应对舞弊备受关注 业务连续性管理亟待加强,本文主要内容关键词为:连续性论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着经济全球化的深入,中国企业越来越多地加入国际化竞争,企业面临的风险也越发复杂,“黑天鹅事件”存在于各个角落,无论金融市场、商业、经济还是个人生活,都无法远离它带来的影响。如今,很多公司在感受到巨大财务压力的同时,也竭力寻找着机遇,在这场全球经济衰退中求生存,将损失降到最低,以求在不确定的经济环境下抢占先机。企业管理层乃至董事会纷纷不敢懈怠,不断提高对风险、内控和治理等领域的重视程度。
2008年6月,财政部等五部委联合发布了中国第一部《企业内部控制基本规范》,它创立了以企业为主体,以政府监管为促进,以中介机构审计为重要组成部分的内部控制实施机制,为加强企业内部控制建设提供了基础性、权威性的指引。在这样的大环境下,内部审计日益受到重视,并且面临着监管力度加强和应对金融危机的双重挑战。
据“2009年中国大陆与香港内部审计能力与需求调查”发现,内部审计职能正朝着多元化方向转型,面对董事会、审计委员会、投资大众、企业管理层以及相关利益团体等对内部审计的期许,内部审计人员在关注传统内部审计职能的同时,也逐渐拓展至公司治理、内部控制、风险管理及合规等诸多领域。内部审计人员不仅需要协助企业在目标达成和风险管理之间取得平衡,还要适当地成为首席执行官和首席财务官的战略伙伴,整合协调各部门的意见,全面了解企业整体经营流程,并熟练运用最新技术执行审计工作。在内部审计职能中,舞弊风险管理与业务持续性管理成为最需关注风险的领域。
舞弊风险管理
在国际金融危机背景下,企业需要应对更大的财务业绩压力,企业员工也同样承受着越来越大的个人财务压力,因此,与舞弊相关的活动就成为企业重点关注的对象。监管机构要求企业以更加积极的态度管理舞弊风险,了解企业中最容易出现舞弊和不当行为的薄弱环节,已成为现今全球市场上不可或缺的能力。鉴于舞弊对企业造成的损失和声誉影响重大,尤其是当前美国金融危机接连爆出的金融欺诈巨案,更令企业提高了对舞弊活动的警惕防线,而这些都很大程度地依靠内部审计人员的知识和能力。
对于已意识到建立和维持有效的反舞弊机制重要性的企业而言,内部审计师将在协助企业管理舞弊风险中发挥关键的作用,例如,通过执行舞弊风险评估以及财务和运营审计来识别潜在的舞弊风险征兆。
企业经营过程中的舞弊行为主要表现为以下几种方式:舞弊性财务报告(如不当收入确认、故意高估资产或低估负债等);资产挪用和盗窃;不正当或非法开支和负债(如可能损害企业名誉的行贿和权钱交易);采用舞弊手段获得收入和资产,规避成本和支出(如可能损害企业名誉的欺诈和逃税漏税行为)等。
为防范和应对舞弊现象的发生,降低舞弊发生的可能性及降低舞弊给企业带来的损失,可以采取以下措施:
建立健全反舞弊程序。确保反舞弊程序包含了所有的必要要素。
维持公司最高层态度。应重视建立诚实、高道德规范的企业文化,重视评估反舞弊流程和控制,重视制定适当的监管流程,包括禁止管理层逾越既有控制的政策和流程。
评估舞弊风险。确定特定行业、区域及其他相关的舞弊风险,并确保反舞弊程序充分地确认这些风险因素。
识别可以降低舞弊风险的控制。确定反舞弊程序是否考虑已识别出的舞弊风险。管理层及审计委员会都应关注有效的反舞弊程序,制定由管理层编制,经审计委员会审核的反舞弊程序有效发挥作用的证明报告。
进行反舞弊测试。管理人员必须确定应进行测试的控制,包括反舞弊程序和控制。有关舞弊活动的内部审计活动应足够充分,内部审计部门亦应直接向审计委员会进行报告。审计委员会应积极参与有关反舞弊事宜,并就舞弊事项与内部审计部门进行充分交流。
维持有效的行为规范。应当保留有关行为规范规定的记录文件,尤其是对有关利益中突、关联方交易、违法行为,以及管理层及审计委员会或董事对行为准则进行监控的记录文件。
开展反舞弊监督程序。审计委员会会议、披露委员会及舞弊程序,管理层应适时将舞弊事宜列入其会议议程。为确保反舞弊程序的有效性,应对上述考虑因素予以清楚记录。
识别并调查举报和投诉。公司应设立充分的程序,处理相关的投诉,受理有关可疑会计或审计事项的匿名举报。
纠正缺陷。在发现反舞弊程序中存在缺陷时,应及时进行纠正。
