background preloader

Accounting

Facebook Twitter

甚麼是內部審計 (Internal Audit) 內部審計介紹之一: 專業範疇. 內部審計(以下簡稱IA)主要分三個範疇(sectors): (1) 一般的商業機構(Commerce), (2) 銀行(Bank),及 (3) 政府或非政府機構(Public Sector and Non governmental organizations)。 以香港的情況, 加入了其中一個範疇後, 日後想轉至其他範疇會很較為困難, 因為不同的範疇所要求的技能及知識不盡相同。 首先說一下商業機構的IA, 如果有志於這個範疇工作, 入職的首選是製造業或多元化企業(manufacturing or conglomerate), 而且入職的公司最好是在中國大陸及其他地方都有投資。 除了所見所聞會較多外, 現在香港對這類IA人的需求最大, 而且薪金不錯, 但因工作性質關係需要時常離港出差。 我曾做過一份IA工作, 平時留在香港的時間只有20%, 其余時間全部到其他地區出差, 未婚或正值摶殺期的可以考慮一下, 但已婚甚至有了小孩的就必須考慮清楚了。

至於銀行的IA, 首選係大行或外資行, 華資和中資銀行是次選。 因為在大行和外資行工作, 除了薪金較優厚外, 所學到的知識也較多。 另外, 因為銀行的營運十分倚賴IT系統, 所以銀行的IA工作十分看重IT審計。 至於政府或非政府機構, 首選是香港政府的審計署和香港賽馬會。 除了擁有相關的會計知識及技能外, 從事內部審計工作還需要有 common sense。 內部審計介紹之二: 專業要求CIA. 內部審計師 (Internal Auditor)通常是會計專業出身, 要在這一行發展, 專業會計師(qualified accountant)這專業資格少不了。 以香港的情況, 只要你擁有任何一個專業會計師的資格就可以了。 除了專業會計師的資格外, 如果擁有Certified Internal Auditor(CIA) 及 Certified Information System Auditor(CISA)就更最好。 CIA是由美國的 The Institute of Internal Auditor (IIA)所頒發, 除了CIA, 她們還頒發其他專業資格, 例如Certified Control Self-Assessment(CCSA ), Certified Goverment Audit Professional(CGAP) 和Certified Financial Services Auditor(CFSA)。 目前來說, CIA是較多人認識和承認的一個資格。 在ENRON未發生造數醜聞前, 企業管治(Corporate governance)和內部審計根本不被重視, 當時和別人談起我是CIA時, 人家還以為我說笑在講中情局(Central Intelligence Agency), 但由於企業管治越來越受重視, 所以現在很多人都認識CIA, 特別在近年, 大陸每年至少有幾千人考CIA。 以我的經驗, 如果本身是從事內部審計的話, 考CIA不會太難, 以我認識的同行當中, 通常1-2次就能考取到合格的成績, 不過如果未曾接觸過內部審計的工作, 考CIA會有一定的困難, 因為試題大多圍繞內審工作上實際遇到的問題, 只靠讀書是無法過關的, 而且不是任職內審的話, 考取CIA資格的用途也不大。 CIA考試有四部份, 持有HKICPA 或 ACCA資格可以申請豁免第四部份。

至於CISA, 將會在另文介紹。 內部審計介紹之三: 專業要求CISA. 在上文《內部審計介紹之二: 專業要求CIA》中提到, 要成為一位內部審計師, 專業會計資格是不可缺少, 如果能擁有Certified Internal Auditor (CIA)及Certified Information System Auditor (CISA)就更好。 CISA是由 Information Systems Audit and Control Association(ISACA)所頒發, 和CIA一樣, CISA所學的與實際工作上遇到的沒有分別, 所以對現職內審的人來說考這個試並不太難, 不過考CISA需要有一定的IT知識, 如果本身並不是IT出身, 考CISA會有些難度。 ISACA每年會刊印一本CISA考試手冊(CISA exam review manual), 內容涵蓋了所有考試的範圍, 但單單溫習這本手冊還不足夠, 還要閱讀ISACA的期刊及一些相關的文章。

