第一部分第五讲:内部审计作用(2)

二、内审作用

    内部审计师在评估并致力于治理改进方面可以发挥多种作用,一般来说,内部审计师要对组织治理过程设计和运行的有效性提供独立、客观的评估;还可以提供咨询服务,为改进治理过程的方式提出建议。在某些情况下,可以要求内部审计师协助董事会开展治理实务自我评估。在存在已知控制问题或治理过程不完善的情况下,首席审计执行官可以考虑用咨询服务替代正式的评估,以此改进控制或治理过程。

    在强化公司治理方面,国际内部审计已逐渐形成三种职能趋势:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。

    内部审计师要评价计划、组织和指导的整个管理过程,以确定是否能合理保证任务和目标的实现。内部审计师应警惕在内外部环境中影响从前瞻性的角度提供确认服务的实际或潜在的变化。在这种情况下,内部审计师应处理可能使业绩恶化的风险。

    总的来说,内部审计评估能够提供信息,评价整个管理过程。所有组织内部的业务系统、过程、运营、职能及活动要服从于内部审计师的评估。内部审计综合性工作范围应合理保证管理层的:

  • 风险管理系统是有效的;
  • 内部控制系统是高效率、有效果的;
  • 通过创造和保存价值、设置目标、监督业务活动和业绩、定义承担责任的方法,实现治理程序的有效性。

    内部审计不仅应该评估与道德相关程序在设计与执行方面治理过程的有效性,而且有义务评估组织业绩管理与会计处理过程的有效性,并对重要的风险和控制信息是否已经有效地在组织内部传递进行评判。具体应包括对法律、法规、政策和合同的遵守情况的评估,如特定领域的政策、隐私、电子商务及信息安全、环境审计等。

2110治理

    内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:

  • 在组织内部推广适当的道德观和价值观;
  • 确保整个组织开展有效的业绩管理、建立有效的问责机制;
  • 向组织内部有关方面通报风险和控制信息;
  • 协调董事会、外部审计师、内部审计师和管理层之间的信息沟通。

    2110A1内部审计部门必须对组织内部有关职业道德的目标、流程和业务进行评价,主要评价其设计、实施和效果。

    2110A2内部审计活动必须评估组织的信息技术治理是否支持组织的战略和目标。

    有效的治理有赖于内部控制以及将控制有效性向董事会沟通。

1. 促进文化建设

    越来越多的组织已经任命了首席道德官,作为“做正确事情”的优胜者,首席道德官是管理层的代表,负责组织开展违规调查。当发现违规行为时,无论违规者是何种职务,都应对其开展调查。

    内部审计活动可以通过多种方式成为良好道德倡导者,包括道德主管(举报调查官、首席稽核官、管理道德顾问或道德专家)、内部道德理事会会员或组织道德气候的评价者。在有些情形下,道德主管的作用可能与内部审计活动的独立性相冲突。

    内部审计活动至少应该定期评价组织的道德气候以及机构战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性。有效的道德文化的特征包括:

  • 清楚易懂的正式道德规范以及相关的说明、政策(包括覆盖舞弊和腐败的程序)和其他道德理想的表达形式;
  • 有影响力的组织领导经常宣传并展示期望达到的良好道德态度和行为;
  • 支持并加强道德文化的具体战略,附有更新延续组织道德文化承诺的经常性项目;
  • 人们可以通过多种容易采纳的方式在保密的前提下举报违反道德规范、政策和其他不当行为的嫌疑;
  • 雇员、供应商和顾客定期声明,他们知道在与组织进行交易时应该遵守的道德行为要求;
  • 明确的责任授权,以保证道德结果得到评价,保密性顾问服务给予提供,不当行为嫌疑得到调查,所发现的情况得到恰当报告;
  • 学习机会容易获得,从而使所有雇员都可能成为道德倡导者;
  • 鼓励每名雇员为组织的道德气候作出贡献,从而创建积极的人事管理实务;
  • 对雇员、供应商和顾客进行定期调查,以确定组织道德气候的状况;
  • 对组织内部可能会造成逐渐损害道德文化的压力和偏见的正式和非正式过程进行定期检查;
  • 将常规参考和背景检查作为招聘过程的一部分内容,包括诚实性测试和其他类似措施。

