遇見違規事情時怎辦? Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/03/blog-post_19.html有一位從事內審的朋友,最近問了一個非常實際的問題,當發現公司有違法行為時,身為內審應如何去做?向公司管理層匯報?還是直接向監管當局報告?如果向管理層報告後,他們選擇繼續違規而不去糾正又怎麼辦?倘若不向監管當局報告的話,擔心自己日後可能遭到控告。
首先,根據IIA的守則(不知道會計師公會的專業守則有沒有提及呢?),內審是公司的僱員,工作要向公司負責,所以遇到違規問題時,應向公司管理層報告,
由他們決定如何處理。倘若他們選擇繼續違規,我們極其量只能向他們解釋相關的風險,而不應直接向監管當局報告。向管理層報告及解釋風險,做到了這一步,內
審已經盡了應付的責任,至於會否被控知情不報,那要看涉及的違規事項是甚麼以及當地法例。
一般來說,不涉及刑事的普通商業違規,內審不會有知情不報的問題,我們理應不會受影響。至於涉及刑事的,問題就比較複雜。如果殺人放火這些還好說,因為不管三七二十一都要報警,但如果是貪污舞弊就得小心處理。不過,只要已向管理層報告了,一般來對內審都不會受影響。
不管違規事項嚴重與否,身為公司的僱員或客戶的核數師,身份是代理人,若揭露受害者託人的問題,有失專業操守。但身為市民,若知道違規行為而不去舉報,又
有失市民責任。若果碰到這種兩難的問題時,我想我也不知如何是好。不過,若碰到洗黑錢以及恐怖主義活動,我們就不應猶豫而向有關方面舉報。
最後一提,根據香港法例,會計師和律師等專業人員在遇到洗黑錢及恐怖主義活動活動時,必需向聯合財富情報組舉報,其網站有一份專為會計師而設的守則,連結
在此。另外,網站內也列舉了一些洗黑錢活動的特徵,值得參考一下。
審計的九種技巧(6):重做 Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/03/6.html在審計技巧中,有一種方法叫重做(Re-performance),就是根據Auditee的方法照版煮碗去做一次,看看出來的結果是否相同。個人覺得這是一個頑為搵自己笨的方法,所以有時我會要求Auditee在我面前代勞,而不需自己去做。
最常見的重做是計算,例如重新將銷售清單的金額加總一次,或者重新計算Payroll的金額,又或者自己計算一次折舊,甚至再重一次銀行調節表(Bank
reconciliation)等等。總之就像當成Auditee的計算是信不過,所以由自己重新來計算一次。特別是Spreadsheet,很多時候
Auditee將Formula改了或抄錯了卻不自知,最後計算結果出錯了也沒有察覺。多年前曾看過一篇報導,說有某大跨國企業,就是因為
Spreadsheet出錯,而導致業績被少計了一個零頭。所以,旦凡由Spreadsheet計算出來的東西,自己計算一次比較保險了。
另一個運用重做的例子是採購,我們為同一種物品找不同的報價,看看實際的採購單價是否合理。不過,如果相隔的時間太長,例如今天去重做一年前食品的報價,
這個方法就沒有用了。而且,在執行上必然遇到很多困難,例如用公司名義去找報價,人家見你不是採購部門就未必肯回答你,特別是公司的合資格供應商,你不是
特定的採購人員,對方根本不會理會你。試過有內審同事「假冒」自己的採購人員去找合資格供應商清單以外的公司去報價,對方可以為有大生意可做,事後直接約
談採購經理。採購經理當然一頭霧水,最後弄到尷尬非常。
審計的九種技巧(7):Reconciliation Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/03/7reconciliation.html在種種的審計技巧當中,有一項比較高級的叫Reconciliation ,有人翻譯叫「調節」,也有人叫「對賬」,但總覺得欠準確,而行內則普遍簡稱為「Rec 數」。
Reconciliation主要用於查核賬目,最多人認識的相信是Bank
reconciliation(銀行賬戶調節表),由於入賬時間不同,現金賬和銀行月結單上的結餘都有可能出現差異,透過Reconciliation就
可以將兩者不同的原因找出來,並跟進那些奇奇怪怪的項目,例如long unpresented cheques,long late deposits
in transit等等。
Long unpresented
cheques就是那些開出了很久而還未兌現的支票,常見的問題主要是支票開出卻遲遲未交到受款人的手中,甚至涉及虛假交易,企圖造大採購和支出。至於
Long late deposits in
