2002年美國《薩班斯-奧克斯利法案》頒布后,各國相繼出臺關(guān)于內(nèi)部控制的法律法規(guī)與規(guī)范文件。近年來,中國日益重視企業(yè)的內(nèi)部控制體系建設(shè)與風(fēng)險管理能力的提升,各監(jiān)管機構(gòu)紛紛出臺相應(yīng)的規(guī)范文件督促上市公司、中央企業(yè)、銀行、保險機構(gòu)等建立健全內(nèi)部控制體系;其中,財政部、證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會五部委聯(lián)合頒發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》是中國內(nèi)部控制體系建設(shè)的里程碑。
雖然很多企業(yè)都表示,建立內(nèi)部控制體系的外在動因是為了滿足外部監(jiān)管要求,內(nèi)在動因是為了提升企業(yè)自身的整體管理水平和風(fēng)險管理能力。然而在實務(wù)操作的過程中,有些企業(yè)抱著“僥幸”和“應(yīng)試”的心理,對內(nèi)部控制體系存在種種誤解。企業(yè)梳理內(nèi)部控制體系的目的究竟是什么,是否僅為“應(yīng)試”、滿足監(jiān)管機構(gòu)的合規(guī)要求,還是真正應(yīng)當(dāng)更加關(guān)注自身能力的提升和管理水平的整體提升?企業(yè)的高級管理層應(yīng)該如何定位內(nèi)部控制體系,如何定位、規(guī)劃、開展關(guān)鍵工作,避免內(nèi)控體系的“兩張皮”現(xiàn)象?
如何判斷內(nèi)控體系有效性——
重大缺陷“零容忍”
中國的上市公司在《企業(yè)內(nèi)部控制基本規(guī)范》頒布之前,已有部分公司依據(jù)上交所與深交所的內(nèi)部控制指引公開披露內(nèi)部控制評價報告,但那時并未明確要求上市公司對自身內(nèi)部控制體系的有效性下結(jié)論,多數(shù)上市公司的有效性結(jié)論是模棱兩可的,例如有些企業(yè)披露內(nèi)部控制有效性結(jié)論為“制度健全,執(zhí)行基本有效”。然而,在2010年“企業(yè)內(nèi)部控制指引”頒布之日起,要求上市公司在披露內(nèi)部控制評價報告時,必須對自身內(nèi)部控制體系出具有效還是無效的明確結(jié)論,不再存在模糊的所謂“基本有效”的灰色地帶。
那么,內(nèi)部控制體系有效性的判斷標(biāo)準(zhǔn)是什么呢?從正向的維度而言,是企業(yè)內(nèi)部控制體系的建立合理保證了企業(yè)目標(biāo)的實現(xiàn);而從負向的維度而言,是企業(yè)是否存在內(nèi)部控制重大缺陷。這說明上市公司只要存在一個內(nèi)部控制重大缺陷,就表示該公司的內(nèi)部控制體系是失效的。也就是說,內(nèi)部控制體系的有效性對重大缺陷是“零容忍”的,例如企業(yè)僅存在1個重大缺陷,與企業(yè)存在100個重大缺陷,其內(nèi)部控制體系的有效性結(jié)論都是無效的。而這一個重大缺陷可能出現(xiàn)在企業(yè)的集團本部、子公司、子公司的某個部門、甚至某個部門的某個崗位上,這種“零容忍”的判斷標(biāo)準(zhǔn)對公司的管理提出了巨大的挑戰(zhàn)。公司需要確保所有的業(yè)務(wù)活動、流程等控制都是有效的,不存在重大缺陷,才能在內(nèi)部控制評價報告中出具有效的結(jié)論。
2011年,在滬深交易所2340家上市公司中,1844家上市公司披露了內(nèi)部控制評價報告,占比78.80%,496家上市公司未披露內(nèi)部控制評價報告,占比21.20%。在1844家披露了內(nèi)部控制評價報告的上市公司中,1841家認為自身的內(nèi)部控制體系是有效的,不存在重大缺陷,占總樣本量的99.84%;1家上市公司未出具結(jié)論,占樣本量的0.05%;僅2家上市公司認為自身的內(nèi)部控制體系未得到有效實施,占樣本量的0.11%。從整體統(tǒng)計的結(jié)果來看,中國上市公司的整體管理水平似乎是極高的。
鑒于內(nèi)部控制有效性是個時間點的概念,也就是說上市公司披露的內(nèi)部控制有效性結(jié)論是針對2011年12月31日那一天的,而非某個時間段的概念,因此為了在年末“達標(biāo)”,企業(yè)往往盡早開展內(nèi)控梳理工作,盡早開展整改工作。在整個年度的內(nèi)控建設(shè)和梳理過程中,企業(yè)往往會發(fā)現(xiàn)許多內(nèi)部控制缺陷,甚至重大缺陷。這在衡量上市公司內(nèi)部控制水平的“迪博?中國上市公司內(nèi)部控制指數(shù)”上得到印證,該指數(shù)發(fā)現(xiàn),上市公司的內(nèi)部控制水平是呈正態(tài)分布的(見圖1),這表明中國上市公司內(nèi)部控制“極好”和“極差”的企業(yè)都是較少的,絕大部分企業(yè)處于中間地帶。而處于中間地帶的這些企業(yè),其內(nèi)部控制水平和整體管理水平并沒有達到非常優(yōu)秀,并不排除某些業(yè)務(wù)活動或流程中存在內(nèi)部控制重大缺陷的可能性。
那么,企業(yè)究竟在哪些環(huán)節(jié)經(jīng)常會出現(xiàn)內(nèi)部控制的重大缺陷呢?
