自我国发布企业内控规范之后,企业内控建设的热情持续高涨,但对企业来讲,内控究竟是什么,内控管理指的是什么、追求的目的是什么、内控的作用包括什么,内控评价评的是什么等等,不少人并不一定真弄明白了。
内部控制,实质是一个管理功能属性的统称。对内控的定义,一般传承的是企业内部控制规范中的说法,转化到企业,成为一种基于专业维度的降低、预防、发现与纠正偏差风险的应用实践型功能。企业为了强化内控,会通过组织职能的形式明确主管部门,比如:在有些企业,沿用了内部控制直接反映职能的做法。为了区分职能与功能,笔者以前在某集团承担内部控制职责时,在整个集团统一将该项职能表述为“内控管理”,管理更需要一致性。
有时候,对一项组织职能,在领导者、部门、其它组织或执行者的眼中,职责的内涵与外延并不一定一致,何况来自于外部机构视角的内部控制,与企业自己理解的内部控制,未必一致,很容易造成工作中的困惑与认识混沌。
01.多视角认识内控有助于理清思路
我一直认为,企业中的管理是很严肃、很严谨的。落实一项政策、进行一项规划,做好一项管理,都需要充分认识其本质,然后再去行动。
认识有两种:一种是“思认”,一种是“体认”。思认,是基于理论、政策中道理的理解而简单形成一个观点;体认,则是以理论认知为指导,通过置身事理中的详备分析,由心而产生的对本质的感知,通过思认与体认,彼此印证而选择路径、方式与方法,然后转变为事实。观点并不等于事实,只有符合事实的规划与实施,更容易达成预期的结果。
我国企业开展内控建设的推动力,主要来自于外部政府部门,包括五部委发布的内控规范、18项指引等,都是用以促进、指导各类企业开展内控建设的系统性的参照文件,但不构成“具体企业内控建设的执行标准”。这种认识是基于现实,不能用合规性进行道德绑架。
什么意思呢?这里有3个主体角色,一个是外部政策发布部门,一个是企业,还有一个是在规定范围对企业内控效能实施检查、评价或监管的角色。
对外部政策部门来讲,希望各企业按照规范、指引去开展内控建设,通过内控建设降低企业违规问题发生的概率。无论是五部委,还是COSO组织,都属于企业的外部组织。从他们的视角,内部控制是以功能范围展现的,凡企业内部具有控制功能的活动,都称为“内部控制”。
从外部视角看企业,会形成两个观点:一是内控的强度,层级越高、控制越强,违规概率越低;二是只要发生了违规问题,一定是内控存在问题。所以,我们经常看到来自于上级推动一项工作的要求:做为一把手工程。
对企业来讲,有要求就需要落实,但非常可能会出现不一致的认识,原因是责任的主体发生了变化。譬如,企业做出一项决策,从外部看企业,如果出现违规问题,无论是谁审批,都应该是企业法人代表的责任;而从企业内部看,由于职责分工、权限及预设流程,直接责任会转移到流程所有者身上,这就是企业中的授权,是决定内控的先决条件。
为了预防违规风险,企业会通过管理,设计控制措施,比如,增加过程中的法律符合性审核,为决策者提供风险控制保证,本质上赋予了法务人员一项动态职责。所以,虽然形式上的决策审批、法律符合性审核,都具有控制功能,但目的性不同。决策是一种基于目的追求的选择,是决定流程是否结束的管理控制活动,法审是基于合规性的发现性控制。意味着,企业中具有控制功能的活动,并不一定全部是内控建设的内容,需要建设的内控具有针对性,与外部视角下的内部控制存在不一致。
控制是流程中的一个节点,相对流程产出来讲,并不一定具有增值价值,但对企业安全具有价值。对企业来讲,追求的是内部运营效率与质量,控制越多,效率越低。所以,企业内部控制建设遵从的是“最少必要性”原则,即使推广、强化内部控制,并不意味着越多越好。
