对建立企业内部审计制度的设想
刘卫华 (审计署郑州特派办)
【发布时间:2010年11月17日】
字号:【大】 【中】 【小】
    
    企业在经营管理过程中,要建立现代企业的内控框架体系。所谓企业内部审计整体框架体系是指一个有结构或由若干因素组成的整体。因此,将内控制度的设计分成总体设计和单项设计。构成一个现代企业的内控制度的整体结构或组成要素,形成该整体结构中的每个要素内容的设计。
    一、对总体结构内控制度设计思路
    (一)、三维立体的静态结构
    一个现代企业的内控制度在总体上应该是组织、项目和流程三个方面的综合,具有三维立体性。
    1、关于维度项目,是指内控制度的基本单位。企业除质量控制外,还有很多个内控项目,诸如人事招聘、危机处理、合同管理、工厂消防、成本控制、财务预算与预测、采购计划、员工绩效评估等等。
    那么,如何确定内控制度项目的数量呢?由于企业经理总是存在着或多或少的差别,因此,不同企业、同一企业的不同经理在项目数量上可能有不同选择。但是,下列几方面必须充分考虑:(1)企业愿景、战略和经营目标的要求;(2)管理的“粗细”;(3)体现COSO报告的总体框架;(4)涵盖会计控制、管理控制、业务控制和法规执行控制。此外,设计内控制度项目数量时,可参照组织的供应链来进行。例如,对制造企业来说,供应链可从顾客开始,由研究开发、设计、制造、营销、配运、顾客服务等组成。供应链可以转化为流程,流程又可分解为作业和任务。以此为基础便可确定内控制度的数量。
    其次,所有内控制度项目是不是可以等量齐观呢?答案是否定的。它取决于相对谁来设计内控制度项目。对证监会、中注协和注册会计师,会计控制可能最重要;对企业总经理,管理控制和主营业务控制可能最重要;而对车间主任,业务控制可能最重要,诸如此类,不一而足。另外,有些项目执行的结果是可以计量的,例如预算控制、成本控制等;而另一些项目的执行结果,则属于非定量的或不能直接定量的,例如危机处理等。值得注意的是,预算控制、成本控制对任何组织来说都应该放在首位。
    2、关于组织维度
    所谓组织,在这里是指具有共同行动目标的人类群体。现代企业是一个组织。它可以被分成高层、中层、基层和现场四个层级,每个层级由若干单位组成、每个单位有若干成员。按照COSO报告的思想,每个层级每个单位每个成员都与内控制度相关,应该参与内控活动。从组织维度设计内控制度, 需要考虑企业的控制目标、控制环境和控制方式,进而确定企业的管理跨度与管理层级、企业是实行集权制还是分权制,并建立使组织得以运行的保证——经济责任制度和岗位职责制度。组织维度设计得好,可以营造良好的内控环境。
    3、关于流程维度
    所谓流程,是指企业经营过程的一个阶段,由若干项作业组成,而作业由若干项任务组成。在典型的制造业中,其经营过程有研究开发、设计、制造、营销、配运和售后服务等项流程。每项流程,例如制造流程,包括材料入库、材料存储、材料搬运、加工、半成品搬运、加工、成品入库存储、成品包装发运等项作业。而每项作业,例如材料入库,包括卸载、验收、盘点、移动、摆放、记录等项任务。特别重要的是,任务是由组织成员完成的,授权和责任在这里可以体现出来。在流程维度设计中,就是遵循着这种相对的“流程—作业—任务”三个因素之间的依次关系进行。
    4、项目、组织和流程之间的关系
    简单说来,每个项目都是通过组织的层级、单位和成员按照一定的流程、作业和任务的要求来完成的;从流程、作业到任务,由于任务由人或组织成员来完成,因此,完成任务的成员组成单位、单位构成层级,从流程维度很自然地过渡到组织维度。换句话说,一个内控制度项目是由组织和流程组成,是一个二维体系,当企业存在多个项目时,就可形成由组织、流程和项目组成的三维立体框架。
    (二)、过程循环的动态结构