歸納總結(jié)美國上市公司披露的財務(wù)報告內(nèi)控實質(zhì)性漏洞、中國上市公司披露的內(nèi)部控制評價報告和內(nèi)部控制審計報告,整合迪博多年在內(nèi)部控制與風(fēng)險管理領(lǐng)域的經(jīng)驗,我們發(fā)現(xiàn),首當(dāng)其沖的是人員的勝任能力問題。與“人”相關(guān)的問題,似乎一直困擾著中國的企業(yè),上到公司董事會及其下屬委員會成員、公司高級管理層的勝任能力,下到管理中層、關(guān)鍵管理崗位的人才缺乏,公司整體的人力資源機制優(yōu)化問題,保留人才問題,合理的組織架構(gòu)和崗位設(shè)計問題,人員能力與崗位需求匹配度的問題等等。由于企業(yè)各個管理崗位的能力需求模型是不同的,例如某些崗位需要很強的某項專業(yè)知識,某些崗位需要很強的溝通能力,某些崗位需要人很仔細,應(yīng)當(dāng)有不同能力特點的人才與之匹配,這就是所謂的人員勝任能力。不過企業(yè)往往抱怨,“培訓(xùn)不足,人員數(shù)量或能力有待完善和提升”等等。
第二大問題集中在會計處理事項、財務(wù)報告及審計調(diào)整和內(nèi)部控制程序相關(guān)的領(lǐng)域中。由于財務(wù)部門是企業(yè)信息流的終點,往往是問題集中爆發(fā)的部門。然而,很多在財務(wù)部爆發(fā)的管理問題,以及由外部審計師發(fā)現(xiàn)的管理缺陷和審計調(diào)整,究其原因,并不是由財務(wù)部門本身的管理不足造成的,很多情況下是由于整個信息流、實物流和資金流,在流經(jīng)其他管理部門和管理領(lǐng)域的過程中發(fā)生或逐步積累,最終導(dǎo)致問題在財務(wù)部集中爆發(fā)。
此外,內(nèi)部監(jiān)督機制和IT信息系統(tǒng)也是缺陷高發(fā)的領(lǐng)域,例如內(nèi)部審計的獨立性問題,針對內(nèi)部控制有效性的內(nèi)部審計缺失問題,信息系統(tǒng)一般控制失效問題,信息系統(tǒng)應(yīng)用控制缺陷問題等。
除了上述內(nèi)控缺陷高發(fā)的管理領(lǐng)域之外,如何判斷內(nèi)部控制體系的有效或無效呢?
