提升內(nèi)部審計(jì)人員相關(guān)能力的要求

提升內(nèi)部審計(jì)人員相關(guān)能力的要求

一、提升舞弊風(fēng)險(xiǎn)管理能力的要求由于舞弊風(fēng)險(xiǎn)管理能力存在差異，企業(yè)可以結(jié)合自身的特點(diǎn)，采取循序漸進(jìn)的措施或步驟，逐步提升企業(yè)舞弊風(fēng)險(xiǎn)管理能力。1、制定道德行為準(zhǔn)則。制定清晰明確的員工道德行為準(zhǔn)則，定期由專人負(fù)責(zé)審閱其適當(dāng)性，必要時(shí)進(jìn)行適當(dāng)?shù)恼{(diào)整；定期或不定期測(cè)試員工對(duì)道德行為準(zhǔn)則的了解。2、設(shè)置舞弊熱線。設(shè)立舞弊舉報(bào)投訴熱線、獨(dú)立舉報(bào)信箱和郵箱，揭示舞弊。3、成立獨(dú)立的審計(jì)機(jī)構(gòu)。建立獨(dú)立的內(nèi)部審計(jì)機(jī)構(gòu)，以履行審查和防范舞弊的職能。4、實(shí)施崗位輪換。對(duì)一些敏感崗位（如采購(gòu)崗位）實(shí)行定期輪崗制度，明確各崗位的職責(zé)權(quán)限，確保不相容職責(zé)的充分分離。5、制定反舞弊書面程序和制度。明確反舞弊行為的定義、涵蓋的范圍以及適用的人員等。反舞弊書面程序包括：是否符合相關(guān)法律法規(guī)的規(guī)定，是否涉及了對(duì)財(cái)務(wù)報(bào)告有重大影響的所有關(guān)鍵業(yè)務(wù)流程、單位和部門，是否涵蓋所有的收購(gòu)事項(xiàng)及業(yè)務(wù)拓展活動(dòng)，是否有統(tǒng)一遵守的行為準(zhǔn)則，是否對(duì)非常規(guī)交易進(jìn)行定義及控制等，并向全體員工公布。6、設(shè)立反舞弊委員會(huì)。由董事會(huì)和審計(jì)委員會(huì)共同遴選適當(dāng)?shù)娜藛T組成反舞弊委員會(huì)，定期對(duì)企業(yè)的風(fēng)險(xiǎn)進(jìn)行全盤考量，以辨識(shí)可能與舞弊相關(guān)的風(fēng)險(xiǎn)，并就以下方面進(jìn)行評(píng)估：相應(yīng)的措施是否存在、是否足夠，反舞弊的書面程序與制度是否適當(dāng)，反舞弊測(cè)試程序的有效性和適當(dāng)性，反舞弊測(cè)試執(zhí)行的頻率和時(shí)點(diǎn)是否恰當(dāng)。7、建立舞弊風(fēng)險(xiǎn)評(píng)估機(jī)制。建立舞弊風(fēng)險(xiǎn)評(píng)估機(jī)制，定期和不定期地評(píng)估以及辨識(shí)與企業(yè)所處行業(yè)、所在區(qū)域、組織架構(gòu)及管理風(fēng)格等相關(guān)的舞弊風(fēng)險(xiǎn)。在評(píng)估舞弊風(fēng)險(xiǎn)時(shí)，管理層應(yīng)考慮（但不限于）下列內(nèi)容：首先，識(shí)別組織內(nèi)對(duì)財(cái)務(wù)報(bào)表可能產(chǎn)生重大影響的相關(guān)舞弊行為，進(jìn)而針對(duì)所識(shí)別的每種舞弊行為可能發(fā)生的方式、參與的人員以及會(huì)受到影響的財(cái)務(wù)報(bào)表科目進(jìn)行評(píng)估；其次，要判斷是否存在容易導(dǎo)致不同團(tuán)體之間產(chǎn)生利益沖突、不適當(dāng)?shù)年P(guān)聯(lián)方交易、違法和違規(guī)情況發(fā)生的環(huán)節(jié)等。