内控体系与制度建设概述
主讲:赵玉梅
目录
一、国内外内控理论发展史
二、内控的定义和作用
三、内控制度建设的必要性
四、内控的应用方法
五、内控制度的规范与推进
一、国内外内控理论发展史
(一)企业内控失败、成功案例
(二)国外发展史
(三)国内发展史
(四)我国内控制度法规文件
(一)企业内控失败、成功案例
2月13月,深圳证监局下发《深圳证监局关于对深圳市长方集团股份有限公司采取责令改正措施的决定》。深圳证监局表示,经查明,长方集团存在以下问题:
(1)长方集团存货未按相关管理制度在每月月末对存货进行盘点,而是仅仅按季度对公司存货进行抽查,抽盘比例仅为20%,对于盘点产生的差异,未核实原因,也未核算其影响。
(2)公司财务部门与业务部门缺乏有效衔接,部分存货实际库龄和账面库龄不符,但财务部门没有及时掌握并更新存货库龄、品质状态、售价等相关信息。
(3)长方集团公司拟将公司相关生产线从坪山长方工业园搬迁至惠州东江长方工业园,并于2016年12月20日开始陆续运输设备等相关生产工具和办公用品。但公司在2017年1月披露2016年全年业绩预告时,未考虑搬迁可能产生的相关减值情况纳入核算。
由于长方集团内部控制缺陷和存货管理不够规范,导致2016年业绩预告出现重大修正,不符合《上市公司信息披露管理办法》第二条的相关规定。深圳证监局决定对长方集团责令改正,并要求其在2018年3月31日之前提交详细的整改报告;同时,对邓子长、杨文豪进行监管谈话,并要求其后续根据要求,于2018年3月31日前携带有效的身份证件到证监局接受监管谈话。
沃尔玛公司是世界上最大的私人雇主和连锁零售商,多次荣登《财富》杂志五百强首榜及最具价值品牌,沃尔玛公司的成功跟其出色的内部控制管理有很大关系,举一个在信息沟通方面的例子。
公司的行政管理人员每周花费大部分时间从公司总部飞往各地的商店,通报公司所有的业务情况,让所有员工共同掌握公司的业务指标,在任何一个沃尔玛商店内,都定期公布该店的利润、进货、销售和减价情况,不但向经理和助理们公布,也向每个员工、计时工和兼职雇员公布各种信息,鼓励他们争取更好的成绩。
信息沟通是内部控制的一个重要因素,沃尔玛注重每一次沟通所产生的鼓励作用,把每一位员工都放在重要的位置,员工的参与感增强,会对自己的工作付出更多的心思与精力。
(二)国外发展史
最早对内部控制概念定义的是1936年修订发布的《注册会计师对财务报表的审查》,在该报告中,内部控制被定义为“为了保护公司现金和其他资产的安全,检查账簿记录的正确性而在公司内部采用的各种手段和方法”。
1949年AICPA(美国注册会计师协会)所属的审计程序委员会发表了《内部控制——调整组织各种要素及对管理当局和独立职业会计师的重要性》,该报告认为“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和正确性、提高经营效率、推动管理部门所制定的各项政策贯彻执行的组织计划和相互配套的各种方法和措施”,此时内部控制已经不再局限于会计控制,已经延伸到了资产保护、经营效率提高等其他领域,可以看出,现在的内控定义就是基于此报告中的定义延伸而来的。
《萨班斯法案》与内部控制
2001年12月美国最大能源公司安然公司突然申请破产保护,此后,该公司被爆出众多丑闻,2002年6月,世界通信被爆出会计丑闻,直接导致了2002年《萨班斯——奥克斯利法案》(SOX)的施行。该法案对在美国上市的公司提出了合规要求,使上市公司不得不考虑控制公司面临的各种风险。
COSO与内部控制
20世纪70年代末期80年代初,许多美国企业面临破产,其中有些公司经审计的财务报告上仍有充足的收入,这就使人怀疑其财务报告弄虚作假,为此,一些美国国会议员提出议案来规范这些潜在交易及审计风险,但是议案没有通过。
由于这些问题的现实存在以及法律上的缺失,五个专业组织代表成立了国家反欺诈财务报告委员会(后更名为特雷德委员会),五个专业分别是:内部审计协会、美国注册会计师协会、财务经理人协会、美国会计协会和管理会计协会,这个组织的主要目的就是辨别引发虚假财务报告的主要因素并降低这类事件发生的概率。1987年该委员会发布最终报告,并再次呼吁在管理层报告中说明公司内部控制的有效性并强调内部控制系统的关键性因素,这些因素包括良好的控制环境和行为规范、具有胜任能力的内部审计委员会以及强有力的内部审计机制。
随后,COSO(由特雷德委员会在1987年成立)组织将该报告交给外部专家并设立一个新的项目来定义内部控制。
1992年9月,COSO内部控制框架发布,尽管这不是一个强制标准,但这项研究为内部控制提出了一个普遍适用的框架以及评价控制的程序。该框架一直沿用至2013年,COSO才颁布修订了2013版COSO内部控制框架。
(三)国内发展史
1.初现
1986年财政部颁发《会计基础工作规范》,其中对内部控制作了明确的规定,这一阶段开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中,并且不再区分内部会计控制和管理控制。控制环境反映组织的各个利益关系主体对内部控制的态度、看法和行为;会计制度规定各项经济业务的确认、分析、归类、记录和报告方法,旨在明确各项资产、负债的经营管理责任;控制程序是管理当局所确定的方针和程序,以保证达到一定的目标。
1996年12月,财政部发布了《独立审计准则第9号——内部控制与审计风险》
对内部控制做出了权威性解释,“是指被审计单位为保证业务活动的有效进行,保证资产的安全完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策和程序”,并提出了内部控制“三要素”,帮助会计师判断是否信赖内部控制,以确定审计的性质、时间与范围。这是我国第一个关于内部控制的行政规定,它的发布标志着我国现代内部控制建设拉开了序幕。
有了《会计法》后,我国系统的内部控制制度建设起来了,1999年修订的《会计法》第一次以法律的形式对建立内部控制提出了原则性要求,财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范。1999年修订的《会计法》颁布不久,财政部根据《会计法》的有关精神,于2000年初组成了内部会计控制研究小组,就内部会计控制的总体思路等问题进行研究。2001年6月财政部发布的《内部会计控制规范——基本规范》和《内部会计控制规范——货币资金(试行)》,明确了单位建立和完善内部会计控制体系的基本框架和要求,以及货币资金内部控制的要求。
上述两个《内部会计控制规范》的发布,为我国加强单位内部会计监督和控制的理论与制度建设,树立了一个具有时代意义的里程碑,同时也标志着我国会计法规建设进入了一个新的阶段。
2.重视
2006年,国资委发布《关于印发〈中央企业全面风险管理指引〉的通知 》(国资发改革〔2006〕108号),对内控、全面风险管理工作的总体原则,基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案 监督与改进、风险管理文化、风险管理信息系统等进行了详细阐述。
