“Audit committee oversight responsibilities”是在Deloitte網站刊載的文章,對審計委員會之功能有相當全面的陳述,部分內容還提供應考慮的問題,十分豐富。其主要項目包括財務報導、財務報導的內部控制、關係人交易、代理投票揭露、費用揭露、風險、企業風險管理、舞弊風險、網路風險、人工智慧、併購、永續性、審計(獨立會計師)、監督內部稽核、道德與遵循、熱線等。由於篇幅頗長,故挑選部分內容,再分為三次介紹。本部分為第三次,含審計、監督內部稽核、熱線。
審計
監督獨立會計師及公司內部稽核,都是審計委員會最重要的監督責任。審計委員會要負責監督審計的績效與品質,還有會計師的獨立性。
*監督獨立會計師
上市公司審計委員會直接負責獨立會計師的任命、薪酬與監督,包括解決與管理階層之間的歧見。審計委員會、管理階層、獨立會計師,還有內部稽核,都應該在彼此尊重與合作的精神下攜手。
審計委員會被要求與獨立會計師維持關係,關注其資格、績效、獨立性與薪酬。對於溝通的性質和方法,以及見解交流,都應該有明確的期待。與獨立會計師舉行年度會議,還有在審計委員會之外定期對話,都可促進有效互動。
審計委員會與獨立會計師至少要每季見面一次,徹底討論廣泛問題,包括公司財報、內部控制、以及從計畫到報告提出的審計工作。
審計委員會應該積極與主要會計合夥人議合,並在必要時定期與專家就各式領域討論,包括稅務、資訊科技等。這些討論也應該包含教育性主題,並分享審計以外的洞見。審計委員會可提供獨立會計師正式的評估核定期回饋意見。
*評估獨立會計師
審計委員會職責是任命、提供報酬以及監督獨立會計師,亦即期待審計委員會評估會計師。在審視報告及獨立會計師一整年的工作之後,審計委員會被期待要評估會計師的資格、績效與獨立性。此評估被期待包含審視和評估獨立會計師主要合夥人,並且考慮管理階層與公司內部稽核或其他負責內部稽核功能者的意見。
獨立會計師上要考慮的問題:
1.獨立會計師有充分的知識和經驗,以處理公司交易的風險與類型嗎,在合適的狀況下是否聘請了會計師的專家?
2.獨立會計師會以明確、簡潔與及時的方式向委員會溝通嗎?溝通會聚焦與優先重視正確領域嗎?
3.委員會會以持續對話的方式(不管是正式或非正式)與獨立會計師議合,並討論被要求溝通以外的主題嗎?這些對話是否包括對管理階層的看法、從最高層定調、業務趨勢以及財報核標準制定的監理環境?
4.在公司需求持演變下,獨立會計師是否也會透過派任適當人才搭配變化,藉此服務公司?
5.獨立會計師如何評估管理階層重大估計之合理性?會計師如何挑戰這些估計?
6.在報導期內,會計師花最多時間與管理階層討論的前三大領域是什麼?委員會對管理階層的合作態度、在這些領域提供的資訊和文件,還有管理階層產出資訊的能力,滿意程度為何?
7.獨立會計師會使用技術(比如自動化、資料分析和機器學習)改進審計效能與效率嗎?
8.獨立會計師會提供審計領域之外的價值與見解,給管理階層與委員會嗎?
9.委員會會在管理階層不在場的狀況下,與獨立會計師單獨見面嗎?還是有管理階層在場、有內部稽核在場?