有人認為,內(nèi)控就是一套強有力的政策和程序。不少企業(yè)會很驕傲地向外界宣稱,他們有很厚的一套制度,裝訂精美,內(nèi)容翔實,而且參照了行業(yè)的最佳實踐。然而實際上,這些制度往往缺少時效性的規(guī)定,缺少罰則的界定,將規(guī)則性的條款與程序性的條款混為一談,某些具體控制活動的描述含糊不清等。深究之下又會發(fā)現(xiàn),制度與制度之間的銜接關(guān)系很難厘清,各業(yè)務(wù)部門往往站在自己的立場來制定制度,至于本部門制度與別的部門制度之間的關(guān)系是否存在重疊,是否存在管理空白,不得而知。在有些企業(yè)中,制度并不是用以指導(dǎo)日常經(jīng)營活動的開展,各個崗位在日常工作過程中并不會去仔細閱讀制度參照執(zhí)行,完成“領(lǐng)導(dǎo)交辦”的任務(wù)往往總是最優(yōu)先的,在這種“人治”的文化影響下,制度的真正作用會非常有限。甚至有企業(yè)覺得“等出了問題再去查制度”,制度變成了推脫責(zé)任的利器。
有人認為,內(nèi)部控制就是內(nèi)部審計等牽頭部門的任務(wù)和責(zé)任,與我沒有直接關(guān)系。有些企業(yè)在開展內(nèi)部控制體系建設(shè)和梳理的初始,就沒能在公司自上而下地認識到,內(nèi)部控制體系的意義是什么。如果僅僅定位于“應(yīng)試”,似乎就是個合規(guī)的事情。實踐發(fā)現(xiàn),起初這樣定位內(nèi)部控制體系的企業(yè),往往最終實施的效果不盡如人意,工作成果與實際情況脫離,甚至形成“兩張皮”的結(jié)果。
有人認為,內(nèi)部控制體系就是對過去事情的檢查,或者是一張“你不應(yīng)該做什么”的清單。有些企業(yè)往往以為,自己的管理一向不錯,過去沒有發(fā)生過什么重大的損失事件,公司在行業(yè)內(nèi)的聲譽一直以來也都很好,因此內(nèi)部控制體系就是好的。更多的企業(yè)則愿意關(guān)注如何把企業(yè)做大做強,更關(guān)注企業(yè)的銷量、產(chǎn)量,在行業(yè)內(nèi)的排名,甚至在世界上的排名,而當(dāng)面對可能存在的風(fēng)險和管理漏洞時,管理層所持的態(tài)度往往是,現(xiàn)在這樣的管理方式并沒有帶來曾經(jīng)實際發(fā)生的壞的結(jié)果,因此“我們不需要改變”。然而,以充滿榮耀的過去來推斷充滿不確定性、充滿變化甚至危機的未來,藉此衡量企業(yè)經(jīng)營管理水平,是否明智呢?企業(yè)管理中,我們的容忍度究竟是什么,是不是只要“沒壞的事情發(fā)生”,就能容忍各種管理缺陷的存在呢?
有人認為,內(nèi)部控制體系會占用核心業(yè)務(wù)人員的時間,并且多年的管理為企業(yè)積累、沉淀下了諸多管理體系,例如質(zhì)量管理體系、精益管理體系、績效管理體系等。為什么還要如此強調(diào)一個內(nèi)部控制體系呢?關(guān)鍵崗位的管理人員也會產(chǎn)生相應(yīng)的困惑,我究竟應(yīng)該遵從哪個管理體系?是原來的管理體系還是內(nèi)控體系,它們之間的關(guān)系又是什么?這個普遍存在的現(xiàn)象表明,企業(yè)并沒有能很好地認識到,內(nèi)部控制體系的實質(zhì),就是“整合”并不斷優(yōu)化。
還有人認為,信息系統(tǒng)就代表了良好的內(nèi)部控制體系。有些企業(yè)覺得,自己上了完整的ERP信息系統(tǒng),有著規(guī)范和良好的信息化管理流程。但他們還沒有意識到,信息系統(tǒng)好比是一個“碗”,系統(tǒng)中跑的實際業(yè)務(wù),就是碗中盛的“菜”,這道菜是否色香味俱全,容器是否合適,是否能符合烹飪這道菜的需求,是個重要的因素,但絕對不是關(guān)鍵因素??梢?,實際業(yè)務(wù)操作的信息流、實物流、資金流如何才能更加高效,如何才能在每個環(huán)節(jié)更有效地防范和控制風(fēng)險,并不取決于信息系統(tǒng)本身的優(yōu)劣,而在于如何在每個環(huán)節(jié)有效地設(shè)計控制活動,并進而固化于信息系統(tǒng)之中,信息系統(tǒng)只是一個載體。在各業(yè)務(wù)流程尚未梳理清晰、在各業(yè)務(wù)流程中的風(fēng)險未能完全有效識別并分析的前提下,匆匆忙忙上馬信息系統(tǒng),可能帶來的結(jié)果就是信息系統(tǒng)的效率低下,升級成本不斷上升。其結(jié)果是,部分企業(yè)甚至抱怨,上了ERP信息系統(tǒng)后,最“有用”的就是財務(wù)模塊。
