2013年7月9日星期二

進擊吧!內審之翼

最近一位讀者朋友傳來一則新聞,主要是報道機場管理局某高層在批出舖位租約時,沒有按照既定機制辦事,因此,估算機管局損失數以億元計的租金。

報道還指出,此事由機管局的內部審計部門所揭發。瓜瓜的一位舊同事早前就加入了此部門,他說內裡位位都是精英。由於未有機會和他們共事,所以不敢說些甚麼。

然而,這位舊同事的工作表現一向優秀,也不輕易讚賞別人,能在他口中有此評價,想必並非泛泛之輩。若新聞報道屬實,這就難怪事件會被揭發了。

除了這則新聞外,近年政府的審計署屢屢揭發多個部門的不是,近有廉政公署的酬酢問題,遠有曾特首和平機會的外訪開支問題、東亞運的超支問題、地政總署對佔用官地的執法問題,還有旅發局、生產局和香港中樂團等多個機構的行政和管理問題等等。

當每次審計報告一出,必會引起公眾關注,甚至引起軒然大波。有見及此,讀者朋友問了一個非常好的問題,內部審計這個行業的未來發展,是否應朝著「揭露問題」的方向走?

在探討這個問題前,或許先簡單介紹一下內部審計。

簡單而言,內審(Internal audit)是企業或機構內的一個職能,主要協助管理層建立和維持內部管理體制,藉此讓企業或機構有效規避風險。

一般大型跨國企業、銀行及政府機構等,都設有內審部門,這是由於此類企業和機構的規模龐大,管理層無法清楚了解各個分支的工作是否符合既定的方向和整體利益,因此借助內審進行監察。

內審是企業或機構的員工,角色有點像中國古時的欽差,不同的是,欽差擁有處置犯官的權力,但內審卻沒有,他們只可以如實將問題向管理層反映,並且向相關部門提出改善建議。因此,有人稱內審是管理層的線眼、金手指,甚至密探等。

或許你會問,內審與核數有何分別?在香港,不論是上市公司與否,所有在香港註冊的有限公司,其帳目都必須每年由香港的執業會計師(俗稱核數師)來審核。這項工作就是「核數」,也可以稱為「外部審計(External audit)」。

與內審不同,核數師是獨立於有限公司的第三者,他們受聘於公司股東。其最主要的工作,就是審視公司的財務報表是否「公允及真實地(True and fair)」反映實況。

每家企業都要面對各式各樣的風險,若以此來看劃分的話,外部審計主要顧及企業的「財務匯報風險」,內審則需要顧及企業的其他一切風險,包括企業策略、營運、匯報和合規風險。

至於內審的具體工作,主要是審視企業或機構的內部管理體制是否完備和有效運作,當發現問題時,內審就需要與相關部門商討,去設計和訂出改善措施。當措施落實和執行以後,內審還需要跟進問題是否完全解決。

有沒有看過最近廣受歡迎的日本動畫《進擊的巨人》?

故事中的人類滿以為建造了堅固的高牆,從此就能阻擋巨人的襲擊,因此,安心活於圍牆之內,卻沒有注意到超大型巨人已經出現。最後高牆被攻破,城內的人類被巨人捕食殆盡,死傷枕藉。

同理,即使內部管理體制如何完備和有效,但由於外部和內部環境不時都會轉變,管理體制就必須改變,以迎合新的需要,內審的介入,就能協助管理層達成此目標。

看到這裡,大概可以了解得到,內審的主要工作,是協助企業或者機構規避風險,而不是揭發違規事項。

或許這樣說,揭發問題只是「伴菜」,規避風險才是「主菜」。若果內審只顧著找出問題,極其量也
只是一個稱職的「Problem finder」。與其他部門合作,找出問題所在並加以改善,這種「Problem solver」才是內審應當擔起的角色。

正如動畫內的「駐屯兵團」,他們不知道巨人已經進化,見到圍牆那裡有缺口就盲目修補,其實作用有限。

至於內審的角色,其實應該像「調查兵團」一樣,主動走出城牆外,去追查巨人的真面目,這樣才能戰勝巨人,得到最終勝利。

文章來源:AM730 2013-07-09

進擊的巨人Logo 製作器:http://sngk.net/

&&&&&&&&

11 則留言:

匿名 說...

審計難免要指出其他部門的問題,甚至會作出重大的建議,提出部門重組,打爛其他人飯碗,結果被人反咬!請問IA的建議是否有守則可循?或說IA的Terms of Reference應該是怎樣的呢?

bittermelon 說...