    应该指出,现行内控制度设计上一个严重的缺陷就是没有将内控制度与公司总经理(CEO)联系起来。COSO报告和巴塞尔委员会的报告特别强调了这一点,但在操作层面上,很多人仍然在进行会计控制,并当作财务部门“自娱自乐”节目。另一个缺陷已经指出,即在设计内控制度时,很少有人站在企业立场上考虑如何执行内控制度、实现内控制度目标的问题。我们认为,在动态上,内控制度不仅包括制定,而且包括执行,对执行情况的计量或测试、对计量或测试结果的分析和报告,根据偏差进行整改(包括预先设定奖惩制度和整改方案,修订内控制度)等。这是一个完整的动态结构或系统,
    在设计内控制度时可以作如下考虑:
    1、与上述相同,内控制度的设计首先考虑企业的愿景、战略和目标。据此设计好内控制度之后,便是内控制度的执行。但对控制者来说,最重要的不是他去执行内控制度,而是保证执行者实现内控制度的目标。
    2、实现内控目标的第一步是对内控制度执行情况进行计量或测试。诚如上述,全部内控制度的项目可以分成执行结果可计量和不可计量的两类。对可计量的内控制度执行情况的计量通常由会计核算、结算和统计等途径取得,例如预算执行结果就可以从会计核算的结果得到。对不可计量的内控制度执行情况的计量通常由测试表来取得,例如对公司印鉴使用控制制度的测试就必须按照该制度的要求设计问卷调查表,来了解该制度的执行情况。应该说,一项内控制度的执行情况往往可计量部分和不可计量部分并存。在这里,我们统统用测试表来表示对内控制度执行情况的计量或测试。
    就操作层面而言,一家企业内控制度的测试可以分成综合测试和单项测试。前者是对全部内控制度项目的测试,在现代企业中这主要是集团公司总部对子公司或二级经营单位内控制度的总体执行情况的测试,其测试表的结构按照COSO报告的整体框架设计;后者是对一个内控制度项目或一个相关的单位的测试,其测试表的结构也是按照COSO报告的整体框架设计。
    3、实现内控目标的第二步是将内控制度执行情况计量或测试的结果与内控制度进行比较,然后做出项判断:(1)测试结果是否与内控制度相符?如果相符,控制者不做任何干预,由执行者或被控者照常继续执行;如果不相符,则过渡到下一个判断。(2)偏差是否可以接受?如果可以接受,控制者不做任何干预,由执行者或被控者照常继续执行;如果不可接受,则过渡到下一个判断。(3)内控制度是否符合实际?如果符合,偏差则导源于执行者,应进一步分析偏差的原因,拟定纠偏措施,并向控制者提供测试报告,控制者依据测试报告采取纠偏行动,干预执行者的执行过程。如果不相符,偏差则导源于内控制度,控制者则应采取修正或补充内控制度的行动。
    4、内控制度执行情况的测试报告作为一种媒介,将控制者和执行者、总经理的监督和下属的现场运作巧妙地连接起来,其重要性是不言而喻的。有两个问题在设计时要特别注意:(1)测试报告至少分成两种:一是对测试结果的汇总和详细分析,称为明细报告,留在内控部门备查;二是在明细报告基础上编制的报告,称为简式报告,要定期报告给总经理。(2)测试报告结构应该与测试表保持一致,也就是COSO报告的整体框架。其中应就每个要素进行评估,特别说明造成制度与制度执行情况之间偏差的动因。
    5、控制者依据测试报告采取纠偏行动有两种含义:(1)直接干预,即控制者直接和强制性地要求执行者用控制者指定的行动方式取代原有的行动方式。例如规定用办公室电话打长途必须登记,但因执行不严,致使电话费上升。其矫正措施可能是将电话上锁,钥匙由专人保管,强制性地让打长途的人进行登记。(2)间接干预,即控制者制定和坚持一套行之有效的激励制度,通过激励制度“准自动化”地矫正执行者的行为。仍以电话费为例,控制者可以规定该办公室长途电话费超过100元部分由办公室成员承担50%。除非办公室成员不喜欢钱,不然,他肯定会自动调整自己的行为。
    (三)、以企业经营活动事件的常规性、非常规性和混合性为基础的结构
    在一定意义上,企业经营活动是由一系列事件组成,按照性质这些事件可区分为常规性的、非常规性的和混合性的三类。另一种表述是:确定条件下发生的、不确定条件下发生的和混合条件下发生的。
    据此,可发现内控制度设计的另外一些思路:
    1、在严格意义上,人们能够控制的只是常规性事件,所谓内控制度也只是相对常规性事件而言,人们无法为那些非常规性事件设计内控制度。
