在内控咨詢服務過程中,發現很多企業對“内控五要素”概念不知所雲,未搞清楚“内控五要素”和内部控制體系是什麼關系,如何在内控體系建設過程中清晰的體現“内控五要素”内容。看到很多企業内控體系文件中,把“内控五要素”作為一個管理章節寫入制度或手冊中,但是企業自身越來越發現“内控五要素”很空,浮在空中,無法有效落地執行,就認為“内控五要素”作用不明顯。
出現這種情況歸根到底是企業沒有搞清楚“内控五要素”的實質、以及如何有效運用,接下來結合多年來咨詢實踐談談對“内控五要素”的理解。
企業内部控制體系建設及完善需要涵蓋遵循“内控五要素”理念原則,“内控五要素”貫穿于企業日常經營管理活動流程始終,任何一項内控活動、制度及流程無不體現着“内控五要素”的原則。“内控五要素”彼此構成一個整體,相互關聯、相互影響,缺一不可。缺少其中一個要素,内控整體有效性便會受到影響。
“内控五要素”包括内部環境、風險評估、控制活動、信息與溝通和内部監督。其中,内部環境是基礎,風險評估是依據,控制活動是手段,信息與溝通是載體,内部監督是保障。
内部環境是企業高層管理者對内部控制的态度、理念、觀點和管理哲學。企業的治理結構、機構設置及權責分配、内部審計、人力資源政策、企業文化等共同構成了企業内部環境,是影響企業整體内部控制體系的基礎性制度,是内控制度及流程設計的基本土壤。如國有企業裡面績效考核活動,會發現考核分數都在90分左右,而不會寫到相對較低的70分,這是因為國企的文化傾向于“不患寡患不均”。
1、内部環境影響因素
企業高層對内部控制的認知基本決定着企業内部環境的基調。風險内控态度上是風險偏好者、風險保守者抑或是追求風險平衡,經營風格上是激進、穩重、還是謹慎細微,管理風格上是抓大放小授權型還是事無巨細的指令式,是追求管理上的靈活性還是強調管理規則的剛性等。
企業内部控制體系是“一把手”系統性工程,來自高層的重視很重要。若管理層對内部控制的認知是狹隘的、不到位的、缺乏重視的,必然會影響到企業内部控制體系建設及推進的有效性。另外,内部控制體系建設及實施過程中需要融入企業管理層經營哲學和管理風格,比如管理風格是抓大放小授權型,就要重點關注機構設置、權責分配、授權體系等,探讨哪些事項可以授權、授權的條件和規則是什麼、授權後如何對其進行有效監督等。
企業發展階段對内部環境也有較大的客觀性影響,企業發展階段可分為創業期、發展期、成熟期及衰退期。
初創期企業具有規模小、尚未定型等特征,管理層自身缺乏經驗積累,難以制定出明确的長期目标及标準,管理層偏好鼓勵采取靈活自主的開拓行為,管理行為相對比較靈活簡單,各項規章制度及規則都沒有成型,企業的整體内控意識與環境氛圍不是很強。
成長期企業具備方向基本确定、較快發展、标準逐漸建立等,企業在步入加速發展期後,企業規模急速擴張,員工數量不斷增加,管理層管理經驗積累相對比較豐富,會采取以指導型為主的管理風格,給予員工長期的工作目标及相應标準,使之能快速适應企業發展需要。此時,企業尤其是管理層的内部控制意識會得到加強,要求建立滿足企業發展轉型需要的内部控制,各種内控規章制度、規則不斷相繼出台,企業對于風險控制及規則的遵守也越來越好。
穩定期企業具備規模穩定、方向穩定、發展穩定等。組織進入了一個相對穩定的時期,不穩定的因素減少了,由多年經驗積累而成的業務内控規則與業務标準已經完善成相應的體系,同時企業規模經過不斷成長,員工數量大大超出了企業管理者們能夠控制的範圍。此時,企業管理者會采取以權威型為主的管理風格,依據企業的發展方向,在企業中建立自上而下的管理标準體系,各領域各條線的管理、工作标準均有相應的規定,企業的風險及内部控制意識達到很高的程度,但也因為企業規模較大,組織結構較為複雜,内部控制容易偏向官僚主義,運行效率受到影響。