如何構(gòu)建有效內(nèi)控體系——
內(nèi)部控制整合框架
如何構(gòu)建真正有效的內(nèi)部控制體系?這里不得不提及COSO內(nèi)部控制整合框架。
1992年美國COSO委員會頒布了《內(nèi)部控制——整合框架》。COSO建立此框架的初衷在于,在美國證券市場經(jīng)過了一個世紀(jì)腥風(fēng)血雨的洗禮,經(jīng)歷了各種 “血的教訓(xùn)”之后,希望將一個規(guī)范、對投資者負責(zé)的企業(yè)經(jīng)營管理的各個要素,以模型的方式予以固化和沉淀,讓更多的公司從中受益,讓更多的投資者受益。這種經(jīng)驗的高度概括和沉淀,對中國企業(yè)的經(jīng)營管理,一定有著很重要的意義。
COSO內(nèi)部控制整合框架類似一個“魔方”(見圖2),我們能看到的有三個“面”。居上的一個“面”是內(nèi)部控制的三大類目標(biāo),包括經(jīng)營類、財務(wù)報告類以及合規(guī)類目標(biāo)。在COSO隨后頒布的“全面風(fēng)險管理——整合框架”中,企業(yè)的目標(biāo)演變成了四大類,新增了“戰(zhàn)略類”目標(biāo)。這個框架包含了企業(yè)經(jīng)營管理的所有目標(biāo)。
框架中的正面是內(nèi)部控制的五個構(gòu)成要素,包括持續(xù)監(jiān)控、信息及溝通、控制活動、風(fēng)險評估和控制環(huán)境。很多企業(yè)對五要素并不陌生,但對其為何以此種順序排列,則不知其所以然。
企業(yè)所有經(jīng)營活動的基礎(chǔ)是“控制環(huán)境”,你可以最簡單、最通俗地把控制環(huán)境理解成一個地方的“風(fēng)氣”如何。一個企業(yè)的控制環(huán)境如果很好,就有理由相信,在經(jīng)營管理的各個環(huán)節(jié),大家的工作責(zé)任心很強,執(zhí)行力也很強,各個控制活動是經(jīng)過嚴(yán)格設(shè)計并且有效的;相反,如果一個企業(yè)的控制環(huán)境給人的感覺是管理松散、人治嚴(yán)重、隨意性較強,那么有理由相信,在其各個管理領(lǐng)域中,可能存在重大管理缺陷的概率會相應(yīng)地增大。
在企業(yè)管理中,這種“風(fēng)氣”通常被稱為“文化”,那么,好的文化是如何形成的?文化不是公司的廠區(qū)和辦公室墻上貼的標(biāo)語,也不是領(lǐng)導(dǎo)講話的內(nèi)容,而是企業(yè)每個員工的意識。當(dāng)每個人的意識逐步統(tǒng)一,每個人所表現(xiàn)出來的工作習(xí)慣逐步統(tǒng)一,每個人的價值觀逐步統(tǒng)一,并形成特色的時候,企業(yè)的文化就自然形成了。這樣一種文化形成的過程,需要公司自上而下的正直的經(jīng)營理念、符合實際需要的高效的組織架構(gòu)、合適的人力資源管理機制、良好的社會責(zé)任等,但是在控制環(huán)境的諸多內(nèi)容中,最重要、最根本的,概括起來,就是“人”。因此,企業(yè)必須在明確自己的戰(zhàn)略發(fā)展方向后,明確對于不同產(chǎn)業(yè)的管控方式,明確集團總部與子公司或下屬單位之間的管理界面,并設(shè)計符合需求的組織架構(gòu);在此基礎(chǔ)上,明確各關(guān)鍵崗位的能力需求模型,并在整個內(nèi)控體系建設(shè)和流程梳理過程中,不斷完善這些能力需求模型,進而開展針對關(guān)鍵崗位人員的能力評估,以判斷能力短板,并制定有針對性的能力提升計劃或人才補充計劃。當(dāng)然,這個過程也需要一個良好的人力資源管理機制作為支撐和輔助。
