所以雖然我不是什么內控專家,但是對內控的機理、容易出問題的環節,多了一些了解,下面是我的一點心得(失敗的經驗也是很寶貴的~)
首先,做好內控工作的關鍵是最高管理層對風險的認知程度和規避的態度,這是給內控的整個框架定基調的部分。就我們公司來說,因為是總部在瑞士,在美國上市的500強企業,所以對各種風險的控制是非常嚴厲的。尤其是需要提交SOX法案要求的管理層聲明和相關的內控文件,所以內部審計不是開玩笑的。本來北歐的那些國家就注重各種人權而出名的,而且是廉潔社會的典范,所以這些理念已經延伸到企業經營中的每一個環節。如,不允許給客戶、政府機關送現金或現金替代品、禮品不能超過35歐元(在國外是20歐元,只是到了中國標準稍微提高了點——因為他們認為中國是送禮成風的國家)、不能贈送煙酒、所有的宴請必須有詳細的參與人員的清單、不能去卡拉ok和桑拿浴——影響公司形象、給客戶的樣品必須有跟蹤調查報告等等,非常嚴格。他們提出來“企業公民”的概念:
– 我們竭力提倡和保護聯合國人權宣言的內容,不允許出現企業內部踐踏人權事情發生;
– 我們尊重和認同每個國家的文化差異;
– 健康和安全是我們經營中考慮的首要環節;
– 我們保護股東、員工、客戶、政府和公眾的利益。
……
等等,內容非常全面。當然,我對這些內容是不是完全得到貫徹持一點點的懷疑態度,但是至少是大體上反映了最高層的經營理念。一個公司通常是基于自己的經營理念提出一個愿景(Vision),根據這個愿景制定若干個戰略,再根據這個戰略提出實現的目標的幾個途徑,如;以人為本、鼓勵技術創新、結合什么什么等等,這些形成一個金字塔的構架,自上而下。那么如何保障公司的戰略順利地實現的呢?當然有很多個途徑,猶如我們實現和諧社會,需要諸多的政府部門、社會、企業、個人等各個角色的參與一樣,企業的各個部門必須各司其職——其中內控就像公檢法一樣,保證公司的各項運營符合公司的戰略、符合國家法律、符合效益最大化的原則,并對違反原則的行為提出整改建議。
不同國家的公檢法或類似公檢法的機構的權威性都有所不同;內控部門的權力也是一樣的,如果最高領導層覺得,沒有必要控制那么多環節,或我愿意冒很大的風險來提高發展速度,那么內控部門自然就沒有所依仗的尚方寶劍了。說白了,一個國家如果很多部門的之間的相互牽制非常有效,那么他的決策效率肯定會相對低的——至少短期效果來看是——因為很多事情都需要反復地磋商、討論才可以通過。但是從長遠角度出發,這些磋商的機制、相互限制的機制,可以降低內部的決策失誤,權力的極端傾斜問題,所以它是實際上是最高效的一種機制。因為一旦控制缺陷所帶來的不良決策的危害發飚時,會很快摧毀把以前的所有的、所謂的高效決策帶來的利益的。很多中國企業,剛開始發展很快但是又很快衰敗的原因之一,就是缺少一個科學的相互牽制框架,以個人說了算——成也蕭何敗也蕭何。當年中航油(新加坡)分公司因為參與期貨交易而陷入破產境界,其總經理陳久霖亦鋃鐺入獄。其實,該公司的內控制度是向當地完善的,是安永會計師事務所受中航油總部的委托而設計的,尤其是對期貨交易時,現貨行情達到什么價格必須平倉,虧損多少以上上報國內的總公司等等。但是,從總公司到新加坡分公司,沒有人真正把這個制度當回事,所以最后以國有資產大量流失為告終。簡言之,領導層必須放棄什么都要追求高效率的決策方式,一定要允許有人在頭腦發熱時潑冷水,否則基業無法常青的——這是內控有效的最重要的前提。
