搜索
1内控体系建设线路图要想使企业的内控管理体系真正发挥作用,就必须抛弃单纯的监督审计观念,代之以监督审计与服务并重。万事开头难,对于任何一家打算建立一套有效的、符合市场经济要求的内控管理体系的企业或组织来说,其所面临的困难和挑战无疑是巨大的。应《首席财务官》杂志社的邀请,笔者根据自己工作中的实践经验,通过建立线路图的方式简要地与读者分享一下集团化管理的企业应该如何建立符合自身要求的内控管理体系。以下,将对上述五个环节进行详细解读。(见插图:制定内控体系线路图概要)。战略制定作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。制定企业内控战略规划具体应该注意掌握以下几个方面:1.与企业战略目标保持严格一致企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。2.明确实现目标的具体标志事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:企业内控管理程序建设情况;内控组织系统建设2情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。3.基于企业实际需要的准确定位所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标志可以比较简单;业务范围可以适当缩小。这样,就可以以较低的成本投入达到预定的控制目标。4.明确内控工作理念这是开展企业内控工作的基本准则,否则不但内控体系起不到应有的积极作用,反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”之中的工作理念,就可以避免单纯的监督审计容易引起抵触的缺陷;按照内控五要素,建立全面预防风险的原则,就可以为开展内控工作提供具体的评价依据。5.认同内控战略目标确定过程必须经过所有者或最高管理层的批准和确认。能够在获得高层批准前,先征求下属分、子公司管理层的意见并取得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。完成内控战略规划后,我们就可以进入下一站:机构设置内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。1.组织机构设置目前中国规模较大的国有或上市公司,通常都会在监督决策层设置监事或独立董事、董事会下的审计委员会;在运营管理层则设置内部审计部或监察部等职能部门。应该说已经建立了内控组织机构。但关键是这些机构存在许多缺陷,这些问题构成了当前公司治理的主要障碍之一。具体表现如下:*具体执行机构缺失比如,企业中通常没有具体的执行机构为监事或独立董事的实现监督职能提供“硬件”条件;这使得监事或独立董事的职务常常“沦为”一种对外形象功能,在人员安排上以安排退休前的资深领导为主。审计委员会通常也处于相同的情况,其获得信息的来源主要是董事长和总经理等高层管理者,无法真正履行其监督职能。3*内部审计部通常在工作范围以及报告对象上处境尴尬一般企业的审计范围仅限于财务审计;其工作报告对象通常只是其监督对象的财务总监或总经理。笔者认为,比较理想的内控管理组织机构,应当在一定独立性的条件下,能够具体介入企业日常运营管理工作。这一点应当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就使用了内控部代替内部审计部。表面看,只是名称不同,但实际上却有着非常大的区别。主要表现在:A.独立性程度不同内部审计部通常按照审计规则要求,为保持完全的独立性不得介入企业的日常经营活动。而内控部则可以较深入地介入企业的日常经营活动,了解更多的情况并提供管理咨询服务,从而达到“寓监督于服务之中”的效果。B.审计检查范围不同虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计,向运营管理审计方面发展,但毕竟受到从业人员资格和工作背景的限制,无法真正实现其对运营管理的有效监督检查。而内控部由于在雇佣人员方面没有局限性(非财务和审计资格的人员也可以参加内控审计检查工作),因此,可以做到对企业的全面运营管理实行更有效的监督检查。C.报告对象不同内部审计部通常只是向企业的CEO报告工作,向CEO负责。因此,许多涉及CEO本人利益的问题通常无法得到彻底解决,甚至根本无法解决。而内控部则可以在向企业CEO报告工作的同时,还能直接向审计委员会、甚至监事或独立董事报告工作。这在一定程度上保证了审计报告的真实可靠性。基于上述分析,笔者认为,比较理想的内控组织机构可以这样设置:图1中的红色部分为企业所有者;草绿色部分为决策和运营管理系统;黄色部分则是监督检查系统。2.确定内控工作具体内容要实现对企业运营管理的全面监督检查,最大限度保证监督检查的有效性,内控工作主要应当包括以下内容:*组织开发和维护企业管理程序;*组织开展企业风险评估,建立运营管理风险预警系统;*检查评价企业授权管理体系;*审计检查企业运营管理,包括年度例行审计和专项审计;4*组织开展各项调查,如利益冲突调查、内部自查(ICRQ)、舞弊案件调查等;*制定年度审计计划,编制制定和修改审计指导(或评分审计);*评价考核内控人员的工作,审核下属分、子公司内控人员的任职资格并予以业务指导;*配合协助外部审计师工作并跟踪检查其管理意见书的落实情况;*参加公司董事会、高层经营管理会议,定期或不定期向CEO和董(监)事会、独立董事报告运营管理中存在的重大风险;*对企业重大管理决策提供咨询意见;*培训企业专业内控管理人员和各级业务管理人员;*管理企业内部的内控网站和宣传刊物(论坛);*向董事会、CEO提出对分、子公司高级管理人员的奖惩意见和建议;*与企业战略投资者和有关政府机构保持沟通;*其他董(监)事会、独立董事、审计委员会、CEO等安排的咨询管理工作。