在三级流程框架的基础上,分析该流程的关键控制点,关键控制点即为风险点,通过匹配关键控制措施防范相应的风险。
1. 风险识别:应用流程分析法+假设分析法从制度层面分析关键控制措施防范的风险点;应用头脑风暴法+鱼骨图法根据经验或者已形成风险事实的风险点发现制度缺失的风险点,形成从制度到风险,从风险到制度的循环。
流程分析法是指将企业的各项业务活动或管理活动按照其内在的逻辑联系建立一系列的流程图或者流程清单,针对流程中的每一个环节逐一进行调查、研究和分析,从中发现潜在的风险的一种风险辨识方法。
流程分析法要求针对各三级流程,根据当前管理现状(如规则制度、流程图、业务现状、流程规划等),结合内控指引,按时间顺序分解成具有较强相关性的N个环节,每个环节应是一个最小的相对独立的事件单位。运用假设分析法,直观形象地假设若不采取某流程环节,可能发生的危险因素及后果。通过假设分析法可发现,某些流程环节是否真实存在风险,是否存在冗余的情况及可优化空间,以提高管理效率。
头脑风暴法+鱼骨图法:单纯采用流程分析法及假设分析法进行风险识别,可能存在未被覆盖的风险点,需要进一步补充完善。围绕具体的业务流程,集中有关专家召开专题会议,集思广益,确保风险的全面性。采用鱼骨图法,对头脑风暴提出的风险进行归纳整合,形成针对该三级流程的全部风险点。根据经验或者已形成风险事实的历史案件形成的风险点都可以在头脑风暴的过程中提出。
2. 风险评估:对识别出的风险点进行风险分析与评价。为此《企业内部控制基本规范》第24条规定,企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
通过风险评估,对风险进行分级管理,不同等级的风险实施差异化的控制策略,从而实现管理效率的提升。所谓风险分级管理,是指按照风险发生可能性及影响程度把分为高风险、中风险、低风险三类。
3. 关键控制措施匹配
控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、规范/限制行为、系统自动控制、监控预警、审计/核查控制、内部报告控制等。
选取措施时的几项原则:
1)企业在选择具体控制措施时,并非一个关键控制点只能对应一种控制措施,可综合使用多种控制措施;也可根据实际业务情况,自行创新其他类型的控制措施。
2)从控制的有效性来说,自动控制优于人工控制,多个相互关联的控制优于单个控制,由高层人员执行的控制优于由基层人员执行的控制,预防性控制优于发现性控制,100%进行的控制优于使用抽样方法的控制,实时进行的控制优于滞后的控制。
3)企业在选择上述控制措施时,除了考虑控制强度外,还需要贯彻成本效益原则,力争以最少的控制或最低管理成本获取最大的经济效益。
