Cómo establecer sistemas de control interno y gestión de riesgos
-
La construcción del control interno empresarial debe tomar la eficiencia y eficacia de las operaciones como objetivo principal y centrarse en la confiabilidad de los informes financieros y la seguridad de los activos. y la legitimidad de las operaciones. El cumplimiento normativo son los tres principales objetivos de la garantía. Sobre esta base, la práctica de construcción se centrará en el establecimiento de organizaciones de control interno y los cinco elementos principales de la construcción de control interno.
(1) Organización del control interno
La organización es la garantía básica para el funcionamiento del sistema. La organización habitual de control interno consta de dos niveles: el consejo de administración y la dirección. Destaca que la construcción e implementación del control interno es responsabilidad del directorio y se establece un comité especial de auditoría (riesgos) para fortalecer la gestión. Además, el establecimiento de una organización de control interno enfatiza que los gerentes son los implementadores específicos y las personas responsables de la construcción de controles internos en las empresas, y que cada departamento de gestión lleva a cabo la construcción e implementación de controles internos de acuerdo con sus funciones. Entre ellos, el enfoque de la comunidad empresarial es establecer un departamento de control interno a tiempo completo. Hay tres métodos de establecimiento comunes:
Método 1: establecer un departamento de control interno separado. La ventaja es que ayuda a mejorar la eficiencia de la promoción inicial de la construcción del control interno. La desventaja es que el departamento de control interno está separado del departamento de gestión y no refleja la integración de las responsabilidades de control interno y las responsabilidades de gestión. Este método es muy utilizado en empresas financieras. En la economía real, normalmente no existe un departamento de control interno exclusivo.
Método 2: El control interno lo lidera el departamento de auditoría interna. La ventaja es que una vez completada la construcción inicial del sistema y el sistema funciona de manera estable, auditoría interna, como departamento supervisor del control interno, puede tomar la iniciativa en la coordinación de varios departamentos para realizar autoevaluaciones periódicas del control interno de una empresa. una base amplia y mejorar continuamente la construcción del sistema de control interno. La desventaja es que los departamentos de auditoría interna de las empresas nacionales a menudo carecen de talento y es posible que no puedan asumir esta importante tarea de forma independiente en las primeras etapas de la construcción del control interno.
Modo 3: Se establece una oficina de construcción de control interno durante el período de construcción intensiva de control interno, y la oficina asigna personal de varios departamentos para trabajar a tiempo completo en la construcción del sistema de control interno. Cuando el sistema esté oficialmente operativo, la oficina será desmantelada, el personal regresará a todos los departamentos de gestión y la función principal volverá a la auditoría interna. La ventaja de este método es que puede concentrar los esfuerzos de varios departamentos para completar la construcción sistemática del control interno. Una vez que el sistema esté funcionando sin problemas, el personal relevante regresará a puestos clave en el departamento de gestión, lo que ayudará a promover la comprensión del sistema de control interno por parte de cada departamento de gestión y la integración del control interno y la gestión. La práctica demuestra que para las empresas de la economía real con una base de gestión débil, es mejor adoptar el tercer modelo de control interno.
Por supuesto, no existen reglas determinadas para el establecimiento de organizaciones. Las empresas deben establecer organizaciones de control interno de acuerdo con sus propias características y aclarar las responsabilidades de gestión relevantes.
(2) Diagnóstico y mejora del ambiente interno
El ambiente interno es el portador de la construcción y operación del control interno de la empresa. Cuando una empresa establece un mecanismo de control interno, primero debe diagnosticar y mejorar el entorno interno. Por un lado, la mejora del entorno interno puede sentar las bases para el diseño y operación de las actividades de control, por otro lado, el diagnóstico del entorno interno puede fortalecer la combinación de las actividades de control y el entorno interno, lo cual es propicio; para el buen desarrollo de las actividades de control.