Hi 匿名君,

IA的建議是否有守則可循?是的,其實只有一點,就是cost-effectivess。若執行建議的成本大於成效,那就不應實行了。

再者,我從事了IA多麼多年,絕少會有IA部門提出部門重組的。不是不敢提,而是重組涉及太多考慮(除了成本,還有公司策略,HR考慮等等),不像其他建議般,能一時三刻就可以提出的,因此IA部門很少會這樣輕率就說要重組這個,要重組那個。

the inner space 說...

因為劣跡斑斑所以本來內審的原有功能未能發揮結果淪為 WATCH Dog 之貌!

bittermelon 說...

其實IA的角色的確應是watchdog而不是 bloodhound.

http://www.isaca.org/Journal/Past-Issues/2004/Volume-1/Documents/jpdf041-WatchdogorBloodhound.pdf

再講,IA在香港起步雖然早,但多年來發展不好,因此質素比較參差.

the inner space 說...

多謝 瓜兄 賜教!

Watchdog 門口狗,都不應是 IA 的功能,更遑論是 bloodhound 呢?

IA 應發揮為提升公司 3Es 的助力,是各部門最佳益友。可惜今天 IA 在香港慘被淪為門口狗。若退一步被借用來做 bloodhound,作為剷除異己的工具,那就更是不堪。

各位 IA 前輩平輩後輩,若有發覺做 bloodhound 此般情況,宜及早辭職,這是愚弟的忠告!

bittermelon 說...

Inner 兄,其實睇你點定義watchdog啦,提升3E(即係value for money audit)係IA既最高境界,但係未做到3E前,IA都要擔起watchdog既責任,將基本問題搞好哂,先至可以更上一層樓做3E的。不過有一點非常啱,IA唔應該做bloodhound的。

匿名 說...

請恕我愚昧,我仍然不理解IA做watchdog同做bloodhound的分別。比方說一個部門內部守則混亂,上司、下屬互相包庇,損害公司利益,IA report是否只談守則,不論人事架構?若IA指出人事架構問題,是否就成為bloodhound?老實說,我希望IA是為正道而生!

bittermelon 說...

Hi 匿名君,

內審的工作多是按project來做。具體工作如何,要看些甚麼,審核些甚麼,首先要訂出audit scope,並且經過管理層認可後才能去做。

一般而言,IA主要是做operational audit,基本上是對事不對人,事事都要看實據的。就你所說的例子,若部門內部守則混亂,例如守則互相有抵觸,又或者部門不按守則辦事,但又沒有合理解釋的話,IA當然會提出來。

可是,上司、下屬互相包庇,損害公司利益,除非有切實的證據,證明真的有包庇情況發生,否則IA是不會提出來的。坦白講,我從事IA那裡久,從未敢下"上司下屬互相包庇"這樣的結論,因為根本沒有可能找到切實證據。或者你會問,有人證不就成嗎?可是,人證也不是100%可信,因無法排除惡意詆毀或中傷的可能。

至於人事架構,我們當然也會考慮,但也只向control方面去看。例如架構是否做到合理的分工(segregation of duties),分工是否重疊而且互相抵觸等。至於人事架構是過大等問題,一般的operation audit 不會觸及,除非管理層要求IA對某部門做一個人力專項調查,這是所謂的management audit。

the inner space 說...

瓜兄所言的:係未做到 3E 前,IA 都要擔起 watchdog 既責任,將基本問題搞好哂,先至可以更上一層樓做 3E 的。

真的是我畫龍兄點睛呀 。。。。

我就是想說在香港,甚至更多在國外國內的機構,聘有 IA 的公司都未能未曾達標,並由 IA 從旁提升 3E,更用 IA 為他們背書 endorse 他們 3E 俱佳的最高境界。

IA 唯有一路處於較做低層次的 Watchdog,不少 IA界的前輩,做到退休都未除只做 watchdog 的較低層次工作,豈不令人扼腕嘆息!

Last but not least 感謝 瓜兄 容忍愚弟在貴處發噏風! sPace 頓首。

匿名 說...

實在上了一課,謝謝!

可以的話,也請介紹一吓 Management Audit。

bittermelon 說...

sPace兄你太過言重啦,你我都係內審人,大家研究切磋一下實屬平常,難得既係得到你既留言,我開心都離唔切啦.

講開watchdog這個話題,我都聽過不少前輩講你同一番說話. 不過話事話,我始終認為IA watchdog的責任是逃不了的,即使日後升格專做VFM audit,但operational audit和compliance audit還是要做的. 例如審計署,他們也有兩組人, 一組專做VFM, 另一組專做政府賬目的financial audit一樣.

匿名君, management audit並不是IA的恆常工作,通常是在管理層的特別要求下去做的. 其實也沒有甚麼特別, 主要都是評價某公司或部門在資源調配,企業策略等方面是否有改善的地方.或許你可以看看這裡的definition:

http://www.businessdictionary.com/definition/management-audit.html

LinkWithin

Blog Widget by LinkWithin