我对内部控制的理解是:内部控制是一个自我证明系统,是一个免疫系统。就像天然具有“自我净化”功能的小河水一样,清澈见底的河水遇到下雨、排涝或被扔进杂物时会变浑浊,但一段时间后又会自动变清。公司的内部控制的目的就是让公司的组织体系具备类似河水的净化功能和免疫能力,有了免疫力的公司自然更能抵御风险,更有可能基业常青。
引言:内部控制的巨大力量源于什么?在这方面,中国企业究竟应该向国外企业学习什么?怎样才能把国外企业先进的内部控制体系应用于管理实践?
内部控制是企业财务管理范畴内一个炙手可热的 “实务型”话题。企业界人士通常认为业务流程、管理系统和职业者素质对企业内部控制的效果起着决定性的作用,然而在资讯空前发达的现代商业竞争环境中,各种管理咨询公司林立,人员流动频繁,模仿甚至完全拷贝别人先进的内部控制模式已经不是难事——似乎赶超领先者的梦想触手可及了。
然而,现实似乎总是与人们的理想背道而驰,典范已经树立了多年,但至今还没有“批量”的微软、IBM、沃尔玛出现的事实,轻易就将理想的肥皂泡击得粉碎。即使是在同行业内,众多企业采用相同或相似的业务流程管理系统,雇用的管理人员、技术人员和员工素质也不存在太大差异的情况下,不同企业的内部控制管理水平和取得的效果却大相径庭,究竟是什么因素决定着内部控制管理流程的成败和内部控制的有效性呢?
笔者在多年的职业生涯中体验了不同类型的公司,结合自身的经历和业界同仁的观点,我认为造成这种差异的根本原因就是“机制”。在IBM合资工厂工作期间,我充分体验到了其完备的体系、高效的机制所产生的巨大的“大企业力量”,正是这种力量赋予了IBM领先业界的强大动力和源源不断的创新活力。在其庞大的架构中,IBM的内部控制体系是支撑整个公司高速、安全运转的重要支柱之一。
IBM是一部各个部门之间协调运转的巨人,同样,它的内部控制体系也是与其严谨的整体架构密切相关的。IBM深厚的企业文化;高效的财务、审计、风险控制机构和业务精深的专业人员以及审计与业务流程深度结合的模式是其内部控制系统发挥作用的重要基础。
◆ ◆ ◆
文化奠定内控基石
提到IBM的企业文化,就不能不提它的基本价值观和基本经营理念,因为它们既是IBM文化的深厚根基,也代表了它的气质、风范和追求卓越的远大理想。IBM一直以来以尊重员工;提供最佳的顾客服务和追求卓越为基本价值观为企业文化,最近又进一步确立了“成就客户、创新为要、诚信负责”的新的经营理念。
和其他伟大的公司一样,IBM的发展过程中也同样历经波折,但令他历尽风浪而至今执业界牛耳的重要原因之一就在于其深厚的企业文化传承,它使得在IBM公司服务的人都有一种源自内心深处的责任感、成就感和荣誉感。它既是推动IBM持续发展的动力,也是IBM实行内部控制的基础环境。良好的企业文化, 以员工对企业价值观的高度认同为前提,建立内部控制体系,强化内部控制,有利于整合、优化企业资源,增强企业凝聚力,提高企业内部控制的有效性。
在陶氏化学、通用电气、摩托罗拉工作过多年,曾经担任过IBM大中华区政府与公众行业业务咨询服务事业部的副总裁的时大鲲先生在谈到IBM的企业文化时,认为分层负责是IBM内控做得很有特色的地方之一,每一层都有一个风险的容许度,即不在授权范围内的事项是不能做决策的,即使做了,面对财务和内部控制人员的审核时也过不了关。严格的财务控制、细致的风险管理,严谨的问责制是其内控有效运作的基石。
◆ ◆ ◆
体系保障内控实施
IBM是通过建立一个独特的体系——由General Auditor(首席审计官)领导的内部审计和业务控制机构来实现公司内控的。该机构由CFO直接领导,通过CFO对CEO负责并汇报工作;同时,公司董事会设立审计委员会,General Auditor也同时向董事会下设的审计委员会汇报工作。
内部审计和业务控制两大业务机构的主要目标就是要向董事会和管理层就公司的内部控制体系发表独立和客观的意见,指导公司对风险的管理以保护投资人的权益;建立、改善和改进业务流程进而提高公司的内部控制水平;协调和帮助各级业务单位和管理层进行内部控制自我评估。
IBM内部审计和业务控制实行双重领导,并与业务活动实行彻底的融合,同时又通过对具体业务流程进行适时的审核机制来实现上述目标。他们把客户和服务对象设定为:公司管理层、业务单元的直接领导团队、董事会审计委员会、公司外部审计机构即普华永道会计师事务所。
