2011年国际内审师CIA内部审计在治理、风险和控制中的作用_基础班最新讲义免费下载D1-D4

D1　道德规范/合规情况... 2

D2　风险管理... 5

D3　隐私... 9

D4　信息或物理安全... 11

D1　道德规范/合规情况

1.1　对道德规范／合规情况的投诉进行调查并提出解决办法

正如要对公司的治理流程负责一样，管理层同样也要负责调查可能违反道德、规范或者商业行为惯例的情况，并负责声明如何处理错误行为，包括行政手段。许多公司的道德规范管理都由一个首席道德官来负责。首席道德官是管理层的代表，负责组织开展违规调查。当发现违规行为时，无论违规者是何种职务，都应对其开展调查。

内部审计活动应当制定适当的书面政策和流程，对道德规范／合规情况的投诉进行调查，并提出解决办法。这些政策和流程还应当为内部员工和相关外部人士或机构提供报告和投诉的途径，从而及时发现和解决道德规范／合规情况方面的问题。

《萨班斯一奥克斯利法案》第806条“对提供舞弊证据的上市公司员工的保护”规定，上市公司及其负责人、员工、承包商、转包商或此类公司的代理机构，均不能因其员工在有理由相信该上市公司存在违反《1934年证券交易法》第1341、1343、1344或1348条的规定及其他法律规定时，向对该上市公司有监督权力的个人（或是服务于该上市公司的行使调查、发现或终止不当行为的其他人员，比如内部审计师）提供信息、导致信息被提供或者协助司法调查，而解雇、降职、停职、威胁、骚扰或以其他方式歧视该员工。

1.2　确定违反道德规范的处理

对违反道德规范行为的处理应采取一视同仁的态度。没有人能够免于受罚。也就是说如果一个高级经理和一个信件收发员犯了相同的违法行为，二者受到的惩罚应该是一致的。

对于违反道德行为的处理有赖于对行为本身的具体特征和严重性进行分析后作出。通常可能的处理措施包括：

■ 循序渐进的惩戒程序，包括初犯时仅口头质询、暂缓处罚待到再犯时一并进行处罚，或初犯情节严重时直接进行处罚；

■ 出现任何违规情况时直接向恰当的监管机构报告；

■ 当出现诸如盗窃或职场暴力的违法情况时直接向法律部门报告。

所有的违规行为都应当恰当地记录在案并按要求留存。当然，采取相关处理程序的目标最终是为了鼓励所有的员工按照道德规范的要求行事。

内部审计活动根据书面政策和流程，对道德规范／合规情况的投诉提出解决办法之后，应当监督管理层落实有关决定。否则，根据《萨班斯一奥克斯利法案》的有关规定，一旦内部员工或外部人士向有关监管机构申请强制执行，其后果都是非常严重的。而且，内部审计活动及其从业人员的职业生涯也会受到损害。

《萨班斯一奥克斯利法案》对上市公司的治理和内部控制提出了更高的要求，其中：

■ 第304条“某些奖金和利润的剥夺”规定，如果由于存在不符合证券法律的财务报告要求的不当行为，而导致上市公司的重大不合规，上市公司被要求进行会计更正，上市公司的首席执行官和首席财务官应归还上市公司在首次公开发布或向SEC申报（二者当中先发生的事件）体现该财务报告要求的财务文件之前的12个月之内，自上市公司收到的奖金或其他鼓励性的权益类报酬，以及12个月内出售该上市公司的证券所实现的利润；

■ 第306条“养老基金管制期间的内部人交易”规定，禁止任何上市公司的董事或执行官员在证券管制期间买卖、取得或转移因其董事或执行官员的身份而获得的这些权益证券。凡是违反本规定，从购买、出售或其他取得或转让中实现的利润应当归还给该上市公司，而不管该董事或执行官员参与交易时的动机。

注：养老基金管制期间指上市公司管理的所有个人账户计划中不低于50%的参与者或受益人购买、出售或取得或转让其持有的个人账户计划中的该上市公司的权益的能力被该上市公司或该计划的受托人暂停超过连续3个交易日。

1.3　培养健康的道德氛围

一个组织的治理实践反映了其特殊并不断变化的文化，它影响着该组织的价值、作用和行为。全面治理流程在实现其预期职能时的有效性很大程度上取决于该组织的文化。与某组织相关的全体人员对于其道德文化的状态都分担一部分责任。由于大多数组织的决策过程的复杂性和分散性，应当鼓励每个人都成为本组织的道德规范的拥护者。道德规范和愿景公告是有关本组织的价值和目标、对于其成员的行为预期、维持与其法律、道德和社会责任相一致的战略等事项的重要声明。越来越多的组织已经任命了首席道德官，作为负责人、经理和其他人士的顾问，并且作为“做正确事情”的优胜者。

组织促进健康道德氛围的最佳实务包括：

■ 设定一个关于诚实忠诚的“最高基调”（完美行为规范），以鼓励每一位经理、主管和员工都能够尊重组织的价值观；

■ 制定书面的道德规范以确保该制度能够反映当前组织的经营环境；

■ 通过多种交流渠道发布道德信息（如邮件、传真、公告牌、公司会议以及口口相传等）；

■ 实施员工道德访谈；

■ 设计并实施员工及股东道德态度调查；

■ 设计和实施道德培训；

■ 鼓励开放式的交流；

■ 推动员工积极参与其中；

■ 价值观多元化与学术公平；

■ 设立举报者热线；

■ 促进合规支持文化。

在当今高度竞争的全球化氛围中，组织需要一种方法去激励员工的创造性和认同性。价值观、道德、行为规范都成为加强组织凝聚力的有效手段。需要注意的是，上述的重要的组织环境要素要保证能够被所有员工清晰的沟通、理解和接受。毕竟，成功地组织靠的不光是公司大楼、经营战略和管理底线，成功的组织更依靠的是以人为本的管理方式。

内部审计师和内部审计活动应当积极地支持本组织的道德文化建设。他们在组织内部拥有较高水平的信任和完整性，以及有效地拥护道德行为的技能。他们有能力和能量诉请本组织的领导者、经理和其他员工遵守本组织的法律、道德和社会责任。