2009年3月2日星期一

如何為採購功能做內控評審 (一)「平」

同事小E因獲分派負責審核某分公司的採購功能,最近找我訴說範圍很大,不知如何入手。其實不論在任何企業或機構從事內審,審核採購功能幾乎是指定動作。那麼如何評估這個功能的內控是否夠呢?我的方法只有三個字,就是「平,靚,快」。以這三個標準做評估,在普遍情況下,審計的工作已差不多可以完成一大半。

先講講「平」吧。顧名思義,「平」就是指採購回來的東西價錢要合理。當做審計時,我們預期看到採購部門在採購前會進行格價,例如貨比三家,參考行情或利用投標方式以確定價錢是否合理等等。當然,進行格價需要成本 (時間及人力資源),從成本效益考慮,要求每一單採購做格價並不可行,所以採購部門應有一個政策規定什麼時候及情況下可以不需要進行格價,例如採購的金額少於一定的金額水平,採購物品或服務屬於某些類型,或緊急採購等等。而且採購政策應進一步規範格價方法,例如向多少個供應商拿取報價 (貨比三家,四家或更多) 及拿取的方式(口頭或書面)等等。

為了要測試上述的內控是否有效,我們可以抽查一些採購單(Purchase Order)並進行以下測試:以匿名方式找供應商格價;致電或實地探訪報價單上的供應商以核查他們是否真實存在;檢查格價的方式是否按照規定進行,對那些不需要進行格價的採購,我們也應檢查一下以確定它們是否符合規定。

另外,在採購前用家部門應提供一個預算,一般做法是用家部門在填寫採購申請表 (Purchase Requisition) 時提供。當採購物品的價錢超出了預算,採購部門應在得到用家部們的同意下才下採購單。要測試這內控是否有效,我們可以將採購申請表的預算金額與採購單金額做比較,把所有採購金額超過預算的採購單挑出來並檢查是否在得到用家部們的同意後才開出採購單。

還有,採購部門應妥善保留所有文件以支持每項需要經過格價的採購都是按照政策進行,例如報價單,價目表,標書等等。其中一個最常見的做法是採購部門為每單採購開具一份比價清單 (Price comparison) ,列明各供應商的報價,折扣,付款條款等等。如果採購部門因為某些特別情況不選擇價格最低的供應商,採購部門必需在比價清單中說明原因,並在下採購單前通過相關的審批。

在審計中也要留意有沒有Split Order發生。很多時候,採購人員或用家部門為了繞過採購政策不進行格價,他們會將採購單一分為二,這就是Split Order。如何找它出來?我們可以要求採購部門提供一份採購單的列表,內容包括採購單號碼,日期,供應商名稱,貨物名稱和編號,相關的採購申請編號及金額。將列表以供應商的名稱及貨物名稱和編號排序,然後看看有沒有相同或類似的物品在短時間內下了多個採購單。另一個方法是將採購單列表以採購申請編號排序,抽出所有相同採購申請編號的採購單並跟進是否屬於Split Order。

最後一點,因採購單相等於合約,所以開具採購單應有一定的控制,例如每張採購單應有序號;採購單應由授權人士簽發,而且應有簽發的額度,例如採購主任只能簽發一千元或以下的採購單,採購經理只能簽發最高十萬元的採購單,採購總監則為一百萬元或以下,超過一百萬元的需由董事簽發等等。還有,採購單應列明標準細則以保障企業的利益,這些細則應於事前經由律師或法律顧問審閱。

為了要測試上述的內控是否有效,我們可以檢查所有採購單,如有重號或跳號應即時跟進其原因。如果簽發採購單有金額限制,我們還要也需要檢查是否有Split Order的情況發生。例如採購主任只能簽發一千元,我們可以把剛好或接近一千元的採購單找出來,然後再找出這些採購單的供應商的其他採購單,看看他們是否同屬一個採購申請編號,如果是的話,這大有可能是Split Order。

上述所說的只是「平」這標準的基本要點,內審人員還需要因應企業的情況調整細節,例如整個採購流程是電腦化的話,我們還要審查每位採購人員的系統權限 (Access Control)是否按照採購政策而設定。

至於「靚」和「快」,下篇再續。

--------
相關連結:
下一篇文章:如何為採購功能做內控評審 (二)「靚」

&&&&&&&&

24 則留言:

匿名 說...