公司的内部审计和业务控制部门的职员是一个独特的群体,他们经常要在各大洲之间飞来飞去,他们的招聘条件中有一条很重要的条件就是能适应在世界各地旅行;我工作期间经历过的检查和审计的项目组的成员就是由来自美国总部审计部门、业务部门、IBM法国,IBM菲律宾,IBM泰国,IBM新加坡,IBM香港,IBM马来西亚等地的人员组成的。一般情况下,他们不插手具体业务,但他们在审计过程中提的问题都很专业,在工作中,他们几乎不谈题外话,但保证会不遗余力的问遍他们该问的问题。
他们执行的程序也非常统一,让人很难理解他们以前素不相识,似乎是合作多年的老同事。他们从不指责被审计对象业务水平,而是充分尊重业务部门的同事,只就业务流程发表意见,在他们看来,业务部门的同事都是专家,是他们的老师、助手、合作伙伴和学习的对象。
另外,他们非常善于团队合作,分工明确但又相互分享工作成果。他们的工作态度严肃而又客观谨慎,既严格按既定流程办事又会充分考虑客观情况并做出恰当的变更。
他们每年在为公司在挽回损失、避免浪费、规避风险等方面做出的贡献巨大,但对此从不张扬炫耀,人人都保持着良好的心态,充满激情、勇于迎接挑战、不惧权贵,几乎所有的管理者都对他们相当尊重。
◆ ◆ ◆
审计推进内控执行
内部审计实行中央集中管理,有专职的审计人员100多人,负责IBM总部和遍布全球的分支机构的内部审计监督工作。Auditor主要的审查目标是各级管理层,特别是CEO/GM和CFO的控制职责的执行情况的。
公司审计人员的角色明确,要实现下列六项职责:
首先,要按董事会和审计委员会的要求确保公司在可控的状况下运作;
其次,为管理层和股东提供业务流程的评价;
第三,确保公司的流程被严格遵循;
第四,鉴别控制的薄弱环节;
第五,查错防弊;第六,改进流程。
在审计流程上,审计机构一般会提前一定的时间(2~4周左右)告知被审计单位需要审核的流程,范围,时间跨度,需要参与的人员以及需要提供的资料。审计是严格按照已有的 Audit program(审计项目业务规程)操作,所有的Audit program都会在内部网上公布。审计结束后,审计机构要出具审计结论和意见,并直接汇报给总公司最高管理层。
在审计过程中,审计人员会有一份称为“Data Sheet”(问题清单)的文件,其中会明确体现出审计过程中发现的问题,从不含糊,也不回避。Data Sheet列明的问题一般都是严重的问题,并会与被审计单位确认,因此,被审计单位的负责人和具体业务流程的责任人对这份Data Sheet特别紧张, 因为如果Data Sheet列出的问题超过3个,可能就会有人要被迫离职了。虽然被这份“黑名单”命中的人会是GM或CEO和CFO,但在他们被解聘以前,一定会把直接责任人先处理掉的。这样,就从根本上杜绝了内部控制和业务流程“做秀”和推诿责任的现象。
一般情况下,审计人员在出具Data Sheet后,一定会要求程序责任人写出改进计划,并要求他们严格按存在的问题、引起问题的原因、行动计划、责任人、时间表和报告机制这样的思路和标准模式去解决这些在审计中发现的问题,并在一定时间后进行实地回访和检查,但在回访和检查以前,会通过当地的审计人员或内部控制人员或直接通过E-mail或管理系统检查和跟进被审计单位和责任人解决问题的进度和状态。整个审计程序严密而井然有序。
◆ ◆ ◆
业务审计水乳交融
在IBM,业务控制部门是采用集中管理和分级控制相结合的方式来推进内控工作的。总部的任务主要是设立工作程序和标准,在各个业务部门、分支机构和工厂都在CFO组织机构下设立业务控制部门,配备专职的业务控制人员。其工作人员可以专业到在控制这个话题上其他业务部门的人很难超越他们。
业务控制部门的主要工作是检查和协调业务工作流程的审核和建立,协助做业务流程的定期评估,协助内部审计的相关工作,具体的日常工作包括:业务运作审查及财务审计;控制评估审核;先期评估;风险意识培训和教育;控制风险分析;控制评估小组讨论和交流;针对应用系统控制的审计;内部审计和业务控制网上资源的分享;专题调查;协助自我评估;收集自我评估资料;流程检查;管理顾问;监控主要业务绩效指标;引导建立控制流程;向上级报告和反映问题等。
用专业术语就是要做到“Audit ready”,即审计与业务控制、管理系统、核算系统、流程的完美结合,计划的严谨、业务过程的控制、风险控制和会计控制的完美结合。如果可以用完美的乐章来比喻IBM的内控管理的话,这便是乐章中的华彩部分。
