3. 有系統地追求未來適能狀態
實施和記錄政策和內部控制流程的嚴格方法對於任何企業都很重要,因為它有助於管理層系統地追蹤、審查和修改為實現任何給定結果而採取的步驟。採用面向未來的業務基準也不例外。
本章介紹什麼是正式政策和內部控制,並提供如何建立、實施和記錄它們的指導。
3.1 什麼是內部控制?
本節引用了幾個術語,其含義可能不會立即顯而易見:
政策 是用來指導或影響員工在特定情況下的行為的高級規則或一般概念。
程序 是一系列步驟,描述員工應一致地回應情況或處理任務的方式。
控制 是管理階層解決風險的手段,透過影響業務特定領域的行為以符合公司的目標。它們是製衡機制,以確保業務維持目標。 「內部」控制是指企業內部發生的這些制衡,而不是由第三方施加的。
控制、政策和程序
這些概念之間可能存在一些重疊。政策和程序可以用作公司的內部控制,但並非所有政策或程序都是控制。
例如: 一家公司希望實施控制措施以防止銷售有缺陷的產品,因此制定了一項政策,規定「任何產品未經檢查都不會出廠」。為了實現這一目標,公司實施了一個程序,由主管在包裝和運輸之前檢查每個產品的功能。
控制有效的因素會根據公司所處的行業和其他情況而有所不同,但有效控制的一些普遍適用的方面可以幫助公司實現預期結果。
以下指南應協助公司確定其現有的控制措施是否足夠,並設計和/或評估旨在引導公司行動以追求未來適能結果的政策。對於最終希望其未來適能狀態或流程由第三方保證的任何公司來說,這些資訊應該特別有幫助。
3.2 內部控制的用途是什麼?
內部控制可以幫助員工個人和部門與組織目標保持一致,使管理階層對他們用來制定策略決策的訊息充滿信心,並保持公司高效運作。
在追求未來適能狀態時尤其如此,因為要達到未來適能狀態所需的社會和環境績效水平,可能需要整個企業在相當長的時間內採取協調一致的行動。使用內部控制和製定正式政策可確保員工了解更廣泛的公司目標,並有助於明確他們的日常職責在實現這些更廣泛的目標中所扮演的角色。
3.3 控制類型
預防性控制
這些控制旨在減少發生錯誤的可能性。當與其相關的活動發生時,它們是活躍的,這意味著它們是企業日常營運的一部分。預防性控制的範例包括授權和批准流程、在報告結果資料之前檢查計算以及確保公司內部適當的職責劃分(請參閱下面的註釋)。
偵探控制
這些控制措施旨在確定相關流程是否如預期般應用。它們在相關活動發生後才處於活動狀態。檢測控制用於識別錯誤,使公司能夠進行糾正並限制錯誤的影響。檢測性控制的範例包括在輪班結束時檢查測量工具的校準,或進行隨機檢查以了解測量值與預測值的比較。
職責分離
在內部控制的背景下,職責分離是指在控制過程中指定不同的參與者對整個過程中的關鍵步驟負責,以防止錯誤並阻止詐欺。分離的步驟包括資產保管、核准權限和記錄保存責任。
例如,在計算員工是否獲得生活工資時,員工 A 可能有權存取員工薪資記錄(託管),員工 B 將負責計算公司經營區域的生活工資門檻(記錄),員工C 將審查並批准該工作以納入管理報告(授權)。
3.4 創建有效內部控制的步驟
當需要新的內部控制來支撐當前的風險環境或回應業務變化時,以下步驟可以幫助確保新的控制能有效地幫助企業實現其目標。
規劃所需的控制
確定 您想要影響的利害關係人。
- 您是否正在努力確保客戶的產品品質、防止員工發生工作場所事故、提高管理資料的準確性或最大限度地減少環境和/或當地社區的排放?
您希望為該利害關係人影響的 結果。
- 您想防止負面結果發生嗎?鼓勵正向的行為?減少所提供服務的可變性?