“人”和“文化”是各個管理要素的根本,對于企業(yè)的戰(zhàn)略有著重大的影響。管理大師吉姆?柯林斯從財務(wù)指標(biāo)、運營模式、企業(yè)愿景、經(jīng)營戰(zhàn)略、組織架構(gòu)、技術(shù)支撐等維度,曾對11家明星企業(yè)進行剖析,總結(jié)出曾經(jīng)輝煌的“大企業(yè)”走向衰敗的五個階段:目空一切、盲目擴張、漠視危機、藥石亂投、隨風(fēng)而逝。
能夠成為“大企業(yè)”,其歷史一定充滿了輝煌和榮耀。但在追求躋身世界500強的過程中,企業(yè)是否考慮過,世界500強其實是以經(jīng)營規(guī)模而非管理能力作為參照。我們追求的究竟是短期內(nèi)成為行業(yè)領(lǐng)頭,還是100年后企業(yè)仍然活著。在企業(yè)的不斷擴張過程中,吉姆?柯林斯發(fā)現(xiàn),即使出現(xiàn)了一些潛在危機的信號,即使某些管理指標(biāo)或財務(wù)指標(biāo)開始惡化,“大企業(yè)”的管理層往往會選擇漠視。當(dāng)這些潛在的風(fēng)險和危機信號真正演變成為損失事件時,企業(yè)開始頻繁更換高級管理層,以期望有人能力挽狂瀾,但結(jié)果往往不盡如人意。在前三個階段,企業(yè)需要用風(fēng)險管理的理念來控制發(fā)展不偏離軌道,倘若向第四階段演變時,企業(yè)需要的可能就不再是“風(fēng)險管理”,而是“危機管理”了,因為此時,風(fēng)險不再是未來的不確定性,而是實實在在的損失事件了。
在眾多中國上市公司、中央企業(yè)、大型國有企業(yè)中,不乏追求規(guī)模的不斷擴張中,忽視或者漠視管理中存在的種種隱患的行為。而恰恰此時,是企業(yè)正視風(fēng)險,開展全面風(fēng)險管理,完善內(nèi)部控制體系建設(shè)的最必要、最迫切的時機。一旦等到風(fēng)險逐步累積、量變演化成質(zhì)變后,大企業(yè)走向滅亡也并不是非常困難的事情。眾多明星企業(yè)、百年企業(yè)一夜破產(chǎn)的真實案例,就是最好的證明。
第二個要素是“風(fēng)險評估”。企業(yè)在開展內(nèi)部控制體系建設(shè)的過程中,應(yīng)當(dāng)牢記一個基本的邏輯:目標(biāo)—風(fēng)險—控制。企業(yè)經(jīng)營管理的任何活動都有目標(biāo),影響目標(biāo)實現(xiàn)的不確定性稱之為風(fēng)險,我們需要用控制手段來防范和管理風(fēng)險。根據(jù)COSO內(nèi)控整合框架的定義,企業(yè)的目標(biāo)可以分為三大類,或者以COSO全面風(fēng)險管理整合框架的定義,目標(biāo)可以分為四大類,那么相對應(yīng)地,企業(yè)所面臨的風(fēng)險也可以分為四大類。企業(yè)每時每刻都面臨著各種風(fēng)險,例如內(nèi)部有管理、人力資源、財務(wù)、自主創(chuàng)新和安全環(huán)保等方面的風(fēng)險,外部有經(jīng)濟、法律、自然環(huán)境、法律、社會和行業(yè)技術(shù)等方面的風(fēng)險。
對于單個風(fēng)險的評估,我們可以從兩個維度進行,包括風(fēng)險發(fā)生的可能性,以及如果風(fēng)險發(fā)生對企業(yè)的影響程度。應(yīng)對風(fēng)險,我們可以選擇“風(fēng)險規(guī)避”,也就是當(dāng)評估的影響程度太大,可以放棄做這件事情,以完全規(guī)避風(fēng)險。我們也可以選擇“風(fēng)險轉(zhuǎn)移”,例如購買保險,或者引入合作伙伴共擔(dān)風(fēng)險。也可以選擇“風(fēng)險控制”,運用綜合的管理手段,優(yōu)化某些流程以及其中的控制活動,以降低風(fēng)險發(fā)生的可能性,或者降低風(fēng)險發(fā)生后的影響程度,使風(fēng)險降低到能接受的水平,也就是風(fēng)險容忍度以下。還有一種,當(dāng)評估某個風(fēng)險的可能性和影響程度都不大,本來就在可承受范圍之內(nèi)時,我們可以選擇“風(fēng)險承受”的管理方式;但風(fēng)險承受并不代表不作為,需要定期評估并監(jiān)督風(fēng)險的變化,以及時調(diào)整管理手段。
