以下,將對上述五個環節進行詳細解讀。(見插圖:制定內控體系線路圖概要,)。
作為內控管理的第一站,內控戰略規劃的重要地位在于其對以后實施內控系統建設的所有方面的影響。合理的戰略規劃可以使企業的內控管理效率大幅度提高,確保企業的治理水平迅速達到所有者和管理層的預期目標。
制定企業內控戰略規劃具體應該注意掌握以下幾個方面:
1.與企業戰略目標保持嚴格一致
企業戰略目標是制定企業所有具體業務目標的基礎,內控戰略目標也必須符合企業總體戰略目標確定的方向。當前,關于企業的戰略目標、原景、核心價值觀等的主流觀點基本上都是圍繞著如何發展成為一個有社會責任感的企業來確定的。
內控戰略目標通常可以按照企業希望達到的發展水平來確定。假如某企業的戰略目標是在一定的期限內成為本行業的領導者并希望基業常青,那么其內控體系的戰略目標就必須為符合這一要求提供有力的支撐;既不能高于這個目標,也不能低于這個目標。惟此,才能被企業內所有利益相關者和運營管理的所有參與者所接受。
此外,內控戰略目標可以根據企業的發展狀況分階段確定。例如在某個階段達到行業先進水平;某階段達到國內同行業先進水平;某階段達到國際先進水平等。
2.明確實現目標的具體標志
事先確定內控戰略實現的具體標志,既可以為企業制訂年度內控工作計劃或績效考核目標提供具體的依據,也可以為日后評價本企業內控戰略目標的實現狀況提供評價依據。
例如:某企業的內控戰略目標是達到本省同行業先進水平。那么,企業就必須對本省的同行業內控管理的基本情況有所了解。然后確定自己的評價標準或實現標志。評價標準可以具體設置為:企業內控管理程序建設情況;內控組織系統建設情況;內控審計手段的先進和有效程度;舞弊案件的損失指標;企業的風險指標;全體員工對內控管理的理解情況等等。
3.基于企業實際需要的準確定位
所謂“準確”定位的標準就是目標必須與本企業的實際情況相符合,并清晰明了。例如一家小型企業集團的內控戰略目標沒必要定的太高;實現標志可以比較簡單;業務范圍可以適當縮小。這樣,就可以以較低的成本投入達到預定的控制目標。
4.明確內控工作理念
這是開展企業內控工作的基本準則,否則不但內控體系起不到應有的積極作用,反而會成為企業發展的掣肘之物。例如建立“寓監督于服務”之中的工作理念,就可以避免單純的監督審計容易引起抵觸的缺陷;按照內控五要素,建立全面預防風險的原則,就可以為開展內控工作提供具體的評價依據。
5.認同
內控戰略目標確定過程必須經過所有者或最高管理層的批準和確認。能夠在獲得高層批準前,先征求下屬分、子公司管理層的意見并取得一致意見也是非常必要的。這些舉措可以為日后推行內控管理減少阻力。
完成內控戰略規劃后,我們就可以進入下一站:
機構設置
內控機構設置的主要工作包括:確定機構名稱、層級、匯報對象、專業人員的具體名稱、工作崗位設置、工作內容確定、人員選拔和素質要求、工作的具體原則等。以下將主要討論組織機構的設置、內控工作的具體內容和崗位確定。
1.組織機構設置
目前中國規模較大的國有或上市公司,通常都會在監督決策層設置監事或獨立董事、董事會下的審計委員會;在運營管理層則設置內部審計部或監察部等職能部門。應該說已經建立了內控組織機構。但關鍵是這些機構存在許多缺陷,這些問題構成了當前公司治理的主要障礙之一。具體表現如下:
*具體執行機構缺失
比如,企業中通常沒有具體的執行機構為監事或獨立董事的實現監督職能提供“硬件”條件;這使得監事或獨立董事的職務常常“淪為”一種對外形象功能,在人員安排上以安排退休前的資深領導為主。審計委員會通常也處于相同的情況,其獲得信息的來源主要是董事長和總經理等高層管理者,無法真正履行其監督職能。