向专业顾问进行咨询。审计委员会、董事会、独立公众会计师、内部审计人员以及其他咨询顾问经常开展合作,以确保反舞弊程序行之有效,达到所有适用法律法规的要求。特别是公司在记录.评价及完善反舞弊程序时,管理层应咨询法律顾问、反舞弊专家及独立公众会计师。
业务连续性管理
2008年的汶川地震和华南雪灾对当地企业所造成的冲击和经济损失十分巨大,基于这些经验和教训,业务持续性管理在中国的关注度逐渐提高。导致公司业务不能持续进行的突发事件主要包括自然灾难和人为灾难。近期主要发生的自然灾难如印尼海啸、汶川大地震、SARS、禽流感、甲型H1N1型流感等;人为灾难如9·11恐怖袭击、伦敦恐怖主义轰炸、索马里海盗海上抢劫活动、菲律宾人质屠杀事件等。这些事件不仅导致了业务中断,在数亿人中引起了动荡,而且还使全球企业和地方企业都旷日持久地陷入混乱和不确定的窘境。
根据相关的标准、指南及行业要求,许多对业务持续性要求较高的组织,如银行、证券和电信业等已经实施了业务持续性管理。有数据显示,93%的企业在经历了重大数据损失后的5年内倒闭;而流行性疾病,比如流感的爆发,会造成25%~40%的员工缺席率,工业链被打断,顾客人数下降,以及公司电脑、电话等服务系统严重阻塞。金融危机下企业面临的商业环境急剧变化,加上自然灾害频频,以及恐怖主义暴力事件时有发生,都增加了企业运营中断的潜在风险,给企业持续运营带来了巨大的挑战,因此,迫切需要改进和加强业务持续性管理。
由于受到业务要求和约束因素的驱动,各个公司的业务持续性方法和项目范围可能各不相同,然而业务连续性管理仍然存在着许多共同的特点。在进行业务连续性管理时,一般通过以下方法和步骤得以实现:
业务持续性计划设计和部署 包括界定支持业务持续性活动的各种政策、标准和工具。此外,行之有效的业务持续性管理计划应当包括明确地分派各个关键领域(例如,危机管理,业务恢复和信息技术灾难恢复)的责任和职责;
业务影响分析 确定恢复目标(业务和技术)及其相应的理由和依据;
风险评估 查找出组织可能会遇到的各种威胁和故障情景,再通过综合考虑风险的可能性(概率)和严重性(影响)按轻重缓急排列出优先性次序;
战略设计和实施 依据成本效益分析,确定和实施最能满足本组织需要的持续性战略;
组建内部业务持续性小组 建立一个核心团队,负责监督所有业务单位和运营场所贯彻执行企业的业务持续性管理政策;
计划文件制备 将相应措施,恢复和复原程序归档,以便于开展行之有效的业务持续性运作;
测试 验证和持续地改进业务持续性战略和计划,建议制定一个说明演习参与者的标准和指导方针的测试政策,提出一项包括危机管理,业务恢复和信息技术灾难恢复的进度计划;
培训和意识强化 增加对业务持续性经营的了解,既包括响应/恢复团队的队员,也包括一般的普通员工。可通过审查在计划中出现的角色和职责,以确保其是否满足业务要求来确定培训内容;
合规监控和审计 确定符合内部和第三方业务持续性的标准,要求内部审计参与计划流程,审查对业务持续性管理政策要求的遵守情况。
总之,企业不仅要从过去着重于开发灾难恢复计划以支持关键技术资产的恢复,今天更应关注如何确保关键业务流程与支持职能得以持续可用和有效。一旦企业面临业务中断,业务持续性管理能够为企业提供必要的保护或可替代的运营模式,从而增强对大规模流行性疾病和自然灾难事件的应对能力。
案例:诺基亚与爱立信的不同应急方案
2000年3月17日晚上8时,一场暴风雨导致飞利浦设在美国新墨西哥州的芯片厂发生大火。虽然这场大火在10分钟之后就被扑灭,但却对远在万里之外的两个世界上最大的移动电话生产商——诺基亚和爱立信造成了巨大的影响。
原因在于:这两个世界移动电话的巨头生产手机所需要的很大一部分芯片是由飞利浦这家工厂提供的,该工厂生产的40%的芯片由诺基亚和爱立信订购。其中Asic射频芯片是飞利浦的独家专利。
3天以后,诺基亚与爱立信都知道了火灾的消息。面对这两个大客户,飞利浦的管理层表示,生产线将会在1周之内恢复,并且优先供应诺基亚与爱立信两大移动电话商。
面对飞利浦失火的消息,诺基亚与爱立信的反应大相径庭。
诺基亚立即派人奔赴飞利浦的芯片厂,监督有关善后事宜。在与飞利浦高层的数次会谈中,诺基亚高层表现出强硬、积极的态度,要求飞利浦把各工厂的生产计划全部拿出来,尽一切努力寻找可以挖掘的潜力,让飞利浦无法忽视。飞利浦随即安排位于上海和荷兰的工厂为诺基亚生产1000万个Asic芯片。
