控制——加强你的财务控制，掌握治理

长期以来，控制一直是规划、设计、所有权和文化的功能. 30多年前, 马克德龙, 然后是一家国家银行的首席内部审计员, 说, “有控制意识的管理是无可替代的, 我们有一个.最近，在芝加哥联邦储备银行的年度风险会议上，一家知名银行的总裁表示, “我们期望并指导我们的团队每天承担风险——我们把接受仔细定义和衡量的风险作为我们的业务，以便从我们的存款和信贷业务中获利.”

这两位领导人不仅表现出对平衡风险和控制方法的重要性的理解, 他们的话强调了明确定义的风险偏好的基本性质. 纵观当今的商业格局, 审计和风险管理专业人士强调控制意识和敏感性的重要性, 虽然治理已经从主要关注变更控制发展到对所有者更有吸引力的方法, 管家, 生产者和消费者. 为了加强组织内部的控制，应执行以下七种方法:

1. 将目光投向端到端景观.

确定治理范围是一项艰巨的任务，最好使用管理定义的风险来缩小焦点并建立优先级. 虽然小, 中型和大型企业在运营过程中都面临着类似的风险, 管理和执行职能, 这些差异通常是由行业而不是规模来定义的. 开发管理控制和治理支持需要一组持续的活动，这些活动能够及时洞察预期的业务风险和超出此阈值的风险.

2. 构建环境.

一旦确定了风险偏好，就可以采用适当的措施.g.(关键风险指标)，以及风险和控制的矩阵. 这种集成的方法允许跨手动流程解析和处理操作风险和控制, 外部服务和自动化系统, 对于关键主数据和参考数据以及复杂的ERP和绩效管理系统的变更控制，哪些是必不可少的.

3. 利用技术来启用流程.

随着公司继续朝着使其业务流程更加数字化的方向发展，以保持竞争力, 应不断评估内部控制，以确保它们能够跟上. 除了随时了解新出现的风险，如新的网络安全威胁, 云计算和自动化工具, 公司应该使用技术来测试控制和提高它们的性能.

那些一直在利用数据分析和治理风险与合规(GRC)工具来评估全部数据并监控关键风险的组织，现在正寻求在审计周期的各个方面利用这些工具, 包括使用数据分析在风险事件发生之前进行预测. 领先的风险部门也开始利用自动化工具来执行手动操作, 时间密集型任务，例如测试Sarbanes-Oxley (SOX)的遵从性.

4. 要主动，不要被动.

古老的谚语, 一盎司的预防胜过十分的治疗,”完全适用于内部控制，并应在组织内部逐步推行. 确保每一道防线都发挥作用，保持适当的控制. 运营管理人员必须相信他们是真正的第一道防线，并将第二和第三道防线视为风险顾问. 如果第一道防线能发挥作用, 第二线的工作(风险管理和合规职能), 第三条线(内部审计)变得更加容易，成本也更低.

以数据治理为例. 如果允许在客户设置过程中出现错误, 在单个事务级别上，它可能会扩散到数百个问题, 这反过来又会导致数千小时的纠正工作. 最终，这可能会使组织损失数百万美元.

但是通过积极主动, 公司可以在战略项目的早期加入风险专家, 例如ERP系统的实施. 以这种方式, 他们作为项目团队的咨询vwin娱乐场官方，帮助确保风险和控制被适当地考虑并构建到整体策略和设计需求中, 帮助避免昂贵的修复和事后的返工.

5. 挑战手动和耗时的流程.

组织应该尽可能利用数据分析和自动化来提高内部控制的性能和有效性. 除了, 应不断挑战手动控制，以确定它们是否可以完全或, 至少部分是这样, 自动化. 了解手动控制的沿袭是过程中重要的一步，因为, 在很多情况下, 它们被用于错误的目的.

例如, 手动控制通常作为补救萨班斯-奥克斯利法案问题的临时创可贴, 然后再也没有重访. 在其他情况下, 它们继续运行是因为过程所有者害怕挑战或更改控制, 相信这会让外部审计机构或监管机构感到不安. 然而，双方通常对合理的控制权变更持开放态度.

6. 利用内部控制专家.

让独立的第三方审查和挑战控制设计是一种有益的做法, 由于这些主题专家知道适用的法律和法规需要什么，并且可以帮助组织正确地确定其控制的大小. 他们也带来了一个公正的观点，什么是有效的，什么是无效的, 哪些可以帮助简化控制环境. 除了, 控制顾问了解法律法规的变化，可以帮助公司保持领先地位.

7. 关注最重要的事情.

并非所有风险都是平等的. 那些负责设计和操作组织控制的人应该对风险有很好的认识. 没有它, 控制可能是过度设计或设计不足, leaving an out-of-balance control environment; for instance, 80%的vwin娱乐场官方集中在20%的风险上.

公司应该利用技术来管理风险评估过程和数据分析，以预测哪些地方可能需要进行更改. 这种关注依赖于一个良好的陈述, 及时更新反映监管和vwin娱乐场官方环境的风险偏好, 以及管理层对风险和控制的评估与业务繁荣所需的风险之间的平衡.