对监管机构来讲,要求什么、限制什么就会监管什么。比如企业要IPO过会,内控评价的重点,必然在财务内控、资金内控、公司治理内控、担保内控等可能对投资者造成伤害的方面。
企业导入任何一个管理体系,都有一个顶层思维和目的设定的过程。对内控来讲,要考虑两个基点:
一是把内控作为履行社会责任的一项任务,即满足来自于外部的要求。基于这一目的,企业往往或借助第三方,或参照其它企业的做法,按照18项指引的思路开展工作,通过简单的复制转化而成。这种方式,很容易出现重形轻质的问题,结果有很大的难以落地可能。所以,才有不少企业郁闷于内控发挥不了作用、不可持续等问题,结果是设计出来的。
二是结合内外环境,结合企业的战略目标,结合企业管理期望,构建企业内控管理规划,做出适应性内控建设、实施、监管等选择,追求的是既满足外部要求,又要促进管理的规范性,对企业发展做出实质性贡献。即:对外满足不发生违规问题基本要求、满足监管需求即可;对内则是根据自身需要进行选择,建设范围往往会超越18项指引范围。
二者的结果,通过两个方面的区别体现出来:一是在内控评价方面,前者的结果,导致评价的依据主要依靠企业中的制度,而不是内控手册;后者的结果,内控评价会以内控手册为主,相关制度为辅。二是在手册的适用频率和用途方面,前者的结果,基本是柜中应对上级检查,证明开展了内控建设工作的材料;后者的结果,会成为岗位新员工学习的资料,会成为内控执行部门与提案发起部门进行沟通、化解分歧、优化改进的参考依据,会成为企业信息化建设中管理理解、流程输入、内置自动化控制规则设计的依据。
02.企业内控建设包括哪些必要条件
首先,弄清楚什么是内控建设。
需要澄清的是,除企业母公司通过行政管理,规定企业内控建设需要遵从的规范或标准之外,从没有哪个文件、标准明确规定,必须形成什么样的标准形式。即使国资委的[2019]101号文件,也是把管理制度化、制度流程化、流程内控化、内控信息化,作为内控管理的理念。
所以,制度、流程等,都可以作为表达内控的载体工具或表达形式,其中,流程,不能僵化地认为是流程图,制度中也有流程的文字描述。在我看来,凡是旨在预防风险,坚持控制的理念,所采取的措施、进行的活动、形成的制度、流程、IT、管理体系、内控活动具体化的设计、执行等组织管理与实施的过程,都可以称为内控建设,这是一个泛化概念。区别在于,选择什么样的工具和方法,能够实现、达到的期望有所不同(在以前文章中,已经论述过有了制度为什么还要建基于流程的内控)。
现实中,人们常犯的一个错误是,当接收到一项新任务时,往往想到的是如何形成一个新的成果表现,以证明开展工作的业绩,反而容易忽略开展工作的实质目的。再加上社会上一些专家,推广一种新的观点和方法,导致工作复杂化。
企业需要抱持一种坚定的态度:把简单的工作复杂化固然可恶,但把繁杂的工作简单化而不能施行,也并非明智之举。对内控建设来讲,就是通过设计,让执行者、相关者体感到责任而“知、会、做”,并具备可评价条件;通过治理,构建基于顶层PDCA的运作机制以持续;即使用流程承载了所有的管理要素,比如内控、合规、风控与质量保证等等,仍需要建立专业化的管理体系,二者并不矛盾,因为,体系是为了管理,也是为了满足员工从专业角度理解管理思想、方式与方法的需求;对任何管理体系来讲,只有起点,没有终点,从没有完成某体系建设之说。
其次,企业如何确定内控建设的范围与程度?
