在内控咨询服务过程中,发现很多企业对“内控五要素”概念不知所云,未搞清楚“内控五要素”和内部控制体系是什么关系,如何在内控体系建设过程中清晰的体现“内控五要素”内容。看到很多企业内控体系文件中,把“内控五要素”作为一个管理章节写入制度或手册中,但是企业自身越来越发现“内控五要素”很空,浮在空中,无法有效落地执行,就认为“内控五要素”作用不明显。

出现这种情况归根到底是企业没有搞清楚“内控五要素”的实质、以及如何有效运用,接下来结合多年来咨询实践谈谈对“内控五要素”的理解。

企业内部控制体系建设及完善需要涵盖遵循“内控五要素”理念原则,“内控五要素”贯穿于企业日常经营管理活动流程始终,任何一项内控活动、制度及流程无不体现着“内控五要素”的原则。“内控五要素”彼此构成一个整体,相互关联、相互影响,缺一不可。缺少其中一个要素,内控整体有效性便会受到影响。

“内控五要素”包括内部环境、风险评估、控制活动、信息与沟通和内部监督。其中,内部环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,内部监督是保障

内控的本质(对内控五要素的理解认知)(1)

一、内部环境

内部环境是企业高层管理者对内部控制的态度、理念、观点和管理哲学。企业的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等共同构成了企业内部环境,是影响企业整体内部控制体系的基础性制度,是内控制度及流程设计的基本土壤。如国有企业里面绩效考核活动,会发现考核分数都在90分左右,而不会写到相对较低的70分,这是因为国企的文化倾向于“不患寡患不均”。

1、内部环境影响因素

企业高层对内部控制的认知基本决定着企业内部环境的基调。风险内控态度上是风险偏好者、风险保守者抑或是追求风险平衡,经营风格上是激进、稳重、还是谨慎细微,管理风格上是抓大放小授权型还是事无巨细的指令式,是追求管理上的灵活性还是强调管理规则的刚性等。

企业内部控制体系是“一把手”系统性工程,来自高层的重视很重要。若管理层对内部控制的认知是狭隘的、不到位的、缺乏重视的,必然会影响到企业内部控制体系建设及推进的有效性。另外,内部控制体系建设及实施过程中需要融入企业管理层经营哲学和管理风格,比如管理风格是抓大放小授权型,就要重点关注机构设置、权责分配、授权体系等,探讨哪些事项可以授权、授权的条件和规则是什么、授权后如何对其进行有效监督等。

企业发展阶段对内部环境也有较大的客观性影响,企业发展阶段可分为创业期、发展期、成熟期及衰退期。

初创期企业具有规模小、尚未定型等特征,管理层自身缺乏经验积累,难以制定出明确的长期目标及标准,管理层偏好鼓励采取灵活自主的开拓行为,管理行为相对比较灵活简单,各项规章制度及规则都没有成型,企业的整体内控意识与环境氛围不是很强。

成长期企业具备方向基本确定、较快发展、标准逐渐建立等,企业在步入加速发展期后,企业规模急速扩张,员工数量不断增加,管理层管理经验积累相对比较丰富,会采取以指导型为主的管理风格,给予员工长期的工作目标及相应标准,使之能快速适应企业发展需要。此时,企业尤其是管理层的内部控制意识会得到加强,要求建立满足企业发展转型需要的内部控制,各种内控规章制度、规则不断相继出台,企业对于风险控制及规则的遵守也越来越好。

稳定期企业具备规模稳定、方向稳定、发展稳定等。组织进入了一个相对稳定的时期,不稳定的因素减少了,由多年经验积累而成的业务内控规则与业务标准已经完善成相应的体系,同时企业规模经过不断成长,员工数量大大超出了企业管理者们能够控制的范围。此时,企业管理者会采取以权威型为主的管理风格,依据企业的发展方向,在企业中建立自上而下的管理标准体系,各领域各条线的管理、工作标准均有相应的规定,企业的风险及内部控制意识达到很高的程度,但也因为企业规模较大,组织结构较为复杂,内部控制容易偏向官僚主义,运行效率受到影响。

