企业内部控制优化“三步式”方法探究
赵基全
【摘 要】 内控体系建设和完善是一个长期、持续的过程,企业的内部控制既要有效,又要适度,内部控制应当与企业的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。要实现流程化、风险为导向的内部控制,需从梳理现状、诊断缺陷、实施优化三个阶段实施,文章从内部控制具体实践出发,以风险为导向梳理企业业务体系、制度体系,从完整性、合理性、有效性三个方面进行制度规范、用制度控制风险、强化制度执行,并进行缺陷优化。研究结论对提高企业内控管理水平,助力企业稳健运行和价值提升有重要意义。
【关键词】 内部控制; 风险管理; 三步式; 流程梳理
一、引言
企业内部控制已经成为提高经营管理效率、规范业务发展的重要管理手段,而内部控制的机构设置、技术发展和流程处理等路径安排在业内并无统一的标准,应该根据企业自身风险偏好特点,选择适当的、有效的内部控制路径,在企业内部控制体系的建设与发展过程中,部分企业形成了内部控制、风险管理和合规管理多头监管的局面,出现了部门职责的交叉重叠所导致的工作不顺畅的问题,正是在这一背景之下,2019年11月14日,国务院国资委在组织调整的基础上颁布了《关于加强中央企业内部控制体系建设与监督工作的实施意见》,明确要求整合企业风险管理、内部控制和合规管理。对于企业来说,如何整合建设以“强内控、防风险、促合规”为目标的内控体系[1],就是一个现实的问题。本文结合当前企业内部控制工作的现状和有关的监管要求,分析企业在内部控制建设方面存在的问题,从内部控制目标、作用、实施及存在的缺陷等方面,提出内部控制思路、改善路径,针对性地提出企业内部控制优化的“三步式”工作方法,以促进企业内控体系不断健全。
二、企业在内部控制建设方面存在的问题
企业内部控制设计与实践在国内已经发展数十年,不少企业已经梳理建设出一套完整成熟的体系,有的已经从内部控制单一理论发展为整合内部控制、风险管理与合规管理的方法论体系,并配套建立了相应的电子系统。但一些企业在内部控制建设方面仍存在不少问题,掣肘了发展,表现在[2]:
(一)流程化的内部控制有待进一步完善
一些企业以部门为单位进行业务内部控制,组织架构仍以部门职能作为主要形态,将完整的业务流程割裂为若干部分,未建立流程负责人或控制负责人的概念,不利于内控管理的职责分工,由于内控责任尚无章可循,使得部分人员将内部控制等同于牵制、制衡、复核、监督,局限地将内控建设理解为控制活动或仅为内控部门的职责,真正意义上的流程化管理步履维艰,部门接口的环节出现控制缺失或冗余情况,部门衔接环节的内控责任界定不清,导致内控执行人员缺乏全流程概念,执行过程中互相推诿、扯皮的现象时有发生。
(二)风险管理的认知和評估存在缺陷
一是风险管理的认知水平低。随着经济社会多元化发展,企业面临的风险处于动态发展变化中,存在对风险认知不一致,风险评估范围不够全面、评估标准不统一,难以达成一致的风险热图或业务流程地图,并以此作为识别重大风险和流程层面的关键控制的基础,对于一些新业务、新产品又缺乏足够的风险前瞻预判能力,风险识别与评估机制建设相对滞后,风险计量的模型、监控预警的规则不能及时有效地防范风险。二是信息技术利用水平低。一些企业对信息资源利用度低,信息局限于单个部门或机构内部,或分散在各个业务系统的现象仍较为常见,难免会形成信息孤岛,一定程度上增加了风险,上传下达过程中容易出现理解偏差、拖延、避重就轻、信息疏漏等现象,进而影响企业相关政策和制度的落实。
(三)内部监督的方法应进一步完善