这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的舞台。
2008年,财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》(财会〔 2008〕7号),自2009年7月1日起现在上市公司范围内实行,鼓励非上市公司的其他大中型企业执行。《企业内部控制基本规范》(财会〔2008〕7号)的发布,标志着我国企业内部控制规范体系取得重大突破。
3.全面应用
2010年,财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制配套指引》。
该配套指引包括18项《企业内部控制引用指引》《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业现实情况、融合国际先进经验的的中国企业内部控制规范体系基本建成。
为确保企业内部控制体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前施行。
(四)我国内控制度法规文件
1.2007年3月2日,财政部草拟了《企业内部管控制规范——基本规范》《企业内部控制具体规范——货币资金》和《企业内部控制具体规范——采购与付款》等17项具体规范征求意见稿,公开发布征求意见。
2.2008年5月,财政部会同证监会,审计署,银监会,保监会五部委联合发布了《企业内部控制基本规范》,基本规范共七章五十条,包括:总则,内部环境,风险评估,控制活动,信息与沟通,内部监督和附则。要求2009年7月1日七起,上市公司内施行,并鼓励非上市的大中型企业也基本执行基本规范。
3.2008年6月12日,财政部会同国务院有关部门草拟了《企业内部控制评价指引》(征求意见稿),公开发布征求意见。
4.2009年1月8日,企业内部控制标准委员会秘书处发布了《关于征求〈企业内部控制应用指引——组织架构〉等10项内部控制应用指引意见的通知》,在新增组织架构、发展战略等五个应用指引项目并征求意见的基础上,又调整修改了资金、采购、资产、销售、研发等五个应用指引。
5.2010年4月15日,财政部等5部位出台了《企业内部控制应用指引第一号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》。
《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》的发布标志着我国的内部控制规范体系已基本建成。
二、内控的定义和作用
(一)内部控制的定义
(二)内部控制的原则
(三)内部控制的要素及獐子岛案例
(四)内部控制的目标
(一)内部控制的定义
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。也就是由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的,旨在合理保证实现企业基本目标的一系列控制活动。
1.内部控制是一种全员控制:对象是公司的全体员工
2.内部控制是一种全面控制:一切活动的全面控制
3.内部控制是一种全过程控制:从头到尾的监控
4.内部控制是一种经常性控制:日常工作检查考核
5.内部控制是一种潜在性控制:隐藏与融汇在其中
6.内部控制是一种关联的控制:影响另一种控制行为
(二)内部控制的原则
内部控制的基本原则是指:建立和实施内部控制都应遵循的具有普遍性和指导性的法则和原则。可以从以下五个方面来分析:
1.全面性:决策、执行和监督全过程;全范围;全业务。
2.重要性:重要业务事项和高风险领域。
3.制衡性:不相容职务的分离。
4.适应性:规模、业务、竞争状况和风险水平、实际情况。
5.成本效益:权衡实施成本与预期效益。
(三)内部控制的要素及獐子岛案例
1.内部控制的要素
内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
(1)内部环境
内部环境是企业实施内部控制的基础。
一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境的好坏决定了内部控制其他要素能否有效运行。
(2)风险评估
企业在实施战略过程中,会受到内外部环境的影响,所以企业要通过一定的技术手段及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险隐患,对其进行定量和定性分析从而确定应对策略。风险评估有目标设定、风险识别、风险分析、风险应对四个步骤。风险评估是企业采取控制活动的根据。
(3)控制活动
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内或尽量避免风险的发生,降低企业损失。
控制活动包括:不相容职务相互分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警机制和突发事件应急处理机制等。
(4)信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
信息沟通要素占有五大要素中承上启下,沟通内外的关键地位。控制环境与其他组成要素之间的相互作用,需要通过信息与沟通这一桥梁才能发挥作用;风险评估、控制活动和内部监督的实施需要以信息与沟通结果为依据,它们的结果也需要通过信息与沟通渠道来反映。缺少了信息传递和内外沟通,内部控制其他因素就可能无法保持紧密的联系,整合框架也就不再是一个有机的整体。
(5)内部监督
内部监督是指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监督位于五大要素中最高地位,是自上而下的单向检查时,对内部控制的质量进行评价的过程。
2.獐子岛案例
【案例背景】
2014年10月30日,獐子岛发布第三季度报告称,因海洋牧场遭遇几十年一遇异常的“冷水团”,在2011年和部分2012年播撒的105.64万亩虾夷扇贝颗粒无收,决定对大额存货进行核销处理及计提大额存货跌价准备,合计影响净利润7.63亿元,獐子岛前三季度的业绩“大变脸”,由上半年的盈利4 845万元转为巨亏。三季报显示,獐子岛巨亏8.12亿元,同比下滑了1 388.60%。
【案例分析】
此次亏损远远超出该公司前三年业绩总和。獐子岛作为农业产业化国家重点龙头企业,一家大型综合性海洋食品上市公司却在“冷水团”事件中遭受巨大损失。揭示了獐子岛在内部控制方面存在重大的缺陷。
(1)控制环境