衰退期企业具备规模萎缩、业务衰退等特征,组织成长环境开始恶化,业务进入萎缩衰退状况,企业急需经营或管理变革。同时,企业员工由于已经意识到危机的到来,企业组织的凝聚力会变差。企业管理者偏向采取以民主型为主的管理风格,让员工参与企业的决策,激发员工的主人翁意识,鼓励对以往陈旧规则进行改革破立。此时,企业需要一种能够支持管理变革与创新的内控机制与环境氛围,在制度与创新寻找平衡。

2、内部环境面临的最大风险

内部环境包括管理层哲学与经营理念、治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等领域,其中尤以管理层管理哲学及经营理念风格最为重要。著名管理大师彼得.德鲁克说到:“如果一个企业只能在企业家的思维空间之内成长,那么这个企业的成长必被其经营者所能达到的思维空间所限制”。当我们提到苹果手机时,我们第一时间想到乔布斯,提起阿里巴巴想到马云,提起华为想到任正非,提到格力想到董明珠。说明这些企业家作为企业发展的领舵者,对企业的发展确实起到无可比拟的贡献。当他们离开企业的那一天到来时,这些企业的后续发展将如何呢?答案是这些企业家是否将其毕生的管理智慧结晶是否有效沉淀在企业的基因文化里。企业高层管理者掌握着企业最多的资源、具有鲜明特色的管理经验,这些如果不能够在企业内部有效沉淀积累下来,可能会影响到企业未来的可持续稳定发展。我们国家有很多家族企业,老子在位,企业发展稳定,但当老子退去之后,下一代并不能够很好地继承发展下去。

二、风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,以合理确定风险应对策略,进而制定合理的内部控制活动及其措施。风险评估是控制活动及其措施的依据,不经过风险评估就制定控制措施,比较容易犯教条主义、控制过度主义或官僚主义。风险评估包括风险识别、风险分析及风险评价风险识别是分析业务活动及流程环节是否存在风险及有哪些风险,任何一个业务活动开展都会面临潜在的风险,风险是伴随业务发生而客观存在的。风险分析是指分析导致风险发生的原因有哪些,以及风险触发的条件,风险不会突然产生,是在达到一定的条件或状态才会发生。风险评价是指企业结合管理经验、历史数据及其他相关常识或认知,运用合理的方法预测风险发生的可能性和风险发生带来的影响。

1、风险评估思路

控制目标是企业管理者在一定期间内根据经营战略,结合内外部环境分析,自行设定的经营或管理各项目标。从战略管理角度来看,企业依据企业发展战略愿景,制定企业战略与经营管理目标,从时间维度上分解到年度、季度及月度,从空间维度上分解至各区域、各层级、各职能机构等,从业务维度上(以制造企业为例)分解至销售、生产、库存、采购等领域。上述目标从类型上均可分解至合规类、财务报告类、运营类、廉洁类、资产安全类等,任何一项控制活动目标都有可能是以上几种目标的有机组合。

企业设置各项目标时是基于历史经验或数据分析所作出的对未来一定期间内的一种预测和假设判断,未来的预测和假设具有不确定性。也就是说,企业所设既定目标实现过程中会面临不可预知的内外部因素影响,这些影响因素会改变原本企业所作出的预测和假设的条件,预测和假设条件变化了,企业就必然需要对这些变化因素进行评估,评估其影响程度,并决定是否需要调整经营和管理行为,否则风险及损失可能发生。因此,企业需要系统持续地收集内外部影响目标预测和假设条件的相关信息,对内外部信息进行整理分析,为评价其对已设控制目标的影响提供依据。

