2010年5月17日星期一

IA新手的困惑

一位剛加入內審行列的網友給我電郵,訴說自己工作表現未如理想,不知道怎樣去做好一個Control Review,有點「老鼠拉龜,無埞埋手」的意思。

我在初入行時也有相同的經歷,其實這是很正常的。一來具體的Control Review不會在讀書或者考專業試時學得到,二來就算書本有教,都只會是教其方法,當面對真實個案時,做得好不好則全憑經驗而定。因為就算是同一個流程,放在不同機構不同部門,其步驟、做法等等都不會一樣,更遑論其內部控制的方法如何了。

內審工作易學難精,工作多年,每當做Control Review時我永遠都會記著四個字「舉一反三」。要看一個流程,我們不單只要順序看每一個步驟內的Control是否足夠及有效,我們還要留意exception handling的方法。例如一個申請需要由Manager審批,我們做評審時除了要看Manager的審批是否有效和及時外,我們還要看申請一旦被否決時會怎辦,以及否決了的申請是否有人follow-up等等。另外,其他相關的東西我們都應要考慮,最典型的例子是人、系統和資訊。

例如流程內各個步驟的負責人是否有足夠的知識去操作,又是否經過適當的訓練或者對步驟清楚明白;若果流程有變動時如何通知各負責人;一旦負責人不在時怎麼辦,是否有另一人可以做backup等等。

至於系統,其system access control有沒有問題;流程有沒有contingency plan來應付突發事情,有沒有定期為contingency plan做演練,系統的主機是否放在一個安全穩妥的環境等等。

關於資訊方面,除了看它是否及時流動和準確外,其保安和儲存也很重要。資訊可以大致分為紙面和電子數據。紙面數據的保安主要體現在physical control,例如機密的文件有沒有分級並有沒有鎖好;有沒有serial number確保completeness;文件是否適當地儲存;是否有version control;機構內是否為不同類型的文件定下retention period;disposal 的方法是否安全有效等等。至於電子數據,其logistical access control是否有效;有沒有retention period;是否有backup及其 backup procedures是否妥;備份是否有效,有沒有測試過,以及是否放在穩妥的地方等等。

當然,上述的所有例子不是每個流程都需要,不同的流程在不同的機構對上述各點的要求也不會相同。

總括來說,做Control Review時懷著一個八卦的心態,什麼都多問多看,在久而久之的訓練下,就算日後給自己一個從未接觸過的流程都可以應付自如。

&&&&&&&&

17 則留言:

  1. 係唔係要做一個好麻煩(唔乖)嘅user?

    回覆刪除
  2. 如果我係新人,我會有少少鍾意咗你囉^^

    回覆刪除
  3. 我直情係愛上了你~

    回覆刪除
  4. 想當年阿叔我仲係花靚既時候,
    有野唔識,係唔會請教人。
    你周圍問人D野點做,
    其實係話緊俾人知你無料,
    人地幫你係人情(見你低能咪可憐下你幫你囉),唔幫你係想你快高長大(快D頂天立地,咪鬼下下都要做問題下屬)。
    (你郁D就問人D野點點點做,後生仔,
    食腦啦,自己度掂去啦,公司請你番嚟係要你幫公司做野,唔係請你番嚟公司問野同學野,
    你未夠班即係未夠班,咪鬼自暴其短啦?)
    (大個喇,要自己學上自己去解決問題先配合自己大個嘅身份至有人賞識。)
    (苦瓜兄,日忙夜忙,上網抖下HEA下,
    仲要教你班低能大帝咁多野,欠你地咩?)
    (e+d人年青在職人士,咩都唔識,
    淨係識上FB,TWITTER,玩微博,唉...)

    回覆刪除
  5. 呢排好好好忙,516、OT,又搞新 Project。但請放心,星期四/五一定留言深入討論。

    回覆刪除
  6. Eric兄:
    當然想你做乖user啦.

    Ebenezer兄:
    少少鐘意咋 -_-

    11:17匿名君:
    你係咪靚女先? HEHE

    8:49匿名君:
    言重啦,我唔係教,純粹分享而已

    S.C.君:
    期待賜教^^

    回覆刪除
  7. "一位剛加入內審行列的網友給我電郵,訴說自己工作表現未如理想,不知道怎樣去做好一個Control Review,有點「老鼠拉龜,無埞埋手」的意思。

    我在初入行時也有相同的經歷,其實這是很正常的。一來具體的Control Review不會在讀書或者考專業試時學得到,二來就算書本有教,都只會是教其方法,當面對真實個案時,做得好不好則全憑經驗而定。因為就算是同一個流程,放在不同機構不同部門,其步驟、做法等等都不會一樣,更遑論其內部控制的方法如何了。"

    容許我問一句,以上一段你寫的嗎?

    對於自己的專業,在初入行時也意會到學堂教的現實不符,莫論年青求職者所面對的問題。求職者的學歷、工作經歷影響著求職時的表現高低。另外,求職信的要求,CV、Resume 各有各說,內容是否有公認標準?你眼中合格的求職信,其它經理又是否認同?

    "抵得諗"、老實的後生仔何其多。但市場現況是老實的後生仔都流入低價市場,進入有規模企業的反而是醒目仔、練精學懶的後生仔。這個現象從何而來?這極有何能是老實的人在求職信上表達能力的偏差,又或怕羞的性格影響在面試/小組面試時的表演。但不可勿視的是招聘一方在招聘時的篩選能力,以及招聘偏好。一旦招聘只著重學歷及表面能力,就可能忽略優秀的求職者的潛在能力,責任、抵得諗就是潛在能力的一部份。

    在批評前,必先要証明自己一方完全免於責任。 C 君的招聘廣告,最能反映廣告所吸引的求職著素質,請問廣告是否清楚列出工作要求、職能範圍、責任、福利、以苦瓜兄所言的薪金代遇?能否在這裏公開 C 君的招聘廣告內容、刊登媒體,讓讀者評一評?

