【专栏|Army】内部控制到底是什么呢?
编者:本文第一次发布于2016年10月,欢迎大家结合目前对内部控制的理解进行留言交流。即使IIA于2020年7月发布最新成果——“三线模型”(Three Lines Model),内部审计作为第三道防线还是植根于大家的认识中。
笔者简洁的理解就是:企业“输入到输出,过程的控制。”然而这「过程」其实就是企业实现「目标」及「可持续化发展」的过程。[目标:指企业利润]
谈到[内部控制]笔者需要说到三家企业,分别是:美国IBM、中国华为、TSMC(台湾台积电)。此三家企业,或许很多人都有所了解,笔者个人认为此三家企业是内部控制最有效及最为先进的企业之一。
IBM公司,最早参与 [内部审计] 未来发展方向,及 [内部控制] 研究与讨论的企业之一,华为内部控制参考者。
华为可以说是目前国内企业[内部控制]最为完善的企业之一,华为的内部控制是参考IBM公司。
虽然华为的EMT(Executive Management Team 经营管理团队)很欣赏IBM这套内控体系,但任掌门还是要求:华为内部控制体系建设就是穿美国鞋,在内部控制建设上不打补丁,要重头做起。在[组织]与[流程]不一致时,我们以改组组织适应流程。现在任职的所有干部,理解这套系统的人就上岗,不理解的人就下岗,不讲资格、资历,要用一些明白人向IBM学习把这套体系建立起来。华为不惜推翻自己原来的内部控制审计体系,不在自己现有的内控基础上做,而是完全按照IBM的内控实践,就这样目前的华为应该是国内很多企业[内部控制]的参考者。
台积电,或许国内很多朋友对这家企业并不了解,然而江苏南京的朋友对这家企业应该有所了解,2016年3月28日TSMC与南京政府签约,独资195亿元建立12英寸晶园厂。
2015年,TSMC以1671亿营收获得净利润604亿,其利润规模是营收3950亿的华为369亿净利润的1.6倍。
TSMC是Apple手机三大CPU处理器代工企业之一(其他两家是:三星、英特尔)。TSMC可以说是整个台湾企业的标杆,在台湾很多企业的标准都会参考TSMC。
当然讲到前面三家企业的内部控制,笔者也在思考,心里也在想,总有那么一天笔者所在的企业也能成为行业其它企业的参考者或标杆。
笔记在此分享一下IBM内部控制以及观点:
1.领导意识与认知
IBM领导层早就意识到,要实施有效的内部控制绝对不是很容易的事情,在设计和执行内控过程中需要付出高昂的成本,如果可以选择,IBM可能不会花费那么多的资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加,尤其是全球业务的增长,内外部风险也在逐步增加。如果没有内控支持,企业将不能做大,利润也不会增加,还有可能由于[效率低]和[舞弊]而增加损失。内部控制就像企业的“红绿灯”,没有人希望受到它的限制,但没有“红绿灯”,整个企业将可能陷入一片混乱。[讲到此次:所谓的内部控制制度,就是企业内部运作的“管理制度”加上“企业文化”]。
2.高级管理层才是“金字塔”的底层建筑
IBM各级管理层一致认为良好的 [内部控制环境] 是有效实施 [内部控制的基础] ,在IBM,高级管理层是建立内部控制环境的首要负责人。内部控制环境包括多方面的内容,其中包括:通过“高层基调”等方式强调内部控制的重要性,明确业务管理层/流程Owner(Owner指:负责人)是内控的第一负责人,并将内部控制设计和执行的有效性纳入各级管理者的PBC(Personal Business Commitment 个人绩效承诺)指标中进行考核等。
3.“垂直化流程管理”
IBM 实施全球流程负责制(Global Process Ownership),确保流程在全球一致。IBM引入全球流程(Global Process)的理念,这些流程在全球任何国家或地区都是相同的,每个全球流程都有一个向总部汇报的全球流程Owner,这些全球流程Owner都是公司的高级管理人员,由公司正式任命。流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责,及时更新和优化相关流程,并通过Compliance Testing(遵从性测试)。每个国家都明确相应的国家级流程Owner,并通过全球流程Owner批准。某些特殊情况下,有些国家可能执行自己特有的流程或需要对全球流程进行调整,IBM要求对其中与全球流程中关键控制不同而造成的更改,都必须得到全球流程Owner的批准(此做法与前几天胖哥海杰聊到的ROS=Retail Operating Standard零售运营标准 有些类似,不管多少个BU(Business Unit 业务单位)其关键控制点必须有效的管控。)。
