内部控制制度建设的五个环节
制定企业内部控制战略规划应注意以下几个方面:
1.与企业的战略目标保持严格的一致性。
企业的战略目标是制定企业所有具体经营目标的基础,内部控制战略目标也必须符合企业总体战略目标所确定的方向。目前关于企业的战略目标、原创场景、核心价值观的主流观点,基本都是围绕着如何发展成为一个有社会责任感的企业来确定的。
内部控制的战略目标通常可以根据企业希望达到的发展水平来确定。如果企业的战略目标是在一定时期内成为行业内的领导者,并希望基业长青,那么其内部控制体系的战略目标就必须为满足这一要求提供强有力的支持;既不高于也不低于这个目标。只有这样,它才能被企业中的所有利益相关者和运营管理的所有参与者所接受。
另外,内部控制的战略目标可以根据企业的发展情况分阶段确定。比如在某一阶段达到行业先进水平;达到某一阶段国内同行业的先进水平;达到一定阶段的国际先进水平等。
2.明确实现目标的具体标志。
提前确定内部控制战略实现的具体标志,不仅可以为企业制定年度内部控制工作计划或绩效考核目标提供具体依据,也可以为评价企业未来内部控制战略目标的实现情况提供评价依据。
比如,企业内部控制的战略目标是达到本省同行业的先进水平。那么,企业必须了解本省同行业内控管理的基本情况。然后确定自己的评价标准或者实现标志。评价标准可以具体设定为:(1)企业内部控制管理程序建设情况;内部控制组织体系建设;内部控制审计手段的先进和有效程度;欺诈案件的损失指数;企业的风险指标;所有员工对内控管理的认识等等。
3.基于企业实际需求的准确定位
所谓“准确”的定位标准,就是目标必须符合企业的实际情况,明确。比如,小企业集团没有必要把内部控制战略目标定得太高;徽标的实现可以相对简单;业务范围可以适当缩小。这样,可以以较低的成本实现预定的控制目标。
4.明确内部控制的概念。
这是企业内部控制的基本准则,否则,内部控制制度不但不能发挥其应有的积极作用,反而会成为企业发展的阻碍。比如“监督在役”工作理念的确立,可以避免单纯监督与审计容易产生冲突的缺陷;根据内部控制的五大要素,全面风险防范原则可以为内部控制提供具体的评价依据。
认同
内部控制战略目标的确定过程必须得到所有者或最高管理层的批准和确认。在获得高层批准之前,征求下属分公司和子公司管理层的意见并达成一致也是非常必要的。这些措施可以为今后内部控制管理的实施减少阻力。内部控制组织的主要任务包括:确定组织的名称、层级、报告对象、专业人员的具体姓名、岗位设置、工作内容的确定、人员选择和素质要求、工作的具体原则等。下面将主要讨论组织架构的建立,内控工作的具体内容和岗位的确定。
1.组织设置
目前,我国大型国有或上市公司在监督决策层通常在董事会下设立监事或独立董事和审计委员会;在运营管理层,有内部审计部门或监督部门等职能部门。应该说内控组织已经建立。但关键是这些机构存在很多缺陷,构成了目前公司治理的主要障碍之一。具体表现如下:
*缺乏具体的执行机构
例如,企业中通常没有具体的执行机构为监事或独立董事实现其监督职能提供“硬件”条件;这使得监事或独立董事的职位往往“沦为”一个对外的形象职能,人事安排主要以安排高层领导退休前为主。审计委员会通常也是这种情况,其信息来源主要是董事长、总经理等高级管理人员,无法真正履行监督职能。
*就工作范围和报告目标而言,内部审计部门通常处于尴尬的地位。
一般企业的审计范围仅限于财务审计;其工作汇报对象通常只有其监督对象的财务总监或总经理。笔者认为,一个理想的内控管理组织应该能够在一定的独立条件下,具体干预企业的日常经营管理。这应该不同于外部审计。一些大型国际公司,如英国石油公司,已经在其业务组织中使用内部控制部门,而不是内部审计部门。表面上看名字不一样,其实差别很大。主要表现在:
