党建
01.内控评价与内控审计有什么区别 02.内控评价前提原则及认识模糊 03.内控评价的内容结构、方法及实例 04.认定不同程度内控缺陷的参考要素
一是出具评价报告的目的用途、应用场景可能存在不同,企业会采用比较贴近的工作名称。比如:以发现问题、解决问题,进行管理改善为目的,评价小组更多由管理或业务人员组成,一般称为内控评价;基于上市公告或问题稽核为目的,评价小组倾向于由专门的会计或审计人员组成,一般称为内控审计。
二是由于评价主体知识结构,对管理逻辑理解能力的差异,决定了内控评价产出内容的不同。比如:侧重于内控管理的评价,评价人员会基于流程、控制的理解,对内控、审核设计、审批授权等进行评测,有利于从管理上进行改进;侧重于内控审计的评价,由于受对管理本质的理解、审计原则的限制,更多侧重于结果的符合性评价,好处在于“客观、公正”。
譬如:上市公司内控评价,主要目的是反映企业管理水平,以及对财报真实性的支撑。由于上市公司承担着进行内控评价、公告评价结果的“外规义务”,一般会聘请公共会计事务机构进行评价,这类机构往往会选择“财务内控”为重点进行评价,评价依据是会计法、审计法、企业制度等,进行符合性评价。
定期内控评价,一般指的是:由企业内控管理部门或内部审计机构组织实施,从企业层面,在确定的评价期内进行的内控评价;动态内控审计,一般指的是:由审计机构(内或外)结合审计项目,在实施审计前,对与审计内容相关的内控进行的评价,本身也是审计工作一个不能缺失的“先验”步骤;专项内控评价,一般指的是,由企业内控管理部门组织,对指定的特定领域实施的内控评价。
为更好讨论内控评价,笔者结合内控评价的实践体会,归纳出5个内控评价的前提原则,3个认识模糊的方面,供大家思考。
(一)5个内控评价的前提原则
(1)不能用结果说明过程控制的有效,而应用过程有效证明结果。
(二)3个认识模糊的方面
(1)对内控评价“内容结构”的认识模糊。企业内控管理,在满足合规要求的前提下,是一个持续改进的过程,需要理顺“内控机理”:是管理驱动内控?还是内控代表管理?这是一个整体与部分的关系,决定着内控评价的关注点和方法。
我的理解是:内控是企业为维持运作秩序(包括满足合规要求),防范重复发生流程风险,采取的“风险解决方案”。在合规管理(外规)方面,企业的相关内控需要固化设置;在管理方面,内控的设置是以需求为牵引的。所以,管理驱动内控,内控是管理的一项功能,功能面向的是流程风险,与流程目标有关,流程产出才会对企业目标构成影响。
内控评价,不仅仅是对“控制活动”本身的评价,而是通过确定被评价领域,以理解管理本质为前提,围绕确定的单个流程进行评价,通过对流程控制的“设置、规则、角色活动要求、产出”的理解、查验、测试与评价,以证实“功能”是否正常。
(2)对内控评价标准理解的认识模糊。从理论上讲,实施内控评价要建立“评价标准”,这句话本身没有问题,但从实践角度,“企业的内控评价标准”很难设计。即使很多企业完成并发布了包括“定性+定量”评价标准的制度,机构也可以拿出来一份 “公式化定量标准”,看似合理,只要是企业层的,就很难具备现实性,只是为了证明评价 “有参照标准”这个过程而已。
譬如:某企业评价标准中设定:构成资产损失1%以上的风险可能,属于“重要缺陷”,这种定义没有实质意义。原因是:如果真实发生了,那就不仅是缺陷问题,而是“追责问题”,还有管理问题;如果仅仅是“风险延伸可能”,你依据什么,判定这种可能?问题出在“看似可衡量,实质不能衡量”,评价应基于“事实”,而不是“臆测故事”。
