当前位置:首页 > 通税动态 > 通税原创
企业内部控制系列(二) | 揭开内控的神秘面纱
发布时间:2019-05-31  |  浏览:120

【摘要】

企业内部控制实际上已经有不短的历史了,但是近些年来随着一些大公司的丑闻爆出和经营失败,我们越来越认识到内部控制的重要,它变得越来热门。内控到底是什么?上次我们对内部控制有了个简单的了解,今天我们来揭开它神秘的面纱,继续了解什么是内部控制以及内部控制如何运行等一些较具体的内容。


(全文共3799字,预计阅读时间12分钟)


延伸阅读:企业内部控制系列 | 有人的地方就有江湖,有风险的地方就有内部控制


书接上回,我们继续来聊内部控制。上次我们表明了这样几个观点:1、为什么会有内部控制——因为存在风险,对待风险(风险本是中性词,可能好,可能坏,在内控当中实际上多指不好的事情,好事还控制它干啥),要么处之泰然,比如今天天气预报可能会有点小雨,那么不带伞淋一下也无所谓;要么就要采取措施来减少风险带来的损害,比如天气预报今天有大暴雨,带伞固然要麻烦一下贵手,可是不带万一淋到暴雨就要麻烦贵体,所以还是带着为妙。2、实行内部控制的基本精神——用业务流程可符合验证的特性来实施控制,因为一个组织的各种业务活动的发生基本都不是一个人来完成的,也不是孤立的发生的,那么就可以通过验证该业务流程所涉及的两个或多个方面之间的符合性来实施控制,比如付钱这件事,支付一方所付的金额与收款一方收到的金额应当相等(手续费另算),所以在会计控制系统中就要求除了有付款的凭据外还有对方的收据;假如某项活动是一个人就可以完成的,可能还会人为地拆开由两个人各负责其中一部分以便加强牵制和进行验证。3、最后我们说内部控制是局限在一定的范围和层次上发挥作用的,对一定层级之上的风险是很无能为力的,或者说需要与治理结构及顶层设计相结合;再比如对于集体舞弊,内控就是很有些乏力的,集体串通的舞弊甚至能造一整套可以相互印证的资料。


timg (1).jpeg

内部控制是什么?

国内外施行的各种内控规范说,内部控制是一套方法和措施,是一套制度,是一个框架和过程。没错,而我更愿意把内部控制看做一个制度设计,它已融入到了组织管理的各个方面——不过是站在风险防范的角度而已,往往就是你在单位里面办什么事觉得很烦、不自由的那些部分:走流程、领导签字、这个签了那个批、各种预算限额……只是好的制度设计会在达到风险控制目标的同时,让业务流程的运转更加高效,甚至有可能你感觉不到它的存在。


timg (2).jpeg


最初的内部控制叫做内部牵制,基本原理就是前文说的可以“符合性”验证的思想,也就是今天内部控制框架下的各种具体的控制活动——即便发展到今天的内部控制整合框架,这个根骨实际上一直没有变过。但是随着组织和业务规模的变大、业务和环境的复杂性的提高,大家发现仅仅通过这些具体的控制或者牵制措施不能有效的防范和降低风险,而且会陷入教条化的程序,逐渐变得僵化和失去目标。于是人们开始审视控制活动之外还有哪些能够影响内控运行的东西,比如:控制活动运行的环境——组织的文化、领导者的诚信等,所谓上行下效、他行我效,如果上梁不正,下梁自然也不会是正的,别人以揩单位的油为日常,那么你不揩大概也不好意思,电视剧《雍正王朝》里头有个老翰林,大家都从国库借钱不还,他不借么大家觉得他清高,只好也借了一两银子不还;面临哪些风险——实际上内部控制既然是以防控风险为目标,那么必然要评估其面对的是什么风险,不然控制活动就是无的放矢,这种评估早期很可能是无意识的或者不是一项专门的活动,现代内部控制框架下把它独立为一项要素;控制活动本身运行的好不好也要得到监督和评价