transit,顧名思義,就是收到的現金和支票沒有即日存入銀行賬戶,這個涉及現金安全風險,見到這些項目就必需跟進其原因。
另一個Reconciliation常用的例子是Deferred tax,我們也是通過此方法去了解賬上和實際Income tax之間的差異何來,然後重點跟進那幾項有重大差異的,藉此驗證Income tax的計算有沒有大差錯。
再舉個例子,在檢查Fixed
asset的賬目前,我們可以通過Reconciliation來看看全年的movement是否合理。方法很簡單,將opening
balance加Addition減Written off減Depreciation,如果結果與Closing
balance相差很大,這就反映出賬目可能有錯誤,又或者賬目內做了些重大的調整。
相同的方法還可以應用到一些賬目,例如Tax payable以及Current accounts等等,也見過有人用此方法來找出Budget vs. Actual和
Prior year vs. Current year之間差異的原因,是一個於賬目審查中不可或缺的技巧。
審計的九種技巧(8):Analytical review procedures Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/04/8analytical-review-procedures.html與Reconciliation一樣,Analytical review procedures是一種較為高級的審計技巧,透過此方法,我們可以對Auditee有一個較高層次的了解,有助評估企業的營運風險,所以此方法多用於Audit planning階段。
具體的做法主要是計算和比較不同的比率和表現的趨勢,例如在企業的財務表現方面,我們可以計算企業的毛利率和淨利率,再與已往幾年比較,從中可以看到企業近年的表現和趨勢,若進一步與相同行業的平均數或競爭者做比較,更可得知企業的表現在行內的位置。
除此之外,比率之間都有著一定的關係。例如毛利率上升,必然是銷售額增長比成本增長來得多。又例如銷售額增幅很大,但AR
turnover卻下跌,加上營運現金流入減少的話,這可能是大部份新增銷售都是Credit
Sales,而且貨款回收不容易,呆料壞賬撥備可能需要增加。
另外,不同的比率同時變化,當中可能反映出一些現況,例如AR turnover下跌而AP turnover上升,這反映出企業對營運資金的需求上升。又例如Stock turnover下跌而存貨金額上升,這可能關係到貨品滯銷。
還有一點,將財務數據結合非財務數據來計算,可令到分析更全面更廣泛。例如Revenue per staff,Staff expenses per
staff,Revenue per client,Revenue per selling area,Average revenue per
active client and inactive client等等。
審計的九種技巧(9):Scanning Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/04/9scanning.html來到最後的一種技巧了,可能有人不同意,但我認為此技巧是最高級的。顧名思義,Scanning就是將要審核的東西匆匆掃瞄一次,看看有沒有異常的地方需要跟進。
例如把某個月的General adjustment
vouchers全部找出來,並每張看一下,若果覺得有問題,便抽出來跟進。何謂有問題呢?就Adjustment而言,例如關聯公司之間的大額現金轉
賬、異常的應收和應付的調整、銷售賬的non-routine調賬等等。
說這技巧最高級,因為做得好與不好,全靠審計人的經驗。可是,單看上面的介紹已知道,只靠匆匆看一下去找出問題,根本與大海撈針沒有分別。所以,此技巧一向不受重視,就算使用,也只用作輔助性質而已。
不過,由於近十年科技發展迅速,配合審計軟件的幫助,100% Scanning已成為當今最高級的審計方法。例如要審核全年的銷售,以前就只可以用抽樣的方式來做Scanning。現在我們則可以利用審計軟件,將全年所有的銷售交易掃瞄一次,並找出異常的地方然後跟進。
異常可以有很多,當中包括發票編號重號、跳號和沒有順序,發票金額是負數、異常大或異常小,不正常的發票日期(例如非辦公時間開出的發票),某月或某日開
出的發票特別多或少,折扣異常大,發票金額計算錯誤,奇怪的送貨地址(例如PO Box)等等。而且還可以按銷售部門或人員來分析,方便找出問題的源頭。
除此之外,審計軟件還可以將銷售交易數據和其他數據連結起來做分析,例如核查發票上的單價是否和公司批准的價單相符,開出的發票是否超過顧客本身的信貸額,銷售人員佣金計算是否有錯,是否所有銷售交易都已錄入銷售賬,或者銷售賬內所有交易都有發票支持等等。