(3)具体内控评价方面的认识模糊。其实,这一点不能称为模糊,而是由内控设计、评价人员具体能力形成的行为结果反映。承担过一些企业的评价,也临时帮助过几个评价项目的“救火”,完全沿用“审计”模式进行内控评价,具有一定局限性;用程序执行记录衡量内控,不完全准确。
譬如:验证一份审批单,可以反映程序的记录过程非常齐全,这在企业中是常见现象,但不能反映控制的目的和效能。原因是,依据控制活动的“输入设计”,从内容、结构上,都不能支持控制目标,那控制通过的“依据”又是什么?其实就是“走审批程序”,闭着眼“签字”,自然存在“缺陷”。
再比如:国资委违规追责中规定,对重大投资项目要进行风险评估内控,但从不少企业的投资管理制度、投资审批流程中,并未反映风险管理部门的内控活动。原因是,由于流程控制人员政策认知不系统,部门间沟通不畅,内控设计不能做到“统筹兼顾”。这种基于显性控制的评价,本身就遗漏了“合规性内控是否存在”的评价。
(1)充分性评价,充分性包括两个方面:
一是对内控建设涉及范围的充分性进行评价,即按照企业内控建设的要求、方案与建设方式,对内控建设产出的覆盖程度进行查验,这是企业内控管理、建设“广度”的验证性评价反映(没有流程化控制的中小企业,也可以用制度反映内控,前提是要理解制度管理的内涵逻辑,不能视大小规模企业一样,不加区分地瞎评);
二是制度、流程控制本身的充分性设计,是基于管理逻辑,对风险控制效能可实现性的验证性评价,重点体现在“重要业务流程”、“归口管理部门”、“跨部门关键风险活动的控制”、“例外活动的升级控制”,这些内容不一定是显性的,而是基于对“风险”的感知,本质是“管理性”诊断评价,并非所有人拿个“表格”就能胜任,而是隐藏在评价高手“头脑”中的隐性知识。缺少充分性的评价,评价的意义会大打折扣,也是很多企业总感觉评价报告表现为“鸡肋”、“琐碎”的主要原因。
(2)符合性评价,是基于企业“规则一致性”的评价,包括面向外规赋予合规义务的“控制”设计;制度控制与流程控制的一致性。现实中,制度流程或反映在流程内的控制活动,是否一致,是否存在遗漏(现实中,这种问题并不少见),取决于内控设计阶段的产出质量。
如果内控建设的产出,只是简单复制,就可能存在不能覆盖或反映制度中设定控制的问题,也就会存在“制度执行”的隐患,而且违背制度要求的责任在内控管理机构,原因是“参照流程内控,没有控制要求”,这是内控管理的“关切”、“担心”所在,也是导致内控不能落地,内控手册中需要重点说明的问题。
(3)规范性评价,指对控制活动设计的内容,是否具备可执行条件进行的评价。内控管理是“制度、流程、习惯性默认规则”的延长线,延长线型工作侧重于“全面化、具体化”,核心在于“控制规范化”。不具备“控制”功能发挥的设计,何谈“执行”?依据制度,没有“控制具体化”的翻版式流程,除了让“控制显性化”之外,还会增大“规则不一致”的风险概率,谈不上对管理的贡献,一定程度上,内控执行的效果,由内控设计质量决定。
实例:采购部门为降低采购成本,需要对“产品开发部门选材”实施控制,以降低新产品开发的采购品类。控制,不能简单理解为“选材审查”,而是“采用什么管理方法”可以降低“审查”难度,从而提高流程效率。内控管理不仅仅在于“强化内控”,也在于“内控的优化与简化”。
对选材流程内控评价的内容包括3个方面:一是“优选目录”的建立,在目录内选材,只走程序,无需控制。评价的对象是“优选目录”,立足点在“归口部门”的管理;二是超目录选材,内控评价需要理解控制规则,查验“超目录选材”的控制过程、结果与效果,评价的对象是“控制主体构成、控制原则、内容、时间、结果、过程记录”,立足点在“跨部门环节的活动”;三是对年度新增的采购品类实施采样,验证两个支流程的执行情况,立足点在“测试验证”。所以,无论哪个方面的评价,都需要以理解“管理”本质为前提。
