在当今充满挑战与机遇的商业环境中,企业风险管理、内部控制和合规系统的有效性成为决定企业成功与否的关键因素。董事会作为企业的核心决策机构,对这些系统的了解和信任至关重要。本引言旨在探讨董事会如何通过鉴证机制,获得对业务风险管理的全面保证,并揭示其中的关键挑战和机遇。
作为【董事工具箱系列】的第十二篇,本篇将探讨董事会及审计委员会在风险管理、内部控制和合规系统中的角色与保证机制。通过深入解析鉴证的作用、审计委员会的职能及与其他鉴证服务提供方的关系,旨在帮助董事会更好地确保企业业务风险得到妥善管理,提升公司治理的透明度和效率。
获得保证与鉴证的核心要点
1
内部审计保证
内部审计
内部审计在企业风险管理领域具有多重作用,其核心职责是向董事会提供关于企业风险管理活动有效性的客观保证意见,协助确保关键业务风险得到妥善管理,以及内部控制系统的有效运行。除此之外,越来越多的公司正寻求内部审计职能来支持其战略业务目标。这些工作涉及企业风险管理的多个方面,包括但不限于:
风险识别和优先级排序;
员工、流程和系统与业务战略相匹配;
关键绩效指标的界定;
新业务和战略相关风险的分析与量化;
各项目和举措共有风险的识别。
内部审计职能凭借其在公司中的独特角色、对关键风险的深入了解以及覆盖全公司的视野,为企业风险管理提供了重要的视角和严谨的方法论。具有前瞻性的企业并不将合规风险管理视为单纯的经营成本,而是将其视为关乎企业韧性、效率和成功的战略投资。从战略角度看待合规风险管理的趋势要求企业采取定制化的方法来设计和实施合规安排。一刀切的做法在合规安排设计中往往既不合适也不切实际。
审计委员会与内部审计的关系
审计委员会在内部审计方面拥有若干核心职责:
审查内部审计章程,确保建立恰当的组织架构、权限、访问权限和报告机制;
协助董事会保证高级管理层建立和维持充分有效的内部控制;
监督管理层建立的鉴证体系的范围和有效性,以识别、评估、管理和监控企业运营过程中产生的各类业务风险;
审查内部审计计划和年度工作计划的覆盖范围和进度,并监督其执行情况;
向董事会提出建议,确保内部审计部门拥有充足的资源来履行其职责,包括完成已批准的内部审计计划;
审查内部审计报告,并向董事会报告重大发现及所采取的行动,推广优秀的实践方法;
监督管理层对内部审计建议的执行情况;
协助董事会监控企业是否遵守相关法律法规、监管要求及内部政策,确保实施适当的控制措施;
定期评估内部审计职能的履职情况和客观性;
就内部审计负责人的任免向董事会提供建议。
审计委员会应参与制定内部审计部门的职能和目标,这些职能和目标应明确纳入内部审计章程或相应的服务水平协议中。内部审计章程应清晰地阐述审计委员会对内部审计职能的期望。
通常,审计委员会需在内部审计章程中明确以下内容:
角色和工作范围;
责任和问责机制;
客观性与独立性;
运作原则;
报告要求;
服务质量。
此外,将审计委员会与风险委员会合并是一种常见的做法,这有助于确保保证活动与风险管理职能之间的协调与一致。
内部风险与合规框架
多数企业已建立起 “三道线模型”控制环境,国际内部审计师协会对这一模型的图解如下:
三道线模型的核心思想是在企业的不同层级设置控制机制。首先,运营层面作为一道线,负责实施控制措施以管理日常风险。其次,二道线依赖于企业内部的监督职能。这一层级通过建立并监控系统化的治理方法,为一道线提供支持。最后,三道线是对前两道线的独立鉴证。这一环节由独立的一方进行审查测试,并向董事会报告(或审计委员会),以揭示任何潜在的问题发现或控制缺陷。
董事会应通过风险管理报告,获得关于关键风险管控体系健全性的保证。保证程度取决于风险管理流程的稳健性,因此要求董事会深入了解流程,并能确保其定期接受审查和更新。理论上,董事会通过定期接收管理层提供的证明,能够满足其对企业成果、流程、系统和控制真实性的要求。这些证明的范围应该包括:
财务报告的完整性;
针对财务报告风险和重大业务风险所建立的有效风险管理、内部合规和管控体系;
公司政策和法规要求的遵守情况。
内部审计计划
在审视内部审计计划时,审计委员会需深入考量风险状况,明确内部审计能够给予保证的领域。在这一过程中,董事会应意识到,若内部审计职能由内部人员承担,某些问题可能需要借助外部专家的独立第三方审查来解决。审计委员会应确保内部审计团队遵循正式流程,明确定义风险、划分风险优先级,并据此制定工作计划。这种基于风险的内部审计计划使内部审计职能能够优先处理关键风险,并在审计周期内合理分配工作重点。
