把Transactions記錄下來是重要的內控方法之一,它能證實Transaction的發生,也能證實資產的確存在或曾存在過。例如存放現金的夾萬,即使它如何堅實,若沒有記錄說明夾萬內藏有多少現金的話,也不能保證內裡的現金是安全。
Documentation看似很簡單,所以很多時都被忽略,但其實要設計和採用它時,要顧及和考慮的東西有很多,當中包括:
1)獨立記錄
負責記錄的人不應同時負責執行和保管資產。例如負責保管現金的出納,若果同時也負責編製現金賬,因出納可以纂改記錄,現金被盜取也不能及時被發現。
2)記錄範圍和內容
在設計記錄時,必須預早決定記錄的範圍和內容。例如現金賬,除了記錄現金收入和支出的金額、日期和摘要外,還有甚麼東西是需要的?比如管理層想知道每個月各部門的現金支出若干,那麼我們可以為每宗支出加個部門編號,方便每月編製支出分析。若果沒有預先定好部門編號,入了現金賬後才去做,花費的時間肯定會多。
3)準確和及時性
一個良好的Documentation,必須具備足夠的內控去確保記錄準確。例如Accounting vouchers,在入賬前應經過覆核和審批。又例如Operational manual,需要定期審視和更新,以確保manual仍能有效。
及時性也是記錄重要的部分,不過,不同的記錄對及時性都有不同的要求。例如銀行對存戶戶口的存款和支出記錄就必須做到實時,而一般公司的賬目,就未必有這個需要了。有些公司可以於1-2天內入賬,有些1個星期內,甚至見過1個月甚至1季的也有。一般來說,及時性愈短,所需要的資源愈多,宜因應自身的需要來決定,否則只會浪費資源。
4)記錄的媒介
記錄的媒介各式各樣,現今企業普遍以文字來做記錄,而文字又可以再分手寫和電子。當今科技發達,電子記錄當然是最普遍的,而且也易於分享和讀取。不過,如果處理得不好,這些好處便會變成壞處。
在設計以何種媒介來做記錄時,應先認定要求。因為由一種轉成另一種是很麻煩和頭痛的事。
5)閱讀和修改權限
一套良好的記錄系統,應將內容為成不同的保密級別,方便控制閱讀和修改的權限。例如員工通告,只要是該企業的員工就能閱讀;又例員工的個人敏感資料如身份證號碼,出生日期等等,就應列為保密級別,只容許獲得授權的人才能查看。
另外,很多時記錄都需要修改和更新,為免錯誤使用了舊有的記錄,版本控制就很重要了。
以ISO用於Manual的版本控制方法為例,所有更新的過的Manual都要注明版本編號,而且Manual內也注明那些內容更新過。另外,所有舊的Manual都會注銷,以免用了舊版本也沒有察覺。
6)備份
不論是何種Documentation方法,備份都是很重要的。見過很多企業都不太重視備份,不幸發生意外而令記錄無法復原。備份方法有很多方法和級數,宜因應自身需要去制定。例如股票交易所,他們會對每宗股票交易做即時的備份,但一般企業的銷售記錄能做到每日備份就應該可以了。
7)保存時限
所有記錄都應設一個保存時限。過了時限的就應將記錄銷毀。例如香港,因稅例要求企業要保存財務記錄七年,所以香港的企業一般都以此為財務記錄的保存時限。
銷毀記錄的方法也要注意,從前就有大型企業因銷毀記錄不當而將機密資料外涉。
&&&&&&&&
兄台所列各項皆有節有理,不過,
回覆刪除寫的是一批人施行的是另一批人,
有時內審需要屆入但苦無限資源,
有些機構因此設立內控組可加強。
Space兄所言甚是. 我都見過有D公司,特登請個compliance officer番嚟,目的就係要招呼總公司既internal auditors.
回覆刪除