偶看新闻阴阳师桌面版 支持ios:内控:“随心所欲不逾矩”
来源:百度文库 编辑:偶看新闻 时间:2024/05/01 01:40:56
好像“身陷囹圄”的卧底、情报员,他们与敌人同行,谈笑风生,但是在觥筹交错、五光十色的灯光之后,在某个安静的角落,他们依然不忘自己的使命,一个小时之前的浮华就如隔世一样。有时候你会怀疑他们性格分裂,在这样极端逆转的环境之下,他们的思想、情绪会被逼迫到难以转圜的临界点。或许我们觉得信仰是让他们获得救赎的力量,事实上,规则才是让他们最后找到身份认同的线索。信仰不会动摇,规则没有误区。
2010年4月底,企业内部控制配套指引终于发布。财政部联合证监会、审计署、银监会、保监会(以下简称“五部委”),正式发布根据国家有关法律和《企业内部控制基本规范》制定的《企业内部控制应用指引第1号-组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》(以下简称“企业内部控制配套指引”)。五部委计划分阶段逐步实施。执行《企业内部控制基本规范》及企业内部控制配套指引的企业,必须对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。《企业内部控制基本规范》及企业内部控制配套指引为企业内部控制建设和评估提供了一套以《企业内部控制基本规范》为统领,以内部控制应用指引、评价指引和审计指引等配套办法为补充的内控标准体系,标志着我国发展企业内部控制规范建设的一个重要的里程碑。
《企业内部控制基本规范》于2011年1月1日起在境内外同时上市的公司首先实施,自2012年1月1日起在上海证券交易所上市的公司及深圳证券交易所主板上市的公司实施,同时鼓励非上市大中型企业提前实施。对于中小板和创业板的上市公司,则暂时没有公布实施时间。
普华永道中国风险管理及内部控制服务部合伙人季瑞华提示企业尽早做好准备工作。首批实施的企业应该按照基本规范实施时间的要求,尽早开始内部控制相关的工作。当时普华永道曾建议,在可能的情况下,企业可以考虑在2010年进行试点运行,为2011年的合规报告做好充分的准备。尽管《规范》和《指引》的出台对中国企业意味着机遇,但中国企业在实施内控方面参差不齐,有些还有认识误区。季瑞华为我们解读了一些企业对“内控”理解的误区,并分享了他的观点。
误区一:“把内控当成考试题完成”
当被问及“企业就内控问题,来咨询最多的是什么”的时候,季瑞华表示,“客户常常有很多问题,但问题性质不同。有针对具体领域的,也有宏观问题。但就《规范》来说,很多企业的问题是,‘如果我们以《规范》为要求,那么,我怎么做才能满足基本规范的要求?’”
“这很像我们考试时候划出考试范围,然后保证考试合格。这是大家的习惯,觉得监管机构发文了,代表对企业有要求,那么,‘我们怎么做才能达标’成了很多企业的想法。”季瑞华说,“这恰恰是不对的。《规范》提出的是内部控制的一个体系、一个框架,它并不是提出内部控制的具体要求。而且,内控是按照公司不同情况来制定的,A公司完美的内控手册,到了B公司不一定适用。即便是业务规模、产品都一样的公司,也会因为公司文化、心态、经营模式等方面的不同而让内控策略完全不同。正所谓‘汝之蜜糖,彼之砒霜’。”
