2010年10月4日星期一

Risk-based Audit 的優劣

有一位相信是正在在學的網友,問Risk-based Audit 有何優點及缺點。這條問題其實問得相當好,雖然Risk-based Audit目前受廣泛採用,但它並不是沒有缺點的。這個提問正好反映出這位網友看問題時不會單單只偏向一面,也不會盲目隨波逐流。

Risk-based Audit(風險基礎審計)的具體做法其實是首先要找出Auditee(審計對象)的所有相關風險,然後再為每項風險配對目前的Key Control(關鍵控制),並衡量其控制是否足夠及有效。

採用Risk-based Audit,我們不需要像以往般,先要將Auditee的流程由頭至尾審閱。我們只要將風險和控制點做配對,即是先找出是否所有風險都有控制點。有控制點的風險,我們就測試其控制是否足夠和有效;沒有控制點的風險,我們就需要和Auditee商討,作出相應的補救措施。

就是因為Risk-based Audit只看和風險相關的,其他不相關的地方,例如人手安排是否合理,流程是否可以更有效率等,在Risk-based Audit中就可能不會考慮到。而且因為只針對風險和控制點的配對,審計人員未必能夠對整個流程有深入的了解,對日後制定補救措施時或多或少會有影響。

在早前的文章《Process-based Audit 對 Risk-based Audit》曾經提過,以我的經驗,如果為某流程首次做審計,我會先用傳統的Process-based approach,這樣會令審計人員加深流程的了解,特別當管理層向內審徵詢意見及要求詳細描述問題時,如果內審人員不清楚實際運作的話,給管理層的感覺就不好了。如果某流程的審計不是首次,特別是審計時間及人手有限的時候,而流程沒有重大的變動時,我則會採用Risk-based approach。

&&&&&&&&

3 則留言:

  1. 如何評定某地方是高是低風險,雖然可以運用一些model來作衡量,但總的來說,主觀因素仍然存在。

    IA前輩們常常喜歡會看的4e,正如師兄文中所述,Risk Base approach 也往往忽略了其中2個e了:efficiency & equity.

    回覆刪除
  2. 其實risk based audit, 也要建基於process之上, 如何了解客人或自己公司之風險所在。如果以external audit 而言, risk based audit 相信己可以確保free from material misstatement. 反而內審方面就比較吃力. 但不論那一種審計, 於建立framework 以至推行business as usual 既定期審核, 於開始的時候做的小心仔細, 在有限資源下己經是比較有效並可以依賴的了. 小弟也只是新手, 有錯的請糾正.

    回覆刪除
  3. Hi 匿名君:
    多謝您的留言.我的看法和您基本上差不多,只有一點想和你討論一下,就是我覺得risk based audit應建基於business之上而不是process. 如果太過著眼於Process的話,就會變回process-based了. 這是我的一點淺見,也請指正.
    至於您說建立framework 以至推行business as usual定期審核,這點我是非常同意的.
    ^^

    回覆刪除

若以匿名留言,系統有機會將留言視為spam,因此可能要遲一點才能回覆。如閣下的提問涉及升學或工作,請以電郵聯絡。謝謝!