(三)公司内控建设的实务过程?
AB建设公司的实际内控体系设计,使用的方法就好比对房屋进行整修,主要是以公司组织机构架设为经,以业务流程再造为纬,搭建起内部控制建设的“脚手架”,再通过“脚手架”,将内部控制的因素和方法添置到企业这幢“房屋”中,从而提高“房屋”的实用性(管理效率)和抗灾性(抗风险能力)。例如,为控制采购活动,提高效率,防止盲目浪费,通过对组织机构进行调整,将固定资产采购权力由原先的事业部收回到公司总部,由公司设备管理部统一进行计划、审批和实施。又如,为了营造企业良好的控制环境,强调员工控制责任,提高控制意识,要求所有员工签订《保密协议》,使其明确在AB建设公司工作需要尽到哪些保密义务、违反保密协议需要承担哪些责任;对于特殊岗位的员工,如研发人员和采购人员,还需分别签订《同行竞业条款》和《阳光协议》,保证企业资源为企业所有,不掌握在个人手中。再如,通过建立全面的合格分包商考评体系,从风险评估和监督的角度出发,为分包商的选择、评价、确定、考核的整个过程提供依据。?
二、思考和启示?
(一)BPR、ISO、IC、ERM、SOX……企业何去何从?
有远见的公司高层往往出于自身需求或外部压力,希望通过外部中介机构的专业能力提高公司的经营管理水平。而企业流程再造(BPR)、质量管理体系(ISO)、内部控制(IC)、企业风险管理(ERM)、萨班斯—奥克斯利法案(SOX)又都是时下热门的管理咨询项目,改造对象上又都或多或少同企业组织结构和业务流程相关,改革心切的管理者往往在选择上左右为难。那么它们之间究竟有何区别和联系??
ISO改造同其他四者联系最小,区别最大。质量管理是在质量方面指挥和控制组织的协调活动,通常包括制定质量方针、目标以及质量策划、质量控制、质量保证和质量改进等活动。ISO9000是国际上通用的质量管理体系。企业为使其产品质量达到国际标准从而更具市场竞争力,往往会遵循ISO9000系列的质量管理体系,这就要求企业在组织机构、岗位职责、业务流程、操作程序和资源使用上有机协调,保证产品从采购、生产、销售、服务一条链上满足质量标准。简单地说,ISO改造的核心是“质量”,过程是围绕质量提高并依照一定国际标准而进行的组织结构、岗位职责、流程操作等方面的改造。?
BPR是20世纪90年代初期在美国兴起的管理变革浪潮,它是一个根本设想,就是以首尾相接、完整的整合性过程来取代以往被各部门割裂的、不易看见也难于管理的支离破碎的过程。BPR的核心是“效率”(包括成本效率、生产效率、质量效率、服务效率等),过程是围绕效率提高对企业进行根本性和彻底性的改造。?
IC和ERM的关系最为密切。?
内部控制起源于18世纪产业革命以后,但真正建立起系统概念体系是在20世纪90年代。1992年,COSO委员会提出了内部控制的纲领性文件——《内部控制整体框架》,简称COSO报告。COSO报告把内部控制定义为:内部控制是受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务性;与法律法规的遵循有关的目标,即确保企业在经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。它们的关系是:控制环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,监控是保证。?
在内部控制整体框架的基础上,结合《萨班斯—奥克斯利法案》,COSO委员会于2003年发布了《全面风险管理框架》。该框架是建立在《内部控制整体框架》基础之上的,它既包括《内部控制整体框架》,又是对它的扩展。《全面风险管理框架》是明确针对风险概念的一个框架。它增加了一个目标,即战略目标。战略目标比其他三个目标的层次更高,这意味着风险管理不仅要确保企业财务报表的真实可靠、企业经营的效率与效果、遵循有关的法律法规,而且要深入到企业的发展战略制定当中,管理企业在战略制定过程中可能出现的战略风险。同时《全面风险管理框架》增加了三个要素,即目标设定、事件识别和风险对策。
除了上述定义、目标、要素、范围的不同外,笔者认为内部控制和企业风险的区别还特别体现在以下两点:一是侧重的层面不同。内部控制侧重的是制度层面,即通过建立完善管理规章制度达到规避风险的目的。而企业风险管理侧重发展战略选择层面和市场交易层面,它关注特定业务中与战略选择或经营决策相关的风险与收益的比较,并通过市场化的自由竞争或风险管理工具规避风险。二是发挥的作用不同。内部控制主要是帮助公司高级管理人员在开展公司业务的过程中,实现公司利益最大化,并保证公司所有的活动都在总经理授权的情况下进行。而企业风险管理不仅包含以上内容,还包含解决外部股东、内部股东、董事会与高级管理人员的关系。主要帮助董事会在开展业务的过程中,秉承董事会的战略,实现股东利益最大化。
(二)谁更需要内部控制?
在认识了BPR、ISO、IC、ERM、SOX的区别与联系后,那么究竟哪类企业或哪些企业更需要加强内部控制建设呢?笔者认为,处于转型阶段的国有改制企业和民营企业,相对于其他企业而言,内部控制建设的迫切性和必要性更大。
企业的发展大致可以分为创业、转型、成熟三个阶段。在创业阶段,管理者和员工上下齐心,吃苦耐劳,有较强的凝聚力;团队之间有良好的信任,不拘泥于规章制度,运行效率高;灵活多变,对市场有较快的反应能力。但缺点是规模小,抗风险能力较弱,无法应对大机会,缺乏吸引大客户的能力。此时如果过多的在日常经营管理中加入内部控制因素,一是成本太大,二是适用性不强,三是影响效率,因此实施全面系统的内控建设条件还不成熟。