于是就形成现代内部控制框架的五要素:控制环境、风险评估、控制活动、信息和沟通、监控。一般讲内部控制的教材都会把这五要素画成一个金字塔的形状:塔顶是监控,塔基是控制环境,中间是风险评估和控制活动,信息和沟通纵向贯穿。我们来把这一传统图形做一点改造,金字塔的结构仍然不变,但是我们把它放在了法律监管和治理结构的大背景下:


屏幕快照 2019-06-03 14.30.53.png


法律和监管:企业是以盈利为目的的商业实体,其投资者本身是逐利性的。假使没有法律法规的约束,他们可以站在自己利益最大化的立场上做出任何事情,因此不能完全期待一个企业自动的守法合规,再好的内部控制也只是“内部”的,不能假设它真的“狠”起来连自己都害怕。所以必须从性恶的假设来进行相关立法,联通“外部控制”与“内部控制”,同时要对等地加大违法成本。我们的上市公司和资本市场频频出现拉低我们认识下限的事件,主要还是因为违法成本太低,《证券法》顶格罚款也才六十万元,与动辄几十亿百亿的违法收益相比,实在微不足道,诱惑力太大。

治理结构:企业的治理结构有时候被包括在“内部环境”要素下面,我想把它独立出来放在一个更为重要的位置,它从顶层设计上奠定了一个企业运转的基调,而不好的顶层设计则埋下了未来崩盘的隐患。我们来看一个典型的案例:OFO。OFO设置了四个否决权,数量有点多且先不说,要命的是它在融资的道路上同时抱住了中国现今两条最大的大腿——腾讯和阿里,更要命的是否决权落在了这两个死对头手里,其结局之惨淡也就可想而知了。其余诸如“真功夫”五五分的股权设计导致战略决策僵局的案例早已屡见不鲜,徒然使人惋惜一个好企业就因此而没落。这里的治理结构也包括治理层及管理层的实际运作,其最重要的就是战略决策,这也是一个奠定全局的事项,若其失误,则会带来全局性的动荡。

传统的内控五要素中,控制环境(内部环境)包括了组织文化和人力资源政策等基础性的条件;风险评估是一个组织对其可能面临的风险的判断,包括主动识别和被动识别,它也是一个持续性的过程,或者应该有一个发现风险的持续性的机制;控制活动则是内部控制运行的日常表现,是我们最能直接感受到的部分;同时需要伴随良好的信息沟通,《易-泰卦》曰:“上下相交而其志同也”,说的就是通畅的沟通渠道;最后需要一个检视这一套机制是否运行良好的程序,即监控,发现偏差时及时进行修正。用较为简单的一两句话来说就是:营造一个良好的环境,识别风险并进行对应的控制活动以降低或消除风险。


timg.jpeg


内部控制要达到什么目标?

《COSO内部整合框架》说内部控制的目标有三:经营的效果和效率、财务报告的可靠性、法律法规的遵循性;财政部发布的《企业内部控制基本规范》列了五个:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略;后来把行政事业单位也纳入规范体系,发布了《行政事业单位内部控制规范(试行)》,也说了五个目标:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果。总结一下无非这几个意思:不要犯法违规(包括如实披露财报等信息),控制风险的前提下、尽可能高效的达成组织目标。

看到效率这一条很多人可能会轻蔑的一笑,高效?内控似乎是高效的天敌。组织目标、经营效果?好像跟内控关联也不大,因为搞内控的人往往是大家最烦的那一个,好像是专门来跟我们作对的。实务当中往往也是注重内控在合法合规、控制风险及防范舞弊等方面的作用,而不太会注意到提高组织效率和效果的方面。实则不然,这就接到我们下一个问题。


VCG41155907984.jpg


为什么要做内部控制?

