定义的解读
全员
内部控制是一种全员控制,强调企业全体员工共同参与,人人有责。全员共同参与的内控才是真正的内控,其不单是上级对下级的控制,也不单是对某个部门或某个职能的控制。上至董事长,下至基层岗位的一般员工都是内部控制的主体,只是不同层级的人员或机构,在企业的内部控制中的地位和承担的职责有所不同。
董事会作为企业最高决策机构,负责内部控制的建立、健全和有效实施;监事会作为企业监督机构,监督企业董事和其他高级管理人员依法履行职责的过程,对董事会建立与实施的内部控制进行监督;经理层作为企业的执行机构,是企业内部控制的直接负责人,负责组织领导企业内部控制的日常运行;全体员工都应当强化现代管理理念,增强风险意识,发扬主人翁精神,积极参与内部控制的建立与实施,并主动承担相应的责任。
内部控制的目的是帮助企业实现组织目标,内部控制的对象是风险。内部控制的实质是对风险的控制,是以风险为导向的控制,风险是内部控制的出发点,同时也是内部控制的落脚点。企业发展过程中,会面对各种各样的风险。这些风险并不是独立存在的,而是存在于企业各个层级和各项业务流程之中的,因此有效的风险控制需要嵌入企业的各个层面和各个部门,与企业的各项业务活动、管理流程相衔接。内控覆盖的范围十分广泛,涵盖企业所有事务,涉及各个层级、各个环节。
不仅是管理层、内部审计机构或董事会,组织中的每个人都对内部控制负有责任。基层员工不能与管理层对立,被动地执行内部控制。企业全体员工应当团结一致,主动维护和完善企业的内部控制。
若把内部控制看作一张网,每个岗位、每个人都是这张网上的一个结点。只有每一个结点牢固了,并以合适的方式连缀起来,才能成为一张真正牢不可破的网。
全过程
相对于结果,内控更关注过程。内控不是一套静态的管理制度,也不是某个一成不变的控制措施,而是动态的管理过程。要在明确控制目标的基础上,识别出影响目标实现的有关风险,并找出关键控制点,进而围绕这些关键控制点制定相应的控制措施并实施这些控制措施,对相关运行情况进行监督与评价,根据发现的问题进一步完善相应的控制措施。
现在,企业生存环境瞬息万变,企业的内控也是一个随着内外部环境的变化而不断发展变化、在运行中不断完善与夯实的动态过程。其只有起点,没有终点,永远在路上。
内控涉及所有的过程与环节。在内部控制中,没有哪个环节是可有可无的,也没有哪个环节不存在风险。实际上,正是一些不起眼的地方最容易出纰漏。所以,内部控制必须覆盖组织运营的所有环节、所有过程,一个都不能少。
笔者曾经供职于一家制造型工厂,当时经济形势一片大好,市场供需两旺,商品如是,人员亦然。工厂每天进进出出的操作工很多,高峰时一天有几百人甚至上千人,人员流动性也很强,有的人甚至第一天入职,第二天就离职走了。人力资源部门由于人手不够难以应付这样的工作量,就把工资卡的发放工作交给用人部门来负责。其中有个部门的负责人就利用这一点,留置在短期内入职后又离职的新员工的工资卡,并且虚报工时,冒领工资。
内控不仅涉及所有的过程与环节,还涉及这些过程与环节的所有阶段,包括事前、事中、事后。事前控制,就是所谓的“关口前移,预防在先”。事前控制是一种预防性控制,控制者事先通过调查研究,预测风险点及其发生概率,设计预防措施、关键控制点与保护性措施。事中控制是指控制者在实际执行有关控制目标或标准的过程中,及时获得实际状况的信息反馈,以及时发现问题、解决问题。事后控制则是指控制者在实际行动发生以后,分析、比较实际业绩与控制目标或标准之间的差异,然后采取相应的措施防错纠偏,并给予造成差错者以适当的处罚。这三个阶段对内控实施而言都是必不可少的。随着科学技术的进步,模拟预测能力和实时监控能力大大提升,现在的内部控制越发向事前控制和事中控制偏移,力争把问题扼杀在萌芽之前,即种子阶段。
总之,内控不是一项制度或者规定,而是一个不断发现新问题、解决新问题的循环往复的过程,是一个持续的动态过程。
组织目标
组织目标是组织完成使命和践行宗旨的载体,是随着环境、时间以及条件变化不断调整的一张“列车时刻表”。它是组织争取达到的一种未来状态,是开展各项组织活动的依据和动力。每一个组织都有自己预期的发展目的或结果,代表一个组织的方向和未来。对组织来说,宗旨是共同目标;对组织成员来说,共同目标是不同阶段需要到达的目的地。
不同组织有不同的目标,组织目标是识别组织的性质、类别和职能的基本标志,对组织的全部活动起指导和制约作用。组织目标具有差异性、多元性、层次性和时间性。
组织目标为组织的前进指明了方向,也为组织的活动确定了发展路线。确定目标是组织制定战略、计划和其他各项工作安排的基础,把笼统的目的化为具体的目标,更有可能实现预期的效益。对管理者来说,目标就好比路标,它指明了组织努力的方向,确定了组织应在哪些领域取得何种成就。