第一個Sharing 就係 Procurement, 果然係高手.

Bittermelon 說...

其實係我懶,因為procurement較易寫和較易明白,不竟寫這類題目較辛苦,先寫比較容易的試試大家的反應,如果OK的話,便繼續寫其他的.

Ebenezer 說...

想問師兄有否在 procurement audit 中捉過賊? 如有,可否在往後文章分享一下心得?

Bittermelon 說...

Procurement audit中揾到疑似個案就不少,但最後成功捉到過賊既就未試過,但係 staff expense review 中就試過幾次成功捉到過賊,仲次次都係人贓並獲,有證有據(其實因為d人太蠢).下次另寫一文分享 ^_^

Schmuck 說...

Procurement 其實係好重要, 但係有好多細微地方d 人總係則則膊, 例如要貨比三家, 個process owner話當時無其他suppliers 就算(張張都係甘), 上面又照批, 無佢辦法.

Split Order 又有好多藉口被推甩

所以我都覺得好難捉到

Schmuck 說...

如有時間可否分享下你對以下問題的經驗?

1) Inventory
2) Management override
3) Management ethics/fraud

基本上我面對2) 同3) 真係無能為力...

Bittermelon 說...

Hi Schmuck,
我都有同樣經驗,多多藉口不做格價及去split order. 與其一單單去捉,不如做一個統計,按個別procurement staff計,統計出每個人一年內有幾多單split order和不格價的宗數,如果宗數很多,這個就是audit findings,要求佢地改善。以我的經驗,呢類finding上到management,procurement會面對好大壓力,這樣就可以迫到他們改善。

至於你建議的topics,我將會試寫一下。

^_^

Bittermelon 說...

不願意公開身分的好友發email給我,他對此文有以下意見:

我亦見過以下做法:
1) 我曾有客戶的公司要求採購人員在接面供應商時,一定要2個人在場。主要原因是為了防止貪污。
2) 亦有見過一些公司用合格供應商名冊,而且定期由QC部門為合格供應商做QC。而且審批供應商名冊的人不能是接見供應商的人士。
而且你那遍文章應該不包括投標的採購吧,這部份比較建議獨立一文。
THX

匿名 說...

just know your blog recently, it is very good ar..keep on...

I newly join IA field, and really learn a lot from your blog..thanks!

Could you share some knowledge and doing method for entity level assessment for SOX? Thanks!

Bittermelon 說...

Hi 匿名,
Thanks for your support!
For SOX, i will write it later.
^^

匿名 說...

I'm in retail sector, it's really hard to audit the shop renovation expenditures in prc

the contractors are all invited by user departments, we don't have centralised procurement function.

i suspect the contractors are working together to submit inflated quotations and possibly our staff are accepting rebates.

however, we are unable to introduce new contractors to lower the costs as we are not expert in this area, and also user department might easily reject new contractors for so many reasons, prices, workmanship, delivery date, quality of materials, etc....

maybe we would invite private detective in PRC to investigate into suspicious cases and check our staff's integrity...sigh

Bittermelon 說...

Hi anonymous,
For your case, maybe i could share my experience with you. You could send an email to me at bittermelon2009@gmail.com and leave your email address. I will get back to you soon.
^^

匿名 說...

樓上匿名提到的 suspected collaboration, 要證明是否有inflated quotes + rebates 真係好難ga bor.
就算其他contractors offer 真係平d, 都只能夠話user dept 無做多d quotation. 如果公司本身無control policies, 只能夠話policy design 唔好. 就算有policy都好, user dept 都可以話個selected contractor d料好d, etc.

