background preloader

Accounting

Facebook Twitter

甚麼是內部審計 (Internal Audit) 內部審計介紹之一: 專業範疇. 內部審計(以下簡稱IA)主要分三個範疇(sectors): (1) 一般的商業機構(Commerce), (2) 銀行(Bank),及 (3) 政府或非政府機構(Public Sector and Non governmental organizations)。

內部審計介紹之一: 專業範疇

以香港的情況, 加入了其中一個範疇後, 日後想轉至其他範疇會很較為困難, 因為不同的範疇所要求的技能及知識不盡相同。 首先說一下商業機構的IA, 如果有志於這個範疇工作, 入職的首選是製造業或多元化企業(manufacturing or conglomerate), 而且入職的公司最好是在中國大陸及其他地方都有投資。 除了所見所聞會較多外, 現在香港對這類IA人的需求最大, 而且薪金不錯, 但因工作性質關係需要時常離港出差。 我曾做過一份IA工作, 平時留在香港的時間只有20%, 其余時間全部到其他地區出差, 未婚或正值摶殺期的可以考慮一下, 但已婚甚至有了小孩的就必須考慮清楚了。 內部審計介紹之二: 專業要求CIA. 內部審計介紹之三: 專業要求CISA. 在上文《內部審計介紹之二: 專業要求CIA》中提到, 要成為一位內部審計師, 專業會計資格是不可缺少, 如果能擁有Certified Internal Auditor (CIA)及Certified Information System Auditor (CISA)就更好。

內部審計介紹之三: 專業要求CISA

CISA是由 Information Systems Audit and Control Association(ISACA)所頒發, 和CIA一樣, CISA所學的與實際工作上遇到的沒有分別, 所以對現職內審的人來說考這個試並不太難, 不過考CISA需要有一定的IT知識, 如果本身並不是IT出身, 考CISA會有些難度。 ISACA每年會刊印一本CISA考試手冊(CISA exam review manual), 內容涵蓋了所有考試的範圍, 但單單溫習這本手冊還不足夠, 還要閱讀ISACA的期刊及一些相關的文章。 Internal auditor's resource. 從事審計工作的我, 不時都需要找東找西, 例如尋找公司競爭對手的財務資料做 benchmarking, audit program, audit approach, law and regulations 之類。

Internal auditor's resource

記得在十幾年前我剛入行時, 要找這些資料相當困難, 除非願意付鈔買回來。 現在資訊發達, 只不過十幾年光景, 幾乎什麼資料皆可以垂手可及, 從前要花錢花資源去買資訊, 現在不用買了, 但仍然需要花錢花資源去核實資料是否可靠。 相信大家都經常在互聯網找資料吧, 以下是我在內審工作中最常用的網站, 大部分是免費, 現在列出來和大家分享: 1) AuditNet programs及working paper templates, 相當多部份是可以免費下載的。 除了audit programs外, 還有得多有用的文章及連結, 特別是SOX的相關文章及最新發展等。 2) BNet Business Network 轉載了很多關於internal audit的文章, 不需要註冊, 大部份是免費的。

3) WhatIs?. 4) PWC portal 及 publications 相當多部份是可以免費下載的。 5) ICAEW Doing Business in... 6) Baker Tilly International 載有一系列的doing business guides。 Internal Control framework. 當Enron及WorldCom事件爆發後,企業管治成為全球的熱門話題,很多公司都需要改善其內控架構,加上美國Sarbanes-Oxley (SOX) 法例明確要求上巿公司需要參考COSO的架構以改善其內控,所以從那時開始它便被廣泛應用。

Internal Control framework

不過當時COSO的架構有些不合時宜,在2001年COSO開始修訂原有的架構,並在2004年推出一個全新的《企業風險管理-整合框架Enterprise Risk Management — Integrated Framework》。 COSO element: Control environment 1. 在《淺談內控架構 Control framework》中曾提及過COSO的八個內控要素,我將會在本篇及未來幾篇文章介紹其中五個較重要的,包括內控環境 (Control Environment)、風險評估 (Risk Assessment)、控制活動 (Control Activities)、資訊與溝通 (Information and Communication) 及監督 (Monitoring),這即是92年版的COSO Control Model。

