提升内部审计人员相关能力的要求

提升内部审计人员相关能力的要求

一、提升舞弊风险管理能力的要求由于舞弊风险管理能力存在差异，企业可以结合自身的特点，采取循序渐进的措施或步骤，逐步提升企业舞弊风险管理能力。1、制定道德行为准则。制定清晰明确的员工道德行为准则，定期由专人负责审阅其适当性，必要时进行适当的调整；定期或不定期测试员工对道德行为准则的了解。2、设置舞弊热线。设立舞弊举报投诉热线、独立举报信箱和邮箱，揭示舞弊。3、成立独立的审计机构。建立独立的内部审计机构，以履行审查和防范舞弊的职能。4、实施岗位轮换。对一些敏感岗位（如采购岗位）实行定期轮岗制度，明确各岗位的职责权限，确保不相容职责的充分分离。5、制定反舞弊书面程序和制度。明确反舞弊行为的定义、涵盖的范围以及适用的人员等。反舞弊书面程序包括：是否符合相关法律法规的规定，是否涉及了对财务报告有重大影响的所有关键业务流程、单位和部门，是否涵盖所有的收购事项及业务拓展活动，是否有统一遵守的行为准则，是否对非常规交易进行定义及控制等，并向全体员工公布。6、设立反舞弊委员会。由董事会和审计委员会共同遴选适当的人员组成反舞弊委员会，定期对企业的风险进行全盘考量，以辨识可能与舞弊相关的风险，并就以下方面进行评估：相应的措施是否存在、是否足够，反舞弊的书面程序与制度是否适当，反舞弊测试程序的有效性和适当性，反舞弊测试执行的频率和时点是否恰当。7、建立舞弊风险评估机制。建立舞弊风险评估机制，定期和不定期地评估以及辨识与企业所处行业、所在区域、组织架构及管理风格等相关的舞弊风险。在评估舞弊风险时，管理层应考虑（但不限于）下列内容：首先，识别组织内对财务报表可能产生重大影响的相关舞弊行为，进而针对所识别的每种舞弊行为可能发生的方式、参与的人员以及会受到影响的财务报表科目进行评估；其次，要判断是否存在容易导致不同团体之间产生利益冲突、不适当的关联方交易、违法和违规情况发生的环节等。8、明确舞弊事件处理程序。舞弊事件一旦被辨识和确认后，相关负责人员应视事件的性质决定是否召开反舞弊委员会会议，决定处理的时间和采取的方法。适当地调查及解决舞弊事件能积极有效地降低或遏制舞弊风险，进而间接促进反舞弊机制的有效运行。二、提升信息技术知识能力的要求在信息技术不断更新与提升以满足企业业务迅速成长和多元化对业务有效运作的需求之际，信息系统内部控制技术，已经逐渐被企业所接受并运用到企业各个层级和功能级别。信息系统审计人员及信息技术(IT)安全从业人员必须对信息技术有充分了解，以识别当信息技术被运用时可能产生的潜在风险。因此在考虑信息技术的运用与系统安全的实施时，必须充分了解、掌握与评估信息技术风险和控制的方法。1、了解评估信息技术风险和控制的整体方法（如图1）。评估信息技术风险应按所列顺序进行，每一步骤都会影响范围的界定以及下一步工作的安排。第一步对信息技术组织和结构的理解，为第二步公司层级的信息技术控制评估奠定基础；而公司层级控制的强或弱，将会直接或间接地影响对流程层面信息技术控制的评估。2、掌握对流程层面信息技术控制的评估方法。从一般信息技术业务流程、应用系统和数据负责人流程以及综合应用系统特定流程三个方面予以考虑。(1)一般信息技术业务流程是信息技术基础设施控制，主要对企业主要信息技术流程进行评估。一般情况下，信息技术流程的评估包括安全管理、应用系统／系统变更管理、数据管理与灾难恢复、数据中心的操作及问题管理、资产管理等。(2)应用系统和数据负责人流程是直接涉及与应用系统和数据负责人控制、管理相关程序的评估。一般评估范围包括建立和维护不兼容职责的分离（安全角色和管理）、确认／审核对关键交易和数据的存取、开发和维护业务影响分析／业务持续计划、制定和维护业务负责人变更控制等。(3)综合应用系统特定流程是指对业务流程层面相关的所有信息技术控制和人工控制的综合评估，主要关注关键应用系统的控制和对企业业务流程的认识，从而对企业整体控制环境有全面了解及合理评估。三、提升企业风险管理能力的要求COSO将企业风险管理定义为：“企业风险管理是由企业董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内，并为实现企业目标提供合理保证。”这样定义与传统风险管理侧重于保护资产负债表中所列举出的有形资产、合约权力及责任不同，更关注于提升经营战略，即不仅要保护企业资产，更要对企业有形资产和无形资产的组合进行评估与合理的调整，以期在实施风险管理的同时，能不断增加效益，提升企业经营成果。因此，提升企业风险管理能力应注意以下几点：(1)明确风险的定义。很多企业在制定战略计划时，都会对宏观经济环境、行业发展状况、竞争对手格局等进行评估和分析，然后将战略目标分解到各个相关业务部门，但对阻碍目标实现的障碍没有清晰定义。(2)明确企业对风险的承受力。所谓风险承受力是指相对于实现某个特定目标而言可以接受的变化范围，其衡量单位最好与衡量企业目标是否达成的标准一致。一般而言，企业针对不同类型的目标，可能采用不同的方法来评估自身的风险承受力，一般有三种评估方式，即实现预期回报的变动率、对极端事件的敏感度和与期望的风险偏好。(3)明确企业对风险的处理方式。COSO对风险处理方式有四种：规避：通过预防暴露于未来的潜在事件而消除风险，比如通过退出某市场或地域，或出售、清算或分立某产品类型或业务等措施进行的资产剥离；接受：不采取任何措施，将风险维持在目前的水平；降低：通过实施一些政策和程序，将风险降低至可接受水平，比如通过把财务、实物或信息资产分布在不同地域，降低灾难性损失的风险；转嫁或分担：将风险转移给有承担风险经济实力的、独立的交易方，比如与具有财务承受能力独立的保险公司签订保险合同。(4)制定风险管理程序和制度。建立完整的企业风险管理制度是实现企业风险管理能力提升的保证，在制定制度时还应制定一个相应的流程，能实时追踪企业内外部变化给客户、供货商、竞争对手和运营活动所带来的影响，及时反应风险变化，并提出完善制定的建议。(5)成立风险管理委员会。风险管理委员会对风险管理程序和制度执行的监督是实现企业风险管理能力提升的保障。风险管理委员会主要职责包括协助企业辨识风险、评估风险以及风险带的机会和威胁、评估现有控制活动、确认或制定有效的应对措施、为管理层及时提供企业面临风险的变化情况、确认企业风险管理程序和制度有效的执行、跟进和监督风险控制实施情况等。(6)建立风险评估机制。风险评估机制主要是监督执行风险评估结果的有效性；管理层针对评估出的重大风险，制定应对措施，并指定相应风险责任人，以跟踪措施的落实，及时向管理层及风险管理委员会报告，确保风险评估结果得到有效处理。在企业风险管理中，内部审计扮演着以下一种或多种角色：教育者，内部审计可以通过定期培训帮助和协助管理层了解和运用COSO企业风险管理框架；促进者，内部审计在促进风险评估工作顺利开展和制定适当应对风险方案