這篇"Audit Committee Practices Report"是由Krista Parsons與Vanessa Teitelbaum合寫、2024年9月8日在Harvard Law School Forum on Coporate Governance刊出的文章。內容是他們Deloitte的調查。由於篇幅不小,故分為兩部分。第一部分為序言、財務與內控稽核人才、財務轉型;第二部分為審計委員會實務及效能、其他的觀察、審計品質、審計委員會之流動和留任、審計委員會的專長。本篇為第一部分。
當監理環境持續複雜化,而組織要處理新、持續的挑戰之際,對審計委員會也有額外的期待。他們的責任範圍持續擴張,超出了傳統財報與內控、內外部稽核、道德與遵循計畫的領域。
除了財務報導與內部控制以外,大多數受訪者(69%)指出,網路安全是審計委員會未來12個月的前三大優先事項;三成(30%)受訪者視網路安全為第一優先事項。網路安全為第一優先,這與前版報告一致。
最近新版的Deloitte的Heads Up列舉了網路安全揭露之新要求。作者的調查發現,有58%主要由審計委員會監督網路安全風險,而25%說,由董事會負監督責任。這與CAQ的第十份年度Audit Committee Transparency Barometer報告一致,他們發現,59%的S&P 500公司指出,他們的審計委員會負責監督網路安全風險,較2022年的54%高。
一般來說,金融服務業之網路安全監督會分派給審計委員會(38%)及風險委員會(26%)。相對地,大多數非金融業則會將之派給審計委員會(64%),非常少數才派給風險委員會(3%)。這有可能會受到這樣的事實影響—大多數金融公司被要求設風險委員會。
有相當一部分的受訪者(24%)說,他們的審計委員會具備充足的專業。但其他人最常表達的是:整體委員會效能需改善之處可能是網路安全(44%)。這特別值得注意,是因為近半(48%)受訪者說,他們委員會上有一定程度的網路安全專長。有鑒於此主題之重要性,值得考慮:是否董事可從外部顧問或進修計畫獲益。
關鍵見解
*網路安全持續吸引許多董事會及其委員會的注意—73%的受訪者說,至少每季會討論一次。儘管如此,一定比例並未定期討論網路安全;事實上,15%會半年討論一次網路安全,9%是每年一次。有鑑於網路安全風險之普遍性,應該考慮讓整個董事會都瞭解網路安全風險。最少,整個董事會都應該決定,討論足以影響組織的威脅局勢和關鍵營運風險之適當頻率。
有近半(48%)受訪者指出,ERM會是未來12個月前三大優先事項。有趣的是,受訪者對企業風險管理(ERM)的優先順序排名分歧,排1、2、3的各有16%。相對於前一版報告,ERM仍是最優先事項。
監督ERM(用以辨識、監督與評估風險的流程)多年來已成為審計委員會的職權範圍。除了一般性的監督,審計委員會也必須評估,是否當前的ERM流程可處理新威脅、是否這些流程之有效性和效率,以及是否他們會受到適當的資源所支持。在問及由誰負責監督組織內的ERM,47%受訪者指是審計委員會、35%指是董事會,15%指是風險委員會。而金融公司比較不會指派審計委員會主要監督企業風險之責(23%),其他產業比較會(54%)。相對地,43%的金融業受訪者會將此責任授權給風險委員會。超過四分之三(85%)會說,該委員會上有某種程度的ERM經驗與專長。這顯示著對其委員會監督這個領域有高度信心,少數受訪者才說,需要額外的ERM專長(20%) 。
關鍵見解
*為監控新風險之出現,審計委員會可調整其模式,首先從考慮影響性高、可能性低的風險,以及影響性高、可能性高的風險開始。有鑑於黑天鵝越來越普遍,比如疫情、大型天然災害、氣候災害、全球衝突,這個方法會越來越寶貴。
*審計委員會對ERM監督之責任,或許今年會因為許多領域引入新揭露要求而增加。換言之,ERM的監督不限於審計委員會—這對董事會收取定期更新、評估風險胃納及辨識新風險而言,是一個充分的機會。
*審計委員會在向管理階層建議—辨識與監控重大風險,以及確保整個董事會與/或委員會會詳加注意上,能發揮重要重要功能。董事應該鼓勵管理階層持續評估風險,而非只依賴過時方法—每年做一次風險評估,直到明年再說。
財務與內控稽核人才
財務與內控稽核人才,對審計委員會是一項優先事項,有37%的受訪者指出,這是他們未來12個月的前三大優先事項之一;9%認為是最重要的問題。46%指出,他們的委員會會每季處理這個主題,而23%在過去12個月內有處理過一次。作者也請受訪者分享他們對內部稽核部門的看法。整體來說,大多數受訪者視內稽是有效的部門,有一位認為可增加價值。這顯示了內部稽核可為其經營活動帶來適當的敏銳度,並提供動態的內稽風險評估,這不僅是當一個確信提供者,也是協助預估和建議未來的風險。但近八成的受訪者同意、獲強烈同意,內稽還有增加更多價值的機會。此觀點或許更會反映人才緊縮和快速變化的商業環境,而非對內稽部門的不滿意,但這仍是一個值得思考的問題。
關鍵見解
*除了監督這些團隊的繼任計畫以外,審計委員會應考慮,團隊會如何受到變化中的科技影響(比如生成式AI)。管理階層應考慮,某些技能是否過時、是否有機會提升人才技能。
*為維持強大的財務團隊和成果,審計委員會應該和財務長有定期與健全的互動,以瞭解持續變化的人才需求和財務面的職位。
*內部稽核對審計委員會而言是重要資源。該部門應受到鼓勵採行動態的風險評估,以持續注意有最大風險的領域。除了提供確信以外,也要考慮內稽是否可透過建議和預測未來風險而加值。
超過三分之一(36%)受訪者說,將遵守法規視為審計委員會未來12個月的前三大優先事項之一;較去年有顯著增加。17%說這是最重要的問題。此突顯了監理環境或許在今年拉高了這個領域的重要性。45%受訪者指出,他們的公司會將遵循之監督指派給審計委員會,37%是給董事會、5%是風險委員會。
關鍵見解
*2023年PCAOB提出「修訂未遵守法規公司之PCAOB審計標準」。此提案引發會計師、律師及其他利害關係人的熱烈討論,因為該提案提高了會計師之義務,以辨識和溝通公司未遵循法規。審計委員會應持續瞭解此提議的規定,以及之後的影響。
財務轉型
33%受訪者指出,財務轉型是其審計委員會未來12個月的前三大優先事項。其中近半的受訪者(15%)視其為最重要的問題。有鑑於受到眾多外部力量影響(包括市場震盪、產業整合、科技加速、新監理要求),故財務轉型問題十分複雜。這些因素加上先前提到的人才問題,在監督財務轉型挑戰上屬審計委員會之角色。
除此之外,生成式AI的快速興起,引發了這樣重要問題—何時、如何投資足以影響財務組織和轉型速度的科技。有66%受訪者指出,審計委員會在過去12個月花在討論AI治理上的時間不太夠。除此之外,對AI的監理架構還在發展中,同時某些公司還在探索各種AI的使用案例—從財務規劃到財務結算與財務風險感知。
資料來源:https://corpgov.law.harvard.edu/2024/09/08/audit-committee-practices-report-2/
沒有留言:
張貼留言