衰退期企業具備規模萎縮、業務衰退等特征,組織成長環境開始惡化,業務進入萎縮衰退狀況,企業急需經營或管理變革。同時,企業員工由于已經意識到危機的到來,企業組織的凝聚力會變差。企業管理者偏向采取以民主型為主的管理風格,讓員工參與企業的決策,激發員工的主人翁意識,鼓勵對以往陳舊規則進行改革破立。此時,企業需要一種能夠支持管理變革與創新的内控機制與環境氛圍,在制度與創新尋找平衡。
2、内部環境面臨的最大風險
内部環境包括管理層哲學與經營理念、治理結構、機構設置及權責分配、内部審計、人力資源政策、企業文化等領域,其中尤以管理層管理哲學及經營理念風格最為重要。著名管理大師彼得.德魯克說到:“如果一個企業隻能在企業家的思維空間之内成長,那麼這個企業的成長必被其經營者所能達到的思維空間所限制”。當我們提到蘋果手機時,我們第一時間想到喬布斯,提起阿裡巴巴想到馬雲,提起華為想到任正非,提到格力想到董明珠。說明這些企業家作為企業發展的領舵者,對企業的發展确實起到無可比拟的貢獻。當他們離開企業的那一天到來時,這些企業的後續發展将如何呢?答案是這些企業家是否将其畢生的管理智慧結晶是否有效沉澱在企業的基因文化裡。企業高層管理者掌握着企業最多的資源、具有鮮明特色的管理經驗,這些如果不能夠在企業内部有效沉澱積累下來,可能會影響到企業未來的可持續穩定發展。我們國家有很多家族企業,老子在位,企業發展穩定,但當老子退去之後,下一代并不能夠很好地繼承發展下去。
二、風險評估風險評估是企業及時識别、系統分析經營活動中與實現内部控制目标相關的風險,以合理确定風險應對策略,進而制定合理的内部控制活動及其措施。風險評估是控制活動及其措施的依據,不經過風險評估就制定控制措施,比較容易犯教條主義、控制過度主義或官僚主義。風險評估包括風險識别、風險分析及風險評價。風險識别是分析業務活動及流程環節是否存在風險及有哪些風險,任何一個業務活動開展都會面臨潛在的風險,風險是伴随業務發生而客觀存在的。風險分析是指分析導緻風險發生的原因有哪些,以及風險觸發的條件,風險不會突然産生,是在達到一定的條件或狀态才會發生。風險評價是指企業結合管理經驗、曆史數據及其他相關常識或認知,運用合理的方法預測風險發生的可能性和風險發生帶來的影響。
1、風險評估思路
控制目标是企業管理者在一定期間内根據經營戰略,結合内外部環境分析,自行設定的經營或管理各項目标。從戰略管理角度來看,企業依據企業發展戰略願景,制定企業戰略與經營管理目标,從時間維度上分解到年度、季度及月度,從空間維度上分解至各區域、各層級、各職能機構等,從業務維度上(以制造企業為例)分解至銷售、生産、庫存、采購等領域。上述目标從類型上均可分解至合規類、财務報告類、運營類、廉潔類、資産安全類等,任何一項控制活動目标都有可能是以上幾種目标的有機組合。
企業設置各項目标時是基于曆史經驗或數據分析所作出的對未來一定期間内的一種預測和假設判斷,未來的預測和假設具有不确定性。也就是說,企業所設既定目标實現過程中會面臨不可預知的内外部因素影響,這些影響因素會改變原本企業所作出的預測和假設的條件,預測和假設條件變化了,企業就必然需要對這些變化因素進行評估,評估其影響程度,并決定是否需要調整經營和管理行為,否則風險及損失可能發生。因此,企業需要系統持續地收集内外部影響目标預測和假設條件的相關信息,對内外部信息進行整理分析,為評價其對已設控制目标的影響提供依據。
風險評價是基于分析收集的風險信息後,評價其對已設目标的影響程度,并以此調整改變其現有控制活動及措施,以将風險控制在企業承受範圍之内。風險評價是風險評估過程中比較難操作的一個環節,因為風險發生可能性到底多高,以及風險發生的影響程度是多大,有時候難以量化。企業實務中開展風險評估,以定性判斷居多,運用量化方法的需要企業大量擁有一定量的曆史數據,通過對曆史數據的統計分析,結合現狀,進而做出未來的預測和判斷,具有信息化和數字化基因的企業,如互聯網平台、電信、金融行業等,實施風險評估量化相對就要可行的多。
