算:有PDA功能,2G還是3G,攝影功能至少要x百萬像數吧,要Touch screen還是普通keypad,黑色白色還是藍色,一二千元以內還是三四千元以上等等,然後你會按要求及預算找出所有合適的牌子及型號做比較,對吧?這就是「靚」的標準了。

決定你喜歡的牌子及型號後,你會跑到幾家商店或上網問價錢,有什麼優惠,付送什麼禮品,那種付款方式最化算,分期還是現金等等,這就是「平」的標準了。

你舊的電話壞了沒得用,另一半抱怨說整天找不著你,又或者最近搵工跳槽需要等待見工通知的電話,所以要趕及在這個星期內買一部新的,這就是「快」的標準了。

一家企業的採購基本功能不就是這樣嗎?只不過他們的工作更專業更複雜吧了,只要我們能抓住重點,即是我們時常強調的風險,並能將自己日常生活的常識套用進去,你會發現做內審原來並不是想像中那麼複雜和困難。下次做項目時先停一停,想一想,試一試吧。

--------
相關文章連結:

如何為採購功能做內控評審 (一)「平」
如何為採購功能做內控評審 (二)「靚」
如何為採購功能做內控評審 (三)「快」

&&&&&&&&

2009年3月4日星期三

如何為採購功能做內控評審 (三)「快」

在上兩篇文章中,我們已討論過「平」和「靚」這兩個標準,現在我談一下「快」。

這裡的「快」並不是指送貨要越快越好,我們所要求的是「準時」。存放物品需要成本,所以不應要求供應商太早送貨,但如果供應商遲了送貨,這可能會影響生產或營運,所以企業講求的是供應商準時送貨。

要確保物品準時到達,我們預期採購部門會定期追蹤每一張採購單的送貨進度,如果有採購單未能準時交貨,採購部門應第一時間和供應商跟進。另外,採購部門是一個支援部門,我們預期他們會為各種採購申請定下服務承諾,例如收到申請後多少個工作天內完成格價及下採購單的程序。做審計時,我們可以計算採購部門在各程序中實際所需要的時間,並與服務承諾比較從而評估採購部門的效率。

很些時候因情況緊急,採購部門不能按規定為採購申請格價,問題往往在這時出現。所以我們預期採購部門會預先制定出緊急採購的程序,例如什麼情況下可以進行緊急採購,容許採購前可以不進行格價,但選擇供應商時必須從合資格供應商名單中挑選,緊急採購事後必須由採購部總監補簽等等,而且還要定期統計緊急採購的宗數,防止被濫用。

除此以外,我們預期採購部門會在每年為所有合資格供應商的表現進行評估,表現不符合預期的將會從名單中被剔除。評估應包括報價準時率及回覆率,貨物交付準時率,退貨率,用家部門的投訴宗數等等。

以「平,靚,快」做標準,我們還要留意不同情況其考慮的先後次序都會不同。一般非緊急情況,採購多會先考慮「靚」--先將不符合用家質量或規格要求的排除在考慮之列,然後再以「平」和「快」的標準挑選供應商。若果是緊急情況,採購則會先考慮「靚」及「快」,「平」則最後才會考慮。

除了這三個標準以外,我們還需要注意其他方面,包括:

採購部門的權限及責任是否清楚確立:企業應有一份採購政策及程序,詳細列出採購部門的工作範圍,責任,權限及具體的採購流程。還有,企業應為採購部門或全公司制定一份操守標準或指引 (Code of Ethics),列明企業人員可否收受供應商提供的利益,如可以的話,應列明收受利益的限額及申報方法,查詢及投訴程序等。

採購方式是否洽當:採購不同的東西,格價及採購的方法都不盡相同,例如常用的原材料及物品等,企業通常會在每年向合格供應商談好了價錢並簽訂了採購合約。如採購是涉及工程而且金額龐大,選擇供應商的方式則以投標進行。投標有很多種,其中常見的包括明標,暗標或議標;投標分多個步驟,大致上分為準備招標文件,供應商初步審核,邀標/招標,召開投標會議,收取標書,審核標書,公布結果等,每一個環節包括投標評審委員會的成立,招標的方式,落標的程序,標書的規格,封存及遞送方法,標箱的設計,標書的儲存,審標的標準及程序等等都有嚴格的規定。一些公營機構及大型國際企業還要按照國際公約的規定進行招標。