据獐子岛2013年度的内部控制鉴定报告,獐子岛的内部控制制度设计合理,符合企业内部控制设计规范的要求,但各部门在实际执行的过程中却出现了很多问题。据公司内部的前高管透露,獐子岛的治理混乱,下面的业务经常出现违规操作;企业没有做好文化建设工作,没有培育好员工的价值观和社会责任感,存在部分贪污资源的现象;企业聘用员工考核不严,很多员工是外面聘用的,没有良好的扇贝养殖技能。
(2)风险评估
自2006年獐子岛在深交所上市以来,其在播种的海域面积和深度上都快速的扩张,养殖海域从2006年的65. 63万亩扩张至2014年的约360万亩,底播面积从2007年的约30万亩扩张至2011年的130万亩。
由于缺乏对相关养殖海域的养殖风险的有效评估,使其存货大量死亡,计提了大额的存货跌价准备;盲目扩张的投资活动,使得公司的现金流量基本依赖借债等筹资活动来维持,给公司造成了财务状况不稳定和巨大的财务压力。
由于扇贝养殖具有投资大、回收期长的特点,不适合短期借款这种融资成本高,财务风险大的筹资方式,但獐子岛融资活动却过分依赖短期债务,给公司的经营带来了高额的财务成本和巨大的财务风险。
(3)控制活动
獐子岛存在“公司治理混乱,业务员违规操作”和业务员与个体苗户串通造成贝苗播种不足等情况;缺乏对消耗性生物资产投资的质量数量方面的监控,并且在扇贝采购上并未做到采购与记录职权分离。
此外,虽然公司制定了“每月调查”与“24小时不间断监测”的双重监测系统,理论上这种风险监控系统对于传统水产养殖企业而言已经较为完善,但在“冷水团”事件的考验下,该内部控制系统却显得不堪一击。
(4)信息与沟通
在2014年10月的“冷水团”事件发生后,獐子岛并未及时将黄海“冷水团”的具体情况传达给投资者,在面对公众以及专家对“冷水团”、对其存货造假方面的质疑,公司也并未进行详细解答,给投资者造成极大的恐慌和损失。“冷水团”事件中,獐子岛暴露出的信息和沟通的不足,说明獐子岛在信息与沟通方面存在重大缺陷。
(5)内部监督
由于海洋底播养殖方式的特点,对其存货的监盘难以在数量和质量上予以控制,是审计中面临的一大难题。审计师虽对存货的实地考察,用抽样样本来推测整体样本,但仍无法真实掌握存货的具体情况,一般应出具保留意见的审计报告。但会计事务所对獐子岛的2013年年报和2014年半年报都出具了标准无保留意见的审计报告,而且獐子岛在2012年、2013年的企业内部控制鉴定报告中并未说明企业内部控制存在缺陷,使得程序流于形式,难于发挥内部监督的作用。
(四)内部控制的目标
内部控制的目标是指内部控制所要达到的预期效果和所要完成的控制任务。从理论上来讲,内部控制的目标取决于内部控制本身所具有的功能和人们在设计与执行内部控制室所需要达到的主观需求。
1.合规目标
合理保证企业经营管理的合法合规。企业经营遵守《公司法》等相关法律法规,并在环保、生产安全、员工基本待遇等方面合规,在法律的框架下从事经营活动。合规目标是实现经营目标的有效保证。
2.资产安全
合理保证资产安全,防止资产流失,保护资产的安全与完整是开展经营业务的物质前提。
想要达到资产安全,必须达到如下要求:
(1)资产的记录与保管分开
(2)任何资产的流动都必须进行详细的记录
(3)需要建立完善的资产管理制度,包括岗位职责制度、惩罚制度以及激励制度等
(4)需要对资产进行定期和不定期的盘点,并确保资产的账面记录与实有数量一致
3.报告目标
合理保证财务报告及相关信息真实完整。公司特别是上市公司,要定期向股东及其他财务数据使用者披露财务报告及重大事项,财务数据及相关信息的真实完整尤为重要。报告目标是经营目标的成果体现与反映。
为了达到财务报告的可靠性目标,内部控制在运行过程中必须达到如下要求:
(1)保证所有交易和事项都能够在恰当的会计期间内及时地记录于适当的账户;
(2)保证会计报表的编制符合会计准则和有关会计制度的要求;
(3)保证账面资产与实存资产的定期核对;
(4)保证所有会计信息都经过了必要的符合手续,并确认有关记录争取无误。
4.经营目标
经营目标是指提高经营效率和效果,也就是经济有效地使用企业资源,以最优的方式实现企业的目标。
合理的内部控制通常能够通过以下三种方式提高企业内部的经营效率和效果:
(1)内部控制要求组织精简,权责划分明确,每个人的责任清楚,不能推卸,从而使各部门和环节密切配合,协调一致,提高经营绩效。
(2)内部控制要有良好的信息和沟通体系,可以使各方面的经济管理信息快速的在企业各个层次和系统之间流动,从而提高经济决策和反映效率。
(3)内部控制有着与岗位职责相一致的业绩考评制度,可以对经济效率的高低进行准确的考核,并对优秀者予以奖励,对落后者予以惩罚,从而形成有效的激励机制。
5.战略目标
(1)宏观性:战略目标是对企业全局的总体设想,从宏观角度对企业的未来进行的设定,并提出企业整体发展的总任务和总要求,具有高度概括性。
(2)长期性:战略目标是关于未来的设想,要经过企业相当长时间的努力才能实现。
(3)稳定性:战略目标既然是一种长期目标,那么在其所规定的时间内应是相对稳定的。当然,也并不排除根据客观需要和情况的发展而对战略目标作出必要的修正。
(4)全面性:战略目标是一种整体性要求,虽着眼于全局,但并不排斥局部;虽着眼于未来,但却没有抛弃现在。科学的战略目标是对现实利益与长远利益、局部利益与整体利益的综合反映。
(5)可分性:战略目标作为一种总目标、总任务和总要求,是可以分解成某些具体目标、具体任务和具体要求的。
三、内控制度建设的必要性
(一)内控制度建立的意义及长虹机器案例
(二)内控失控对公司影响案例
(一)内控制度建立的意义及长虹机器案例
1.内控制度建立的意义
内部控制的作用指内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响。
在社会化大生产中,内部控制作为企业生产经营活动的自我调节和自我制约的内在机制,处于企业中枢神经系统的重要位置。企业规模越大、其重要性越显著。可以说,内部控制的健全、实施与否,是单位经营成败的关键。因此,正确的认识内部控制的作用,对于加强企业经营管理,维护财产安全,提高经济效益,具有十分重要的现实意义。
企业内部控制主要有以下几方面的作用:
(1)保证国家的方针、政策和法规在企业内部的贯彻实施。
(2)保证会计信息的真实性和准确性。
(3)有效的防范企业经营风险。
(4)维护财产和资源的安全完整。
(5)促进企业的有效经营。
2.长虹机器案例
2003年初,中国航天科工集团柳州长虹机器制造公司审计处在进行公司2002年报审计中发现一个反常现象:
公司2001、2002年的民品销售收入分别为4 563万元、5 323万元,呈上升趋势;财务反映的废旧物资销售的数量分别是863吨、510吨,废旧物资销售的收入分别是78万元、45万元,呈下降趋势。
【案例思考】
正常情况下,生产过程中发生的边角料等废旧物资应该与生产规模同比例增长或下降,为什么财务数据反映的却是不合理的趋势呢?带着疑问,审计处对公司物资处的废旧物资的回收、销售、收款等情况进行了重点审计。查出异常情况的背后是一起舞弊案件。