    除了考慮僱員質素外,也要考慮僱主。一面倒批評後生一輩失當,但僱主一方所作所為就視而不見,這樣合理嗎?你嘗試整合全香港的招聘廣告,做一次簡單的統計,看看有幾多位僱主有提供詳盡職位資料?求職者要在市場上找一位盡責的僱主何其難。僱主其身不正,反指責求職者未盡本份,這樣合理嗎?

    招聘市場是自由開放,招聘廣告刊登於那些媒體,而那些媒體所吸引的讀者群是什麼類別,最終有什麼類別的求職者,全部是可以想象的。同理,你有目的地去找一位乖乖女作為伴侶,但選錯地方去了的士高,那麼,乖乖女當然是可遇不可求。

    這些不是偏激行言論,亦不是年紀大小的問題,是對的市場現況的綜合觀察能力。人生是有階段性改變,你指出自己在這個階段心態上有所改變,認同某些方面的思維模式,這也是我所指的心能不合格。

    回覆刪除
  8. 匿名君:

    首先真的很衷心多謝你給我一個那麼長篇幅的留言。你的留言我有些認同,但也有些不敢苟同,無論如何,我的回應如下:

    那一段當然是我寫的,莫非你認為我這段說話是抄襲得來的?不知有何賜教?

    關於C君的那篇文章,恕我不能公開招聘內容,連你自己也不肯給我賜個名字或者網名在這裡留言,那為什麼要求我公開C君所工作的公司?無論如何,那個招聘廣告已清楚列出要求,工資,上班地點等資料,足夠給求職者考慮是否值得申請。

    想強調一下,我只是批評No Show這種沒禮貌及不負責任的行為,並沒有針對年輕人的意思,或者我的文筀不好令你誤會,但請你也再三看一看我的文章內容才這樣說,我會開心一些。

    其實我不太明白,為什麼批評一些年輕人有這種No show行為會令你認為不妥,又為何批評單一問題時又必須要看其他問題才算是"公平",莫非有人偷了東西,警察就可以說,因為受害人沒有保管好財物是各咎由自取,所以不檢控小偷嗎?雖然這個比喻不太貼切,但道理都是一樣。

    你認為很多僱主有問題我同意,但就極不認同這種為錯誤而找藉口去為自己開脫甚至合理化的態度。

    別人有問題是別人的事,自己有問題則是自己要承擔,依照你的邏輯,正如有男人去非禮女人,男人被拿住,但推說不是自己問題,只是女方穿著太性感引人,要拿的不是他而應是女人,這樣你荒謬的邏輯你怎麼想? 你上述的論據就正正為這種歪理護航!

    回覆刪除
  9. 請你從新再看一次我寫的所有留言,前文後理清楚明白後才回覆,請你不要把你所想的都加進我的留言中,亦請你不要把你的錯誤邏輯加進我的留言中。

    請你從新再看一次你自己寫的文章,再配對我的留言。謝謝。

    回覆刪除
  10. SC君:
    你的留言就只有這幾句:"呢排好好好忙,516、OT,又搞新 Project。但請放心,星期四/五一定留言深入討論。"

    而我的覆是"期待賜教".

    為什麼你認為我未有清楚回覆? 不是這樣寫,那你又想我怎樣回?

    回覆刪除
  11. Can I ask a question?

    Should the distribution list include the directors of the holding when audit reports are issued?

    If the holding has no operation, the subsidiaries run the operations. Clearly, the audit report should be issued to the directors of the subsidiaries.
    How about the directors of the holding? If yes, there are two groups of directors monitor the same operation?

    Please give me some advices. Thanks.

    回覆刪除
  12. Hi Anonymous,

    Do the directors of subsidiaries directly report to the directors of holding for the operation? If yes, then you can include them in your distribution list.

    Hope this help!

    回覆刪除
  13. Bittermelon,

    Audit report means Internal audit report

    Thank you for your quick reply.

    回覆刪除
  14. Bittermelon,

    Some director are in common between the holding and subsidiary.

    Some are independent to each other.

    Also include those independent ones in the list?

    回覆刪除
  15. Bittermelon,

    The audit committee should know what happens in the holdings? How about the subsidiaries?

    The internal audit reports are already given to the auditee committee of the subsidiaries. Should the audit committee get the internal audit report.

    NB The audit committee of the holding is independent from the audit committee of the subsidiaries. They are different persons.


    What is your opinion. Thanks.

    回覆刪除
  16. Some typos. This supersede the previous one.

    Bittermelon,

    The audit committee should know what happens in the holdings? How about the subsidiaries?

    The internal audit reports are already given to the auditee committee of the subsidiaries. Should the audit committee of the holding get the internal audit report.

    NB The audit committee of the holding is independent from the audit committee of the subsidiaries. They are different persons.


    What is your opinion. Thanks.

    回覆刪除
  17. Yes, i'm talking about IA reports.

    To me, IA report should be distributed to the relevent people. If you think that the report contains some issues that the relevant directors should know, you should send the report to them. E.g. if you report is talking about Sales cycle, directors who are responsible for the Sales function, AR process, credit control function etc should have this report. Other directors that are no direct relation to Sales cycle should not receive such report.

    For the audit committee, it depends on what they want. Some audit committees want to see each individual reports. However, I also see some committees want a summary only. I think you better clarify this with them first.

    回覆刪除

若以匿名留言,系統有機會將留言視為spam,因此可能要遲一點才能回覆。如閣下的提問涉及升學或工作,請以電郵聯絡。謝謝!