以我為例, 我是會計出身, 讀書時只修讀過幾門IT相關的課程, 對IT不太熟悉, 所以應考CISA前我花了一年時間準備, 包括報讀ISACA香港分會所舉辦的考試研習班, 溫習考試手冊(由頭到尾至少溫習了三次), 閱讀期刊及相關文章, 一旦有不明白的地方就向IT同事請教, 問到明白為止, 臨考之前就試做了過去多年的考試題目, 最後成功一次過關。 CISA考試是以選擇題作答, 根據現在的機制, 試題總共有200條, 但每條問題的分數並不一樣, 800分滿分, 考獲450分或以上為合格。 考試合格后, 加上五年的相關IT審計經驗就可以申請成為CISA。 CISA考試的詳情: CISA考試可以選擇中文試卷, 但我個人並不鼓勵這樣選擇, 因為其專有名詞的翻譯跟我們香港慣用的不盡相同, 可能會因此影響考試的成績。 Internal auditor's resource. 從事審計工作的我, 不時都需要找東找西, 例如尋找公司競爭對手的財務資料做 benchmarking, audit program, audit approach, law and regulations 之類。 記得在十幾年前我剛入行時, 要找這些資料相當困難, 除非願意付鈔買回來。 現在資訊發達, 只不過十幾年光景, 幾乎什麼資料皆可以垂手可及, 從前要花錢花資源去買資訊, 現在不用買了, 但仍然需要花錢花資源去核實資料是否可靠。 相信大家都經常在互聯網找資料吧, 以下是我在內審工作中最常用的網站, 大部分是免費, 現在列出來和大家分享: 1) AuditNet programs及working paper templates, 相當多部份是可以免費下載的。

除了audit programs外, 還有得多有用的文章及連結, 特別是SOX的相關文章及最新發展等。 進入前需要先註冊, 免費的。 如果付款的話, 可以下載所有audit programs及working paper templates。 2) BNet Business Network 轉載了很多關於internal audit的文章, 不需要註冊, 大部份是免費的。 3) WhatIs?. 4) PWC portal 及 publications 相當多部份是可以免費下載的。 5) ICAEW Doing Business in... Business guides和連結, 對海外分支機構的審計有一定的幫助。 6) Baker Tilly International. Internal Control framework. 當Enron及WorldCom事件爆發後,企業管治成為全球的熱門話題,很多公司都需要改善其內控架構,加上美國Sarbanes-Oxley (SOX) 法例明確要求上巿公司需要參考COSO的架構以改善其內控,所以從那時開始它便被廣泛應用。 不過當時COSO的架構有些不合時宜,在2001年COSO開始修訂原有的架構,並在2004年推出一個全新的《企業風險管理-整合框架Enterprise Risk Management — Integrated Framework》。 新架構由三角形變成了正立方形,五大要素變成八大要素,包括Internal environment (內部環境),Objective setting (目標設定),Event identification (事項辨認),Risk assessment (風險評估),Risk response (風險回應),Control activities (控制活動),Information & communication (資訊與溝通)和Monitoring (監督),而且還重申四個企業目標 (Objectives) 的重要性,包括Strategic (策略性),Operation (營運),Reporting (報導) 及 Compliance (遵循)。

新的架構比舊有的全面,但較复雜,詳細資料可以到COSO的網站找得到,他們有一份多個語言版本的要覽 (Executive Summary),可按以下連結下載,費用全免。 另外,在2006年6月COSO推出了一份《Internal Control over Financial Reporting – Guidance for Smaller Public Companies 財務報導的內部控制-較小型公開發行公司指引》及2009年1月的《Guidance on Monitoring Internal Control Systems》。 其要覽可以在這裡下載 如有錯漏或有其他心得, 請大家指正及提出來研究。 至於每一個內控要素及目標的詳細要求,我將會另文再談。 COSO element: Control environment 1. 在《淺談內控架構 Control framework》中曾提及過COSO的八個內控要素,我將會在本篇及未來幾篇文章介紹其中五個較重要的,包括內控環境 (Control Environment)、風險評估 (Risk Assessment)、控制活動 (Control Activities)、資訊與溝通 (Information and Communication) 及監督 (Monitoring),這即是92年版的COSO Control Model。

我個人認為92年版的較簡單易明,不像04年版的過於複雜及令人眼花撩亂,所以我們可以先研究舊的那個,有了基礎概念後再看新的便會事半功倍。 首先,我們先討論一下「內控環境」。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對內控環境有以下的詮釋: 內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經營環境。 那麼具體要怎樣做才算足夠呢? 1) 道德及誠信價值觀 (Integrity and Ethical Values) 管理層具體良好的道德及誠信價值觀,所謂「上樑不正下樑歪」,如果管理層操守有問題,整家企業包括其員工的操守都不會好到那裡去,所以企業應訂立一套道德及操守準則 (Code of Ethics),並嚴格實施以規範企業內所有員工包括管理層的行為,而且企業應不時教育員工並傳達維護良好企業道德的好處。 2) 對完成目標的保證 (Commitment to Competence) 管理層為每一個職位訂立所需要的知識及技能並提供適當的培訓,而且還要有一套員工表現的審核基制加以輔助。 3) 董事局和審計委員會 (Board and Audit Committee) 企業的董事局成員由擁有相關資格及經驗的人士出任,他們對企業身處的行業十分熟悉,而且能夠給予企業富有建設性的意見。 內控環境的特質還有另外三點,我將會在下一篇文章繼續和各位探討。