需要说明的是,除了初创企业的特殊性之外,不能说“不开展内控建设,企业就没有内控”,此其一;其二,开展内控建设,是为了让企业内控管理更加具体、规范、系统、有效,是企业自身的选择;其三,要依据产权管理关系、行政管理关系,满足上级对内控管理的规范化要求。其四,无论企业选择“建还是不建”,都不影响外部监管机构按照监管政策对企业做出衡量与评价。譬如:财政部、银监会对企业“财务公司”,证监会对证券机构保荐业务、上市公司,国资委对中央企业等内控能力与水平的检查、评价或执行效果的监管。
所以,企业的内控建设,是基于规划、管理期望决定的,不能错误地认为:别人在建,自己也要建;别人建成什么样,自己也要建成什么样。适合别人的,不一定适合自己。
比如,对于一个管理比较规范的大型企业,追求的是稳定的秩序与防风险能力,就需要完善制度、梳理流程,将必要的“控制活动”规范化、具体化、标准化,提高执行的效能。相反,仍处于成长期的企业,不能按照大企业的做法,会极大降低企业的运营灵活性,但可以有选择地结合外部合规、内部管理痛点等,结合风险承受度,构建制度、流程等,明确控制责任即可。
最后,弄清楚企业认为的内部控制是什么?来源是什么?
企业追求的是什么?从外部看企业,反映的是价值,通过财务指标、客户、股东、外部利益相关者满意度反映出来;从企业内部看,反映的是有效的运营效率,通过各种结果、能力反映出来。
企业的运营是动态的,从风险的维度,能力的不确定性体现在4个方面:外部符合性能力不足造成合规偏差、专业能力不足造成专业管理要求执行偏差、员工能力不足造成质量偏差、人性的不确定性造成期望偏差,这些偏差需要通过事前预防、事中发现、事后追溯等措施予以化解。由此,需要建立制度、流程让其知道怎么做,需要建立过程控制措施以及时发现偏差并纠正,需要审计、监察以事后监督验证。
三项措施,都是为了“降低偏差发生概率,缩小偏差空间”而采取的措施,都属于控制功能。制度与流程,由相关角色主动遵从并接受监管,内嵌的控制,需要责任落实到位,监督控制需要被动接受。其中,从内控管理的维度,第二项是重点,解决的措施仍然是“知、会、做”,知,让他知道做什么;会,让他知道怎么做;做,让他知道承担的责任。由此,可以预期企业内控建设的基本规范、工作重点内容及期望结果。
03.企业内部控制怎么建
首先,内部控制是一个通用概念,通用的职责需要落实到各个相关的业务过程中,与业务融合起来。其次,落实到各业务中的控制,反映为对应部门管理体系中的要素,而不是内控管理部门的设计(最多是协调结果)。最后,体系由组织与职责、流程、方式与方法、工具等构成实质内容,通过建立、优化、实施、监管、评价、优化等展现出来。
由此,内控的必要性、适应性、系统性是由不同体系的设计决定的,单一体系中的内控,受限于该体系所坚持的原则、设计的完善性、合理性等条件。各体系内控的合集,即企业内部控制。从内控管理体系建设的角度,需要梳理出企业级“内控管理的指导原则”,构建企业内控管理的治理机制,通过建立“企业级的内部控制手册”、“不同体系的内控程序、作业指导书、表单等分册”表现出来。
这是企业内控体系建设整个逻辑分析与运筹过程。如何建立呢?内部控制建设,绝不是简单的“梳理流程,评估风险、识别关键点,建立控制措施”陈述,这是话术式说法。要建立内部控制,需要任务承担者理解对应体系的管理思想、管理模式、方式与方法,此其一;掌握必要的流程管理工具方法,此其二;深刻理解风险可能与详备、具体的内控措施,并清晰地通过作业指导书表达出来,此其三;内控是用来用的,没有如果,只有做什么,怎么做,承担什么责任,此其四。
怎么看着这么复杂呢?不是复杂,其实是需要的“基本能力”。为什么会这样呢?受文字所限,举几个例子吧。
比如:治理结构。必须了解治理结构解决的是什么:一是对上承接的上级单位对企业的授权,以及由上级单位审批的清单接口,这是控制基线。二是股东会、董事会、监事会、各委员会、高层领导职位、下属单位、下属一级职能部门职责、授权及规则。三是治理结构中涉及的各类会议的定位、功能、召开驱动条件等。四是构建各授权组织、职位的审批清单。这些是决定流程责任者、制度结构、决策事项、审批责任的先决条件,是企业内部控制建设“成立”的基础。所以,内部控制建设需要先从治理结构开始。
