【优胜行动派️学习日记】
[打卡宝宝]:王燕
[打卡日期]:2019/7/10
[学习内容]:内控笔记
[学习笔记]:
第九章 内控循环
1.内控的角度
曾经有位上司,也是一位对笔者影响甚深的良师益友,对笔者说:“你们得学会站在我的位置上思考问题。”当时听到这句话有点一头雾水,但是现在想来,这应该就是内控从业人员该有的角度与高度。
董事会、管理层总是掌握着公司所有资源的支配权,同时也承担着经营管理公司的责任。内控人员得学会适时从第二层次跳到第一层次去,从公司治理的角度思考内部控制的格局,理解管理层的关注点,理顺公司治理与内部控制的关系,降低这部分的组织内耗,提升公司管理的效率与效果。
最重要的一条是理解和把握“控”字。控不是束缚。我们太容易把“控”做成捆手绑脚束缚大家的种种禁令,简单粗暴地要大家遵守条条框框。其实,“控”重在监控过程,以期发现更优化的执行方案、业务流程等。
何谓创新?创新是指以现有的思维模式提出有别于常规或常人思路的见解,利用现有的知识和物质,在特定的环境中,本着理想化需要或为满足社会需求,而改进或创造原来不存在或不完善的事物、方法、元素、路径、环境,并能获得一定有益效果的行为。
创新,就意味着要突破现有的条条框框,不能墨守成规。内控要顺应创新创业的大势,不能管得太死,应时刻保有弹性。内控守原则而不囿于原则,更不是为了原则而原则。我们要用动态的、发展的眼光去看待内控,看待公司治理。我们要打造的是鲜活的、有生命力的组织。
综上所述,内控人员既要站在公司治理的高度,了解董事会、管理层的关注点,还要准确把握“控”的度,既要坚持原则又要不失灵活性。
2.内控循环
(1)风险评估
是指企业及时识别并系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。企业为了达成自己的经营目标,需要辨识、分析和管理相关的风险,以了解自己所面临的风险,并适时适度地加以处理。
风险评估告诉内部控制要控制些什么。譬如抗洪时保大坝,肯定是哪里决堤了堵哪里。风险评估就是要找出哪里已经决堤了,哪里即将要决堤。
在倡导全面风险管理的现在,很多企业都在逐步建立自己的风险模型。企业要在查找各业务单元、各项重要经营活动及其重要业务流程所涉及风险的基础上,列明风险清单,其可以从环境风险、流程风险(营运风险、财务风险、授权风险、信息处理与技术风险、廉正风险等)、决策信息风险(营运风险、财务、战略等)等角度着手。
对所列出的风险清单,要按照相应的标准进行量化。标准可能是客观的,比如财务杠杆系数、资产负债率等。标准也可能是相对主观的,比如战略风险中的政策风险就是见仁见智的。若标准是主观的,也可以选取适当人员对照程度序列进行打分,获得风险的量化值。
首先要找到评估的风险点。风险管理的目标是组织的战略目标。按战略地图的观点,将战略目标分解到财务、客户、内部运营以及学习与成长四个层面,从而构建战略目标的因果关系。这四个层面的目标再由相应的业务模块与操作流程来支撑。风险评估可以就这四个层面的业务操作来展开。
(2)制度流程设计
在笔者看来,管理制度可以用于明确管理原则、规则和法则,偏重稳定性,强调部门的承诺;而业务流程则是在管理制度的框架下明确具体操作流程、步骤和文档资料,偏重操作性,强调部门的自我管理。制度的层次更高,用于在企业组织内部划黄色框线。相对而言,流程的层次略低,用于明确在部门内怎么执行而保证不会出黄色框线之外。
制度和流程也是不可分割的。于企业的经营活动而言,制度和流程只是部门职能和管理原则以及业务活动的操作次序和价值联系在不同角度上进行的观察、界定与管理。
业务在哪儿,风险就在哪儿,内控就应该在哪儿。我们再以财务收款环节为例,看一下制度流程的设计。
风险之一—收到假钞的风险。发现假钞是控制点之一,相关人员就可以通过提供技术支持规避此类风险,如安装验钞机并及时升级;然后是人员控制点,可以实行责任制,收款人员对钞票的真假负责,若是未能发现假钞或主动混入假钞,则是该人员的责任,必须自己赔偿。
