網頁

2012年12月29日 星期六

異業觀摩-內稽內控怎麼做

以下轉載 內部稽核協會資訊網路委員會委員 曾啟光先生的超讚大作
可以把"內部稽核"與"稽核"等字句置換成"工安環保"或"安全衛生"來讀以下文章,或許會心有戚戚焉。
這篇文章深刻描述出環安與內稽等支援性職務在業界實務的困境
 
 
內部稽核人員的價值在那裡?是總稽核還是「總機」核?當公司不重視內部稽核,但又因為法令要求而必須設置內部稽核,因此公司總機兼任稽核,於是有了「總機」核,這是一個笑話,很諷刺的笑話,但卻描寫出很多公司的心態與生態。是這些公司看不到內部稽核的價值,還是內部稽核無法表現出價值?內部稽核到底是不是一門學問?國內大專院校又有多少科系開設內部控制與稽核的實務課程?主管機關除了訂定法規來要求,有沒有輔導及養成教育的機制?
很多公司也是同樣的心態與生態,用總機/總務人員來兼做環安
 
十項全能的稽核人員?當公司重視內部稽核時,卻又過度期望內部稽核要具備十項全能,樣樣皆精通。稽核人員被期待要能擔任顧問角色來提供建議,即使被建議的對象,可能是有十數年經驗的專家;要能比起線上人員更早洞察問題,即使線上人員擁有更多更及時的資訊;要能負責全公司的內部控制,即使於法於理我們都知道內控是經理人的責任。但是,反觀稽核從業人員,很多都是剛出社會或剛離開事務所的年輕人,他們有可能十項全能嗎?如果內部稽核真的也相信自已是必須要十項全能時,結果會變成什麼?即使一個公司的領導人,有可能十項全能嗎?這是一個十分不對稱的問題,但是稽核的矛盾不只如此。
實際上,環安從業人員可謂只不過是通過考試取得證照(想混口飯吃)
 
法規的揠苗助長?主管機關為求保障投資人權益,必須提昇內部稽核人員之地位,便於法規強制規範內部稽核需隸屬於董事會。董事會成員多是專業、經驗或歷練均是豐富的專家,內部稽核的價值是否靠法規便能提昇,並達到董事會要求的門檻?內部稽核人員是否足夠成熟資深到足以直接面對一個公司的最高權力機關-董事會?這是一個期望與能力之間的不對稱,這種不對稱是否很容易扼殺這些年輕人?內部稽核人員的期望與報酬之間是否又是對稱?董事會較不涉及到公司的日常營運,如果董事會沒有足夠的資訊可以與其他部門相互比較(benchmark),內部稽核人員的績效考核是否可以允當反應?主管機關立意良好,但其產生的負面效果是否足以支撐這個規範的正面效果?如果弊多於利,內部稽核人員尚不足夠成熟而強制提昇其地位到隸屬於董事會,似乎有可能揠苗助長。事實上,內部稽核的價值與地位,並非是靠法規的強制規範就能產生的。主管機關在要求公司申報缺失時,是否可以提供更清楚的標準,而非留給公司各部門與內部稽核自由心證的模糊空間,否則該報不該申報的責任及申報與不申報的後果,最終還是落在內部稽核身上,各部門的缺失最後竟然變成內部稽核的缺失?
學校的課程目前很少在談內部控制及內部稽核,學校教授的審計課程、事務所的外部查核與公司的內部稽核,其實是完全不同的屬性,管機關是否該將焦點放在內部稽核人員的養成及培育方面?主管機關是否該提供與內部稽核相關的訓練機構更多實質的資源?而非只是於法規片面的要求,要求內部稽核人員需隸屬於董事會,甚至要求內部稽核需於財報或內控聲明書上簽署負責。
工安環保消防領域遭遇的產官學界問題和上面一模一樣,一級專責單位與專職人員不代表能夠讓老闆專心重視這些業務;只是在環安消領域更走火入魔是大家以考證照和考公職為人生最高標的。
 