(4)有效性评价。指在一致性的基础上,控制角色是否在履行职责,是否按照控制活动规范、特别是限制性条款履行责任;控制后的产出,是否满足限制性条款的要求。反映在“选材流程内控评价”中的“三”。
(5)合理性评价。指基于流程效率、成本,面向的是流程角色职责、权限分配环节进行的评价。但该领域的评价,一般以“问题建议”形式给出,而不认定为缺陷。
实例:资产处置是长期以来监督的重点环节,随着监督力度的加强,企业对资产处置流程进行了规范。在某企业中,只要是资产报废、处置,都需要企业“一把手”审批。
这个流程看似合理,却出现了3个问题:一是“没有区分待处置资产重要性、资产原值、频率”,采用了“一刀切”模式,责任不清;二是这种流程造成管理成本增加、运作效率低下;三是企业主要负责人受困于各方面的“事务”,影响企业整体发展的规划与管理。本质是流程设置不合理,权限分配与职责不匹配,造成管理控制复杂化。问题在于“归口管理”的整体设计,控制自然包括其中。停留于“表面化”条件上的评价,不会发现或认为存在缺陷。
确定内控评价内容结构,本质是找到“评价”的着力点。在具体评价中,与评价人的个人知识跨度、实践经验、理解能力紧密相关。5个维度的评价,不是“串行”工作,而是在思维、具体理解、审查、验证、测试评价中的并行或交叉。基于5个方面的评价,在很多企业中,会揭示出不少“内控缺陷”信息。
认定内控缺陷程度,面向的是支撑流程目标的“控制”影响度,最关键的要素是“缺陷严重度的评估”及“缺陷根源分析”。本文给出以下4个原则性参考要素,在具体评价中,需要结合具体情况进行分析,从而确定缺陷程度,制定不同验收控制的整改计划,包括:
(1)在合规方面,由于控制无效导致的最不利结果,是否构成外部监督认定为问题的可能,或者是否存在国家部门、上级单位明确要求实施内控,但未反映在规则设计中的控制缺失,或存在法律追究、监管处罚的不确定性;
(2)在管理方面,是否属于制度、合同等具有“法理”属性文件明确的“要求、规定、限制”必须做、不得、不能出现,但未做、或违背“限制”条款出现了的问题;既定事实,是否超出了企业制度设定的“底线或红线”;
(3)在商务方面,即使控制存在、执行了,但无法改变尚未表现为问题的风险状态,属于“支持内控有效运作”的输入,本身存在问题,但控制无法改变;
(4)在保证流程产出质量方面,由于缺乏控制执行的参照标准,或控制缺少规则而“因人而异”,不可重复,导致控制流于形式,难以支持高层决策等,需要根据具体评价对象具体分析。
(5)在防范道德风险方面,重点体现在对“管控”制度设计的“严密性”与处置闭环,以及监督结果的度量,而不在于“流程控制”本身,属于“高阶内控机理”,而不是控制活动本身。在严密的管理制度之下出现的道德风险,属于“偶发的个体问题”,频发的重复性道德问题,说明管理在设计、监督执行上,必然存在缺陷。该类问题,属于“管理建议”范畴的内容。
内控评价发现的“缺陷”记录,构成了内控评价的“产出信息”,有两种情况:一种为评价而评价,评价者根本发现不了缺陷,或者依据日常监督中发现的问题,写一份评价报告,证实“我做了”;另一种是,积极主动地去做内控评价,管理越规范的企业,往往发现的缺陷越多,因为“他在真做”。
评价出大量的“缺陷”,并不意味着都需要进行整改,也不意味着所有的“缺陷”都不能容忍。如何管理不同程度的缺陷,是内控管理部门需要进行流程化控制的“例行工作”。在大部分企业内控产出中,这部分内容是缺失的。
来 源 | 天津咨询
作 者 | 郑永强
97046009
