如何編寫Audit Program

最近有朋友問如何去編寫Audit Program（APG），我將答覆用中文整理以及補充了一下作為日後參考。

就我以前所見，APG分General和Specific兩類。前者主要是根據Best Practice而寫成，一般比較「大路」，可以用於不同企業。雖則如此，但由於不是度身訂造，未必完全適合Auditee的實際情況，所以使用時要加倍小心，特別是一些企業獨有的地方可能被忽略。至於後者，就是根據Auditee的實際情況而寫成，今天要講就是如何編寫這種APG。

先旨聲明，以下這個方法主要是Risk-based approach，經某大MNC的內審廣泛採用，我學了以後曾在幾家企業試用並改良而成。由於沒有跟教科書對照過，所以此法未必是最好，不過就頗為實用。

首先，我們需要為被審的範圍編制一下風險列表（Risk Chart），將當中涉及的主要風險主開列出來。由於風險可能會有很多，為免遺漏，最好是按照流程的順序找出來。例如審核倉庫流程，可以先由收貨（Stock receiving）開始，將其風險列出，例如收錯貨、多收、少收、貨不對版等等。之後再將存貨管理（Stock maintenance），發貨（Stock issuing）等流程的風險詳細列出來。

在準備風險列表的同時，我們研究和記錄Auditee的現有流程和主要內部控制。我們可以透過Flowchart或Narrative note來做記錄。

完成上述兩個步驟以後，接下來為每個風險與相應的內控做配對。例如發貨單的其中一個風險是有遺漏，其相應的內控就是所有發貨單均有一個序號，而且有專人定期檢查，以及跟進遺漏和跳號的發貨單。完成配對後，那些沒有相應內控的風險就是問題所在，之後尋找證據或實例，並訂出合適的改善建議。

對那些已配對上內控的風險，我們需要設計測試以證實相應的內控是否存在和有效。如上述發貨單的序號，我們可以利用審計軟件，去測試所有單號都是順序而且沒有遺漏和跳號。另外，亦檢查是否有專人定期為序號做檢查。若果測試結果是合格，我們則可以相信相應的內控的確存在和有效。倘若結果是不合格，這就是審計發現，找出實證後，就訂出合適的改善建議。

以下是一個APG的格式，我認為既簡單又實用，大家不妨參考一下。

Sample APG

&&&&&&&&