一是缺乏适用的内控评价指标体系。完善的内控评价标准与程序未能建立,对出现的损失事件、经营管理领域的重要变化的再评价不及时,内控评价结果的约束和激励效果不理想。二是在绩效考核体系方面,企业内控责任未能清晰界定,进而无法建立实施有针对性的内控绩效考核,直接影响了整体内控环境运行的有效性。
三、企业内部控制优化的“三步式”
内控体系建设和完善是一个长期、持续的过程,实现流程化、风险为导向的内部控制,需从梳理现状、诊断缺陷、实施优化三个阶段实施。
(一)以风险为导向梳理现状
21世纪初以来,内部控制进入全面风险管理阶段。这一阶段的重要标志为美国COSO委员会于2004年4月发布的《企业风险管理——整合框架》[3]。该报告的主要内容是在1992年COSO内部控制框架基础上,建立了企业全面风险管理框架。近年来,COSO架构历经调整变更[4],我国企业内部控制规范应用以法律、规章、行业监管为主,具有很强的外部性,同时也呈现精细化和融合化发展趋势[5],企业内部控制制度体系建设,应该以风险的识别、评估与控制为导向。风险存在于企业生产经营管理的各个环节,所以,以风险为导向的内部控制建设,应该从企业管理现状出发,首先梳理企业的业务体系和制度体系两个方面的现实情况[6]。
1.业务体系
对业务体系的梳理,就是要明确企业有哪些业务,是如何管理的,流程是如何执行的。流程化既是风险管理的需要,也是提升内部管理效率的需要,是制度落地的具体手段和关键措施。内部控制必须以流程化为前提,内控的流程化必须以岗位为节点,流程化的效果决定了内控效用大小,在对业务体系的梳理过程中,应重点关注两个方面的问题。
一是业务体系的梳理应该以财政部发布的18项企业内部控制应用指引[7]为依据,密切结合企业实际情况,全面覆盖且重点突出。一方面,财政部所发布的18项内部控制应用指引为一般行业的企业建设内部控制提供了一个基本的框架体系,企业的业务现状的梳理应该在这个框架体系的基础之上展开。另一方面,不同行业的企业,业务的重心有所不同,所以在结合18项应用指引梳理的基础之上,需要体现企业的行业特点。比如说,对于制造业企业来说,采购、生产、销售、存货管理等领域属于非常重要的内控领域。但如果是服务业行业的企业,如研究设计院,内部控制的重点领域则更多的是项目的全过程管理。
二是在梳理的过程中,一般应该按照业务领域、业务模式、业务阶段三个层次做逐级细化,最终完成企业的业务地图。
2.制度体系
在完成业务体系的梳理之后,对制度体系的梳理相对来说比较简单,需要特别重视两个方面的问题。
一是制度体系的梳理应该以业务体系为基础,也就是说在前述业务地图的基础之上,将企业现有的制度与业务地图做匹配,在做制度匹配时,应基于流程视角,从客户需求和客户满意两个角度出发,关注流程接口、严格管理职责、识别关键控制点、按重要性优先次序排列流程、聚焦核心流程和关键绩效区、识别事项与风险,促进内控目标实现。
二是需要关注,由于前述业务地图是按照业务的线条和流程梳理的,而在企业里制度体系往往是按照部门起草和发布的,所以在将制度体系匹配到业务体系时,一般会出现制度与业务并不完全匹配的问题。比如说,在集团化企业,工程建设项目是一个系统性的业务程序,但在梳理制度的时候,很可能会发现计划部门有项目计划管理制度、财务部门有项目财务管理制度、工程部门有项目施工管理制度、审计部门有项目审计管理制度,这就需要在对现有的制度体系进行梳理的同时,对制度的具体规定加以细化梳理,并将细化梳理的结果匹配到业务体系中。
特别需要强调的是,在对企业的业务和内部控制制度现状进行梳理的时候,一定是先梳理业务,再梳理制度,而不是相反。否则,现有制度存在缺失的业务不会纳入业务梳理的范畴,导致最终建立的制度体系不够完整。
(二)以问题为导向诊断缺陷
