企业内部控制制度建设中的八大难题与对策探讨.doc

企业内部控制制度建设中的八大难题与对策探讨对内部控制问题的关注是进入新世纪以来国内学界和实务界的新变化或新现象。不过，尽管国内外有关内部控制的研究文献丰硕，也尽管很多企业已经以外包方式或自行设计方式强化了内部控制体系的建设，但人们对内部控制的误解之多以及操作上的错误之多，还是让人纳闷与困惑。这里，笔者没有逐一罗列的意图，但如下八大难题也许更应该引起学界和实务界的共同关注。难题一：被缩小的内控范围内控的边界何在？其内部结构又是怎样？学界的研究似乎是忽略了这样一个在设计企业内控体系时不得不重视的问题。与实务界的广泛交流，让笔者感受到了在这个问题上存在着两种明显的误解：其一，把内部控制等同于财务控制或会计控制。一说到内控，总是与财务会计部门，人员及职能挂钩，似乎内控就是会计或财务的事；其二，把内部控制的边界等同于18项企业内部控制应用指引或20项配套指引的范围。客观地说，内控的边界和范围既不限于18项应用指引的范围，更是超出财务或会计控制的边界。18项应用指引的价值或意义重大且深远，但在内容上还有缺失：一是没能与内控要素相对应。通常认为，内控包括内部环境、风险评估、控制活动、信息与沟通、内部监督5大要素。18项应用指引及另外两项评价和审计指引涉及内控的4大要素，而风险评估要素在配套指引中还属缺位状态；二是未能容纳企业全部的活动和功能。内控具有全面性，在内容上应覆盖企业所有业务、活动、功能和人员，而18项应用指引显然还没有做到这一点，一些重要的和通用的功能活动，比如研究与开发、技术及商业秘密管理、法律事务、数据管理、制度管理、财务分析、绩效评价、母子公司控制等，仍处缺位状态。另有一些与行业或企业有关的特殊业务或活动，更是没被纳入应用指引的规范体系。设计一套完整的内控体系，首先要做的就是对企业的活动或功能进行分析，梳理出活动或功能模块，内控体系应涵盖全部的活动或功能模块。对企业来说，活动或功能很多，大致可以划分为经营活动、财务活动和管理活动三大类。有些活动，比如业务外包、招投标、母子公司或总分公司管控、人力资源等，是横跨三类活动的，但也可以进一步细化后归入上述三类活动。与企业内部活动的框架结构相对应，一套完整的内控体系也应覆盖财务控制体系、经营控制体系和管理工具体系三个子系统。难题二：被冷落的内部牵制说到内部牵制，在可以检索到的文献中，甚至是在官方公布的内部控制规范性文件中，通常都是与“不相容职务分离”或“职责分工”挂起钩来，甚至是在二者之间划上了等号来使用的。这显然也是一个误解。实际上，完整的内部牵制包括分离式牵制与合作式牵制两种类型。两种牵制机制的侧重点有别：分离式牵制是不同的人干不同的事，所谓张三管钱、李四管账就是如此；合作式牵制是不同的人做同一件事，比如张三、李四同时去谈判或共同采购。对实践有意义的话题是，如何进行更有效的牵制式分离或合作。分离式牵制的基础正是人们常说的“不相容职务”，而何谓不相容职务，还需要结合实际作更具体化的分析。笔者的看法是，不相容职务的基本形态有权能不相容与性态不相容两种类型。在公司治理层面，不相容的权能是指决策、执行与监督，是通过董事会、经理班子和监事会机构分设来实现的；在业务管理层面上，不相容的权能是指对业务的管理、操作和监督，主要是通过部门或岗位分设的办法实现的。很显然，不同的业务其权能分离的具体内容也是不同的。采购业务的具体内容是采购管理、采购运作和物资保管三分离，也就是人们常说的“采、管、保”分离；制度管理业务的具体内容是制定、执行与监督三分离。对资金流的理解不能仅仅局限于“钱”的收付上，更重要的是收款与付款的权责安排。假如财务部门只是扮演出纳员和记录员的角色，而实际的收款权力与责任还是在业务部门，这种做法也属物流与资金流合二为一运作的情形。分离式牵制的实现方式是机构分设和岗位分设。有些不相容职务是通过机构分设的方式实现，而有些不相容职务是通过岗位分设实现的。对集团化的公司来说，考虑到集中管理的运作要求，权能及性态分离又有必要在总分公司及母子公司之间作适当的安排。就趋势而言，分、子公司在集团框架中应该只是扮演业务单元的角色，也就是具体负责权能分离中的“执行或操作”的职能。难题三：被误读的风险态度内部控制说到底是控制风险的，因此，风险的识别、风险评估和风险应对是内部控制体系的重要组成部分。在风险应对上，一些说法或做法的正确性是值得怀疑的。