A.不同程度的独立
审计规则通常要求内部审计部门。为了保持完全的独立性,禁止干预企业的日常经营活动。内控部门可以深度介入企业的日常经营活动,详细了解情况,提供管理咨询服务,达到“监管与服务融为一体”的效果。
B.审计检查的不同范围
虽然目前的内部审计部门也在努力突破传统的财务审计,向经营管理审计发展,但由于员工的资质和工作背景,并不能真正实现其对经营管理的有效监督和检查。而内控部门在聘用人员方面没有限制(财务、审计不合格的人员也可以参与内控审计检查),因此可以对企业整体经营管理实施更有效的监督检查。
C.不同的报告目标
内部审计部门通常只向企业的首席执行官汇报,对首席执行官负责。所以很多涉及到CEO自身利益的问题是无法完全解决的,甚至根本无法解决。虽然内部控制部门可以向企业的首席执行官报告工作,但它也可以直接向审计委员会,甚至是监事或独立董事报告工作。这在一定程度上保证了审计报告的真实性和可靠性。任何企业在进行一种新的管理方式之前,最大的问题就是如何快速有效地改变人们已经习以为常的传统工作方式和观念。因为现代企业内控管理的具体操作方法会直接影响企业现有的权力结构,这意味着会遇到很大的阻力。因此,企业的内部控制管理者必须对所有相关利益主体进行系统的内部控制培训,最大限度地减少系统运行前的阻力。培训的内容主要包括:编写培训教材,确定培训计划,实施培训。
1.准备培训材料
*通过各种渠道收集内控管理信息和各种案例。内部控制案例应以企业内部已经发生的事件为基础,适当选取社会案例;
*根据企业的实际情况,筛选数据;
*利用各种演示手段对演示文本、电子版和纸质版进行整理;
*培训材料要尽量用各种案例来解释各种概念。
2.确定培训计划
*确定培训目标
内部控制培训的对象应包括董事(监事)、首席执行官和首席财务官等所有高级管理人员和普通管理人员。普通管理人员应包括仓库保管、称重人员、质检人员、安全员等敏感岗位的操作人员。
*培训方法
全日制专项培训和在职培训、个人交流培训和工作交流培训等多种形式。
*确定培训目标和具体实施时间,并评估培训效果。内部控制培训应当与企业的其他培训计划相结合。
3.实施培训
对于公司董事(监事)、CEO或CFO、总经理等高级管理人员,通常采用单独沟通的方式介绍内控管理要点;
对于职业内控管理人员,要结合其他在职和工作交流培训,进行全面的脱产专项培训;
对于其他普通管理人员,短期脱产集中培训与现场其他在职培训相结合。
在整个培训人群中,高级管理人员的培训是整个培训的重点。鉴于财务总监在内部控制体系中的重要性,企业在考虑聘用财务总监时,应尽可能选择具有内部控制背景的财务人员。在一些著名的国际企业中,如GE公司,其选择的财务总监通常来自于从事过内部控制(内部审计)工作的人。有内控(内审)背景的人会成为未来财务总监的重要来源。
关于内控培训,如果企业限于自身的培训力量等考虑,通常可以委托其他专业管理公司的专家进行辅助。这种培训通常仅限于集中脱产培训。但是日常的培训主要还是看企业的内功。严格来说,企业自开始规划内部控制战略起,就可以视为进入内部控制运作的实施阶段,是指内部控制运作的具体实施阶段。内部控制操作的内容主要包括:
1.制定企业内部控制管理程序或运营管理程序。
内部控制的本质是法制化和程序化管理。内部控制管理程序与传统企业管理程序的最大区别是系统地设计业务流程,并充分考虑提前规避各种潜在的管理风险。因此,内部控制部门在组织各职能部门编制内部控制管理程序时,应首先评估所有业务流程中存在的各种潜在风险,并在程序设计中予以规避。这包括组织遏制、授权制度确定、政策规定等等。制定企业内部控制管理程序时,应当充分考虑与企业现有质量管理体系的兼容性。
