|
前几天与几个同行聊天,对方高兴地告诉我,在3个月时间里完成了两个企业的内控体系建设。我则戏称,你又给人家搞了两个“橡皮印章”。
虽说是戏言,其实自己品味一下也挺苦涩的。要杜绝“橡皮印章”式内控体系现象的发生,不仅是企业内控主管机构的责任,更多取决于中层管理者、企业高级管理者的视野,对内控体系的整体认知和功能定位。 来源:天锦咨询(ID:zhtjin8) 何谓橡皮印章式内控?即可以产生存在和表达的印记,内控表现形式上似乎满足了管理要求,但对企业而言,本质上并没有发挥什么作用。如果经过“内控体系建设”的高潮期之后,内控主管机构发现,辛苦产出的“内控手册”,除了应对“上级检查、监督”,或“应对公司上市核准”条件,或“体现主管部门工作成绩”之外,在例行公事的进行“评价”中已回归寂静,那你守着的大概率就是“橡皮印章式内控”。对具有一定规模的企业而言,内控体系建设绝不是短期行为,更不是“3个月做两家企业”内控手册的“制式”行为,也不是一个部门、一个外部机构能够“单独解决”的问题,更不是“就内控建内控”的问题,而是多个领域的“管理提升”问题。常见的导致橡皮印章式内控产生的成因,总结概括为三个方面:一是企业内控主管部门急于完成任务,从而满足上级主管机构的管理要求,或上市前必须具备的“反映企业内控”的基本条件,即要“存在”,是为“形式”。二是应用户要求或限于资源能力支持的条件,依托第三方机构在短期内进行的个性调整下的内控手册复制,即“一套手册走天下”的模式,是为“制式”。三是由内控主管部门基于内控规范与指引为基础,包揽而形成的一套手册,是为“格式”。认真翻看一下企业内控规范与对应的指引,仔细品味,其中隐藏着庞大的管理逻辑与控制底线思维。如果把内控建设理解为最基本的流程、风险矩阵输出,未免太过狭隘。听过不少专家、学者的讲座,也浏览过很多企业“无奈的内控手册”。不少专家把我国发布的“内控规范”,比喻为“中国的萨班斯法案”。只要有这种说法的讲座,您大可不必浪费时间。萨班斯法案是基于合规监管目标而出台的,倡导企业加强内控体系建设的“法案”,目的在于“以惩促建”、“以合规免责、减责引导内控建设”,是“合规监管”、“政策引导”双管齐下的“法案”举措,其中规定了具体的“量刑”、“罚则”、“法案控制”标准,围绕监管目标而赋予企业高级管理者的“财务合规控制义务”,一定程度具有“强制性”。当然,量刑不是目的,而是为了震慑及追责;免责、减责与资金罚没不是结果,而是导向。内控规范是基于COSO内控框架,结合我国公司法、证券法、会计法等法规,形成的一套“企业内控建设的规范”,不具有法定地位,甚至低于“行政规章”的作用。如果把“规范与指引”比喻为“中国的企业内控体系框架与建设指导指引”更为合适。企业导入一套新方法,是针对问题?针对任务,还是针对管理提升?因企而异。在笔者看来,五部委发布的《企业内部控制规范》和18项内控建设指引,本质是从控制维度作为切入点,通过促进企业开展内控体系建设,从而规范企业管理,提高企业管理能力和合规运营水平,这一点,从“规范、指引”的文本表述中可以得到反映。由此,笔者在企业中很少用“内部控制”之说,而是用“内控管理”来表达,从而区分“控制活动”与“控制目标”、“控制目标”与“控制服务的系统对象”之间的差异。“两字”之差,看似无关轻重,但本质反映了企业开展内控体系在企业中的定位,及内控建设的认识初衷。对有关“国家部委”而言,希望通过必要的控制提高“企业合规运营水平”,但从“企业”而言,则转化为“如何用控制促进管理水平提升”的课题。对了解或熟悉系统工程管理的人员来讲更好理解:没有孤立存在的控制,控制的取舍、发挥的作用取决于其服务对象的目的需求。控制是有成本的,控制的存在,对齐的是对服务对象目标的价值贡献,而具有一定功能的组织、系统,要按照设想的轨迹运行,离不开控制的作用。纵观内部控制规范和指引,并没有明确提出“内控”必须以流程控制体现,但并不乏陈对“制度”的表述。如何反映“内控建设”?,人们找到了一条“通过流程反映控制”的路径,并基本达成了共识。但笔者认为,“流程反映控制”并不是唯一途径,也不是内控建设的唯一标准和产出结果反映,因企业大小、发展阶段而异,因企业性质、管理基础的强弱而不同。达成共识的原因,在于“失去了控制存在的土壤”,内控的存在和作用没有意义,当然这一共识以拥有“完善的制度”为成立的假设条件,所以才引出了“制度流程化、流程控制化”的说法。