2、風險評估影響因素
企業要做好風險評估,需要考慮幾個方面因素:
随着現代企業經營數字化轉型步伐的不斷加快,企業信息化水平會得到不斷提升,風險評估在定性分析基礎上,運用數學和統計模型進行定量分析已具備較為可行的條件和基礎,能夠量化更加便于風險的後續有效管控。
企業應當充分吸收企業内外部專業人員,組成風險分析團隊,按照嚴格規範的程序開展工作,以确保風險分析結果的準确性。對業務領域比較熟悉,會知道業務有哪些潛在風險,哪些風險容易出現,在什麼條件下較為容易發生,綜合運用各個專業人員的知識開展風險分析,風險評估效果會比較好,更容易被認可。
企業應當合理分析、準确掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好與風險承受度,風險偏好和風險承受度會影響到最終風險水平大小的評級和排序,風險偏好者和風險保守者對于同一個風險水平評價的結果不一樣,風險評估過程中要考慮這些因素,但是要避免因個人風險偏好極端給企業經營可能帶來重大損失。
企業應當結合不同發展階段和業務拓展情況,持續收集與風險變化相關的信息,進行風險識别和風險分析,及時調整風險的應對策略。當今經濟環境複雜、瞬息萬變、不确定性成為一種常态,風險評估不是一次性的,應結合企業業務實際場景需要進行動态的風險評估,比如互聯網企業針對用戶流失風險評估,會保持一個非常高的評估頻率。
三、控制活動控制活動是企業結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,将風險控制在可承受度範圍之内。控制活動的控制對象是企業已識别的各項風險,在實務中将控制活動及措施以流程、制度的形式進行規範,通過業務流轉表單、表格文檔和信息系統的形式實現控制活動及措施的運行,形成企業信息記錄及流程數據沉澱,借助分析工具評價控制措施有效性,進而不斷優化調整企業控制活動及措施。
控制活動及其控制措施的有效設計需要考慮以下幾個因素:
風險評估結果告訴我們企業有什麼風險,風險成因是哪些,圍繞這些風險應該采取什麼類型的控制活動較為合适。控制活動類型有很多種,常見包括:不相容職務未分離、授權審批、會計記錄、财産保護、預算控制、績效考核、運營分析控制等,我們需要結合企業具體經營活動選擇其中一種或幾種組合。比如财務印鑒被濫用的風險,就需要選擇不相容職務分離控制和授權審批控制活動類型,不相容職務分離是确保财務專用章和法人章分開保管,授權審批是确保用印應經過授權批準才可執行。
既定控制活動下的控制措施如何具體設計要考慮企業的風險偏好及風險承受度,同樣的風險,不同的企業、同一企業内部不同的部門所采取的控制措施是存在差異的,但都将風險控制在企業可承受度範圍之内為基本準則,風險控制成本與效益要保持平衡。
任何企業經營或運營管理活動行為,都會遵循事前計劃與決策、事中執行與監控、事後評價與總結的循環,管理學上稱為PDCA循環,或者管理閉環。在事前要有預防性控制設計,事中及事後要有發現性控制設計,如應收賬款催收業務,事前要開展客戶信用評價,根據信用評價對客戶進行授信申請和批準,事中要對客戶發貨量進行控制,并對應收賬款賬期核對進行确認,事後要與客戶定期對賬,并采取催收措施。
流程是内部控制措施設計及執行的紐帶,控制措施及方法要無縫銜接嵌入到企業日常經營業務流程中,在流程各個環節讨論風險及控制措施的可行性。所以實施内部控制管理體系,先要從企業業務流程梳理開始着手,細化流程,讨論流程目标設定、潛在風險及其控制措施。
充分利用信息技術手段可以有助于内部控制的有效落地,手工和自動控制相結合,自動控制具有一慣性,不會出錯,效率也高,是一種成本效益顯著的方法。目前企業各種流程軟件、内部控制及風險管理相關的信息化技術産品經過實踐已經比較成熟。随着信息化技術的逐漸成熟應用,企業的數字化水平也越來越高,基于信息化和數字化基礎的風險預警智能管理工具也将成為現實。
