在内控咨询服务过程中,发现很多企业对“内控五要素”概念不知所云,未搞清楚“内控五要素”和内部控制体系是什么关系,如何在内控体系建设过程中清晰的体现“内控五要素”内容。看到很多企业内控体系文件中,把“内控五要素”作为一个管理章节写入制度或手册中,但是企业自身越来越发现“内控五要素”很空,浮在空中,无法有效落地执行,就认为“内控五要素”作用不明显。
出现这种情况归根到底是企业没有搞清楚“内控五要素”的实质、以及如何有效运用,接下来结合多年来咨询实践谈谈对“内控五要素”的理解。
企业内部控制体系建设及完善需要涵盖遵循“内控五要素”理念原则,“内控五要素”贯穿于企业日常经营管理活动流程始终,任何一项内控活动、制度及流程无不体现着“内控五要素”的原则。“内控五要素”彼此构成一个整体,相互关联、相互影响,缺一不可。缺少其中一个要素,内控整体有效性便会受到影响。
“内控五要素”包括内部环境、风险评估、控制活动、信息与沟通和内部监督。其中,内部环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,内部监督是保障。
内部环境是企业高层管理者对内部控制的态度、理念、观点和管理哲学。企业的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等共同构成了企业内部环境,是影响企业整体内部控制体系的基础性制度,是内控制度及流程设计的基本土壤。如国有企业里面绩效考核活动,会发现考核分数都在90分左右,而不会写到相对较低的70分,这是因为国企的文化倾向于“不患寡患不均”。
1、内部环境影响因素
企业发展阶段对内部环境也有较大的客观性影响,企业发展阶段可分为创业期、发展期、成熟期及衰退期。
初创期企业具有规模小、尚未定型等特征,管理层自身缺乏经验积累,难以制定出明确的长期目标及标准,管理层偏好鼓励采取灵活自主的开拓行为,管理行为相对比较灵活简单,各项规章制度及规则都没有成型,企业的整体内控意识与环境氛围不是很强。
成长期企业具备方向基本确定、较快发展、标准逐渐建立等,企业在步入加速发展期后,企业规模急速扩张,员工数量不断增加,管理层管理经验积累相对比较丰富,会采取以指导型为主的管理风格,给予员工长期的工作目标及相应标准,使之能快速适应企业发展需要。此时,企业尤其是管理层的内部控制意识会得到加强,要求建立满足企业发展转型需要的内部控制,各种内控规章制度、规则不断相继出台,企业对于风险控制及规则的遵守也越来越好。
稳定期企业具备规模稳定、方向稳定、发展稳定等。组织进入了一个相对稳定的时期,不稳定的因素减少了,由多年经验积累而成的业务内控规则与业务标准已经完善成相应的体系,同时企业规模经过不断成长,员工数量大大超出了企业管理者们能够控制的范围。此时,企业管理者会采取以权威型为主的管理风格,依据企业的发展方向,在企业中建立自上而下的管理标准体系,各领域各条线的管理、工作标准均有相应的规定,企业的风险及内部控制意识达到很高的程度,但也因为企业规模较大,组织结构较为复杂,内部控制容易偏向官僚主义,运行效率受到影响。
衰退期企业具备规模萎缩、业务衰退等特征,组织成长环境开始恶化,业务进入萎缩衰退状况,企业急需经营或管理变革。同时,企业员工由于已经意识到危机的到来,企业组织的凝聚力会变差。企业管理者偏向采取以民主型为主的管理风格,让员工参与企业的决策,激发员工的主人翁意识,鼓励对以往陈旧规则进行改革破立。此时,企业需要一种能够支持管理变革与创新的内控机制与环境氛围,在制度与创新寻找平衡。
2、内部环境面临的最大风险
1、风险评估思路
风险评价是基于分析收集的风险信息后,评价其对已设目标的影响程度,并以此调整改变其现有控制活动及措施,以将风险控制在企业承受范围之内。风险评价是风险评估过程中比较难操作的一个环节,因为风险发生可能性到底多高,以及风险发生的影响程度是多大,有时候难以量化。企业实务中开展风险评估,以定性判断居多,运用量化方法的需要企业大量拥有一定量的历史数据,通过对历史数据的统计分析,结合现状,进而做出未来的预测和判断,具有信息化和数字化基因的企业,如互联网平台、电信、金融行业等,实施风险评估量化相对就要可行的多。
2、风险评估影响因素
企业要做好风险评估,需要考虑几个方面因素:
随着现代企业经营数字化转型步伐的不断加快,企业信息化水平会得到不断提升,风险评估在定性分析基础上,运用数学和统计模型进行定量分析已具备较为可行的条件和基础,能够量化更加便于风险的后续有效管控。
企业应当充分吸收企业内外部专业人员,组成风险分析团队,按照严格规范的程序开展工作,以确保风险分析结果的准确性。对业务领域比较熟悉,会知道业务有哪些潜在风险,哪些风险容易出现,在什么条件下较为容易发生,综合运用各个专业人员的知识开展风险分析,风险评估效果会比较好,更容易被认可。
企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好与风险承受度,风险偏好和风险承受度会影响到最终风险水平大小的评级和排序,风险偏好者和风险保守者对于同一个风险水平评价的结果不一样,风险评估过程中要考虑这些因素,但是要避免因个人风险偏好极端给企业经营可能带来重大损失。