经审计,发现物资处处长、综合室主任、仓库主任、废旧回收站站长、计划员等4人为了小团体的利益,擅自决定出售、截留废旧物资数量81.5吨,款额91 200元,截至审计时,已将私自出售和截留的销售收入私分50 605.80元(涉及63人,每人500元至2 000元不等),同时擅自决定降价销售废旧物资,造成损失1.4万元。
(1)擅自出售废旧物资并全部截留货款
主要是与租赁公司厂房的湖南个体经营者串通,擅自将废旧物资销售给没有此项业务来往、也没有签订合同的湖南个体经营者,并要求其将销售货款不交财务而直接交物资处;私自销售的废旧物资出门时,借湖南个体经营者的名义,由湖南个体经营者以自己在锻工房加工的少许产品掩盖,或以其加工的产品或废料需要出门为由,堂而皇之地将盗卖的废旧物资办理出门手续。
(2)私自截留出售废旧物资款
主要是通过与签有合同业务的柳州个体经营者截留收入,物资处处长要求柳州个体经营者在销售废旧物资过程中,一部分销售的废旧物资款交财务,另一部分销售的废旧物资款截留下来,交到物资处作小金库(即通俗说的开阴阳收据)。私自截留出售废旧物资出门时,以部分销售的废旧物资办理出门手续,即以少量的废旧物资申报并取得出门单,然后以超过出门单标明的废旧物资实际数量的舞弊手法出门。
(3)收买门卫
为了能将违规销售的废旧物资顺利办理出门,物资处处长指使综合室主任,给以门卫送钱物等好处,致使门卫在违规废旧物资办理出门时放弃职守,大开方便之门。
(4)擅自决定降价
物资处处长明知道废旧物资销售及其销价变动要经过有关部门审核并履行合同手续,但其却擅自决定将废旧物资销售价格降价,造成损失1.4万元。 由于舞弊性质恶劣,这起案件的主要责任人物资处处长被给予党内严重警告处分和行政免去物资处处长职务的处理,其他人员也受到相应的处理。
两个人以上的集体合谋舞弊行为难度要高于一个人的个体舞弊行为。在此案例中参与的3个人没有按岗位职责和规章制度予以抵制,同时由于舞弊者在门卫等重要部门、岗位给予好处,致使舞弊行为畅通无阻。如果不是审计处在年报审计中使用分析性复核时正好选中舞弊者行为的相关数据,则短时间内难以发现。应该说查找舞弊,特别是集体舞弊行为,还是审计界的难题。
(二)内控失控对公司影响案例
近两年,银行业被曝光的“飞单”案件并不罕见,但30亿元的涉案金额却是创纪录的。根据媒体的披露,民生银行此案除牵涉销售“飞单”,还涉及“萝卜章”票据造假,大致的案情是,民生银行航天桥支行管理层违规销售理财产品用以表外放贷,掩盖约30亿元的票据造假窟窿。4月18日晚间,民生银行发布公告,确认民生银行北京分行航天桥支行行长张颖在“飞单”案中涉嫌违法。
分行内控问题频发
民生银行“飞单”案绝非偶然。最近一年,民生银行在内控方面的表现令人大跌眼镜,因为各种违法违规,央行、国家外汇局、地方银监局都曾对民生银行的一些地方分行做出通报或处罚,涉及的地方分行包括民生银行苏州分行、昆明分行、长春分行、南通分行、上海分行、东营分行、株洲分行、杭州分行、泉州分行,这些涉案分行动辄被罚款数十万。虽然多数情况下,被处罚的不止民生银行一家,但民生银行涉案的地方分行之多,却远远超过其他银行。
民生银行的内控问题涉及业务范围之广,时间跨度之大,说明民生银行的问题在于公司的内控机制等深层原因,且迟迟没有得到总行层面根本性的重视。
民生银行被处罚的原因,包括员工私售、办理无真实贸易背景的银行承兑汇票贴现、违规办理商业承兑汇票买入返售业务、违反外汇局的外汇业务规定、违反央行人民币收付管理规定、违反央行《征信业管理条例》。其中,“内部控制严重违反审慎经营规则”是被处罚单位提及较多的。另外,一些处罚是对历史问题的事后追责,比如,民生银行上海分行在今年2月被上海银监局处罚50万,原因是2012年、2013年该分行未能通过有效的内部控制措施发现并纠正其员工私售行为。
过度放权导致分行失控
大量地方分行内控失守,说明民生银行总行对地方分行给予了过大的自主权,而缺乏必要的约束和控制。而地方分行失控,又和民生银行过于注重激励、强调狼性文化、重结果轻过程的企业文化和相应的管理机制有关。
民生银行的企业文化,在30亿“飞单”案的涉案支行及行长身上得到了很好的体现。民生银行官网资料显示,“飞单” 案涉案支行行长张颖于2011年加入民生银行航天桥支行,该行彼时成立未满5年。张颖用短短3年时间,使该支行金融资产在全国排名第一,航天桥支行因此成为民生银行北京管理部的一面旗帜,张颖也成为明星行长。但相关资料也显示,作为一家银行的基层分支机构,民生银行航天桥支行拥有320余人的私人银行高端客户,这在业内极为罕见,更为罕见的是,服务这些高端客户的团队,从主管行长到理财经理,平均年龄不到29岁。“飞单”案的爆发最终说明,事出反常必有妖。
民生银行给予地方分支银行的自主权过大,是导致30亿“飞单”案在内的内控问题频发的主要原因。
民生银行总行并非不重视风控,公开报道显示,2014年起,民生银行在总行营业部狠抓内控制度建设,遗憾的是,对风控的重视并没有延伸到地方分支。2006年,来自汇丰的王世“空降”至民生银行担任第四任行长,王世曾指出民生银行的问题:在汇丰,各分行的培训费用有单独的预算,哪个分行在培训上没用完的钱一定是可以节省下来的,不能挪作它用。但在民生,总部给分行的是一个总额预算,具体如何分配由分行自己规划,自主权很大,分行长愿意将预算集中用在某些方面都可以。王世认为:“这样对节省成本是非常不利的。”显然,地方分行存在的内控问题也是由自主权过大带来的。
四、内控的应用方法
(一)职务分离及高通公司案例
(二)授权审批
(三)预算控制
(四)会计系统控制
(五)财产保全控制及银行承兑汇票案例
(六)风险控制
(七)电子信息技术控制
(一)职务分离及高通公司案例
不相容职务分离控制是指企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
原理:两个或两个以上的部门或人员无意识地犯有同样错误的可能性很小,而有意识地合伙作弊的可能性低。
一般情况下需要分离的不相容职务分为以下几种:
(1)可行性研究与授权审批
(2)业务经办与授权审批
(3)业务经办与审核监督
(4)会计记录与业务经办
(5)业务经办与财产保管
(6)财产保管与会计记录
不相容职务图示:
实践中应该考虑的方面:
1.每类业务的发生与完成,须经两个以上部门或人员,并保证检查与核对;
2.权力与职责应当明确授予具体的部门或人员;
3.对重要权力的行使必须接受定期独立检查。
【高通公司案例】
世界500强企业高通公司在华公司,曝出出纳侵占公司款1 100多万元案件。出纳丁某2006年4月进入高通公司工作,现金和支票业务都由他负责。平时,他可以接触到财务章和法人章等财务印鉴及凭证。
因为公司的收支业务都是他一人负责,他去银行办理业务时,曾经多买了一本转账支票。他先在网上找好能“串支票”的人,然后通过虚构公司的业务支出项目如采购设备、礼品等开出支票,支票的收款方是“串支票”的人安排好的公司,后者把支票兑成现金,对方再除去0.7%到1%的手续费,把剩下的钱打入丁某的账户。
