在《淺談內控架構 Control framework》中曾提及過COSO的八個內控要素,我將會在本篇及未來幾篇文章介紹其中五個較重要的,包括內控環境 (Control Environment)、風險評估 (Risk Assessment)、控制活動 (Control Activities)、資訊與溝通 (Information and Communication) 及監督 (Monitoring),這即是92年版的COSO Control Model。我個人認為92年版的較簡單易明,不像04年版的過於複雜及令人眼花撩亂,所以我們可以先研究舊的那個,有了基礎概念後再看新的便會事半功倍。
首先,我們先討論一下「內控環境」。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對內控環境有以下的詮釋:
內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀,以及他們所處的經營環境。
那麼具體要怎樣做才算足夠呢?其實良好的內控環境有以下幾點的特質:
1) 道德及誠信價值觀 (Integrity and Ethical Values)
管理層具體良好的道德及誠信價值觀,所謂「上樑不正下樑歪」,如果管理層操守有問題,整家企業包括其員工的操守都不會好到那裡去,所以企業應訂立一套道德及操守準則 (Code of Ethics),並嚴格實施以規範企業內所有員工包括管理層的行為,而且企業應不時教育員工並傳達維護良好企業道德的好處。除此之外,一套健全的準則還應包括一套咨詢程序及投訴制度加以輔助,例如當員工有任何疑問時可以向誰查詢(上司,HR部門,Compliance Officer,還是其他部門?),遇到誠信問題時可以向誰投訴 (上司,HR部門,Compliance Officer,總公司?),投訴的形式 (書面還是口頭?具名或是匿名?通過公司設立的投訴熱線/信箱或是親身投訴?),企業收到投訴後如何處理 (是否接納匿名投訴?每個投訴會獲發一個序號,由Compliance Officer先細看並分派到相關部門進行調查等),調查完成後如何跟進及如何向管理層匯報等等。
2) 對完成目標的保證 (Commitment to Competence)
管理層為每一個職位訂立所需要的知識及技能並提供適當的培訓,而且還要有一套員工表現的審核基制加以輔助。例如要聘請一個會計的職位,你不會請一個沒有相關資格及經驗的人來出任吧?良好的做法應先有一個職務說明 ( Job Description),包括任職資格 (LCCI,CPA,Degree?),經驗要求 (X年會計經驗),職務內容 (Consolidation,AP/AR,Treasury等),薪金水平等,HR部門按照說明為企業尋找適當的人選,而每年評審員工的表現時,職務說明也是一個參考的基礎。
3) 董事局和審計委員會 (Board and Audit Committee)
企業的董事局成員由擁有相關資格及經驗的人士出任,他們對企業身處的行業十分熟悉,而且能夠給予企業富有建設性的意見。董事局中,執行及非執行董事應有一定的比例 (例如香港上巿公司規定至少要有三位非執行董事), 董事局設有審計委員會及董事薪酬委員會等,這些委員會由非執行董事出任及主持,可以獨立與外部審計師及內審溝通,並決定他們的工作範圍,薪酬/報酬等。
內控環境的特質還有另外三點,我將會在下一篇文章繼續和各位探討。
--------
相關文章連結:
上一篇文章:淺談內控架構 Control framework
下一篇文章:COSO內控要素:內控環境(二)
_
&&&&&&&&
1 則留言:
嗯... 大致上請人我都會list 個candidate 工作description 先(雖我都唔係咩大公司), 因為咁會容易清楚, 明白職位需要的competence 是什麼... 無論過份over 或 under qualification 或 competence, 我覺得都會有問題...
記得以前在做上市, 請人時都要交 Job Description, HR 應該會再交MIS set 個a/c user appropriate rights, 但IA 幾時睇到, 當時我真係可能層次未算太高, 都唔係咁清楚, 只係次次黎CHECK compliance, 會計部好似打仗咁...
發佈留言