每當進行內部審計項目,熟悉被審單位的業務流程非常重要,除了有助發現問題時制定補救措施外,也方便審視流程的效率。不過,內審工作䌓重,若沒有足夠時間深入了解流程,內審人員又如何是好?最快而又最有效的方法就是「風險為本」,即是採用目前主流的Risk-based approach。
不論是一盤生意或一個流程,固有風險必定存在。所謂固有風險,是假設在沒有內控下可能發生的問題。一般來說,業務愈複雜,固有風險就愈高。例如銀行,其業務環境相對零售企業複雜,單是需要遵循的法律法規,銀行在經營上的固有風險就高於零售。又例如採購流程,固有風險不外乎「買錯」,「買貴」和「買遲」,只要我們將被審單位所採取的內控措施與之配對,那些沒有內控或內控不足的風險就是問題。
以製造商的物料採購流程為例,要避免「買錯」,我們期望見到的內控措施包括,採購要求必須由用家部門以書面提出,並清楚和詳細列出物料的規格、標準、要求和數量等;供應商必須事前經過採購部門的認證程序,確保符合最低要求;所有採購必須以書面形式落實,如向供應商出具採購單,清楚列明物料的名稱和數量,有必要時還需註明規格和標準等資料。
要避免「買貴」,最基本的內控就是貨比三家,我們期望見到所有採購皆經過報價程序,確保購入的物料是物有所值,或價錢具競爭力。此外,向供應商出具的採購單,必須清楚列明雙方同意的單價。
要避免「買遲」,用家部門提出採購要求時須列明物料的到貨日期,採購部門按此選擇最佳運輸方法,並在採購單中列明到貨日期,確保物料及時送達。對那些重要物料,或採購期較長的物料,我們期望見到有適當的庫存水平管理,如為這些物料制定出最高、最低和再訂購庫存水平等。
以上例子清楚顯示,只要以風險作切入點,就算不熟悉採購流程也能進行審視。再者,上述列出的風險並不專門,只要略具 Business sense就能寫出來。記得有位內審前輩曾說過,在Risk-based approach 下,沒有內部審核是做不到的。初時半信半疑,接觸多了現在就深信不疑。
下次找不到 Findings,不妨重新檢視一下風險清單,看看能否從中找到方向。
原文刊於:Education post 2016-05-13
&&&&&&&&
immaterial!!!
回覆刪除Bittermelon 你好,
回覆刪除請問比你簡,做細ibank IA 定返big4 做 IA advisory team?
因為間細ibank 講明無咩上升空間,我又驚入唔返其他ibank IA, big4 每年+30%
Hi King
回覆刪除若果比我揀, 我會揀 bank IA,因為呢一行嘅前景最好.
Big 4 IA advisory雖然人工高, 不過目前經濟不景氣, 仲會唔會有+30%升幅值得留意.
謝謝 melon 兄
刪除已accept bank IA offer, regional role,其實算係corp sales n trading, 對sfc, 會接觸Singapore regulations too