内部控制诊断包括三个层面,一是完整性,二是合理性,三是有效性,分别关注的是现有的业务有没有相应的制度规范、现有的制度能不能够有效控制风险以及现有的制度有没有得到执行三个层面的问题。
1.完整性
完整性诊断就是需要判断是不是所有业务都有制度规范加以保障,具体来说应该关注以下两个层面的问题。
一是重要的业务都应该有制度加以规范。这就涉及到如何判断重要性的问题。一般可以从金额和性质两个方面入手。一方面,一项业务的金额越大,也就越重要,越应该通过制度加以规范。比如说,一个工业企业每年采购备品备件费用为100万元,那么备品备件的采购就应该有制度加以规范,但每年采购办公用品10 000元,那么办公用品的采购就不一定需要单独的管理制度。另一方面,要关注业务事项的标准化程度,业务事项的标准化程度越低,这个业务事项在内控里重要程度就越高,越应该通过制度加以规范。比如说,一个电解铝生产企业每年用电费用为1 000万元,并不需要有单独的购电管理制度,但每年非标件的定制采购100万元,因为标准化程度低,风险较大,所以,需要专门的制度加以规范。
二是制度对现有业务事项的规范,不能仅仅停留在业务领域级,还应该细化到业务模式和业务阶段级。比如说,对于采购业务的规范,不仅仅需要有采购管理制度,而且采购管理制度里需要对各种不同类别采购模式以及每一种采购模式下各个不同阶段的工作,都用制度加以规范。特别需要强调的是,在对完整性进行梳理的时候,这个层面的问题比业务领域层面的完整性更为重要,也是目前很多企业的内部控制工作中常见的问题,可以将业务分解为不同的业务领域、业务产品。运用风险地图识别相应风险,重点关注业务流程描述过程与风险控制目标是否一一对应,将业务活动与岗位、职责、风险应对、监督等紧密结合,形成内部控制业务流程链条。
2.合理性
对现有制度合理性的诊断,就是假设现有的制度在得到有效执行的情况下,能不能控制业务中所存在的风险,重点关注以下三个方面的问题。
一是需要明确识别每个业务事项中可能存在的风险。制度的建设与执行是为了控制业务中可能存在的风险,没有风险也就無从判断制度本身的合理性。本文不打算详述风险的识别与评估,但需要强调的是,风险事项的认定必须是损失与损害导向的,而不应该是流程执行导向的。比如说在应收账款管理中,应该认定的风险是把产品赊销给没有足够实力的客户所导致的应收账款无法全部回收的风险,而不是赊销没有经过审批的风险。这是因为只有当把风险定义为损失或者损害的时候,在制度建设与优化的过程中才能够找到明确的方向。有一些企业把风险定义为制度与流程本身的建设与执行,所导致的问题是控制点越来越烦琐,流程的链条越来越长,制度建设与执行的风险导向性反而越来越差。当然,制度建设与执行并不是不重要,但制度建设与执行中存在的问题是内部控制的缺陷而不是风险。
另外,以内部控制、风险管理和合规管理整合为导向的内部控制优化,在识别风险的时候,应该特别注意将不同管理领域的风险做系统性的梳理。限于篇幅,不再赘述。
二是在对现有制度的合理性进行诊断时,是假设这个制度能够得到有效执行。制度不能够得到有效执行所可能带来的问题,属于有效性诊断的范畴。
三是内部控制合理性的诊断,特别依赖于诊断人员的经验。在实际工作中,一方面这个工作应该交给企业里有足够经验的人员去执行,另一方面可能需要外部专家的配合。
3.有效性
对有效性的诊断就是关注现有的制度是否得到了执行。需要特别强调的是,内部控制诊断的前两个环节是对制度文本本身的诊断,而有效性的诊断不是对制度文本本身的诊断,是对制度执行情况的测试,一般应该按照以下顺序展开。
一是选择业务样本。一般来说,在选择业务样本的时候,既应该以等距、随机等抽样方式抽取一定量的随机样本,也应该结合企业的业务实际情况选择具有代表性的或者重要的典型样本。
