《索耶内部审计》读书笔记--内部审计的性质
内部控制
对于内部审计人员来说,内部控制绝对不是一个陌生的名词,而是审计与被审计单位沟通的一柄利器;而内部控制失败,则是为管理层的管理失败、失职等找到了一个合理的宣泄口。
我们能够从网上找到很多企业案例来说明内控失败带来的严重后果,得出来公司要加强内部控制建设,组建内控部门、花大价钱请咨询公司、事务所等建立公司内控体系。有成功也有失败!内控成了一个魔咒,成也内控,败也内控!
带着问题去学习,有选择的接受书中的理论,个人认为是一种比较正确的学习态度,那么在学习这一章之前应该做什么样子的准备呢?对于内审领域的一个普通从业者来说从理论上超越作者是一件很困难的事情,但是依照下面的指引或“问题”去认识“内部控制”,先思考这些问题及你认为的答案,再去读书,效果会好上许多。
一、 内控落地时会以什么形态与业务融合?
书中告诉读者实现内部控制的以下几种方法:
组织、政策、程序、人事、会计、预算、报告
每一种方法我们都不陌生,每一位管理者都在使用这些方法手段,内控对我们还陌生么?这给我的启示就是,不要认为内控体系离自己公司多远,公司管理混乱啊,没有控制环境什么的,事实上每家公司都有控制,除非公司的所有者事必亲恭。
二、 内部控制与管理、业务本身之间的关系?
当我们意识到内控就在我们身边的时候,或许已经对管理与控制的关系模糊了,甚至业务本身。什么是管理?什么又是控制?
书中的章节内容告诉我们管理四种职能:
计划、组织、指挥、控制
控制其实就是管理职能的一部分。So,可以将内部控制不完善与管理职能缺失等同。
三、 内部控制的内涵
在本章的引言里面,作者将内部控制的含义分为两层:
运营系统里控制是一种强制力,用来确定事情是否已经做完;一个是在运营之上的管理控制系统,指的是实施这一强制力的方法。确保运营系统目标得以实现的程序、规章和指令组成。
理解这两层含义比学习什么内控模型、要素、方法之类的更重要,因为这直接关系内控完善的成败。个人认为一般公司内控体系建设是通过项目的方式开展,一段时间内集中建立健全内控体系,区别是全员参与,内控委员会主导。或者是由外部咨询顾问协助建立起内控体系,先不谈新建立的内控体系是否与目前的公司运营环境相适应,建立起来的是业务控制体系?还是管理控制体系?或者两者结合在一起,理解了这一点之后,我们随着学习的不断深入继续分析内控建设。
四、 控制的概念与存在理由
早在1600年,已经有了控制的萌芽,随着时代的进步,控制的概念也不断的更新,直到最新的COSO模型17条准则。那么我们仍然要问一问?为什么企业运营需要内控?公司为什么需要花费那么大力气做内控体系建设?目的在哪里?
控制的目的比定义更重要,只有当控制是为了达到一定的目的而设计时,才是恰当和有用的。对于审计师而言,只有先了解目标,才能对控制进行恰当的评估,现代观点认为:控制是实现目标的积极工具。
Ø 整合员工和企业目标并帮助实现其目的的一种手段,邀请被控制的人一起设计,控制方法称为自我控制的工具,被用来进行自我测评,激励个人改进他们的绩效水平
Ø 良好的控制不但保护组织,也保护员工(红色高压线)
Ø 委托代理理论(管理层需要证明自己已经正确的使用了被赋予的资源)
无论设计什么样的控制体系,都不能偏离目标本身,不能为了控制而控制,颠覆目标与手段的关系。业务控制系统是为了实现业务目标而服务,管理控制体系是为了履行管理职责而存在,审计控制体系,同样也是为其目标而服务,而是不一成不变。
当控制系统变得庞大而复杂时,又缺乏弹性,控制就容易偏离目标,变成为了控制而控制,审计人员在开展审计项目中常见的一种错误就是抱着“规章制度”不放。审计需要标准、控制也需要标准,但是标准的合理性是需要进行评估的。
五、 控制要素
讲到这里,相信大家对于控制的存在已经毋庸置疑了,当我们能够反驳“管理问题不是问题”这句话的时候,接下来我们探索一下控制的几大要素:
控制的四大要素:目标、标准,现实与目标之间的比较、纠正行动。
对应的业务流程的四大要素分别为:输入、处理、输出、控制和反馈
写到这里,终于理解了控制的两层含义:业务控制和管理控制
六、 控制标准与特征
控制标准:文档;交易和事项的及时、正确记录;交易和事项的授权和执行;职责分离;监管;资源的使用和责任及其记录。
控制特征:及时、经济、责任、定位、灵活性、原因控制、适当性。
理解这些标准与特征需要认真看书,每一个都详细的讲述一遍,禅师真的做不到啊~
七、 控制过程中容易出现的问题
Ø 过度强调控制(目的与手段混淆);
Ø 控制过时,与业务模式不能有效匹配;
Ø 抵制控制,控制的执行者未能有效参与设计。