向 婷
(李锦记(中国)销售有限公司,上海 200443)
内部控制是企业为了实现其经营目标,保护资产安全、完整,保证会计信息资料的正确、可靠,确保经营方针的落实、执行,保证经营活动的经济性、效率性和效果性而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。内部控制是由全体员工参与的并共同实施的持续、动态的管理过程。内部控制是否科学、有效,会直接影响企业的经营效益和持续发展能力,进而为企业实现其战略目标提供保障。建立一套科学、完整、高效的企业内部控制体系,愈发受到企业投资者和管理者的重视。而内部控制框架搭建的完整性则反映了企业现阶段内部控制的规范程度,并提供了内控管理是否有效的评价依据。因此,为提高企业内部控制管理和风险防范水平,从搭建内部控制框架为切入点,是非常重要的手段和工具。
1.缺乏专业人才
在搭建内控框架的过程中,企业常常缺乏专业人才,未能将内部控制理念与企业实际管理模式相结合。在实务中,大部分企业将内控框架搭建的工作交给风险管理部门负责,如内控部门。该类人员以财务背景居多,然而缺少业务和实操经验,导致内控框架在内容上偏向于纸上谈兵,不具备应用价值;与之相反,若是以业务部门为主导,又存在着虽精通业务但不能领悟内控框架实质内涵的矛盾,容易导致内控框架沦为业务流水账,缺少理论知识。
另外,内控框架搭建中涉及风险及关键控制活动的识别和判断依赖较强的主观性,对编制者的经验要求和专业程度要求都非常高。主观判断上的偏差会导致风险管理的缺陷和内部控制有效性的丧失。因此,缺少专业领域人才成为企业欲搭建内控框架体系的首要难点。
2.缺乏适应性
一般来说,内控框架的搭建主要包括编制内部控制矩阵、绘制流程图和制定相关制度三大模块。控制矩阵中对各项业务活动的控制目标、风险描述、关键控制措施等几个因素进行阐述和分析;流程图为整个业务流程提供指引步骤,而相关制度提供了文字化表述和具体说明事项。
企业在搭建内控框架时,常常生搬硬套内控框架的理论模板,编制了一份看似完整的企业内控框架,却没有结合企业实际经营情况进行修改,实则缺乏适应性。由于过度依赖于系统化的理论模板,实务中往往很难入手将模板与企业实际情况相结合。若简单地将企业内部的岗位名称、部门职能套用到模板中去,就会使所建立的内控框架与实操流程无法相互关联,导致内控框架缺乏指导性,其应用价值显著降低。
3.未能突出重点
《企业内部控制十八项应用指引》文件中包括五项公司层面和十三项业务层面的内部控制。一般情况下,业务层面的控制对企业日常经营中的实务操作影响更大,而公司层面控制则侧重于管理层的上层决策方向。若企业搭建内控框架时缺少灵活性,没有契合企业业务关键,盲目地进行,则会缺乏侧重点,难免会出现与实务脱钩的情况。
1.缺少跨部门团队协作
不少企业误认为内控框架是风险管理部门的事,其他职能部门只是配合整理资料和提供帮助,如此做法极易造成内控框架的内容乏善可陈。客观来看,各执行部门才是内控框架的主要舵手,他们的想法和提议是最有借鉴性和实质性的。风险管理部门更多地负责内控框架搭建的组织工作,并为其完整性和有效性提供专业的指导。若管理层未将执行部门列入内控框架搭建的参与部门,则无法将实务工作投射到内控框架中去;若执行部门没有意识到内控框架对于其部门自身的重要性,就不会投入积极的态度到内控框架的建设当中;若缺少跨部门协作,仅依靠风险管理部门全权负责,则必然独力难支,企业内控框架的搭建也将陷入被动和窘境之中。
2.缺少实质运用
