提升內(nèi)部審計人員相關(guān)能力的要求

一、提升舞弊風險管理能力的要求由于舞弊風險管理能力存在差異，企業(yè)可以結(jié)合自身的特點，采取循序漸進的措施或步驟，逐步提升企業(yè)舞弊風險管理能力。1、制定道德行為準則。制定清晰明確的員工道德行為準則，定期由專人負責審閱其適當性，必要時進行適當?shù)恼{(diào)整；定期或不定期測試員工對道德行為準則的了解。2、設(shè)置舞弊熱線。設(shè)立舞弊舉報投訴熱線、獨立舉報信箱和郵箱，揭示舞弊。3、成立獨立的審計機構(gòu)。建立獨立的內(nèi)部審計機構(gòu)，以履行審查和防范舞弊的職能。4、實施崗位輪換。對一些敏感崗位（如采購崗位）實行定期輪崗制度，明確各崗位的職責權(quán)限，確保不相容職責的充分分離。5、制定反舞弊書面程序和制度。明確反舞弊行為的定義、涵蓋的范圍以及適用的人員等。反舞弊書面程序包括：是否符合相關(guān)法律法規(guī)的規(guī)定，是否涉及了對財務報告有重大影響的所有關(guān)鍵業(yè)務流程、單位和部門，是否涵蓋所有的收購事項及業(yè)務拓展活動，是否有統(tǒng)一遵守的行為準則，是否對非常規(guī)交易進行定義及控制等，并向全體員工公布。6、設(shè)立反舞弊委員會。由董事會和審計委員會共同遴選適當?shù)娜藛T組成反舞弊委員會，定期對企業(yè)的風險進行全盤考量，以辨識可能與舞弊相關(guān)的風險，并就以下方面進行評估：相應的措施是否存在、是否足夠，反舞弊的書面程序與制度是否適當，反舞弊測試程序的有效性和適當性，反舞弊測試執(zhí)行的頻率和時點是否恰當。7、建立舞弊風險評估機制。建立舞弊風險評估機制，定期和不定期地評估以及辨識與企業(yè)所處行業(yè)、所在區(qū)域、組織架構(gòu)及管理風格等相關(guān)的舞弊風險。在評估舞弊風險時，管理層應考慮（但不限于）下列內(nèi)容：首先，識別組織內(nèi)對財務報表可能產(chǎn)生重大影響的相關(guān)舞弊行為，進而針對所識別的每種舞弊行為可能發(fā)生的方式、參與的人員以及會受到影響的財務報表科目進行評估；其次，要判斷是否存在容易導致不同團體之間產(chǎn)生利益沖突、不適當?shù)年P(guān)聯(lián)方交易、違法和違規(guī)情況發(fā)生的環(huán)節(jié)等。8、明確舞弊事件處理程序。舞弊事件一旦被辨識和確認后，相關(guān)負責人員應視事件的性質(zhì)決定是否召開反舞弊委員會會議，決定處理的時間和采取的方法。適當?shù)卣{(diào)查及解決舞弊事件能積極有效地降低或遏制舞弊風險，進而間接促進反舞弊機制的有效運行。二、提升信息技術(shù)知識能力的要求在信息技術(shù)不斷更新與提升以滿足企業(yè)業(yè)務迅速成長和多元化對業(yè)務有效運作的需求之際，信息系統(tǒng)內(nèi)部控制技術(shù)，已經(jīng)逐漸被企業(yè)所接受并運用到企業(yè)各個層級和功能級別。信息系統(tǒng)審計人員及信息技術(shù)(IT)安全從業(yè)人員必須對信息技術(shù)有充分了解，以識別當信息技術(shù)被運用時可能產(chǎn)生的潛在風險。因此在考慮信息技術(shù)的運用與系統(tǒng)安全的實施時，必須充分了解、掌握與評估信息技術(shù)風險和控制的方法。1、了解評估信息技術(shù)風險和控制的整體方法（如圖1）。評估信息技術(shù)風險應按所列順序進行，每一步驟都會影響范圍的界定以及下一步工作的安排。第一步對信息技術(shù)組織和結(jié)構(gòu)的理解，為第二步公司層級的信息技術(shù)控制評估奠定基礎(chǔ)；而公司層級控制的強或弱，將會直接或間接地影響對流程層面信息技術(shù)控制的評估。2、掌握對流程層面信息技術(shù)控制的評估方法。從一般信息技術(shù)業(yè)務流程、應用系統(tǒng)和數(shù)據(jù)負責人流程以及綜合應用系統(tǒng)特定流程三個方面予以考慮。(1)一般信息技術(shù)業(yè)務流程是信息技術(shù)基礎(chǔ)設(shè)施控制，主要對企業(yè)主要信息技術(shù)流程進行評估。一般情況下，信息技術(shù)流程的評估包括安全管理、應用系統(tǒng)／系統(tǒng)變更管理、數(shù)據(jù)管理與災難恢復、數(shù)據(jù)中心的操作及問題管理、資產(chǎn)管理等。