内部控制是企业识别和管理风险的一整套制度、机制,有效内部控制能为企业实现运营、财务报告和合规方面的目标提供合理保证。上世纪90年代爆出的安然、世通等巨型公司倒闭案,促使内部控制在全球范围内得到空前重视,各国监管部门纷纷加强对本国企业内部控制建设的要求。与此一致,内部控制在我国也得到空前发展。财政部、各行业监管部门出台了一系列规范和指引,对企业强化内部控制提供指导、提出要求,企业出于自身防范风险需要以及监管部门的要求普遍加强了内部控制建设。然而因内部控制失效而公司造成巨大损失的案件依然屡有发生,这说明内部控制可能仍不是有效的,公司仍有可能因控制失效而面临厄运甚至倒闭。我国目前关于内部控制有效性研究更多集中在如何评价内部控制体系有效性方面。诚然,公司内部控制体系是否有效是投资人等利益相关方希望了解的,但就企业本身而言,贴上有效或无效的标签实质意义并不大,是否能够在实践中保持并持续改进内控体系的有效性更为关键。 一、检查监督是有效内部控制的关键要素 每个企业都有一套自己的内部控制制度,有着自己的内部控制体系。影响内部控制体系有效性的原因有:控制制度没有被有效执行;控制活动本身有缺陷,重大风险缺乏应有控制;环境、业务变化带来新的风险,或使原有控制活动失效,控制活动没有及时跟进。前两点涉及现行内部控制体系有效性。对于内部控制基础薄弱的企业,需要根据企业目标系统评估各种风险,采用合理控制措施,其全面解决将是复杂的系统工程,客观上有一个持续改进的过程。对一家管理先进企业,现行内控体系可能是有效的,但因经营环境的不断变化,业务模式和流程的经常调整,保持其有效性始终都是严峻挑战。因此可以说,企业内部控制建设的难点及核心在于保持并持续改进其有效性。 COSO组织1992年关于内部控制的框架报告,从控制环境、风险评估、控制活动、信息沟通、检查监督五个方面对内部控制体系进行了全面系统阐述,已成为国际上广泛认可的企业建设内部控制体系的标准。只有这五个要素有机结合在一起,有效地发挥作用,内部控制体系才可能有效。但从解决影响内部控制有效性的三大问题分析,检查监督要素最为关键,体现在有效的检查监督能够曝光不执行制度的行为,督促制度的有效执行和完善;以及在控制缺陷造成重大损失之前发现并及时改进。 由于内部控制设计者的认识局限性以及环境或业务的变化带来新的风险或使原有控制活动失效,使得控制缺陷的存在具有一定客观性,但从动态看,控制缺陷一开始带来重大损失的可能性很小,这是因为认识局限性普遍存在,可以利用漏洞的人员没认识到漏洞的存在,或虽然认识到,但需要时间酝酿准备;公司文化对舞弊也有不同程度的抑制作用。此外,内部控制缺陷还与企业发展阶段有关,高速成长中企业,员工面临较大发展空间,从事舞弊的可能性低。但必须认识到,随时间推延,控制缺陷被利用的可能性将显著增加。假定内部控制检查者对内部控制的认识与可能利用控制缺陷人员大体同步,或虽然认识较晚但期间受其他因素作用尚未造成公司重大损失,此时检查评估将可以发现控制缺陷予以解决,避免重大损失的发生。这是一个弱假定,管理基础好的企业其内部控制建设专业队伍较强,企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实:企业内部控制缺陷大量存在,正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用,做实检查监督对我国企业尤其紧迫。 二、COSO关于检查监督要素的阐释 1992年的COSO报告对检查监督要素作了如下阐述:需要对内部控制系统进行检查监督,以评估一段时间后系统的有效性。日常检查监督和单独评估是两种基本形式,日常检查监督融于企业运营过程中,包括例行的管理、监控或其他活动。单独评估的范围和频次取决于风险状况及日常检查监督的效果。控制缺陷应及时报告,严重事项应向公司管理层和董事会报告。