比如:战略管理。首先需要说明的是,战略管理中的内控建设绝不紧紧是“审批”流程,而是基于战略管理体系进行的重点流程梳理。拿五年规划来讲,一个管理规范的企业,五年规划是每年都要做的“持续动态机制”,而不是简单理解“五年期时间段”的界定。其次,战略管理有横向结构,划分为综合规划、产品规划、技术规划、人力资源规划、能力建设规划、财务平衡规划、其它职能规划等,不同规划的流程可能不同。再次,有基于年度计划的横、纵向结合的解码过程,从而衔接绩效、预算管理等,由此才能形成一个整体。只有基于体系的内控建设,才是系统化的。
比如:组织管理。需要说明的是,并非像当下很多企业内控建设中简单描述的“组织评估、组织调整与实施”等流程那样,这样的流程,即使不梳理,通过制度完全可以解决,何必多次一举呢?组织管理包括组织架构、组织职责、组织定位,乃至组织中的岗位与编制最小单元管理。为什么要有组织定位呢?我发现很多企业的组织管理面向的是“总部或本部管理组织”,不是这样的,企业的组织包括几类:利润中心、成本中心、收入中心、费用中心,不同定位的组织,其绩效不一样,控制当然不同,其中的制衡关系也是不一样的,怎么可能仅局限于组织评估与调整呢。
再比如:预算管理。需要说明的是,预算管理是时间触发流程,以经营计划、组织绩效为输入条件。预算管理是企业实现“业财结合”的起源,预算正式启动前的通知编写是有条件的,需要对战略思路、年度经营计划、绩效、模式有深刻的理解,然后才能形成不同类型预算的指导型控制比例或“预算参考包”,这些过程是构建后期内控的条件,包括对预算执行进行风险监控的财务分析、应收账款风险监视等,绝不是履行预算审批、核算控制那么简单,这些都是常识。
再比如:营售管理。需要说明的是,在市场化程度很高的企业,市场管理与销售是分离的,是组织制衡关系的反映,由此才形成即有的不同职能下的流程,比如:信用管理、应收账款控制管理、新产品推广营销策划、基于需求的新产品规划等,由此构成对销售的内控,理解不了营销管理,内控无从建起。
对销售管理来讲,有着非常高的授权,但有一个基本原则。谁掌握客户谁有权,谁调配资源谁承担责任,由此而构成了内控设计原则。比如其中的权限设计,对销售管理来讲,主管领导有下一级管理者的建议权,不拥有任免权,但拥有对下下级管理者的直接任免权等,由此,让内控对企业价值创造的绩效发挥保证作用。
比如:采购。需要说明的是,采购不仅仅是招投标,哪那么简单?首先就必须有安全库存的概念,其次针对不同品类物料、供应环境、采购周期等采取不同的采购模式,内控自然是不一样的。其次,采购追求整体效益,建立在三个原则下:一是优先采购优先于单品采购价格;二是供应的连续性优先于定制化价格;三是有助于提升竞争力优先于价格优势。由此形成对研发选型的内控。
其实,企业开展内控建设,也必须以价值创造为主轴,以对管理的支持为导向,才能真正发挥其现实作用,企业的发展追求的是整体效益。
最后,比如:内控评价。其实,企业中任何一个管理体系,都包括体系内审,或聘请第三方进行评价,并非内控、合规所专属。评价由3部分构成:一是对体系本身的评价,基于整体、系统与适应;二是符合性评价,即各体系内控设计是否与现实符合,与相关现行制度、政策是否匹配;三是有效性评价,通过结果、证据等验证。体系评价与企业中常规的内部审计,有很大的区别。
一套内控体系的构建,如果追求促进管理提升,发挥现实效果,绝非当下流行的以“审批流程”为主进行的原理型流程梳理,也并非用模糊的风险语言、机理型的措施,僵化地通过风险内控矩阵形式体现。有效的内控,是由“压实的责任、针对性受控结构、具体的控制标准或规范”展现出来,有一说一,有二说二,没有那么多“如果”,因为,企业中的内控,是必须执行的,而不是为建而建。
