在激烈竞争的市场环境中,企业运作的绩效表现充满着不确定性,如何识别可控制风险,已成为企业生存与发展的重要环节。企业内控是企业风险管理的基础与核心内容。
财政部等五部委2008年5月22日颁发的《企业内部控制基本规范》(财会[2008]7号)(本文简称《内控规范》),自2009年7月1日起在上市公司范围内施行,并鼓励非上市的大中型企业执行,这将大大推动国内企业内控管理的进一步提升。
《内控规范》定义的内部控制,是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。AMT咨询的观点是,这些过程涉及到企业人员(或岗位)之间的工作流转协同、相互约束制衡的关系,因此,执行企业内控目标的过程也称之为企业内控流程。
企业内控与流程管理有什么关系?
《内控规范》借鉴COSO《内部控制整合框架》内容,规定企业建立与实施有效的内部控制应当包括相互关联的五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。《内部控制整合框架》定义了每个要素均承载了内部控制三个目标:经营目标、财务报告目标和合规性目标。《内部控制整合框架》模型是企业的内控目标、内控要素与组织流程的三维组合,也就是将内控目标和内控要素具体落实到组织流程中,或者说,每个内控项目都是通过组织各层级及其成员按照一定的流程及其作业和任务的要求完成的。《内控规范》确定的内部控制目标能合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。要落实内控目标,必然涉及到企业经营活动中的所有流程。因此,企业内控的有效实施必须建立在企业业务流程清晰描述的基础之上,从具体业务流程中识别关键内控节点,通过合理设置组织机构与岗位,落实内控责任。达到在具体流程环节中,明确内控要求与规则,使流程在合规条件下运转的要求。
企业建立与实施内部控制要遵循的五个原则与流程体系框架、流程清单、流程责任矩阵、流程的梳理与优化等企业流程管理工作内容存在着密切的关联(见表1)。企业建立与实施内部控制遵循的原则 企业流程管理的相关内容
全面性原则 内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。 建立企业业务模式的流程框架;
建立企业流程清单;
梳理与规范描述企业业务流程。
重要性原则 内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。 优化关键业务流程,即优化业务与管理中的重要或短板流程。
制衡性原则 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。 通过业务流程优化,优化公司治理结构和机构设置,建立流程责任矩阵,明晰权责分配(集分权表),合理设置岗位。兼顾流程效率和监督制约的平衡。
适应性原则 内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。 企业的流程管理提升既要借鉴行业内外的最佳实践,又要符合企业实际运作,并持续优化流程。
成本效益
原则 内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。 流程的优化(或变革与重组)需要循序渐进,必须为企业创造流程增值的实在效益。
表1:企业建立、实施内部控制遵循原则以及流程管理的相关内容
企业内控流程如何建立?
建立企业内控流程,必须先从企业业务流程的建立和梳理入手。企业的流程是一系列活动的连接流转,一般将流程活动分为两类:A类是管控类活动(各级别各部门经理人的决策、审批、评审、会审、签字、授权、批准等);B类是专业类活动(比如市场调研、发货、设计等)。管控活动属于内控活动,专业活动根据内控要求进行岗位分设制衡的则属于内控措施(制度要求),内控制度还将对专业活动的作业规范提出要求。
企业内控流程的建立与企业业务流程的建立,其描述的方法是一致的,只是两者关注的重点不同。企业业务流程体系是从企业所有业务为企业创造价值的角度梳理和建立,而企业内控流程则须对业务流程中的内控关键控制点进行描述和要求。因此可以说,企业内控流程是企业业务流程中落实内控要求的流程子集。其实包括内控体系在内的企业各种管理体系(如质量管理体系等)均要落实到企业具体业务活动(即业务流程)中去执行。|!---page split---|内部控制的关键控制点主要关注职责分工、实物接触控制、内部核查、充分的书面记录、恰当的授权等几个方面。以企业的采购与付款端到端流程的管理内控为例,企业内控主要关注采购授权审批、采购申请审批、采购预算、采购控制、验收、付款控制、退货、应付账款等方面,需要建立相应的内控流程与制度。
可操作执行的企业内控制度的描述是建立在流程描述基础上的内控规则的描述,也是构成流程环节(或节点)知识的重要组成部分。
作者以下面的采购与付款流程为例,来说明企业流程与内控要求的建立与梳理。
1、 描述采购与付款业务流程。
书面流程描述通常采用泳道式两维流程图,一个维度是职能带或为部门或为岗位,另一维度为流程的进程。以职能带为泳道来界定部门或岗位在流程中的职责划分。采购与付款业务流程的职能带将包括使用部门、仓储、采购、质检、财务等部门,还包括企业高管等决策层。流程将包括采购需求、库存平衡、采购预算、采购计划、选择供应商、采购合同、入库检验、入出库、财务付款等内容,并设置适当审核、审批环节来进行描述。其中的一些流程环节可以细化分解为子流程,如合同签订流程、财务付款流程等。