虽然检查监督能够帮助企业保持内部控制的有效性,但很多企业在运用1992年COSO内部控制框架理论过程中,没有充分利用检查监督这一要素。 2007年9月,COSO组织专门发布了《内部控制系统检查监督指南》讨论稿(Guidance on Monitoring Intemal Control System),旨在提高对有效检查监督的理解,用以改进内部控制系统的有效性。《指南》提出“有效检查监督”概念,指出有效的检查监督帮助保证内部控制体系的持续有效运行。影响检查监督有效性的主要因素有控制环境、根据风险水平采用有效检查监督程序和分配检查监督资源的能力、以及向适当人员及时报告包括控制缺乏在内的检查监督结果的能力。《指南》对上述三方面内容进行了展开,详细阐述了为保证检查监督有效各个方面应达到的标准,并提供了一些具体方法和原则,如根据风险水平选择相应检查监督程序的方法原则等。COSO委员会计划推动内部控制检查监督要素应用的第二步是提供事例、案例研究以及工具来帮助所有组织执行有效的内部控制检查监督。此外,COSO委员会专门发布关于检查监督要素的应用指南反映出其在有效内部控制体系中起的关键作用。当然,内部控制五要素是一个有机结合的整体,检查监督的有效展开离不开相应的控制环境,其具体方法和程序随风险水平和控制活动的效果而不同,其改进控制缺陷的作用需要通过良好的信息沟通和控制环境来发挥。可以看出,其他要素都是检查监督要素能够做实的必要条件。但由于检查监督直接面对可能存在的控制缺陷,其有效性直接决定了整个内部控制体系的有效性,因而成为内部控制体系有效性的核心要素。 三、联想集团做实检查监督的案例 (一)控制环境方面主要包括以下几点: 一是管理层高度重视。联想集团拥有严格的执行文化,是企业领导层长期一贯坚持的结果。如在联想发展早期,财务借款报销制度相比当时国内一般企业严格得多,几近“苛刻”,很多员工以制度不符合实际情况为由不执行制度,一些中高层干部也理解甚至默许。当时的公司总裁明确提出了“有制度按制度执行;没有制度本着对公司有益的原则执行;有制度但制度不合理,向制度的责任部门提出改进建议,但制度修订前仍要按制度执行”的行为准则,身体力行,并对高管层严格要求。因此统一了认识,不但维护了公司制度的严肃性,还促进了企业管理制度化建设的不断完善。制度的严肃性和权威性是检查监督进行的前提条件,具备这个条件检查监督才“有据可查”。 二是内部控制责任层层落实。各级管理人员兼有保证所负责业务内部控制有效的职责,部门负责人因而有较强的动力对其下属部门或人员内部控制职责履行情况实施检查监督。每个制度或流程都有其负责人,对流程的有效执行和改进负责,这一点对横跨多个部门的流程尤其重要。明确的责任分解为检查监督提供了有效发挥作用的环境。检查出问题后找不到明确的责任部门或责任
人将极大削弱其应有作用,是检查监督者面临的最大困难。 三是公司设有专业内控部门,独立于内审业务,负责公司内部控制体系的规划和推进(内审部门的责任是独立审计评价)。各业务单元和部门设有专职或兼职的内控岗位,辅助部门负责人健全内部控制,接受部门负责人考核。部门内控岗位业务上接受公司内部控制的专门训练,在其辅助下,业务部门负责人不仅有能力而且也能履行好自身内部控制职责。 四是有奖有罚的激励机制。在联想集团,一个问题暴露出来后,及时解决问题,并找出其产生的根本原因、从流程或机制上改进已成为日常工作要求,而这一过程相关人员也将根据责任履行情况有奖有罚。几种典型的情形有:违规而造成公司损失者将受到相应处罚;如一项制度或流程执行方面存在严重问题而其负责人未及时采取应对措施,该负责人将会得到处罚;员工违规或未充分履行职责时,其直接上级甚至更高层上级也将因监管责任而接受调查。另一方面公司鼓励员工发现问题、纠正问题、改进流程。发现自身问题并及时改正,如未给公司造成损失将免于处罚;对发现流程漏洞并主动跟踪解决的员工,将根据为公司带来的利益而进行激励。