--------相關文章連結:上一篇文章:淺談內控架構 Control framework下一篇文章:COSO內控要素:內控環境(二)_&&&&&&&& COSO element: Control environment 2. 在上文《COSO內控要素:內控環境(一)》中我們已探討過三個內控環境 (Control Environment) 的良好特質 (道德及誠信價值觀、對完成目標的保證及董事局和審計委員會),接下來我們繼續餘下的三個。 4) 管理層的管理和運作模式 (Management’s Philosophy and Operating Style) 管理層十分看重風險管理及內部控制,並且定期評估企業需要面對的各種風險。 李嘉誠(李超人) 曾經說過,他每天想得最多的就是企業將會遇到什麼問題,所以他往往花上九成時間去考慮失敗,他這種管理模式其實就是風險管理。 其次就是企業主要人員的穩定性,好的企業管理人員不會頻繁更換,如看到管理層在短時間內紛紛「跳船」,企業的前景有多好就可想而知。 5) 組織結構及權責分配 (Organizational Structure/Assignment of Authority and Responsibilities) 企業的組織結構嚴謹而且健全,每個功能的目標、職責、權力、權限及統屬關係清楚分明,信息能有效從上而下,由下而上或在功能之間流通。 6) 人力資源政策 (Human Resource Policies and Practices) 企業有一套完善的人力資源政策並且嚴格執行,政策的內容包括招聘,升遷,表現評核,輔導,培訓,離職,薪金報酬水平和道德及操守準則等,而且其政策還要符合當地法例的規定,不是「講一套,做一套」的那種。 一家企業如果能做到以上六點,內控環境其實是相當不錯的了。 下篇將會探討另一個重要的要素-風險評估。 --------相關文章連結:上一篇文章:COSO內控要素:內控環境(一)下一篇文章:COSO內控要素:風險評估(一)

COSO element: Risk management 1. 在上兩篇文章,我們已探討過內控環境,現在我們談一下風險評估 (Risk Assessment)。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對風險評估有以下的詮釋: 通過考慮風險的可能性和影響來對其加以分析,並以此作為決定如何進行管理的依據。 風險評估應立足於固有風險和剩餘風險。 這裡的風險評估其實是指風險管理 (Risk Management),那麼具體要怎樣做才算足夠呢? 首先我們要了解什麼是風險及一些相關的概念。 什麼是風險? 風險能完全消除嗎? 在現實中我們只可以降低 (Reduce) 或轉移風險 (Transfer),但卻不能將風險完全消除 (Eliminate)。 固有風險、控制風險及剩餘風險有什麼關係? 將現金放在保險櫃以降低被盜取的固有風險,如何保管好鑰匙或密碼就是控制風險了(Control Risk)。 風險管理並不艱深,如何找出固有風險,企業可以承受多少風險,通過什麼方法將它們降低或轉移(這涉及到控制風險),要降低或轉移多少(這涉及到剩餘風險),這就是風險管理了。 下篇將會探討風險管理的程序。 --------相關文章連結:上一篇文章:COSO內控要素:內控環境(二)下一篇文章:COSO內控要素:風險評估(二) COSO element: Risk management 2. 在上一篇文章《COSO內控要素:風險評估(一)》中,我們已探討過風險及一些相關的概念,現在我們談一下風險管理(Risk Management)的程序。 整個程序可以簡單地分成三個環節,包括: 訂立企業目標 (Objective Setting) 目標可分為兩個層面,第一層是組織層面 (Company-wide Objective),第二層是運作層面(Process-wide Objective)。 組織層面的目標包括我們時常聽到的使命 (Mission) 或願景 (Vision),策略 (Strategy)及企業目標(Business Objectives);運作層面的目標就是指個別功能的目標,例如採購功能的目標就是在合理的時間以合理的價錢為企業採購符合要求的物品,銷售功能的目標就是為企業獲取最大的利潤或巿場佔有率等。

假設企業的目標是在未來五年提升其盈利達五倍,為達到這個企業目標,各個功能將會訂立不同的目標來配合,例如採購功能會在未來五年降低採購成本x%;銷售功能會提升巿場佔有率xx%等等。 識別風險 (Risk Identification) 風險就是任何威脅或障礙,它們的存在可能影響企業達到其企業目標,企業要有一套方法將這些威脅識別及記錄下來。 識別風險以後,我們還需要評估它們影響及重要性。 評估了各個風險的影響及重要性以後,企業便需要設計適當的控制措施以降低或轉移風險。 管理變革 (Managing Change) 商業環境瞬息萬變,經濟、巿場、法規等的轉變均有可能影響企業的目標。 --------相關文章連結:上一篇文章:COSO內控要素:風險評估(一)下一篇文章:COSO內控要素:控制活動. COSO element: Infomation and Communication. 在上五篇文章中我們已探討過內控環境 (Control Environment),風險評估 (Risk Assessment) 及控制活動 (Control Activities),現在我們談談第四個要素,資訊與溝通 (Information & communication)。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對資訊與溝通有以下的詮釋: 相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。 有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。 資訊與溝通良好與否分兩方面看,分別是訊息的質素及溝通的有效性。 訊息的質素 (Quality of Information)訊息的質素首先取決於數據是怎樣收集。

