應一位網友的要求,這篇講一講ICQ。不過,這裡講的ICQ不是很久以前的那個即時通訊軟件,而是我們審計工作中會用到的那種,全名為Internal Control Questionnaire。
其實ICQ是一個checklist,內裡會問一連串關於內部控制的問題,有相關的控制的話就填“Yes”,沒有的話就填“No”並配以解釋,Reviewer藉此評閱流程是否有足夠的控制。
例如小額備用金(Petty Cash)的ICQ內容一般都會包括下列問題:
1) Are petty cash funds kept in secure storage?
2) Are petty cash funds maintained on an imprest basis?
3) Is responsibility for each petty cash fund assigned to a specific responsible individual?
4) Are these individuals independent of employees who handle cash receipts and accounting records?
5) Is there a prohibition against petty cash disbursements over a specified amount?
6) Is a voucher used for all petty cash disbursements?
7) Is the voucher prenumbered?
8) Do all petty cash disbursements require original receipts for reimbursement?
9) Are surprise cash counts of organization petty cash and change funds performed on a regular, random, and unannounced basis?
10) Is the cashing of employee paychecks out of the petty cash fund prohibited?
如果看過我的網誌,可能會發現我從未講過ICQ。坦白說,不是應這位網友的要求的話,想信我不會講這題目的,因為內審人一般都不喜歡用它。
除非時間實在很有限,例如只餘下一兩天來審閱一個流程,否則進行內審的Review時是不會用ICQ的。究其原因是ICQ的著眼點不是Risk而是Control,不能配合現今流行的Risk-based 審計。就以上述的Petty cash ICQ為例,就算有很多題都是“No”的話,也不代表流程有問題而需要改善,因為其風險還未有考慮在內。例如Petty cash float的金額及其用量相當少,這時就未必有改善的需要。
另一點是因為ICQ的內容過於普通,如果以它來評審流程的話,很多時都未能全面涵蓋被審流程中的每一項細節。所以,除非將ICQ按被審流程來編寫,否則它根本用不上。可是,與其花時間來編寫,那不如直接用Risk Control Matrix 好了。
不過,ICQ也不是一無是處,閒時不妨看一下,因為內裡的問題全是以最佳實務(Best practice)來編寫,讀過之後可以對Best practice有一定的了解。
&&&&&&&&
8 則留言:
How can you ensure what's filled in is not just for the sake of compliance but really a thoughtful assessment of the system?
Hi Anonymous,
That's why i said ICQ is not a good tool for system review. If you want a thoughful assessment of a system, i suggest using Risk-control matrix rather than ICQ.
ICQ 這件古董,不知現在在行內是否已經絕跡了呢?
Ebenezer兄:
未有絕跡,至少見到好多audit firms仲用緊.
哈,一定未至於絕跡,有鑊出現或者老細發起啷黎上黎既時候,就幾百條等住你。
有規模的公司,而且多是跨國公司,尤其是美資的,都設有獨立專人專部門,負責編寫 operations manuals,ICQ 中的 interanl controls 變成無謂的問答。
IA 內部審計部門,當然知道自己公司內的一貫制度,甚至派人 sit in 編寫 OM 和 審核 OM 的 committee. 至於啲 OM up 唔 updated,還是有人先斬後奏,還未有寫好 OM 就開波,和跟得足無足,這是後話。
反而 ICQ 對於 audit firm 出去做審計時,還可以用這個古老的方法,不過唔知“四大”還有冇用呢?
^^
CM兄:
哈哈,有道理^^
Inner Space君:
big4仲有無用ICQ我唔知,但仲有2nd tier用緊. 其實external audit用ICQ都仲好普通,因為貪ICQ快,仲可以叫個客自己填,填完由auditor抽check. 不似得做Risk control matrix咁,有排搞.
ICQ...係我既audit生涯入面, 佢同X欄紙一樣係古董呢! 我初初出黎做audit都有用過,如果唔係苦瓜兄你提起我都唔記得有樣咁既野, 我都唔記得佢既存在.
發佈留言