02小说网

§像了解爱人一样去了解流程（第4页）

“哦，但是这里面有个问题啊！你们这套底稿，按照你的说法是帮助管理层落地的内控文档，包括什么流程图啊、风险控制矩阵啊，这些都应该由企业员工操作规范吧？要都是英文的，咱们国际化程度又没这么高，大家伙儿怎么用啊？”

“妈您客气了，我觉得咱们根本没达到国际化的程度。在这样的情况下，做顾问的就辛苦一点儿，一般先选择第一工作语言，再根据做出来的工作成果，帮助企业将工作成果翻译一遍。当然很多企业并不需要翻译所有的文档，可能只需要选择一部分关键文档来翻译。”

“此外，还有一个对于穿行测试的补充说明。穿行测试一般只需要选择一个样本，大多数的运营类流程是可以实现一个样本从头到尾穿行的，比如采购流程、销售流程、存货管理流程、固定资产流程。但是也有一些流程，在穿行的过程中需要换样本，比如人力资源流程，因为很难选到同一个员工的样本贯穿求职、日常考勤管理、离职，中间还包括各种情况，比如薪酬变动、轮岗、重大奖励或处罚等。”

“妈，您是不是没有问题啊？我接着往下讲了？”

“怎么，你当了这么多年的老师，一直认为学生表示沉默就是没有问题吗？”

“嗯，其实我知道更多的时候是没听懂。”

“其实道理都懂，只是实践还跟不上理论。我决定等咱们做404条款项目的时候，你也给我分一个流程，我也很想试一试。”

“妈呀，您这个学习精神能感动中国啦！虽然我还没见过哪家公司的董事长亲自上阵做内控，但是您这样一表态，咱们这个项目其实已经成功一半啦。”

（5）重复就是力量——控制执行有效性的测试

“穿行测试完成后，缺陷清单也就出来啦，接下来一般会让企业喘口气。经过这么一轮折腾，核心管理层和关键流程负责人应该对内控是什么、怎样实施内控有一个大概的观感了。通常我们会留给企业三个月的时间来适应新事物，同时，三个月的时间也是用来产生新样本的时间。”

“其实你说的这个问题，我还有点担心。之前我就发现了，一旦公司上下掀起一股热潮的时候，大家干劲都挺足，一旦活动结束或告一段落的时候，大家好像一下子就懈怠下来了。这个内控工作是不是也会出现这样的问题？”

“这个问题绝对会出现，其实也好理解，这是人性的问题。人是惰性很强的动物，喜欢习惯性思维和行动。现在先破后立、大刀阔斧，把他们之前用惯了的流程重新构造，内心抵触情绪可想而知，再加上日常运营工作本身就非常繁重，还要同时兼顾与适应新流程，不崩溃都算好样的了。”小熊停下来喝了口水，“这茶真称得上是清茶，一点茶味都没有。”

熊妈妈没接话，愣了一会儿，说道：“你过去做的企业里有因为内控崩溃的吗？”

小熊噗地将一口茶喷了出来：“我就这么一比喻，您还当真了。只要流程负责人存着一点责任心和认真工作的态度，别扭几天就适应了。后面的好处他们自然会体会到，一家企业的内控想成功，一定是‘一把手’非常重视，下面的团队持之以恒。放在酥园身上，您就放心吧，我会时刻监督大家的。如果真有因为做内控而崩溃的，我养他。”

小熊哈哈一笑：“我特别欣赏您这种坦率的幽默感。”

“三个月后，‘胡汉三’又回来啦。此次我们做的测试是关于控制执行有效性的测试，换句话说就是大样本的测试。您还记得穿行测试解决的是什么问题吗？”

“穿行测试解决的是控制设计有效性的问题。”

“既然是大样本测试，第一个需要确认的问题就是样本量。在这个问题上，业内有一定的共识。当然，这个也谈不上什么‘金标准’，如果企业用自己的力量来搭建内控体系也可以有所调整；如果企业选择了外聘中介机构，那么可能会遵从中介机构的建议。”

“我举一个关于样本量的例子。在一个测试期间内，比如一个季度，我们可以考虑上面的样本量水平。比如一个控制点每天都要运行好多次，那么我们在这个季度内选择五个相关样本进行测试。一般和运营直接相关的流程，控制点都会满足这个条件，比如采购订单、销售订单、存货的出入库和这几个流程相关的控制点一天运行的次数都不会只是一次。在不同频率下的样本量的选择我就不赘述了，都很简单。只补充一点，我想问问您，什么控制点是季度控制或年度控制的呢？”

