國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第四節 第四節
第四節 第四節 內部稽核單位效能之確認 內部稽核單位效能之確認 內部稽核單位效能之確認 內部稽核單位效能之確認
丹尼.拜倫(Denny K.Beran)理事長以2011年-2012年國際內部稽核 協會主題「評估內部稽核人員攸關性(Assess Our Relevance)」為開場,
他強調內部稽核人員應持續對利害關係人及其專業維持高度的攸關性,因 為藉由評估自我攸關性,可激勵自我努力成為組織不可或缺的重要資產。
何謂內部稽核人員攸關性,具體而言就是內部稽核人員是否能為利害關係 人帶來價值,有關內部稽核價值,經依據國際內部稽核協會所訂之「價值 聲明」,闡述如次。(周靜幸,2012)
IIA IIA IIA
IIA價值聲明
內部稽核內部稽核
內部稽核內部稽核===確認=確認確認、確認、、深刻見解及客觀性、深刻見解及客觀性深刻見解及客觀性深刻見解及客觀性((((AssuranceAssuranceAssuranceAssurance、、、Insight、InsightInsight、Insight、、、ObjectivityObjectivityObjectivityObjectivity))) ) 機構治理單位及高階管理階層依賴內部稽核對治理、風險管理及內部 控制過程的效果及效率,提供客觀的確認與深刻的見解。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
內部稽核對機構的治理、風險管理及控制過程提供確認,以協助機構 達成其策略、營運、財務及遵循的各項目標。
圖5 確認=治理、風險和控制(Governance、Risk、Control)
Governance
Control Risk
Assurance
Assurance
Objectivity Insight
Internal Auditing
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
內部稽核藉由對資料及營運過程之分析與評估,提出深刻見解及建 議,可促使機構改善其效果及效率。
圖6 深刻見解=催化、分析和評估(Catalyst、Analyses、Assessment)
內部稽核應保持誠正並善盡職責,以提供獨立客觀的意見,俾對治理 單位及高階管理階層產生價值。
Catalyst
Assessment Analyses
Insight
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖7 客觀性=誠正、當責和獨立(Integrity、Accountability、Independence)
拜倫先生針對如何增進內部稽核價值,進一步以五大關鍵行動說明之。
【關鍵行動1】成為風險與控制專家
內部稽核展現其價值第一個關鍵行動,就是要成為風險與控制專家,
因為風險與控制對董事會及管理階層而言,相當重要,以近年公、私部門 陸續發生之金融危機案件,各界深入探討許多問題,包括管理階層、董事 會及外部稽核人員的功能是否有效發揮,另一個被問到的問題,就是要求 內部稽核人員成為風險與控制專家。企業風險評估是一個重要的催化劑,
目的在辨識最重大的風險,以落實美國證券交易委員會(SEC)規定於新委託 書中揭露董事會功能。在審計委員會要求下,聚焦於風險之辨識、抑減及 量化,在董事長及執行長協助下,成立一個跨職能團隊,使組織內各單位
Integrity
Independence Accountability
Objectivity
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
能充分瞭解風險評估重要性進而接受,管理階層亦樂意承擔與其職掌相關 之風險。而其具體作法就是擬訂一個風險矩陣,協助管理階層體認辨識潛 在風險的重要性,換言之使風險觀念植入組織基因當中,要求業務主管向 審計委員會報告,協助審計委員會遂行其監督責任。專業的風險評估通常 係應管理階層之要求,主要獲益者包括管理階層、稽核團隊及審計委員會,
具體獲益事項如下:
管理階層-從日常營運中跳脫出來而能綜觀全局、投注時間思考不同方法 下之各種風險、辨識潛在風險、以新的觀點審視控制活動、評估應由誰負 責監督控制活動。
稽核團隊-提高對業務流程之瞭解、改善持續風險評估流程、增加對重大 風險認知、與管理階層合作來辨識關鍵風險及討論控制流程。
審計委員會-協助其履行監督責任、增加其對關鍵業務之瞭解、使其具備 能力評估管理階層對風險瞭解。持續稽核風險評估之目的,在促使內部稽 核單位擬訂具有風險導向觀念之稽核計畫;內部稽核單位每年應至少完成 一次正式風險評估;篩選包括財務、法令規應、舞弊、人力、作業、技術 等風險因子;永續成長動力是需要持續且及時之風險評估。
以稽核專案為例,在初步調查時即應評估風險,主要目的為評核哪些控制
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
活動/監督流程是適當的,以協助決定詳細測試的金額,或決定是否繼續 執行該稽核專案。
內部稽核人員一旦成為組織之風險與控制專家後,就會變成組織中不可或 缺的必要人物-一個被公認聚焦於評估各種新興風險及需要設計哪些控制 活動之專家,並強調抑減各種風險。
【關鍵行動2】聚焦於策略性
內部稽核展現其價值第二個關鍵行動,就是強調策略性,包括瞭解公 司各種策略及執行各項策略覆核。瞭解公司各種策略-應瞭解的重點,包 括:公司策略應具備哪些內容?由誰負責領導?管理階層關注哪些核心議 題?公司策略對哪些領域產生影響?公司策略之啟動時程表及其關鍵里程 碑?專案總成本為何?預計產生哪些效益,例如投資報酬率?
執行各項策略覆核-主要執行步驟,包括:決定要執行哪些策略稽核?
