爱华网企业风险管理和内部控制从2004年以来已经成为企业内部管理一个热门话题。以“内控”为关键词,2008年1月20日百度搜索结果1,960,000篇,谷歌搜索结果6,860,000篇。以中国某石油公司为代表的很多大型国有企业已经完成了内控体系的设计工作,大部分在美国上市的中国企业已经完成了内控的第一轮实施并参加了外部审计。没有开展内控工作的企业也充分认识到内控对企业管理全面的提升作用,纷纷下决心启动。
内控真的是一把万能钥匙,能全面提升企业的管理效率么?管理通常说“三分靠设计,七分靠执行”,本文将从内控工作的缘起、内控的目的、内控实施的过程和内控实施的经验四个方面展开,希望能在内控工作如何持续开展方面对大家有所帮助。
1、内控缘起
2001年年底以来,美国安然、世通、施乐等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及国际社会,使人们对美国式自由市场经济制度产生质疑,全球舆论的焦点集中于美国企业的假账丑闻。
为了提高民众对美国金融市场、政府经济政策的信心,2002年7月30日美国总统布什签署了《萨班斯8226;奥克斯利法案》 (Sarbanes-Oxley Act of 2002,以下简称萨奥法案)。
具体的说,萨奥法案主要规定了以下五方面的内容:一是明确了管理层的责任;二是SEC设立PCAOB(会计监管委员会)加强了会计监管;三是完善了公司的内部审计制度;四是法案对欺诈和舞弊防范措施作了强制规定;五是严厉了法律制裁,对恣意违反财务报表披露要求的公司主管处罚额高达500万美元,并可判处高达25年的监禁。
2006年6月6日,国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》(以下简称《全面风险指引》),要求中央企业中的国有独资公司、国有控股企业全面开展全面风险管理。
《全面风险指引》第四条指出,全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系。指出企业需要组建风险管理组织体系,收集风险管理初始信息,做风险评估,制定风险管理策略、风险管理解决方案,进行风险管理的监督与改进,并适时建设风险管理信息系统。
2、内控目的
内控工作是企业内部全面系统的工作,要让各层各级人员更好的实施内控管理的各个过程,首先需要明确内控工作的目的。
COSO框架作为美国证券交易委员会(SEC)唯一推荐使用的内控框架,在论及内控工作的目的时,提出了以下三项指标:经营的效果和效率;财务报告的可靠性;法律和法规的遵从性。
《全面风险指引》第七条指出企业开展全面风险管理要努力实现以下风险管理总体目标:
1)确保将风险控制在与总体目标相适应并可承受的范围内;
2)确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;3)确保遵守有关法律法规;4)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;5)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失总之,财务报告及其形成过程的真实性、合法合规性、经营的效果和效率是内控工作开展的三个主要目的。3、内控实施过程
不论COSO框架还是《全面风险指引》,都对内控实施的过程提出了要求,可以归纳为两个阶段六个步骤。
两个阶段:设计阶段和实施阶段。
六个步骤:
1)收集风险管理初始信息;
2)进行风险评估;3)制定风险管理策略;4)提出风险管理解决方案,编写内控手册;5)风险管理的实施、监督与改进;6)建设内控信息系统。内控设计的结果是各企业的内控手册,而内控实施就是要求各岗位按照内控手册的要求,在日常工作中执行。
以中国某石油公司为例,在2007年以前中国某石油公司内控工作主要是满足撒奥法案的要求,实现对财务报表和财务报表形成过程的控制,以及合规性控制。中国某石油公司在2004年就聘请了中介机构作为内控体系的主设计公司,设计工作经历了1年多的时间。具体的设计过程为:确定企业内控管理的基调;根据基调设定内控工作的目标;识别影响企业目标实现的各种外部和内部事件;根据事件寻找企业运作过程中的风险,制定风险数据库,评估风险的可能性和影响;根据风险,总结企业内控过程的关键控制点和控制活动,制定关键控制库;根据风险和关键控制,重新制定企业的管理制度和业务流程;按照业务流程在全公司范围内实施;制定信息与沟通计划,使信息以某种形式和在一定期限内被识别、获得和传达沟通,以使自己的员工履行自己的职责测试计划;制定监督测试计划,检验实施的过程,发现问题,及时整改。
按照以上过程和COSO框架,中国某石油公司的内控体系设计结果分成两大块、3个层面和5个部分:两大块为手工控制和信息系统控制;3各层面为管理层、应用系统层和IT服务与系统层;5个部分即COSO框架的5个部分,为控制环境、风险评估、控制活动、信息与沟通和监督。从涉及的范围看,中国某石油公司的内控涉及到了其股份公司本部、所有的地区公司和控股公司。
从2006年开始,中国某石油公司的内控体系已经全面进入实施阶段。实施的目标是2006年6月30日,通过普华组织的第一次外审;2006年12月31日,通过普华组织的年度审计;之后转入内控的正常运作。2006年上半年,中国某石油公司在实施方面先后开展了地区公司内控体系建设、地区公司自我测试、管理层测试、管理层符合性测试、普华第一次外审。
2007年中国某石油公司的内控工作发生变化,其一是内控工作的效果效率目标被加入内控管理过程,涉及的风险和控制面随之扩大,以流程为例,中国某石油公司调整了基本流程目录结构,由原来的17个一级业务流程增加到了33个一级业务流程,并分成战略控制、操作控制、关键控制三个类别。其二是,中国某石油公司开始实施内控管理信息系统,完成了原有手工手册向内控信息系统的转换。
4、内控实施经验
内控工作实施的成本很高