    2、在设计内控制度时,并非不考虑非常规事件。因为非常规事件发生在内控制度控制的范围之外,属于企业风险,执行者往往利用这些事件的发生采取有利于自己而不利于控制者的行动。对此,至少应采取两种方法予以防范:
    (1)设计非常规性事件的处理原则。应该注意,尽管人们无法预见非常规事件在何时何地以何种方式发生,但凭经验和理性可以知道可能发生的非常规性事件的类型。例如在企业中可能发生产品质量、环保事故、财务危机、生产安全事故等等。因此我们有可能设计非常规事件或危机处理程序,包括处理原则、程序和权责等等。例如企业可以规定当发生严重危害公众事件时,管理当局在12小时之内通过媒体做出反应,以表明诚意;要积极与政府配合;统一对外口径等。
    (2)用非控制方法弥补控制方法的不足,特别要营造健康的企业文化氛围,建立职业道德规范。健康的企业文化使企业大多数成员形成共同的价值观念,是形成企业凝聚力和企业成员归属感的基础,进而使企业成员热爱企业、关心企业,这特别适合以中国为代表的东方文化。而职业道德在这里是指与企业成员的工作相关的规范,是一种稳定的职业心理和职业习惯。因此,企业应该为不同岗位上的成员,制定相应的职业道德规范;要总结和以适当的形式强化健康的企业文化。只有这样,当危机发生时,才会有人主动报告和处理,不至于袖手旁观。
    3 、在企业经营活动中,大多事件既不是常规又不是非常规,而属于混合性的。就此设计内控制度,需要考虑下列几个方面:
    (1)混合性事件转化成非常规事件非常有可能,但往往有征兆。因此,在设计内控制度时应该有相应的预防条款,防危机于未然。
    (2)混合事件的存在表明,与此相关的内控制度本身就有风险,也就是说并非按照内控制度去做就会完全避免错误。不能迷信内控制度,它是有局限性的。因此在执行内控制度过程中,对内控制度本身的评估是不可忽视的。
    (3)混合性事件完全或在一定程度上转化为常规事件是可能的。例如未来外汇汇率是混合性的,人们可以通过套期保值使之转化为常规性事件。当然,这需要经验、知识和技巧。
    二、对单项内控制度的设计思路
    所谓单项内控制度就是指上文所说的一个内控制度项目。这里将从三个方面给予讨论:按部门进行设计、按项目进行设计、按流程进行设计。
    (一)、按部门设计部门是构成组织的单元。按部门设计内控制度应该注意下列几个问题:
    1、将部门既看成组织中相对独立部分,又看成与组织中其他部门相互连接的环节,各个部门甚至形成一个投入产出的网络。进行部门内控制度设计时,首先要营造良好的控制环境。控制环境因素包括部门内每一个人的诚信、道德价值和能力;管理层的管理理念和经营风格;管理层授权方式和发展其员工的方法,部门的组织结构和岗位设置等。而要形成良好的控制环境,就需要从部门的组织结构和岗位设置,明确责任的分派和权力的授予出发,注重提高本部门员工的诚信和工作能力,奠定良好的控制基础。同时,还应发现该部门与其他部门的联系。
    2、分析部门在企业中可以涉及到的项目,分析部门处于项目工作流程的哪一个环节,或属于流程中的哪一个作业链条之中,存在何种风险,部门需要参与哪些工作任务,在执行任务的过程中可能会遇到的风险种类及大小,初步评估部门面临的风险,并进而确定关键控制点。
    3、根据控制点确定所要进行的控制活动,进行责任和权力的具体分派,制定业绩考核标准。一个部门是由若干流程组成;一个流程由若干作业组成;一项作业由若干项任务组成;一项任务都是由一个或几个人来完成;而为了完成任务,每个人都必须被指定明确的责任。在部门设计中,可以按ABM的方式来进行设计,即按价值链或作业链来进行设计。第一步,明确各部门涉及到的作业(如部门的作业可分为三种:接受顾客需求作业;满足顾客需求作业以及辅助作业),明确部门的作业链和价值链以及作业结构;第二步,确定部门的主要工作流程以及各流程的投入与产出;第三步,确定流程中的各项作业以及相应任务;第四步,从按作业收集耗费的资源成本数据出发,确定作业的产出指标;第五步,制定作业的业绩指标,即将部门的业绩指标分解到各项作业,并根据部门的实际业绩作出评价。