當然,若想利用審計軟件做Scanning,大前提是被審核的東西必須是數據化。另外,只有在數據數量比較大的情況下,利用審計軟件才能夠提昇審計的效率,因為要將數據載入審計軟件,前期準備所花的時間著實不少。
最後一提,由於Excel很普及,很多Auditee都會用它來做記錄,目前審計軟件已經可以輕鬆讀取和分析Excel內的數據。可是,若果
Auditee在編制Spreadsheet時態度鬆散,例如相同的顧客但錄入時名稱不一致,最常見是一時打入ABC
Limited,一時卻又打入ABC Ltd,遇到這種情況,我們需要花時間去「執」一下這些數據,審計軟件才能有效發揮其分析功能。
早前曾寫過一篇叫《
運用審計軟件實例》的文章,當中以採購流程作為實例,來介紹如何利用審計軟件來做分析,有興趣的話請看一看。
內部控制方法(1):Segregation of duties Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/04/segregation-of-duties.html有效分工是內部控制的基本方法之一,主要是將一件工作分開由不同的人來負責,做到互相監察,互相制衡。例如存放現金的夾萬,一人負責保管鎖匙,另一人負責保管密碼,沒有兩個人同時在場的話,就不能開啟夾萬。
和其他內控方法一樣,有效分工只能減低而不能完全避免風險,就如上述的夾萬,倘若兩個人一起合謀的話,分工這個內控手段便失去作用。所以,有時我們需要按
情況加添其他方法來減低風險,比如減低夾萬現金存量以減低合謀的誘惑,又或者在夾萬外加裝鋼閘,由第三人保管鎖匙,甚至派專人看守及安裝CCTV等。
看到這裡你可能會問,若加裝了鋼閘,他們也能串通呀?莫非再派專人看守?看守的人也參與合謀時又怎麼辦?想強調一下,沒有一種內控是能完全避免風險的,而
且風險可以是無限而資源卻有限,以有限追逐無限根本不切實際。所以,在設計內控時,我們必先考慮可承受的風險水平和內控的成本效益。例如夾萬存放的現金就
只有幾千元,最大的風險就損失了幾千元,相信將鎖匙和密碼分開由不同的人來保管已足夠,沒有理由再花費幾萬元去安裝CCTV吧?
有效分工雖然是最基本的方法之一,但對於很多中小企而言,他們未必有足夠的資源(特別是人手分配上)去做分工。這時候,為了減低風險,我們就必需利用
Compensation
control去彌補。再以現金夾萬為例,若不能將鎖匙和密碼分開由不同的人去保管,我們可以盡量減低現金存放量,或索性不存放現金,又或者不定期派人到
現場盤點等等。另外,善用IT資源也能達至分工的效果。例如一些銀行向中小企提供的網上銀行服務,就是透過不同的登錄帳戶(Login
account)來做分工。比如要匯出一筆款項,負責財務的同事首先利用自己的帳戶在系統內輸入匯款的所需資料,然後授權人通過自己的帳戶在系統內做審
批,系統才會接受匯款的申請並進行匯款。
最後一提,在設計分工時,要注意以下這些工作是不應該分工的:
1)保管資產
2)審批
3)記錄
4)執行
例如負責執行的就不應同時負責審批、記錄或保管資產。最典型的例子是採購,例如負責採購的同事,不應同時負責審批購貨單、編制會計記錄,以及保管購買回來的貨物。
此處有一個
網頁詳細例舉了一些會計上的職務是不應分工的。另外,此處講的「
內部牽制制度」,其實就是講分工,很值得參考。
內部控制的方法(2):Authorization Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/04/2authorization.html審批是內部控制的最基本方法之一,相信其操作原理不用介紹太多了吧?簡單而言,就是在進行某工作、交易或差事(即Transaction)前,需要得到上級的批准才可以執行。
基本上,所有Transactions應得到最高管理者的批准,可是,就算是小型企業,每年Transactions的數量也不少,更何況是大型企業和機構?要最高管理者審批每一宗Transaction是難於實行,所以,權力下放(Delegation)就應運而生。
Delegation可以按類別(by area)以及金額(by
amount level)來下放。例如CEO將採購的審批權下放給採購總監,又將銷售合同的審批權下放給營銷總監,也將財務的審批權下放給財務總監,如似類推,這就是按類別來下放權力。
可是,若果將所有權力下放,出錯或者偏離企業目標的風險也隨之而增加,特別遇到重大事項時,需要在執行前由管理層討論和決定,所以按類別來做權力下放的同時,也會設一個限額。例如採購總監的採購權上限是一百萬元,超過此金額的交易就必須得到CEO的審批,而金額超過五百萬元的,就必須得到董事會的批准。