这就相当于问为什么汽车要刹车和方向盘。一辆汽车,装上火箭的发动机是固然跑得快,没有方向盘你一定不敢开,没刹车那也不行。内部控制之于一个企业或组织,相当于方向盘和刹车的角色,在它跑偏跑错的时候及时踩刹车和修正方向,避免出现事故甚至是灾难性的后果。我们或许可以从近些年上市公司爆出负面事件来看看内部控制的作用:

2018年底,康美药业财务造假,299亿货币资金蒸发,被证监会立案调查;2019年5月末,负责年报审计的会计师回复证监会说:我们的审计意见是恰当的,公司自查结果是公司治理和内部控制存在重大缺陷。前途堪忧。

2019年2月北京同仁堂因其下属子公司生产的蜂蜜使用回收过期蜂蜜问题而被处罚,食品经营许可证被吊销。同仁堂承认其内部控制体系存在重大纰漏,快速发展的过程中采用委托生产方式,质量控制不严。

还有一个年代有点遥远但是十分有名的例子:巴林银行破产案。由于内控管理不严、授权制度失效,交易员尼克 · 里森在指数期货的交易中违规操作造成8.6亿英镑的损失,超过了巴林银行当时的净资产,而巴林银行迟迟未能发现,最终导致该银行覆灭。

或许你觉得内部控制不能直接带来经营效率和效果的提升,但是好的内部控制可以最大限度的降低遭受重大损失的风险,降低因违法违规而遭受处罚、损害企业声誉的风险。减少不必要的支出,也就是增加利润。反过来讲,内部控制也不一定就是死板的条条框框与效率为敌,它也可以具有灵活性。好的内控应该针对具体企业和组织的业务流程而设,而不是照搬模板的教条,好的内控应该保证业务的顺畅、有序运行(这点在组织规模变大的时候尤为重要),避免了杂乱无序也就是提高了效率。

像前面打的车的比方,估计没有人敢拆掉刹车和方向盘开车,但是就有不少老板就敢于无视内控开着他那辆企业的“大车”狂飙,有的心态可能是这样的:我们是创业公司,最重要的事情是先活下来,现在哪顾得了什么内控!——实际上创业公司有创业公司的内控,大企业有大企业的内控,对一些重大因素进行提前干预和设计会避免掉很多麻烦,在问题弱小的时候不管,等它长大就已经无法处理了,惨痛的教训不要太多!还有抱侥幸心理的,实际上各种出事的企业开始也是那么想的。


VCG41598313901.jpg


需要平衡几种关系

1.内控设计与企业规模、企业生命周期以及行业相适应:巨型集团公司有别于数十人的小公司,成熟期的企业有别于创业期的企业,搞生产制造的与搞互联网的又有不同。但相同的是,做内控的设计都要从具体企业和组织自身的特点出发,理清其业务流程,发现可能的风险点,设计对应的内控体系。


2.平衡“控制”与效率:过度的控制是效率的死敌。这也一个成本效益性的问题,不能为了过度追求控制感而牺牲效率,牺牲掉的效率本身也是一个成本,当控制风险所获得的收益小于为之付出的成本的时候,此事就没有做的必要了,只能在二者之间达到一个平衡。举两个稍有些奇葩的例子:其一、某港台企业,费用报销审批的权限全部在总经理(老板)那里,办公室买支笔买个卫生纸也要老板批,然后他年终之后找事务所做审计,做完之后怪审计什么问题都没有帮他查出来,事务所的朋友说:“他连一张纸都管了还要查出什么问题来!”其二、某事务所,要求审计人员出外勤时用微信发定位打卡,有漏打的会要求提交“上月某天在哪里干什么”的证据,并且会经常打电话跟客户单位核对考勤。这种极端的例子下牺牲效率是肯定的,恐怕其员工的归属感也是很低的。


3.内控设计考虑应对多变环境的灵活性。现今的时代是个加速发展的时代,环境变化倍于前十年甚至前几年,像共享单车的风口几年间就匆匆而过,已经上演了无数企业的兴衰交替。在这种背景下,内控设计尤其要考虑一定弹性机制,保留对环境变化的反应能力。

下篇微信我们将继续探讨内部控制相关问题,若有智者欢迎赐教。