不同的公司内控机制不同,具体管理手段肯定千差万别。但不同企业的“内控”也并非完全没有共性。“它有着共性因素和组成部分,也就是《规范》中的5个基本要素,即:内部环境、风险评估、控制活动、信息与沟通、内部监控。这五个层次是融会贯通、相互支撑的,分裂开来都无法执行。但这也是概念性框架,《规范》并没有说明具体的管理手段,比如,是100万元的费用需要CFO审批还是1万元就需要,这是《规范》没有也无法规定的。实施的企业需要考虑的是公司的整体情况,并没有必要将规范里的每个章节都对应到企业的内控体系里。”季瑞华表示。在季瑞华看来,内控的境界是“随心所欲而不逾矩”。他举了一个很多武侠迷都熟悉的《倚天屠龙记》中张无忌在大敌当前跟张三丰修习太极剑的一幕:当武当开山祖师张三丰传授张无忌太极剑法时,他先强记所有招式,反复演练后,张三丰问他,“还记得几分?”张无忌答曰,“还记得三分”,便继续演练;直到“全忘光了”,才上阵对敌。其实,剑法经他不断演练与体悟后,早已熟练、内化于心中。因此,张无忌一出手不仅招式无比精准,而且不会被“有形”的招式束缚住;反而能转化出无穷变化,抵御强敌,实现“随心所欲而不逾矩”的境界。用这个例子做比,季瑞华希望企业不要简单地将内控看做要应付的考试题,也并非给了题目、答案,就能解决好内控问题。
当成考题——“我要怎么做才能过关”——来考虑内控问题,这样的风险就是——走形式,表面上好像合格了,但情况还是老样子。季瑞华认为这应该是企业尽量避免的。
误区二:“把内控当成一个项目去完成”
当国家相关部委出台文件后,不少公司就开始为内控“立项”:“我现在要做内部控制项目,全新梳理流程。”
季瑞华认为这样做很容易将“内控”与“公司管理”做成“两张皮”。“其实它们是一件事。在2002年以前,‘内部控制、风险管理’这些概念在中国企业里并不多见。我非常有兴趣去追踪一下,最早运用的是谁?我想问的是,难道在有这8个字之前,中国企业就没有管理吗?中国企业就无法走得更远吗?不能说它没有内控、没有风险管理。” 季瑞华表示,“内控其实就是日常的管理工作,它不会因为概念换了,我们就要把它做成两件事或者三件事,其实它跟企业管理是一件事。应该说,原来企业都在做,只是或者是虚,或者是没写出来,或者是因为理解不同,所以,效果参差不齐。”
内控的目的之一是把原来看着虚、没写清楚或者因为理解造成的误差,表述成规范统一的语言。好像某个餐厅的食物的味道,不会因为某师傅的辞职,而让食物的味道发生改变;而应该是像麦当劳、肯德基那样,走到哪里,吃到的味道都一样。
季瑞华表示,内控机制的搭建,不否认有些公司会完全依赖人治。“这也是内控的阶段,不过是初级阶段。”季瑞华举例说,“我们先把内部控制、风险管理这几个字放到一边,看企业实际会经历的事件。比如,一个合同需要五六个月才能签下来,但合同双方会很早就进入实际工作阶段。在这整个过程中,其实是有板有眼的,其内部隐含有控制手段、风险管理手段,并非不管不顾。但是,那些手段并不是很多人理解的内控。相对来说,它比较虚、比较个性化。企业会出现这样一个情况:依赖个人。如果这个人走了,原先赚钱的项目可能就不赚钱了,或是管理上出现缺口。我们要做的就是规范内控机制,确保品质的一致。”
结合上述5个要素,公司需要根据管理缺口马上做出业务上的变化,提升公司抵抗风险的能力。这就是内控要发生的作用。
季瑞华强调,要使内控达到“随心所欲而不逾矩”的境界,就需要在关注方法、手册等有形的成果的同时,做到对知识的提升和积累。企业需要掌握内控本来的精神——最终的目标是要支撑公司未来的发展,因此公司整套的管理方法要和发展的步伐保持同步。要知道,管理有缺口是理所当然的,因为内控是人在做。
误区三:“内控就是签字”
业务主管:“这项目你帮我签批,你签批通过了,我们就能做了。”
内控主管:“我不是技术人员,不懂你们的专业,我怎么签、怎么审批业务主管:“但你是负责内控的啊,需要让你签。”内控主管:“你认为这个项目有风险吗?”