也許有企業(yè)會問,當(dāng)討論某個單項目標(biāo)時,就會有許多風(fēng)險,每個風(fēng)險都需要分別評估并討論制定應(yīng)對策略;那么企業(yè)的四大類目標(biāo)自然可以分解成許多流程中的若干目標(biāo);而當(dāng)分解到每個工作崗位時,目標(biāo)就更多了。這樣一來,企業(yè)所面臨的風(fēng)險豈不是繁雜而數(shù)量眾多?確實如此,因此才需要把這些風(fēng)險都“管理”起來。此間,我們需要分清哪些風(fēng)險是頭等重要的,也就是影響程度和可能性都很高的風(fēng)險,這些風(fēng)險往往并不能通過簡單的一兩個措施就解決,而需要企業(yè)某些管理機制的整體提升;也有些風(fēng)險可能只需要某個流程中的某些控制活動進行優(yōu)化,就能很好地進行管理。因此,風(fēng)險評估的目的不僅是就風(fēng)險談風(fēng)險,或者找到應(yīng)對措施,更加重要的是,分析各重大風(fēng)險的成因,梳理各風(fēng)險之間的關(guān)系,以便能夠厘清企業(yè)管理提升的整體思路,從而能夠聚焦在那些特別需要投入資源的領(lǐng)域,能夠聚焦在那些問題的根源上,進而進行企業(yè)管理能力提升的整體規(guī)劃。這就是為什么有些企業(yè)各個業(yè)務(wù)部門分別牽頭搞各種管理提升的專項,在改善管理的過程中,往往會走進死胡同,覺得力不能及。如果企業(yè)的管理提升缺乏整體的規(guī)劃,部門牽頭的管理提升專項只能是“盲人摸象”。
依照六字原則“目標(biāo)—風(fēng)險—控制”,我們自然就看到了COSO內(nèi)控整合框架的第三個要素,“控制活動”??刂苹顒邮枪窘?zhí)行的政策章程,以確保管理層的指示可以得到順利貫徹執(zhí)行??刂苹顒颖仨毰c風(fēng)險評估構(gòu)成一個整體,需要依據(jù)風(fēng)險評估結(jié)果以及風(fēng)險可承受度選擇相應(yīng)的控制措施。一般來說,控制措施可以分為不相容職務(wù)相互分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預(yù)算控制、運營分析控制和績效考評控制等。實踐中,企業(yè)各業(yè)務(wù)部門的領(lǐng)導(dǎo)經(jīng)常會向下屬“交辦”一些事情,“交辦”就是控制活動的設(shè)計過程。但是,當(dāng)部門領(lǐng)導(dǎo)在“交辦”時,是否考慮過這件事情能否由此崗位承擔(dān),是否存在職責(zé)不相容的問題,是否存在舞弊風(fēng)險?交辦執(zhí)行的細節(jié)是否針對風(fēng)險進行過考量,是否能夠防范風(fēng)險,如何考核其執(zhí)行是否到位?這些考量,可稱之為控制活動的設(shè)計有效性。因此,控制活動設(shè)計有效的主責(zé)就在于各個業(yè)務(wù)部門的負責(zé)人,他們應(yīng)對各業(yè)務(wù)活動中存在的各種風(fēng)險有清晰的認識和評估,并針對性設(shè)計有效的內(nèi)部控制,交辦給不同的崗位執(zhí)行。同時,他們需要持續(xù)監(jiān)督,以確保控制活動的執(zhí)行有效。當(dāng)這些控制活動都經(jīng)過了悉心設(shè)計,顯性化并固化下來時,各業(yè)務(wù)活動的流程也就逐步顯性化并固化了。
實踐中,有些企業(yè)在進行流程“顯性化”甚至“優(yōu)化”的過程中,對于流程的描述、控制活動的描述非常模糊,例如“相關(guān)部門相關(guān)人員不定期進行檢查”。這樣描述的條款是不具可操作性的,也無法確保落實到位,更無法進行監(jiān)督檢查和績效考核。如果仔細研讀諸多企業(yè)的制度和流程文檔時,類似的問題還不在少數(shù)。因此,在描述任何控制活動時,都必須清楚地表述,哪個部門哪個崗位;以多少的頻率,例如每天、每月、每季度等;控制的客體是什么,例如哪個報表,哪個單據(jù);具體執(zhí)行了哪些事情,例如復(fù)核了數(shù)據(jù)的準(zhǔn)確性;怎么完成這些事情,例如追查到了原始合同以確保數(shù)據(jù)的準(zhǔn)確性;留下了哪些痕跡,例如簽字確認——也就是“5W1H”原則。只有依照這樣的原則進行表述的控制活動、流程描述才是具有可操作性的,才是能夠成為標(biāo)準(zhǔn),用以指導(dǎo)具體工作,并作為監(jiān)督檢查的標(biāo)尺。