*內部審計部通常在工作范圍以及報告對象上處境尷尬
一般企業的審計范圍僅限于財務審計;其工作報告對象通常只是其監督對象的財務總監或總經理。筆者認為,比較理想的內控管理組織機構,應當在一定獨立性的條件下,能夠具體介入企業日常運營管理工作。這一點應當和外部審計有所區別。一些像BP這樣的國際化大公司在其業務組織機構中就使用了內控部代替內部審計部。表面看,只是名稱不同,但實際上卻有著非常大的區別。主要表現在:
A.獨立性程度不同
內部審計部通常按照審計規則要求,為保持完全的獨立性不得介入企業的日常經營活動。而內控部則可以較深入地介入企業的日常經營活動,了解更多的情況并提供管理咨詢服務,從而達到“寓監督于服務之中”的效果。
B.審計檢查范圍不同
雖然當前的內部審計部在審計范圍上也在力求突破傳統的財務審計,向運營管理審計方面發展,但畢竟受到從業人員資格和工作背景的限制,無法真正實現其對運營管理的有效監督檢查。而內控部由于在雇傭人員方面沒有局限性(非財務和審計資格的人員也可以參加內控審計檢查工作),因此,可以做到對企業的全面運營管理實行更有效的監督檢查。
C.報告對象不同
內部審計部通常只是向企業的CEO報告工作,向CEO負責。因此,許多涉及CEO本人利益的問題通常無法得到徹底解決,甚至根本無法解決。而內控部則可以在向企業CEO報告工作的同時,還能直接向審計委員會、甚至監事或獨立董事報告工作。這在一定程度上保證了審計報告的真實可靠性。
基于上述分析,筆者認為,比較理想的內控組織機構可以這樣設置:
圖1中的紅色部分為企業所有者;草綠色部分為決策和運營管理系統;黃色部分則是監督檢查系統。
2.確定內控工作具體內容
要實現對企業運營管理的全面監督檢查,最大限度保證監督檢查的有效性,內控工作主要應當包括以下內容:
*組織開發和維護企業管理程序;
*組織開展企業風險評估,建立運營管理風險預警系統;
*檢查評價企業授權管理體系;
*審計檢查企業運營管理,包括年度例行審計和專項審計;
*組織開展各項調查,如利益沖突調查、內部自查(ICRQ)、舞弊案件調查等;
*制定年度審計計劃,編制制定和修改審計指導(或評分審計);
*評價考核內控人員的工作,審核下屬分、子公司內控人員的任職資格并予以業務指導;
*配合協助外部審計師工作并跟蹤檢查其管理意見書的落實情況;
*參加公司董事會、高層經營管理會議,定期或不定期向CEO和董(監)事會、獨立董事報告運營管理中存在的重大風險;
*對企業重大管理決策提供咨詢意見;
*培訓企業專業內控管理人員和各級業務管理人員;
*管理企業內部的內控網站和宣傳刊物(論壇);
*向董事會、CEO提出對分、子公司高級管理人員的獎懲意見和建議;
*與企業戰略投資者和有關政府機構保持溝通;
*其他董(監)事會、獨立董事、審計委員會、CEO等安排的咨詢管理工作。
3.工作崗位設立
在集團總部內控部,工作崗位可以設置如下:
*內控部總監(部長、經理等):內控部總監的工作主要就是組織和領導集團的內控體系正常運轉。內控總監通常應該兼任集團董事會的審計委員會成員。其工作除直接向集團CEO報告外,同時也向集團監事會或獨立董事或審計委員會報告。
*內控經理:協助內控總監開展工作。內控經理直接向內控總監匯報工作。
*審計經理(或內部審計師):審計經理負責運營公司的內部審計,包括年度例行審計和專項審計。審計經理直接向內控總監匯報。
*風險經理:負責集團風險評估和運營風險預警;協調處理集團保險業務。風險經理直接向內控總監匯報工作。
*內控總監助理:負責協助內控部所有內勤工作。直接向內控總監報告工作。