风险评价是基于分析收集的风险信息后,评价其对已设目标的影响程度,并以此调整改变其现有控制活动及措施,以将风险控制在企业承受范围之内。风险评价是风险评估过程中比较难操作的一个环节,因为风险发生可能性到底多高,以及风险发生的影响程度是多大,有时候难以量化。企业实务中开展风险评估,以定性判断居多,运用量化方法的需要企业大量拥有一定量的历史数据,通过对历史数据的统计分析,结合现状,进而做出未来的预测和判断,具有信息化和数字化基因的企业,如互联网平台、电信、金融行业等,实施风险评估量化相对就要可行的多。

2、风险评估影响因素

企业要做好风险评估,需要考虑几个方面因素:

随着现代企业经营数字化转型步伐的不断加快,企业信息化水平会得到不断提升,风险评估在定性分析基础上,运用数学和统计模型进行定量分析已具备较为可行的条件和基础,能够量化更加便于风险的后续有效管控

企业应当充分吸收企业内外部专业人员,组成风险分析团队,按照严格规范的程序开展工作,以确保风险分析结果的准确性。对业务领域比较熟悉,会知道业务有哪些潜在风险,哪些风险容易出现,在什么条件下较为容易发生,综合运用各个专业人员的知识开展风险分析,风险评估效果会比较好,更容易被认可。

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好与风险承受度,风险偏好和风险承受度会影响到最终风险水平大小的评级和排序,风险偏好者和风险保守者对于同一个风险水平评价的结果不一样,风险评估过程中要考虑这些因素,但是要避免因个人风险偏好极端给企业经营可能带来重大损失。

企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险的应对策略。当今经济环境复杂、瞬息万变、不确定性成为一种常态,风险评估不是一次性的,应结合企业业务实际场景需要进行动态的风险评估比如互联网企业针对用户流失风险评估,会保持一个非常高的评估频率。

三、控制活动

控制活动是企业结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度范围之内。控制活动的控制对象是企业已识别的各项风险,在实务中将控制活动及措施以流程、制度的形式进行规范,通过业务流转表单、表格文档和信息系统的形式实现控制活动及措施的运行,形成企业信息记录及流程数据沉淀,借助分析工具评价控制措施有效性,进而不断优化调整企业控制活动及措施。

控制活动及其控制措施的有效设计需要考虑以下几个因素:

风险评估结果告诉我们企业有什么风险,风险成因是哪些,围绕这些风险应该采取什么类型的控制活动较为合适。控制活动类型有很多种,常见包括:不相容职务未分离、授权审批、会计记录、财产保护、预算控制、绩效考核、运营分析控制等,我们需要结合企业具体经营活动选择其中一种或几种组合。比如财务印鉴被滥用的风险,就需要选择不相容职务分离控制和授权审批控制活动类型,不相容职务分离是确保财务专用章和法人章分开保管,授权审批是确保用印应经过授权批准才可执行。

既定控制活动下的控制措施如何具体设计要考虑企业的风险偏好及风险承受度,同样的风险,不同的企业、同一企业内部不同的部门所采取的控制措施是存在差异的,但都将风险控制在企业可承受度范围之内为基本准则,风险控制成本与效益要保持平衡。

任何企业经营或运营管理活动行为,都会遵循事前计划与决策、事中执行与监控、事后评价与总结的循环,管理学上称为PDCA循环,或者管理闭环。在事前要有预防性控制设计,事中及事后要有发现性控制设计,如应收账款催收业务,事前要开展客户信用评价,根据信用评价对客户进行授信申请和批准,事中要对客户发货量进行控制,并对应收账款账期核对进行确认,事后要与客户定期对账,并采取催收措施。

流程是内部控制措施设计及执行的纽带,控制措施及方法要无缝衔接嵌入到企业日常经营业务流程中,在流程各个环节讨论风险及控制措施的可行性。所以实施内部控制管理体系,先要从企业业务流程梳理开始着手,细化流程,讨论流程目标设定、潜在风险及其控制措施。