如某管理一具体专项营销资源的员工,在收到合作经营商的资源申请时,意识到该申请类别与另一部门管理的资源项目接近,于是主动与该部门沟通联系,结果发现该部门已向经销商发放了营销资源,为公司挽回了损失,该员工还主动建立了跨部门的横向联系机制,从流程上杜绝了类似问题的再发生。 (二)信息沟通方面首先,公司比较注重收集来自销售商、供应商等合作伙伴的意见反馈,并专门成立客户关系部,主动了解客户对公司各方面的意见,受理客户投诉,在提高客户满意度、打击员工商业贿赂方面取得到不少成绩。其次,公司对内设立员工意见箱。这是一个建立在公司办公系统平台上的数据库管理系统,员工可以在线署名或匿名反映公司存在的各种问题,提出自己的看法和建议。员工意见箱由一个专门的公司级部门管理,根据意见涉及内容确定具体的落实部门。意见或建议的处理方案及处理进程在系统中实时更新,可以随时在线查询。员工可对意见或建议的最终处理结果作出评价。员工意见的处理情况是部门考核的一个依据,而公司对提出有价值意见或建议的员工也有奖励。再次,建立逐级通报制度、反腐大会。对于违规、违纪问题,公司将根据问题的性质在不同范围内进行通报,对产生问题的员工进行处罚,同时警示其他员工。偶尔发现员工收受贿赂等舞弊案件,公司会召集全员反腐动员大会,并邀请司法人员到会宣讲相关法律。 (三)多层次的检查监督活动在联想集团,检查监督和管理是紧密结合在一起的。公司管理层深刻认识到检查监督对于发现隐藏问题、改进工作的价值。如一项新的流程只有包括了检查监督环节才被认为是完整的、闭环的,才可能被审批通过。而自上而下,管理层对使用公司资源部门的要求是资源使用有规范、规范执行有检查,力求做到“该花的一分不能少花,不该花的一分不能多花”的效益最大化。一是制度或流程的负责人检查监督。控制活动在设计时就考虑检查监督的要求。每一项制度或流程都有明确的责任部门和责任人,对制度的执行和改进负责。制度或流程未有效执行或不合理情形未及时更新,责任人及部门负责人将可能被追究。而检查过程中发现有违规现象,公司人力资源部将按相关规定进行通报处罚。二是内部审计。内部审计对内部控制有着独立评价的关键作用,必须要敢查、会查,才能发挥出其独立评价作用。在联想,内审部门被要求必须要审计出问题,因为最高管理层认为,“审计不出问题就是审计部有问题”。三是控制自我评估。由于各级部门负责人同时对业务范围内的内部控制有效性负责,因而有动力开展控制自我评估,公司也有鼓励,自查出问题的从轻或免于处罚。 联想集团2003年在全公司范围内进行了一次系统的控制自我评估。首先公司内控部门制定并发布公司内部控制标准,而后要求公司各部门对照标准开展控制自我评估,重点是拥有较大财务资源支配权的部门和岗位。公司内控部门联合内审部门进行组织、协调,提供具体的方法指导,内审部门对部门的评估结果进行抽审,以对部门形成监督。通过控制自我评估检查出很多内部控制的薄弱环节,公司内部控制体系得到全面加强,各级管理层和关键岗位员工得到内部控制从意识到方法的系统培训。而这一轮控制自我评估也使公司内部控制体系上升到一个新的运行台阶。 联想做实内部控制检查监督的方法非常丰富,以上仅选取认为对其他企业有较大参考价值的部分介绍。当然,联想的内部控制体系还有很多有待进一步改进,特别是2005年收购IBM全球PC业务后,已由一家本土经营企业转变为全球范围内经营的国际化公司,无论是外部环境还是企业内部环境、经营模式、业务流程都发生着巨大转变,如何应对由此产生的诸多新风险,及时调整、改进和加强现有内部控制体系在未来几年内对公司都是一个巨大挑战。但从目前看,这两支走到一起的优秀团队在文化上有着很多相通之处,新联想依然是一家重视内部控制体系建设的公司,而检查监督这一关键要素正在公司分布于全球的各部门实实在在地发挥着作用。 (编辑 熊年春)