在分、子公司一級,內控機構和崗位設置可以根據該公司的實際規模比照集團內控部方式設置。也可以根據業務發展的實際狀況簡化處理,如只設立內控經理崗位而不設內控部。但是,無論是否設置內控部,內控經理的報告對象都應該是公司總經理和公司監事;在業務上接受總部內控部的指導,惟此,才能夠保證其工作的獨立性和審計結果的客觀性。
企業在具體決定設置內控組織機構和內控人員數量時,應充分考慮本企業的實際條件和需要,建立起精干并充滿活力的內控組織系統。完成組織機構設置后,我們將進入下一站:
系統培訓
任何企業在推行某個新的管理方法前,最大的問題就是如何快速、有效地轉變人們已經習慣了的各種傳統工作方法和思路。由于采用現代企業內控管理的具體操作方法將直接影響到企業現有的權力結構,這就意味著會遇到巨大的阻力。為此,企業內控管理人員必須要對所有相關利益者進行系統的內控培訓,在系統運行之前,把阻力減到最小。培訓的內容主要有:編制培訓資料、確定培訓計劃以及實施培訓。
1.編制培訓資料
*通過各種渠道收集內控管理資料和各種案例。內控案例應當以本企業已經發生的事件為主,適當選用社會案例;
*根據本企業實際情況,篩選資料;
*使用各種演示手段,組織編排演示文本,電子版本和紙質版本;
*培訓資料應盡量使用各種案例解釋各種概念。
2.確定培訓計劃
*確定培訓對象
內控培訓對象應該包括企業董(監)事、CEO、CFO等全體高層管理人員和普通管理人員。普通管理人員中應當包括庫房保管、司磅人員、質量檢驗人員、保衛干事等敏感崗位的操作人員。
*培訓方法
脫產專門培訓和現場在崗培訓,單獨溝通交流培訓以及工作交流培訓等多種形式。
*確定培訓的目標和具體實施的時間以及考核評價培訓效果。內控培訓應該和企業的其他培訓計劃相結合。
3.實施培訓
對于董(監)事、CEO或CFO、公司總經理等高級管理人員,通常采用單獨交流的方式介紹內控管理的要點;
對于專業內控管理人員則需要進行全面的脫產專門培訓并結合其他在崗和工作交流培訓;
對于其他普通管理人員則以短期脫產集中培訓結合現場其他在崗培訓。
在整個受訓的人群中,對高級管理人員的培訓是整個培訓的重點。鑒于財務總監在內控體系中的重要性,企業在考慮選聘財務總監時,應當盡可能選擇具有內控工作背景的財務人員。國際上的一些著名企業如GE公司,其選拔的財務總監通常是來自從事過內部控制(內部審計)工作的人員。具有從事內控(內部審計)工作背景的人員將成為未來財務總監的重要來源。
有關內控培訓方面的工作,如果企業限于自身培訓力量和其他考慮,通常可以委托其他專業管理公司的專家來協助進行。這種培訓通常限于集中的脫產培訓。但日常培訓主要還得依靠企業內部力量完成。當企業完成了以上的內控培訓工作后,就可以進入下一站:
作業實施
嚴格地說,自從企業策劃內控戰略開始,就可以看作是進入了內控作業的實施階段,這里指的是具體實施內控作業階段。內控作業的內容主要包括:
1.制定企業內控管理程序,或者運營管理程序
內控的實質就是法制化、程序化管理。內控管理程序與傳統的企業管理程序的最大區別是以系統的方法設計業務流程并且事前就充分考慮規避各種潛在的管理風險。因此,內控部門在組織各職能部門編制內控管理程序時應當首先對所有的業務流程中存在的各種潛在的風險進行評估并且在程序設計中予以規避。這里包括組織牽制、授權系統確定、政策規定等等。制定企業內控管理程序應當充分考慮與企業現有的質量管理體系的兼容問題。
2.評估檢查企業的授權管理系統
任何一家企業無論是否有內控管理,一定存在一套授權管理系統。但問題是這些存在的授權管理系統是否科學、清晰合理,是否存在越權和越級的潛在風險。這就需要內控專業人員對系統進行評估并提出修改調整意見。內控人員需要與公司的CEO、CFO以及人力資源部和各業務部門共同合作,對現有的崗位職責進行調整。崗位職責在內控管理中屬于一般授權管理。建立臨時特別授權管理制度。