丁某为了掩盖犯罪,伪造了3枚银行柜员的人名章、1枚银行的业务专用章。银行定期给公司发对账单,但丁某提交给公司的银行对账单是他自己用电脑打印伪造的。此外,据丁某交代,使用伪造的印章,可以在公司询证函上加盖银行的业务章和人名章,直接发回公司,这样公司就不会发现问题了。直到2011年12月6日,高通公司开户行的工作人员告知该公司,其账户内余额不足,已经无法正常扣缴税款。公司派会计人员去银行核实相关情况,才发现四个账户内“消失”了1100余万元,导致案发。
【思考】
案例中丁某作为出纳,负责领取银行对账单,而且公司印章管理和审计工作竟然也由他兼任,这些严重违反不相容职务分离要求的安排,使得舞弊不仅容易发生,而且发生后不能及时被发现。再比如,一些企业让销售人员负责客户收款和对账的全过程,发生挪用货款事项也就不奇怪了。还有,让企业执行采购的人负责验,仓库保管员负责盘点,都是违反不相容职务分离要求。
因此,企业进行组织架构设计和岗位职责分工时,不能仅仅考虑业务流程是否高效顺畅,更应关注潜在风险,对关键的不相容岗位进行分离,如确因客观原因导致无法分离时,要评估潜在风险严重程度,采取其它补偿性控制措施,而不能坐视不管。
(二)授权审批
概念:授权审批控制是指企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
授权控制的基本原则包括:
1.授权要依事不依人
2.不可越权授权
3.适度授权
4.以监督为保障
企业各级管理人员应当在授权范围内行使职权和承担责任
(三)预算控制
预算是针对企业而言的,是企业对资源在一定时期为达到一定目的进行配置的计划,是用数字或货币编织出来的。预算是计划的有机组成部分,是计划的基础和落脚点。预算的计划职能反映了预算的本质,因此也有人将预算称为预算计划。
预算控制:预算控制是通过预算的形式规范组织的目标和经济行为的过程,调整修正管理行为与目标偏差,保证各级目标、策略、政策和规划的实现。
(四)会计系统控制
会计系统控制是指利用记账、核对、岗位职责落实和职责分离、档案管理、工作交接程序等会计控制方法,确保企业会计信息真实、准确、完整。
会计系统控制内容包括:
1.会计准则和会计制度的选择
企业管理层应当依据企业具体情况选择适用的会计准则和相关会计制度。
2.会计政策选择
企业的会计政策,是指企业在会计确认、计量和报告中采用的原则、基础和会计处理方法。
3.会计估计确定
会计估计,是指企业对其结果不确定的交易和事项以最近可利用的信息为基础所作出的判断。
4.文件和凭证控制
企业应当对经济业务文件进行记录并且相关的凭证需要连续编号,避免业务记录的重复或遗漏,同时便于业务查询,并在一定程度上防范舞弊行为的发生。
5.会计档案保管控制
会计档案是指会计凭证、会计账簿和财务报表等会计核算专业材料,是记录和反映企业经济业务的重要历史资料和证据。会计档案的内容一般指会计凭证、会计账簿、会计报表以及其他会计核算资料等。
企业应当详细记录且妥善保管合同、协议、备忘录、出资证明等重要的法律文书,作为企业重要的档案资料以备查用。
6.组织和人员控制以及建立会计岗位制度
企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须具备相应的能力。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的职业,不得设置与其职权重叠的副职。
企业应根据自身规模大小、业务量多少等具体情况设置会计岗位。一般大中型企业设置会计主管、出纳、资产核算、存货核算、工资核算、成本核算、利润核算、往来核算、总账报表、稽核、综合分析等岗位。
(五)财产保全控制及银行承兑汇票案例
财产保护控制是指:企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。
具体控制措施包括:
1.财产档案的建立和保管
企业应当建立自己的财产档案,全面及时地反映企业的增减变动。
2.限制接近
限制接近是内部控制的一条重要原则,它是指严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。
3.盘点清查
财产清查是会计核算工作的重要制度,又是加强财产物资管理的一项重要制度。它是指定期或不定期的对各项财产物资进行实物盘点和对库存现金、银行存款、债权债务进行清查核对,并将盘点的结果与会计记录进行比较。
清查范围主要包括:存货、现金、票据、有价证券及固定资产等财产。
货币资金是企业中的重要资产,具有以下特征:
(1)变现能力最强
(2)严密性最弱
(3)最容易出现问题
清查的方式:采取定期清查和抽查相结合的原则
定期盘点包括两个方面:有形资产的盘点和无形资产的盘点。对于库存中的贵重物品,需要单独妥善保管,并做好定期盘点,务必将“定期”概念落实到位,要根据企业的资产属性确定盘点的间隔期。
4.财产保险
企业可以根据实际情况考虑,对其重要或者特殊的财产投保,使得企业可以在意外状况发生时通过保险补偿减轻损失程度。
【案例】
银行承兑汇票挪用案
2005年4月,某上市公司一个小会计“蚂蚁搬家”式的卷款潜逃的消息传得沸沸扬扬,其后该公司发布的公告证实了此前的传闻,公告称:“在今年4月末员工业务交接过程中,本公司发现营销部财务科一员工存在资金挪用的重大嫌疑,公司立即配合地方司法机关就此事件展开立案侦查并缉拿嫌犯。”据媒体报道,该公司营销部会计钟某(化名)累计挪用公司资金超过5 000多万元,且长达六年未被发现,虽然钟某目前已被逮捕归案,但他给公司造成的巨大损失绝大部分已无法挽回。
【分析】
分析钟某的作案手法,主要是挪用收到的银行承兑汇票,具体可分两种:
第一种手法是滚动挪用公司的银行承兑汇票,通过皮包公司办理质押贷款,汇票快到期时则挪用新的汇票将其替换出来。由于开户银行是提供保管箱业务,每次将银行承兑汇票放在信封交给银行,银行工作人员并不核对信封里的汇票数量和金额,而是只以会计在密封后的信封上填写数字为准,钟某利用这一漏洞,将有的承兑汇票暗地里截留下来,但在交给银行的信封上却记录了该笔汇票,银行毫不知情,以为汇票如数装在信封里。
截留下来的汇票钟某拿出来通过皮包公司办理质押贷款,由于公司资金周转量很大,账上始终有一大笔存量的银行承兑汇票,钟某得以持续地占用公司的银行承兑汇票而不被发现。而公司无论是对账还是审计,都只是将公司账面数与银行提供的代保管汇票数核对,钟某挪用公司汇票的行为就一直没有被发现。
第二种手法是直接盗用银行承兑汇票,将被背书人空白的银行承兑汇票据占为己有。由于很多银行承兑汇票是由客户背书转让给XY化纤公司,但客户在背书时经常都并不填写被背书人名称,钟某便将这类汇票拿到自己在外与人合伙开设的皮包公司入账,与此同时,钟某在XY化纤公司财务账上则做退票处理,在ERP系统入账后进行冲销。钟某的主管领导曾经发现ERP系统有大量汇票退回现象,并向钟某询问原因,钟某解释说是客户汇票不符合要求,所以退回去了。遗憾的是,领导轻信了钟某的解释,对这种异常退票现象没有深究下去,未能及早发现钟某舞弊行为。