再舉多一個例子,當公司開出支票時,金額低於一千元只需要由會計經理連同司庫一起審批就可以了,金額界乎一千至十萬元的需要財務總監的審批,超過十萬元的則需要CEO的審批等等。
或許你會問,審批權的限額應怎樣釐定,其實這關乎企業本身可接受的風險。例如釐定某辦事處財務經理的審批權限額,我們可以按他/她薪金水平的若干倍。例如薪金是一萬元水平左右,而企業的可接受風險是他/她薪金的五倍,那麼審批限額就設在五萬元,超過此數的就必須由當地CEO加簽。
可是,若單看金額,辦事處的營運效率可能會有所影響,例如辦事處大部份交易都是超過五萬元,即是說差不多所有交易都需要CEO去加簽,這樣便失去Delegation的作用。所以,在釐定限額時,我們也同時考慮日常交易金額的分佈。比如在辦事處的日常交易中,大部份(例如超過九成)的交易金額都在六萬元以內,那麼我們可以將限額設提高至六萬元,超過此數的才須要由CEO加簽。
在設計限額時,我們應注意兩者的平衡,儘量減少因審批需時而對營運產生的影響,而又不會將上限定得太高,以至超過企業的可接受風險水平,影響內控效果。
不過,就算將審批權設了上限也不一定妥當,因為此法防止不了Split transaction的發生。Split
transaction是甚麼?就以上財務經理的例子,審批上限是六萬,為避免麻煩要找CEO加簽,財務經理安排將一宗八萬元的交易分拆成兩宗四萬元的,這樣做就可以繞過CEO自己做審批了。所以,在設計審批權限時,我們應同時也加入一些監察的措施,例如定期委派專人做審核,確保權限貫切執行。
內審的「狐假虎威」 Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/04/blog-post_30.html有從事IA的網友在討論版上留言,慨嘆被Auditee留難,遲遲不肯向他提供所需要的資料。由於審計項目的完成期限在即,網友向上司求救,但上司不想去處理,著網友自行解決。
我很明白網友上司的難處,他能做的實在很有限。其實上司只有兩條路可以選,一是找Auditee的上司談談,希望他能推一下Auditee去提供資料。若果連上司也不肯合作,唯有選第二條路,就是上報管理層,甚至直接向Audit committee反映。
由於做IA的不會輕易選第二條,因為後果嚴重,所以第一條便是唯一出路了。但選這條問題也隨之而來。找Auditee的上司嗎?Auditee會覺得IA
大石壓死蟹,玩投訴實在欺人太甚。親自找Auditee嗎?其上司可能覺得IA繞過他來對其下屬指指點點,即是不放他在眼內「唔比臉」,不論前者或後者,
勢必影響日後的合作關係,就算這次成功拿到資料,下次又怎辦?
所以,IA遇到這些問題,一般來說只會著Auditor用自己的方法,在他的層面去把問題解決。當然,情況嚴重的則除外。
前幾天在報章看到陶傑先生的一篇文章,內裡介紹的一個英文成語「
To cross the Rubicon」,
就完全道出這情況。成語出處有一段歷史典故,有興趣的請到陶先生的專欄看看,至於成語的意思,就是過了Rubicon這條河,就沒有轉彎的餘地,從此不能
再回頭。同一道理,假若沉不住氣向Audit committee投訴,從始要和Auditee保持合作關係就難上加難了。
其實遇到此等情況,不妨試來一招「狐假虎威」,這招我是經常用的。例如可以向Auditee說:「我地既審計報告趕住月尾交比Audit
committee。我都知你忙,但係我地交唔到報告,Audit
committee實問架嘛,唔通話因為你地唔等閒比唔到資料,所以做唔到個Audit咩?」因為每個審計在開始時,必須得到Auditee的部門主管
量過,認為開展審計不會影響運作的,所以Auditee很難可以用「唔得閒」來做藉口的。
現在應該知道,為甚麼不論是那個級別,從事IA的,都必需具備良好的人際關係技巧吧。
內部控制的方法(3):Documentation Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/05/3documentation.html把Transactions記錄下來是重要的內控方法之一,它能證實Transaction的發生,也能證實資產的確存在或曾存在過。例如存放現金的夾萬,即使它如何堅實,若沒有記錄說明夾萬內藏有多少現金的話,也不能保證內裡的現金是安全。
Documentation看似很簡單,所以很多時都被忽略,但其實要設計和採用它時,要顧及和考慮的東西有很多,當中包括:
1)獨立記錄
負責記錄的人不應同時負責執行和保管資產。例如負責保管現金的出納,若果同時也負責編製現金賬,因出納可以纂改記錄,現金被盜取也不能及時被發現。
