2009年8月3日星期一

內控的性質和層次

早前曾寫過一篇《內控的限制》,今天再寫寫,簡單介紹一下內控的種類。

以性質來分類,內部控制 (Internal Control) 可以分為二大類,第一類是預防性的控制(Preventive control),第二類是偵測性的控制 (Detective control)。理論上,預防性的控制效果最好,因為它能夠防止問題發生,不過在實際運作上我們又不能完全依賴它,有時還要配以偵測性的控制來監測,檢查預防性的控制是否有效。另外,如果推行預防性控制是不合符成本效益的話,我們會放棄使用它而以偵測性控制來代替。

舉個例子,在一家企業內,所有 petty cash payment 在付款前都必定要經過經理的書面審批,這個審批就是 Preventive control,另外,把 petty cash 鎖在抽屜內也是 Preventive control。不過單單依賴這兩個控制,我們無法肯定 petty cash 是否全數齊全,所以每個月做一次不定期的盤點以確定 petty cash 有沒有多了或少了,這個盤點就是 Detective control了。

另外,以層次來分類的話,內部控制可以分成企業層面的控制 (Entity-Level Control) 及業務層面的控制 (Transaction-level Control) 兩類。完善的內控應包括這兩類控制,以上述 petty cash 為例,經理的書面審批、把 petty cash 鎖上以及不定期盤點都是業務層面的控制,而 Cashier 的招聘程序,職前背景調查,具體工作範圍,商業行為準則,甚至企業的申訴制度等等就是企業層面的控制了。兩種層面的控制是相輔相成的,企業層面控制造就了一個良好的內控環境,業務層面控制則具體將問題解決,兩者缺一的話,很大機會問題都會繼續發生。

&&&&&&&&

4 則留言:

Ebenezer 說...

讀CISA果陣,好似話仲有個corrective control 潻!

bittermelon 說...

你講得啱,的確係有一個咁既control,而且好多textbook都將它和preventive 及 detective controls 相提並論,不過我個人認為不應該將它當成同一類來看,因為 corrective control是指有事發生後時如何去rectify個problem, 性質係一個 Action 多過一個control,所以我沒有在文章中提及.

Quality Alchemist 說...

以為正生風波已經解決,
誰知殺了個鄉議局命名.
現在還未遷入南約校舍,
不知何時正生才被接納.

bittermelon 說...

當鄉議局介入正生事件時,已經可以估計得到這事不能在短期解決,因為政府搵鄉議局出手簡直是與虎謀皮.

LinkWithin

Blog Widget by LinkWithin