分析本案例可以看出,钟某舞弊之所以得逞,很大程度是利用了公司银行承兑汇票内部控制制度的缺陷。
(六)风险控制
1.筹资风险控制
企业的财务结构、筹资结构、筹资金额及期限、筹资成本、偿还计划等都要事先评估、事中监督、事后考核,关键是要保证有一个合理的资金结构,维持适当的负债水平,既要充分利用举债经营这一手段获取财务杠杆收益,提高自有资金赢利能力,同时要注意防止因过度举债而引起财务风险的加大,避免陷入财务困境。
2.投资风险控制
无论是债权股权投资还是长短期投资,企业都要进行可行性研究并根据项目和金额大小确定审批权限,预计可能出现的负面影响及对策。
3.信用风险控制
主要指应收账款引起损失的可能性。企业应制定客户信用评估体系,确定信用授权标准,规定信用审批程序,进行信用实时跟踪。
4.合同风险控制
建立合同起草、审批、签订、履行监督和违约措施的控制程序,防止因发生法律纠纷而导致的企业诉讼。
(七)电子信息技术控制
信息技术控制,要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运行。
五、内控制度的规范与推进
(一)内控建设制度中不可忽略的建设要点
(二)建立内控制度的经验总结及案例
(一)内控建设制度中不可忽略的建设要点
企业内控制度建立原则
(1)相互牵制原则
企业每项完整的经济业务活动,必须经过具有互相制约关系的两个或两个以上的控制环节方能完成。在横向关系上,至少由彼此独立的两个部门或人员办理以使该部门或人员的工作受另一个部门或人员的监督;在纵向关系上,至少经过互不隶属的两个或两个以上的岗位或环节,使下级受上级监督,上级受下级牵制。对授权、执行、记录、保管、核对等不兼容职务要相互分离控制。
(2)协调配合原则
各部门或人员必须相互配合,各岗位和环节都应协调同步,各项业务程序和办理手续需要紧密衔接,以保证经营管理活动的有效性和连续性。协调配合原则是相互牵制原则的深化和补充。贯彻这一原则,尤其要避免只管牵制错弊而不顾办事效率的机械做法,必须做到既相互牵制又相互协调,从而在保证质量、提高效率的前提下完成经营任务。
(3)程序定位原则
企业应该按照经济业务的性质和功能将其经营管理活动划分为若干个具体工作岗位,并根据岗位性质相应地赋予职责权限,规定操作规程,明确检查标准,责、权、利统一。形成事事有人管、人人有专职、办事有标准、工作有检查,以此定出奖罚制度,增加每个人的事业心和责任感,提高工作效率。
(4)成本效益原则
实行内部控制的成本要低于由此产生的收益,力争以最小的控制成本取得最大的经济效益。
(5)层次效益原则
正确处理企业内部控制层次与工作效率的关系,防止以增加层次的“人海战术”来获得较好内控效果的现象。以高效、有用为出发点,合理设置内控层次(或人员),明确各个层次的职责权限,强化各相应层次的责任心,提高企业内部控制的有用性和效率性。
企业内控杜绝四种偏向
(1)在内部控制机构的设置上,克服重眼前利润,轻专职机构建立的偏向。
尽快建立健全企业内部控制机构,以从组织上强化企业内部控制。
(2)在内部控制制度的建立上,克服重内部管理制度建立,轻内部会计控制制度建立的偏向。
建立健全可靠的内部凭证制度、完整的簿记制度、严格的核对制度、合理的会计程序制度、科学的预算制度、定期的资产盘点制度等比较完善的企业内部会计控制制度。
(3)在内部控制制度的执行上,克服重非经常性发生事项控制,轻经常性发生事项控制的偏向。
进一步强化责任管理、制度管理,规范控制行为,建立健全集良好的控制环境、完善的会计体系和可靠充分的控制程序为一体的企业内部控制管理机制。
(4)在企业内部控制的监督上,克服重程序监督,轻对“内部人”监督的偏向
真正做到“三个加强”。一是加强对企业法人的内部控制监督,建立企业重大决策集体审批等制度,以杜绝厂长、经理独断专行,胡作非为;二是加强对企业部门管理的控制监督,建立部门之间相互牵制的制度,以杜绝部门权力过大或集体徇私舞弊;三是加强对关键岗位管理人员的控制监督,建立关键岗位轮岗和定期稽查制度,以杜绝企业中层干部和供销、会计等重要岗位人员以权谋私或串通作案,从而建立健全企业内部控制监督机制。
(二)建立内控制度的经验总结及案例
CNLT公司按萨班斯法案404条款的要求把内控的调子定得很高,主要是公司治理的需要,因为CNLT公司既是境外上市公司又是境内上市公司。这两个层面的上市公司都需要建立内部控制制度,以满足境内、境外上市公司监管法规的要求,维护投资者的利益和公司诚信。
事前的准备
CNLT公司从2××3年年底开始准备按照404条款完善公司的内部控制制度。
首先是梳理会计政策、业务流程和揭示风险。
按照404条款建立内控体系要符合境外的会计准则,而我们一直都是按照中国国内的会计法、会计准则和会计制度来做的,他们之间的差异需要调整。
负债单位利息支出资本化和费用化的界线,国内要求以特定的借款用途用于特定投资项目来界定,在达到预定可使用状态前可以进行资本化。而香港和美国是按照实质性判断,无论用于固定资产投资的资金来源于投资项目贷款还是流动资金贷款或其他带息负债,只要用于这个项目的投资所产生的资金成本就应当由该项目来承担。
其次是转变观念,从另一个角度说就是对内控评价或认定标准的认识。
过去我们大都依赖红头文件,但是红头文件的指示和要求都很原则,由于执行单位或执行人的理解差异,会有很大的灵活“空间”,企业操作起来就没有了标准。
如强调“加强物资管理”,过去红头文件很少规定怎么管理?管理到什么样程度?而按照内控的要求,第一,需要明确建立库管制度,规定采购、验收、保管、出库、损失估计、财产安全和盘点、报告、对账等程序规范;第二,要合理储备物资,这就要确定物资的最高储备限额和最低储备定额,既要避免积压、跌价风险,又要保证供应。这就具体到了标准上。
从2××4年开始,CNLT公司按照COSO框架的要求完善公司的内部控制制度。虽然由于CNLT公司在海外上市,建立的内部控制制度必须符合COSO框架的要求,但我们这么做不仅是外部的要求,从企业自我发展来说也是非常迫切和必要的。一方面,围绕防范经营效果和效率、财务报告真实性、遵从法律法规三个目标的各类风险为目的,在控制环境、控制活动、风险评估、信息与沟通和监督五个方面建立一套渗透所有业务和场所的内部控制制度和管控机制;
另一方面,要改变国有企业对风险管理的认识和管理者态度,建立和维护的是一套有效的内控制度和执行程序及分散的控制责任体系,而不是仅靠领导讲话和指示作为经济活动的管理标准和工作规则。当然首先要设定内控制度建设目标,进而形成方案。目标包括阶段工作内容、完成成果和时限。方案是经过独立董事、审计委员会审批的,并聘请一家境外咨询机构提供咨询。