内部控制是企业识别和管理风险的一整套制度、机制,有效内部控制能为企业实现运营、财务报告和合规方面的目标提供合理保证。上世纪90年代爆出的安然、世通等巨型公司倒闭案,促使内部控制在全球范围内得到空前重视,各国监管部门纷纷加强对本国企业内部控制建设的要求。与此一致,内部控制在我国也得到空前发展。财政部、各行业监管部门出台了一系列规范和指引,对企业强化内部控制提供指导、提出要求,企业出于自身防范风险需要以及监管部门的要求普遍加强了内部控制建设。然而因内部控制失效而公司造成巨大损失的案件依然屡有发生,这说明内部控制可能仍不是有效的,公司仍有可能因控制失效而面临厄运甚至倒闭。我国目前关于内部控制有效性研究更多集中在如何评价内部控制体系有效性方面。诚然,公司内部控制体系是否有效是投资人等利益相关方希望了解的,但就企业本身而言,贴上有效或无效的标签实质意义并不大,是否能够在实践中保持并持续改进内控体系的有效性更为关键。 一、检查监督是有效内部控制的关键要素 每个企业都有一套自己的内部控制制度,有着自己的内部控制体系。影响内部控制体系有效性的原因有:控制制度没有被有效执行;控制活动本身有缺陷,重大风险缺乏应有控制;环境、业务变化带来新的风险,或使原有控制活动失效,控制活动没有及时跟进。前两点涉及现行内部控制体系有效性。对于内部控制基础薄弱的企业,需要根据企业目标系统评估各种风险,采用合理控制措施,其全面解决将是复杂的系统工程,客观上有一个持续改进的过程。对一家管理先进企业,现行内控体系可能是有效的,但因经营环境的不断变化,业务模式和流程的经常调整,保持其有效性始终都是严峻挑战。因此可以说,企业内部控制建设的难点及核心在于保持并持续改进其有效性。 COSO组织1992年关于内部控制的框架报告,从控制环境、风险评估、控制活动、信息沟通、检查监督五个方面对内部控制体系进行了全面系统阐述,已成为国际上广泛认可的企业建设内部控制体系的标准。只有这五个要素有机结合在一起,有效地发挥作用,内部控制体系才可能有效。但从解决影响内部控制有效性的三大问题分析,检查监督要素最为关键,体现在有效的检查监督能够曝光不执行制度的行为,督促制度的有效执行和完善;以及在控制缺陷造成重大损失之前发现并及时改进。 由于内部控制设计者的认识局限性以及环境或业务的变化带来新的风险或使原有控制活动失效,使得控制缺陷的存在具有一定客观性,但从动态看,控制缺陷一开始带来重大损失的可能性很小,这是因为认识局限性普遍存在,可以利用漏洞的人员没认识到漏洞的存在,或虽然认识到,但需要时间酝酿准备;公司文化对舞弊也有不同程度的抑制作用。此外,内部控制缺陷还与企业发展阶段有关,高速成长中企业,员工面临较大发展空间,从事舞弊的可能性低。但必须认识到,随时间推延,控制缺陷被利用的可能性将显著增加。假定内部控制检查者对内部控制的认识与可能利用控制缺陷人员大体同步,或虽然认识较晚但期间受其他因素作用尚未造成公司重大损失,此时检查评估将可以发现控制缺陷予以解决,避免重大损失的发生。这是一个弱假定,管理基础好的企业其内部控制建设专业队伍较强,企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实:企业内部控制缺陷大量存在,正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用,做实检查监督对我国企业尤其紧迫。 二、COSO关于检查监督要素的阐释 1992年的COSO报告对检查监督要素作了如下阐述:需要对内部控制系统进行检查监督,以评估一段时间后系统的有效性。日常检查监督和单独评估是两种基本形式,日常检查监督融于企业运营过程中,包括例行的管理、监控或其他活动。单独评估的范围和频次取决于风险状况及日常检查监督的效果。控制缺陷应及时报告,严重事项应向公司管理层和董事会报告。