Habitualmente, el diagnóstico y mejora del entorno interno incluye seis aspectos: estructura de gobierno, configuración organizacional, distribución de derechos y responsabilidades, auditoría interna, política de recursos humanos y cultura corporativa. Entre ellos, primero se debe mejorar la configuración organizacional, la distribución de derechos y responsabilidades y el posicionamiento de la auditoría interna, de modo que el diseño y operación de las actividades de control posteriores sean fluidos. Las estructuras de gobierno, las políticas de recursos humanos y la cultura corporativa pueden mejorarse en paralelo con el funcionamiento de las actividades de control.
(3) Evaluación dinámica de riesgos
La evaluación de riesgos es una manifestación importante de la construcción sistemática del control interno y una base importante para el diseño de medidas de control interno posteriores. Con base en el principio de costo-beneficio, las empresas deben fortalecer las medidas de control interno de los riesgos importantes evaluados para reducirlos de manera efectiva. Para los riesgos secundarios, las empresas deben simplificar las actividades de control y el diseño de procesos, asumir riesgos relevantes e incorporar el concepto de construcción de control interno que toma la eficiencia y eficacia de las operaciones como objetivo dominante.
La evaluación de riesgos incluye dos etapas: identificación de riesgos y evaluación de riesgos. En la etapa de identificación de riesgos, las empresas deben identificar los factores inciertos que afectan el logro de los objetivos de control interno, identificar y clasificar los riesgos empresariales y formar una base de datos de gestión de riesgos empresariales. En términos generales, los riesgos empresariales se pueden dividir en cinco categorías: riesgo estratégico, riesgo de mercado, riesgo operativo, riesgo financiero y riesgo legal, y subdividirse aún más sobre esta base. En la etapa de evaluación de riesgos, las empresas deben utilizar un cuadro de coordenadas de evaluación de riesgos bidimensional para evaluar los riesgos desde dos dimensiones: destructividad y frecuencia de ocurrencia, y definir los puntos de riesgo como riesgos mayores, riesgos medios y riesgos bajos.
Las empresas deben determinar los estándares de evaluación de riesgos basándose en las características de la industria y la configuración de objetivos. Los estándares de evaluación deben centrarse en la combinación de estándares cuantitativos y cualitativos.
En la práctica, enfatizamos que empresas de diferentes industrias, o diferentes empresas de la misma industria, o la misma empresa en diferentes etapas de desarrollo, tendrán diferentes resultados de evaluación de riesgos. Para este fin, las empresas deben realizar evaluaciones de riesgos al menos una vez al año, descubrir rápidamente nuevos riesgos generados por nuevos entornos y nuevos negocios, ajustar dinámicamente los resultados de la evaluación de riesgos y luego ajustar dinámicamente las especificaciones de las actividades de control, de modo que los controles internos originalmente estáticos El sistema de control puede activarse y estar siempre en el camino correcto para mantenerse al día con el ritmo del desarrollo empresarial.
(4) Diseño de las actividades de control
Las actividades de control son los elementos centrales de la implementación de los sistemas de control interno. En el proceso de estandarización de las actividades de control, las empresas deben formular un manual de políticas y procedimientos de control interno (en adelante, el manual de control interno).
Al diseñar actividades de control, las empresas deben establecer un concepto de diseño que esté integrado con las actividades de gestión. Primero, aclarar el ciclo de las actividades de control empresarial, luego incorporar medidas de control interno en las actividades de control, mejorar el diseño del proceso del sistema de las actividades de gestión y elaborar un manual de control interno empresarial. El manual de control interno adopta un diseño de módulos, y cada módulo generalmente incluye cinco aspectos:
Primero, los objetivos de gestión. Centrándose en los objetivos del control interno, al diseñar un manual de control interno, una empresa debe primero aclarar los objetivos de gestión de las actividades de control. Por ejemplo, los objetivos de gestión del ciclo de pago de adquisiciones deben incluir garantizar el suministro de materiales, mejorar la eficiencia de las adquisiciones, reducir la ocupación de capital, controlar los costos de adquisiciones, garantizar una contabilidad precisa, etc.