在大火发生以后的2周之内,诺基亚还动员了30多名欧洲、亚洲和美国各地的经理与工程师一起讨论解决方案,重新设计了芯片,使得日本和美国的其他工厂也能制造。他们寻找到日本和美国的其他供应商承担生产几百万个芯片的任务,从接单到生产只有5天的准备时间。
与诺基亚不同的是,爱立信在得知火灾的消息后,管理层并没有引起足够重视,似乎没有人认为这场火灾有什么了不起。与飞利浦最初预想不同的是,到了3月底,芯片厂仍无法正常运作,恢复正常生产恐怕还要拖上好几周时间。直到4月初,爱立信才发现此事非同小可,但却已束手无策。因为早在20世纪90年代中期,爱立信为节省成本,简化了它的供应链,基本上排除了后备供应商,没有其他替代供应商可以作为紧急补充货源。在市场需求最旺盛的时候,由于短缺数百万个芯片,爱立信所投产的一种非常重要的新型手机无法推出。
虽然在飞利浦火灾事件后,爱立信改弦易辙,重新与其他供应商签订了生产合约,但由于反应迟缓而流失的4亿美元的收入却再也无法挽回。再加上营销和其他管理方面的问题,2000年爱立信手机部门总共亏损16.8亿美元。诺基亚从爱立信的手中抢夺了3%的全球手机市场份额、从一年前的27%扩大到了30%,爱立信则从12%下降到9%。2001年1月26日,爱立信宣布退出手机市场。
相关链接
2009年中国大陆与香港内部审计能力与需求调查
为充分了解并评估中国企业内部审计能力的现状及其所面临的挑战,甫瀚咨询在中国内部审计协会的大力支持下进行了调查。调查主要面向首席审计执行官、审计总监、审计经理和其他内部审计专业人员,涵盖金融、房地产、制造、科技、能源等多个行业,共计收回179份问卷。调查评估围绕“一般技术知识”、“审计流程知识”以及“个人技能和能力”三个领域展开。
一般技术知识
“信息安全”连续两年能力最低,“业务持续性管理”新晋改进行列
调查显示,受访者认为自身的一般技术知识能力普遍偏低。在最需改进的领域中,信息安全方面的能力水平已连续两年得分最低。这也从某种程度上反映了中国企业在信息安全领域所面临的严峻形势。有数据显示,全国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,而银行、金融和证券机构更成为攻击重点。
在信息化快速融入中国社会各领域的同时,每个企业都不同程度地受到安全威胁与漏洞的影响。企业应该借助对与信息安全相关的所有风险、合规和治理问题的管理,进而对信息系统提供充分的保护。
“业务持续性管理”是2009年新增的评估领域,在首年即进入改进需求前五名。金融危机下企业面临的商业环境急剧变化,加上自然灾害等事件的影响,都大大增加了企业运营中断的潜在风险,为企业持续运营带来了巨大挑战。
审计流程知识
如何应对舞弊仍是关注焦点,信息技术审计视作最薄弱项之一
应对舞弊得到受访者最大的关注,包括“舞弊风险管理与防范”、“舞弊发现与调查”、“舞弊监督”和“舞弊审计”等与反舞弊相关的审计流程知识,被认为是“最需改进”的知识领域。
与2008年调查结果相比,信息技术审计能力尤其是程序开发仍被内审人员评为薄弱项之一。随着全球信息化的不断发展,信息技术已深入企业运营的方方面面。借助行之有效的信息技术审计,评估公司的技术风险和控制环境,确保关键业务流程的有效运行已成为摆在所有内部审计人员面前的严峻课题,也对内审人员的信息技术审计能力提出了更高的要求。由于信息技术审计更需要专门的专业知识作为辅助,使其连续两年成为最需改进的领域之一。
个人技能和能力
沟通能力最受重视,战略思考备受推崇
由于内审部门需要密切保持与各部门和层级之间的互动,沟通能力被认为是内部审计人员必备的最基本能力,其中公开演讲、发展与董事会其他委员会的关系、发展与审计委员会的关系、说服能力,成为受访者最为关注的需要改进的技能。
另外,值得注意的是,战略性思考连续两年成为受访者关注的领域。内部审计职能正日趋多元化,除了传统的监管职能外,还在企业政策制定、业务管理等领域发挥越来越大的作用。面对不断变化的市场环境,企业的战略发展对内部审计人员的战略性思维提出了更高的要求。内部审计人员必须具备全局观、大局观,才能以更广阔的全局视角和战略思维将内部审计纳入企业的战略目标及持续性发展。
标签:诺基亚论文; 内部审计论文; 审计计划论文; 审计流程论文; 审计方法论文; 审计目标论文; 审计委员会论文; 信息安全论文; 管理审计论文; 爱立信论文;