天才一秒记住【热天中文网】地址:https://www.rtzw.net
“好吧,这么说我勉强明白了。”
“控制行为有几个特征,我也给您列示一下。”
“第一,与风险评估流程直接相关。
控制行为设计得好不好,评判标准之一在于是否与企业的运营风险直接相关,换句话说就是控制行为是否可以有效地控制相关风险。
举个例子,咱们家的门,如果控制行为是加了指纹的密码锁,那么这个控制设计是否成功的评判标准在于,是否降低了被盗的风险。”
“要是住在低层,还可能从窗户爬进去呢!”
熊妈妈认真地说。
“……您说得也对,所以一个风险可能需要设计不止一个控制行为来降低和钳制。”
“第二,各个企业的控制行为应该各具特色。
这个没什么好说的,我们做咨询,现在也越来越重视客户体验和个性化。
有的企业包罗万象,涉及很多不同的行业,它不可能适用一套控制行为和风险管理体系,对吧?”
“第三,政策和制度需要正式归档。
这里面‘正式’两个字是关键词,之前我们做萨班斯法案项目的时候,项目的核心要求之一就是文档要求。
控制说得再好听,如果不能有效地落实在字面上,那么这样的控制也会大打折扣。”
“第四,流程的执行。
正式归档只是形式,切实执行才是核心所在。
当然,对于某些关键的流程和控制点,我们还会增加后期的监督环节,关注上面的控制是否得到充分和完整的执行。
举个例子,在财务报告流程中通常有这么一个控制点:出纳每月编制银行余额调节表,财务主管对其工作成果进行审核,并在打印的银行余额调节表上签字确认。
上述银行余额调节表也应该包括差异为零的银行账户。
就刚才的例子而言,要求财务主管在打印出来的银行余额调节表上签字就是将政策和制度正式归档的证据体现,而财务主管的再次确认,就是对流程执行的事后监督。”
“第五,关注重点控制行为。
企业经营者也应该知晓一个道理:控制和成本是相互矛盾的。
控制越多,成本就越高。
对于企业经营者而言,关注重大风险和关键控制点特别重要。
您知道吗,现在美国的大公司做内控合规的时候,很多都只关注关键控制点。
我记得刚毕业的时候,在‘火车驴拉’工作的那两年,可是不分巨细,所有的控制都要测试。
这么看,还是个历史的进步。”
“‘火车驴拉’这个名字好别致。”
“妈,您看您净关注没用的,刚才不是还讲了要关注重点控制行为。”
“接下来咱们还得说说什么是控制行为。
这个问题又简单又难,我就不让您回答啦。”
“您那意思我还得谢恩啊?为啥又简单又难啊?”
“简单说,相比于COSO框架的其他几个要素,控制行为具化很多,没有那么抽象。
您看风险评估,即便我讲了很多,估计您还是摸不着头脑吧?”
小熊笑着看看妈妈。
本章未完,请点击下一章继续阅读!若浏览器显示没有新章节了,请尝试点击右上角↗️或右下角↘️的菜单,退出阅读模式即可,谢谢!