有一位相信是正在在學的網友,問Risk-based Audit 有何優點及缺點。這條問題其實問得相當好,雖然Risk-based Audit目前受廣泛採用,但它並不是沒有缺點的。這個提問正好反映出這位網友看問題時不會單單只偏向一面,也不會盲目隨波逐流。
Risk-based Audit(風險基礎審計)的具體做法其實是首先要找出Auditee(審計對象)的所有相關風險,然後再為每項風險配對目前的Key Control(關鍵控制),並衡量其控制是否足夠及有效。
採用Risk-based Audit,我們不需要像以往般,先要將Auditee的流程由頭至尾審閱。我們只要將風險和控制點做配對,即是先找出是否所有風險都有控制點。有控制點的風險,我們就測試其控制是否足夠和有效;沒有控制點的風險,我們就需要和Auditee商討,作出相應的補救措施。
就是因為Risk-based Audit只看和風險相關的,其他不相關的地方,例如人手安排是否合理,流程是否可以更有效率等,在Risk-based Audit中就可能不會考慮到。而且因為只針對風險和控制點的配對,審計人員未必能夠對整個流程有深入的了解,對日後制定補救措施時或多或少會有影響。
在早前的文章《Process-based Audit 對 Risk-based Audit》曾經提過,以我的經驗,如果為某流程首次做審計,我會先用傳統的Process-based approach,這樣會令審計人員加深流程的了解,特別當管理層向內審徵詢意見及要求詳細描述問題時,如果內審人員不清楚實際運作的話,給管理層的感覺就不好了。如果某流程的審計不是首次,特別是審計時間及人手有限的時候,而流程沒有重大的變動時,我則會採用Risk-based approach。
&&&&&&&&
如何評定某地方是高是低風險,雖然可以運用一些model來作衡量,但總的來說,主觀因素仍然存在。
回覆刪除IA前輩們常常喜歡會看的4e,正如師兄文中所述,Risk Base approach 也往往忽略了其中2個e了:efficiency & equity.
其實risk based audit, 也要建基於process之上, 如何了解客人或自己公司之風險所在。如果以external audit 而言, risk based audit 相信己可以確保free from material misstatement. 反而內審方面就比較吃力. 但不論那一種審計, 於建立framework 以至推行business as usual 既定期審核, 於開始的時候做的小心仔細, 在有限資源下己經是比較有效並可以依賴的了. 小弟也只是新手, 有錯的請糾正.
回覆刪除Hi 匿名君:
回覆刪除多謝您的留言.我的看法和您基本上差不多,只有一點想和你討論一下,就是我覺得risk based audit應建基於business之上而不是process. 如果太過著眼於Process的話,就會變回process-based了. 這是我的一點淺見,也請指正.
至於您說建立framework 以至推行business as usual定期審核,這點我是非常同意的.
^^