識別 威脅這些成果實現的任何風險。
- 例如,外在環境因素、解決類似問題的方法不一致、機器或員工缺乏精確度。
在控制創建過程中或在進行可能影響利害關係人體驗的變更時,積極吸引目標利害關係人群體的參與。
- 例如,對於員工健康政策,員工或其代表必須參與政策制定過程中的討論。
透過使用控制措施 來減輕哪些風險。
關於規劃控制的可選指南
建立並記錄應急計劃,以防止實現目標的進度因關鍵員工缺席、設備故障或第三方問題而中斷的風險。
實施計劃的控制
- 設計並實施控制措施以減輕已識別的風險。
- 分配時間和預算,以便在可能無法實現目標的情況下採取糾正措施。
- 描述並記錄每個控制的目標,並將其提供給負責實施這些控制的員工/利害關係人。
- 明確定義每個控制結果的責任範圍,包括最終對計劃的成功負責的執行團隊成員。
內部控制實施的可選指導
- 擁有足夠的資源268, 能夠成功設計、實施和操作所需的控制措施。
- 為員工提供所需的資訊和/或培訓,以便他們能夠根據自己的行為對更廣泛的組織產生影響來看待自己的行為。
- 在核心專案團隊之外傳達目標,以便公司其他相關團隊了解這些目標,從而最大限度地減少內部阻力和重複工作。
3.5 映射流程與內部控制指南
繪製組織流程
對於用於衡量未來適合度指標或其結果由這些指標衡量的業務流程,記錄流程中涉及的步驟可能是一個有用的練習。寫出從開始到最終結果的行動可以透過創建圖表以敘述形式完成,或者理想情況下以兩者的結合形式完成。一旦流程中的所有步驟都被規劃出來,就應該識別並強調使流程保持在正軌並防止錯誤發生的內部控制。以這種方式正式記錄內部控制可以讓管理者評估當前方法是否是解決相關風險的最佳方法,並有助於識別控制結構中的任何差距或冗餘。
清晰地記錄公司的流程還可以讓任何不熟悉公司的人更容易快速了解每個步驟涉及哪些部門、系統和工作職能,識別可能出問題的領域,並了解哪些內部控制存在問題。或在問題發生時快速偵測到問題。這對於新員工了解公司的運作方式以及他們的適應位置特別有幫助,也將有助於使保證業務更有效率和有效。269
建立流程圖
描述業務流程的一個有用方法是建立流程圖,顯示所涉及的活動的順序以及決策點發生的情況。要建立流程圖,通常最簡單的方法是從流程的最終結果開始,然後回到起點。確定執行的任何活動、採取的測量、涉及的人員以及一路上的輸入,直到您採取第一個行動來啟動流程。這些圖表應包含在每個階段積極參與或主要負責的個人和部門,以及在此過程中提供輸入、接收產品、儲存文件或以其他方式受到影響的個人和部門。
一旦確定了流程的每個部分,就應該按順序組織它們,並用箭頭顯示從一個步驟到下一個步驟的進度。當一個步驟可能根據決策或檢查的結果導致兩個或多個不同的結果時,應顯示每個可能的路徑以及該過程將遵循該特定路徑的原因。
為了提供額外的清晰度,可以設定流程圖,以便將分配給每個參與部門或個人的步驟清晰地分組在一起。這可以透過為每個不同的參與者劃分列或行,創建顯示他們參與的「通道」來實現。使用者可以用書面敘述進一步補充這些流程圖,以幫助解釋沿途發生的情況 (請參閱 圖 1的範例)。
圖 1:範例流程圖顯示了確定建築物所用能源的過程。
公司應該致力於規劃現實中發生的流程,而不是「紙上」或「理論上」的運作方式。這將幫助利害關係人從流程中獲得真正有用的見解。為了進一步確保公司準確描述流程,應始終與參與流程的各個職能和部門一起審查最終流程圖。
關於建立流程圖的機制有許多可用的資源,例如使用什麼形狀、不同的格式選項以及如何建立列以顯示不同方面的所有權。您可以在線找到免費指南270, 也可以購買專門的流程圖設計程式。
3.6 控制評價
當公司最初採用基準時,對於採用基於政策的指標的目標,一個常見的問題是 “我們使用‘Control X’,這是否足以滿足標準?”
為了幫助公司確定其內部控制是否充分,並確保基準一致地應用,一種方法是針對每個相關基準目標實施指令性、預防性和偵測性控制。
雖然針對特定標準或目標實施每種類型的內部控制可能並不總是合適,但努力這樣做意味著對於基準描述的任何給定結果,員工將:(a) 知道他們為什麼這樣做要求遵守政策或遵循程序,(b) 受到有助於避免未能實現預期目標的保障措施,以及(c) 制定制衡措施,以幫助識別控制措施不足的領域。
這也意味著,當公司董事會或外部利害關係人詢問正在採取哪些措施來實現特定的 Future-Fit 目標時,公司將能夠給出全面且自信的答案。同樣,對於希望確保其報告得到保證的公司來說,證明報告期間內使用的內部控制的有效性將是該過程的關鍵。有關獲得基準數據保證的更多詳細信息,請參閱 保證 部分。
3.7 什麼是正式政策?
正式政策是經過人力資源或公司管理階層批准的書面文件。正式化政策使公司能夠針對特定主題或情況採用標準方法。這有助於確保在出現相關情況時得到一致解決。當政策不存在或僅以非正式形式存在時,更有可能錯過步驟,問題可能被忽視,並且將更加依賴員工的個人判斷。
一個常見的例子是如何處理員工的擔憂。大多數以前沒有積極解決員工問題的公司都會回覆說,有一項非正式政策,員工可以向經理提出任何問題,經理要解決問題,或要么升級問題。基準指定需要正式政策的原因是,在這個例子中,收到關注的經理可能會駁回他們認為不重要的問題,但這對於提出該問題的員工或公司本身可能非常重要。制定正式政策是整個公司實現一致結果的重要一步。
3.8 有用的鏈接
COSO(特雷德韋委員會贊助組織委員會)
COSO 成立於 1985 年,由美國五家主要會計、財務和審計機構出資成立,旨在幫助為一系列利益相關者提供財務治理和欺詐預防方面的指導。 COSO 是內部控制領域公認的思想領袖,並提供一些免費材料以及可在其 網站上購買的更詳細的指南。
參考書目
‘專案團隊’ 指負責執行實現每個目標所需任務的人員。↩︎
例如, “System Based Audits” 請參閱 pempal.org (世界銀行和英國 FCDO 支援的學習網站)的 「基於系統的審計」 密西西比大學的 “審計目的流程圖” 「審計目的流程圖」或內部審計研究所的「審計師實用流程圖」。師。↩︎