2)記錄範圍和內容
在設計記錄時,必須預早決定記錄的範圍和內容。例如現金賬,除了記錄現金收入和支出的金額、日期和摘要外,還有甚麼東西是需要的?比如管理層想知道每個月
各部門的現金支出若干,那麼我們可以為每宗支出加個部門編號,方便每月編製支出分析。若果沒有預先定好部門編號,入了現金賬後才去做,花費的時間肯定會
多。
3)準確和及時性
一個良好的Documentation,必須具備足夠的內控去確保記錄準確。例如Accounting vouchers,在入賬前應經過覆核和審批。又例如Operational manual,需要定期審視和更新,以確保manual仍能有效。
及時性也是記錄重要的部分,不過,不同的記錄對及時性都有不同的要求。例如銀行對存戶戶口的存款和支出記錄就必須做到實時,而一般公司的賬目,就未必有這
個需要了。有些公司可以於1-2天內入賬,有些1個星期內,甚至見過1個月甚至1季的也有。一般來說,及時性愈短,所需要的資源愈多,宜因應自身的需要來
決定,否則只會浪費資源。
4)記錄的媒介
記錄的媒介各式各樣,現今企業普遍以文字來做記錄,而文字又可以再分手寫和電子。當今科技發達,電子記錄當然是最普遍的,而且也易於分享和讀取。不過,如果處理得不好,這些好處便會變成壞處。
在設計以何種媒介來做記錄時,應先認定要求。因為由一種轉成另一種是很麻煩和頭痛的事。
5)閱讀和修改權限
一套良好的記錄系統,應將內容為成不同的保密級別,方便控制閱讀和修改的權限。例如員工通告,只要是該企業的員工就能閱讀;又例員工的個人敏感資料如身份證號碼,出生日期等等,就應列為保密級別,只容許獲得授權的人才能查看。
另外,很多時記錄都需要修改和更新,為免錯誤使用了舊有的記錄,版本控制就很重要了。
以ISO用於Manual的版本控制方法為例,所有更新的過的Manual都要注明版本編號,而且Manual內也注明那些內容更新過。另外,所有舊的Manual都會注銷,以免用了舊版本也沒有察覺。
6)備份
不論是何種Documentation方法,備份都是很重要的。見過很多企業都不太重視備份,不幸發生意外而令記錄無法復原。備份方法有很多方法和級數,
宜因應自身需要去制定。例如股票交易所,他們會對每宗股票交易做即時的備份,但一般企業的銷售記錄能做到每日備份就應該可以了。
7)保存時限
所有記錄都應設一個保存時限。過了時限的就應將記錄銷毀。例如香港,因稅例要求企業要保存財務記錄七年,所以香港的企業一般都以此為財務記錄的保存時限。
銷毀記錄的方法也要注意,從前就有大型企業因銷毀記錄不當而將機密資料外涉。
對內審新手的技能要求 Bittermelon 苦中作樂
http://bittermelon2009.blogspot.com/2012/05/blog-post_17.html最近有朋友介紹了我看一篇關於內審的文章,題為「
Top skills sought from new internal audit staff reflect new priorities」。顧名思義,這篇文章主要說出目前美加特企業,在招聘內審人員時最著重的首五個技能,它們分別是:
1)Analytical and critical thinking(邏輯和批判性思考,或者譯作邏輯和嚴謹思考,又或者譯作邏輯和深度思考)
2)Communication skills(溝通技巧)
3)Data mining and analytics(資料探勘和分析,或者譯作數據挖掘和分析)
4)General IT knowledge (IT常識)
5)Business acumen(商業觸角)
第一個技巧是邏輯和批判性思考,身為內審和外審都是必需的。其實批判性思考是一種思考方法,藉此去找出問題並解決。從事審計的不能人云亦云,利用邏輯和批判性思考,就能有系統地收集,分析和思考問題。有興趣認識多一些的話,建議看看維基的
英文版。
第二個技巧是溝通,相信沒有人會質疑此技巧對審計人的重要性。審計人需要通過發問來了解事物,而發問就是雙向的溝通。除此以外,早前也提及過,稱職的內審應是個「
Problem Solver」,要協助企業把問題解決,溝通也很重要。
第三個技巧是資料探勘和分析,簡單來說,就是在數據中打轉,從中了解和分析問題。
第四個技巧是IT常識,由於IT科技日新月異,就算是小型企業也有在一定程度上依賴IT科技。審計人沒有IT常識的話,就很難跟得上步伐了。
最後一個技巧是商業觸角,即是我們時常說的Business sense。個人認為此項最難,因為上述四個都可以靠有系統的學習和實踐來掌握,但商業觸角就比較虛幻,不容易掌握。
你已具備了以上五項技巧了嗎?我自己還未足夠,尚有很多地方需要努力學習,共勉之!
Next Page