控制活动是企业结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度范围之内。控制活动的控制对象是企业已识别的各项风险,在实务中将控制活动及措施以流程、制度的形式进行规范,通过业务流转表单、表格文档和信息系统的形式实现控制活动及措施的运行,形成企业信息记录及流程数据沉淀,借助分析工具评价控制措施有效性,进而不断优化调整企业控制活动及措施。
控制活动及其控制措施的有效设计需要考虑以下几个因素:
既定控制活动下的控制措施如何具体设计要考虑企业的风险偏好及风险承受度,同样的风险,不同的企业、同一企业内部不同的部门所采取的控制措施是存在差异的,但都将风险控制在企业可承受度范围之内为基本准则,风险控制成本与效益要保持平衡。
任何企业经营或运营管理活动行为,都会遵循事前计划与决策、事中执行与监控、事后评价与总结的循环,管理学上称为PDCA循环,或者管理闭环。在事前要有预防性控制设计,事中及事后要有发现性控制设计,如应收账款催收业务,事前要开展客户信用评价,根据信用评价对客户进行授信申请和批准,事中要对客户发货量进行控制,并对应收账款账期核对进行确认,事后要与客户定期对账,并采取催收措施。
流程是内部控制措施设计及执行的纽带,控制措施及方法要无缝衔接嵌入到企业日常经营业务流程中,在流程各个环节讨论风险及控制措施的可行性。所以实施内部控制管理体系,先要从企业业务流程梳理开始着手,细化流程,讨论流程目标设定、潜在风险及其控制措施。
从信息使用者来看,企业内部各管理级次、责任单位间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进沟通和反馈。
1、信息与沟通问题分类
信息与沟通问题最常见就是信息不对称!“我知道,你不知道”、“我知道的比你多”、“你我对同一信息理解不一样”、“你所表达的与原有信息存在偏差”等都属于信息不对称的表现。信息不对称会导致“道德风险”和“逆向选择”,对企业经营运行产生较大的影响,如企业舞弊行为、决策质量低下或失误、运营效率低下、财产损失、监督不到位、管理评价或绩效考核无法有效开展等。
2、信息沟通影响因素
从组织内部横向来看,在职能组织模式下,强调职能专业分工,各部门本位主义意识较重,信息在同一个部门内部沟通与传递一般较为顺畅,但信息在不同部门与部门间传递沟通就容易出现不畅,部门墙壁垒现象严重,信息沟通存在困难,办理完成一个涉及跨部门的业务经常需要组织管理领导努力协调,效率较低。
企业日常经营业务活动中未规范信息在不同部门、岗位及内外部传递的方式、传递内容要求等,如口头方式传递,事后无法认账,造成责任追究扯皮;表单方式传递,表单要素设计不全,表单信息不充分,必要信息遗漏;信息系统方式传递,系统中哪些信息可供组织部门共享使用、系统与系统间数据如何传递并保持口径一致等。种种不规范的信息传递导致信息质量较差,无法得到有效利用,信息资源被浪费。
企业虽已经建立有规范的信息传递沟通机制,信息也能够在组织不同部门及岗位得到及时完整传递,但是由于信息传递方和信息接收方在专业知识背景上存在差异,造成对同一个信息理解存在偏差,结果是一方可以利用另一方专业上的无知或劣势实施一些不利于专业劣势一方利益的行为。
信息与沟通在内部控制体系中的重要性不言而喻,企业需要在企业内部打造重视、鼓励组织内部信息沟通的企业文化氛围,努力消除各种信息沟通壁垒。
内部监督是内部控制五要素中最后一个要素,对内部控制有效运行起保障作用。设计再完美的内部控制若没有内部监督配套机制,久而久之,体系要么不被执行而束之高阁,要么执行不到位而偏偏走样,内部控制制度及流程需要组织人员去执行,是人就会有惰性,有惰性就需要监督或督促,没有监督天使也会变成魔鬼。
1、内部监督类型
从体系整体管理来看,内部控制体系需不断经过建立、运行、评价到完善的循环过程。评价就是一种内部监督机制,通过评价促进内部控制体系的不断完善,确保内部控制体系得到有效执行,内部监督充当体系中最后一道风险防线和关卡。从业务活动流程来看,会经历业务活动的发起、审核、审批、执行操作、记录、报告及后评估过程,流程环节当中的后评估也是一种监督,后评估可能是业务或职能部门自行开展,属于自我监督方式,也可能是相对独立部门来执行。实务中很多企业要求内部监督机制要嵌入日常业务活动流程中,要求内部监督机制要被前置,要做到风险事前防范、事中监控,而不只是亡羊补牢式事后监督。
2、内部监督的影响因素
企业处于初创期时,经营发展规模相对不大,可以说,企业日常经营管理过程都在企业管理者所掌控之中,事必躬亲,任何一项制度建立、制度执行情况都比较清楚,一眼就能看到底。此时,企业管理者自身就能充当内部监督职能的角色,额外的内部监督职能可能并不会被设置,也没有那个迫切性。但当企业经营规模达到一定程度,企业内部组织层级增多、组织机构日趋复杂、人员规模越来越大、以及业务范围越来越广时,企业管理者已不能够对内部日常经营活动进行全面知晓和管控时,企业内部监督职能组织的设立及运行就显得较为需要和迫切,企业管理者就需要内部监督机构及职能的发挥来保障企业的可持续经营发展目标。