二是以选取的业务样本为基础进行执行测试,一般包括审阅业务执行过程中留下的相关凭证、观察业务的执行过程、询问相关业务人员,有必要的话,重新执行或模拟重新执行相关的业务流程。
三是如果测试的结果与制度规定完全一致,则对测试过程进行记录,如果不一致,则对不一致的样本做记录,一般应该记录制度规定与实际执行的差异情况、产生差异的原因、相关人员的解释等,必要的时候,应该采集测试证据。
上述完整性、合理性和有效性诊断的结果,最终形成内部控制缺陷报告。内部控制缺陷包括完整性缺陷、合理性缺陷和有效性缺陷,其中前两种情况属于设计缺陷,后一种情况属于执行缺陷。
(三)以缺陷为基础实施优化
内部控制优化,主要是两方面的工作。一是针对内部控制诊断阶段所提出的完整性和合理性缺陷,强化制度的完善与建设;二是针对内部控制诊断阶段所出现的有效性缺陷,强化制度的落地实施。但目前内部控制在大多数企业没有引起足够的重视,一方面,导致很多企业的内部控制建设工作流于形式;另一方面,流于形式的制度建设的结果也不可能落地实施,严重阻碍了整体内控体系的完善。
1.通过顶层设计实现相互牵制
内部控制制度的建设与完善,最重要的首先不是要写出制度条文,而是要在企业内部不同层级、不同部门之间正确划分职责与权限界面,从而正确处理部门与部门之间、岗位与岗位之间、层级与层级之间的牵制关系。有两个方面的问题在很多企业现有的内控制度建设过程中重视不够,迫切需要解决。
一是在强调内部控制的牵制原则的时候,很多企业重视岗位牵制,比如说会计与出纳的牵制,但对部门与部门之间的牵制、企业分管领导之间的牵制,重视不够。企业有一些内部控制的领域,标准化程度很低,金额比较大,风险很高,仅仅进行岗位牵制是不够的。比如说,在有一些有大额工程的企业,工程过程管理与造价结算的审核与委托审计在同一个部门内部隶属于不同的岗位,这种牵制是有问题的,由于工程建设过程的标准化程度比较低,特别是有大量的变更,施工管理与后期的造价结算审核与委托审计在同一个部门,容易在价款结算环节导致舞弊,这两个职能不仅不应该在同一个部门,更不应该由一个负责人来分管。
二是在现有的牵制体系的建设过程中,企业的最高管理者重视程度不够。在很多时候,制度建设的重心落在了部门,而部门在起草制度和执行制度的过程中,难免会存在部门本位主义。因此,实现内部控制的牽制,要明确制度的建设首先是顶层设计,然后才是部门起草。也就是说企业的管理者特别是一把手要在内部控制建设过程中理顺不同部门、不同层级的职责与权限界面,在职责与权限界面的划分过程中,嵌入牵制的相关要求,在此基础之上,才能够由每一个部门去推进部门内的制度建设与执行。
2.加强对下属企业内部控制的监督管理
与上述问题有类似之处,在集团化企业的内控体系建设与优化过程中,还应该明确一件事情,就是对子公司的董、监、高的内部控制,是集团公司内部控制监管应该重点关注的问题,如子公司领导班子成员的分工与牵制,这在子公司的内控建设过程中是一个非常重要的问题,集团公司的内部控制工作职能部门也应该对此引起足够的重视,不能寄希望于子公司自身的内控体系建设解决这些问题,背后的原因,仍然是自我管理难以避免的本位主义[8]。
3.强化规矩与程序
明确了职责划分与相互牵制以后,内部控制制度建设的另外一个问题是必须要认识到内部控制制度的核心不仅仅是审批的程序,更重要的是审批的规矩。有很多企业在内部控制体系建设过程中存在一个误区,花大量的时间起草相关的制度条文和有关的流程图,但对于制度条文和流程图执行过程中的规则不够明确,比如在采购预付有关的内部控制制度中,很详细地规定了多大金额的预付款应该由谁、按什么样的程序来审批,但并没有规定什么样的供应商可以预付,什么样的供应商不能预付,以及决定给每一个供应商预付额度的确定规则。需要强调的是,内部控制制度的作用不仅仅是在不同的部门和不同的层级之间划分职责和权限,更重要的是要明确每一个层级、每一个部门、每一个岗位做事情的规则和标准,也就是说做事要有规矩。