3.潛在利益沖突調查
為保證內控管理的組織牽制原則得到有效的實施,當前的主流非家族經營管理的企業通常需要在處理日常業務中避免產生雇員與企業發生利益沖突的情況。為此,企業內控管理人員應當根據企業實際情況設計一套利益沖突調查文件并提出規避潛在利益沖突發生的具體措施。然后組織下屬企業開展全面的利益沖突調查,最后根據調查結果提出處理意見,包括替代控制措施。
4.編制年度內控審計指導,實施內控審計
無論是內部審計還是內控審計,都應當在審計前制定審計指導。編制審計指導應當依據一般內部審計準則要求結合本企業實際情況和需要編制。具體的審計項目應當按照內控五要素(內控框架)進行分類。這里需要再次強調,內控審計和傳統的內部審計在審計范圍上不同,包括了財務之外的其他運營管理工作,如職工安全與環境保護,質量管理和生產現場管理,6S管理,6西格瑪管理、精益生產等內容,因此,在設計內控審計指導時應當和相關業務部門進行充分的合作,保證審計項目和審計資源配置的合理性。為便于對各下屬企業的內控管理進行客觀橫向比較,內控審計指導可以同時附帶建立評分系統。這樣,內控審計人員在審計檢查過程中可以提出客觀科學的評價結果。
在完成對所有下屬公司的年度審計后,內控管理人員就可以對各企業的實際情況進行量化分析比較,為分析企業的管理風險提供客觀依據。內控審計指導應當根據企業管理風險變化情況,定期進行調整更新。實施年度內控審計,通常可以要求下屬企業內控人員參加,通過交叉審計對下屬企業內控人員進行業務培訓。
5.組織風險評估
控制管理風險是內控的根本目的。因此,企業內控部應當定期對各下屬企業的管理風險進行評估。管理風險評估應當事先進行全面的規劃。包括確定風險評估的對象(各種業務程序和處理環節),風險種類的確定,風險等級的評定,評估人員的組成,評估表格的設計,評估結果分析等。風險評估是開展內控工作的基礎,也是制訂內控管理程序的重要依據。各個企業由于所處行業不同,地域不同,競爭程度不同,產品種類不同,其管理風險也有很大的不同。突出重點,抓住高風險項目,是平衡企業控制風險和投入成本的重要手段。
6.內控問題調查(ICRQ)
為保證企業內控管理得到有效執行,各企業的下屬機構除了要接受總部的內控審計和外部審計外,還應當定期或不定期舉行自我檢查。自我檢查的主體是各分、子公司總經理和各業務部門負責人。分、子公司的內控管理人員牽頭組織實施。總部內控部通常應當根據上年度審計發現的問題,結合最新企業風險變化情況等,編制企業年度內控問題調查提綱發給各分、子公司供其參考。分、子公司內控人員可以根據本企業實際情況和需要,對自查內容進行補充。企業內控問題調查表,應當根據企業管理風險變化情況和以前年度審計發現的普遍弱點進行調整。
7.舞弊案件調查
舞弊問題對企業造成的損失是造成企業效益下降甚至導致企業破產的重要原因。因此,預防舞弊風險當然也就成為企業內控管理的主要內容。舞弊問題產生的后果,通常可以用貨幣數量來反映。舞弊損失數量是企業內控管理工作績效考核的重要指標。內控人員應當定期或不定期對企業發生的舞弊案件進行調查并分析匯總舞弊發生的原因,為管理者采取預防措施提供依據。對于國內企業,特別是國有企業來說,舞弊案件通常由監察部或紀檢委負責調查。但是,對于沒有這些機構的外資企業或上市公司來說,就需要由內控部和內控人員介入調查。內控部每年應當對企業發生的舞弊情況進行匯總分析并為管理層提出相應的預防措施。
8.評價考核內控工作