审计范围、程序、深度与时间安排:在批准内部审计计划之前,审计委员会应充分讨论其拟定的审计范围、程序、覆盖范围和深度(特别是关于任何范围限制)。审计委员会应确保在制定审计程序和范围时,对战略业务风险进行了全面评估。此外,审计委员会应考虑审计工作的时间安排,并在必要时确定优先顺序。
内部审计结果:内部审计职能部门与审计委员会之间的定期沟通至关重要,特别是在完成调查报告之后和改进建议的落实期间。内部审计计划应包含定期会议的时间表和预期的内部审计报告完成日期。审计委员会应建立与内部审计师沟通的有效机制,并确保信息的保密性。内部审计部门在向审计委员会提交内部审计发现报告后,还应在每次会议上汇报截止日期前商定整改措施的落实情况,以协助审计委员会了解企业是否已有效缓解已识别的风险,或是否需要投入更多资源来解决问题。内部审计职能部门可以选择利用治理、风险及合规技术工具(软件)来辅助问题的发现与汇报,并对商定的管理措施进行监测。
运营变化和新事态:审计委员会和内部审计职能部门需要及时了解影响各自活动和内部审计工作的事态变化。内部审计职能应该响应不断变化的需求,努力实现持续改进,并监督部门员工在工作执行过程中是否做到诚信客观。
预算、人员配置和资源:审计委员会应确保为内部审计职能配备适当的人员和资源。为了确保责任清晰,预算应包括详细的项目时间和/或经费分析。如果内部审计师由第三方担任,还应签署委托书,正式规定内部审计计划和预算制定及商定机制。为了使内部审计扩展到企业的各个方面,并为有才华的员工创造了解保证和风险管理的机会,部分先进企业从运营部门物色员工加入内部审计团队担任“客席审计师”,为被审计项目提供专家意见。
2
外部审计鉴证
外部审计
外部审计师,作为独立第三方,深入了解实体的财务状况,能够通过审计委员会向董事会提供关于企业风险管理、内部控制、财务报告以及法律合规框架有效性的独立见解,在促进企业良好治理方面发挥着不可或缺的作用。在外部审计师的多项职责中,核心的一项是审计公司的年度财务报告,需要向董事会成员汇报审计师的意见,即财务报告是否符合法规要求和会计准则,并是否真实、公允地反映了公司的财务状况和经营成果。除此之外,外部审计师还会评估财务报告的控制环境,并提出改进建议,旨在提高财务控制、管理、报告和披露的效率和效果。
审计委员会与外部审计师在全年内频繁沟通,在协助董事会监督外部审计师方面,审计委员会的关键职责包括:
制定并执行外部审计师的选拔、任命和轮换程序;
就外部审计师的任免向董事会提供建议;
在审计工作开始之前,审查审计业务条款和审计服务费的合理性,并在获得适当授权后进行批准;
审查并(在获得适当授权后)批准外部审计师拟定的审计计划和审计方法,包括确定重要性水平的阈值;
评估外部审计师的履职情况和客观性。
与外部审计师的沟通
审计委员会与外部审计师之间的沟通至关重要,尤其是在审计工作的计划阶段和完成的阶段。每个年度的外部审计周期伊始,审计委员会需审视外部审计师的总体审计策略,包括计划的重要性水平和资源分配,确保它们与外部审计业务约定的范围相契合。同时,审计委员会还需考量外部审计团队的资历、专业知识和经验。
在外部审计项目执行过程中,审计委员会应就以下关键事项向管理层和外部审计师提出质疑:
重大错报风险;
业务环境变化的影响;
重要会计原则;
涉及主观判断的会计领域;
财务报告和信息披露的质量;
会计准则的变更。
3
鉴证与保证的发展
鉴证/保证的给核心功能
鉴证/保证是一个评估过程,旨在为企业提供对所审查事项的信心。董事会需要对其业务风险管理和合规框架及相关控制措施的有效性进行全面保证。对于董事会而言,鉴证/保证具有双重目的,既可以作为验证企业内部风险控制和管理有效性的手段,也可以作为独立的评估工具,向外部利益相关方展示企业如何满足强制性或自愿性的职责和报告标准。
鉴证/保证可以采用多种形式,包括但不限于:
在风险和合规框架实施过程中由系统生成的报告;
管理层提供的证明和保证;
内部审计保证;
外部审计鉴证;
来自其他独立鉴证服务提供方(如精算师、独立专家等)的鉴证。
通过这些形式,鉴证/保证能够帮助企业确保其业务运营的透明度和合规性,同时为董事会提供关键的决策支持。
分析与鉴证
近年来,董事会对鉴证/保证职能的期望已不仅限于评估企业控制环境的有效性,而是希望它能提供更深入的企业发展洞察。随着技术软件的持续进步,企业现可全面分析数据,实现以下目的:
对数据集进行细分,为不同业务板块提供详尽的信息;
追踪并分析不同时期的趋势,详细阐述控制环境在不同阶段的效果;
探究控制环境的有效性与企业内部事件(如企业重组、新系统的实施、关键人员的离职等)之间的关联。