业务主管:“有。”
……
尽管这一幕对话是季瑞华为方便我们理解假设的情境,但是,这在企业中却时常发生,尤其是设置了“内控部门”这一组织架构的公司。问题的核心即:内控究竟是谁的事情?究竟谁来做?究竟谁来承担责任。
“当然还是业务部门。业务上的决定必然是相关业务主管的责任。”季瑞华表示。
季瑞华告诉我们一个有意思的现象:不少客户都会表示,年底了,公司老板都很忙,忙着干吗呢?签字。一些积压下来没有签字却已经执行的文件、合同要补签,其中的目的不乏是为了应付内控相关法规的检查。
“如果签字就能解决内控的问题,那世界就简单了。”季瑞华开玩笑道,“风险内控谁负责?谁做的谁负责。比如在生产车间,主管要关注到细节控制,比如安全工作服、环境等,那种管控手段是要求管得细。而集团老总可能关注的是兼并、购并。”
那么,“内控职能的人做什么”这个问题很快就被引出。季瑞华引述了之前在报章上有关某建筑公司在一个中东项目出现巨亏的例子。在报道中说,“之所以出现亏损,施工方面认为,主要是因为项目进入施工阶段后,实际工程数量比签约时预计工程数量大幅增加所致。比如,空调设计,最初是按室外温度38°设计的,最后提高到按46°进行设计。标准提高,带来了成本增加。”季瑞华表示,即便是在北京,夏季室外温度有时也不止38°,何况是在中东?“那么,内控要做什么?如果这是公司第一次去中东做项目,内控、风险的职能可以是协调各部门对项目进行可行性调研,比如,问业务部门在项目科研程序上是否考虑到环境?如果业务部门表示没有,风险或内控职能部门可以提供一个平台,让业务部门的人来考虑环境因素。风险、内控职能部门是来组织业务部门,推动事情,甚至把业务部门没时间梳理的成文的东西梳理成文、形成一套标准,而不是主动地制定解决方案。风险、内控职能是把体系优化、完善,不是制定和落实具体管理手段。风险、内控职能可以把知识、经验从业务人员的脑袋里提炼出来,放在某个载体上进行分享,让公司整体上能管理得更好,让管理手段能更好地发挥作用。”季瑞华说。
误区四:“内控工作仅仅是要去找出缺陷进行整改”
在季瑞华看来,做好内控不能仅仅关注内控设计或执行上的“缺陷”。“不同公司,会根据法律法规、自身要求、行业特性、经营环境等不同因素形成属于公司的制度,那套制度就是最低标准。集团公司中的各个子分公司,有在标准上的,也有在标准下的,如果我们仅仅关注在标准下的单位,我们实际上浪费了一个很好的机会向在标准以上的单位去学习、看齐。”
内控的工作能让大家知道各自处在标准的什么位置。内控也让大家知道了底线在哪里、需要提升的是什么。有了这个基础,企业才能更有效地去做进一步的提升。季瑞华解释说:“标杆公司的内控方法、手册不一定适合其他企业,因为不同企业的文化、环境、风险取向、业务性质等并非一模一样。同样,在企业内部,我们可以更有效地向标准线以上的单位学习。比如采购,为什么A单位可以实现低采购价格?这时,我们只需要在现有架构里进行内部纵向对比,就能有所提升。”
误区五:“内控做不好就扣钱”
“很多人说内控做得好不好,可以抽样、调查,由此形成内控评价,我想有一点需要解释一下。做测试是一项检查审计的工作,用来支撑审计师的结论(审计意见),因此要通过一些程序获取充分的证据以支持结论。但这不代表,我要做这个事情,才是衡量内控做得好不好的方法。”季瑞华说,“内控不是科学,是艺术。内控是不一定能被计量、不一定能被量化的。”
内控这件事“做了就是好,没做就有问题”,这种观点也是非常武断的。就比如上述的中东项目,你能说中间没有合同审批、报价审批、工程审批等内控环节吗?但结果是我们都不愿看见的。季瑞华说:“这中间有个重要的原则是,不能做事后诸葛亮。这中间没有人发现问题吗?我们管理者要思考的是如何鼓励大家把心里话说出来。在我们日常的管理工作中看到,现在之于内控问题的奖惩机制是负面的——发现问题就扣钱,这只能推动人家不报。”