評價考核企業內控人員的工作包括兩部分。首先是內控人員績效完成情況。根據每年與內控人員簽定的績效協議,對其工作進行考核評價;其次,對內控管理完成好的企業內控人員進行表彰。為保證內控人員工作的相對獨立性和權威性,內控部將對下屬分、子機構的內控人員招聘和解雇提出意見。
9.參加公司董事會會議,對下屬企業總經理、財務總監在執行內控政策和遵循授權管理方面的情況提出獎懲建議
參加公司的重要決策會議,對重大項目實施提出管理風險控制方案。例如內控先行的概念。眾所周知,萬丈高樓平地起,無數失敗的案例表明,造成一個好項目日后失敗的眾多原因中,沒有預先建立嚴格的內控體系并按照程序規定操作是其中最重要的原因。
10.組織保險業務
購買企業保險,除了能夠彌補各種突發事件給企業造成的損失外,同時也具有預防管理風險的作用。要做好企業內控工作,除了利用內部資源外,保險業務也可以成為促進企業內控管理的有效工具。如何選擇購買保險項目,如何事先準備預防保險事故發生以及如何準備保險索賠資料等,都和企業內控管理有重要的關系。
11.培訓企業高級管理人員
內控工作的一個重要內容就是培訓企業高級管理人員,特別是財務總監。實踐表明,有財務背景的專業人員在得到內控審計培訓后,通常可以很好地勝任企業財務總監的工作。從事過一定時期的內控審計工作后,通常就有機會得到作為一名合格財務總監所需要具備的許多條件。比如良好的職業道德、敏銳的風險意識、出色的溝通技巧、較多的處理疑難問題的經驗等等。
12.內控工作報告
企業內控部工作報告對象將包括董(監)事、CEO和總經理等人。內控工作報告有定期和非定期兩種。定期報告主要是定期分析企業總體內控狀況,當前存在的高風險問題,各種審計結果,以及針對薄弱問題提出的改進意見和建議。好的內控人員可以成為企業董事長、CEO的安全事務助理。
由于打破了內部審計師的工作范圍,可以列入實施內控作業的項目還可以增加。這里特別要提出的是“內控服務”的觀念。我們通常所說的“寓監督于服務之中”就是為了體現這一觀念。它從本質上改變了傳統的內部審計觀念。從實踐經驗來看,如果要想使企業的內控管理體系真正發揮作用,就必須拋棄單純監督審計的觀念,代之以監督審計與服務并重。內控服務的內容主要應當以提供管理咨詢意見和建議為主。
走完了以上路程,我們的行程即將結束,下面將進入最后一站:
檢查評估
根據內控五要素的解釋,檢查和評估是內控框架體系的一部分。這里的檢查評估除了日常對企業各個業務操作的檢查評估外,也包括對正在實施的內控系統的檢查評估。內控部和外部審計師(也包括將來社會上成立的獨立的內控體系評估機構)將構成檢查評估的主體。進入本站的主要工作內容有:
1.內部自我檢查評估
由集團內控部負責,對企業已經實施的各項內控工作進行全面的檢查和評估。從戰略規劃和年度內控工作計劃開始,到組織機構設置和運營情況,再到培訓工作和實施內控作業,進行全方位的檢查評估,然后提出改進措施。
2.外部審計師的評估
根據《公司法》規定,所有企業都應當通過外部審計機構的年度審計。外部審計師在實施審計時,為規避其審計風險,通常要對被審計對象的內控體系進行檢查評估。因此,獲得外部審計師的評價意見和建議,將從另外的角度為企業改進內控管理體系提供重要的依據。
3.企業為獲得更為專業的內控評價意見,也可以邀請具有一定資格的其他獨立第三方對企業進行檢查評估
以上介紹的建設內控管理體系線路圖,源自筆者工作中的體會,希望能夠給國內眾多推行內部控制的企業提供一些參考。文章的敘述順序是為了方便介紹,其間并沒有絕對的先后關系,許多工作在實際操作中可以并行操作。有心建立內控管理體系的讀者完全可以自行研究出最適合自己的道路。
