(1)ESG舞弊風險:瞭解內部稽核的角色
隨著環境、社會與治理(ESG)報導與揭露的審查越來越嚴格,內部稽核有責任了解組織ESG舞弊風險,並評估ESG舞弊風險管理的效能。包括:
*當組織價值連結於ESG指標所產生的投資壓力
*複雜的遵循增加內部成本和資源負擔
*因公開永續計畫進展壓力帶來的聲譽風險
*當高階經理人薪酬連結於ESG績效所產生的報導操縱
*因交換資料和資訊以支援報導要求所產生的第三方風險
與所有舞弊知識一樣,並非每位稽核都需要是專家,但所有稽核對於什麼是ESG舞弊以及各式各樣的指標應當有基本認識。這意味要在典型的舞弊三角(fraud triangle)和從業人員詐欺樹(occupational fraud tree)的脈絡之下,理解ESG舞弊風險要素。藉由提升稽核團隊的技能,以便在評估和檢測期間出現紅旗警示時可以有更好的準備。
內部稽核團隊需要將ESG舞弊風險管理納入其風險評估,並考慮查核計畫的成果。ESG舞弊風險評估可由幾個內外部要素組成。當執行ESG舞弊風險評估時,內部要素的問題包括:
*誰負責決定揭露指標?
*指標蒐集與報導之間的責任有無適當區分?
*資料如何蒐集?自動化或人工?
*組織的ESG主張背後有準確與可靠的資料支持嗎?你如何針對「漂綠」提供確信?
*關於ESG舞弊風險的控制環境是有效的嗎?
*激勵(包括顯性或隱性)因素帶動正確行為態度或提高不實報導的壓力嗎?
*具備合宜的資料治理政策與實務作法嗎?
針對外部舞弊風險要考慮的問題包括:
*關於貴組織ESG活動的主要第三方關係已確認了嗎?
*如何管理與評估這些關係的活力?
*合約內有「查核權」條款並且已經執行?
*如何評估與監控從第三方所取得的資料?
*讓第三方進入內部系統的開通與取消的程序為何?
關於舞弊風險管理評估的答案將會推動你團隊的查核計畫。比如,你可能發現高階經理人薪酬計畫直接連結到ESG主張,並且在ESG揭露報導中所使用的資料由人工匯編。這代表ESG舞弊風險處於高風險情境,應予查核。在查核過程中,團隊將評估設計用來預防或偵測舞弊的內部控制是否有效。他們將進行測試以驗證舞弊預防與偵測控制正有效運作。最後,若舞弊發生,內部稽核若符合資格,應該只做舞弊調查。要不然,他們就應該將調查授權給受過訓練的舞弊調查人員。
資料來源:
https://www.wolterskluwer.com/en/expert-insights/esg-fraud-risk-understanding-internal-audits-role
(2)僅70%大公司的內部稽核會評估網絡風險
Jefferson Wells的新資料顯示,內部稽核正瞭解到網路安全的重要性,但他們改善方法的途徑各不相同。
網路安全持續是財務團隊最優先之要務,而在內部稽核團隊中,資料安全及對資料完整性的威脅已成為重大考量。
根據Jefferson Wells的2023年內部稽核優先事項年度調查報告(Internal Audit Priorities Annual Survey Report),內部稽核團隊最擔心網路安全。不過,他們因應的行動並不統一、也不聚焦在某一領域。
Jefferson Wells的新數據顯示,收入未達10億美元的公司僅四成(40%)會在其最新的技術風險評估中顧及網絡安全。對於較大的公司,評估的可能性更高,略低於四分之三(70%)。
風險稽核焦點
當網路安全與資料保護的手段變得更加複雜,內部稽核主管的焦點似乎分散在不同領域。根據該調查,以更積極方法運用於部分網路安全事項,看來最受歡迎。
過半的內部稽核說,威脅與漏洞管理(54%)、身份存取與管理(51%)是其技術風險評估方法的一部分。不到一半(47%)增加了雲端運算風險評估、資料治理以及隱私適法性(46%)以及勒索軟體保護(42%)。
打擊勒索軟體的努力也是稽核團隊的焦點,特別在過去一年。約一半(54%)的稽核說,他們已經審核了勒索軟體攻擊因應計畫,而有51%說他們會評估備份及資料儲存安全。這些數字分別較2022年上揚16%與14%。
為了找出資料系統內的弱點,內部稽核主管會持續指導員工如何回應威脅,比如網路釣魚攻擊,並且執行資料操弄及盜竊的控制模擬。
這些測試的焦點領域包括密碼政策(51%)、資料流失防護 (43%)、惡意軟體偵測(42%)、網路釣魚(37%)、入侵偵測(36%)、社會工程(25%)。根據調查,雖然大公司擁有更多資源打擊這類的違規,他們正關注資料流失、惡意軟體,以及接下來的網路滲透與入侵。
尋找人才
缺乏人才,內部稽核團隊可能難以履行其職責,就更別提複雜的主題,比如網路安全。一如會計師、財務長與其他財務職位,內部稽核表示尋找和留住高素質的人才是一項持續的挑戰。
根據調查,在勞動市場取得技術技能組合是內部稽核在2023年最大的挑戰。其他關於人才的考量包括,勞動市場的品質(38%)、薪酬要求(38%)、彈性工作的要求(35%)以及競爭(35%)。
如果獲得優質勞動力的困難持續下去,財務團隊或許願意支付更高的薪酬給人才。根據Jefferson Wells的調查結果,這對許多團隊而言應該不成問題,因為只有25%的受訪者指出缺乏人才預算。
資料來源:https://www.cfo.com/news/only-70-of-large-company-internal-audits-assess-cyber-risks/700938/
沒有留言:
張貼留言