COSO element: Control environment 1

我個人認為92年版的較簡單易明,不像04年版的過於複雜及令人眼花撩亂,所以我們可以先研究舊的那個,有了基礎概念後再看新的便會事半功倍。 首先,我們先討論一下「內控環境」。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對內控環境有以下的詮釋: 內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經營環境。 那麼具體要怎樣做才算足夠呢? 1) 道德及誠信價值觀 (Integrity and Ethical Values) 管理層具體良好的道德及誠信價值觀,所謂「上樑不正下樑歪」,如果管理層操守有問題,整家企業包括其員工的操守都不會好到那裡去,所以企業應訂立一套道德及操守準則 (Code of Ethics),並嚴格實施以規範企業內所有員工包括管理層的行為,而且企業應不時教育員工並傳達維護良好企業道德的好處。 COSO element: Control environment 2. 在上文《COSO內控要素:內控環境(一)》中我們已探討過三個內控環境 (Control Environment) 的良好特質 (道德及誠信價值觀、對完成目標的保證及董事局和審計委員會),接下來我們繼續餘下的三個。

COSO element: Control environment 2

4) 管理層的管理和運作模式 (Management’s Philosophy and Operating Style) COSO element: Risk management 1. 在上兩篇文章,我們已探討過內控環境,現在我們談一下風險評估 (Risk Assessment)。

COSO element: Risk management 1

根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對風險評估有以下的詮釋: 通過考慮風險的可能性和影響來對其加以分析,並以此作為決定如何進行管理的依據。 風險評估應立足於固有風險和剩餘風險。 這裡的風險評估其實是指風險管理 (Risk Management),那麼具體要怎樣做才算足夠呢? COSO element: Risk management 2. 在上一篇文章《COSO內控要素:風險評估(一)》中,我們已探討過風險及一些相關的概念,現在我們談一下風險管理(Risk Management)的程序。

COSO element: Risk management 2

整個程序可以簡單地分成三個環節,包括: 訂立企業目標 (Objective Setting) 目標可分為兩個層面,第一層是組織層面 (Company-wide Objective),第二層是運作層面(Process-wide Objective)。 組織層面的目標包括我們時常聽到的使命 (Mission) 或願景 (Vision),策略 (Strategy)及企業目標(Business Objectives);運作層面的目標就是指個別功能的目標,例如採購功能的目標就是在合理的時間以合理的價錢為企業採購符合要求的物品,銷售功能的目標就是為企業獲取最大的利潤或巿場佔有率等。 假設企業的目標是在未來五年提升其盈利達五倍,為達到這個企業目標,各個功能將會訂立不同的目標來配合,例如採購功能會在未來五年降低採購成本x%;銷售功能會提升巿場佔有率xx%等等。 COSO element: Infomation and Communication.

在上五篇文章中我們已探討過內控環境 (Control Environment),風險評估 (Risk Assessment) 及控制活動 (Control Activities),現在我們談談第四個要素,資訊與溝通 (Information & communication)。

COSO element: Infomation and Communication

根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對資訊與溝通有以下的詮釋: 相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。 有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。 資訊與溝通良好與否分兩方面看,分別是訊息的質素及溝通的有效性。 訊息的質素 (Quality of Information)訊息的質素首先取決於數據是怎樣收集。 上面提及到數據需要準確 (Accurate),可靠 (Reliable) 和及時 (timeliness)。 溝通的有效性 (Effectiveness of Information) 大家可否記得在《淺談內控架構 Control framework》一文中曾經提及過資訊與溝通這要素是位於COSO三角形的兩旁? COSO element: Control activities. 在上四篇文章中我們已探討過內控環境 (Control Environment) 及風險評估 (Risk Assessment),接下來我們談一談控制活動 (Control Activities)。

COSO element: Control activities

根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對控制活動有以下的詮釋: 制訂和執行政策與程序以幫助確保風險應對得以有效實施。 其實控制活動就是我們說的內部控制。 在設計及制訂內部控制前,我們需要了解一些概念。 內控的性質. COSO element: Monitoring. 在上六篇文章中我們已探討過四個COSO的內控要素,現在我們談談最後一個,監督 (Monitoring)。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對監督的詮釋是這樣: 對企業風險管理進行全面監控,必要時加以修正。 監控可以通過持續的管理活動、個別評價或者兩者結合來完成。 Charter Magazine.