虽然检查监督能够帮助企业保持内部控制的有效性,但很多企业在运用1992年COSO内部控制框架理论过程中,没有充分利用检查监督这一要素。 2007年9月,COSO组织专门发布了《内部控制系统检查监督指南》讨论稿(Guidance on Monitoring Intemal Control System),旨在提高对有效检查监督的理解,用以改进内部控制系统的有效性。《指南》提出“有效检查监督”概念,指出有效的检查监督帮助保证内部控制体系的持续有效运行。影响检查监督有效性的主要因素有控制环境、根据风险水平采用有效检查监督程序和分配检查监督资源的能力、以及向适当人员及时报告包括控制缺乏在内的检查监督结果的能力。《指南》对上述三方面内容进行了展开,详细阐述了为保证检查监督有效各个方面应达到的标准,并提供了一些具体方法和原则,如根据风险水平选择相应检查监督程序的方法原则等。COSO委员会计划推动内部控制检查监督要素应用的第二步是提供事例、案例研究以及工具来帮助所有组织执行有效的内部控制检查监督。此外,COSO委员会专门发布关于检查监督要素的应用指南反映出其在有效内部控制体系中起的关键作用。当然,内部控制五要素是一个有机结合的整体,检查监督的有效展开离不开相应的控制环境,其具体方法和程序随风险水平和控制活动的效果而不同,其改进控制缺陷的作用需要通过良好的信息沟通和控制环境来发挥。可以看出,其他要素都是检查监督要素能够做实的必要条件。但由于检查监督直接面对可能存在的控制缺陷,其有效性直接决定了整个内部控制体系的有效性,因而成为内部控制体系有效性的核心要素。 三、联想集团做实检查监督的案例 (一)控制环境方面主要包括以下几点: 一是管理层高度重视。联想集团拥有严格的执行文化,是企业领导层长期一贯坚持的结果。如在联想发展早期,财务借款报销制度相比当时国内一般企业严格得多,几近“苛刻”,很多员工以制度不符合实际情况为由不执行制度,一些中高层干部也理解甚至默许。当时的公司总裁明确提出了“有制度按制度执行;没有制度本着对公司有益的原则执行;有制度但制度不合理,向制度的责任部门提出改进建议,但制度修订前仍要按制度执行”的行为准则,身体力行,并对高管层严格要求。因此统一了认识,不但维护了公司制度的严肃性,还促进了企业管理制度化建设的不断完善。制度的严肃性和权威性是检查监督进行的前提条件,具备这个条件检查监督才“有据可查”。 二是内部控制责任层层落实。各级管理人员兼有保证所负责业务内部控制有效的职责,部门负责人因而有较强的动力对其下属部门或人员内部控制职责履行情况实施检查监督。每个制度或流程都有其负责人,对流程的有效执行和改进负责,这一点对横跨多个部门的流程尤其重要。明确的责任分解为检查监督提供了有效发挥作用的环境。检查出问题后找不到明确的责任部门或责任
人将极大削弱其应有作用,是检查监督者面临的最大困难。 三是公司设有专业内控部门,独立于内审业务,负责公司内部控制体系的规划和推进(内审部门的责任是独立审计评价)。各业务单元和部门设有专职或兼职的内控岗位,辅助部门负责人健全内部控制,接受部门负责人考核。部门内控岗位业务上接受公司内部控制的专门训练,在其辅助下,业务部门负责人不仅有能力而且也能履行好自身内部控制职责。 四是有奖有罚的激励机制。在联想集团,一个问题暴露出来后,及时解决问题,并找出其产生的根本原因、从流程或机制上改进已成为日常工作要求,而这一过程相关人员也将根据责任履行情况有奖有罚。几种典型的情形有:违规而造成公司损失者将受到相应处罚;如一项制度或流程执行方面存在严重问题而其负责人未及时采取应对措施,该负责人将会得到处罚;员工违规或未充分履行职责时,其直接上级甚至更高层上级也将因监管责任而接受调查。另一方面公司鼓励员工发现问题、纠正问题、改进流程。发现自身问题并及时改正,如未给公司造成损失将免于处罚;对发现流程漏洞并主动跟踪解决的员工,将根据为公司带来的利益而进行激励。