2、 明确采购与付款的业务目标。
采购与付款流程的业务目标主要包括经营目标、财务报告目标、合规性目标等三个方面。规范采购与付款流程的业务目标是:确保采购业务按规定流程和适当授权进行,实现预期目标;其财务报告目标是:确保采购与付款业务及其相关会计账目的核算真实、完整、规范,防止差错和舞弊,保证账实相符,财务会计报告合理揭示采购业务享有的折扣或折让;其合规性目标是:保证采购及付款业务、相关采购、招标合同等符合国家有关法律法规要求,确保采购付款以及相关货币资金管理符合国家有关部门的法规要求。
3、 分析采购与付款的业务风险。
针对业务目标的确定,识别与分析相关主要业务风险。经营风险主要是:由于采购业务流程设计不合理或控制不当,可能导致采购物资数量、质量及其价格偏离目标要求,或出现差错和舞弊;财务风险主要是:可能导致会计核算多记、错记、漏记物资采购成本和应付账款以及其他应计负债,造成核算和报表反映不真实、不完整、不规范;合规风险主要是:可能导致采购业务处理违反国家有关规定而受到行政处罚或法律制裁。
4、 确定并说明采购与付款业务流程的关键控制点。
为了从内部来控制上述业务风险,必须规范采购与付款业务流程的同时,对关键控制点进行具体的描述。
61548; 采购申请和采购计划的关键控制点是检查库存平衡。符合控制定额的办理领用(发货),定额不足的将编制采购计划,需要经需求部门领导审核后报采购部门。
61548; 采购部门的采购预算需要经部门领导审核后报高层主管领导审批。
61548; 采购计划应包括采购价格、需求时间、供应商、采购合同、采购物资的技术指标。
61548; 选择供应商时,需与供应商就价格、交货周期、付款方式、供货质量要求等进行谈判确定的,由采购、财务及相关技术部门等人员组成谈判组,提出初步意见,报授权领导审定后由采购部门牵头谈判;对公司要求实施集中采购的物资,应按公司的相关规定办理;属招标采购范围的,应组织招标采购。
61548; ……
5、 采购合同签订流程子流程及其关键控制点。
采购合同签订子流程图的职能带将包括供应商、采购部门、法律审核部门、财务部门、质检及相关技术部门、业务分管高层、财务总监等,流程环节主要有拟定与修改合同、合同审核审定、合同签订、合同存档备案等。
采购合同签订流程的关键控制点:
61548; 大宗批量与较重要物资采购必须签订合同。由采购部门拟定合同文本后,送财务、法律和技术等有关部门审核。
61548; 财务、法律和技术等有关部门依据职责权限认真审核合同有关条款,提出修改意见交采购部门修改合同文本。
61548; 分管采购业务的领导和财务总监审定合同,交授权人员签订合同。原件留采购部门,副本报财务、检验、法律等部门备案。
6、 采购与付款流程对岗位职责分工的主要内控要求。
61548; 不相容职务相分离。主要包括:询价与确定供应商、采购合同的订立与审批、采购与验收、实物资产的保管与会计记录、付款审批与执行等职务相分离。
61548; 各相关部门之间相互控制并在其授权范围内履行职责,同一部门或个人不得处理采购与付款业务的全过程。
上述流程分解过程可以将流程逐级细化到岗位级,因此企业将有大量的流程与相关控制要求。要想管理好、运行好、维护好这些流程,如果不充分利用信息技术系统的支持,就必须大量增加企业管理人员,并且还有可能降低运作效率。|!---page split---|信息技术条件下的企业内控流程如何建立?
企业管理精细化、规范化、标准化越来越需要信息技术的支持,采用流程管理平台软件,将使企业内控管理进入一个新时代。流程管理平台软件在企业管理中应用后,企业大量制度文件可以无纸化、制度相关条款(或规则)直接关联到流程及其相应的节点上,使流程执行者(岗位)快速直接地查阅到规则要求而按规定操作。也有利于根据企业内控要求快速修订、调整和部署新的制度条款和新的流程,将极大地支持实现企业管理持续改进。
下面用流程管理平台主流软件之一的Nimbus_Contol集成流程管理平台软件为例,该流程管理软件平台具备有流程绘制、用户角色、流程协同、情景设置、流程发布、指标预警、计分卡、数据表、条例集、业务控制、成本控制、文档管理、任务管理、资源库管理、版本管理、故事板应用、报告和分析等多种功能,支持企业(含内控)流程管理需求。
图1 业务流程的基本单元建模图
通过如图所示的流程基本单元的4个主要链接以构建从企业战略管理(包括内控目标)到流程执行和IT接口的集成管理平台,满足公司治理、风险控制和合规性(GRC)以及业务连续性管理(BCM)的管理要求,并对接企业信息化(IT)系统,实现“管理+IT”的贯通,提升企业运作效率。
图2 集成业务流程、制度与条例集的内控体系示意图
该流程管理软件平台通过将业务流程与制度、条例集、内控与风险点、岗位、信息系统等的有效集成和关联,可以形成清晰可视系统的内控体系。特别是流程、制度、条例集之间的关联互动,为大型组织设计、应用和改进内控体系提供了全面、快速、低成本的解决方案。
通过信息技术平台建立并运维管理企业的流程库及其相关的知识库、规则条例库、指标库、报告库、资源库、指标库等,将为企业降低管理的人工成本、减少人为错误、提高工作效率、推动企业管理变革等诸多方面带来巨大价值。
总之,企业内控管理是一个体系,内控流程的建立与梳理,要落实到具体业务流程中,固化到企业的信息化系统中,才能在企业内控与运作效率之间更好地达到平衡。