8、明確舞弊事件處理程序。舞弊事件一旦被辨識(shí)和確認(rèn)后，相關(guān)負(fù)責(zé)人員應(yīng)視事件的性質(zhì)決定是否召開反舞弊委員會(huì)會(huì)議，決定處理的時(shí)間和采取的方法。適當(dāng)?shù)卣{(diào)查及解決舞弊事件能積極有效地降低或遏制舞弊風(fēng)險(xiǎn)，進(jìn)而間接促進(jìn)反舞弊機(jī)制的有效運(yùn)行。二、提升信息技術(shù)知識(shí)能力的要求在信息技術(shù)不斷更新與提升以滿足企業(yè)業(yè)務(wù)迅速成長(zhǎng)和多元化對(duì)業(yè)務(wù)有效運(yùn)作的需求之際，信息系統(tǒng)內(nèi)部控制技術(shù)，已經(jīng)逐漸被企業(yè)所接受并運(yùn)用到企業(yè)各個(gè)層級(jí)和功能級(jí)別。信息系統(tǒng)審計(jì)人員及信息技術(shù)(IT)安全從業(yè)人員必須對(duì)信息技術(shù)有充分了解，以識(shí)別當(dāng)信息技術(shù)被運(yùn)用時(shí)可能產(chǎn)生的潛在風(fēng)險(xiǎn)。因此在考慮信息技術(shù)的運(yùn)用與系統(tǒng)安全的實(shí)施時(shí)，必須充分了解、掌握與評(píng)估信息技術(shù)風(fēng)險(xiǎn)和控制的方法。1、了解評(píng)估信息技術(shù)風(fēng)險(xiǎn)和控制的整體方法（如圖1）。評(píng)估信息技術(shù)風(fēng)險(xiǎn)應(yīng)按所列順序進(jìn)行，每一步驟都會(huì)影響范圍的界定以及下一步工作的安排。第一步對(duì)信息技術(shù)組織和結(jié)構(gòu)的理解，為第二步公司層級(jí)的信息技術(shù)控制評(píng)估奠定基礎(chǔ)；而公司層級(jí)控制的強(qiáng)或弱，將會(huì)直接或間接地影響對(duì)流程層面信息技術(shù)控制的評(píng)估。2、掌握對(duì)流程層面信息技術(shù)控制的評(píng)估方法。從一般信息技術(shù)業(yè)務(wù)流程、應(yīng)用系統(tǒng)和數(shù)據(jù)負(fù)責(zé)人流程以及綜合應(yīng)用系統(tǒng)特定流程三個(gè)方面予以考慮。(1)一般信息技術(shù)業(yè)務(wù)流程是信息技術(shù)基礎(chǔ)設(shè)施控制，主要對(duì)企業(yè)主要信息技術(shù)流程進(jìn)行評(píng)估。一般情況下，信息技術(shù)流程的評(píng)估包括安全管理、應(yīng)用系統(tǒng)／系統(tǒng)變更管理、數(shù)據(jù)管理與災(zāi)難恢復(fù)、數(shù)據(jù)中心的操作及問(wèn)題管理、資產(chǎn)管理等。(2)應(yīng)用系統(tǒng)和數(shù)據(jù)負(fù)責(zé)人流程是直接涉及與應(yīng)用系統(tǒng)和數(shù)據(jù)負(fù)責(zé)人控制、管理相關(guān)程序的評(píng)估。一般評(píng)估范圍包括建立和維護(hù)不兼容職責(zé)的分離（安全角色和管理）、確認(rèn)／審核對(duì)關(guān)鍵交易和數(shù)據(jù)的存取、開發(fā)和維護(hù)業(yè)務(wù)影響分析／業(yè)務(wù)持續(xù)計(jì)劃、制定和維護(hù)業(yè)務(wù)負(fù)責(zé)人變更控制等。