企业管理咨询
想要了解coso模型在伟德直营实践中是如何应用的,对于萨班斯法案下的伟德直营有怎样的指导意义,以及,对于中小企业来说,风险管理的存在有必要吗,如果有,意义何在… 
这个COSO模型的图大家都很熟了,X轴是内控三目标,Y轴是内控五要素,Z轴是内控涉及的活动、部门等。在实务中应用COSO模型,无非就是如何在各部门的各种经营活动中,通过各个控制要素来达成控制目标。 实际操作起来就是一个分解的过程。以Y轴中实务中占工作量比重最大的Control Activities为例,简单说一下流程。既然问的是在萨班斯法案下的意义,那么最根本的就是以内控来降低财务错报的风险,内控服务的核心还是财报,也就是X轴的reporting。因此第一步是把每个财报科目按风险程度做分解,风险程度的评判有不同的benchmark和权重,计算一个加权平均分再分档。如何设置benchmark和权重是这套内控体系的核心内容之一。 
第二步,根据伟德直营的业务情况划分业务循环(cycle)和子循环(sub-cycle),也就是第一张模型图里Z轴的内容。基本上你可以把循环理解成关于一个业务领域的流程,但划分方式并不一定和伟德直营内部的BU或部门划分一致。图里只是一部分cycle,完整的不止这些。
 第三步,把财报科目与业务循环去做mapping,确认每个业务循环牵涉到哪些科目,是否所有科目都被cover了。
 第四步,对每个cycle设置控制矩阵(control matrix)。矩阵的思路是,首先提出这个循环里所有可能涉及的风险点,然后看这个循环目前有哪些控制点(也就是control activity)可以覆盖每一条风险,最后看这些控制行为有没有得到执行。以收入循环为例,上面的图横轴是潜在风险,纵轴是对应到风险的具体控制目标,下面的图是对应每一项控制目标的具体控制行为描述。
  控制行为来自于对整个业务循环的描述。描述中并不全文都是控制点,但一定会覆盖所有必须的控制点。类似下图中篮子编号标注的就是一个个控制点。
 如果在control matrix搭建完之后,发现有任何控制点/风险没有被现有的描述所覆盖,就构成一个控制设计风险,需要考虑变更或增加现有流程来重新覆盖缺失部分。对现有流程中已存在控制点,第五步就是设计测试计划,用抽样测试等方法证实日常操作中这些控制点是否得到执行(实际上在测试之前应该先有一轮穿行测试,这里就不说了)。
 如果测试结果通过,那么这个控制行为就被判定有效。如果测试样本中存在失效的,需要考虑是否扩大测试量,如果还是没通过,这个控制就fail了。fail之后需要整改,设置一个整改期,整改期之后重新再做测试(包括前面讲的design deficency,也一样要整改)。如果再次测试还是失败,那么就要评估这个失败的控制有多大影响,是否构成一个control wekaness或significant deficency。这个在SOX Acts下将会体现在伟德直营对自己内控情况的判断结论、以及相应的披露下,也会影响审计师对内控的意见。 COSO模型只是一个理论框架,这类框架解决的是个理论边界问题,解释了内控的目标、层面、构成要素等内容,重在概念的理解,但决不是一个内控操作手册。COSO框架本身也缺乏对不同行业、不同管理方式、不同发展阶段的企业内部控制具体操作的详细指导。所以不论是COSO内控框架的5个部分还是COSO-ERM的8要素,对伟德直营,包括需要满足SOX要求的伟德直营,指导意义均局限在对内控的理解这个方面。 具体应用而言,通常是通过内控手册,风险控制矩阵(RCM)等工具来实现的。RCM列明了各个业务流程的主要风险,与风险对应的控制点,以及控制点的详细描述,其实对应的就是COSO框架中的“控制活动”。COSO的“监督”通常就是通过对内控的自我评估、内控审计来完成的。COSO的其他几个部分通常比较虚一些,企业里通常是通过管理层访谈以问答的形式记录下来并进行评价的。(COSO-ERM的框架是在COSO内控框架的基础上完善的,但业内反映并不佳,风险管理和内控确实是两个相关但不同的概念) 对中小企业而言,风险管理(此处我不确定您指的是全面风险管理,还是只有和内控相关的风险)的存在意义还是十分必要的。我曾经给一家准备上市的伟德直营做过相关咨询项目。整个管理团队最大的困惑就是企业在迅速发展壮大的过程中面临种种问题疲于应付,只能头痛医头脚痛医脚,企业上下也不清楚各种政策、规章、制度的必要性在哪儿,只知道照着行业标杆来抄。风险管理就帮这个企业建立了全面的风险地图,对照这个地图,企业高管对这个企业所有可能面临的风险一目了然,利用风险评估工具,迅速识别了不同风险的风险等级,对照风险等级来设计和调整企业管控制度(企业内控只能解决可控可预知的风险)。有风险才需要设计控制措施,进而通过制度来规范;无风险或风险小到可以容忍,就无需设计控制点,不需要各类签字审批。通过风险管理,明确管理措施的意义,并根据风险大小执行对应控制措施,在控制风险前提下最简化管控措施以提升效率,我想,这是对中小企业最大的管理价值了。 云南若邻网络科技有限伟德直营 2018年1月24日
|