企業(yè)固化的流程文檔可以包括流程圖、流程描述和風(fēng)險控制矩陣,這些文檔應(yīng)當(dāng)與企業(yè)的制度相輔相成。制度規(guī)定原則性的內(nèi)容,例如能做什么,不能做什么;而流程文檔規(guī)定的是做事的順序,例如先做什么后做什么,誰來做,怎么做等。制度好比一顆顆珍珠,而流程就是線,串起來之后,你會發(fā)現(xiàn)這是串漂亮的珍珠項鏈。
無論在控制環(huán)境、風(fēng)險評估還是控制活動過程中,都持續(xù)地需要信息與溝通,因此框架的第四個要素就是“信息與溝通”。信息與溝通是指及時準(zhǔn)確收集、傳遞與內(nèi)部控制相關(guān)的信息,確保信息在企業(yè)內(nèi)部、企業(yè)外部之間進行有效溝通。重要信息應(yīng)當(dāng)及時傳遞給董事會、監(jiān)事會和經(jīng)理層。信息流的暢通對企業(yè)的重要性類似于人體的血液流通,人體氣血不通將導(dǎo)致疾病發(fā)生,企業(yè)的信息流不通則會引起各種損失事件的發(fā)生。
在企業(yè),常常會出現(xiàn)部門間“扯皮”、下級“越級匯報”、信息披露的不及時不完整等現(xiàn)象,這些都是信息和溝通不暢的表現(xiàn)。有時企業(yè)會針對這些情況進行探討,尋求改進的方法,但往往隨著探討的深入,發(fā)現(xiàn)其背后的原因錯綜復(fù)雜,無從下手。怎么辦?回到內(nèi)控框架的起點“控制環(huán)境”,通過風(fēng)險評估梳理關(guān)鍵問題在哪里,進而針對問題根源,或改善組織架構(gòu),或改善流程設(shè)計,或改善匯報機制,或改善考核機制等;直至將這些改善的內(nèi)容進行固化,形成了固化的溝通機制——或以會議的方式存在,或以表單、報表的形式存在,或以信息化系統(tǒng)的方式存在等。可見,信息與溝通和其他的內(nèi)控要素形成了相輔相成的關(guān)系,你中有我,我中有你,密不可分。
那么,如何能夠確保這些顯性化的、固化的流程和機制得到很好地執(zhí)行?如何能夠確保前述所有內(nèi)容得到及時地評估和執(zhí)行?這就需要“持續(xù)監(jiān)督”,這是內(nèi)控體系必不可少的環(huán)節(jié)。為什么持續(xù)監(jiān)督會置于內(nèi)控框架的最上層,持續(xù)監(jiān)督的對象究竟是什么?通常,監(jiān)督可稱之為“控制之上的控制”,也就是說,監(jiān)督本身也是內(nèi)控體系的組成部分;持續(xù)監(jiān)督的對象,就是內(nèi)控框架的其他四個要素。監(jiān)督的主體是誰?企業(yè)的各業(yè)務(wù)部門負責(zé)人在日常經(jīng)營管理過程中,監(jiān)督著所負責(zé)流程的設(shè)計和執(zhí)行有效性;企業(yè)的內(nèi)部審計部門,獨立于所有經(jīng)營管理層,監(jiān)督著整個內(nèi)控體系的有效運行,并獨立匯報給董事會下屬的審計委員會。因此,持續(xù)監(jiān)督可以分為兩個方面:即管理層的日常監(jiān)督;內(nèi)部審計的獨立監(jiān)督。試想,如果企業(yè)各業(yè)務(wù)部門并不認為內(nèi)控的監(jiān)督職責(zé)是自己應(yīng)該履行的責(zé)任,而企業(yè)的內(nèi)部審計并不獨立于經(jīng)營管理層,甚至并不開展針對內(nèi)部控制有效性的監(jiān)督工作,導(dǎo)致整個內(nèi)控框架中監(jiān)督要素缺失,我們?nèi)绾文軌蚪o出內(nèi)部控制體系“有效”的結(jié)論呢?
