庞媛
摘要:随着内控制度的建立和不断完善,越来越多的公司不再满足于初始的内控框架体系及指引,而是更加致力于内控制度的健全,建立并完善内控管理体系,确保公司的整体运营下内控的有效性和可持续性。完整的内控管理系统有一个很重要的作用,就是避免内控薄弱点的扩散。文章通过分析内控管理中难以实现有效操作的根本原因,结合实际工作经验,论述如何有效地管理和解决内控薄弱点。
关键词:内控薄弱点;缺陷;关闭;内控完整性体系
随着治理结构和内控制度的建立和健全,越来越多的公司继续致力于建立一个内控完整性管理体系,以确保在公司的日常运营中保持内控的完整性,避免内控薄弱点扩散,能持久到达并维持一个具有成本效益的内控环境,同时也应对内外部披露和监管的要求,提升风险管理水平。而有效地管理和解决内控薄弱点及违规情况,并向管理层报告,从而及时充分地解决问题,是内控完整性体系中一个关键的要素。
有效的管理是解决内控薄弱点的关键,真正体现了企业的内控管理水平。对内控薄弱点的界定各有不同,一般包括对内外部审计、自我评估、体系评价以及相关违规违纪中发现的缺陷、教训或事件,对薄弱点的管理,包括报告、分析、措施跟踪及经验教训分享等。
一、解决内控薄弱点时存在的普遍问题及根本原因
(一)当在内外部审计、评估或评价中发现了内控薄弱点,没有完整的程序来跟进和解决、记录和分享,成为完整性链条上的缺失。或制定了关闭措施,但关闭措施是分散在不同的业务流程中的,而不同的业务流程没有在相同的平台进行整合与优化,导致措施难以有效执行或没有特定或配套的工作指引、模板。
(二)内控理念没有深入人心,甚至领导对内控的认识不足,部分管理层对生产、安全、采购、销售重视,但是内控措施的制定和落实缺乏敏感度,导致整个部门的内控措施没有很好的落实,而仅仅是为了完成任务或者应付审计、评估,同时,也极大影响到内控理念在员工层面的推广。应自上而下地加强对内控职责的认识和执行,提升内控培训的系统性和覆盖面。
(三)组织架构的设置的影响:不少内控部门设在财务、内审部门,而财务或审计部门对其他部门的内控工作却无权进行考核,以至于其他部门认为内控是财务或者审计的职责范围。通常,内控措施执行的好的公司,其组织架构合理,考核有效。另外,个部门内控代表常常都是兼职,没有激励,而内控经理无权跨部门对其进行绩效考核。
(四)考核、指标、内控评价缺失或不完整:指标不够量化,没有作为部门、公司的KPI考核指标定期跟进;对薄弱点的关闭工作没有实质性考核或者是考核难以执行到位;很多公司也没有对自身体系的有效性评估。
(五)缺乏有效的内控信息系统平台,依赖个人经验、责任心和影响力:很多公司还没有缺陷管理流程软件,是通过登记、更新台账进行追踪和跟进。由于内控文档覆盖范围大,涵盖了企业几乎所有的业务流程,文档的更新与维护复杂,信息多而杂乱,并且容易丢失,同时受内控人员素质、责任心影响大。有时,在面对审计或评估的时候,相关人员仍然有敌对的心理,不愿意承认自己的失误或者错误,对内控的薄弱点极力辩解,没有以积极的心态去采取补救和预防措施。
(六)部分薄弱点的解决只是为关闭而关闭,没有根本地修复薄弱点,造成重复性审计问题出现或者类似、同类的缺陷出现,不能够举一反三,推动完整性体系的不断完整、可持续改进。缺乏有效关闭的验证程序,也没有实施对完整性体系的评估,以至于内控环境不能达到最佳运作效果。
二、管理和解决内控薄弱点的策略与方法
(一)是否有完整的、可操作的程序来跟进和解决、记录和分享,成为完整性链条上重要的一环,反映企業的内控管理水平。
1.应对内控薄弱点进行分类,分别制定程序进行跟进和解决,使解决过程中运用的工具与模板具有透明度和可操作性。可以按薄弱点的性质或严重性来划分:
各类审计/评估发现的缺陷:程序关键是对内控缺陷进行管理,如果没有内控信息系统(软件系统),则需要建立“监控缺陷台账”进行管理。台账的内容应至少包括:问题描述、主导部门、关闭责任人、根本原因、计划关闭措施、计划关闭时间等关键信息。对于跨部门或重大缺陷,还可以指定一名更高一级的领导作为引导人。程序应明确关闭责任人等职责、确立缺陷关闭应符合的原则等,如:怎么才算是有效关闭、逾期关闭的认定、关闭确认单的审批等。
违规违纪的(事件):对于涉及违规违纪的内控事件,需要相应部门进行事件调查,按照违规违纪的程序进行处理并按规定通报处理意见。
内控教训/不足:一般指还没有暴露出来的内控不足,但是为了避免它的消极影响,也避免类似问题的发生,应鼓励所有员工按照既定的程序/渠道报告内控教训的情况,内控部门对其进行筛选和认定,并酌情进行分享,避免再次发生时为公司带来损失。
特别要注意程序制定的可操作性,没有具体的操作办法,或者对一些工具、模板没有配套的操作指引,只是将内控检验点罗列起来,那这个程序就是失败的。要让实际工作能够按照这个程序执行,而不是用来装饰墙面,要让操作人员没有理解上的偏差,不同的人在跟进同样的薄弱点时,都能得到同样的结果。
