完整的企业内部控制,包括设计、实施与评价三大环节。内控体系建设属于设计环节,相当于新建一套内部控制体系。很显然,内部控制体系的建设,犹如合规管理体系的建设,是一个过程。在这个过程中,需要把内部控制体系的五个要素一一落实。因此,内部控制体系的建设框架应当与如何将内部控制五要素体现出来密切相关。之所以称之为“建设框架”,而非“建设流程”,是因内部控制体系建设步骤与合规管理体系建设步骤稍有不同的是,前者若干个建设步骤可能是并行的,也有串行的;后者的若干个步骤则基本是串行的。即除非完成前一步骤,否则后一步骤的展开会受影响。基于此,本书把内部控制体系的建设步骤称为“建设框架”。
对于内部控制的现状,也是对照内控五要素进行分析的。分析的前提是获取和研读大量的企业相关历史资料和信息,方法包括访谈法、调研法、问卷法、讨论会法等。首先,观察现有的控制环境。包括现有的公司治理结构情况、内部机构设置情况、部门职责分配情况、内部审计实施情况、人力资源政策、企业文化与道德规范宣传情况等。这是通过分析公司的发展战略规划、年度工作总结、各部门工作总结、制度汇编以及外部的一些行业研究报告、统计资料等而得出的。然后,了解公司目前的风险管控工作的现状。是否有专门的风险管控组织,如内控部、风控部;是否有专门的风险评估活动;是否有较为完整的风险信息库;是否有合适的风控管控人才等等。接下来,是关于现有的控制活动的情况。在公司层面的控制是否存在重大缺陷,在业务流程层面的控制是否存在重大缺陷、重要缺陷和一般缺陷。因为只是初步的观察,因此,这里对内部控制活动存在的缺陷的发现也仅是初始的,粗略的。
对于内部控制的现状,进行前期调研分析之后,可形成一个“内控薄弱点分析报告”。这些薄弱点,是对内部控制工作存在的一些突出问题、整体问题进行揭示。为后续的内部控制体系建设奠定思路和改进方向。这些突出问题,不宜过细,也不用太多,但一定要结合企业的真实问题,企业的发展需求等进行归纳、提炼。
值得注意的是,内部控制是一个动态的过程。这个过程需要不断地自我评价、第三方评价等,需要把内控的要素综合起来,把员工的能力,高管的意识,企业的价值观等都融入进来。这就需要对内部控制的现状进行定期的评估分析,问题与缺陷可能在不断变化,会一直存在,无法一劳永逸地揭示出来。
具体的内控组织体系,至少应包括四部分。一是完善的法人治理结构,董事会、监事会和经理层各自的权利应清晰,边界明确,权力与责任都要落实到各部门和各岗位。二是设置专门的内控机构。一般可在董事会内设全面风险管理委员会等类似内控管理机构。在风险管理委员会下再设内部控制管理部门或已有部门内设类似的职能,具体负责内控的设计、实施、评价及日常运行。三是在各部门内强化专业岗位。各部门负责人是本部门的内控负责人,有责任负责和监督本部门的内控情况。各部门应配专人或专岗,负责组织开展本部门的内控工作。四是加强内部监督部门的建设。审计部门负责对企业内部控制的建立和运行情况进行监督检查,提出完善建议。
就内控具体要求来说,企业应建立健全分级授权、权责统一、逐级负责的管理体制;企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或联签制度。企业组织机构的编制管理应遵循“科学、精简、高效、透明、制衡”的原则。
在设计内控的组织体系时,应重点关注以下几个方面:1)关键管理人员的专业性。关键管理人员应具备执行相关内控职责的知识和经验,其技能和素质要满足要求,具备执行其业务必备的知识、经验并接受适当培训。2)汇报机制的适当性。汇报机制应是有效的,能够保证管理人员获得与其责任和权限有关的信息。经营活动的管理人员须有与相关的高级管理人员进行沟通和交流的通畅渠道。3)组织结构的管理方式设置与适应性。组织结构应考虑公司经营业务的性质,按照适当集中或分散的管理方式进行设置。组织结构应有利于信息的上传、下达和信息在各业务活动间的传递,并在某种程度上,可根据环境的变化而变化。4)人数设置。管理人员拥有足够的时间来独立履行职责;管理人员能够将工作分派给其下属,避免出现一人完成本应由多名员工完成的工作带来的权力不当集中的情形。
在提高关键管理人员的内控专业方面,可设计的控制措施包括:在外部人才市场上选聘专业的内控管理人员;对现有的管理者进行针对性的培训;用轮岗交流、挂职锻炼等方式提高管理者的素质等。