採購人員配置是否妥當:當聘請高級的採購人員時,企業應在簽僱用合約前進行背景調查 (background check),採購人員應定時實行工作輪換 (job rotation)。除了表現評估外,企業應要求採購人員每年填寫利益衝突的聲明或申報。

電腦化採購流程的控制是否足夠:如果採購流程是電腦化的話,基本控制包括,輸入/處理/輸出控制 (Input/Processing/Output Control),系統帳戶的維護 (Account Maintenance),系統備份(System Backup),緊急應變/業務持續計劃 (Contingency Plan / Business Continuity Plan) 等等是否齊備。

上述所說的標準只是審核採購功能的基本要點,我們還需要因應不同行業的特性或企業機構的情況對審計方法及範圍做加減。

--------
文章連結:
上一篇文章:如何為採購功能做內控評審 (二)「靚」
下一篇文章:善用 Audit Software 做內控評審

&&&&&&&&

2009年3月3日星期二

如何為採購功能做內控評審 (二)「靚」

在《如何為採購功能做內控評審 (一)「平」》一文中曾提及,進行採購功能的內控評審時,我們可以利用「平,靚,快」做標準。「平」在上文中以討論過了,現在我們談談「靚」

「靚」就是指採購回來的東西要符合用家部門的要求。我們預期採購部門會在採購前收集好用家的要求,包括物品的描述,規格,質量,數量,所需日期及價格範圍等。最好的做法是由用家部門填寫採購申請表 (Purchase Requisition),為方便跟蹤,申請表應有一個序號及遞交申請表的日期。在選擇供應商時,採購部門應按照用家的要求來挑選供應商並要求報價。

為了確保供應商所提供的貨品及質量符合要求,很多企業或機構都實行供應商資格審查制度 (Supplier Accreditation),新的供應商必須通過資格審查,結果滿意後才可以加進「合資格供應商名單 (Approved Supplier List)」中,而採購部只可以在名單內挑選供應商進行格價或下採購單 (Purchase Order)。在資格審查方面,我們預期審查會包括核查供應商的營業牌照及相關行業牌照,地址,信貸記錄,年度銷售額,主要客戶等等,而且還要調查供應商的董事,高層管理及股東是否和企業的人員(特別是管理層及採購部門人員)有關聯。當有需要時,採購部應派員親往供應商實地視察。採購部門應妥善保留所有文件以證明審查程序是適當地執行。另外,下採購單時,相關物品的資料包括購買物品的描述,規格,質量,數量,所需日期,送貨地點及金額等應清楚列明在採購單上。

為了要測試上述的內控是否有效,我們可以抽查一些採購單並檢查是否有採購申請表支持。另外,為了測試是否所有採購均是由合資格供應商供應,我們可以將採購單列表和合資格供應商名單做比對。由於採購部只可以向合資格供應商採購,合資格供應商名單的更新便很重要,我們需要查詢採購部在這方面的控制是否足夠。還有,我們可以從合資格供應商名單中挑選一些供應商,並檢視審查記錄以確定資格審查是否按規定進行過。

最後,我們預期在收貨時會有專人檢查物品的數量和描述是否和採購單上所相描述的相同,完成收貨後,負責人會開具收貨單並簽名作實,每張收貨單應有一個序號,並列明相關的採購單號及收貨日期。另外,收貨人不應由採購部門人員同時出任,一般情況是由貨倉人員或用家部門負責收貨。如果購買的物品涉及技術,還應由技術人員進行測驗並記錄結果。為了要測試上述的內控是否有效,我們可以從採購單列表中抽樣,並檢視相關的收貨單以確定收貨是按規定進行過。

上述所說的只是「靚」這標準的基本要點,內審人員還需要因應企業的情況調整細節,例如整個採購流程是電腦化的話,我們還要審查合資格供應商名單更新的權限,開具採購單時,系統只容許挑選合資格供應商,採購申請表,採購單及收貨單的序號控制等等。