流程控制并不是唯一实现途径的原因在于,对尚处于成长期的中小型企业,没必要必须经历“流程化”的过程,这不是“硬性要求”,只是让控制“透明化、显性化”的手段。处于成长期的企业,也没必要建立“事无具细”的“制度体系”,执行上级单位的制度,岂不是“来得更简单、更香”,关键在于把上位、本位制度“管理好”,从而规避监督风险,这又是制度管理问题。或者通过“制度+简单流程耦合”的形式进行反映,前提是公司需要把“制度、流程”定义为必须执行的规则,即赋予同等的“法”定地位。“耦合”代表的是“两种规则”界面的紧密契合,而不是本质内容不同形式的“翻版”。对中大型企业而言,企业的内控建设必然涉及“制度管理、流程控制”两个方面,笔者在上一篇公众号文章中已进行了阐述。制度建设包括了外规转内规、反映管理者运营期望的实现过程;而流程控制在原理上则需要对齐规范、指引中提到的基本控制基线,对齐企业的制度规则。对于一个成熟的大型企业,制度设计与建设已然考虑了很多“规范与指引”中的最基本规则(规范中很多明确要求是基线控制而不是新创的),可以说已经比较完善了,譬如财务制度构成中必然包括了“会计准则”中的刚性要求,由此可以转化为“流程控制对齐企业制度”,即“制度流程化、流程控制化”。因此,制度管理是“内控体系建设”的基础和输入条件,当然,“制度+流程控制”也是企业“合规管理”的输入和支撑基础。对以“制度管理”为主要管理规则方式的大型企业,离开制度为依据的“孤立化内控、合规管理”是不完整的;离开“流程控制”的比较完善的“制度手册”,也不能实现“让控制透明化、显性化、系统化”的工作目标。我国企业的内控体系建设发起于国家主管部委,由企业主导建设,并对上市公司做出了强制要求,需要在公布企业年报前发布内控审计报告,以体现“企业财报真实性”合规监管要求,发挥旨在提高上市公司管理水平透明度,让中、小股东增强对上市公司认知的作用。讨论期望目标与现实之间的差距或问题,需要基于不同的视角去分析。在整个内控体系建设过程中,从外部、内部分析,有三类角色参与其中:国家出台内控规范机构、行业主管机构、利用内控服务监督能力的监督机构,企业,外部第三方专业审计机构。概要分析,当下的内控体系建设可以归纳为3个类别10个问题:1.内控规范由我国发改委牵头组织制定并发布,与其职能定位有非常大的关系,无可置疑。但 “具有监督功能定位”机构发布的内控管理规则,在“运用内控降低企业违规概率”方面,则多少出现了些许偏差,较少反映通过“违规惩戒标准”,引导企业进行内控建设的角色,而更多表现为“促进企业内控建设”的组织者与鞭策者,尚有一点美中不足的感觉。监督过程、要求、力度,决定了企业采取的应对结果形式。2.从国家行业主管机构看,行业机构功能定位有两个方面:行业管理与监督。在推进内控方面,行业主管机构更多反映为“要求”与“指导”,而在监督与处置方面,由于缺少必要的或可衡量的行业“通用缺陷认定标准”,也存在进一步提升的空间。譬如,行业监督发现的缺陷,很多通过建议或问题反馈方式呈现,间接说明了我国治理体系与现代治理能力,正在经历一个不断完善和提升的过程。3.从司法机构推进的“企业合规有效性”改革举措看,仍然侧重于“合规”的单维过程,在“企业内控管理与合规管理”的协同互动方面反映的并不充分。这一点,从参与机构业务性质、超大比例的法律、财务专业人士的参与度可见一斑。组织定位的不同,决定着采取措施的差异。差异的存在,实则是“机构政策间的协同”反映,从而产生合力。从内控管理角度,合力表现为“内控规范+内控上市条件+内控造成违规结果的监督、追责与惩罚+合规有效性改革措施”的共振。看待一件新生事物、新导入的一种方法,要产生最大效果,需要站在系统集成期待结果的高点,而不能停留于“单维孤立化的视角”。很多“管理”之道,从微观原理上是相通的,不过是维度、范围、作用不同而已。当能够把不同维度的原理与实践融会贯通,对一个人而言,反映的就是企业中经常见到的高层管理者不厌其烦地要求树立和增强“系统思维、系统解决问题的能力”期待。系统思维不完全来源于学习,而是学习、实践、思考、再实践的周而复始的长期过程和积累,系统思维是“隐性知识”,这就是一个企业中培养一个具有系统思维的管理人员、系统设计师为什么“特别困难”的原因。正如最虚化的企业文化一样,企业中的文化或价值观基本都是积极的,本无好坏、高低之分,只有是否有效之分。而衡量企业文化有效的,不是“积极的标语口号”,也不是内控指引5中“高层管理者的倡导、垂范、宣传”,而是人力资源选人用人政策、绩效考评导向、体现价值分配的活动薪酬的倾向性结果,这是行动,而不是“虚化文化”。