(2)應用系統(tǒng)和數(shù)據(jù)負責人流程是直接涉及與應用系統(tǒng)和數(shù)據(jù)負責人控制、管理相關(guān)程序的評估。一般評估范圍包括建立和維護不兼容職責的分離（安全角色和管理）、確認／審核對關(guān)鍵交易和數(shù)據(jù)的存取、開發(fā)和維護業(yè)務影響分析／業(yè)務持續(xù)計劃、制定和維護業(yè)務負責人變更控制等。(3)綜合應用系統(tǒng)特定流程是指對業(yè)務流程層面相關(guān)的所有信息技術(shù)控制和人工控制的綜合評估，主要關(guān)注關(guān)鍵應用系統(tǒng)的控制和對企業(yè)業(yè)務流程的認識，從而對企業(yè)整體控制環(huán)境有全面了解及合理評估。三、提升企業(yè)風險管理能力的要求COSO將企業(yè)風險管理定義為：“企業(yè)風險管理是由企業(yè)董事會、管理層及其他人員實施，在戰(zhàn)略制定過程中和整個企業(yè)中予以采用的一個過程，旨在識別可能會對企業(yè)產(chǎn)生影響的潛在事件，把風險控制在企業(yè)的承受能力之內(nèi)，并為實現(xiàn)企業(yè)目標提供合理保證?！边@樣定義與傳統(tǒng)風險管理側(cè)重于保護資產(chǎn)負債表中所列舉出的有形資產(chǎn)、合約權(quán)力及責任不同，更關(guān)注于提升經(jīng)營戰(zhàn)略，即不僅要保護企業(yè)資產(chǎn)，更要對企業(yè)有形資產(chǎn)和無形資產(chǎn)的組合進行評估與合理的調(diào)整，以期在實施風險管理的同時，能不斷增加效益，提升企業(yè)經(jīng)營成果。因此，提升企業(yè)風險管理能力應注意以下幾點：(1)明確風險的定義。很多企業(yè)在制定戰(zhàn)略計劃時，都會對宏觀經(jīng)濟環(huán)境、行業(yè)發(fā)展狀況、競爭對手格局等進行評估和分析，然后將戰(zhàn)略目標分解到各個相關(guān)業(yè)務部門，但對阻礙目標實現(xiàn)的障礙沒有清晰定義。(2)明確企業(yè)對風險的承受力。所謂風險承受力是指相對于實現(xiàn)某個特定目標而言可以接受的變化范圍，其衡量單位最好與衡量企業(yè)目標是否達成的標準一致。一般而言，企業(yè)針對不同類型的目標，可能采用不同的方法來評估自身的風險承受力，一般有三種評估方式，即實現(xiàn)預期回報的變動率、對極端事件的敏感度和與期望的風險偏好。(3)明確企業(yè)對風險的處理方式。COSO對風險處理方式有四種：規(guī)避：通過預防暴露于未來的潛在事件而消除風險，比如通過退出某市場或地域，或出售、清算或分立某產(chǎn)品類型或業(yè)務等措施進行的資產(chǎn)剝離；接受：不采取任何措施，將風險維持在目前的水平；降低：通過實施一些政策和程序，將風險降低至可接受水平，比如通過把財務、實物或信息資產(chǎn)分布在不同地域，降低災難性損失的風險；轉(zhuǎn)嫁或分擔：將風險轉(zhuǎn)移給有承擔風險經(jīng)濟實力的、獨立的交易方，比如與具有財務承受能力獨立的保險公司簽訂保險合同。(4)制定風險管理程序和制度。建立完整的企業(yè)風險管理制度是實現(xiàn)企業(yè)風險管理能力提升的保證，在制定制度時還應制定一個相應的流程，能實時追蹤企業(yè)內(nèi)外部變化給客戶、供貨商、競爭對手和運營活動所帶來的影響，及時反應風險變化，并提出完善制定的建議。(5)成立風險管理委員會。風險管理委員會對風險管理程序和制度執(zhí)行的監(jiān)督是實現(xiàn)企業(yè)風險管理能力提升的保障。風險管理委員會主要職責包括協(xié)助企業(yè)辨識風險、評估風險以及風險帶的機會和威脅、評估現(xiàn)有控制活動、確認或制定有效的應對措施、為管理層及時提供企業(yè)面臨風險的變化情況、確認企業(yè)風險管理程序和制度有效的執(zhí)行、跟進和監(jiān)督風險控制實施情況等。(6)建立風險評估機制。風險評估機制主要是監(jiān)督執(zhí)行風險評估結(jié)果的有效性；管理層針對評估出的重大風險，制定應對措施，并指定相應風險責任人，以跟蹤措施的落實，及時向管理層及風險管理委員會報告，確保風險評估結(jié)果得到有效處理。在企業(yè)風險管理中，內(nèi)部審計扮演著以下一種或多種角色：教育者，內(nèi)部審計可以通過定期培訓幫助和協(xié)助管理層了解和運用COSO企業(yè)風險管理框架；促進者，內(nèi)部審計在促進風險評估工作順利開展和制定適當應對風險方案