“Audit committee oversight responsibilities”是在Deloitte網站刊載的文章,對審計委員會之功能有相當全面的陳述,部分內容還提供應考慮的問題,十分豐富。其主要項目包括財務報導、財務報導的內部控制、關係人交易、代理投票揭露、費用揭露、風險、企業風險管理、舞弊風險、網路風險、人工智慧、併購、永續性、審計(獨立會計師)、監督內部稽核、道德與遵循、熱線等。由於篇幅頗長,故挑選部分內容,再分為三次介紹。本部分為第一次,含財務報導、財務報導的內部控制、風險、企業風險管理。
財務報導
審計委員會、管理階層(包括內部稽核)與獨立會計師,每個在財報上都要有明確的角色。管理階層負責的是準備財報、建立維持適當的財務報導內部控制(internal control over financial reporting,ICFR),按證交法報告的揭露事項來揭露控制與程序(disclosure controls and procedures,DCPs),還有評估ICFR的有效性。獨立會計師要負責就下述事宜表達意見:財報的所有重大面向是否有依美國公認會計原則(GAAP)公允地表達財務狀況、營運成果、現金流,以及適時評估ICFR的有效性。內部稽核在公司要為提供客觀確信發揮作用,同時也作為管理階層的顧問。
審計委員會應該要瞭解風險領域,以及相關的內部控制。焦點可聚於少數重要領域,以維持監督的警覺性:
*複雜的會計和報導領域,以及管理階層如何處理
*重大會計政策、判斷、管理估計,以及其對財報的影響
*任何先前就存在的內部控制問題,以及如何解決
*公司反舞弊、反貪腐遵循計畫的設計和組成,確保這些計畫具備足夠的監督、自主性以及資源
*公司管理稅務風險、稅務爭議以及有效稅率波動的策略,並考慮與稅務定位有關的潛在聲譽風險
*公司所採取的不確定稅務定位,以及其對財報的潛在影響
*尚未執行的財報和監理發展,瞭解它們會如何影響到公司
財務報導的內部控制(ICFR)
ICFR是要合理確信—治理財報的政策、流程與程序協助產出可靠糗有效的報導,並遵守相關報導義務。雖然管理階層要負責設計、實行、營運與維持ICFR,但是審計委員會要負責監督內部控制系統,並確認管理階層有適當、運作良好的控制系統。作為此監督責任的一部份,審計委員會在促進實現可靠和及時報導文化上,扮演關鍵角色。
審計委員會應該定期與管理階層、內部稽核以及獨立會計師互動,以便針對內部控制運作及時收到正確資訊。這些報告應該處理有效控制之設計與運作、持續監控相關活動、所有控制中的失敗與弱點、瞭解關於失敗或弱點相關的根本原因,並採取行動改正。審計委員會也應該瞭解外部服務供應商的角色,比如和公司ICFR有關的外包人力仲介、資料中心。
ICFR上要考慮的問題:
1.委員會對於管理階層、獨立會計師與內部稽核指出的關鍵風險和相關控制,瞭解有多少?
2.公司仰賴第三方服務供應商到什麼程度,以及如何管理這些關係和資料流的控制與流程?
3.控制的設計與監控有任何改變嗎?管理階層如何確保控制會適當地調整?
4.若在企業營運模型有所轉變(比如改為遠端工作)時,內部控制應如何考慮?
5.公司配置多少資源而能夠充分內部控制活動?公司有接觸專家以評估複雜或仰賴IT流程的控制嗎?
6.管理階層對缺失部分是否已定義及實施補救計畫?若這些補救計畫需要橫跨一段時間,則有暫時性的補償措施可減緩風險嗎?管理階層如何負責及時補救?
風險
某些狀況下,董事會或許會將廣泛的風險監督責任授權審計委員會。審計委員會的主要風險監督責任,集中在公司財務風險、企業風險管理(ERM)及道德與遵循的風險。
許多公司的審計委員會風險監督角色,已演進到含一些額外的責任,比如網路、併購以及永續議題等等。
關於財務風險,審計委員會應該要瞭解公司主要財務暴險,以及管理階層如何監控和控制此類風險。委員會也可要求企業領導人定期提供其對各自業務的概述、聚焦於財務風險和其他可能影響財報的因素。
ERM
常見的是管理階層會維持一份全企業的風險清單,其中會定義監督相關事項的特定委員會,以及管理階層內誰來負責風險。在很多狀況裡,整個董事會會直接負責定期討論公司大多數策略風險,包括會顛覆或高度影響公司營運策略的風險。雖然審計委員會要審視管理階層針對風險評估及管理制定的指導方針、流程與政策管理,如此安排或許適當,但董事會應該注意,不要讓審計委員會在風險監督上負擔過重責任。
ERM上要考慮的問題:
1.針對監督ERM計畫和相關流程之主要責任,董事會與其委員會的共識到什麼程度?
2.由董事或與個別委員會監督關鍵風險的監督責任有多麼清楚?職權劃分多久會再評估一次?指派給管理階層的關鍵風險責任清楚度如何,以及每項風險在管理階層成員中都有對應的負責人嗎?
3.如有必要,審計委員會議程上多久會出現ERM事項一次,以及會提供什麼資訊支持這件事?審計委員會會確認有考量到新風險,以及董事會的監督責任有明確定義嗎?
4.如何確認ERM計畫裡的內部稽核計畫和關鍵風險之間的一致性?
5.管理階層與內部稽核如何確保在新的、演變中的風險領域中領先,比如技術、網路和永續?
6.管理階層如何考量可能對公司產生重大不利影響的嚴重風險?
7.企業外的風險如何評估,包括第三方風險?
沒有留言:
張貼留言