內部稽核的關鍵能力與缺失?因為週圍太多人期望內部稽核要能像顧問,來提出改善對策,所以內部稽核人員往往忽略了最基礎的工作-確認性服務?很多公司的稽核無法受到重視,受查單位不予配合,內部稽核因此習慣於把工作不能發揮的問題歸咎於不受重視及不受配合,長久下來內部稽核的能力逐漸退化。但當到了一個公司重視內部稽核的環境下,這個保護傘一旦消失,內部稽核查核能力不足的問題於是突顯出來,專業訓練不夠的問題也浮出檯面?
難道內部稽核唯有要跨過球員兼裁判的界線去做內控才能有所價值?內稽與內控是否要分離?在執行上,似乎還是一個很有爭議的看法。但是,內部稽核最基本的能力及價值,仍舊在於發現並正確客觀地描述重要事實;不過,常常內部稽核卻無法完成這個基本的工作,結果可能是所說的事實並不重要,可能是說錯了事實,也有可能是說不清楚事實,更有可能是無法在期限之內完成查核
內部稽核面對各式各樣的部門及專業,如何去查核您所不熟悉的專業更難的是,如何去辦識風險所在而加以查核?最常聽到的答案,是內部稽核是從不同的角度去看事情,所以內部稽核會有他的價值,不過這樣的說法是否過於一廂情願,各個部門是否能夠同意?也有人說內部稽核主要是查核流程,因此不太需要具備各部門的工作專業。但是,對各部門的流程的瞭解並非是天生,也非是因為在公司待得夠久所以瞭解,更非應該是因為過去從事過相同的工作,唯有靠事前的充份準備,才能提供一個查核的開始,內部稽核執業準則也是這樣要求。但是,實務上也有內部稽核人員尚未做好足夠的準備就上了戰場,結果不是找錯了戰場,就是找錯了對象,走錯了方向,波及無辜又擾民,浪費了時間,耽誤了時機,甚至走不到戰場等等,最終結果就是失敗。
要先了解現場運作的實際生態、人員心態才能夠理解問題發生的來龍去脈,理解問題的來龍去脈以後,也才能試著去診斷與分析問題,而不是直接盲目拿別家公司的做法來套用;只是搞環安的往往迷信外部專家學者與所謂標竿績優公司的作法,喜歡山寨一些表面功夫。
 
內部稽核做了對的事情嗎?如果沒有做對的事,即使內部稽核再怎麼努力,再怎麼優秀,都無法得到公司的認同。在加入了風險導向的考量後,對的事情應該是針對風險區塊來做查核;但是,誰該來定義什麼是風險?太多的時候,竟然只是內部稽核的主觀判斷或猜測,或是根本沒有去認真思考過風險所在,便一頭栽入查核?風險的答案應該來自於最瞭解作業特性及公司策略的各個部門及管理階層,內部稽核針對各個部門及管理階層所辦識出來的風險加以查核,才能找到內部稽核的價值。另一個會決定內部稽核是否做了對的事的問題,是母體及樣本的辦識,太多的時候,竟然只是過度的隨機抽樣,或是母體根本是錯誤的、無法對應到風險或控制點,錯誤或無法對焦的母體及樣本,常常就是讓重要的問題無法浮上檯面,稽核結論可能錯誤,稽核人員做了虛功,甚至內部稽核單位的公信力流失。外部訓練課程或許還有關於統計抽樣的課程,不過並不太受重視及運用,更可惜的是,鮮有稽核重視及討論母體的辦識問題。
於是,我們不但要求查核之前要有充份的準備,更特別要求內部稽核要與管理階層訪談(management interview),要先思考母體及樣本應如何辦識。但是,面臨的一個根本問題,卻是內部稽核人員如何能確實瞭解並落實執行這些要求。
環安的人想轉型談風險管理,然而卻往往沒意識到:所謂的風險,應該是由老闆來定義(不是環安自己講的天花亂墜)
 