2. Organización y responsabilidades de la gestión. Esta sección define claramente las organizaciones y responsabilidades involucradas en las actividades de control para asegurar el buen funcionamiento de los procesos posteriores.
En tercer lugar, matriz de aprobación de autorizaciones. Esta sección debe delinear claramente los derechos de todas las actividades de control entre la junta directiva, la gerencia y los departamentos funcionales, y aclarar las responsabilidades de aprobación en todos los niveles.
En cuarto lugar, controlar los requisitos de la actividad. Esta parte generalmente está escrita en forma de texto de sistema, aclarando los requisitos de control interno para cada eslabón de control de las actividades de control y sirviendo como base para el diseño de procesos de gestión empresarial relevantes.
En quinto lugar, con base en la sección anterior, cada departamento de gestión empresarial debe reorganizar y mejorar los procesos comerciales, fortalecer las medidas de control en puntos clave de riesgo, garantizar que las responsabilidades organizacionales, la aprobación de autorizaciones y los requisitos de control interno se implementen en los procesos comerciales. para asegurar el logro de los objetivos de gestión.
En el proceso de diseño del manual de control interno, se pone especial énfasis en el concepto de diseño que se integra con las actividades comerciales y de gestión existentes de la empresa. Está prohibido diseñar un manual de control interno aislado que. está divorciado del proceso del sistema original para evitar que los departamentos comerciales aún hagan referencia al proceso original y al manual de control interno se archivan en la práctica.
(5) La información y la comunicación están presentes en todas partes.
Información y comunicación se refiere a garantizar que el puesto correcto obtenga la información adecuada en el momento adecuado en la construcción del control interno. El diseño de la información y la comunicación debe atravesar el entorno interno, la evaluación de riesgos y las actividades de control, como los procedimientos de presentación de informes de evaluación de riesgos, el diseño de documentos de control en las actividades de control, etc., todos los cuales reflejan el establecimiento y mejora de la información. y elementos de comunicación.
(6) Métodos de supervisión interna.
La supervisión interna se sitúa al final de los Cinco Elementos y es un reflejo del circuito cerrado de la gestión del control interno. Por tanto, la supervisión interna también puede considerarse como el primero de los cinco elementos y es la base para la mejora continua del entorno interno, la evaluación de riesgos, las actividades de control y los elementos de información y comunicación. Los medios de supervisión interna incluyen la advertencia de riesgos, la evaluación interna y la evaluación del desempeño, todos los cuales son indispensables.
La advertencia de riesgos es una herramienta de gestión relativamente nueva. A través de la presentación de informes y el seguimiento de indicadores de alerta temprana, supera las limitaciones de tiempo y espacio de las auditorías internas empresariales tradicionales y utiliza los métodos eficientes de recopilación de información de las empresas modernas para ayudar a los gerentes a extraer información clave de datos masivos y capturar datos clave que las empresas pasan fácilmente por alto. o los gerentes de nivel inferior intentan ocultar, descubrir y tomar medidas para prevenir riesgos de manera oportuna. El diseño del sistema de alerta temprana de riesgos incluye cuatro tareas: seleccionar elementos indicadores, establecer valores críticos, realizar un seguimiento de los informes de análisis y corregir datos clave. Las empresas deben establecer indicadores de advertencia de riesgos basados en las características de su propia industria y sus prioridades de gestión, y acumular gradualmente valores críticos.
La autoevaluación del control interno es un requisito de las normas básicas y una parte importante de la auditoría de gestión. La clave para mejorar los métodos de evaluación interna es establecer estándares y procesos de evaluación, aclarar los criterios de identificación de deficiencias de control interno y estandarizar los informes de evaluación.
Además, la evaluación del desempeño enfatiza la incorporación de la efectividad de la construcción y operación del control interno en la evaluación del desempeño corporativo para promover la implementación de sistemas de control interno.