辨識各種關鍵風險?連接關鍵控制到抑減每個險險?測試關鍵控制是否有 效執行?標竿分享(新的業務標準)?是否已簽訂合約-各種標準條款/
條件?產品採購來源來自何處?是否運用各種既有制度-如商品採購、供 應鏈等?知道手冊/制度流程各種變動?知道解決方法?注意各種樂觀預 測?與各種關鍵行動相連接?與管理部門相關的?聚焦於辨識各種新興議
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
題。
【關鍵行動3】對舞弊及道德暴險保持高度警覺
內部稽核展現其價值第三個關鍵行動,就是能對舞弊及道德暴險保持 高度警覺,執行重點包括:(一)讓員工學會多元思考模式;(二)辨識舞弊 及道德計畫之關鍵要素;(三)執行舞弊及道德計畫(關鍵點);(四)組織 因舞弊刻正蒙受利潤損失?(五)有無有效計畫可降低損失?(六)管理階層 及審計委員會對內部稽核之期望是否更多?
(一)舞弊偵測
依據美國舞弊稽核師協會(Associat ion of Certified Fraud
Examiners ,簡稱 ACFE)2010年出版「國家專業舞弊及濫用報告」,該報 告係就全球106個國家進行調查,調查期間自2008年1月至2009年12月,共 計有1,843個案例,受訪者估計傳統組織每年因舞弊事件所蒙受損失約為年 營收的5%,如以2009年世界生產總值(gross world product)作為估算依 據,全球潛在舞弊損失總金額已超過2.9萬億美元。另舞弊在被偵測前已持 續發生時間,以中位數分析約為18個月。舞弊偵測方法,第一名是內部情 報(秘密消息,主要為公司內部員工,其次為顧客、供應商、競爭者或熟 人等),超過40%,第二名及第三名則為管理階層覆核及內部稽核之稽核工
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
作,分別占15%及14%。準此,內部稽核應執行舞弊風險評估,其主要目的 在決定組織是否對舞弊保持高度警覺、評估相關控制是否適當、提高管理 階層及審計委員會對舞弊風險之認知。有關舞弊風險評估方法,重點包括:
爭取管理階層支持並認同接受、啟用跨職能稽核團隊、召開腦力激盪會議、
詳細描述各舞弊案件之控制活動等。
(二)反舞弊-管理階層及內部稽核之功能
管理階層及內部稽核在組織反舞弊的角色上,具有一定影響力,茲分別說 明如下:
1. 管理階層之反舞弊功能-訂定高層基調;辨識關鍵風險;執行及監督控 制活動;透過文字及行動營造一個「舞弊是不被容忍的」及「舞弊將被迅 速且果斷地處理」之組織文化。
2. 內部稽核之反舞弊功能-熟知舞弊之紅旗警訊;評估重大舞弊風險存在 之處;每個稽核案件都包含舞弊討論及舞弊稽核步驟;強調專業懷疑;執 行資料開採;確保有效檢舉熱線流程是適當的;參與培訓課程;調查舞弊 個案。
(三)調查協議書
內部稽核應針對舞弊案件擬訂調查協議書,以確定由誰負責管理調查工
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
作、執行調查工作、報導及溝通調查成果;確保各項聲明已經適當調查並 獲致結論;維持各調查案件間的一致性;載明文件標準等。
【關鍵行動4】成為資料分析高手
從不同角度分析資料之過程,是為辨識資料的各種模型或其相關性,
進而彙整為有用資訊,提供內部稽核人員執行詳細測試工作之參考。另依 據國際內稽核協會「稽核主管中心(Audit Executive Center)」於2011 年針對500位稽核主管進行調查,討論有關科技成果之落差,調查目的在瞭 解內部稽核人員評價有效運用科技對內部稽核工作績效的重要性,不出所 料,77%稽核主管認為有效運用科技對內部稽核工作績效具有高度重要 性,另也調查稽核工作運用科技之情形。有關資料分析,國際內部稽核協 會研究基金會(I IARF)以「必要變革(imperat ive for change)」為 題,於2010年進行全球內部稽核調查發現,確定四大類計10項之必要變革,
其中第四類為有效地運用科技(Effectively Leveraging Technology)-
提高內部稽核人員使用稽核科技與工具,讓內部稽核人員瞭解科技可協助 稽核團隊變得更有效率及效果。但是在使用資料分析時,可能發生的障礙 包括:稽核人員未具備必要之相關技能;稽核人員無法接近系統或資料庫;
稽核管理階層不知道資料分析之價值;稽核人員擁有這樣的挑戰-稽核人
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
覆核交易之全部母體;提供更完整分析及改善稽核覆蓋率;提高稽核人員 之效率及效果;壓低稽核成本等。
【關鍵行動5】積極地與利害關係人建立良好關係與溝通
拜倫先生認為溝通是一個關鍵要素,內部稽核人員需要確保董事會及 審計委員會瞭解內部稽核所提供之價值。內部稽核之公開溝通對象,包括 高階管理階層、作業管理階層、審計委員會、外部審計人員及稽核團隊等 利害關係人,其方式可以為:
(一)從非正式場合開始認識管理階層
1.在便餐會報(Set up lunches)中討論當前事件、報告管理階層最關注 事件、詢問內部稽核可以提供哪些協助。
2.參與公司贊助之慈善活動,例如社區服務性專案、食物捐贈活動、聯合
2.參與公司贊助之慈善活動,例如社區服務性專案、食物捐贈活動、聯合