    额外的道德违反信息恰恰会直接或间接促进组织中不诚实、不道德行为的发生的原因。象过分强调收益,尤其是短期收益而影响了企业长期发展象最近的三鹿事件、片面关注收益底线(如销售收入和利润目标)、残酷的谈判、与财务信息和非财务信息相捆绑的奖惩制度等。

    对违反道德规范行为的处理应采取一视同仁的态度。应循序渐进的惩戒程序,象口头质询、警告、直接处罚等;出现任何违规情况时直接向恰当的监管机构报告;当出现诸如盗窃或职场暴力的违法情况时直接向法律部门报告。

【典型习题】
1. 某个组织应当制定合规标准和流程,并且编制书面的员工应当遵守的业务行为规范。以下哪项有关业务行为规范和合规标准的陈述是正确的?
   A.合规标准应当直白,并且有可能减少潜在的犯罪行为。
   B.合规标准应当载入审计委员会章程。
   C.为了防止在将来承担法律责任,该规范应当包括法律术语和定义。
   D.跨国公司应当有选择地根据地理位置制定反映当地法规的各种合规程序。

【典型习题】
2. 就支持企业道德文化而言,内部审计师采取哪种行动最不合适?
   A.评价道德气候状况。
   B.针对道德选择方面的困境为雇员提供指导。
   C.评估企业行为守则的成效。
   D.确定公司的道德行为标准是否恰当。

2. 隐私

    隐私属于风险管理内容。有效的隐私保护实践有助于良好的治理和责任,管理层有责任建立必要的隐私制度并实施监督的措施。隐私包括个人秘密、活动自由(不受监视)以及信息保密(由他人收集、使用、公布的个人信息)。如果未能采取适当的控制措施从而侵犯了个人隐私,那会给组织带来严重后果。例如,对客户信息的泄露和不当使用可能会导致法律问题,造成客户和员工的信任危机,有损个人或组织的声誉。

    内部审计师在隐私审计业务中主要确认其所在组织收集个人信息或隐私的类型及适当性、采用的收集方法;确认组织使用这些信息是否符合计划用途,是否遵守法律规定,是否在一定范围内收集、持有和使用信息。隐私审计应重视的是个人信息,尤其是存储在计算机系统中信息的安全性。

    根据不同的情况,内部审计师在隐私管理方面可以起到不同的作用。内部审计师可以协助制定和实施隐私计划,开展隐私风险评估,决定组织的需要及风险暴露情况;此外,还包括检查组织现有的隐私方面的政策、实务和控制,对其有效性提供保证。如果内部审计师承担任何制定和实施隐私方案的责任,则内部审计师的独立性将受到损害。因为真正制定和实施隐私计划以及承担风险都是董事会和高级管理层的事情。

3. 电子商务与信息安全

    内部审计师在对系统和流程进行审计之前,首先要了解商务、信息系统及有关的风险,了解信息系统对业务的影响程度,了解企业的战略计划。审计电子商务活动应对目的和目标的实现提供合理的保证,但不能保证或确定目的和目标得以实现。审计师不能绝对肯定目的和目标将能实现。

    信息安全是指信息的可靠性和完整性,通俗来说是指信息准确、完整和安全的。内部审计师应确定高级管理层和董事会是否明确信息的可靠性和完整性是一项管理责任;首席审计执行官应确定内部审计活动拥有或有办法获取相关的审计资源,对信息安全性和有关风险进行评估;同时要确定管理人员是否保证一旦出现威胁组织信息安全的情况(侵害行为造成的威胁、侵害事件的具体情况、受到攻击的薄弱环节以及纠正性措施等)会马上告知高级管理层、董事会和内部审计部门。