至於最後「快」這個標準,下篇再談。

--------
相關連結:
上一篇文章:如何為採購功能做內控評審 (一)「平」
下一篇文章:如何為採購功能做內控評審 (三)「快」

&&&&&&&&

2009年3月2日星期一

如何為採購功能做內控評審 (一)「平」

同事小E因獲分派負責審核某分公司的採購功能,最近找我訴說範圍很大,不知如何入手。其實不論在任何企業或機構從事內審,審核採購功能幾乎是指定動作。那麼如何評估這個功能的內控是否夠呢?我的方法只有三個字,就是「平,靚,快」。以這三個標準做評估,在普遍情況下,審計的工作已差不多可以完成一大半。

先講講「平」吧。顧名思義,「平」就是指採購回來的東西價錢要合理。當做審計時,我們預期看到採購部門在採購前會進行格價,例如貨比三家,參考行情或利用投標方式以確定價錢是否合理等等。當然,進行格價需要成本 (時間及人力資源),從成本效益考慮,要求每一單採購做格價並不可行,所以採購部門應有一個政策規定什麼時候及情況下可以不需要進行格價,例如採購的金額少於一定的金額水平,採購物品或服務屬於某些類型,或緊急採購等等。而且採購政策應進一步規範格價方法,例如向多少個供應商拿取報價 (貨比三家,四家或更多) 及拿取的方式(口頭或書面)等等。

為了要測試上述的內控是否有效,我們可以抽查一些採購單(Purchase Order)並進行以下測試:以匿名方式找供應商格價;致電或實地探訪報價單上的供應商以核查他們是否真實存在;檢查格價的方式是否按照規定進行,對那些不需要進行格價的採購,我們也應檢查一下以確定它們是否符合規定。

另外,在採購前用家部門應提供一個預算,一般做法是用家部門在填寫採購申請表 (Purchase Requisition) 時提供。當採購物品的價錢超出了預算,採購部門應在得到用家部們的同意下才下採購單。要測試這內控是否有效,我們可以將採購申請表的預算金額與採購單金額做比較,把所有採購金額超過預算的採購單挑出來並檢查是否在得到用家部們的同意後才開出採購單。

還有,採購部門應妥善保留所有文件以支持每項需要經過格價的採購都是按照政策進行,例如報價單,價目表,標書等等。其中一個最常見的做法是採購部門為每單採購開具一份比價清單 (Price comparison) ,列明各供應商的報價,折扣,付款條款等等。如果採購部門因為某些特別情況不選擇價格最低的供應商,採購部門必需在比價清單中說明原因,並在下採購單前通過相關的審批。

在審計中也要留意有沒有Split Order發生。很多時候,採購人員或用家部門為了繞過採購政策不進行格價,他們會將採購單一分為二,這就是Split Order。如何找它出來?我們可以要求採購部門提供一份採購單的列表,內容包括採購單號碼,日期,供應商名稱,貨物名稱和編號,相關的採購申請編號及金額。將列表以供應商的名稱及貨物名稱和編號排序,然後看看有沒有相同或類似的物品在短時間內下了多個採購單。另一個方法是將採購單列表以採購申請編號排序,抽出所有相同採購申請編號的採購單並跟進是否屬於Split Order。

最後一點,因採購單相等於合約,所以開具採購單應有一定的控制,例如每張採購單應有序號;採購單應由授權人士簽發,而且應有簽發的額度,例如採購主任只能簽發一千元或以下的採購單,採購經理只能簽發最高十萬元的採購單,採購總監則為一百萬元或以下,超過一百萬元的需由董事簽發等等。還有,採購單應列明標準細則以保障企業的利益,這些細則應於事前經由律師或法律顧問審閱。

為了要測試上述的內控是否有效,我們可以檢查所有採購單,如有重號或跳號應即時跟進其原因。如果簽發採購單有金額限制,我們還要也需要檢查是否有Split Order的情況發生。例如採購主任只能簽發一千元,我們可以把剛好或接近一千元的採購單找出來,然後再找出這些採購單的供應商的其他採購單,看看他們是否同屬一個採購申請編號,如果是的話,這大有可能是Split Order。

上述所說的只是「平」這標準的基本要點,內審人員還需要因應企業的情況調整細節,例如整個採購流程是電腦化的話,我們還要審查每位採購人員的系統權限 (Access Control)是否按照採購政策而設定。

至於「靚」和「快」,下篇再續。

--------
相關連結:
下一篇文章:如何為採購功能做內控評審 (二)「靚」

&&&&&&&&

LinkWithin

Blog Widget by LinkWithin