【专栏|内审007】内控思想中的数字密码
内控是一个抽象的思想概念,其实大家每天都在接触它。内控如同空气,在你身边却无法准确感知到它的存在。
由于现代内控思想来源于西方系统论,本文将通过梳理内控知识中的一些基础概念,来帮助大家实践内控思想精髓。让大家从思想和物质两个维度来体会内控的重要意义,打破对内控的“神秘”之感。这些内控概念如同食材和调料对于烹饪艺术一样,让思想不再空洞,而是能够用目标、要素、原则和措施来具体落地。
内控基础概念中会有一些数字,如3、5、7、18。内控思想进入中国后,融合了东方文化。这些基础概念被演绎为某些东方人习惯的数字。比如五项内控原则的“五”来自金木水火土的五行;18项指引,不是19项也不是17项。因为“十八”是一个吉数,中国文化和佛教中与“十八”情结有关。如 “女大十八变”、“十八般武艺”、“十八学士”、“十八界”、、“十八层地狱”、“十八罗汉”。内控基础概念中的数字及其蕴含的密码又有哪些呢?我们分别介绍如下:
一、数字3
(1)财务方面主要看财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关。管理层要确保财务报告及相关信息真实完整,账务处理以及对外披露的真实性
(2)业务方面要看经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标
(3)合规方面要看遵守适用的法律法规的要求,即在法律法规的框架下从事经营活动。与国家或者企业的规章制度相一致
上述提出的目标都是公司表层目标,企业内控的核心目标就是把企业治理成一个群龙无首、无为而治、基业长青、永续发展的生命体。这个生命体为组织成员带来生存保障。
2.内控指引三个维度,这18项指引可分别归纳为:控制环境、控制手段和控制措施。若我们把这三个维度分别比喻为树的树根、树干、树叶。那么大家会很好理解。一颗大树根深才能叶茂,繁荣才会带来果实。这里的果实代表着财务数据,只有基础的内控工作扎实才会有出色的业绩。
1.五部委
2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
五部委的全力推出代表了这项内控指引的重要性,而且是跨时代,跨行业的重要意义。而我们国家的《企业会计准则》仅由财政部制定,于2006年2月15日财政部令第33号发布,自2007年1月1日起施行。
2.五目标
上文已将内控目标一般分3个维度看,但分解开来主要有五个,即:财务维度和合规维度不变。但业务维度可以经营效率和效果、资产安全、发展战略。
资产安全,就是资产是否被损害或者挪用。公司运营中要保障公司的资产和资源越来越多,而不是持续消耗。经营的效率与效果,就是运营的好坏。天下武功唯快不破,这里的武功就是公司运营,快是我们唯一对抗公司风险的法宝。发展战略是公司前进的方向,是帮助企业达成业绩的指针。记得有一个精彩的故事说,红军长征中炊事班一醒来不是考虑如何做饭,而是急迫的问“今天向哪里走?”可想而知,团队的方向是如此重要。
无论将内控目标分成三种还是五种,实质都是把最重要的要素提炼出来,作为内控建设瞄准的最终目的地。
3.五要素
内控五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
我们讲内控五要素类比于一颗树需要成长的要素,那么:
内部环境就好比树根,到底能够提供充足水分或者养料,决定在根系发达与否。
风险评估好比树面临的大风。常言道“树欲静风不止”。只有准确评估面临的风险,才能及时采取措施茁壮成长。对于公司而言,只有对重要的流程提前识别出风险,这才是降低风险的,防止损害公司利益的方法。
控制活动就好比是植物的树干,一个植物要生存就需要有产出,企业要生存就需要有收入,不管是通过产品还是服务,都是通过控制活动来进行控制。控制活动是外在表象
信息与沟通好比植物的导管与筛管负责传递水分与养料,保证树根与树干、叶、果的沟通。全公司之间乃至与外部经销商、供应商之间的信息也需要及时沟通传递,避免信息壁垒造成的合作损耗。
内部监督就好比树的免疫系统,一旦被病菌侵入,就释放出大量抵抗物质,将病菌赶跑。有时会通过邀请啄木鸟来防范或者降低来自外部或者内部各种危害。只有内控体系定期的进行监督以及维护才能保证内控实施的有效性。
4.五原则
