強化內部控制以改善風險管理

2024-08-14

翻譯轉載自 : Detect and Protect: Preventive and Detective Internal Controls | Deloitte US

介紹

私人公司和家族企業常常陶醉於其寬鬆的監管狀態。畢竟，較低的報告要求和缺乏外部監督使許多人相信他們可以更加靈活，並讓他們能夠專注於最高的業務優先事項。

但這種相對自由是雙向的——風險管理保障措施較少的公司可能而且經常會出現失誤。缺乏有效的內部控制可能會因未被發現的低效或盜竊而導致資源損失，而未能及時的調整或重述可能會損害管理層在貸方或外部投資者中的聲譽和信譽。許多私人公司對ERM的關注都是由此類事件引發的——如果內部控制得當，這些挫折本來是可以完全避免的。

在有關內部控制的討論中常被遺忘的是它們如何能夠促進更好的決策，對此，它們可以防止企業領導者依賴不準確或不完整的資訊。私人公司和家族企業領導者可能認為內部控制會損害敏捷性，但在許多情況下，事實恰恰相反。領導者所做的幾乎每一個重要決策都依賴資訊的品質。而內部控制讓他們對所掌握的資訊更放心，使其能夠快速且自信地採取行動。

在許多方面，良好的內部控制就像一個空中交通管制系統，可以整天讓大型飛機進出擁擠的機場和空域，幾乎沒有例外。這些系統並不是為了減緩空中交通或阻止飛機飛行，而是為了使飛行器以無縫和安全的方式運作。

私人企業和家族企業應該同樣思考內部控制。市場顛覆正在迅速發生，私人公司和家族企業領導者需要快速收集準確的資訊並採取果斷行動。這種能力，透過良好的內部控制來實現，可以區分起飛和停飛。此外，私人公司可以靈活地借鑒監管更嚴格的企業在內部控制設計和執行方面領先的實踐，而不必全部採用，這樣他們就可以採用最適合其組織和文化的做法。

那麼問題變成了：從哪裡開始？
 

從風險評估開始

在本系列的第一部分中，我們討論了風險評估在識別組織中的哪些關鍵流程可能容易出錯、為企業帶來不必要的風險。與內部控制相關的良好風險評估首先要了解什麼對公司重要以及哪些流程最重要。

從那裡開始，就需要用筆記錄當前的流程和控制，並識別流程中的低效率以及控制中的潛在漏洞。一旦識別出這些差距，風險領導者就可以估計解決這些差距可能需要的時間和精力，並制定逐步計畫。

大多數私人公司都制定了許多政策，以及旨在在處理交易時遵守這些政策的高效流程。許多公司犯的一個主要錯誤是假設精心設計的政策或流程也是一種控制。過程和控制不是同一件事。

過程和控制之間的區別至關重要，因為它們有兩個截然不同的目的。流程與交易如何處理或某人如何執行特定任務有關；控制是一種機制，旨在確保流程按照設計執行。

考慮一個向供應商付款的簡單範例。許多公司都有一項政策，規定在向供應商付款之前，數量和定價之間必須存在三向匹配：(1) 批准的採購訂單，(2) 貨物已實際收到的證明，以及 (3) 從供應商收到的發票。

在此範例中，存在多個流程來確保實體遵守三向匹配策略。有一個與採購訂單批准相關的流程。有一個與倉庫收貨相關的流程。有一個過程需要有人將發票輸入系統。並且有一個將三個項目匹配在一起並提交付款的過程。

但是，採取什麼控制措施來確保這些流程能如預期執行呢？實體如何知道在這些步驟發生之前供應商沒有收到付款？公司如何知道採購訂單、收貨和發票之間的定價和數量是否相符？公司如何知道支付給供應商的金額是否正確？

在此範例中，可以設計一種控制措施，使獨立於三向匹配流程的人員在支付之前對檢查運行的支援文件進行詳細審查，以確保三向匹配已經發生並且一切都保持一致。控制的另一個選擇可能是實體配置其ERP系統，以防止在未先匹配系統中所有必填欄位的情況下將支票寫入供應商。
 