熊妈妈想了想：“盘点算吧，还有季度、年度报税？”

“您说得都对，还有财务报告流程中的季报和年报。在美国上市的公司，季度报表也需要审计师的审阅（review），需要注意的是，季度的审阅不是审计，审计师往往不来现场，只有年度审计（audit）的时候，大批人马才会过来。”

“控制执行有效性的测试比穿行测试要直白简单得多。穿行测试乃是以整个二级或三级流程作为测试对象，而控制执行有效性测试则是以单个控制点作为测试对象。我给您找个底稿看看什么样，您就明白了。”

“咱们再讲讲之前提到的内控工作的重要载体文件——风险控制矩阵（RCM）。打个比方，RCM好比咱家之前用过的塑料珠子门帘，一根线把很多颗珠子穿起来，那么每颗珠子便相当于一个控制点。测试控制进行的执行有效性，实际上是检查每一颗珠子的质量。RCM是整张门帘，每个控制点是一颗珠子，每颗珠子对应一张工作底稿，工作底稿中标示出检验这颗珠子质量的方法。”

“先看看门帘长什么样子。”（因为门帘太长，所以我把它截为两段来说。）

第一段：

“RCM展示的是一个最末级流程，每一行是这个流程的一个步骤，有的步骤是控制点，有的步骤仅仅是一个动作，因此RCM中专门设置一栏来判断该步骤是不是一个控制点。很多年前，我看到的RCM并不是现在这样的，上面仅标示控制点，没有把所有步骤都详细标出。我现在发现这样改进之后，的确方便很多，站在门帘的角度看，这是一扇完整的门帘，对于刚刚接触内控的小朋友来说，先把完整的流程按照步骤一步步记录下来，更加有助于他们了解流程本身。责任部门和责任岗位我简单说一下，每一步动作都应落实到岗位，至于谁来做并不重要，重要的是得对应到具体的岗位。只有这样，在下一步进行控制测试的时候，你才能知道该找谁去要资料。如果这个控制点没通过，至少你还知道应该找谁负责接下来的整改工作。”

“首先说说控制目标，这五项目标所对应的是COSO的五个目标（原来只有三个，资产安全和战略都是后加的）。如果这个步骤是控制点，那么你需要选择一下控制点对应的目标，这是一道不定项选择题，其实也没有标准的答案。一个控制点既然存在，它总得满足点什么目标吧！”

“接下来的风险点、控制点是对应的，但不是一对一的关系，一个风险可能对应着好几个控制点，一个控制点也可能同时降低好几项风险。举个小例子，家里的门锁坏了，这是个风险，我们可以设计好几个控制点来降低风险，比如换锁、加链子锁、一家人轮流请假在家看家……”

“请假在家看家这个馊主意很像你的风格啊！”熊妈妈忍不住笑了。

“是啊，这也是控制，只不过这个控制点成本太高。只要是控制，一定会有成本，所以咱们得综合优选，选性价比最高的控制。如果一个控制点就可以有效降低风险的话，那么我们就不一定非得设计两个控制点。”

“还有一种情况，一个控制点可以降低好几个风险。再举个例子吧，如果我爸能戒烟，那么既可以降低他的健康风险，又能降低我们吸二手烟的风险。”

“那也同样会增加他复吸的风险啊？”

“那……只能看他自己了……”

“门帘讲完了，咱们再回头看珠子。每个控制点都对应一张测试底稿，通过样本测试来证明它的执行有效性。我给您找个例子看看底稿长什么样子，您就明白了。”

“作为业余群众，我就不一项一项给您讲底稿内容了，反正您也不做。上面的底稿简单易懂，我讲里面几个稍微难一点儿的吧。第一个，关于样本量。您看到的29是上一个季度该企业与本控制点有关的样本量的总数，由于这个控制点是随机发生的，因此本轮测试可以选择2个。第二个，关于测试状态。有时做季度测试会发现，这个控制点的相关业务在这个季度还没发生过，那么这个控制点本轮轮空不测，状态就是‘尚未开始测试’。”

“测试执行完毕，还需要将测试过程中发现的执行缺陷予以汇总列示。那么大体工作就结束啦。”

小熊站起身来，伸了一个大大的懒腰，说道：“课讲到这儿，主体内容也就差不多啦。关于内控的课程，咱们差不多讲了两个星期，希望您能有所收获。”

熊妈妈也长舒了一口气：“也难为你啦，总让你给我这外行讲课，还要求深入浅出。熊总不容易，我得给你鼓鼓掌。”