组织必须有一个明确的、贯穿于各项活动的统一目标,这一统一目标通常由若干子目标支持,构成一个目标体系,具有层次结构。例如,一家企业的总体目标要包括:保持一定的利润率和投资回收率,保持开发专利产品的重点研究,使产品占有国外市场,保证高档产品的竞争价格,占据本行业的竞争优势地位等。各个层次的目标相互联系、相互制约,共同反映组织的整体特征。与此同时,目标在反映组织状态的特征方面也不是等同的,而是有主有次。
组织目标是一个体系,它由总的战略目标、长期目标、中期目标和短期目标组成,每种目标的产生和作用都不相同,但是目标与目标之间要保持整体性、一致性。
内控要合理保证企业实现组织目标,这是内控的终极目标。内控要把企业的短期利益与长远利益结合起来,确保企业经营管理符合战略要求,有利于提升可持续发展能力和创造长久价值。
一方面要确保企业能够制定科学合理的战略目标。企业应该根据外部环境和内部机构的变化不断调整,确保战略目标始终指向组织的宗旨,并且将风险控制在组织的风险容忍度之内。另一方面也要采取切实可行的措施来保证企业发展战略的有效实施。要在将战略目标按阶段和内容分解为具体经营目标的过程中,保证目标体系的一致性,使组织、人员、流程与基础结构相协调,要为经营活动制定可计量的基准并对目标的实现情况进行绩效考评。
简言之,组织目标就是内部控制活动的目标,推行内控的目的就是为组织目标的实现提供合理保证。
内控提供合理保证
内部控制无论设计与执行得多么完善,都只能向董事会和管理层提供实现企业目标的合理保证,而非绝对保证。原因有以下几点。
首先,受成本效益原则的制约,当建立和实施内控措施的成本大于风险可能造成的损失时,加强内控得不偿失,反之则进行内控是有价值的。但对于成本或效益的权衡,更多地基于决策者的主观判断。这就使得内控的设置与否依托于决策者的决策质量,主观判断的失误会使必要的控制未能实施,可能造成更大的损失。尤其是小企业或风险偏好型企业,其内控受成本因素制约的现象更严重,而这恰恰是风险发生可能性高且后果严重的领域。
其次,内控制度通常是针对经常发生的或者具有共通性的事务而设置的,具有相对稳定性。但是企业生存的环境是在不断变化的,发生非常规的或未预料到的例外事件是常有的事,甚至随着经营战略的调整或兼并重组或增设新的部门、新的分/子公司等,现有的内控可能会无法全面覆盖或失效,从而降低甚至失去应有的控制力。若不能随着经营环境的变化及时修订、补充和完善相关制度,内控就难以发挥应有的作用。
何况,内控是由人来设计和执行的,设计人员因其知识和经验的限制可能会使内控存在先天缺陷,即使设计完善的内控,也可能因执行人员缺乏控制意识、出现错误的理解和判断、疏忽大意、精力分散等原因而失效。
另外,内部控制有其固有局限性,就算内控的设计和执行都没有问题,也会因串通和合谋,尤其是不相容职务的混同而失效。因为内控本质上是通过岗位的相互分离,在一定程度上避免或防止一个人或一个部门单独从事和隐瞒不合规的行为,因此再严密的内控措施都会因串通而失去控制作用。例如,记账的会计人员和负责钱款进出的出纳人员合谋贪污、仓库保管员与财产记录或核对人员串通造假、关键岗位的员工与供应商或顾客合谋造假等。
内部控制涉及企业中所有层级、所有人员,处于不同层级的人员或部门在内部控制系统中可能拥有大小不等的业务处理与决定权限,也就是说,任何控制程序都不能完全阻止那些负责监督控制的管理人员滥用或不正当行使职权的行为。超越职责权限会打乱正常的内控程序和业务流程,为徇私舞弊、违法乱纪行为的发生埋下隐患,如果高级管理人员凌驾于内控之上,那么造成的危害会更大。高级管理层是内部控制体系的设计者和执行的管理者与监督者,一旦超越内控设定的权限,控制程序就难以阻止其行为,导致控制程序失效。实践中,高级管理层越权往往是重大舞弊案件或虚假财务报告发生的重要原因。
因此,内控制度的建立和实施不可能消弭一切风险,只能降低风险,其只能为组织目标的实现提供合理的保证,而非绝对保证。所有的内控都不是完美的,内控只有更好,没有最好。内控永远在路上,没有终点。
无论如何,内控应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各项业务和事项,对企业实行全方位、全过程、全员的控制,不能留有控制的空白点和盲区。在全方位扫描的前提下,可有所侧重,关注重要业务事项和高风险领域,如“三重一大”决策事项。
内控的设计原理要求企业在治理结构、机构设置、权责分配和业务流程等方面相互制约、相互监督,使任何一方都不能独占优势、过分自由。但在这种情况下,也需要兼顾经营效率,要既相互制衡又相互配合,既相互牵制又相互协调,尽量减少矛盾和内耗,保证经营活动的连续性和有效性。同时,还需要与企业的经营规模、行业特性、竞争状况和风险水平相适应,并根据企业环境的变化做适时适当的调整与完善。