4.有效使用发挥一、二道防线
IBM除了IA(Internal Audit内审审计)之外,还有BC(Business Controls,业务控制)及Line Controls(运作控制)两种内控角色。
BC组织主要负责公司的内部体系框架的建立和维护,协助管理者建立和维护良好的内部环境,及进行KCP(Key Control Point关键控制点)和内部控制工具方法等知识的培训。BC人员只有少数留在总部,而大部分配置在全球的流程线、业务/区域线(Line BC)以便于协助各级管理层建立并完善内控体系。
Line Controls(运作控制)是由业务运作人员专职或兼职担任,帮助本领域的业务管理层/流程Owner实施日常内控管理,主要的职能包括记录及维护流程运作,实施遵从性测试等。
IBM的IA(Internal Audit 内部审计)独立于业务及流程之外,行使对公司内控体系进行独立评估的职责。
(有效使用发挥一、二道防线,笔者曾经在“内部审计是否出具审计建议”文章中提供过,这和CIA(国际内部注册审计师)书籍中所讲到的“三道防线模式”类似,看似很简单,IBM却将这个“简单的模式”发挥到极致,更说明[内部控制]是整个组织、整个企业共同维护及完善的,而并非只是单独一个部门或者个人来维护与完善的。)
5.有效的内控测评及问责机制,保证内部控制设计及执行的有效性
所谓的内控测评就是上市公司法令要求的“内部控制自评”,一年一次(一般在每年的年末完成内控自评,IA(Internal Audit 内部审计)会根据内控自评结果制定下年度审计计划)。IBM内控测评机制主要包括SACA(Semi-AnnualControl Assessment 半年度控制评估)和Rated Audit(打分审计)。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计的结论分为“满意”和“不满意”,SACA是一种内控自评机制,在各级BC(Business Controls,业务控制)组织的协助下由管理层/流程Owner负责实施,目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”,通常会给予12个月的改进期,期间不会安排对该领域的审计,直到其SACA的评分结果为“尚可”和“满意”。
打分审计由IA(Internal Audit 内部审计)组织执行,以独立评价内部控制的有效性。通常,不好的审计结论意味着相应管理者考评成绩的降级及问责。比如,如果某领域在12个月内两次审计结论是“不满意”,那么该领域最高管理者(通常包括业务线和流程线的最高管理者)将被邀请到审计委员会做出解释,但这种情况一般不会超过两次。
(IBM的内控自评显然更加的主动,而且责任明确,明显优于目前国内的“内控自评”,搞不好很多企业至今都没有完整的做过“内控自评”。说到SACA,这和笔者和胖哥海杰讲到的RPN=Risk Priority Number 风险系数+SOD S=Severity严重度、O=Occurrence Rate 发生率、D=Detectivity 探测度 的内控评估是类似的)
在企业中内部控制系统的建立是必须要的,是企业保证目标实现和可持续化发展所必须设立的“高压线”。然而这些“高压线”会转换成企业内部的管理制度准则及企业文化。需要组织所有人共同维护及完善。
内部控制需要你、我、他(她)。
2019年10月发布的《关于加强中央企业内部控制体系建设与监督工作的实施意见》(101号文)提出的防风险、强内控、促合规的相关实施意见也要深入地理解,才可以发挥好指导、监督、以审促建的作用。
IIA牵头组织对“三道防线模型”进行了修订,于2020年7月发布最新成果——“三线模型”(Three Lines Model)。