内部控制的基本要素
资料来源:国际内部控制协会
在当今复杂多变的商业环境中,减少违反控制的风险是极其重要的。2008年7月15日的新加坡商业时报中一篇由Keith Stephenson和 Willy Leow撰写的文章指出,由于商业整合和普遍使用技术来产生流程效率和增加效果,使内部控制框架正在变得日益复杂。组织趋向包含多重,并且往往是层次复杂的内部控制。困惑也许就常常发生,并导致幻想的控制,或者是形式设计而不是实质实施的控制。
需要建立内部控制的一个基本原则是总体的控制环境。它包括了公司最高层领导制定的总体控制,促使对控制活动正确的态度。立足于这个观点,作者指出了以下必须适当到位的关键议题。
确立正确的高层基调
在整个组织建立起普遍存在控制措施的总体态度。高级管理层自己忽视控制程序的情况会对所有同事发出错误的信息。有些高管会授权来规避自己的不便。其他人会仅仅为了保证文本记录的顺序而倒填批准的日期。没有来自最高层强有力的信息,内部控制的执行很可能就会被简化为一种纯粹的文字作业,常常在流程中被束之高阁。
确保高级管理层的正直性是控制环境的一个主要议题和重要组成部分。我们常常会在认为所有员工都诚实的前提下运营。但是,当员工企图在系统中作弊或与同事合谋来舞弊时,其结果很可能是不易被察觉。
组织的董事会包括高级管理层的一个主要的责任就是设置和建立高层基调。
预防员工职责冲突
控制失误的发生往往归因于不合理的职责分离。一些员工参与者可能不能胜任分派的职责。在这种情况下,识别冲突的职责并产生增加的控制机制来检查这个工作是很重要的。
工作轮换
具有讽刺意味的是很多舞弊事例是由那些被形容为努力工作的和很少离岗的员工引发的。他们勤勉工作来掩盖他们的违法行为。临时接替工作的副职员工可以起到一种核查其前任所履行工作情况的替代作用。
了解控制的实质
在很多例子中,审批方在批准或者在文件上签字之前,他们没有被告知应该关注什么或接受适当的培训。更普遍的是,高管人员批准某一活动的依据是他手下员工已经证实了这项活动,而没有对整个流程实施进一步核查。
定期评估
文件上的签字并不等同内部控制。在要求高级管理人员批准某些交易事项时没,应该考虑到商务交易的复杂性。例如,如果要求董事会批准某一复杂的财务投资合同,他们应该完全了解该笔交易而不仅仅是因为他们处在组织中的高层职位。
了解复杂的信息系统
我们越来越依仗科技来提供控制措施。特别当信息技术(IT)系统扩展到多部门时是非常复杂的。其结果是,IT安全指导书和严格的访问控制是必要的(注意:在这个领域,凶兆点位分析流程的应用是非常宝贵的)
建立关键流程的政策和程序
公司必不可少地要保持针对所有主要运营业务的全面政策和程序的最新的文本记录。这经常是预想起来很容易但遗憾的是很少能完成。
一种及时更新文件的方式是识别整个公司所有主要领域风险的风险评估演练。(注意:美国内部控制协会可提供这类流程)。通过这种演练,主要的风险领域被优先考虑并予以评估。
对流程级联全面控制的原则
在零碎基础上设计的内部控制可能会导致某种拼凑的作业,因而留下前后不一致的缺陷。为了建立一个强有力的控制文化,许多组织还制定了针对员工在其职责范围内实施控制措施有效性的自我评估程序。这些评估创建了一个控制流程的结构化报告框架,并提供了组织中内部控制状况的全面评估。(注意:在这方面,上述的美国内部控制协会的组织内部控制评估工具是非常宝贵的)
总结
作者建议,由于企业在日益复杂的环境中运营,减少违反管制风险的必要性比以往任何时候都更加重要。令人惊讶的是,尽管这增加了复杂性,控制企业的基本解决方法仍在于企业回到控制基本要素的能力,并确保聘用员工的DNA(脱氧核糖核酸——遗传基因)是他们所希望的,通过培训去做正确的事情。
翻译 骆培涛