4.探索将内部控制制度的实施纳入考核的办法
任何完善的制度建设,最终想要发挥作用,必须通过制度的落地实施来实现。关于内控制度的落地实施,现有的讨论已经很多,本文想特别强调的一点是,在集团化企业里边,在集团公司的内部控制职能部门强化了对子公司的内控监督管理之外,另外一个促进企业内控制度落地实施的手段,就是要探索把内部控制制度的落地实施情况纳入企业考核的办法。比如说,将年度内部控制评价细化为日常内控评价,通过设计KPI指标和日常考核工作结合,通过不断完善评价指标强化企业的日常经营管理;又或者把年度内部控制自评工作和年度考核工作结合起来,在年度内部控制自评的执行缺陷的基础之上,制定执行缺陷纳入考核的计分规则,并根据计分规则在年度考核时进行考核,兑现奖惩。
5.内部控制电子化
随着经济发展,电子技术的广泛应用,企业发展已经全面步入了IT时代,日新月异的电子技术正给经营管理带来翻天覆地的变化。如对银行而言,网上银行的推行,手机银行、无人银行使人们远离柜台,更加自主地享受金融服务。可以毫不夸张地说,离开了IT支撑的企业,无异于新时代的恐龙。因此,在推行内部控制时,必须以电子化作为手段,尽可能实现各类管理业务系统“机控”代替“人控”[9]。
四、结论
内部控制理论体系随着经济发展得到了迅猛发展。企业越发展,内部控制重要性愈发凸显。当今企业界,管理已经成为其核心竞争力,内部控制是管理最重要的手段,从这个意义上讲,内部控制能力决定了企业的成败。随着业务线、产品线的日益多元化,由“单一业务风险控制”向“全面识别关联风险控制”转变,要求内部控制工作内容更加丰富,随着信息化建设潮流,“大数据+智能化”的控制技术水平进一步提高,因此,内部控制改善路径的探索永远在路上。
【参考文献】
[1] 黄胜忠,刘清.企业内部控制与合规管理的整合[J].财会通讯,2019(17):105-108.
[2] 晋商银行内部控制体系建设与交流[Z].
[3] COSO.企业风险管理——整合框架(节选)[A].2004.
[4] 孙友文.首次全面解析2017COSO正式版《企业风险管理框架》[J].工业审计与会计,2017(4-5):7-10.
[5] 杨智浩.新时期国企党风廉政建设与加强内部控制的共进研讨[J].企业与文化,2019(2):49-51.
[6] 耿云江.王丽琼.成本粘性、内部控制质量与企业风险[J].会计研究,2019(5):75-80.
[7] 财政部,证监会,审计署,等.企业内部控制基本规范[A].2008.
[8] 顾雪玲.我国财政部门内部控制制度优化设计[J].会计之友,2019(24):89-93.
[9] 叶陈云,宋蕊.企业运用管理会计技术方法提升风险管理能力的策略[J].财务与会计,2017(13):59-60.
[10] 周婷婷,张浩.COSO ERM框架的新动向[J].会计之友,2018(17):82-85.
[11] 邓云君.裴潇.管理会计视角下企业风险管理框架:全球观[J].财会通讯,2017(23):108-111.
[12] 巴塞尔委员会.银行组织内部控制系统框架[A].1998.
[13] 刘新宇.基于会计操作风险视角下我国商业银行内部控制研究[D].沈阳:辽宁大学博士学位论文,2011.
[14] 张小霞.现代商业银行制度研究[M].北京:中国财政经济出版社,2005:77-85.