在保障汇报机制的适当性方面,可设计的措施包括:通过员工岗位职责描述,对汇报关系进行清晰的定义;注重高层管理人员之间的沟通,建立相应的沟通和交流渠道,如定期召开公司工作会、经营形势分析会,各职能部门负责人有机会参加总裁会等高层会议;为员工向管理层反映问题提供多种渠道,如员工直通信箱、座谈会、接待日等。
在健全组织结构的设置并保持一定的适应性方面,可设计的措施包括:企业应当对各部门的职能进行合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。在确定职权和岗位分工过程中,应当体现不相容职务相互分离的要求。不相容职务包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。明确内部控制组织体系内部的职责分工,形成包括董事会、审计委员会、管理层、内控委员会、内控管理部门、其他职能部门及各业务单位在内的内部控制管理组织体系。内部控制管理工作应与其他管理工作紧密结合,把内控管理的各项要求融入企业管理和业务流程中。
内部控制的风险评估,分为针对公司层面的风险评估、业务层面的风险评估以及信息沟通层面的风险评估等。公司层面的风险评估主要是找出公司在达成内控目标整体存在的风险,大致上包括在组织架构、发展战略、人力资源、社会责任、企业文化、财务报告、全面预算等方面存在的风险。具体如,公司没有建立战略目标、战略规划与战略实施计划,无法通过管理与控制措施,保证公司目标的实现。业务层面的风险评估主要是找到与达成公司的资金活动、采购、资产管理、销售、研发、工程项目、担保、外包、合同等业务控制目标相关的风险,即发现业务环节的主要风险点。信息沟通层面的风险评估包括识别内部信息传递、信息系统建设情况,企业反舞弊机制,举报投诉制度等的风险点。
风险评估工作同样也是一个过程,可分为风险信息收集、风险承受度确定、风险识别、风险分析与排序,风险应对策略确定等步骤。
风险信息收集
风险承受度确定
风险承受度与控制目标密切相关。可以说,只有确定了控制目标,才可确定风险承受度。明确企业各层级的控制目标,甚至是整个风险评估的前提。但实际情况是,包括COSO也承认,当企业及其内部主体认为不存在什么明显的问题或其业绩处于可接受的范围内时,往往不会设立明确的目标。然而,作为风险评估流程一部分,仍需要确定各层级的控制目标,这样才可能确定风险承受度。风险承受度是对于目标实现而言的,是主体所能接受的偏离程度。如企业法律培训的目标是参加培训人员的考试通过率为90%,但可接受的最低通过率为75%,如低于75%,则构成主体认为的一种风险。也就是说,风险是包含主观性的,它是指未来事实与预期目标之间的“差”。风险承受度的确定,跟管理层的认识有关,但涉及合规目标时,应当在已有的法律、法规、规章等合规要求的范围内考虑。
风险识别、风险分析与排序
风险识别与分析也是一个不断反复的过程。虽然很多情况下,企业未明确说明其控制目标,但不意味着在这些领域就不存在风险。不管控制目标是明示的,还是未明示的,企业都应考虑相应层次的风险。考虑的因素包括内、外部的。内部的因素又有人力资源方面、管理方面、创新方面、财务方面、安全环保方面等外部的因素有经济、法律、社会、科学技术和自然环境等方面的。风险识别也可分为公司层面和业务层面的风险识别。不管是哪个层面的风险,可能都是由内、外部因素引起的。公司层面的风险识别,一般是重大的,与企业整体相关的风险,应当与公司层面的控制活动关联起来。业务层面的风险识别,如销售、采购、生产等业务流程的风险,往往涉及交易风险,这类风险识别更应与企业对交易的风险承受度密切相关。在公司层面和业务层面的风险被识别后,就可以进行风险分析。很多风险是难以量化的,故风险分析要用多种方法,但基本上要分析风险发生的可能性和估计其影响程度这两方面。
风险应对策略确定
在风险评估环节,作公司层面及信息沟通方面的风险评估时,还有必要关注舞弊风险。潜在的舞弊行为会影响一切控制目标的实现。舞弊的情形很多,如虚假报告、挪用资产、非法侵占、利益输送、滥用职权、管理层凌驾等。评估舞弊风险主要考虑舞弊的动机和压力、舞弊者接触资产的机会、舞弊者将其行为合理化的态度和理由等三个因素。减少或降低前述三个因素存在的土壤,即可减少舞弊风险的发生。
