If you were born in my generation, “只是为了控制”是一个我们通常用来描述我们对情况拥有的权力的短语. 这个意思也反映了我们在特定情况下的自夸:因为我们可以, why not? 这句话是对权力的颂扬——我们可以随心所欲地使用权力. 把这些写下来就把我带回了想象中的“绝对权力”的美好回忆.”
When I joined the audit profession, 我遇到了另一个叫做“控制”的权力大师,这是一个我日常使用的词,可以很容易地与“权力”一词互换.“控制中隐藏的一件事是权力——控制是好是坏并不重要, 与之互动的人能感受到它的力量. It is also true that processes that lack controls are powerless; this may be the reason why they are prone to disorder and mismanagement.
控制的目的是通过“保护”流程免受诸如浪费之类的负面影响来支持业务流程,同时通过促进有序的效率和有效性来促进业务目标的实现. In simple terms, 实现控制是为了减轻风险,因此说没有风险是正确的, there is no need for a control. 控制与负面(向下)风险相关的防御和与正面(向上)风险相关的促进.
如上所述,一个坏的控制和一个好的控制一样,仍然具有力量. 你是否有过这样的情况:你知道你被要求做的事情对你需要做的任务没有任何价值, 但你还是要继续,因为这是你需要做的过程中的一步? 这就是设计不良的控件的无用力量——即使它没有任何生产目的,你仍然会这样做. “Just for control.”
风险在本质上不是静态的,因此控制也不应该是静态的. 因此,我们不能简单地说“我们一直都是这样做的。.“如果你曾经和审计师坐下来谈过, 您将意识到他们通常使用这三个术语来度量控件的值. 我的意见是,任何称职的商业领袖都应该了解这些术语,并能够应用它们来评估,当他们的功能和/或操作发生变化时,他们是否在有效地使用过程中的控制“力量”. These terminologies are:
- Control Adequacy -这意味着控制已被设计为充分减轻过程中识别的风险. 控制措施通常在政策和程序中概述.
- Control Effectiveness -这意味着控制没有被记录在政策和/或程序中, 但它是通过实施动员起来的. What is written can be seen.
- Control Operating Effectiveness -这意味着控制不仅在特定时间执行,而且始终如一地执行.
As risks change, 控制评估也变得至关重要,以确保控制中的权力被导向生产任务. 这个月,看看你的流程和内部控制,看看权力是否平衡得很好.