監督內部稽核
內部稽核部門之期待,隨時間有大幅的改變,即內部稽核常會被要求提供諮詢性的觀點。雖然各公司對內部稽核部門的期待都不太一樣,但或許包括:
*客觀評估—關於達成公司策略目標之風險,是否有適當地評估及管理
*監控與報導公司控制之健全度,此控制包括對財務、營運、監理、聲譽、技術與治理的風險,以及提供與這些領域有關的內部/遵循控制之指引
*評估營運或計畫之結果是否與現有目標一致,並可作為流程與控制正面改變的催化劑
*就控制與風險管理領域提供見解,以協助審計委員會評估計畫和程序之有效性
*與獨立會計師協調活動並分享觀點
內部稽核與審計委員會之間應該有直接接觸的管道,內部稽核主管(chief audit executive,CAE)最好能直接向審計委員會報告,行政上向高階管理層報告。在此報告結構上,內部稽核在結構上可獨立於管理階層之外,以強化獨立性與客觀性。這也會鼓勵自由地討論問題、促進審計委員會對CAE和該部門績效直接回饋意見。為了支持這個關係,審計委員會要考慮下述事宜:
*確認內部稽核有適當的獨立性與地位,並獲整個公司高階管理層的認可。
*支持CAE,並當CAE報告潛在管理階層缺失時提供指引與協助。此部門的整體職權、角色、責任、範圍、報導關係,以及品質計畫,都應該在內部稽核規範內予以定義和記載,並且由審計委員會核准。
*以定期、直接和開放的溝通,與CAE維持堅實的關係
*透過設定高度期待(比如績效目標)來挑戰CAE和內部稽核部門,並明確溝通這些期待、要求該部門負責達成。與CAE之間舉辦定期的執行會議是常見的實務。
*參與內部策略和目標之討論,並評估該部門與CAE的績效
這些責任不應該只授權給執行長或財務長。
對審計委員會重要的是:評估內部稽核優先事項,比如監控重要控制以及發展聚焦於ERM計畫內已確定風險的稽核計畫,是否均與審計委員會的事宜一致。
審計委員會應提供意見,並審視內部稽核策略是否符合公司策略目標。審計委員會應至少每年一次去理解與核准稽核計畫、判斷CAE具備充分的預算和相關資源(人力與技術)而能執行相關任務。作為此審視的一部份,委員會應該要評估整個企業的ERM計畫、兩計畫之間的協調和合作程度,以及風險與內部稽核計畫的一致性。審計委員會也應該評估內部稽核計畫與原計畫之間的進展與結果、如何因應風險變動而調整、計畫從新技術獲得效益的程度,以及確信和諮詢之組合。
審計委員會應該對CAE進行年度評估,並瞭解內部稽核人員、資金、繼任計畫以及資源充足度。在判斷資源充足度上,審計委員會通常會考慮其結構(比如該團隊是要設在公司內部、外包出去,還是兩者都有),以及CAE與員工是否有收到充分的薪酬。委員會可考慮針對相關指標,對公司內部稽核部門作同業基準比較。
監督內部稽核上要考慮的問題:
1.內部稽核計畫如何與公司主要風險、其他確信活動一致?內部稽核風險評估流程與公司ERM活動之間的連結程度為何?
2.內部稽核在當前處理新風險、達成審計委員會需求上的彈性與活力如何?內部稽核團隊在達成公司目前需求的經驗和能力組合如何—比如在像技術與新風險方面的領域?
3.內部稽核部門使用數位技術的效能如何,比如資料分析和生成式AI,以改進審計品質、見解與對利害關係人的價值?
4.內部稽核多久執行同儕審視或自評一次,並向審計委員會報告結果?針對已確定的缺失與改善機會,其行動計畫與時間表是否已做過溝通並核准?
6.對於適當執行其責任,內部稽核部門具備及展現客觀性與獨立性水準到什麼程度?公司的內部稽核報告結構如何支持獨立性,並讓內部稽核可有效運作?
7.內部稽核向管理階層報告問題、處理這些問題的及時性如何?內部稽核如何辨識和報告這些問題,並向審計委員會強調?其可採取行動的程度如何,以及追蹤和報告的補救的進展如何?
熱線
管理階層與審計委員會應建立一個徹底、獨立且客觀的流程,以調查關於道德與遵循的檢舉。美國SEC規定、NYSE與Nasdaq上市標準要求上市公司審計委員會要建立的程序有:
*收取、保存與處理關於會計、內部控制或審計問題方面的檢舉(內外部希望匿名的消息來源),還有報告廣泛的遵循問題,包括違反行為守則、管理階層舞弊與貪污的指控。
*員工保密、匿名地對可疑的會計與審計問題提出質疑。
審計委員會應與管理階層確認:在管理階層有適當的成員瞭解—公司內部與第三方(包括供應商)透過各種管道所取得的問題與檢舉。調查問題或疑慮,以及向審計委員會回報的責任,通常落在道德與遵循、內部稽核、法務或風險管理部門。
審計委員會也應該建立這樣的期待—向委員會檢舉者的類型,以及如何向檢舉者溝通。某些檢舉者可能需要立即性溝通之保證,比如涉及高階經理人、有重大聲譽問題,或者金額龐大的案子。除了這些立即性報告的狀況,審計委員會應以收取定期的檢舉摘要,其包括根本原因分析、解決方案,以及強化內部控制和避免未來發生類似違紀事件所採取的步驟。報告可包括趨勢,比如任何特定主題、部門或個人在報告裡的增加。審計委員會也應該決定,哪些檢舉案要到董事會討論。
熱線上要考慮的問題:
1.委員會瞭解熱線是如何評估、測試與查核的嗎?熱線流程與控制如何確認透過一致、保密、正確與及時方式收取、紀錄和管理?
2.熱線與吹哨流程會由獨立第三方專家或顧問評估與基準比較嗎?
3.審計委員會是否會直接(或透過內部稽核部門),匿名地向吹哨系統報告—高階管理層的財報舞弊或其他不當事宜,以檢測在管理階層不介入下、可直接向審計委員會溝通的管道?
4.對於透過吹哨系統或其他管道檢舉、涉嫌的舞弊或其他違反公司政策的行為,其程度是否顯示了高階管理層的基調需要強化?
5.對員工有定期的全公司訓練與溝通,使其瞭解行為守則、熱線和吹哨人功能嗎?
沒有留言:
張貼留言