內部稽核有把事情做對嗎?管理階層進行訪談並非是件容易的事,特別是當各個部門及管理階層雖然瞭解風險但卻無法有系統的或清楚的描述出風險。特別是當每個稽核都知道溝通很重要,但卻並非是真正瞭解。「溝通」經常是個空洞的名詞,結果稽核人員常常不知道「問」的學問,會問錯人、問錯問題、問錯方法、不敢問、不願問,甚至根本不知道要問,而是經常猜測。許多時候,即使要求稽核人員要與管理階層面談,內稽人員卻經常是單向接收主管的答案-「沒有風險」,即以為完成工作,卻不知當部門主管因各種理由回答「沒有」時,還要能進一步提問及討論,以協助主管勾勒出風險。
不能交叉比對及驗證,也經常是稽核人員的一個罩門。不能因為A單位說了B單位有問題,就下結論說B單位有問題,卻沒有再跟B單位交叉求證。也不能因為甲職員如此說,就照單全收,卻沒有跟其主管確認。內部稽經常照單全收受查單位的答案,收下受查單位的口頭解釋而不加驗証,收到受查單位的文件卻不仔細了解文件的內容,這樣的問題會從頭到尾對稽核的工作(從查核前的準備到結案及報告)有嚴重負面的影響。
很難想像連蒐集取得資料,也會是個困難。很多時候,稽核人員過於客氣,總是怕麻煩別人,受查單位有時一拖再拖,結果內部稽人員一等再等,過度使用email更惡化了這個問題。常常用email發出要求後便坐著等,也沒有追蹤,最後無法取得資料是內部稽核失敗,受查單位的問題絕對不會是個藉口,殊不知這就是內部稽核的本質,也是內部稽核必須要去養成及克服的基本能力。
查核程式也是內稽部門一個需要克服的地方。太多時候,查核程式只是把內控控制點的兩三句話照抄過來,但控制點裡面卻經常有模糊的字點,諸如「合理的」、「定期的」、「及時的」,但這些模糊的標準卻肯定無法做為內稽人員判斷問題的依據,而稽核轉而依據自己的主觀解釋也肯定不夠恰當,卻不知內稽人員應該從各部門的管理階層得到答案。但有了標準就夠了嗎?只靠控制點的兩三句話還是不夠明確,經常會給予內稽人員太多的模糊空間,甚至偏了主題,浪費了時間,看錯了事情,無法對焦而沒有看到問題,無法有效率的使用時間而經常延誤或歸咎於時間不夠。
最後,發現所有的關鍵還是落在稽核人員自己身上,當無法先做好自身的工作時,內部稽核的公信力會流失,結果各部門因為失望甚至反感就愈不願意與內部稽核互動或分享資訊。如果稽核人員始終不能瞭解到這件事情,經常輕忽一些基本的道理,太過於好高騖遠,就很難做出價值,就很難成功。
搞環安的人往往只會背誦法規、自以為是的詮釋法規;有耳朵和眼睛,卻往往聽不出別人話中的意思、也常常很白目會錯意
連最基本的溝通都做不好了,更遑論要去搞更高深的管理系統PDCA與風險管理
 
態度決定價值內部稽核絕對是一門學問,或許該從學校開始設置相關的課程,或許主管機關該輔導相關單位提供更多的養成教育,但終究關鍵還是在各位內部稽核人員身上。如果不去努力,就不會做好事前的準備,就無法辦識出正確的母體及有效的樣本,也無法從管理階層身上得風險以及控制點的答案,也不會努力提問而只做猜測,更不能針對受查單位的答案提出合理的懷疑及交叉比對,也無法規劃出明確有效的查核程式及按部就班在時限內完成。努力是一切的根本,會努力才會細心,會努力才會思考。
當自身的條件具備,如果大環境又能夠配合,公司高層及董事會重視內部控制及內部稽核,那麼稽核的工作自然水到渠成。內部稽核自然就能提供董監必要的資訊,瞭解及完成董監的需求,自然董監事更積極地樂於參與、瞭解及協助內部稽核的工作,及重視內部控制的問題
 

1 則留言:

  1. 覺得不過癮的,請再看以下這篇文章,或許也一樣可以引發共鳴
    出處:專案管理生活思維 PM不再想當代罪羔羊

    http://www.projectup.net/blog/index.php?option=com_content&view=article&id=11876:2012-12-27-14-40&catid=9:life&Itemid=25

    回覆刪除