充分利用信息技术手段可以有助于内部控制的有效落地,手工和自动控制相结合,自动控制具有一惯性,不会出错,效率也高,是一种成本效益显著的方法。目前企业各种流程软件、内部控制及风险管理相关的信息化技术产品经过实践已经比较成熟。随着信息化技术的逐渐成熟应用,企业的数字化水平也越来越高,基于信息化和数字化基础的风险预警智能管理工具也将成为现实。

四、信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息, 确保信息在企业内部、企业与外部之间进行有效沟通,以促进内部控制的有效运行。信息与沟通本身比不构成控制措施,但控制措施的有效运行离不开信息沟通,没有充分的信息沟通,企业经营活动的决策、执行、监督、报告及改进等都将无法有效落实,它是风险评估、控制活动、内部监督有效实施的基础,一切都需要通过信息沟通来反馈和评估。

从信息来源来看,涉及企业内部信息和外部信息。内部信息是指企业财务会计资料、经营管理资料、调研报告、经营管理信息、内部刊物等。外部信息是行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门所获取的信息。

从信息使用者来看,企业内部各管理级次、责任单位间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进沟通和反馈。

从信息传递方式来看,包括手工表单方式、会议方式、邮件方式、口头交流方式、即时通讯办公工具方式(微信、钉钉等)、信息系统方式。

1、信息与沟通问题分类

信息与沟通问题最常见就是信息不对称!“我知道,你不知道”、“我知道的比你多”、“你我对同一信息理解不一样”、“你所表达的与原有信息存在偏差”等都属于信息不对称的表现。信息不对称会导致“道德风险”和“逆向选择”,对企业经营运行产生较大的影响,如企业舞弊行为、决策质量低下或失误、运营效率低下、财产损失、监督不到位、管理评价或绩效考核无法有效开展等。

企业内信息传递壁垒现象十分常见,表现为:组织间信息缺乏互通反馈,如库存管理部门与采购部门间缺乏对库存信息的沟通反馈,导致物资多采购;组织间信息传递反馈不及时,如销售部门订单出现变更时,未与生产计划管理部门及时沟通,导致制造部门继续生产出市场不需要的产品;经营决策相关信息收集不充分,如企业要收购兼并一个项目,对于拟收购项目的基本信息、经营状况等尽调不充分,导致决策失误等.....

2、信息沟通影响因素

从组织内部横向来看,在职能组织模式下,强调职能专业分工,各部门本位主义意识较重,信息在同一个部门内部沟通与传递一般较为顺畅,但信息在不同部门与部门间传递沟通就容易出现不畅,部门墙壁垒现象严重,信息沟通存在困难,办理完成一个涉及跨部门的业务经常需要组织管理领导努力协调,效率较低。

内控的本质(对内控五要素的理解认知)(2)

从组织竖向来看,大型企业或集团型企业内部组织层级较多,信息从最基层一级一级上传至高层,信息经手较多,且时间较长,信息容易被截留或传递过程中存在遗漏,造成信息传递质量较差,上层无法获悉下层真实的声音,类似“倒型漏斗”。

内控的本质(对内控五要素的理解认知)(3)

企业日常经营业务活动中未规范信息在不同部门、岗位及内外部传递的方式、传递内容要求等,如口头方式传递,事后无法认账,造成责任追究扯皮;表单方式传递,表单要素设计不全,表单信息不充分,必要信息遗漏;信息系统方式传递,系统中哪些信息可供组织部门共享使用、系统与系统间数据如何传递并保持口径一致等。种种不规范的信息传递导致信息质量较差,无法得到有效利用,信息资源被浪费。

企业虽已经建立有规范的信息传递沟通机制,信息也能够在组织不同部门及岗位得到及时完整传递,但是由于信息传递方和信息接收方在专业知识背景上存在差异,造成对同一个信息理解存在偏差,结果是一方可以利用另一方专业上的无知或劣势实施一些不利于专业劣势一方利益的行为。