3.工作岗位设立在集团总部内控部,工作岗位可以设置如下:*内控部总监(部长、经理等):内控部总监的工作主要就是组织和领导集团的内控体系正常运转。内控总监通常应该兼任集团董事会的审计委员会成员。其工作除直接向集团CEO报告外,同时也向集团监事会或独立董事或审计委员会报告。*内控经理:协助内控总监开展工作。内控经理直接向内控总监汇报工作。*审计经理(或内部审计师):审计经理负责运营公司的内部审计,包括年度例行审计和专项审计。审计经理直接向内控总监汇报。*风险经理:负责集团风险评估和运营风险预警;协调处理集团保险业务。风险经理直接向内控总监汇报工作。*内控总监助理:负责协助内控部所有内勤工作。直接向内控总监报告工作。在分、子公司一级,内控机构和岗位设置可以根据该公司的实际规模比照集团内控部方式设置。也可以根据业务发展的实际状况简化处理,如只设立内控经理岗位而不设内控部。但是,无论是否设置内控部,内控经理的报告对象都应该是公5司总经理和公司监事;在业务上接受总部内控部的指导,惟此,才能够保证其工作的独立性和审计结果的客观性。企业在具体决定设置内控组织机构和内控人员数量时,应充分考虑本企业的实际条件和需要,建立起精干并充满活力的内控组织系统。完成组织机构设置后,我们将进入下一站:系统培训任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。1.编制培训资料*通过各种渠道收集内控管理资料和各种案例。内控案例应当以本企业已经发生的事件为主,适当选用社会案例;*根据本企业实际情况,筛选资料;*使用各种演示手段,组织编排演示文本,电子版本和纸质版本;*培训资料应尽量使用各种案例解释各种概念。2.确定培训计划*确定培训对象内控培训对象应该包括企业董(监)事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中应当包括库房保管、司磅人员、质量检验人员、保卫干事等敏感岗位的操作人员。*培训方法脱产专门培训和现场在岗培训,单独沟通交流培训以及工作交流培训等多种形式。*确定培训的目标和具体实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训计划相结合。3.实施培训6对于董(监)事、CEO或CFO、公司总经理等高级管理人员,通常采用单独交流的方式介绍内控管理的要点;对于专业内控管理人员则需要进行全面的脱产专门培训并结合其他在岗和工作交流培训;对于其他普通管理人员则以短期脱产集中培训结合现场其他在岗培训。在整个受训的人群中,对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性,企业在考虑选聘财务总监时,应当尽可能选择具有内控工作背景的财务人员。国际上的一些著名企业如GE公司,其选拔的财务总监通常是来自从事过内部控制(内部审计)工作的人员。具有从事内控(内部审计)工作背景的人员将成为未来财务总监的重要来源。有关内控培训方面的工作,如果企业限于自身培训力量和其他考虑,通常可以委托其他专业管理公司的专家来协助进行。这种培训通常限于集中的脱产培训。但日常培训主要还得依靠企业内部力量完成。当企业完成了以上的内控培训工作后,就可以进入下一站:作业实施严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:1.制定企业内控管理程序,或者运营管理程序内控的实质就是法制化、程序化管理。内控管理程序与传统的企业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分考虑规避各种潜在的管理风险。因此,内控部门在组织各职能部门编制内控管理程序时应当首先对所有的业务流程中存在的各种潜在的风险进行评估并且在程序设计中予以规避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序应当充分考虑与企业现有的质量管理体系的兼容问题。2.评估检查企业的授权管理系统任何一家企业无论是否有内控管理,一定存在一套授权管理系统。但问题是这些存在的授权管理系统是否科学、清晰合理,是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估并提出修改调整意见。内控人员需要与公司的CEO、CFO以及人力资源部和各业务部门共同合作,对现有的岗位职责进行调整。岗位职责在内控管理中属于一般授权管理。建立临时特别授权管理制度。3.潜在利益冲突调查为保证内控管理的组织牵制原则得到有效的实施,当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。为7此,企业内控管理人员应当根据企业实际情况设计一套利益冲突调查文件并提出规避潜在利益冲突发生的具体措施。然后组织下属企业开展全面的利益冲突调查,最后根据调查结果提出处理意见,包括替代控制措施。4.编制年度内控审计指导,实施内控审计无论是内部审