【典型习题】
1. 除了数据保护,公司一般还应用以下哪种控制措施来捍卫其客户的隐私权?
Ⅰ.终端用户计算;
Ⅱ.数据加密;
Ⅲ.间谍软件;
Ⅳ.入侵检测;
   A.只有Ⅱ是对的。
   B.只有Ⅰ和Ⅲ是对的。
   C.只有Ⅱ和Ⅳ是对的。
   D.只有Ⅰ、Ⅱ和Ⅳ是对的。

【典型习题】
2. 与保护隐私惯例有关的控制措施存在缺陷,造成这种情况的一大原因是没有遵守以下哪项内容?
   A.公司的内部隐私政策。
   B.财务会计准则。
   C.有关隐私的法律和法规。
   D.《标准》。

【典型习题】
3. 在一次信息安全审计中,内部审计师发现,目前的灾难数据恢复计划是三年前开发的,但从未得到测试。自从该计划开发以来,各信息系统已发生了重大变化。在此种情形下,内部审计师应该怎么做?
   A.要求管理人员立即对恢复计划进行测试。
   B.建议管理人员和用户升级并测试恢复计划。
   C.把为管理人员升级该恢复计划作为审查工作的一部分来抓。
   D.审查该恢复计划并将审查发现的薄弱环节报告管理人员。

4. 树立舞弊防范意识,鼓励报告不正当的行为

    公司的控制失效往往会带来舞弊,而舞弊会对公司经营造成不可估量的损害。

    没有组织能够避免舞弊。防范舞弊的首要机制是控制,这是管理层的责任。内部审计的作用是通过评估相关控制的充分性和有效性来协助防止舞弊。审计人员可以应用足够的反舞弊知识来确认可能舞弊的线索,警惕可能引起舞弊的机会,在审计工作过程中保持足够的职业审慎,树立舞弊防范的意识;也可以利用自身优势在倡导良好的道德文化方面发挥更大的作用,通过促进良好的企业文化,防止舞弊的发生。

    动机——机会——合理化:这个“舞弊三角形”的三个关键要素通常在某些人决定实施舞弊的时候都会出现。其中,动机和合理化是人为因素,机会——通常暴露的是组织内控机制的薄弱环节。也是内部审计师应该着重发挥作用的部分。注册舞弊检查师协会的研究结果表明,组织建立和维持一套舞弊控制机制应包括三个基本活动:创设诚实和高标准道德规范的组织文化;评估舞弊防范流程与控制;建立一套恰当的监督机制。

    信息搜集系统被认为是最普遍的舞弊检查手段。那些报告舞弊和权力滥用的人通常被称为举报者。典型的举报者通常是雇员,当然也会有前雇员和一些组织外部的人会报告组织的不合规行为。那些拥有舞弊证据的合法的举报人应被合理保护免受报复。

    举报热线是报告舞弊的最普遍的工作手段。这种工作方式最直接,它是潜在举报人报告信息的最简易的方法。

【典型习题】
1. 以下哪项关于内部审计师在发现舞弊方面应负责任的说法不正确的?
   A.如果出现危险信号,内部审计师应该发现舞弊。
   B.内部审计师应该拥有充分知识,正确识别表明可能已发生舞弊的有关迹象。
   C.内部审计师应该发现姑息舞弊发生的控制薄弱环节。
   D.内部审计师应该拥有充分知识评估舞弊迹象,以确定是否应该开展舞弊调查。

【典型习题】
2. 根据《国际内部审计专业实务框架》,以下哪项政策应该纳入组织的舞弊防范计划?
Ⅰ.涉嫌违法乱纪的行为在任何时候都将得到全面调查。
Ⅱ.由管理层负责建立并维护正式的防范利益冲突计划。
Ⅲ.内部审计师向审计委员会和董事会报告所有舞弊事件。
   A.只有Ⅰ是对的。
   B.只有Ⅱ是对的。
   C.只有Ⅰ和Ⅱ是对的。
   D.Ⅰ、Ⅱ和Ⅲ都对。