如某管理一具体专项营销资源的员工,在收到合作经营商的资源申请时,意识到该申请类别与另一部门管理的资源项目接近,于是主动与该部门沟通联系,结果发现该部门已向经销商发放了营销资源,为公司挽回了损失,该员工还主动建立了跨部门的横向联系机制,从流程上杜绝了类似问题的再发生。 (二)信息沟通方面首先,公司比较注重收集来自销售商、供应商等合作伙伴的意见反馈,并专门成立客户关系部,主动了解客户对公司各方面的意见,受理客户投诉,在提高客户满意度、打击员工商业贿赂方面取得到不少成绩。其次,公司对内设立员工意见箱。这是一个建立在公司办公系统平台上的数据库管理系统,员工可以在线署名或匿名反映公司存在的各种问题,提出自己的看法和建议。员工意见箱由一个专门的公司级部门管理,根据意见涉及内容确定具体的落实部门。意见或建议的处理方案及处理进程在系统中实时更新,可以随时在线查询。员工可对意见或建议的最终处理结果作出评价。员工意见的处理情况是部门考核的一个依据,而公司对提出有价值意见或建议的员工也有奖励。再次,建立逐级通报制度、反腐大会。对于违规、违纪问题,公司将根据问题的性质在不同范围内进行通报,对产生问题的员工进行处罚,同时警示其他员工。偶尔发现员工收受贿赂等舞弊案件,公司会召集全员反腐动员大会,并邀请司法人员到会宣讲相关法律。 (三)多层次的检查监督活动在联想集团,检查监督和管理是紧密结合在一起的。公司管理层深刻认识到检查监督对于发现隐藏问题、改进工作的价值。如一项新的流程只有包括了检查监督环节才被认为是完整的、闭环的,才可能被审批通过。而自上而下,管理层对使用公司资源部门的要求是资源使用有规范、规范执行有检查,力求做到“该花的一分不能少花,不该花的一分不能多花”的效益最大化。一是制度或流程的负责人检查监督。控制活动在设计时就考虑检查监督的要求。每一项制度或流程都有明确的责任部门和责任人,对制度的执行和改进负责。制度或流程未有效执行或不合理情形未及时更新,责任人及部门负责人将可能被追究。而检查过程中发现有违规现象,公司人力资源部将按相关规定进行通报处罚。二是内部审计。内部审计对内部控制有着独立评价的关键作用,必须要敢查、会查,才能发挥出其独立评价作用。在联想,内审部门被要求必须要审计出问题,因为最高管理层认为,“审计不出问题就是审计部有问题”。三是控制自我评估。由于各级部门负责人同时对业务范围内的内部控制有效性负责,因而有动力开展控制自我评估,公司也有鼓励,自查出问题的从轻或免于处罚。 联想集团2003年在全公司范围内进行了一次系统的控制自我评估。首先公司内控部门制定并发布公司内部控制标准,而后要求公司各部门对照标准开展控制自我评估,重点是拥有较大财务资源支配权的部门和岗位。公司内控部门联合内审部门进行组织、协调,提供具体的方法指导,内审部门对部门的评估结果进行抽审,以对部门形成监督。通过控制自我评估检查出很多内部控制的薄弱环节,公司内部控制体系得到全面加强,各级管理层和关键岗位员工得到内部控制从意识到方法的系统培训。而这一轮控制自我评估也使公司内部控制体系上升到一个新的运行台阶。 联想做实内部控制检查监督的方法非常丰富,以上仅选取认为对其他企业有较大参考价值的部分介绍。当然,联想的内部控制体系还有很多有待进一步改进,特别是2005年收购IBM全球PC业务后,已由一家本土经营企业转变为全球范围内经营的国际化公司,无论是外部环境还是企业内部环境、经营模式、业务流程都发生着巨大转变,如何应对由此产生的诸多新风险,及时调整、改进和加强现有内部控制体系在未来几年内对公司都是一个巨大挑战。但从目前看,这两支走到一起的优秀团队在文化上有着很多相通之处,新联想依然是一家重视内部控制体系建设的公司,而检查监督这一关键要素正在公司分布于全球的各部门实实在在地发挥着作用。 (编辑 熊年春)