当前,有些企业对内控框架的认识仅停留在监管需要上,而非自发地对内控框架有实质应用上的需求。所以,不少企业虽已建立内控框架,但往往脱离现实,形式化问题严重,不能解决实际问题。随着市场投资者与监管者愈发重视企业内部控制与风险管理,企业应当更多地关注内控框架的实用价值,搭建内控框架只是一个开始,将其在企业经营中应用起来才是大势所趋。企业应认识到内控框架的建立不应流于形式,而应契合实际,发挥其最大效能,为企业实现发展战略奠定稳固的基石。
1.缺乏绩效考核
实务中,部分企业认为内控框架是用于企业管理需要的,而非考核需要。但事实并非如此,内控框架的完成情况也是可以进行绩效考核的。有两个原因导致很少有企业去考核内控框架,一是难以将责任具体分配到部门或岗位;二是缺少经验和学习途径。然而,笔者结合工作实践了解到,工作若是缺少了考核,就减少了一份压力和动力,各职能部门为了编制而编制,却感受不到内控框架的搭建工作可以带给他们的收益。即使内控框架已经建立完成,在企业内部也毫无存在感。因此,缺少绩效考核的管理模式导致内控框架在企业管理中黯然失色。
2.缺少回顾和调整
部分企业在建立内控框架后疏于后续的更新和调整。例如,没有根据内外部风险的变化对控制矩阵中的风险进行增减,也没有对早已过时的业务流程进行修订,相关制度文档还停留在几年前的版本。这些做法都会造成内控框架与企业实际情况脱节,丧失其应用价值。事实上,企业所处的发展阶段不同,所面临的风险也在发生变化,企业应定期或不定期地对内控框架的适时性进行回顾和调整,确保其内容反映了企业现有的内控管理和风险防范水平。
1.培养专业人才
企业培养内控人才可通过以下两个方式:一是为储备人才提供与之适配的外部培训,加强其对内部控制基本规范等法律法规的学习及应用,提升专业能力和素质;二是提高企业内部培训效果,尤其是对风险管理部门中具有财务背景的专业人才,应让其多了解与公司业务相关的或执行相关的具体活动,倡导业财融合,从而为企业内控框架的基础建设增加灵活性。
2.提高适应性
内控框架的理论模板并非不能借用,但必须结合企业的现状进行修改。
第一,对流程图和现有制度的修改。任何阶段的企业无论其是否已建立内控框架,均有其经营管理的现行方式和工作方法。欲要搭建符合企业自身的内控框架,则必先整理归纳现有的流程及制度。将口语化的、实操中的、和文字化的规章均归集到纸面,刻画出现行流程的原本面貌,才是搭建内控框架的开端。然后再与理论模板中的内容加以比对,逐步分析和挖掘尚未建立的必要控制点,从而进行完善和优化。
第二,对控制矩阵的修改。各企业由于其经营环境不同,面临的风险和关键控制措施也是天差地别。企业编制控制矩阵时,既要包含企业经营的一般风险,还要考虑到企业特有的风险,并为此拟定恰如其分的关键控制措施。通常来说,此类风险和关键控制措施往往才是最重要、最有针对性,也是最有价值的。
3.突出重要性
内控框架搭建的重要性体现在两个方面。
第一,时间的先后。《企业内部控制十八项应用指引》中将内部控制拆分为公司层面和业务层面两个部分,二者并不具有时间上的先后顺序。若企业内控环境薄弱,则应从公司层面控制活动着手,搭好基建才能竖起高楼;而实务中,大部分企业由于经营情况良好,则可选择从最关键或最迫切的某一业务层面控制活动为出发点,这种情况往往是由一项近期发生的风险事件引起的,为了分析、应对从而规避此类风险事件再次发生,从而最先建立与之相关的内部控制框架内容。
第二,内容的重要性。为突出某一内控框架结构的侧重点,除了在控制矩阵中增添“风险程度”用以区分和强调,还可在篇幅、内容、形式等方面体现出重要性。例如,对于关键业务活动,可增加以往风险事件作为备注、绘制图文并茂的工作制度和手册、制度更加细分的职责分工等方式,提供更多信息以丰富其实质,并强调其重要程度。
1.加强跨部门团队协作