2.确立缺陷跟进的沟通汇报机制。内控会议分部门、跨部门、内控最高机构(如内控委员会),按照内控归属的责任部门,定期在相关的会议上汇报跟进情况,推动缺陷关闭,在跨部门、重大、逾期等缺陷跟进上寻求相关方支持,并按照缺陷分享标准在相应的范围内进行分享。
沟通汇报机制的建立依赖于公司各个层面的沟通和支持,并需要将沟通汇报的形式和结果形成文件记录并执行。在此之中,管理层需要积极地参与,为缺陷的跟进和关闭提供必要、合适的资源和行动,通过日常的沟通,审阅和推动关闭进展,并为此承担个人责任,这就是管理层的领导力和责任。工作层要根据制定的计划和目标有序地推进缺陷的关闭,并及时在工作层和向管理层沟通与反馈。在各个层面的沟通与汇报中,各部门分别指定内控协调员(或者叫内控代表)是一个有效的形式。内控协调员负责组织部门、跨部门的沟通汇报会议,汇总跟进本部门的缺陷关闭进展,为部门缺陷关闭提供建议与支持。同时,内控协调员需保存适当、及时的文件记录,以供汇报、分享、和协助分析、回顾、审计及评价的需要。
3.需要关注如何在发现内控缺陷的基础上对流程进行改进,因为内控管理是依赖于业务流程的,不能仅限于流程中检验点的设定,要对流程进行统一的规划与管理,来满足流程优化的需要。
大部分的企业采用的内控模式都是以业务流程管理为基础,以关键检验点为载体的流程业主负责制的在线内控模式。随着业务的开展、变更和新增而暴露出的内控缺陷,为业务流程的改进和优化提供了输入与支持。但是,各个业务流程不是单独而存在的,在同一个公司内,业务流程有交叉或互相指引,这就要求流程的改进者和优化者,必须完全理解与工作相关的程序的目标和运作要求,甚至是对于跨部门、跨流程的理解和融会贯通。不能仅仅局限在本流程的需要和便利,而需要有“全流程”的管理意识,从本流程区域的管理到整体流程相关的改进和优化,才能实现企业整体效率最大化。
4.当然,如果能通过软件系统搭建内控信息系统平台,对内控管理进行全面支持,对缺陷管理能够更准确地分析、追踪和落实,将原先需要手工处理和内控人员跟进的大量、碎片的信息、记录、整改、报告、披露、归档等借助于信息平台的使用进行管理、反馈和考核,才能真正提升企业的内控管理水平,把缺陷的管理由部门被动遵从内控人员的推动转变为主动管理。不少跨国公司已经很好实践了内控信息系统,创立了个性化的缺陷管理流程,提升了内控管理核心竞争力。
(二)更多的企业开始重视关闭缺陷的验证与监督,以确保有效关闭。如何强化验证可以有多种措施,多个环节。例如关闭的当下可以指定一名验证人进行现场查验和确认,后续在自我评估时抽样,验证关闭措施和行动是否适当、有效;或者在体系评估时,评估人员对内控缺陷管理的有效性进行验证并做出评价。在体系评估中发现的问题,分为要素和部门两个部分进行跟进:对于要素存在不合理、不完善的内容,由要素管理员负责整改并关闭;部门存在要素执行问题,责任部门需按照要素要求采取措施并关闭。也可以有内审部门针对已关闭的缺陷进行专项验证等等。
加强对已关闭缺陷的验证旨在确保各部门在缺陷的发现和关闭中吸取经验和教训,避免同类或类似缺陷的重复出现。重复性审计缺陷的出现,表明缺陷关闭是失败的,内控的有效性仍未落实到业务流程范围内。那么,相关的人员,不管是员工还是管理层,在自身的职责范围内对监控有效性是要承担全部责任的。
(三)定期向管理层汇报:分别在部门和公司层面设定关键绩效指标,定期(月度/季度/年度)向各自的管理层汇报薄弱点的进展状态以及内控计划/工作的进展情况。这样所有的员工和管理层都在其职责范围内对内控的有效期负全责,才能保证公司维持一个具有成本效益、与风险匹配的内控环境。
(四)制定关键绩效指标(KPI),这是管理层用来评价内控措施持续有效的工具和方法。主要的关键绩效指标包括:未关闭的内控缺陷数量、逾期未关闭的内控缺陷数量、重复的审计问题、相关内控事件/内控教训的数量等。流程业主需要定期回顾和审阅,以确保其持续有效。
三、结语
内控工作不是一项依葫芦画瓢的简单重复,需要在不断的工作中积累丰富的经验,才能敏锐地捕捉到高风险点和内控工作的漏洞。不仅仅关注薄弱点本身,更要建立处理类似问题的流程、预防潛在风险的机制,确立并发挥管理层的领导力,为实施内控工作提供良好的内控环境、制度、工具、遵循的程序、手册、模板等,形成一套良性循环的内控完整性体系。而内控薄弱点的管理和解决,又为完整性体系的其他要素提供信息和改进。只有在一个良好的内控环境下,内控工作才能有效地进行,从而支持企业的可持续发展。
参考文献:
[1]杜敏.事业单位财务内控管理的薄弱环节及改进[J].财会学习,2019(01):173+175.
[2]陈辉.会计信息质量对内控评价的反作用实证研究[J].中国注册会计师,2019(09):55-59.
[3]李峻.从审计的角度看内控的重要性[J].财务与会计,2019(01):80-81.
[4]胡玄能.企业内部控制规范解读[M].新华出版社,2010.