CNLT公司审计委员会的独立董事们曾要聘请境外的审计机构不定期设计内控制度,但是境外审计机构和境内审计观点在很多方面有很激烈的碰撞。他们站在外部审计师的角度认为,内控要首先以信息的真实性为前提,即所有资产的价值都是真实的。而我们国内准则要求有些资产的受益期限是需要通过判断决定的,比如哪些费用属于期间费用,哪些费用可以递延,受益期多长等都需要判断。但审计师有时对这种判断不认可,比如公司对这项资产使用年限的会计估计是7年,而审计师认为是5年。
审计师往往也会从防范自身审计风险的角度强调这个资产有没有潜在风险。为什么我们与审计师会有碰撞,因为管理层有企业积累和发展的需求,唯有一定的利润才能实现、支撑企业的发展和公司对投资者的责任。我们希望公司的利润每年都有适当的增长,所以我们的会计估计都是依赖恰当的管理上的判断来确定的。这种估计既要考虑到审计师的职业判断,也要考虑国家对行业相关资产的规定及管理层对所使用资产经济寿命和服务期限的判断。现在我们的内控建设,主要还是坚持以公司自己为主、外部咨询师为辅,因为我们真正了解企业面对的风险和应设计的控制措施和控制目标。
内控方案批准后由财务部门牵头实施。在实施过程中我们深深体会到,财务部门很难完成这个任务。就像预算一样,内控贯穿在整个企业错综复杂的流程和关系中,不单单是财务的事情。财务是一个记录、反映和监督的过程,组织对外信息披露的任务责无旁贷,而监督又有两个方面,财务可以完成会计信息和经济活动的日常监督,但是其他一些经济行为的监督财务就做不到了。比如,通信计费由负责计费系统的维护部门管理,他们每月向财务部门报告的应收收入是否准确,必须依赖于计费部门IT系统总体控制和应用控制水平。
可以说,监督这项职能赋予了财务很大的责任,但实施起来不尽如人意。根本原因在于影响企业财务报告(内控成果)的因素不仅是会计业务和财务管理水平,还有所有部门的业务,而企业却没有建立起一个普遍的控制制度,所以仅仅依靠一个部门完成是不可能的。又如,错记通话费会出现1倍或几倍的赔付,虽然不排除有人员记录错误的原因,但很多时候是由于系统的更新和扩容或者设计缺陷造成的,是属于技术原因。还有一些原因,比如绩效考核制度,比如对经营者的业绩只以收入为指标进行考核,不正确的业绩观的驱动会导致作弊和虚假收入的出现,因此反舞弊也是内控的目标之一。
CNLT公司过去没有这方面的相关制度,对此我们针对有实质控制权力的人,包括总公司高级管理层、各省管理层和一些关键岗位的部门,建立了一套反舞弊的管理办法,在履行控制程序时去发现、避免造假的发生。可以说这种控制不仅仅是一个作业层面的控制,还包括对高级管理人员行为的控制,而所要控制的对象应该选择重要的部门和业务。
内控首先要保证企业达到下列三个目标:一是提高经营效率和效果;二是保证财务报告真实性;三是保障法律法规的遵从性。内部控制实质上是对影响上述目标实现而对可预见的风险进行揭示,针对个别风险制定有效的控制措施和可接受的风险控制目标,并形成完整的内控制度体系、责任体系和运行及监督机制。从实践和公司的情况来说,我们认为经营效益和效率是公司当前控制的重点。
财务报告的真实性通过完善的制度完全可以解决,但影响效益和效果所涉及的经济活动太多了,不是财务一个部门能做到的。因此,公司建立了一个由“一把手”任内控建设领导小组组长、CFO组织内控办公室的主要业务、相关业务部门负责人为成员的组织架构来实施控制。
实施的第一项工作就是培训,端正态度,正确认识什么是内控,为什么要进行内控。之所以有萨班斯法案,大家都以为是美国惹的祸?实际上不仅是美国,我们自身确实存在很多问题。比如我们的损失浪费确实很大,是影响所有国有企业发展的一个重要因素;我们国家现行制度规定企业的重大问题由集体决策,集体决策的结果就是谁也不承担责任或推卸个人责任等等。这种培训是让每位员工都有内控制度的意识和责任,认识到这是工作的一部分,首先从思想上得到重视。
内控是以制度的形式存在的,我们前边也提到,集体决策的结果是谁也不负责,所以内部控制先要完善制度:建立反舞弊制度和对所有业务流程的控制制度。更重要的是控制环境。控制环境就是包括管理层在内的公司员工形成一种内控的理念,建立全员风险控制责任。
子公司试点
2××4年11月1日,我们开始在CNLT公司子公司进行试点。经过近半年的时间,把省级**涉及的402个流程进行了所有内控制度文档的设计,而这仅仅是设计阶段。
梳理流程,找出风险点
在设计阶段首先要做的是梳理流程,定义流程。对每一项经济业务的初始点和终点都做出描述,并将相关环节串起来形成流程关系。然后找出哪些是重要的业务活动。流程中所有的作业环节必须明确作业内容及其目标和标准,而且这个标准应该是可量化的。由于每个流程会涉及到很多环节,涉及到几个部门,所以每个流程中的各个环节都有一个任务描述,即对流程的说明,包括这个岗位是做什么的、应该做到什么程度、什么时候完成、可能发生什么问题、发生时如何处理等。当然这简简单单的说明后面是公司制度和规定的支持。
比如审批流程。假设我们要申请购买一个笔记本电脑,需要经过一个审批流程。以前是先看公司有没有现成的授权审批制度。如果没有,则按约定俗成的做法:由使用部门写申请,然后上级领导逐级签字,到财务部门看看有没有预算,再由分管业务的副总裁签字,财务副总裁还得签字,最后再转给老总签字,可以看出审批程序很复杂。这笔业务同意了,在签合同和借款的时候还要经过这样一轮重复审批,回来拿发票报账时又经一轮审批。一件事情同样的程序批了三四次。我们的人工是有成本的,每个员工一天都在跑批这个,领导案头也全是这样的待批文件,哪里还谈得上效率!哪里还谈得上经济效益!
因此,公司需要建立一个授权审批流程,这就涉及到必须要建立内部日常的授权审批规则。
首先在制度上以我国内部会计控制规范明确的两点,即授权审批和不相容岗位分离为基础,建立授权审批制度,明确哪些事项由谁来审批,包括审批权限和审批程序。这一制度的前提是有严格和规范的预算制度。在发生一项经济活动之前必须履行预算审批。审批通过后,在执行时只要相关业务部门负责人签字就可以,不需再重复审批。
其实审批权不一定都集中高层就一定能有效控制,谁签这个字谁就要承担全部责任。而以前我们的做法是把责任模糊了,部门签完字到上一级,上一级签完再到上一级,最后一把手签字。出了问题责任是谁的?一把手最后签的字,但是他对这件事情也许不是很清楚。这种控制严不严?这么多领导签字,应该很严格了吧!但是我们没有真正做到实质性的控制,只是一种权力的游戏!只有把这个权力放到一个恰当的职位做最终审批,赋予他监督的权力,同时也承担相应的责任,才最有效。而他的行为和胜任能力则需通过公司的干部监管部门来考核。
再如决策程序。过去决策层对业务的决策随心所欲,没有一个科学的评估程序。比如业务部门设计了一种买100送50的套餐项目,没有经过任何评估,分管领导一批,一夜之间就推出了这个新业务。这个行销方案能获得多少用户?新增用户带来的收入是否可以补偿放弃收入机会的损失?是否会引起用户放弃原来定制的业务?和竞争对手有什么差异?和政府的政策有没有什么违背的地方?有没有不正当竞争?是否政府管制项目?这些问题谁来评估?是否对这些可能产生的风险设计了有效的控制措施?
