长期以来,控制一直是规划、设计、所有权和文化的功能. 30多年前, 马克德龙, 然后是一家国家银行的首席内部审计员, 说, “有控制意识的管理是无可替代的, 我们有一个.最近,在芝加哥联邦储备银行的年度风险会议上,一家知名银行的总裁表示, “我们期望并指导我们的团队每天承担风险——我们把接受仔细定义和衡量的风险作为我们的业务,以便从我们的存款和信贷业务中获利.”
这两位领导人不仅表现出对平衡风险和控制方法的重要性的理解, 他们的话强调了明确定义的风险偏好的基本性质. 纵观当今的商业格局, 审计和风险管理专业人士强调控制意识和敏感性的重要性, 虽然治理已经从主要关注变更控制发展到对所有者更有吸引力的方法, 管家, 生产者和消费者. 为了加强组织内部的控制,应执行以下七种方法:
1. 将目光投向端到端景观.
确定治理范围是一项艰巨的任务,最好使用管理定义的风险来缩小焦点并建立优先级. 虽然小, 中型和大型企业在运营过程中都面临着类似的风险, 管理和执行职能, 这些差异通常是由行业而不是规模来定义的. 开发管理控制和治理支持需要一组持续的活动,这些活动能够及时洞察预期的业务风险和超出此阈值的风险.
2. 构建环境.
一旦确定了风险偏好,就可以采用适当的措施.g.(关键风险指标),以及风险和控制的矩阵. 这种集成的方法允许跨手动流程解析和处理操作风险和控制, 外部服务和自动化系统, 对于关键主数据和参考数据以及复杂的ERP和绩效管理系统的变更控制,哪些是必不可少的.
3. 利用技术来启用流程.
随着公司继续朝着使其业务流程更加数字化的方向发展,以保持竞争力, 应不断评估内部控制,以确保它们能够跟上. 除了随时了解新出现的风险,如新的网络安全威胁, 云计算和自动化工具, 公司应该使用技术来测试控制和提高它们的性能.
那些一直在利用数据分析和治理风险与合规(GRC)工具来评估全部数据并监控关键风险的组织,现在正寻求在审计周期的各个方面利用这些工具, 包括使用数据分析在风险事件发生之前进行预测. 领先的风险部门也开始利用自动化工具来执行手动操作, 时间密集型任务,例如测试Sarbanes-Oxley (SOX)的遵从性.