风险是动态的,永远处于变化之中。因此,对风险评估,还有一个需要关注的工作就是:“评估变化”。内部控制体系涉及的外部环境、监管政策、业务模式和领导层理念,都会发生变化。当这种变化发生时,可能导致原有的内控体系不一定有效。因此,需要建立专项的内控风险评估流程,来保证可以及时识别影响内控有效性的风险。这种变化而产生的风险评估流程,与常规变化而产生的风险评估流程很类似,但单独设置为佳。
控制活动按不同的分类标准可以划分为不同的类型。按控制活动的目标,可分为战略目标控制活动,经营控制活动、财务报告控制活动和合规性控制活动。按控制活动的作用,可分为预防性控制和发现性活动。按控制活动的手段,可分为手工控制和自动控制。最后,按控制活动的层级,分为公司层面的控制和业务活动层面的控制。
公司层面的内部控制,就是确保在整个企业范围内存在恰当的内部控制环境,其实就是对控制环境按理想的效果进行优化,主要在组织架构、发展战略、人力资源、社会责任、企业文化等领域展开。组织架构,就像一个企业的骨架,只要基本结构搭建好了,企业内部控制制度才能得以有效实施。组织架构可从治理结构和内部机构两个方面来理解。治理结构是企业股东、董事、监事、经理层的职责权限、议事规则等进行设计,形成制衡的局面。内部机构是企业内部的部门设置,分为不同的层级和不同的专业团队,履行各自职责。人力资源主要是实现人员控制,对人力资源配置,人员激励约束,人员退出等问题所产生的风险进行掌控。企业履行社会责任的控制内容包括:企业安全生产控制,全面质量管理控制,环境保护控制,员工劳动权益保护控制等。
业务层面的内部控制,范围比公司层面的控制要广得多,包括:采购业务、销售业务、筹资业务、投资业务、担保业务、资产管理、合同管理、业务外包、研究与开发、工程项目等。设计某一类业务的内部控制活动的基本步骤是:了解该业务的基本流程或环节,明确该业务各个环节的控制目标,结合各环节的风险点,运用适当的控制措施来设计关键控制点。
例如,采购业务。首先,从流程上可分为编制需求机会和采购计划,请购、选择供应商、确定采购价格、订立框架协议或采购合同、管理供应过程、验收、退货、付款、会计控制等环节。每一个环节,其实是一个子流程。该子流程还可以进行细分。其次,每项流程(子流程)是可明确其控制目标的。如采购中的子流程各自控制目标是这样的:采购计划是按规定的权限和程序获得审批的;请购是经过适当授权或审批,且符合企业实际需求的;供应商的选择应有利于公司获取质优价廉的货物或服务等。这些控制目标,有的是明示,有的是非明示的。第三步,确定了控制目标之后,就开始结合风险评估阶段发现的风险点,设计关键控制点。如采购计划的关键控制点包括:生产运营部门应根据实际需求准确、及时编制需求计划。需求部门提出需求计划时,不能指定或变相指定供应商,对特殊需求和特殊产品,应经专业部门研讨后由具备相应审批权限的部门或人员审批后,才可确定独家供应商。企业应根据发展目标实际需要,结合库存和在途情况,科学安排采购计划,防止采购过高或过低。采购计划应纳入采购预算管理,经相关负责人审批后,作为企业刚性指令严格执行。
对于业务层面的一般控制措施,包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。不相容职务分离控制是最基本、最常用,运用最广的控制措施。它要求企业全面系统分析业务流程中涉及的不相容职务,实施相应的分离措施,形成各司其职,各负其责、相互制约的工作机制。授权审批控制要求企业根据常规和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业可编制常规授权的权限指引,规范特别授权的范围、权限和责任。各级管理人员应在授权范围内行使职权和承担责任。对于重大的业务和事项,应当实行集体决策审批或联签制度。对于其他的控制措施,需要根据业务流程上的风险点,结合风险应对策略,可综合运用,也可单独使用。
众所周知,18项内部控制应用指引可分为公司层面的控制指引和业务层面的控制指引,也可分为内部环境类控制指引,控制活动类指引,控制手段类指引。每一项指引,其实最后都体现为是由控制流程和管理制度来具体实施的。因此,前述的内控管理制度和控制流程文档至少应各有18项或篇。
