http://bittermelon2009.blogspot.com/2012/01/audit-program.html
最近有朋友問如何去編寫Audit Program(APG),我將答覆用中文整理以及補充了一下作為日後參考。
就我以前所見,APG分General和Specific兩類。前者主要是根據Best Practice而寫成,一般比較「大路」,可以用於不同企業。雖則如此,但由於不是度身訂造,未必完全適合Auditee的實際情況,所以使用時要加倍 小心,特別是一些企業獨有的地方可能被忽略。至於後者,就是根據Auditee的實際情況而寫成,今天要講就是如何編寫這種APG。
先旨聲明,以下這個方法主要是Risk-based approach,經某大MNC的內審廣泛採用,我學了以後曾在幾家企業試用並改良而成。由於沒有跟教科書對照過,所以此法未必是最好,不過就頗為實用。
首先,我們需要為被審的範圍編制一下風險列表(Risk Chart),將當中涉及的主要風險主開列出來。由於風險可能會有很多,為免遺漏,最好是按照流程的順序找出來。例如審核倉庫流程,可以先由收貨 (Stock receiving)開始,將其風險列出,例如收錯貨、多收、少收、貨不對版等等。之後再將存貨管理(Stock maintenance),發貨(Stock issuing)等流程的風險詳細列出來。
在準備風險列表的同時,我們研究和記錄Auditee的現有流程和主要內部控制。我們可以透過Flowchart或Narrative note來做記錄。
完成上述兩個步驟以後,接下來為每個風險與相應的內控做配對。例如發貨單的其中一個風險是有遺漏,其相應的內控就是所有發貨單均有一個序號,而且有專人定 期檢查,以及跟進遺漏和跳號的發貨單。完成配對後,那些沒有相應內控的風險就是問題所在,之後尋找證據或實例,並訂出合適的改善建議。
對那些已配對上內控的風險,我們需要設計測試以證實相應的內控是否存在和有效。如上述發貨單的序號,我們可以利用審計軟件,去測試所有單號都是順序而且沒 有遺漏和跳號。另外,亦檢查是否有專人定期為序號做檢查。若果測試結果是合格,我們則可以相信相應的內控的確存在和有效。倘若結果是不合格,這就是審計發 現,找出實證後,就訂出合適的改善建議。
以下是一個APG的格式,我認為既簡單又實用,大家不妨參考一下。