您可能听过这样一句话:“风险越大,回报越大”,但在企业界,情况可能恰恰相反,对吗?
为了防止内部和外部因素对实现组织目标构成威胁,将风险管理与内部控制相结合至关重要。
继续阅读以更好地了解什么是内部控制以及如何有效地定义和测试它们以推动组织的成果。
什么是内部控制?
内部控制是一种行动、程序或机制,如果实施,可以对风险起作用,改变其概率或影响。
有两种类型的控件:
预防:专注于在不良结果发生之前防止其发生。
侦探:检测可能已经发生或正在发生的错误或异常。
为什么内部控制如此重要?
内部控制的主要好处是可以防范意外风险或事件。此外,正确定义和执行控制还可以:
- 提高组织的安全性;
- 提高运营效率;
- 降低成本;
- 减少错误或不必要的努力;
- 确保遵守法定法规和法律。
此外,展示风险管理工作可以增强客户和利益相关者的信心,使您的组织比准备不足的竞争对手更具优势。
定义控件
控制起到保证作用,确保风险处于可接受的水平,不会对组织的目标构成危险。
我们应该考虑到每个组织都面临着不同的风险,因为根据他们的后续行动,他们可能会受到每种风险不同的影响。
因此,为了有效定义控制,请确保:
- 组织目标已明确定义;
- 并且潜在风险已经被识别和评估。
一旦知道了风险,我们就能将其主要原因和风险对组织的影响(大小)绘制出来。随后,就可以建立和实施必要的控制措施,以减轻所绘制风险的原因。
测试控制
现在您已经实施了风险控制,如何测试或验证它们是否有效?
控制测试基本上是为了确认控制措施是否有效地减轻风险因素,即是否有可能根据组织的风险偏好将原始风险转化为剩余风险。
请注意:
风险偏好:是组织在实现其目标过程中愿意承担的可接受的风险水平。
确定控制测试的优先级
对于拥有数百甚至数千个内部控制的组织来说,测试所有内部控制是不切实际的,对吗?
这就是为什么分析每项控制并确定其对组织的影响很重要。然后,确定必须进行的测试的性质和频率。
根据适用于组织的法规或合规标准(例如 SOX、GDPR、HIPAA 或 PCI),对测试至关重要的测试流程和控制必须遵循这些准则。
测试类型
效率测试(设计)
此类测试的范围较有限,旨在确定控制措施是否有效设计以减轻风险因素。
第一道防线最常用的是:控制的所有者或每天在此区域工作的员工评估控制的有效性。
疗效试验
这种测试的范围更广,旨在评估在一定时期内控制是否按照计划/设计该控制时的要求进行。
最常使用第二道防线:内部审计员。
结论
当控制能够降低或管理其想要改变的风险时,我们可以说它是有效的,即当:
- 它经过适当设计以处理相应的风险;
- 它解决了大部分/所有的风险;
- 它按预期工作(可靠);
- 它在正确的时间运行,并且足够快。
以适当的频率监控和重新评估内部控制将帮助您规划和确定风险管理行动的优先顺序并做出更好的决策。
