在上六篇文章中我們已探討過四個COSO的內控要素,現在我們談談最後一個,監督 (Monitoring)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對監督的詮釋是這樣:
對企業風險管理進行全面監控,必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。
上述詮釋中所提及的風險管理其實是指企業的目標是否如預期般達到,以及相關的內控系統 (Internal Control System)是否有效運作。跟所有其他系統一樣,內控系統也需要維護以適應環境的轉變。轉變有外部的,也有內部的,例如法例,巿場等的轉變是屬於外部的;流程,資源調配,企業目標等轉變是屬於內部的。
監督的方法主要有兩種,第一種是一個持續的過程 (On-going Process),由內控系統擁有人 (System Owner) 負責在日常中進行,是內控系統的一部份。為方便監督目標是否達到及內控是否有效運作,管理人員會訂立一些指標。以先前講過的採購流程為例,為確保採購的物品及時送到這一個目標,採購部會監察供應商的送貨進度。又例如緊急採購,因為這流程會繞過幾個控制,所以採購部會定期統計這類採購的宗數,當發現有濫用跡象時及時防止。
另一種是監督的方法是由獨立的第三方,例如內審,外審,顧問等負責,對內控系統的進行有效性進行審核。一家企業有多個內控系統,要為每個系統進行評價並不符合成本效益,所以一般的做法是按風險程度來排行審核次序及審核的周期。例如風險較高的採購功能,很多企業都會每年或每兩年進行一次審核,風險較低的功能如行政,海外的小型代表處等,可能會每幾年或按需要時才審核一次。審核完成後,如發現內控系統有缺陷,企業應盡早將制定措施以彌補缺陷,而且在一定的時間後進行後續跟進,確保問題已經妥善解決。
如上面所講,第一種監督方法是嵌入(Built-in) 在系統內的,是持續的 (On-going);第二種則是附加 (Add on) 的,是獨立的。企業除了鼓勵各功能運用第一種監督方法外,也會視第二種方法同樣重要。因為在現實中,營運單位多傾向於「報喜不報憂」,很少營運單位願意坦誠及主動向管理層報告問題,所以兩種監督方法都需要並存。
以免各位打瞌睡,寫完這一篇後,COSO系列文章會暫時完結,日後我會再細談一下COSO Control Model的其他東西,例如新的COSO ERM Model,COSO-based Audit等。
--------
上一篇文章:COSO內控要素:資訊與溝通
&&&&&&&&
沒有留言:
發佈留言