展望未来,内部审计的角色将不断演变,其对整体数据的审查/保证能力将成为不可或缺的核心要求,而非仅仅是一种增值服务。仅仅依赖年内样本进行实质性测试,已不足以支撑董事会和其他小组委员会对企业控制环境的全面了解和有效决策。因此,董事会需要确认内部审计是否具备对整体数据集进行分析的能力,从而最大限度地减少样本测试的工作负担。这并不意味着人工测试在未来将失去价值,相反,内部审计师应致力于调查异常现象,并对所获得的数据进行深入分析,以补充传统的审计手段。
人工智能在鉴证/保证中的应用
若得到妥善应用和管理,人工智能将为内部审计师和董事会带来宝贵的信息资源。其优势包括:
利用机器学习、自然语言处理和机器人技术,强化并加速数据收集过程;
协助执行重复性任务,并帮助审计师验证信息的准确性;
将原始数据转化为有价值的信息,为决策提供支持。
尽管许多流程因自动化而变得更加高效,但数据和信息分析仍需要人的参与。然而,随着人工智能的进一步发展,传统审计师在数据处理上所需投入的时间将大幅减少。
毕马威的观察
为了使董事会委员会更好的了解并发挥自己的职责,履行自身义务,毕马威整理形成了涉及以上领域的自评问题清单和潜在警示信号。自评问题清单可供董事会用以对风险管理、内部控制、合规性和审计有效性进行自评估,潜在警示信号可供企业管理者、公司治理相关人员使用,以在发现相关信号时及时关注并审视自身的治理机制,及时进行整改。
1
公司董事自评问题清单
董事会/审计委员会是否对管理层关于公司风险管理、内部控制和合规系统的保证感到满意?
董事会是否定期获得关于业务风险管理框架和控制措施有效性的独立保证?
公司是否制定了鉴证映射图,综合说明如何就企业的关键流程和/或风险获得保证?
外部审计师是否对财务报告、披露、风险和控制环境的要素进行测试并提出质疑?
董事会是否就公司进行的其他非财务披露(如ESG相关披露)获得保证?
董事会及审计委员会是否确信内部审计职能当前正有效运作?
内部审计计划是否与企业最新的风险状况明确挂钩?风险状况是否根据审计发现和结果进行更新?
对于鉴证工作发现的缺陷,审计委员会是否对相关纠正措施进行监督?
是否邀请管理层参加审计委员会会议,与董事会讨论关键鉴证结果(如重大及重要级别的鉴证发现)?
对于鉴证工作中发现的任何关键风险,审计委员会是否制定了明确的上报流程?
董事会和相关委员会是否具备监督和质疑内外部审计师所需的适当技能和经验?
外部和内部审计师是否在管理层不出席的情况下与审计委员会主席举行会议,并有机会出席每次审计委员会会议?
对于外部和内部审计师的角色和责任,是否有董事会批准的章程?
鉴证计划是否与风险管理和战略计划相一致?
鉴证可以提供哪些关于企业的洞察?
2
警示信号
无鉴证映射图来显示已提供的鉴证中存在的任何差距。
鉴证仅限于财务流程。
董事会未定期审查风险状况和内部审计计划。
鉴证发现与总体风险状况所依据的控制框架有效性不一致。
支撑管理层提供的证明的流程存在不确定性。
内部审计职能似乎资源不足,或项目被管理层取消或推迟。
鉴证提供方提出的建议未得到跟踪和执行。
审计委员会向董事会提交的报告未概述内部审计工作计划和结果。
董事会意识到管理层和外部审计师之间在会计处理上存在重大分歧。
董事会审议年度财务报表时,外部审计师不在场。
毕马威董事会智领中心
毕马威董事会智领中心汇聚企业董事,向董事提供支持和指导,成为会员便可参加各种专题和相关研讨会,获取宝贵的资源和领先洞察。我们为您提供高效履职所需的各种工具,为您解决切实存在的痛点难点。
若您想获得进一步的信息和交流,请与我们的治理、风险与合规服务咨询团队联系。
梅放
风险管理咨询主管合伙人
毕马威中国
frank.mei@kpmg.com
李斌
治理、风险与合规服务
内地主管合伙人
毕马威中国
johnson.li@kpmg.com
李懿玲
治理、风险与合规服务
香港主管合伙人
毕马威中国
alva.lee@kpmg.com
李迪
治理、风险与合规服务
合伙人
毕马威中国
vd.li@kpmg.com
梁安超
治理、风险与合规服务
合伙人
毕马威中国
kelvin.oc.leung@kpmg.com
高原
治理、风险与合规服务
合伙人
毕马威中国
may.gao@kpmg.com
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。
VIP课程推荐
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