其次,必須對公司所處的經營環境進行徹底的分析。包括法律環境分析,如何種行為容易觸犯行賄關聯的規定;政策環境分析,如國家的產業政策、環保政策等對公司產生什么影響;經濟環境分析,如匯率變動、利率變動、價格變動等方面的分析。根據這些外部環境的分析,提煉出對公司造成最大風險的環節,并進行相應的應對措施。
具體地從我們公司的情況來說,內控的目標是把公司的可能面臨的風險進行具體化,并劃分到若干個相對度獨立的業務循環(operation cycle)中,再把每個循環必須涵蓋的控制點清楚地列示。我們公司把業務區分為:生產及存儲環節、采購環節、財務報表及帳務環節、固定資產環節、人員及工資環節、銷售及回款環節等循環。每個循環又區分出若干個子循環,并詳細地描述其內容。如采購環節中,必須控制的點是:下訂單的人和簽收貨物的人區分開、哪些采購必須得3個以上的供應商報價、客戶的基礎的維護權限如何區分、檢驗不合格的原輔材料和合格品倉庫的位置在系統和實物上如何區分、標準單價預測機制是什么等等,大概有80多個控制點。
那么如何建立有效的內控機制呢?在把上述的各個控制點熟知之后,制定相應的標準業務流程(Standard Operating Procedure,簡稱SOP),通過這些SOP把每個業務劃分到每個崗位,并明確規定每個人的職責。這個SOP至少應該滿足以下內容:
1)保證將每一個業務循環劃分成各個崗位職責;
2)必須涵蓋所有的控制點;
3)必須有足夠的證據表明,實際工作就是按照這個制度執行的;
4)必須具備可操作性。
最后一點其實是很重要的,但是往往被忽略,因為好多部門只是為了迎合內部審計將各個控制點堆積起來,結果是一個無法操作的、各種規定的匯總表。如:SOP規定“必須保證先進先出的實物流動”,但是沒有具體的操作辦法,那么這句話就是一個空話。就像,當年中國國家足球隊的主教練施拉普納說過:“不知道往哪里踢的時候,就往門里踢”,但是他并沒有教我們的隊員如何往門里踢。SOP的最重要的意義是,任何一個人根據這個規定處理同樣的事情,必須得到同樣的結果,即,不會給操作人員造成理解上的偏差。
我們公司建立SOP的時候,我的要求是:
1)各個部門把現有的各個崗位職責和工作流程全部做一個詳細的描述,并清楚地標明責任人。
2)部門內部進行自由討論,以發現現有的崗位職責中有無遺漏的事項。
3)部門領導確認現有的工作流程是正在進行著的,而不是只是一個空架子。
4)總部要求每個業務循環中必須涵蓋的控制點分發給各個部門,要求他們在2周之內保證部門的每個相關人員熟知。
5)召開關于SOP的Kick-off Meeting ,做關于內控的背景、時間要求、質量要求等方面的介紹,并成立一個臨時委員會(TFT),進行定期的開會討論進展。
6)各個部門做完草稿以后,臨時委員會進行審核,如無大問題,那么形成一個試行版本,并在各部門實務中采用。
7)3個月的測試結束之后,根據實務中發現的問題,進行重新的修訂工作。
8)修訂結束之后,交給公司的最高領導層簽字,下發。
為什么沒有把控制點事先發給各部門呢?因為我擔心大家先入為主,拋開業務實際,為做規定而做規定。SOP的制定盡可能讓更多的人參與,否則大家的理解程度不高,進而影響執行的效果。
我當時的要求是:
1)一切業務必須有相應的SOP;
2)SOP必須至少涵蓋所有的控制點;
3)SOP必須是可行的;
4)通過抽樣調查,必須能夠提供證據來證明確實是遵守了;
5)所有SOP必須配以流程圖的方式,做一個簡要的介紹。
來源:財務職場原標題:《雖然我不是內控專家,但我知道哪容易出現問題》
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。