四、信息與溝通信息與溝通是企業及時、準确地收集、傳遞與内部控制相關的信息, 确保信息在企業内部、企業與外部之間進行有效溝通,以促進内部控制的有效運行。信息與溝通本身比不構成控制措施,但控制措施的有效運行離不開信息溝通,沒有充分的信息溝通,企業經營活動的決策、執行、監督、報告及改進等都将無法有效落實,它是風險評估、控制活動、内部監督有效實施的基礎,一切都需要通過信息溝通來反饋和評估。
從信息來源來看,涉及企業内部信息和外部信息。内部信息是指企業财務會計資料、經營管理資料、調研報告、經營管理信息、内部刊物等。外部信息是行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網絡媒體以及有關監管部門所獲取的信息。
從信息使用者來看,企業内部各管理級次、責任單位間,以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進溝通和反饋。
從信息傳遞方式來看,包括手工表單方式、會議方式、郵件方式、口頭交流方式、即時通訊辦公工具方式(微信、釘釘等)、信息系統方式。
1、信息與溝通問題分類
信息與溝通問題最常見就是信息不對稱!“我知道,你不知道”、“我知道的比你多”、“你我對同一信息理解不一樣”、“你所表達的與原有信息存在偏差”等都屬于信息不對稱的表現。信息不對稱會導緻“道德風險”和“逆向選擇”,對企業經營運行産生較大的影響,如企業舞弊行為、決策質量低下或失誤、運營效率低下、财産損失、監督不到位、管理評價或績效考核無法有效開展等。
企業内信息傳遞壁壘現象十分常見,表現為:組織間信息缺乏互通反饋,如庫存管理部門與采購部門間缺乏對庫存信息的溝通反饋,導緻物資多采購;組織間信息傳遞反饋不及時,如銷售部門訂單出現變更時,未與生産計劃管理部門及時溝通,導緻制造部門繼續生産出市場不需要的産品;經營決策相關信息收集不充分,如企業要收購兼并一個項目,對于拟收購項目的基本信息、經營狀況等盡調不充分,導緻決策失誤等.....
2、信息溝通影響因素
從組織内部橫向來看,在職能組織模式下,強調職能專業分工,各部門本位主義意識較重,信息在同一個部門内部溝通與傳遞一般較為順暢,但信息在不同部門與部門間傳遞溝通就容易出現不暢,部門牆壁壘現象嚴重,信息溝通存在困難,辦理完成一個涉及跨部門的業務經常需要組織管理領導努力協調,效率較低。
從組織豎向來看,大型企業或集團型企業内部組織層級較多,信息從最基層一級一級上傳至高層,信息經手較多,且時間較長,信息容易被截留或傳遞過程中存在遺漏,造成信息傳遞質量較差,上層無法獲悉下層真實的聲音,類似“倒型漏鬥”。
企業日常經營業務活動中未規範信息在不同部門、崗位及内外部傳遞的方式、傳遞内容要求等,如口頭方式傳遞,事後無法認賬,造成責任追究扯皮;表單方式傳遞,表單要素設計不全,表單信息不充分,必要信息遺漏;信息系統方式傳遞,系統中哪些信息可供組織部門共享使用、系統與系統間數據如何傳遞并保持口徑一緻等。種種不規範的信息傳遞導緻信息質量較差,無法得到有效利用,信息資源被浪費。
企業雖已經建立有規範的信息傳遞溝通機制,信息也能夠在組織不同部門及崗位得到及時完整傳遞,但是由于信息傳遞方和信息接收方在專業知識背景上存在差異,造成對同一個信息理解存在偏差,結果是一方可以利用另一方專業上的無知或劣勢實施一些不利于專業劣勢一方利益的行為。
信息與溝通在内部控制體系中的重要性不言而喻,企業需要在企業内部打造重視、鼓勵組織内部信息溝通的企業文化氛圍,努力消除各種信息溝通壁壘。