1)费用支出:萨奥法案的404条款旨在加强企业内部控制,要求上市公司对与财务相关的每一环节都有相应的内部控制制度(例如记录产品销售条件、付款时间和经手人员等),这无疑会给上市公司带来很高的执行成本。调查机构CRA International最近发现,市值在7亿美元以上的大公司第一年执行404条款的直接成本约为850万美元,市值在7500万至7亿美元的中等企业第一年执行该条款的直接成本约为120万美元(市值在7500万美元之下的小企业可以免责)。
2) 时间投入:调查显示,在第一年合规性工作中,收入在200亿美元以上的公司中,工作量超过100,000个小时的占60%。收入在50至200亿美元之间的公司中,工作量超过50,000 个小时的约占41% 。一些公司在第一年采用了积极的方式,加大了投入时间。
内控实施工作可值得借鉴的经验:
由于内控工作需要大量的人员和费用投入,无疑给企业增加了负担,企业需要在内控成本和内控收益之间寻求平衡。过往内控实施的经验对于决定要开展内控工作的企业来说无疑非常宝贵。正像传统的质量控制工作一样,我们可以总结出内控工作的PDCA循环,一步一步地提高内控的实效性。下面将从内控实施工作的计划、实施、确认、提高四个角度总结内控实施过程中的一些经验。
1)计划层面
第一,充分强调内控工作的重要性。
需要一把手发表声明,强调领导责任制。中国某石油公司总裁蒋洁敏一再强调内控执行的重要性,并在中国某石油公司内控设计完成后亲自签署内控手册的发布令,无疑极大促进了中国某石油公司内控工作的顺利开展。
第二,需要确定内控工作的组织管理机构。
明确谁设计、谁组织、谁实施、谁监督、谁审批,各司其职,有条不紊的展开。《全面风险指引》第四十二条就明确要求企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。
第三,设立层层审核制度。
对内控工作的结果设立层层审批制度,既保证内控设计的准确性,又使各层各级的人员对内控的相关规定充分沟通,接口明确。
《全面风险指引》第十条指出具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。
第四,需要在设计阶段就让全员参与。
让每个岗位亲自参与风险收集、风险识别、风险评价、关键控制点、控制措施、相关流程制度的制定过程,将对内控实施提供很好的促进作用。
2)实施层面
第一,任务分解,责任到人,签署责任书。
内控设计工作的结果一般是一本厚厚的内控手册,手册基本在1000页以上,有的企业甚至达到2000-3000页。其中涉及了风险点、风险描述、对应的控制措施、实施频率、实施相关的表格,实施相关的制度等等,看起来非常复杂。对内控手册进行按照岗位分解,编制简单、易懂和使用方便的执行指南,能够极大地提高内控实施的有效性。
中国某石油公司有关企业在实施过程中以岗位为中心,总结出的“一表一卡一图”的《岗位执行指南》,很好的解决了这个问题。其中一表就是岗位说明书,内容包括岗位基本信息、岗位职责、岗位权限等,主要是对岗位进行准确简要的描述;一卡就是岗位风险卡,内容包括所涉及末级流程编号及名称、涉及风险关键控制点、控制措施、实施频率、实施证据名称和相关制度依据,主要是对岗位关键控制进行准确描述;一图就是所在岗位的业务流程图。通过编写《岗位执行指南》,涉及控制点最多的资金管理流程分解到每个岗位最多的也未超过五页,不涉及风险与控制的岗位就仅有一张流程图,大大地简化了内控手册在具体岗位的内容。
第二,能量化的指标尽量量化。
内控实施过程的关键是各岗位对风险的认识和对控制措施的执行。通过量化,让每个岗位都知道自己的岗位涉及几个风险点,几个控制措施,几张表单需要填写,什么时间填写,一则能够更加简化岗位的工作,二则也为进一步的内控绩效考核奠定基础。
第三,加强培训。
管理行为的创新和实践,首先需要管理者思想观念的转变和更新,而观念的转变又依赖于人们了解创新的意义,只有在理解之后,人们才能真正接受。培训是转变人们观念的有效方法,如果培训和考试相结合,则能够起到更好的效果。通过培训和内控的实施过程,在企业形成一种内控的文化和执行的文化,是内控有效实施的又一关键因素。
第四,制定严格的测试计划。
内控实施启动后,需要由组织部门如企业的内控部会同企业的内部审计部,制定严格的测试计划。
中国某石油公司先后组织了多轮次不同方法的内控测试,如自我测试、公司层面测试、外部审计测试,而测试的方法包括关键控制测试、跟单测试等等,保障了内控的严格实施。同时,对于内控测试中发现的问题,由内控测试组总结成表,明确到人,限期整改,并进行再测试。
《全面风险指引》则给出了不同的测试方法如压力测试、返回测试、穿行测试等等。
另外,外部审计师通常使用的审计测试方法为询问适当的员工、观察公司的运营、检查相关文件和再执行。
3)确认阶段
制定绩效考核制度。
《全面风险指引》第三十四条第六款就要求企业建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。
中国某石油公司各个单位都制定了相应的内控考核管理办法,中国某石油公司在内控实施的第一年,规定内控绩效占相关岗位绩效的5%。
4)提高阶段
不断完善内控框架结构。
《全面风险指引》第九条指出具备条件的企业应全面推进,其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。同时,第三十九条指出企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,提出调整或改进建议,出具评价和建议报告。
中国某石油公司在实施过程中制定了专门的内控流程,明确要求内控相关部门定期总结回顾内控的设计和实施情况,并及时更新内控手册。同时,中国某石油公司也是在先期实施主要针对财务体系的内控制度后,又补充了对企业效果效率的内控措施的。
内控工作对于任何一家企业来说都是一个长效工程,只有持续不断的设计、实施,螺旋式的上升,内控工作才能起到应有的作用,企业的管理能力也才能随之提升。以上只是笔者在内控实施过程中的一些体会,不当之处,欢迎指正。