有时候,视角的改变,更能反映出你要印证和评价的结果。我们把企业中的内控建设常见问题归纳为6个:4.简单复制内控规范的表述,转化为企业“强化内控管理”的治理机制,或者转化为“制度形式的管理要求”。而疏忽于具体的建设方案与实施计划、建设标准与规范,由于定位错位而忘掉了“控制服务管理”的根本。5.不少企业中,专业内控制度的依据是“内控规范与指引”,却忘掉了“企业制度”这一决定性输入基础,造成“制度与流程控制”两张皮的“双套”规则。“手册”没有发挥给执行者提供“解惑”与“执行参照”的价值作用,反而形成了“不知道遵从制度还是手册中的流程?”的结果。失去制度基础的“手册”,只能成为“抽屉藏品”,或主管部门的工作成果表现;比制度设计更复杂且不易理解的流程控制,不会有人问津,何况控制措施的更加原则化。6.用监督的视角去建内控,大错特错。监督依据的是“尺度”,首先是“外规”刚性尺度,然后才是“企业尺度”,“刚性尺度”往往体现于共性,而不能代替企业的“高阶特色差异管理”,结果表现为“共性控制的再重复,高阶控制的遗失”。高阶控制决定着“重大风险”的管控能力。这就是近年来监督界一直提倡但始终抱憾的“加强管理审计”的来由和成因。7.“内控评价”与“内控审计”的区别模糊。无论从哪一项管理体系的维度,都包括了“建立机制、实施、监控、评价、审计、改进”的成分要素。机制解决“如何运作”;实施解决“让执行体按机制做”;监控解决“做没做,是否按照规则去做”;评价解决“通过分析、调查,发现哪里存在缺陷与不足”;审计解决“从第三方角度(内部第三方和外部第三方)按设定的治理或控制机制去度量,揭示存在的问题与风险程度”;改进解决的是“针对评价与审计中的缺陷和问题,进行优化改进”。“内控评价”与“内控审计”有本质的不同,执行体也不同,一般而言,内控评价是常规定期工作,内控审计是“计划性第三方(内外一个道理)的内控审计工作,或结合审计项目进行的动态内控审计”,道理很简单,但争辩却无休无止。8.评价或审计的结果表述问题。内控评价或审计对缺陷的描述必须是“具体的、可衡量的、可认识的、可信服的、可整改的”,而不是原则性描述,缺陷程度与控制目标的影响度直接相关,而不是感性的“长鞭效应”认识。譬如,有个企业的“内控缺陷”持续整改了3年也没有结果,原因是评价出的“缺陷太宏观”,而不具备整改条件,这类缺陷的整改措施只有“改革”。9.关于“委员会与董事会”的定位与作用问题。委员会是支持董事会决策的支撑机构,而不是最终决策机构;是承担“内控建设常规重要问题协调”的权力机构,协调确定的结果,通过主管机构去组织落实,即通过议事而确定董事会决策框架下的行动;是“企业执行董事会内控决策”的监督机构。定位是否明确,决定着“委员会成员来源与结构”、“常规工作项与工作标准”及“动作时机”。10.外部第三方专业审计机构,代表着“公正、客观、独立”,具有法定的“监督权威”,监督前提必须“合法合规”。在美国萨班斯法案中,对具有监督功能的第三方专业机构,有明确的“限制参与企业管理服务”的强制控制要求。我国在这方面采取的是比较折中和宽容政策,在“规范”的“第十条”中也进行了表达:“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务”,无形中出现了交叉监督的利益互换的风险概率,根源很重要。反观我国上市公司发布的“内控审计报告”,似乎没有或者极少把“本事务所保证未曾参与过某企业内控体系建设”进行合规声明,本质上存在“不严谨、不规范”的合规基础问题。涉及合规监督方面的话题,建立必要的“澄清标准”很重要。企业内控体系建设并非独立,与企业的管理模式、业务运营、制度管理、风险管理、合规管理、审计、监督与稽查等有着紧密的联系,但外延方面也有一定的差异。理解企业战略、运营管理模式及主要的风险方向与结构,是强化企业内控建设对齐各关联领域管理目标的基本出发点;强化合规管理,是企业制度建设的最基本要求;完善的制度基础,则是企业内控体系建设的依据和本源,也是合规管理能力的具体表现之一;以阶段化流程、阶段流程内的组织与机构、步骤化流程逻辑全景、岗位角色为反映条件的作业、重要任务流程,是反映业务整体运作、呈现不同层级控制操作的环境与载体,也是识别与防范风险的运作平台。
作者:郑永强 转自公众号:天锦观察(ID:zhtjin8) 文章来源网络,除我们确实无法确认作者外,我们都会注明作者和来源。如果您认为我们有问题,请告知我们,我们会立即修改或删除。谢谢!
|
