企业内控制度
点击蓝色文字关注我们吧!
什么是内控制度?官方的定义是:公司为保证战略目标的实现,对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。简单理解企业内控制度就是企业各项规章管理制度和流程,只要公司制定了规章制度或流程,就是在做内控建设,比如一个小饭馆老板定了一个《厨子管理办法》,这个办法就是内控制度。
为什么内控制度这个词在本世纪初突然就流行起来了?这要“感谢”一家叫安然的公司,这个曾经的一家美国巨无霸公司与会计师事务所串通起来做假账,结果被政府发现了,安然公司和这个会计师事务所就倒闭了。安然事件之后,各国政府都相继出台了非常严厉的政策督促企业尤其是上市公司通过完善内控体系建设来防控各种企业风险。
完善的内部体系建设包括五个方面:控制环境、风险评估、控制活动、信息与沟通、内部监督。
控制环境
我认为控制环境就是企业老板本人真心想做一个有品质的公司、真心想做管理、真心想通过制度来管理公司,有了这三个真心,公司的基本控制环境就到位了。如果一个公司就是一个目标:不择手段地拼命赚钱。那坦率说,就没有必要兴师动众地搞什么成体系的内控制度建设,制度和流程多了,只会把公司管理搞复杂,降低效率。因此内控制度建设是一把双刃剑,一定要根据公司自身情况量身定做,绝对不要认为内控制度和流程越多,一定越有利于公司的发展。诺基亚CEO约玛·奥利拉在记者招待会上公布同意微软收购时最后说的一句话是:我们并没有做错什么,但不知为什么,我们输了。的确,诺基亚这种跨国公司可以说把内控体系建设的表面文章做到了极致,公司所有的问题都有一系列的专门制度和流程来解决,都要经过一层层严格的审批来把关,但可能正是由于这纷繁复杂的制度和流程让诺基亚的管理者不再敢于承担责任,最终葬送了诺基亚。从诺基亚的身上我们获得的启示是:内控体系的建设一定要贴合企业实际,并且要持续更新,那么怎么持续更新呢?
风险评估
全面建设内控体系的第二步,就是成立专项内控项目小组开展对企业各种风险的分析和评估,中小企业一般由财务部门牵头,大型企业一般由外部咨询顾问来做。通过项目小组的扎实工作把公司现在面临的风险和未来可能面临的风险,逐一进行分析,在风险与收益匹配的原则下,看是否要采取相应的措施:风险承担、风险转移、风险规避、风险控制。
项目小组可以根据固定的电子表格格式:流程编号、流程名称、子流程编号、子流程名称、主要风险类别、风险描述、现有控制措施描述、控制方法、控制类型、控制频率、关键控制措施证据名称、控制责任部门、控制执行人、复核人、审批人、备注,对公司所有部门的关键岗位人员进行访谈,相关人员要详细描述现有制度和流程的执行情况,项目小组成员根据实际情况认真记录,并做出相应的风险评估。
为避免遗漏,建议项目小组在国家发布的18个标准内控流程框架下进行所有流程的梳理:第1号:组织架构、第2号:发展战略、第3号:人力资源、第4号:社会责任、第5号:企业文化、第6号:资金活动、第7号:采购业务、第8号:资产管理、第9号:销售业务、第10号:研究与开发、第11号:工程项目、第12号:担保业务、第13号:业务外包、第14号:财务报告、第15号:全面预算、第16号:合同管理、第17号:内部信息传递、第18号:信息系统。在梳理的过程中,对这18个标准流程,企业现有流程已经涉及的,就如实描述现状,如果有不适用本企业的,就标注不适用。
控制活动
风险评估做完了,就要根据企业的实际情况,由内控项目小组跟每个环节的负责人深入讨论,结合企业实际情况提出应对各种风险的具体方案,这是内控体系建设最核心的工作,内控制度和流程能否帮助企业在风险和收益之间找到一个平衡点、能否落地执行、功夫全在如何定义控制活动了。
控制活动核心的东西,不复杂,简单说,叫做“四眼原则”,就是一个人操做了任何事项,至少有另外一个人监督复核,如果没有人监督复核,就要有机器监督复核。根据事务风险级别的不同,可能上升为“六眼原则”、“八眼原则”……监督复核力度逐步升级,对于超过一定金额的支出,可能需要由董事会讨论后批准,甚至要由股东大会来讨论决定。确定了针对每一项业务风险的控制活动后,最终由内控项目小组形成一整套内控文档,提交公司管理层和治理层批准后实施。上市公司完整的内控文档包括:流程图、电子表格内控文档(内控流程)、内控规章制度。
关于流程图,我个人觉得一般的中小企业就没有必要全画了。即使画了,也会在一年之后变成垃圾,公司如果真的要上市了,请外部顾问做一套就行了,很少有企业能做到随时更新所有的流程图,世界500强的企业也做的不好,不知道华为这样牛的企业能否做到,但华为不是上市公司,估计也不搞这种形式的东西。重要流程,如生产环节、质量监控环节等,可以有流程图,但不要全部流程都画流程图,时间一长,没人会去更新的。
项目小组要把工作重点放在形成电子表格内控文档上,表格格式同风险评估时使用的电子表格文档一样,即流程编号、流程名称、子流程编号、子流程名称、主要风险类别、风险描述、控制措施描述、控制方法、控制类型、控制频率、关键控制措施证据名称、控制责任部门、控制执行人、复核人、审批人、备注。
关于内控规章制度,对于中小企业,我建议就建立一个财务管理制度、一个差旅管理制度、一个人事管理制度,其他的制度,尽量融合到电子表格内控文档。根据公司性质及规模的不同,公司流程和制度的数量可以调整,但建议要尽量减少公司制度和流程的数量。大多数公司,今天发个文件、明天发个制度、今天搞个流程、明天搞个方案,没有人知道公司到底有多少个制度和流程,以及到哪里去找到这些制度和流程。这就要进入内控的另一个话题:信息与沟通了。
信息与沟通
公司信息包括财务信息和非财务信息,财务信息我会在另一个系列的文章《财务综合管理报告》进行详细论述,简单说就是如何更好地生产财务信息、如何更好地传递财务信息、如何更好地使用财务信息帮助企业成长。电子表格内控文档和内控规章制度是非财务信息,这些制度和流程如何在公司更好地被执行,就要有一套良好的信息沟通机制:公司每次出台新的制度或流程,就要更新相应的电子表格内控文档和内控规章制度,并且用版本号进行区分,然后在公司相应的信息发布平台统一发布,发布时要明确新的流程和制度与旧的版本有什么区别、新的版本什么时候生效、新旧政策的过渡期如何定义、是否组织员工培训、电子和纸质版本的新制度和流程存放在哪里、员工如何查询。
内部监督
内控体系建立起来了,执行一段时间后,就要对内控制度和流程的执行情况进行内部审计,每年至少一次,对执行不到位的制度和流程要查明原因、对执行情况良好但造成公司效率低下制度和流程的也要找出原因,从而有针对性地对内控体系不断改造升级,一定不要重蹈诺基亚的覆辙。
结束语:公司内控体系的建设、完善和迭代,一定要跟公司管理层和主要部门负责人的绩效考核结合起来,这样才能保证内控体系的真正落地实施。在后续这个系列的文章,我会选取主要的内控流程和内控规章制度逐一详细介绍,敬请期待。