2.评估和检查企业的授权管理体系。
任何企业无论有没有内控管理,都要有一套授权管理制度。但问题是,现有的这些授权管理制度是否科学、清晰、合理,是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估,提出修改和调整的建议。内控人员需要与CEO、CFO、人力资源部门和各业务部门合作,调整现有的工作职责。工作职责属于内控管理中的一般授权管理。建立临时特别授权管理制度。
3.潜在利益冲突的调查
为了保证内部控制管理的组织遏制原则的有效实施,当前主流的非家族式企业在日常经营中通常需要避免员工与企业之间的利益冲突。因此,企业内部控制管理者应根据企业的实际情况设计一套关于利益冲突的调查文件,并提出避免潜在利益冲突的具体措施。然后组织下属企业进行全面的利益冲突调查,最后根据调查结果提出建议,包括备选控制措施。
4.准备年度内部控制审计指南并实施内部控制审计。
无论是内部审计还是内控审计,都应该在审计前制定审计指南。审计指南的编制应基于通用内部审计准则的要求,并结合企业的实际情况和需要。具体审计项目应根据内部控制五要素(内部控制框架)进行分类。这里需要再次强调的是,内部控制审计不同于传统内部审计的审计范围,包括除财务以外的其他运营管理工作,如员工安全环保、质量管理和生产现场管理、6S管理、6Sigma管理、精益生产等。因此,在设计内部控制审计指引时,应充分配合相关业务部门,确保审计项目和审计资源配置的合理性。为了客观、横向地比较下属企业的内部控制管理,《内部控制审计指引》还可以建立评分制度。这样,内部控制审计人员就可以在审计检查过程中提出客观、科学的评价结果。
内部控制管理人员在完成对所有下属公司的年度审计后,可以对每个企业的实际情况进行定量分析和比较,为分析企业的管理风险提供客观依据。内部控制审计指引应当根据企业经营风险的变化定期进行调整和更新。年度内部控制审计的实施通常可以要求下属企业的内部控制人员参与,通过交叉审计对下属企业的内部控制人员进行业务培训。
5.组织风险评估
控制管理风险是内部控制的根本目的。因此,企业内部控制部门应定期评估下属企业的管理风险。管理风险评估应提前全面规划。包括风险评估对象的确定(各种业务流程和处理环节)、风险类型的确定、风险等级的评估、评估人员的组成、评估表格的设计、评估结果的分析等。风险评估是内部控制工作的基础,是制定内部控制管理程序的重要依据。由于行业不同,地域不同,竞争程度不同,产品类型不同,每个企业的经营风险也有很大的不同。突出重点,抓住高风险项目,是平衡企业风险控制和投入成本的重要手段。
6.内部控制问题调查
为保证企业内控管理的有效实施,企业下属机构不仅要接受总部的内控审计和外部审计,还要定期或不定期地举行自查。自查的主体是各分公司、子公司总经理和各业务部门负责人。分、子公司内控管理人员牵头组织实施。总部内控部门通常应根据上一年度审计发现的问题和企业风险的最新变化,编制企业内部控制问题年度调查大纲,发给各分公司、子公司参考。分支机构和子公司内部控制人员可根据企业实际情况和需要补充自查内容。企业内部控制问卷应根据企业经营风险的变化和以往年度审计中发现的共性薄弱环节进行调整。
7.欺诈案件的调查