(3)綜合應(yīng)用系統(tǒng)特定流程是指對(duì)業(yè)務(wù)流程層面相關(guān)的所有信息技術(shù)控制和人工控制的綜合評(píng)估，主要關(guān)注關(guān)鍵應(yīng)用系統(tǒng)的控制和對(duì)企業(yè)業(yè)務(wù)流程的認(rèn)識(shí)，從而對(duì)企業(yè)整體控制環(huán)境有全面了解及合理評(píng)估。三、提升企業(yè)風(fēng)險(xiǎn)管理能力的要求COSO將企業(yè)風(fēng)險(xiǎn)管理定義為：“企業(yè)風(fēng)險(xiǎn)管理是由企業(yè)董事會(huì)、管理層及其他人員實(shí)施，在戰(zhàn)略制定過(guò)程中和整個(gè)企業(yè)中予以采用的一個(gè)過(guò)程，旨在識(shí)別可能會(huì)對(duì)企業(yè)產(chǎn)生影響的潛在事件，把風(fēng)險(xiǎn)控制在企業(yè)的承受能力之內(nèi)，并為實(shí)現(xiàn)企業(yè)目標(biāo)提供合理保證。”這樣定義與傳統(tǒng)風(fēng)險(xiǎn)管理側(cè)重于保護(hù)資產(chǎn)負(fù)債表中所列舉出的有形資產(chǎn)、合約權(quán)力及責(zé)任不同，更關(guān)注于提升經(jīng)營(yíng)戰(zhàn)略，即不僅要保護(hù)企業(yè)資產(chǎn)，更要對(duì)企業(yè)有形資產(chǎn)和無(wú)形資產(chǎn)的組合進(jìn)行評(píng)估與合理的調(diào)整，以期在實(shí)施風(fēng)險(xiǎn)管理的同時(shí)，能不斷增加效益，提升企業(yè)經(jīng)營(yíng)成果。因此，提升企業(yè)風(fēng)險(xiǎn)管理能力應(yīng)注意以下幾點(diǎn)：(1)明確風(fēng)險(xiǎn)的定義。很多企業(yè)在制定戰(zhàn)略計(jì)劃時(shí)，都會(huì)對(duì)宏觀經(jīng)濟(jì)環(huán)境、行業(yè)發(fā)展?fàn)顩r、競(jìng)爭(zhēng)對(duì)手格局等進(jìn)行評(píng)估和分析，然后將戰(zhàn)略目標(biāo)分解到各個(gè)相關(guān)業(yè)務(wù)部門，但對(duì)阻礙目標(biāo)實(shí)現(xiàn)的障礙沒(méi)有清晰定義。(2)明確企業(yè)對(duì)風(fēng)險(xiǎn)的承受力。所謂風(fēng)險(xiǎn)承受力是指相對(duì)于實(shí)現(xiàn)某個(gè)特定目標(biāo)而言可以接受的變化范圍，其衡量單位最好與衡量企業(yè)目標(biāo)是否達(dá)成的標(biāo)準(zhǔn)一致。一般而言，企業(yè)針對(duì)不同類型的目標(biāo)，可能采用不同的方法來(lái)評(píng)估自身的風(fēng)險(xiǎn)承受力，一般有三種評(píng)估方式，即實(shí)現(xiàn)預(yù)期回報(bào)的變動(dòng)率、對(duì)極端事件的敏感度和與期望的風(fēng)險(xiǎn)偏好。(3)明確企業(yè)對(duì)風(fēng)險(xiǎn)的處理方式。