上面提及到數據需要準確 (Accurate),可靠 (Reliable) 和及時 (timeliness)。 溝通的有效性 (Effectiveness of Information) 大家可否記得在《淺談內控架構 Control framework》一文中曾經提及過資訊與溝通這要素是位於COSO三角形的兩旁? 在今天資訊發達的年代,企業將訊息下達到各功能以至每位員工並不難,但要他們真正清楚了解其訊息就不容易。 不論溝通是從那一個方向流動,有效溝通還應包括反饋 (Feedback) 的信息。 下一篇我會談談最後一個重要要素,監督 (Monitoring)。 --------上一篇文章:COSO內控要素:控制活動下一篇文章:COSO內控要素:監督. COSO element: Control activities. 在上四篇文章中我們已探討過內控環境 (Control Environment) 及風險評估 (Risk Assessment),接下來我們談一談控制活動 (Control Activities)。 根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對控制活動有以下的詮釋: 制訂和執行政策與程序以幫助確保風險應對得以有效實施。 其實控制活動就是我們說的內部控制。 在設計及制訂內部控制前,我們需要了解一些概念。 內控的性質 內部控制主要有三種性質,包括預防性 (Preventive Control),偵測性(Detective Control)及矯正性 (Corrective Control)。 理論上,我們會優先考慮預防性控制,正如我們不會只依賴現金盤點而不將現金鎖在保險櫃裡。 內控的成本效益 如上述所說,控制是需要成本的,如果設置的控制的成本高於其風險或帶來的得益,那麼這個控制就不應該實施,就好像要花幾萬元購買一個保險櫃來存放幾百元一樣。 常用內控的方法 內部控制採用的方法有好幾種,我們常用的包括: 政策及程序 (Policies & Procedures)-建立一個框架,所有活動都控制在這個框架之內。 審視 (Review)-通過第三者審視並給意見,按不同情況,第三者可以是上司,同級人員,其他相關部門人員等。 審批 (Authorization)-一項交易需要得到上級的同意後才可以進行,例如採購單需要採購經理的審批,支票需要授權人簽名等。

憑證 (Documentation)-每項交易有適當的憑證以支持其是否真實,合理或符合程序,例如供應商開具的發票,銀行月結單,內部的請假單等等。 會計記錄控制 (Accounting Controls) -有系統地收集及記錄各項財務活動及成本等資料,從而編制財務報表及各種分析以協助管理。 實物控制 (Physical Controls)-例如將現金鎖在保險櫃,固定資產貼上標籤及為資產造帳登記,現金及實物盤點等。 異常報告 (Exceptional Reporting) -當有異於正常的事情發生時向相關單位報告,例如當系統被入侵,某交易金額異常大或少,系統在非辦公時間被啟動等等。 職責分離 (Segregation of Duties) -交易由準備,審批,執行到記錄由不同的人員負責。 COSO element: Monitoring. 在上六篇文章中我們已探討過四個COSO的內控要素,現在我們談談最後一個,監督 (Monitoring)。

根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對監督的詮釋是這樣: 對企業風險管理進行全面監控,必要時加以修正。 監控可以通過持續的管理活動、個別評價或者兩者結合來完成。 上述詮釋中所提及的風險管理其實是指企業的目標是否如預期般達到,以及相關的內控系統 (Internal Control System)是否有效運作。 監督的方法主要有兩種,第一種是一個持續的過程 (On-going Process),由內控系統擁有人 (System Owner) 負責在日常中進行,是內控系統的一部份。 另一種是監督的方法是由獨立的第三方,例如內審,外審,顧問等負責,對內控系統的進行有效性進行審核。 如上面所講,第一種監督方法是嵌入(Built-in) 在系統內的,是持續的 (On-going);第二種則是附加 (Add on) 的,是獨立的。 以免各位打瞌睡,寫完這一篇後,COSO系列文章會暫時完結,日後我會再細談一下COSO Control Model的其他東西,例如新的COSO ERM Model,COSO-based Audit等。 --------上一篇文章:COSO內控要素:資訊與溝通. Charter Magazine.