    按作业链进行部门的内控设计,使部门明确在整个内控制度中自身涉及到的内控项目有哪些,处于流程中的何种地位,部门即能保持一定的独立性,又能实现很好的衔接,集合各部门为整体,实现全企业的作业成本管理,可以将企业有限的经济资源合理地在部门之间进行分配,资源会实现合理配置。
    4、设计部门内控制度时建立部门内部以及部门间的信息与沟通,部门内上下级、同级、部门间能迅速取得他们在执行任务、管理和控制企业运营过程中所需的信息,并互相交换这些信息。
    5、部门的内控制度应具有监督职能,包括例行的管理和监督活动,为确保内控制度的执行,还应具有协调小组,即纵向协调或横向协调小组。
    6 、设计部门的内控制度也应区分常规性事件、非常规性事件和混合性事件。常规性事件的控制可按上述方法进行,而非常规性事件和混合性事件的控制可按本文第三部分总体设计中的有关思路进行。
    内控制度设计后,应在部门内部进行测试,测试的基本方法是:以部门为基础,对部门的职能及岗位设置在内控制度中的实际执行功能进行测试。部门测试的结构可分为以下几个部分:部门的组织结构及岗位设置、部门应具备的功能、部门管理的权限及范围、人员的职责划分,部门的主要业务、部门与其他部门的衔接(主要是业务上的衔接)。针对部门的测试主要看部门是否能够完成规定的职能,部门之间的职能是否存在重叠,部门之间职责的分配是否合理,是否符合内部控制的一些基本原则,是否存在有的环节大家都管,而有的环节又无人问津的情况,及管理上是否节约而有效。根据测试结果决定是否修订或增补该项内控制度。按部门设计最实质的内容是流程设计。
    (二)、按项目设计一个项目,有其自身的业务流程,跨越不同的组织部门。按项目设计应遵循以下步骤:
    1、分析每个项目的组织维度和流程维度。即分析在执行该项目时都会涉及到哪些部门,部门的层级、部门之间的相互关系怎样,组织结构如何,以及该项目会牵扯到哪些业务流程。同时分析在执行项目时可能面临的相关风险,然后按项目的业务流程来进行具体设计,根据执行项目的环节和流程,确定控制点,从组织和流程两方面来制定相应的内控制度:即项目的审批、授权、核实查证、责权分离、确保资产安全以及检查等,还应建立完善的信息和沟通以及监督机制。
    2、制定项目内控制度的执行测试方法并形成测试报告。在项目设计中,设计一套内控制度的制定、内控制度的执行、内控制度的测试、内控制度的测试报告程序,来考证项目的组织结构方面,包括层级、单位和责任是否合理,以及项目的业务流程方面是否能进行实际操作,测试需结合COSO报告关于内控的五个要素进行,即查看项目的控制环境、风险评估、控制活动、信息与沟通和监控。
    3、设计项目内控制度的修订和增补程序。形成测试报告后,就可以根据报告结果决定是否对该内控制度进行修订。经由内控制度的制定、执行、测试、报告、修订等一系列循环周转的过程进行项目内控设计,可以使制定的内控制度符合企业实际,具有操作的可能性。同样,按项目设计的最实质的内容是流程设计。
    (三)、按流程设计按流程设计,是对企业某项业务流程的控制制度进行设计,如对销售流程、采购流程进行内控制度的设计。一个业务流程中包括若干作业,而每项作业又由若干任务组成。按流程设计的思路是:
    1、明确业务流程的工作环节的前后衔接,确定流程的投入与产出。
    2、明确业务流程中涉及的作业,作业间的相互关系,建立一条作业链,并制定每一作业相应的作业标准,根据每一项作业的投入与产出,制定相应的考核指标,即将总投入与产出指标进行细化,落实到每一项作业中。
    3、明确每一项作业的任务组合。对每一项任务规定出相应的标准,即制定完成任务的指标,包括量化指标和非量化指标。
    4、将每一项任务落实到执行任务的每一个组织成员。即用上述量化和非量化指标作为考核组织成员的业绩指标,同时,任务需要落实到组织、单位直到个人,涉及到授权与责任,所以,流程设计与组织设计达到了有效的结合。在一项业务流程的执行过程中,又可能涉及到不同的内控项目,也即组织、项目、流程的三维组合。需要注意的是,上述流程设计必须建立在企业的业务流程比较合理的基础之上,而为了达到这一点,就应对企业的业务流程进行优化分析,进行业务流程再造。(刘卫华)
    
【关闭】    【打印】