建立一支精良、高效的跨部门内控框架搭建团队在实务中是必不可少的。该团队应包含风险管理部门及其他职能部门,必要时也可由管理层直接介入与承担职责。首先,风险管理部门作为内控框架搭建的牵头者,应将内控框架的重要性传递给其他职能部门,在内控完整性和有效性上给予专业指导;其次,企业管理层应调动各职能部门的积极性,主动参与到内控框架搭建的头脑风暴中,充分地意识到跨部门团队协作的能力是内控框架搭建成果好坏的试金石。
2.内控框架的主要应用
一是明确权责利。由于内控框架几乎涵盖了业务活动中的重点环节,并将权责利明确到岗位职责,在发生损失事件追责时,可第一时间通过内控框架锁定相关责任人员。二是用于各部门自查自评。企业各有关职能部门和业务单位是风险管理的第一道防线。有效利用内控框架进行自查自评可切实提高第一道防线的管控效力。企业可定期由风险管理部门牵头,对各有关职能部门和业务单位发起自查,并上报自评报告。风险管理部门可根据自评报告中的重点问题作为切入点,实施内部控制和风险管理工作,对问题加以改进和完善。三是提高公司治理的全局观。宏观上看,内控框架涵盖了企业运营管理的方方面面;微观上看,所有操作上的细节亦可体现到内控框架中。企业管理层通过善用内控框架可提高其公司治理的全局观,为提升经营管理效率提供新的思路。四是用于内控评价。这也是企业搭建内控框架的主要目的之一。因为有章可循,才能为评价内控的有效性提供依据。
1.制定考核标准
内控框架的考核应区别于内部控制执行单位及风险管理部门。对于执行部门而言,更多地关注于内部控制有效性的评价,主要考核内容可纳入风险事件的发生次数及其原因、流程效率的提高或降低、风险应对速度的快慢;对于风险管理部门而言,考核其对市场风险、政策风险、行业风险的管理状况,是否做出预警及处置预案的可行性;内控框架考核则是以企业内控管理水平为要点,主要考核内容可包括内控框架涵盖内容的准确性、完整性,协调企业各部门的能力,以及人员组成的专业程度等。
2.及时回顾和调整
内控框架体系的搭建是一个不断更新和完善的过程,而非一本万利、点到即止的结果。要最大化发挥内控框架的效用,企业应定期或不定期地对其进行回顾和调整。对于定期而言,管理层可以规定各职能部门每年应至少进行一次的自我回顾,将这期间发生的风险事件和实务中遇到的问题进行上报;再由管理层根据上报的内容和各业务活动实际执行结果判断是否应调整流程,并更新内控框架。对于不定期而言,当内外部环境发生重大变化时,企业应评估该变化对内控框架的影响水平,并据此及时调整内控框架。此外,当风险管理部门进行业务流程评估时,也会提出有关的内控问题和与之对应的改善措施;若后续确实对业务流程有所改变,则应当同时将优化的措施在原有的内控框架基础上进行补充。
企业内控框架搭建可拆分为七个步骤:第一步,组建专业的人才团队;第二步,整理汇总现有制度、工作流程;第三步,分析判断各业务内容的重要程度,从重要性最高的入手,并确定好内控框架结构的侧重点;第四步,根据现有流程和所识别出的风险,编制控制矩阵、重建流程图、更新完善现有制度;第五步,参考《企业内部控制配套指引》内容,对比分析是否有所遗漏,并逐项增添;第六步,制定内控框架的考核标准;第七步,定期和不定期地回顾和调整。
内控框架的搭建有利于企业提高内部控制和风险管理水平,进而提升企业核心竞争力,为实现企业战略目标提供有力保证。在内控框架的实务工作中,应最大限度地将其内容贴合企业实际经营情况,凸显经营管理的侧重点,鼓励专业人才发挥其效能,促进跨部门团队之间的协作,推动内控框架实质应用,并将内控框架融入绩效考核中,加上适时地进行回顾和调整,使内控框架不断优化,内部控制和风险管理水平持续提升,促使企业的发展稳定向好。