舞弊造成的损失是企业效益下降甚至企业破产的重要原因。因此,防范舞弊风险当然成为企业内部控制管理的主要内容。诈骗的后果通常可以通过金额来体现。舞弊损失的数量是企业内部控制管理绩效考核的重要指标。内部控制人员应定期或不定期调查企业舞弊案例,分析总结舞弊原因,为管理者采取防范措施提供依据。对于国内企业,尤其是国企,造假案件通常由监察部或纪委调查。而对于没有这些机构的外资企业或上市公司,则需要内控部门和内控人员介入调查。内部控制部门每年应对企业内部的舞弊情况进行总结和分析,并向管理层提出相应的防范措施。
8.内部控制工作的评价和评估
企业内部控制人员的评价包括两个部分。首先是内控人员的绩效完成情况。根据每年与内控人员签订的绩效协议,对其工作进行评价;其次,对完成内控管理的企业内控人员进行表彰。为保证内控人员的相对独立性和权威性,内控部门会对下属分支机构和子公司内控人员的招聘和解聘提出意见。
9.出席公司董事会会议,对下属企业总经理和财务总监执行内部控制政策和遵循授权管理提出奖惩建议。
参与公司重要决策会议,提出重大项目实施的管理风险控制方案。比如内控第一的概念。众所周知,无数的失败案例表明,没有事先建立严格的内控制度,不按程序操作,是日后一个好项目失败的最重要原因之一。
10.组织保险业务
购买企业保险不仅可以弥补各种突发事件造成的损失,还可以防范和管理风险。要做好企业内部控制,除了利用内部资源,保险业务也可以成为促进企业内部控制管理的有效工具。如何选择保险项目,如何提前准备预防保险事故,如何准备保险理赔材料,都关系到企业的内控管理。
11.企业高级管理人员培训
内部控制工作的一个重要部分是培训高级管理人员,尤其是财务总监。实践表明,具有财务背景的专业人员经过内部控制审计培训,通常能够胜任企业财务总监的工作。在从事内控审计工作一段时间后,你通常有机会获得成为一名合格的财务总监所需要的很多条件。比如良好的职业道德,敏锐的风险意识,优秀的沟通能力,比较有处理疑难问题的经验等等。
12.内部控制工作报告
企业内部控制部门的工作报告对象将包括董事(监事)、首席执行官和总经理。内部控制工作报告分为定期和不定期两种。定期报告主要分析企业整体内部控制情况、当前高风险问题、各类审计结果,针对薄弱问题提出改进意见和建议。好的内控人员可以成为企业董事长和CEO的安全助手。
随着内部审计人员工作范围的打破,可以增加实施内部控制作业所包括的项目。这里我想提出的是“内控服务”的概念。我们通常所说的“服务中的监督”就是体现了这一理念。它从本质上改变了传统的内部审计观念。从实践经验来看,要使企业内控管理体系真正发挥作用,必须摒弃单纯的监督和审计的观念,转而实行监督、审计和服务并重。内部控制服务的内容应主要是提供管理咨询和建议。根据对内部控制五要素的解释,检查和评价是内部控制框架体系的一部分。这里的检查和评价不仅包括对企业各项业务经营的日常检查和评价,还包括对正在执行的内部控制制度的检查和评价。内部控制部门和外部审计师(包括今后在社会上建立的独立的内部控制体系评价机构)将构成检查和评价的主体。进入本网站的主要工作内容有:
1.内部自我检查和评估
集团内部控制部门负责对企业已实施的内部控制工作进行全面检查和评价。从战略规划和年度内部控制工作计划,到组织架构和运作,到内部控制运作的培训和执行,进行全方位的检查和评估,然后提出改进措施。2.外部审计员的评估
根据公司法,所有企业都要通过外部审计机构的年度审计。为了规避审计风险,外部审计师通常要对被审计对象的内部控制制度进行检查和评价。因此,获取外部审计师的评价意见和建议,将从另一个角度为企业完善内控管理体系提供重要依据。
3.为了获得更专业的内部控制评价意见,企业还可以邀请其他具有一定资质的独立第三方对企业进行检查和评价。