一种说法或做法是“风险管理就是有风险就管理”，而实际上，有许多的风险，明知道它们是风险，管理层也需要采取放任的态度，所谓风险应对中的“接受或承担”就是这个意思；另一种说法或做法是“通过内控将风险降到最小限度”，也就是“风险最小化”的风险态度。内控的出发点或风险态度是“风险最小化”还是“可接受的风险水平”，是需要学界认真研究、需要管理层认真选择的。2004年的COSO报告彻底变革了内控设计的出发点，实现了从“风险最小化”到“可接受的风险水平”的转型。这一转型，对于简化和优化内控程序具有十分重要的意义。选择“可接受的风险水平”作为内控设计的出发点或风险态度，需要我们在内控设计时善于应用“重要性原则”，善于把握重要的控制点。根据笔者对30多家企业单位内部控制设计的经验和体会，重要的控制点至少应该包括五大方面：(1)重要领域。诸如与外界相关的领域、与资金相关的领域、与数据相关的领域等；(2)重要业务。诸如采购、营销、工程、外包、投资、融资、资产重组、合同、预算等；(3)重要项目。以资产为例，应收款、存货和投资三大高风险资产项目，就是资产控制的重点项目；(4)重要风险，指那些发生可能性大、对目标实现影响程度大的风险；(5)重要措施。同一风险往往有多项控制措施，重要性原则需要区分出重要的和次要的措施来。正确的态度是：关注重要的风险和重要的措施，这样才能把繁琐的控制程序给简化下来。难题四：被繁琐的审批程序审批问题可谓内控设计中的又一重要难题。这个难题源自于一种常见的错误观念或认识：审批人越多、审批程序越复杂越好。在这种观念的影响下，企业内控中普遍存在审批程序繁琐的问题。审批程序真的就越复杂越好吗？也许，有一个问题被学界和实务界忽视了，这就是内控的终极目标或根本目标或最高目标的问题。在相关文献中，内控的基本目标通常被归纳为五大方面，即信息真实可靠、经营活动的效率与效果、资产的安全完整、法律法规的有效执行及战略的有效实现。然而实际上，所有这些目标，都必须服从于一个总目标价值最大化。企业的目标是创造更多的价值或价值最大化，内控作为企业体系的一个组成部分，当然应该服从于企业的总目标。问题是，企业现有的审批控制程序是支持还是损害企业的价值创造？对现实中企业审批及控制程序的观察不难发现，许多程序是支持企业价值创造的，比如重大决策或事项集体决策、业务或财务审批制度的建立、全面预算、信息化建设、业绩考核等等。但是，损害价值创造的程序也很常见。两种损害的情形：一是控制程序过于简单，尤其是在集团化公司的总公司对分公司、母公司对子公司，这种情形最为常见；二是控制程序过于繁琐复杂。所有这些负面作用，最终都会损害公司的价值创造。从一般意义上说，首先，审批主体应当明确、单一，避免重复或多头审批，并且审批人及审批权限的安排应符合内部牵制的要求。在设计审批制度时，涉及“三重一大”(重大决策、重大事项、重大人事任免、大额资金支付业务)的，在决策层面应实行集体决策审批或联签制度，但在执行环节应回归审批的一般原则进行运作，避免重复和多头审批。其次，常规事项与非常规事项的审批制度设计应有所区别。常规事项的管控应把握事前的预算或计划及事后的考评，中间执行环节的审批手续和控制程序应尽可能简化或优化。再次，在设计审批制度时，还应关注副总裁层面的直线职权与参谋职权的关系。作为副总裁，不管分管的业务范围是什么，都有直线职权与参谋职权两种权能，各自所承担的责任有别。副总裁在其直线职权范围内有审批权，而其参谋职权的业务或事项的签字属于参与而非审批，这也需要在内控制度设计时明确。最后，审批的先后顺序也需要合理安排。比如资金支付，是“先审后批”还是“先批后审”。习惯的做法是“先批后审”，但从财务和管理控制的效果看，应该是“先审后批”为好。难题五：被推崇的集中管理被人们所推崇的集中管理，有一些误解需要矫正，一些做法也值得重新探讨。一是集中管理的范围。过去流行一种说法，即人、财、物、供、产、销“六统一”，现在看来，“六统一”的说法还不能完全概括现代企业集团内部的集中管理体制。总结国内外企业集团的实践经验，信息化条件下的集中管控，其范围可以是“全口径集中”，也就是集中的范围可以(也应该)覆盖集团内部所有的业务和职能。具体地说，包括三大集中系统：(1)财务集中；(2)业务集中；(3)管理工具集中。二是集中管理的方式。子公司的功能与活动是多元的，不可能采取一刀切的管控方式。