審計報告在內部審計的眼中非常重要,它是我們的 End-product,除了匯報所有審計發現外,管理層也會用這個報告來衡量內審的表現。
不同機構的審計報告,其內容和格式都不會相同,但普遍來說,報告應該包括以下幾個部份:
1. 審計目的及範圍(Audit objective and scope)
每個審計項目一定有其目的(Audit objective),最普遍是檢查某流程或者功能的內部控制是否足夠和有效。例如“Determine whether adequate controls of the procurement process are in place”。純粹個人意見,我認為審計目的不應寫“Ensure adequate controls are in place”,因為“保證”或者“確保”內部控制足夠是auditee的責任,內審的責任是“Determine”,即是裁定或者測定內控是否足夠。記得第一次發表這個意見時,我只是某機構的Junior auditor一名,不知當時何來膽量向老闆提出,他老人家聽到以後竟然表示認同。
Audit scope主要是說明項目審計了那些地方,但也要說明不包括那些地方。以採購審計為例,我們可以說明項目包括了一些程序,例如Purchase requisition process,Budget approval process,Quotation and comparison process,Purchasing Order issuing process,並且因為某某原因,例如在另一個審計項目中已經審過了,所以Stock receiving process及Purchase Order payment process沒有包括在內。
說明範圍很重要,特別是當有問題發生時,管理層追究auditee的責任之餘,也會查問內審之前有沒有看過,所以寫清楚審計範圍是我們的護身符。不過凡事有兩面,如果出事的地方內審有看過而又沒有預警的話,這就會變成催命符了。哈哈...(苦笑)
2. 審計發現詳情(Detailed audit finding)
我有一個習慣,就是為每一個審計發現加上一個醒目的標題,然後在第一段用兩三句簡單講解一下問題是什麼,由第二段開始才一五一十將問題的詳情及原因說明。有人喜歡將原因分開來寫,這個我不反對,視乎部門的風格就可以了。寫審計發現,最重要是對事不對人,而且一定要只寫上事實,不應該將個人的憶測或者猜想當作發現來寫。
為了加強審計發現的說服力,道出問題時最好能夠有數據來支持。另外,如果問題比較複雜或者不容易描述,可以考慮在報告內加入圖表或者照片。
另外,最好為每個審計發現編一個號碼,日後討論時容易參照。例如簡單的由1開始到2,3,4,5等等,又或者分類,例如1.1,1.2,1.3,2.1,2.2,2.3等等。
3. 影響及可能出現的後果(Impact / implication)
這裡應描述問題所引起的影響和後果,如果影響還未發生也應寫上,不過需要說明發生的機會有多大,方便管理層去衡量。若果估計是涉及一些計算,相關的假設也應寫上。
另外,可以考慮為每個審計發現訂出一個風險水平,我習慣用三級制來分,有興趣請看一看我之前的一篇文章《內審的風險三級制》。
為審計發現的風險分級,其實是想為他們的重要性排序,因為auditee的資源不會是無窮無盡,這個做法方便他們去決定處理各審計發現的先後次序。
下一篇繼續談餘下的兩個。
--------
下一篇文章:淺談審計報告(二)
&&&&&&&&
曾見過某自稱Big-20的out-sourced IA report,其Audit Objective大約是:To review the payment process...可見好多人其實唔清楚Audit Objective係d咩嚟。
回覆刪除我都見過有人咁寫,嚴格嚟講有唔算錯,只不過無咁好喇.
回覆刪除