2009年5月22日星期五

如何處理 Compliance 的審計發現

最近一位Blog友問了我一個很實務的問題,如果在審計時發現企業違反了當地法例,但因企業和當地官員關係良好,就算被發現都可以和官員協商解決,繳交些罰款便可以了事,那麼內審可否不看待這問題為審計發現 (Audit Finding),即是不把這問題放在審計報告內,由它過了便算?除了這問題外,我還遇到過一些情況,例如違反的相關法例只是小事一宗,又或者罰款的金額不大,把它們放在審計報告,被審單位會認為我們小事化大,不報告的話又好像有些不妥當,不知如何是好。

一般來說,但凡涉及External compliance的問題,不論其金額都應被看待審計發現,至於風險級別屬於高,中或者低,這就要再看其影響了 (詳情請參考《內審的風險三級制》)。但不同機構,其看待 Compliance問題的態度也不同,例如美資的MNC,因為她們需要遵從美國本土的Foreign Corrupt Practices Act,所以一切關係到美國以外法例法規的遵從問題都看得很嚴謹;又例如一些商品名牌,為免被人標籤為血汗工廠或與之有關,她們對勞工方面法律的遵從會看得很重;又或者一些在發展中國家有很大投資的外商或當地企業,因為對當地政府有很大的影響力,就算違規也不用怕,所以她們對法規的遵從則看得很寬鬆。

對待這類問題,我的經驗是先向審計委員會 (Audit Committee) 取一個共識,了解管理層在這些問題上的看法,若果他們認為法規遵從的問題不論大小都要上報的話,那我會把所以問題看待成審計發現,並按一般做法以它們發生的的可能性 (Likelihood) 及影響 (Impact) 決定其風險級別;若果他們認為只需上報高風險問題的話,那我會跟隨他們的指示,但也會另外準備一份審計發現清單,將所有風險較低的遵從性問題放進去,並且要求被審單位定期審視其風險,一但風險變成較高級別時可以及時處理。

有一點需要講一講,當我們考慮這類External Compliance 問題的「影響」時,我們需要小心注意那些不能量化的影響,例如商譽。另外,也不要小看一些看似輕微的違規,如果企業多次重複犯錯,累積起來可以會有很大的影響,比如說香港的道路駕駛規則,每次的違規雖然會扣分和罰款,但即時不會對司機有很大的影響,但當司機繼續違規並且扣分滿15分後,司機的駕駛牌照便會被吊銷,影響極大。

我個人的看法,就算企業跟官員有良好的關係,即使違規也可以通過協商解決,但因為官員會升遷,不同的官員或者新官上任,他們的做法都會不同,就算是同一位官員,如果碰巧中央政府要嚴打但企業又不幸地被抓個正著的話,即使與官員的關係如何良好也未必有用。

如果帶一點私心來看這問題,內審就更加要小心從嚴。從辦公室政治角度來看,當內審需要十二分小心,假若企業出了什麼違規的事故時,管理層首先會向相關的出事單位問責,之後就會找內審,詢問最近有沒有看到過相關的問題,如果看過的話又為何不作聲,沒有好好解釋的話難以向管理層交代。所以碰到這些問題時我都傾向把問題看得嚴謹一些,而且盡可能放在報告內,或利用上述方法另備清單,向管理層先備案。如果不作聲任由這些問題過,就等於將自己的命運押在別人手上,別人沒有事的話你就沒事,別人有事的話你則要陪葬,這條算式怎樣算也不化算吧?

&&&&&&&&

4 則留言:

Ebenezer 說...

做 field-work 搵 finding 難,做 Report能present得恰當到位也不易。

Bittermelon 師兄在實務上,確實給了很好的分享。

kt 說...

agreed with your view point. especially on "如果不作聲任由這些問題過,就等於將自己的命運押在別人手上,別人沒有事的話你就沒事,別人有事的話你則要陪葬,這條算式怎樣算也不化算吧?"

匿名 說...

will you talk about NGO audit reports? subventions?

bittermelon 說...

Hi Anonymous,
Sorry, as i don't have any NGO internal audit experience, I would not talk about this topic.

LinkWithin

Blog Widget by LinkWithin