最近有朋友問如何去編寫Audit Program(APG),我將答覆用中文整理以及補充了一下作為日後參考。
就我以前所見,APG分General和Specific兩類。前者主要是根據Best Practice而寫成,一般比較「大路」,可以用於不同企業。雖則如此,但由於不是度身訂造,未必完全適合Auditee的實際情況,所以使用時要加倍小心,特別是一些企業獨有的地方可能被忽略。至於後者,就是根據Auditee的實際情況而寫成,今天要講就是如何編寫這種APG。
先旨聲明,以下這個方法主要是Risk-based approach,經某大MNC的內審廣泛採用,我學了以後曾在幾家企業試用並改良而成。由於沒有跟教科書對照過,所以此法未必是最好,不過就頗為實用。
首先,我們需要為被審的範圍編制一下風險列表(Risk Chart),將當中涉及的主要風險主開列出來。由於風險可能會有很多,為免遺漏,最好是按照流程的順序找出來。例如審核倉庫流程,可以先由收貨(Stock receiving)開始,將其風險列出,例如收錯貨、多收、少收、貨不對版等等。之後再將存貨管理(Stock maintenance),發貨(Stock issuing)等流程的風險詳細列出來。
在準備風險列表的同時,我們研究和記錄Auditee的現有流程和主要內部控制。我們可以透過Flowchart或Narrative note來做記錄。
完成上述兩個步驟以後,接下來為每個風險與相應的內控做配對。例如發貨單的其中一個風險是有遺漏,其相應的內控就是所有發貨單均有一個序號,而且有專人定期檢查,以及跟進遺漏和跳號的發貨單。完成配對後,那些沒有相應內控的風險就是問題所在,之後尋找證據或實例,並訂出合適的改善建議。
對那些已配對上內控的風險,我們需要設計測試以證實相應的內控是否存在和有效。如上述發貨單的序號,我們可以利用審計軟件,去測試所有單號都是順序而且沒有遺漏和跳號。另外,亦檢查是否有專人定期為序號做檢查。若果測試結果是合格,我們則可以相信相應的內控的確存在和有效。倘若結果是不合格,這就是審計發現,找出實證後,就訂出合適的改善建議。
以下是一個APG的格式,我認為既簡單又實用,大家不妨參考一下。
Sample APG
&&&&&&&&
謝謝賜教:)
回覆刪除Ebenezer兄,
回覆刪除我係您面前班門弄斧啫,實在失敬^_^
有啲似填ICQ!
回覆刪除:)
講開ICQ,Chating 同埋Auditing 嘅,話時話,都冇見人用好耐好耐喇。
回覆刪除講起啲歷史文物,哈哈哈哈哈未完全 computerize 前,用鉛筆填過ICQ架,
回覆刪除workpaper 是用黃色的14欄紙!
瓜兄又有佳作, 雖在下與audit無緣, 但看了幾年, 也受教甚深, 更了解我們會計夥伴 - AUDITOR 工作如何
回覆刪除另今星期拙文已寫好, 請收EMAIL並提意見, 有空再談
Systematic and detailed. Thanks bittermelon!
回覆刪除Hi Bittermelon,
回覆刪除Thanks a lot for your sharing. I am gonna attend an interview for the position of internal auditor. Since I have not worked on internal auditing before, I am so worried about the internal auditing written test. Do you mind sharing with me where I can get more information about internal auditing?
Hi Anonymous
回覆刪除Sorry for late reply. As you will have an interview, i think the quick way is reading my blog ^_^
For your easy reference, please click the "目錄" menu in my blog and read the articles under the headings of "關於內審專業", "內審資源及工作經驗分享", "內審實戰經驗分享" and "內審知識".
For other resources regarding internal auditing, please refer to my article as follows:
http://bittermelon2009.blogspot.com/2009/02/internal-auditors-resource.html
You will find some useful links at there.
Good luck ^^
Hi Bittermelon,
回覆刪除I wonder if the audit plan is the same as audit program. I have read a lot of articles but still feel confused with these two stuff. My understanding is:
Audit plan consists of:
1.Audit Objectives
2.Audit Scope (e.g Department and the process within the department)
3.Audit Program (Audit procedures, Audit staff allocation, Audit method- control testing)
4.Audit findings, conclusion, and recommendation
If my understanding is wrong, would you mind clarifying it?
Thanks in advance.
Hi 匿名君,
回覆刪除Audit plan大致分兩類, 一是dept audit plan, 例如5-year audit plan和annual audit plan,這類Audit plan主要是為內審未來的工作做規劃,包括人手安排和時間等.
第二類assignment audit plan, 相信就是你說的那類.一般來說,這類Audit plan包括audit object, audit scope, audit schedule (e.g. assignment duration, fieldwork dates), staff involved (manager in-charge, field in-charge, audit staff), background of the auditee (organization and responsibilities, prior audits, policies & procedures, accounting and statistical information, management contacts, etc), audit approach, associated risks.
希望幫到你, 如有問題請隨時找我.