預防性控制和檢測性控制之間的區別

風險評估後，我們的工作轉向設計和實施控制措施。在預防性和檢測性控制之間找到平衡非常重要。

根據我們的經驗，許多私人公司，尤其是規模較小的私人公司，往往更依賴檢測性控制。顧名思義，檢測控制旨在錯誤或問題發生後(但在小問題變成大問題之前)的某個時刻檢測到該錯誤或問題。然而，檢測性控制無助於防止問題的發生。想像一下，如果空中交通管制系統以這種方式運作，只會在事故發生後發出警報。

相較之下，預防性控制有助於從一開始就防止事情出錯。讓我們回到向供應商支付款項的範例。從邏輯上講，大多數公司都希望阻止未經批准、不準確或欺詐性的付款。但對於那些沒有投資於內部控制、而是希望透過分析銀行報表或每月財務報表來尋找差異來識別這些問題的公司來說，這種情況通常不會發生。確實，這些審查可能會識別出未經授權的、不準確的或欺詐性的付款，但試想他們是否可以從一開始就阻止這些支付？

無需向組織釋放大量令人眼花繚亂的文檔需求即可獲得此功能。我們發現，私人企業和家族企業不願參與ERM，是因為擔心拖慢進度。在我們就該主題舉行的 Dbriefs 網路廣播中，十分之四的私人公司與會高層表示，他們的公司要碼設計了沒有明確記錄的內部控制，要碼根本沒有設計任何內部控制。但最終，需要進行一些正式化才能讓每個人都朝著同一個方向前進，這意味著創建有據可查的明確控制措施，幫助各級人員做出更好的決策。
 

不要讓完美成為阻礙

人們常說，管理風險依賴三個核心因素：人員、流程和技術。但每個組織如何結合這些因素以獲得最大效果差異很大，而且資源限制通常意味著最佳組合難以實現。例如，當人才稀缺時，增加人員配置可能不是改善控制環境的可行解決方案。

人才和資金資源有限是私人企業和家族企業面臨的共同挑戰。在同一次 Dbriefs 網路廣播中，近一半的私人企業高層在回答民調問題時表示，有限的時間和資源是進行風險評估或實施內部控制的最大障礙。許多企業根本沒有足夠的後台會計人員來掌握開發和維護內部控制的正式系統所需的技能。

這可能會導致一種惡性循環：後台辦公室薄弱、缺乏資源來組建適當的控制系統這通常也是最容易創建報告和使用不充分的財務和營運資訊的公司。

對於這類公司來說，重要的是要了解並非每項控制都必須領先，對完美的追求可能會妨礙引入可靠、有效的控制。當組織可以部署[或引入]自動化控制而不是手動，或預防性控制而不是偵測時，有效性可能會提高。然而，即使是手動檢測也比完全沒有控制要好得多。

讓我們回顧一下付款支付範例

當然，在資源無限的理想世界中，最好在 ERP 系統內實施自動化控制，以自

執行三向匹配並啟動付款，或在存在差異時拒絕付款。如果人員、流程或技術無法實現此目標，請考慮以實施偵測控制作為起點。另請記住，當今市場上的許多工作流程自動化工具相對便宜，並且正在幫助許多私人公司和家族企業事半功倍。

簡而言之：不要陷入完美，因為內部控制很少存在完美。重要的一點是先確定風險最大的領域，然後專注於持續改善。這個過程可以從今天開始考慮一些有關內部控制當前狀態的問題：

• 哪些風險一旦成為現實，可能會對我們的業務產生最大的影響？
• 可能損害我們的會計或我們捕獲、匯總和報告數據的能力的風險在哪裡？
• 管理階層如何知道正在解決哪些風險？
• 調查差異的標準是什麼？
• 誰審查和批准交易或日記帳分錄？
• 我們在哪些方面仍依賴容易出現判斷和錯誤的手動流程？

在本系列的下一部分中，我們將深入探討 ERM 對管理日益增長的網路風險威脅的影響。

點閱次數：131