培训时间:2006年11月18日,19日,25日

培训内容:

前面2篇描述了培训中的非常少的一部分内容,这篇把剩下的内部控制写一写吧,虽然我以前经常把内控挂在嘴上,但这里所谈到内控和我以前嘴中的内控还是有很大的差距的。

企业的内部控制系统是为保护资产的安全完整、信息交流与沟通的畅通、实现组织经营的效率与效果、遵守各种法律规章等目标,把各种影响因素控制和抑制在可接受的风险水平下,由企业管理当局设立的一整套系统的措施与方法。

内控的局限性:

  • 内部控制受制于成本效益原则
  • 内部、内外的串通舞弊会使内部控制失效
  • 内部控制受人员素质、信息传递的影响
  • 权利游戏
  • 经营环境变化

看来随着时代的发展,以前流程再造里面的五个步骤–业务流程发掘(Business Process Discovery)、业务流程设计(Business Process Design)、业务流程执行(Business Process Execution)、业务流程管理维护(Business Process Administration),以及业务流程最优化(Business Process Optimization)中最后一步似乎得把内部控制加进去了,也许我们以前考虑控制考虑得太少了,环境真是变得越来越复杂,俺还是回火星吧。

按照COSO的五要素理论,内部控制系统由控制环境、控制方法与控制活动和控制实现、信息与沟通、控制风险的测试分析与评价、控制风险管理组成,其中我最关注的是控制实现,对于预防性、检查性、纠正性、指导性、补偿性控制,实现的方法究竟依靠哪些形式呢?教材中提到了5点:

  • 组织控制
  • 经营控制
  • 人事控制
  • 定期检查
  • 设施与设备控制

信息系统的内部控制应该包括两类:第一类是一般性控制–适用多数应用系统并协助确保其持续、正确地运行, 包括对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的控制(这个和我们日常的工作内容一致)。第二类是应用性控制,包括应用软件中的电算化步骤,以及用以控制不同种类交易处理过程的相关手工操作程序,它是保证交易处理的完整性、准确性、交易授权和有效性的内部控制。(这一类究竟需要多长的时间才能形成一套完整的方法、体系呢?)

这堂课程中提到的风险管理方法引起了我一个很强烈的感觉,我们在做风险管理时或者说我们建议客户进行风险管理时似乎漏掉了一个很重要的环节,先看看课程中的五个步骤吧(好像都是五个,难道5是内控的幸运数字?):

  1. 收集风险管理初始信息;
  2. 进行风险评估;
  3. 制定风险管理策略;
  4. 提出和实施风险管理解决方案;
  5. 风险管理的监督与改进。

看到这5步,我觉得我们行业里对第三步工作缺乏足够的研究,也许是我们面临的仅仅是纯风险吧,但我们真的没有很好地替客户考虑他们对待信息系统的风险应该使用怎样的策略来进行管理,仅仅依靠行业内的专家,根据自己对企业有限的了解,利用自己的专业知识,指挥客户盲目地向左走向右走,扪心自问,我们真的为企业选择风险管理手段提供了足够的决策信息吗?总是把客户当作白痴的方式是不正确的,这是与企业和自身的理念不融合的音符,也不利于和谐社会的建设啊。

课堂上提到了风险管理策略的理论基础–”堤坝”理论,实施风险管理,需要考虑到企业外部、内部环境,要考虑风险的性质、程度,根据对战略目标的影响程度,按照重要性原则,实施不同的风险管理战略。组织对经营活动中的不确定因素预先甄别和测度,实施风险规避、风险抑制、风险控制、风险转移、风险保留、风险利用等战略,把风险程度降低到可以接受的水平,这与对水害风险根据情况不同采取可接受、可加高加固控制、可修渠疏导利用等手段是类似的。回过头再想想,全面风险管理里面似乎不能拿管理学的”木桶”理论作为依据了,批判”木桶”理论的文章网上一堆堆的,我就不在这里哗众取宠了,不跑远了,毕竟还在这个行业里混着呢,简单想想如何为客户设计一套适合客户自身的信息系统风险管理策略,便于客户自己进行决策还是当务之急啊。

也不用谈太多,找几点关键吧:

1、必须使用客户熟悉的语言

2、必须基于理性(重要和紧急),有一定的科学性(效果与效率)

3、决策信息必须足够中立(完全中立暂时无法做到)

4、要有全局观,要有前瞻性

先写这些吧,洗洗睡了。

培训老师:

李晓慧博士,中央财经大学会计学院审计系副主任,教授。曾在会计师事务所、国有资产管理局和中国注册会计师协会专业标准部工作。李博士拥有显著与丰富的企业管理实操与教学双重经验。
主要研究内部控制、审计、风险管理。在《会计研究》、《审计研究》、《财政研究》《财务与会计》、《财会通讯》、《中国注册会计师》、《上海会计》、《中国财经报》和《中国证券报》等上发表近百篇专业论文,近年来主要的论著有《现代审计精要》(1999年)、《审计实验室–审计实务个案分析》(2000年)、《审计实验室–主要会计事项的相关法规及其审计案例》(2002年)、《实用审计英语》(2002年)、《审计实验室3–风险审计的技术和方法》(2003年)和《审计工作底稿编制个案》(2003年)、《审计实验室4–其他鉴证业务的风险控制》(2004年)。

PS.李老师课讲得非常到位,受到同学们一致好评。