COSO對(duì)風(fēng)險(xiǎn)處理方式有四種：規(guī)避：通過(guò)預(yù)防暴露于未來(lái)的潛在事件而消除風(fēng)險(xiǎn)，比如通過(guò)退出某市場(chǎng)或地域，或出售、清算或分立某產(chǎn)品類型或業(yè)務(wù)等措施進(jìn)行的資產(chǎn)剝離；接受：不采取任何措施，將風(fēng)險(xiǎn)維持在目前的水平；降低：通過(guò)實(shí)施一些政策和程序，將風(fēng)險(xiǎn)降低至可接受水平，比如通過(guò)把財(cái)務(wù)、實(shí)物或信息資產(chǎn)分布在不同地域，降低災(zāi)難性損失的風(fēng)險(xiǎn)；轉(zhuǎn)嫁或分擔(dān)：將風(fēng)險(xiǎn)轉(zhuǎn)移給有承擔(dān)風(fēng)險(xiǎn)經(jīng)濟(jì)實(shí)力的、獨(dú)立的交易方，比如與具有財(cái)務(wù)承受能力獨(dú)立的保險(xiǎn)公司簽訂保險(xiǎn)合同。(4)制定風(fēng)險(xiǎn)管理程序和制度。建立完整的企業(yè)風(fēng)險(xiǎn)管理制度是實(shí)現(xiàn)企業(yè)風(fēng)險(xiǎn)管理能力提升的保證，在制定制度時(shí)還應(yīng)制定一個(gè)相應(yīng)的流程，能實(shí)時(shí)追蹤企業(yè)內(nèi)外部變化給客戶、供貨商、競(jìng)爭(zhēng)對(duì)手和運(yùn)營(yíng)活動(dòng)所帶來(lái)的影響，及時(shí)反應(yīng)風(fēng)險(xiǎn)變化，并提出完善制定的建議。(5)成立風(fēng)險(xiǎn)管理委員會(huì)。風(fēng)險(xiǎn)管理委員會(huì)對(duì)風(fēng)險(xiǎn)管理程序和制度執(zhí)行的監(jiān)督是實(shí)現(xiàn)企業(yè)風(fēng)險(xiǎn)管理能力提升的保障。風(fēng)險(xiǎn)管理委員會(huì)主要職責(zé)包括協(xié)助企業(yè)辨識(shí)風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)帶的機(jī)會(huì)和威脅、評(píng)估現(xiàn)有控制活動(dòng)、確認(rèn)或制定有效的應(yīng)對(duì)措施、為管理層及時(shí)提供企業(yè)面臨風(fēng)險(xiǎn)的變化情況、確認(rèn)企業(yè)風(fēng)險(xiǎn)管理程序和制度有效的執(zhí)行、跟進(jìn)和監(jiān)督風(fēng)險(xiǎn)控制實(shí)施情況等。(6)建立風(fēng)險(xiǎn)評(píng)估機(jī)制。風(fēng)險(xiǎn)評(píng)估機(jī)制主要是監(jiān)督執(zhí)行風(fēng)險(xiǎn)評(píng)估結(jié)果的有效性；管理層針對(duì)評(píng)估出的重大風(fēng)險(xiǎn)，制定應(yīng)對(duì)措施，并指定相應(yīng)風(fēng)險(xiǎn)責(zé)任人，以跟蹤措施的落實(shí)，及時(shí)向管理層及風(fēng)險(xiǎn)管理委員會(huì)報(bào)告，確保風(fēng)險(xiǎn)評(píng)估結(jié)果得到有效處理。在企業(yè)風(fēng)險(xiǎn)管理中，內(nèi)部審計(jì)扮演著以下一種或多種角色：教育者，內(nèi)部審計(jì)可以通過(guò)定期培訓(xùn)幫助和協(xié)助管理層了解和運(yùn)用COSO企業(yè)風(fēng)險(xiǎn)管理框架；促進(jìn)者，內(nèi)部審計(jì)在促進(jìn)風(fēng)險(xiǎn)評(píng)估工作順利開展和制定適當(dāng)應(yīng)對(duì)風(fēng)險(xiǎn)方案