业务控制部门定义了以下几个控制方式(这个词可以吗?):
一、建立严格的流程责任人制度,一般由一线直接经理负责每个业务流程;
二、将流程文件化,即把所有的流程都制作成标准的格式;
三、职责划分,在业务安排上考虑合理的职责分工,严格区分不相容职位并确保其不能由同一人担任;
四、通过定期的核对账目和对会计账户进行明细的分析确保会计控制体系的有效运作;
五、系统控制,对公司运行的各种IT系统建立严格的授权制度和准入制度并定期审核和检查;
六、过程控制和业务审批,对各种交易和业务行为实行独立的审批的负责制,把业务审批、财务审批、会计审批既相结合又相对独立的运行;
七、工作处所的安全管理和检查;
八、严格按公司公布的业务行为准则要求每位员工;
九、风险接受机制,对可能存在风险,又暂时没有好的符合公司管理规定的情况,需要业务流程的责任人明确风险接受程度,并建立补充措施控制风险的范围和后果。
IBM的成功之处在于,它特别注重业务流程的建立和改进,特别注重对业务流程中隐含的风险进行审核,IBM在审核业务流程中的风险时,主要关注和评估业务流程是否存在以下几方面的问题:
一,是否与法律规定相抵触;
二,是否影响公司业务目标的完成;
三,是否有准确的信息来做决策;
四,是否能够有效的运作;
五,是否能够保护公司资产。
在IBM,对SACA(半年控制自我评估)重视的程度是超乎想像的,其中最为核心的就是对SACA Questionnaire 半年一次的自我评估和主要问题的回复,主要解决的是流程中的具体风险问题,例如要经理们检查并确认每个流程是否都有专人负责,是否确定了流程中的关键控制点;是否对流程文档化并持续不断的对员工进行培训;流程的规定是否遵守了公司的各种制度;使用的管理系统是否进行过SACA认证;对以往在评估、检查、审计中发现的问题是否得到了及时的解决;是否对风险进行了有效的管理;是否确保有效的职责分工等等。
IBM对SOD(科学合理的内部牵制和职责分工)的审核和控制是相当严格的,例如在使用SAP时,所有用户的授权都必须经过严格的审核并用专用的程序在系统中运行,以便找出相冲突的授权进行及时的更改;又例如在对支票进行管理时,支票的编制、签署寄送以及支票登记本的登记和保管、银行对账单的核对和银行存款余额调节表的编制和空白支票的购买、接收、保管、控制等业务是要做合理分工,不能由一人完成的。
◆ ◆ ◆
内控精义
综上所述,内部控制的关键是建立风险防范机制和风险控制体系;内部控制的中心工作是让公司各个层次的经理人员建立对自己负责的业务和自己的业务行为的后果负责任的态度;控制的目的就是要对管理责任进行落实,对业务过程整体运行过程中所涉及各种要素进行全面的监控和综合考虑,对后果进行分析和评估;内部控制是个动态的过程,内部控制是对人的业务行为的控制和对业务流程的控制相结合进行。
此外,在操作内控时,要要特别注意的是,内部控制本身不是目的,也不能解决公司所有的控制问题,只能为管理者实现目标提供合理的保证或工具,应该把内部控制看作是一种需求。令我印象深刻的是来自IBM总部的资深审计师对内控的解释,“其实内部控制最直接的功用就是要对股东和投资人有个交待,在他们询问公司用什么来保证公司的账目和业务是真实可信的时候,完备的内部控制就是最好的证明。”
内部控制是人与人沟通的一种方式,公司的控制是各个业务部门统一的协作,不是单独的控制部门的职责或权力,例如,所有涉及品质的问题,都需要质量管理部门参与并发表意见,所有会影响公司运作效率的事情都需要Logistic Manager或主管生产的副总进行协调,安全的问题,是公司进行每项业务都会碰到的问题,需要行政/安全部门实行统一控制,而不是业务部门把本部门涉及安全的问题单独剥离出来,交给安全管理部门去处理,风险问题也一样,所有业务行为和项目都会遇到风险问题,必须由专业的风险管理部门统一处理和集中管理。这其中,解决效率和控制的问题需要经验和智慧。
在IBM,控制已经成为一种“习惯”,根深蒂固,深入人心。公司的全体员工已经习以为常地接受,甚至 “享受”财务部门为其他管理人员和部门提供专业的“控制”服务。公司业务运作的过程中,特别是遇到风险和财务/投资的问题,财务/控制部门就要为决策机构提供咨询或参与决策,这在IBM或GE、HP等其他成功的企业里,讨论控制问题是很正常的,完全不是什么敏感话题,其他部门也不会认为的控制是公司对他的不信任。
协会官方微信公众号二维码