综上,制度和流程的设计也没那么难以理解或高不可攀,它是想要把一摊事管好的人都应该有的正常思考过程与结果。他们把这些内容以文字或流程图的方式展示出来,就成了制度和流程,就完成了内控管理的设计部分。
(3)内控自评
内部控制不只是内控内审人员的事,不只是高级管理层才关心的问题,而是组织内部所有成员的事。通过内控自评让员工了解哪里存在缺陷,这样的缺陷可能会导致什么样的不良后果,可以采取什么样的措施来防范,实际是怎么执行的,执行的有效性如何,并对风险进行评估。
利用内控自评这一工具可以引导员工去梳理业务操作中的风险点,并自主采取行动改善目前的操作状况。其目的不在于揪问题、抓小辫子,而在于引导员工从内部控制的角度去看业务流程的设计与执行,定期督促员工做系统回顾。
表9-1是一份IT部门的内控自评表示例。通常由内控部门编制,也可以由内控部门牵头、各职能部门配合,组成内控自评小组来完成表单的编制。
通过组织填写这样的内控自我检查表,自评部门可以清楚地了解在实现其所要的控制目标过程中可能产生哪些风险,针对这样的风险应该设置哪些控制点,对这样的控制点,自评部门需要做哪些设计,实际执行情况如何。最后,综合这些情况进行风险等级评估,确定风险的高中低等级。
前后两个部分的工作需要相关人员花费较多的心思,前面是表单的设计,要结合一般的业务循环控制点来展开,同时考虑组织自身的特点,设定控制目标,找出控制风险,罗列关键控制点。
(4)内控审计
内控审计,顾名思义,就是针对企业的内控情况所进行的审计活动,对特定基准日企业内部控制设计与运行的有效性进行评价。其是通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效做出鉴定的一种现代审计方法。内控审计是内部控制的再控制,是企业改善经营管理、提高经济效益的自我需要。
内部控制审计与财务报表审计是不同的,主要表现在以下两个方面。
第一,财务报表审计直接评价财务报表,或者说直接评价资产、资金本身的安全状态,其目标对象是资产、资金本身,而内部控制审计直接评价内部控制能否保障资产、资金的安全,其目标对象是内部控制,资产、资金只是作为中间的观察对象而已。
第二,财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”,一般不评价资产、资金的“动的安全”,即不评价资产、资金在流转中的增值性;而由于内部控制既要保障资产、资金“静的安全”,又要保障其“动的安全”,所以内部控制审计既检查资产、资金的“静的安全”,又检查资产、资金的“动的安全”。
内控审计的一般操作步骤有五步。
第一步,了解企业的内部控制情况,并做出相应的记录。这是内控审计的第一步,其主要目的是通过一定手段,了解被审计单位已经建立的内部控制制度及执行情况,并做出记录、描述。
第二步,初步评价内部控制的健全性。确认内部控制风险,确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解,对被审计单位内部控制有初步认识的基础上,应对内部控制风险和内部控制的可依赖程度做出初步评价。
第三步,实施符合性测试程序,证实有关内部控制的设计和执行效果。通过对内部控制进行初步评价,基本掌握被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。
第四步,评价内部控制的强弱,评价控制风险,确定在内部控制薄弱的领域扩展审计程序,制定实质性审计方案。第五步,撰写内控审计报告,提供审计建议。
(5)制度流程修订
针对自评结果和审计所提出的建议,内控相关方要充分调查、仔细研究、缜密思考,在现有的制度流程的基础上,新增必要的控制,减少过时的、不必要的控制,或在现有的制度流程上进行调整与修改。
[坚持习惯]:
读书+10000步+破所知障+精减+早起
[今日感悟]:
