這篇是Fintech Magazine在2024年 8月 1日刊出的"Internal Audit’s and Risk Management: AuditBoard's Survey"。
審計、風險與ESG管理雲端平台的領先者AuditBoard最近宣布其產業基準調查結果,可在其隨附的報告《內部稽核擴張的角色:關聯性風險的基礎》(Internal Audit’s Expanding Role: The Foundation for Connected Risk)中找到,該報告發現55%的財務長及50%的審計委員會希望內部稽核團隊承擔更多風險相關工作。
該研究顯示,這些不斷擴大的期望出現於內部稽核提供相關諮詢服務的頻寬有限,且風險需求增加以及風險管理能力不足―正在產生經營風險覆蓋範圍的落差。
AuditBoard現場審計長及關聯風險顧問Tom O’Reilly說:「雖然許多公司習慣於管理持續升高的風險速度及影響,但最近的困難集中在幾個因素:公司缺乏管理其風險的能力、孤立的團隊、分散的資料以及遺留的技術。」
該調查強調,來自經濟、地緣政治、監理與網路風險的改變與不可預測性是如何持續存在。若不從強項與備戰的地位來管理它們,這些風險可能給企業帶來嚴重負面的後果。
曝險的落差可能造成財務與聲譽破壞性的影響,包括未遵循法規的處罰(每件平均為140萬美元),以及因第三方風險事件而流失的收入與市佔率(每件平均為10億美元);還有導致股價、估值及投資人信心下降的重大弱點。
結果
調查顯示一個緊要議題:大多數組織的管理層沒有收到從事風險決策和驅動事業價值所需的必要資訊。該報告強調內部稽核團隊目前的焦點並且建議可能的調整以優先重視更多具有附加價值、與風險相關的活動。
根據該調查,內部稽核能力有很大部分仍投入傳統的審計與沙賓法案(Sarbanes-Oxley, SOX)的遵循工作。平均來看,承擔SOX責任的內部稽核部門只有分配15%的時間到諮詢活動,比如企業風險管理(ERM)、持續監察控制、資訊安全控制測試以及公司調查。相對而言,不承擔SOX責任的部門會投入多一些時間到諮詢工作,平均為21%。
該結果提醒內部稽核部門需要擴大其職權範圍並承擔更多的諮詢責任—61%的內部稽核主管(CAEs)表達希望承擔更多責任,反映了這樣的認知—光做傳統內稽工作不足以縮小曝險落差。
包括財務長與審計委員會等主要的利害關係人也呼應這樣的情懷,他們越來越仰賴內部稽核提供更全面的風險管理支援。
為應付這些挑戰,該調查強調關聯性風險方法的重要性。這種現代、跨職能的策略包含整合審計、風險與遵循團隊,方法是使得連結團隊、統一資料與自動化流程的技術實現。由於內部稽核對整個組織有全面性的視野以及在治理、風險和遵循上的專業知識,非常適合來領導這項概念性的做法。
Tom說:「公司要改善其風險管理能力以縮小不斷增長的風險需求和風險管理資源有限之間的落差,最容易的方法就是運用關聯性風險方法—積極尋求集中化的資料、團隊及工作流程以改善第一線的風險管理文化,此舉將對高階經理人的決策以及董事會的監督責任更有幫助。」
該調查也指出,大多數組織在整合性風險管理(IRM)尚未成熟。只有14%的受訪者說具備正式的IRM策略,並且僅僅4%指出其運作良好。這為內部稽核提供一個重要機會,可透過推動採納關聯性風險策略來增加價值。
經理人見解:你認為內部稽核在解決報告所指出的挑戰中扮演什麼角色?
Tom說:「我個人認為,內部稽核在許多組織中處於最佳位置,可以成為其相關風險策略的催化劑和擁護者。就像內部稽核具備控制的專門知識,已經被美國SOX而現在被英國《公司治理守則》賦予責任,內部稽核因為對整個企業GRC(治理、風險與遵循)環境的專長,因而在構建組織的關聯性風險方法方面廣受歡迎。我們的調查顯示,管理階層與董事會想要內部稽核承擔更多風險工作,同時內部稽核相信他們在組織風險管理各項措施上可發揮更多作用。我預期,並且我們也已經看到,關聯性風險是內部稽核在組織前沿領導方面最有影響力的領域。」
資料來源:https://fintechmagazine.com/articles/internal-audits-and-risk-management-auditboards-survey
沒有留言:
張貼留言