五、内部監督内部監督是内部控制五要素中最後一個要素,對内部控制有效運行起保障作用。設計再完美的内部控制若沒有内部監督配套機制,久而久之,體系要麼不被執行而束之高閣,要麼執行不到位而偏偏走樣,内部控制制度及流程需要組織人員去執行,是人就會有惰性,有惰性就需要監督或督促,沒有監督天使也會變成魔鬼。
1、内部監督類型
從體系整體管理來看,内部控制體系需不斷經過建立、運行、評價到完善的循環過程。評價就是一種内部監督機制,通過評價促進内部控制體系的不斷完善,确保内部控制體系得到有效執行,内部監督充當體系中最後一道風險防線和關卡。從業務活動流程來看,會經曆業務活動的發起、審核、審批、執行操作、記錄、報告及後評估過程,流程環節當中的後評估也是一種監督,後評估可能是業務或職能部門自行開展,屬于自我監督方式,也可能是相對獨立部門來執行。實務中很多企業要求内部監督機制要嵌入日常業務活動流程中,要求内部監督機制要被前置,要做到風險事前防範、事中監控,而不隻是亡羊補牢式事後監督。
企業内部監督分為日常監督和專項監督,日常監督是指企業對建立與實施内部控制的情況進行常規、持續的監督檢查,包括管理層日常監督、内部控制機構監督、内部審計監督。董事會對管理層的經營情況的監督、管理層組織召開的業務及職能部門日常經營監督分析會議、安全管理部門對生産現場執行的日常安全巡檢監督,國有企業招标采購活動現場,安排紀檢或審計部門進行現場監督等,都屬于企業日常監督類型。專項監督是指在企業發展戰略、組織結構、經營活動、關鍵業務流程、關鍵崗位員工等發生較大調整或變化的情況下,對内部控制的某一或者某些方面進行有針對性的監督檢查,重點關注内部控制設計是否仍然有效
2、内部監督的影響因素
企業内部監督機構配置及職能如何安排與企業管理者對該項職能的重視程度有很大關系,雖然很多企業尤其是上市企業、國有企業都會因監管政策規定必須要設立内部審計機構,但其監督工作開展很多都流于形式,不能充分發揮其本身的價值,要發揮内部監督機構的職能效用還是取決于企業管理者對内部監督重視和經營管理理念。企業管理者日常忙于各種重大經營事項的決策,對企業日常經營過程管理難以有效兼顧,尤其是在經營管理授權情況下,企業管理層就更想掌握下屬單位或部門日常經營管理狀況,有沒有出現什麼經營風險、存在什麼風險隐患等。此時,内部監督機構作為企業管理者“第三隻眼睛”,便可以在管理者的需求下,通過開展對下屬單位或部門的監督評價,發現其存在的經營管理問題,并提出管理改善性建議,并向管理者報告。
企業處于初創期時,經營發展規模相對不大,可以說,企業日常經營管理過程都在企業管理者所掌控之中,事必躬親,任何一項制度建立、制度執行情況都比較清楚,一眼就能看到底。此時,企業管理者自身就能充當内部監督職能的角色,額外的内部監督職能可能并不會被設置,也沒有那個迫切性。但當企業經營規模達到一定程度,企業内部組織層級增多、組織機構日趨複雜、人員規模越來越大、以及業務範圍越來越廣時,企業管理者已不能夠對内部日常經營活動進行全面知曉和管控時,企業内部監督職能組織的設立及運行就顯得較為需要和迫切,企業管理者就需要内部監督機構及職能的發揮來保障企業的可持續經營發展目标。
内部監督機構及職能不直接作用于企業日常業務經營,并不能直接創造業務價值,加上内部監督資源也有限,那麼如何有效發揮内部監督職能的價值呢。除了内部監督組織人員的能力保障外,内部監督職能需要聚焦于企業的經營業務,以經營業務風險為導向,要關注企業業務中哪些業務邏輯相對較複雜、相對具有較高風險屬性、具有較高戰略重要性地位的業務活動,如采購、工程活動業務,是企業舞弊較為高發的活動領域,成為内部審計活動常見審計關注領域也就不足為奇,隻有這樣才能充分發揮内部監督在價值保護、防範風險、促進内控目标有效實現過程中的作用。
如有觀點不準确,歡迎指正批評和交流!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