在理解了內(nèi)控框架的正面五個要素后,我們會發(fā)現(xiàn):有效的內(nèi)控體系,并不是一套整層和程序這么簡單,而是適于一個強有力的控制環(huán)境;內(nèi)控也不僅僅是財務(wù)部門和內(nèi)部審計部門的責(zé)任,是企業(yè)自上而下所有人都必須參與在其中的,是涉及經(jīng)營管理方方面面的內(nèi)容;內(nèi)控也不是針對過去事情的檢查,而是針對風(fēng)險而不斷優(yōu)化的管理提升整體方案,關(guān)注的是未來的不確定性;內(nèi)控更加不是一套信息系統(tǒng),信息系統(tǒng)只是業(yè)務(wù)的載體,也是內(nèi)控的一個組成部分。
在內(nèi)部控制整合框架中,第三個“面”不得不提,就是內(nèi)部控制所針對的主體的單元或活動。也就是說,內(nèi)部控制體系可以適用于不同大小的單元,不同的業(yè)務(wù)活動。試想一下,每個部門都有自己特有的控制環(huán)境,有自己面臨的特殊風(fēng)險,有針對這些風(fēng)險而設(shè)計的控制活動,有自己的溝通方式,也有部門負責(zé)人的日常持續(xù)監(jiān)督;每個業(yè)務(wù)活動,例如采購,也同樣如此。因此,我們可以將內(nèi)控框架模型想象成無數(shù)個單元,或業(yè)務(wù)活動內(nèi)控框架的疊加,這就形成了一個企業(yè)的內(nèi)控框架。
同樣的,對這個內(nèi)部控制整合框架“魔方”,如果橫向能夠進行拆分和疊加,縱向是否也可以呢?試想一下,當(dāng)我們在經(jīng)營類目標(biāo)中,定義出一個子目標(biāo),并稱之為“質(zhì)量”時,我們發(fā)現(xiàn),針對質(zhì)量目標(biāo),有與質(zhì)量相關(guān)的控制環(huán)境,與質(zhì)量相關(guān)的風(fēng)險評估體系,與質(zhì)量相關(guān)的業(yè)務(wù)流程和控制活動,與質(zhì)量相關(guān)的信息與溝通方式,還有與質(zhì)量相關(guān)的監(jiān)督體系,同時分布在各個業(yè)務(wù)單元和業(yè)務(wù)活動之中。有的企業(yè)也許會說,這不就是質(zhì)量管理體系么?確實如此。于是,當(dāng)這些子目標(biāo)整合在一起,并且歸納為三大類或者四大類目標(biāo)時,內(nèi)控框架從另一個維度整合了。
回過頭來再看COSO給出的內(nèi)部控制框架的名稱:內(nèi)部控制——整合框架,其中的“整合”之意,越發(fā)值得體味。可見,內(nèi)控體系并不是一個獨立的新的體系,而是一個以風(fēng)險為導(dǎo)向的,全員參與的,以企業(yè)整體管理提升為目的的,不斷優(yōu)化的過程體系。這個體系需要企業(yè)自上而下地建設(shè)和開展具體工作,需要有全局的考慮和長遠的規(guī)劃,需要企業(yè)作為一個整體,有效地應(yīng)對風(fēng)險,并持續(xù)優(yōu)化,自我運行,自我完善。
中國的《企業(yè)內(nèi)部控制基本規(guī)范》就借鑒了COSO《內(nèi)部控制——整合框架》(見圖3)的形式,但在內(nèi)容上卻體現(xiàn)了2004年COSO《企業(yè)風(fēng)險管理——整合框架》的特征,并融入了中國的基本國情。
誰是內(nèi)控實施的關(guān)鍵成功因素——
最高領(lǐng)導(dǎo)層的整體思路
內(nèi)部控制是通過與企業(yè)的管理體系有機整合發(fā)揮其作用的,如何確保內(nèi)控實施能夠成功?關(guān)鍵因素在于企業(yè)最高領(lǐng)導(dǎo)層實施內(nèi)部控制的整體思路與對內(nèi)部控制體系的正確定位。
我們不妨將內(nèi)部控制體系以另外一種方式表述(見圖4):最高領(lǐng)導(dǎo)層在明確企業(yè)戰(zhàn)略后,依據(jù)戰(zhàn)略設(shè)置相應(yīng)的管控模式,確定企業(yè)的組織架構(gòu),進而設(shè)計合理人力資源管理機制,確立相應(yīng)的業(yè)務(wù)流程,在整體的IT規(guī)劃之下,逐步實現(xiàn)流程的信息化。遵循“目標(biāo)—風(fēng)險—控制”的核心思想,我們需要尋找的是,在圖4這個簡化的模型中,企業(yè)的風(fēng)險會落在哪個層面?哪個層面的風(fēng)險才是問題的根源?是否存在要素的明顯缺失?整體提升的切入點在哪里?未來的工作重點又在哪里?該如何改進設(shè)計?該如何提升執(zhí)行力?回答這些問題的過程,也就是內(nèi)部控制體系建立和完善的過程。
何謂內(nèi)部控制最高境界——
從心所欲,不逾矩
每個企業(yè)都有著自己獨特的內(nèi)部控制體系,但管理的水平卻可能參差不齊?!兜赖陆?jīng)》有云:“太上,不知有之;其次,親而譽之;其次,畏之;其次,侮之?!北砻髁艘粋€皇帝管理國家的不同境界,同樣,這句話可以用來說明企業(yè)內(nèi)部控制水平的從高到低四個不同境界:渾然不覺的境界、道德感召的境界、法律規(guī)范的境界、人治天下的境界。
我們需要的是將企業(yè)的內(nèi)部控制體系逐步從人治走向法治,以法治的手段,逐步沉淀為文化,目標(biāo)是無為而治。那樣的境界,用孔子的一句話概括,就是“從心所欲,不逾矩”。
(作者系迪博企業(yè)風(fēng)險管理技術(shù)有限公司副總裁)