信息与沟通在内部控制体系中的重要性不言而喻,企业需要在企业内部打造重视、鼓励组织内部信息沟通的企业文化氛围,努力消除各种信息沟通壁垒。

五、内部监督

内部监督是内部控制五要素中最后一个要素,对内部控制有效运行起保障作用。设计再完美的内部控制若没有内部监督配套机制,久而久之,体系要么不被执行而束之高阁,要么执行不到位而偏偏走样,内部控制制度及流程需要组织人员去执行,是人就会有惰性,有惰性就需要监督或督促,没有监督天使也会变成魔鬼。

1、内部监督类型

从体系整体管理来看,内部控制体系需不断经过建立、运行、评价到完善的循环过程。评价就是一种内部监督机制,通过评价促进内部控制体系的不断完善,确保内部控制体系得到有效执行,内部监督充当体系中最后一道风险防线和关卡。从业务活动流程来看,会经历业务活动的发起、审核、审批、执行操作、记录、报告及后评估过程,流程环节当中的后评估也是一种监督,后评估可能是业务或职能部门自行开展,属于自我监督方式,也可能是相对独立部门来执行。实务中很多企业要求内部监督机制要嵌入日常业务活动流程中,要求内部监督机制要被前置,要做到风险事前防范、事中监控,而不只是亡羊补牢式事后监督。

企业内部监督分为日常监督和专项监督,日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查,包括管理层日常监督、内部控制机构监督、内部审计监督。董事会对管理层的经营情况的监督、管理层组织召开的业务及职能部门日常经营监督分析会议、安全管理部门对生产现场执行的日常安全巡检监督,国有企业招标采购活动现场,安排纪检或审计部门进行现场监督等,都属于企业日常监督类型。专项监督是指在企业发展战略、组织结构、经营活动、关键业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查,重点关注内部控制设计是否仍然有效

2、内部监督的影响因素

企业内部监督机构配置及职能如何安排与企业管理者对该项职能的重视程度有很大关系,虽然很多企业尤其是上市企业、国有企业都会因监管政策规定必须要设立内部审计机构,但其监督工作开展很多都流于形式,不能充分发挥其本身的价值,要发挥内部监督机构的职能效用还是取决于企业管理者对内部监督重视和经营管理理念。企业管理者日常忙于各种重大经营事项的决策,对企业日常经营过程管理难以有效兼顾,尤其是在经营管理授权情况下,企业管理层就更想掌握下属单位或部门日常经营管理状况,有没有出现什么经营风险、存在什么风险隐患等。此时,内部监督机构作为企业管理者“第三只眼睛”,便可以在管理者的需求下,通过开展对下属单位或部门的监督评价,发现其存在的经营管理问题,并提出管理改善性建议,并向管理者报告。

企业处于初创期时,经营发展规模相对不大,可以说,企业日常经营管理过程都在企业管理者所掌控之中,事必躬亲,任何一项制度建立、制度执行情况都比较清楚,一眼就能看到底。此时,企业管理者自身就能充当内部监督职能的角色,额外的内部监督职能可能并不会被设置,也没有那个迫切性。但当企业经营规模达到一定程度,企业内部组织层级增多、组织机构日趋复杂、人员规模越来越大、以及业务范围越来越广时,企业管理者已不能够对内部日常经营活动进行全面知晓和管控时,企业内部监督职能组织的设立及运行就显得较为需要和迫切,企业管理者就需要内部监督机构及职能的发挥来保障企业的可持续经营发展目标。

内部监督机构及职能不直接作用于企业日常业务经营,并不能直接创造业务价值,加上内部监督资源也有限,那么如何有效发挥内部监督职能的价值呢。除了内部监督组织人员的能力保障外,内部监督职能需要聚焦于企业的经营业务,以经营业务风险为导向,要关注企业业务中哪些业务逻辑相对较复杂、相对具有较高风险属性、具有较高战略重要性地位的业务活动,如采购、工程活动业务,是企业舞弊较为高发的活动领域,成为内部审计活动常见审计关注领域也就不足为奇,只有这样才能充分发挥内部监督在价值保护、防范风险、促进内控目标有效实现过程中的作用。

如有观点不准确,欢迎指正批评和交流!

,