Bittermelon 兄, 你覺得呢類情況可以做到d 咩? (我懷疑我公司都有類似情況)

ps. 到了2010, Bittermelon 你會轉email 嗎?

Bittermelon 說...

Hi匿名,
站在ia立場,我唔會去證明有同事出蠱惑,正如你所說,根本verify唔到.我試過即使有人告密,因為找不到證據,我都無佢符.對付呢類情況,我的經驗是就算阻止不了他們, 也要加一些難度不讓他們那麼好過.當然, 大前題是公司top management給你support.
另外係自己去做一次quotation,如果發現佢地的報價單跟你自己的quotation有好大出入的話,你就可以用這些數據來 challenge佢地,要佢地向management解釋點解貴咁多. 不過佢地一定會有N咁多個理由, 雖然咁樣做係無辦法釘死佢地, 但至少給他們一些麻煩, 更重要係讓他們知道公司是有人吸實他們的, 不讓他們那麼槍狂.

p.s. 本來打算以bittermelon來註冊email address,但已經給人家用了,所以加2009在後面. 2009代表我開這個blog的年份,所以出年或者以後都不會轉email address ^^

匿名 說...

Hi Bittermelon,
我都想問下有關你對procurement心得, 因為發覺公司好多零碎買野都出po,係唔係好多公司都係咁gei情況? 同埋可否分亨多d你對procurement audit的audit findings?

Bittermelon 說...

對於零碎野既procurement,好多公司都唔會出PO,因為太過費時失事.一般有兩個做法,一是用tender方式找固定供應商,同佢地簽1-2年供應合約;二是下於權力比user departments, 例如所有零碎物品價目低於某數值的既話就自行購買.

匿名 說...

Bittermelon,想問下你對建築公司買貨,存貨放係地盤,出貨(地盤)應如何有系統地管理? 買貨同BILLS OF MATERIAL有無關係? THANKS.

Bittermelon 說...

我對建築行業並不熟悉, 因此不知道具體要如何管理, 但估計離不開proper documentation和physical security. 另外,買貨當然和BILLS OF MATERIAL有關係. BOM其中一個重要功能就係planning, 例如BOM顯示需要多少鋼筋水泥,負責買貨的就要跟著BOM來去買.

匿名 說...

Bittermelon, 睇完你的文章令我獲益良多,不過我仲有d問題想向你請教,例如工程付款,當中有d工程付款申請表(公司內部文件),會由subcontractor填寫交回公司去審批再去付款,有些payments無attached invoice,想問下會有什麼風險?

Bittermelon 說...

若果沒有invoice,那有甚麼做supporting?

Bittermelon 說...

如此問你,因為於construction 來說,就算有invoice也不足夠吧?例如是否需要有人驗收,有沒有驗收報告,subcontractor是否事前簽了agreement,payment 申請是否按照agreement條款提出,有沒有VO,VO是否事前已經按程序審批,VO有沒有人驗收,VO有沒有驗收報告等等,因此,要搞清楚才能判斷。

如有其他問題,歡迎你給我電郵,用電郵回覆我會方便些的。
^_^

匿名 說...

Hi Bittermelon,

文章內提到採購人員的系統權限 (Access Control), 正確的access control應是怎樣的?
thanks

Bittermelon 說...

Hi 匿名君

需要先看其程序和部門內各人的duties及authorization才能決定.例如PO,一般來說,purchaser只有create PO的權限,PO approval的權限則只有purchasing manager才可以有. 若有approval limit的話,例如purchasing manager只能approve 某限額以內的PO,系統也應設有權限來限制某限額以外的PO不能由purchasing manager審批.

匿名 說...

假若purchase 係系統上create左張PO & print PO, Manager只在po上簽名沒有在系統做任何approval,這樣是否有足夠? 最好的control應是怎樣?
thanks.

LinkWithin

Blog Widget by LinkWithin