如何提炼出重要的风险点是内控的基础,也是难点之一。这要求内控人员自身经验丰富,同时还要邀请组织成员参加,共同参与风险识别。
这个原则大家会比较困惑,公司如人体,内控如衣服。人体在成长,内控也要同步成长。两者不同步都会产生问题。有公司业务大量更新,组织架构也更新很快,但内控迟迟没有更新,那么内控就是失去了价值。有时内控过于严格,也无谓消耗了很多人力物力,也未必是件好事情。
(5)成本效益:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
这点问题是最难解决的,有时要论证一项内控优化措施是需要极大努力进行论证和测量其性价比。如何量化统计成本、效益本身就是难点。所以在实务操作中会邀请更多专家进行评估分析,提出自己领域的测算。
内控的控制措施归纳起来有7种,分别:
不相容职务分离控制:也就是说干一件事情需要让不同的人来参与。这个仅仅只是针对操作层面的人,比如某位副总既负责采购又负责仓库管理,这能说是岗位职责不分离么,显然是错误的。老板负责公司所有的业务,按照这种说法老板就是最大的岗位不相容了。这就和某些审计人员的固有偏见一样,认为审计部归财务总监领导是不具备独立性的。而事实上,独立指的是向适当的人员汇报工作并不受阻碍。不是什么都往独立性上靠,更多还是需要关注工作本身的内容。
授权审批控制:就是指谁有权力对哪些事项签字,比如常规授权、特别授权、集体联签等;
会计系统控制:每一个控制活动在最后都会体现为财务数据,比如账务的明确处理程序、会计资料真实完整;
财产保护控制:对于固定、存货、低值易耗品等,需要财产记录、实物保管、定期盘点、账实核对。
预算控制:做任何一个决策需要看有没有预算,超过预算的需要审批。
运营分析控制:运营部门定期要反馈运营偏差的情况供管理层决策。
绩效考评控制:业务流程在进行的时候,难免会有差错,而这不可能以责任心这种东西来约束,所以就与干活的人的考核挂钩,你业绩差,你奖金就少。你就走点心吧,钱不是这么好拿的。绩效考核有时与预算是挂钩的,将预算作为考核的一个指标。
除了前面两种是对岗位的设置之外,剩下几种是融入在流程中的。也就是说只要该模块或者流程有涉及到这些内容,在撰写内控流程文档的时候,就需要写进去。
18项指引好比18罗汉。罗汉本为佛教小乘追求的终极目标,但是在佛祖释迦牟尼的规劝和鼓励下,为使佛法在佛灭度后能流传后世,使众生有听闻佛法的机缘,嘱咐十八罗汉永住世间,分布各地弘扬佛法,利益众生。所有罗汉们纷纷回小向大,“往世不涅”,帮助维护大乘佛教,于是在大乘佛教里罗汉们也有了他们新的地位和作为。罗汉能断除一切烦恼,达到涅槃境界,不再受生死轮回之苦,修行圆满又具有引导众生向善的德行,堪受人天供养的圣者。这些指引为:
1.环境类:第1-5号——组织架构、发展战略、人力资源、社会责任、企业文化;
2.措施类:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包
3.手段类:财务报告、全面预算、合同管理、内部信息传递、信息系统
罗汉与菩萨、佛有什么区别呢?内控目标就是佛,佛是佛陀的简称,为觉者,是佛教修行的最高果位。觉有三个意思:自觉、觉他(使众生觉悟)、觉行圆满。这相当于我们通常所说的自燃、点燃和阻燃三种类型的人。
罗汉缺后二项,菩萨缺后一项,只有佛才三项俱全。小乘佛教所说的佛一般是指释迦牟尼,大乘佛教除指释迦牟尼外,还泛指一切觉行圆满者。大乘佛教认为,三界十方,到处有佛,其数如恒河之沙。
内控原则如菩萨,菩提意思为觉悟。大乘佛教认为,以罗汉为修行的目标还不够,应修持佛果,即达到成佛的境地。但在成佛前,应先作菩萨,即一面修持佛果自度,一面教化众生,度众生到极乐彼岸。佛经中常提到的及在我国汉族地区影响较大的菩萨:观音菩萨、文殊菩萨、地藏王菩萨和弥勒菩萨。
内控由危机及风险应对而生,关于如何运用内控指引进行分析,我们将在后续文章中继续为大家具体分享。
该文首发于2019年10月。
作者简介
本文作者“内审007”,具有20多年内部审计一线工作和团队管理经验,CIA证书、审计师。有10年德资汽车公司内部审计工作经历,具有国际化视野。还在汽车行业积累了丰富的经济责任、工程项目、管理专项审计和反舞弊的实战技巧,尤擅长大数据分析审计和审计质量评估业务。他秉承“快乐审计”理念,享受审计工作为公司挽回经济损失,创造巨大价值的乐趣。