子公司的有些业务或功能，如投资、融资、资金、担保、研发、采购、营销等，可以采取集中运作、集中管理的方式；有些功能或业务，如人力资源、制造、运营等，可以采取分散运作、集中管控的方式；还有一些业务或活动，可以选择分散运作、分散管理的方式，如小额的物资采购、零星的费用支出等。至于会计核算业务，根据信息化建设的进展情况而定，可以分散核算、集中管理，也可以是集中分户核算和管理的方式。具体选择何种集中方式，要综合考虑母子公司管理层的人员素质、信息化水平和制度机制建设情况而定。三是单体公司内部的功能集中。对现实企业内部运作机制调研不难发现，企业内部的许多功能或活动室分散运作和分散管理的。以物资采购为例，供应、基建、设备、制造、办公室等部门，都有物资采购和管理职能；以制度为例，采购的制度采购部门管，财务制度财务部门管，人力资源的制度人力资源部门管，营销制度营销部门管；以数据管理为例，财务的数据财务部门管，采购数据采购部门管，营销数据营销部门管，人力资源数据人力资源部门管；以外包为例，工程外包工程部门管，管理咨询外包公司管理部门或办公室管，财务或会计的外包财务部门管，如此等等。一类的功能或活动，被切割成若干块，分属不同部门分散运作和管理。这样的运作和管理机制是否妥当，也值得考虑。难题六：被夸大的招标投标从暗箱操作到公开招标投标，无疑是内控机制的一大历史性进步。问题是，现实地看，招投标的作用显然是被夸大了。众多案例说明，那些实行了招投标的单位或项目，问题依然很多。诸如：规避招标该招标不招标或肢解工程；暗箱操作泄露标底或修改标书或串通评标或组织衬标或陪标，明招暗定，前台演戏，后台内定；围标串标投标人组成临时联盟，串通抬高或压低报价，轮流坐庄，利益均沾；挂靠投标高资质中标，低资质或无资质施工或实施；阴阳合同或黑白合同签订附加合同，低价中标高价结算。还有在组织上专家不专、评标走过场、评标不公等等。因此，招标投标的具体运作机制还有待于进一步完善。可以考虑的措施至少有：集中运作、管办分离，相互牵制；无标底招标，低价中标；计算机系统自动计分评标；阳光操作；把好“五关”交易关、信息发布关、资格审查关、评标关和定标关；建立企业不良行为记录和黑名单制度；发挥内部审计监督作用。难题七：被简化的信息系统现实地看，越来越多的企业重视信息化建设。既适应了信息化社会发展的需要，又搭建了更先进的内部控制平台。不过，信息系统建设中存在的种种不合理简化问题，大大削弱了信息系统的功能作用。一种常见的但很少有人注意到的现象是，信息化建设的程序被不合理地简化了。表现之一是断裂了流程再造与信息化的联系。如果把信息化视为一种生产过程，这个过程的第一道工艺也许就应该是流程再造。但是许多上了系统的企业，并没有首先进行流程再造，就仓促按照现有业务及管理流程设计和运作了系统，“小脚穿了个大鞋子”；表现之二是信息分析缺位。致使许多建立了信息系统甚至是ERP系统的企业，信息沟通依然不畅，需要的信息无法从系统中获取，不需要的信息倒是提供了很多；表现之三是重视信息生成轻视信息利用。系统设计人员嵌入了很多表格，提供了很多数据信息，问题是这些数据如何进一步地开发利用，让使用系统的人员感觉茫然。实际上，信息化的本质就是流程再造。信息系统要能发挥其应有的信息传递和自动控制的作用，系统设计前还需要进行科学的信息分析与规划工作。信息分析主要解决四个问题；第一，信息需求分析。结合部门和岗位职责，对各部门和岗位履行职责所需要的信息进行分析；第二，信息供给分析。结合部门和岗位职责，对各部门和岗位履行职责所能提供的信息进行分析；第三，信息缺口分析。将信息需求与供给分析相结合，对部门和岗位履行职责需要依赖的“外部信息”及其结构进行分析，在此基础上设计更有效的信息搜集与传递机制；第四，合理设置信息权限。在信息分析与规划的基础上，对各部门和岗位的信息权限进行设计，这也是信息系统设计的重要内容。信息开发与利用问题也是信息系统设计时不可轻视的。我们无法想象让一个系统产生大量信息，而使用者却不知道这些信息如何更好地使用会是一种怎样的情形，但有一点应该很清楚，设计者本人如果不清楚系统生成信息的用途及其使用方法，那么系统生成的信息注定会与公司运营管理的需求错位。因此，系统设计者也许更应该关注运营管理的信息需求，在此基础上分析数据或信息的相互联系及其转化关系。最后，即使信息化建设中兼顾了流程再造、信息分析、信息开发利用的问题，如果信息系统还是处于“孤岛化”状态，系统