如对于组织架构的控制实施来说,便有组织架构的控制流程和组织架构的管理制度。当然,组织架构的控制流程可进一步细分。如分为重大事项决策流程,组织架构设计流程,组织架构调整流程等。组织架构的管理制度,也包括董事会议事规则、监事会议事规则、子公司业务授权审批办法、组织架构运行管理办法等。对于业务控制活动类指引来说,同样如此。如销售业务,经内控体系建设,最后会形成销售业务控制流程文档和销售业务管理制度。销售业务控制流程又可分为销售业务流程、发货业务流程、收款业务流程、退换货业务流程。对于任一流程,均可制作把业务步骤、责任部门、不相容职责、业务控制点等内容包含在一处的控制流程文档。同时,对于销售业务管理制度,又可进一步制定销售合同管理办法、销售回款奖惩细则、客户信用管理办法等。
最后,把所有的控制流程和所有的内控管理制度都汇编在一起,可形成企业的内部控制流程手册和内部控制规范手册或内部控制制度手册。
信息与沟通要素可为内部控制所有要素发挥作用提供支持。信息对企业内各部门履行内部控制责任以促进其目标实现是非常必要的。这取决于信息的质量以及信息收集的成本效益。企业应就此建立专门的流程或技术系统来获取及生成高质量的信息。企业可通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取内部信息;通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
作为内控体系建设的一大要素,企业应建立信息沟通机制,使所有人员理解、履行其内部控制职责。沟通分内部沟通和外部沟通。内部控制沟通是在企业内部沟通传递信息,包括支持员工履行其内控职责的政策和程序;内控的重要性和价值;管理层在内控中的角色等。高层应在沟通中把内控目标清晰地传递给全体员工,使得他们清楚自己的定位。外部控制沟通也是有必要的。首先是企业建立的外部沟通机制应该让企业可以与股东、监管机构、客户、审计师等进行沟通,外部的主体也可向企业管理层提供相关信息。可建立独立的渠道,如举报热线,允许匿名举报,作为一种特别方式的沟通。对于信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。
内部监督的核心目标是评估内部控制五个要素是否存在并持续允许。企业的内控体系其实一直是处于变动之中的。企业的目标和内部控制各项要素可能随着时间的推移而变化,控制可能变得不再有效或不足以支持新的目标。企业应通过内部监督的方式来确认每项内控要素是否存在并有效。在判断内控体系是否有效,内部监督活动可提供有价值的信息。内部监督也是完成一个PDCA管理循环的必要环节。通过内部监督,内控管理才能日渐精进。
内控管理手册一般由手册说明、关键术语与定义、内部控制概述、内部控制的组织结构、内部控制的五要素、内部控制评价等部分组成。内部控制管理手册是概括阐述内部控制工作的指导原则、目标,要素等内容,是内控工作的准则和索引。前文所述的内控管理制度和控制流程文档,都是内控管理手册的支持性文件。
作为内控体系的建设环节的最后一步,值得注意的是,不管是COSO还是我国的内控基本规范,都没有规定内部控制的最后建设成果是《内部控制管理手册》。之所以大多数企业建立内部控制体系,最后会编制一个内控管理手册,都是希望能够通过手册或类似手册的文本汇编,快速找到内部控制的框架、风险以及关键控制点。内部控制管理手册的主要用户其实是外部审计师,而并不是内部控制人员或其他员工。
本书虽提出这个步骤,但内部控制建设终究是要讲成本效益和实用的。因此,不必拘泥于是否一定要编制一套内部控制管理手册,而是要以建设目标为核心,以风险导向为原则,真正解决企业控制不足的问题。
现任职务:北京德和衡律师事务所高级合伙人,北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等。
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历,现任德衡律师集团副总裁。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。
010-57804780