对这些问题首先应该做一个综合的风险评估,制定控制措施和可接受的风险目标,然后再做决策。现在往往是听说哪个地方、哪家公司价格降了,咱们不降不行,你降,我也降。我们的考核机制和决策规则究竟控制了什么?有时为了争取一个用户不惜代价,因为考核指标就是看发展的用户数,并不考虑争取这个用户花了多少钱,能给公司带来多少利润。
针对类似的问题,子公司的各个业务部门首先揭摆风险,梳理业务流程,再经过专家梳理和总部各个部门一起认定,确定哪些流程列入内控范围,最后一共提出200多个大的风险。然后我们对每一个流程按照三个构成要素建立制度文档:一个是流程图,描述了所有业务的流程关系和所经过的从起点到终点的岗位,并标明哪一个环节有风险点和控制点;一个是流程描述,对所有岗位环节的任务(做什么、怎么做、什么时间完成等)进行描述;还有一个是风险描述及控制文档。
继续分解风险
在各个部门的具体运行环节中,他们还要根据自己的业务流程可能包含的大的风险继续分解,具体到部门是什么样的风险。比如我们规定用户信息录入时重要的用户信息必须健全,按照用户登记卡的信息进行登记后,开通后第二天必须回复一个电话来确认其联系电话和地址的真实可靠。目的就是控制用户的欠费。我们业务的特点是先服务后付费,欠费风险很大,CNLT公司一年欠费有几十个亿,这是影响效益的关键问题。
那么我们在程序上就围绕控制用户欠费建立相关责任,在流程中的关键部分控制风险。首先明确这个流程当中有什么风险,把欠费的风险分解到几个部门去,主要是业务部门。流程中哪个环节存在这个风险就应该描述出来,标在流程中,提醒这个岗位负责防范。
再比如公司的价格管理。一项服务项目的设计必须有足够的支撑,因为价格过低可能会导致发展用户群出现亏损。针对这个问题,我们要求在制定价格时必须几个部门一起介入,拿出方案。财务部门拿出成本计算依据,计费部门提出计费技术支持方案,评估在价格上违不违背政府的管制,竞争对手反映如何。从几个方面评估,最后进行决策。这样就避免了盲目制定价格导致经营亏损的情况。
针对这个风险建立了相关制度。首先我们要评估现有的制度是否还有效。过去有些规定很原则,没办法量化。要量化就要花很大力量去收集文件,建立标准。如果以前没有这方面的制度,我们就要求公司业务部门把这个制度补上,明确要建立制度,不能用流程代替制度。
风险也是针对我们公司面临的问题,大家在一起揭示风险,进行梳理。怎么梳理呢?风险是哪个部门的,就把哪个部门的风险落实到哪个流程上,在哪个流程中就落实到哪个环节。这就把风险控制责任落实到一个个具体环节。有多少个环节就建立多少个控制活动。对控制活动我们在制度上进行描述。一是风险是什么,控制措施是什么,控制责任人是谁。这实际上是归纳,是风险提示,标明这项活动的风险是什么?实施怎样的控制?是接触性的控制还是预见性的控制?
比如财务报表的风险,一个问题可能涉及几个风险,有财务报告真实性的风险,有经营效率和效果的风险,有法律法规的风险。在这一张图上都要表示出来:它是什么风险,风险级别程度。我们一定要关注重点风险。在我们设计的制度当中,就像美国911之后发布的安全信号一样,用橙色、绿色、白色区别风险程度。哪些部门、哪些单位是重点,哪个关键流程是重点,我们都把它标示出来,重点监督、关注这些风险。
设置记录性文档
设计当中还有一个重要环节,就是每一个环节要有一个记录性文档。记录性文档分几种,一种是审批单,它记录审批依据、审批人责任。通过审批单我们就知道这是一个什么报告或什么申请。这种文档是传递性的。还有一种完全是记录性的。我们要求每个月要进行存货盘点,建立盘点表。这个盘点表就是记录文档。文档要求记录实际盘点的数量、金额和盘盈、盘亏比较,以及存货的质量、是否存在品质残次、是否存在积压滞销、是否存在跌价损失。
这个文档非常重要,因为它不仅对外部审计师进行事后复核有很重要的作用,302条款也要求所有记录性文档必须是可供复核的。不像我们过去问仓库管货员:每月盘点了吗?他说盘点了,拿本账对对数就行了。事后也没办法认定他是不是每个月都进行盘点。我们的制度要求虽然可能浪费一些成本,但是很必要。每个月有一个盘点表,看到盘点表我就承认你做了盘点,没有盘点表我就不承认你执行了内控责任。所以这个记录文档是非常关键的。我们在制度上要求必须有记录性文档。管理制度上明确了,我们会依据明确的文档格式来认证。这其实就是相关的内部控制措施。
监督执行
监督制度确立以后,上级怎么执行也必须建立一种有约束的机制。上级要经常监督下级掌握本岗位的工作任务、面对的风险和公司设计的控制措施并执行这个内部制度。所有人员都把自己那块读懂了就足够了。我们把所有的控制责任建立到每个人头上,每个岗位上。这个岗位可能一岗多人,但是只要在这个岗位上工作,就要熟悉这个岗位的业务流程和相关的风险控制。过去很多企业规定每个年末财务部门要组织进行财产清查,我们的内控制度就不是这样。我们要求分管存货或资产管理的部门应主动进行盘点,把盘点结果、差异报给财务部门。
过去是我们组织他们进行清仓查库,组织盘点,现在要求物管部门有义务定期提供财产清查报告、差异报告。如果存在损失,还要写说明。过去依赖财务部门去做,不但做不过来,大家还都在应付你。过去新员工上岗,只告诉他坐在哪里,电话多少,大概讲讲怎么做,而没有讲他应该做什么,做到什么程度,有什么责任,将来有什么提升的机会。现在我们要求上级有义务做到这些,然后监督下级。让每个员工熟悉自己,自己约束自己。
就像我们一直以来宣传的那样,经营是有风险的,不能指望这个企业没有风险就收益好,关键是怎样驾驭风险,就是把风险详细地揭示出来。让从事这个岗位的人员知道这个岗位有什么风险,去关注它。我们常常出现的情况是,一个文件当中已经讲了,但有些人员根本不知道他应该控制这个风险,领导签个字,然后存档,没有人来具体控制。
对此,我们的内部制度要求每一个流程要把风险细化,分解到每个流程及相关环节中,并加一个标识,提示该岗位员工有什么风险,见了这个风险怎么控制,由谁来控制,落实到位。
建立的岗位职责也是人力资源部门建立的岗位责任制度,是企业完整的架构,统一的标准。内控制度的岗位职责是这个岗位做什么,做到什么标准?比如收入报告应该次月几号提供,要具体量化才能保证实现。以前只是知道做什么,没有明确做到什么程度。
我们事实上构成了一个内控制度的整体,明确了每一个流程必须包括的控制要素。这些要素说起来很容易,做起来是非常难的。因为有很多东西是约定俗成的,就这么做。找制度,没有;制度什么时候定的,不知道。师傅教徒弟,就是这么做的。执行制度最难的就是习惯改革。我们规定,建立了这套流程和制度规范,就必须按这个执行。不管现在的效果如何,必须按章办事,这是你的职责。至于评价这个控制活动和具体控制目标的差异,特别是制度设计上的缺陷,有相关部门的相关人员来做。已有的制度不遵守,或自己认为这样做效果更好,自己就给改了,大家都这么做,实际上就把这个制度废掉了。
子公司的内控制度涉及到400多个流程,用了半年多的时间,可见建设内控制度确实不容易。主要是观念上的差异。我们建立的内控制度也有别于ISO9000。ISO9000只是一个流程图,反映流程关系,不是以控制风险为目标去实现应该达到的控制活动。从企业角度讲,控制目标是降低资产损失、利益流失方面的风险,这是我们关注的重点。下一步公司打算在全国进行推广。首先要进行动员、培训。第一步是进行高层培训,由公司的董事长来讲,从企业自我发展的角度认识内控的必要性。
各个部门要针对部门所管辖范围内存在的影响经营效率和效果的风险去分析、认识内控的必要性。各个部门的老总也要讲今年准备在内控上做哪些工作,要完成什么样的目标。内控办公室负责讲内控制度设计的规范性和具体要求。我们境外的律师从萨班斯法案404条款及监管要求、出台背景和约束以及执行方面的影响来讲;审计师从管理建议上,针对我们公司存在的管理上的缺陷来讲。通过几个角度进行培训,让领导真正认识和理解404条款的重要性。
京公网安备11010802041402号
