内部控制的管理逻辑(内部控制的管理逻辑是什么)
财政部等五部委于2008年5月发布了《企业内部控制基本规范》(财会〔2008〕7号,以下简称“基本规范”),并于2010年4月发布了《企业内部控制应用指引》(财会〔2010〕11号,以下简称“配套指引”)等三项配套指引,建立了我国的内部控制规范体系。经过近四年的推广,内部控制的概念被越来越多的企业所接受和践行,但是在实务中我们也看到许多企业的内部控制体系和日常管理工作没有做到有机结合,实施内部控制流于形式和表面,内部控制体系建设出现了走过场的情况。这一点我们可以从相关监管机构不断放宽内部控制体系的实施时间就可见端倪。2008年的基本规范要求自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。2010年的配套指引要求自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到所有主板上市公司,鼓励非上市大中型企业提前执行。2012年财政部和证监会联合下发《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会〔2012〕30号,以下简称“通知”),要求所有主板上市公司应当自2012年起着手开展内控体系建设,并根据不同类型的上市公司,分别要求在2012年、2013年和2014年全面实施内部控制规范体系。
内部控制的建设动力来源于外部监管要求和内部管理提升需要。目前很多企业的内部控制体系建设还停留在满足外部监管要求上,并且这种满足还仅仅是表面的满足合规性。虽然有越来越多的企业也希望借助内部控制体系建设来实现管理提升,但却苦于没有有效的建设方法。根据笔者的经验,要把内部控制真正植入企业日常管理工作,必须解决两个问题:
一是,深刻理解内部控制的管理逻辑。控制是管理的四大职能之一,因此,不管企业有没有意识到,有管理的地方必然存在控制。高校的专业设置和企业的组织结构设置,使我们一谈到管理,思维会被限制在具体职能的管理上,如销售管理、人力资源管理等,而忽略了不同职能之间的互动关系。我们之所以说借助内控体系建设可以提升内部管理,是因为内控体系本身囊括了企业管理的方方面面(具体体现为内部控制的五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督)。在内部控制体系的建设过程中,可以打破原有职能之间的壁垒,我们可以从系统论的角度来梳理企业管理的逻辑,进而优化企业的管理活动。
二是,选择正确的内部控制建设目标和建设方式。在深刻理解内部控制管理逻辑的基础上,我们还需要确定合理的内部控制建设目标,并选择适当的建设方法,才能确保内部控制体系建设落到实处、取得实效。对于这部分内容,具体参见后续将推出的文章《分阶段长效内部控制建设方法初探》。
我国的内部控制规范体系由基本规范和配套指引组成,前者更多是原则性的要求,并以五要素形式分类;后者包括18项应用指引、1项评价指引和1项审计指引,其中应用指引(以下简称“指引”)分为控制环境、控制活动和控制手段三大类,给我们提供了审视企业管理的不同维度,是内部控制体系建设的重要指导性工具。上述分类方法(五要素和三大类)虽然便于从理论上学习和掌握内部控制的内容,但美中不足的是无法体现内部控制在企业日常管理的逻辑关系。如果企业在内部控制体系建设过程中生搬硬套基本规范和指引,就会导致内部控制体系建设成果走入堆砌和罗列的死胡同,与日常管理形成“两张皮”现象,这也正是部分企业的内部控制体系建设流于表面合规的重要原因。
笔者认为,内部控制的管理逻辑可以从静态和动态两个角度来理解:基本规范更多地体现在动态管理逻辑中;应用指引则需要从静态和动态两个角度来理解。静态管理逻辑为内部控制体系建设提供方向性的指引;动态管理逻辑则是内部控制体系建设的具体对象。
一、内部控制的静态管理逻辑
图1 内部控制的静态管理逻辑
企业管理始于使命、愿景和价值观
企业管理始于使命、愿景和价值观(第5号指引企业文化):使命回答了“由谁肩负使命”的问题(如迪斯尼的使命为“使人们过得快活”);愿景回答了“我们要去哪里”的问题(如迪斯尼的愿景为“成为全球的超级娱乐公司”);价值观则回答了“我们如何去那里”的问题(如迪斯尼的价值观为“注重细节、创新和保持迪斯尼的魔力形象”)。在管理实务中,企业往往不区分使命和愿景,而将两者合二为一。
使命、愿景和价值观都是抽象的概念,如何使抽象的概念落地,这就需要制订行为规范(第5号指引企业文化),将抽象的概念具体化、行为化和规范化,如果是一个以创新为核心价值观的企业,那么,其行为规范必然具有包容差异,允许失败的内容。
企业的使命、愿景和价值观的形成既要考虑企业的发展历史,也要考虑相关利益者的诉求(第4号指引社会责任)。企业的核心利益相关者包括股东、客户和员工,股东的诉求是持续稳定的投资回报;客户的诉求是优质、健康、安全的产品和服务;员工的诉求是职业健康、体面的工作和合理的收入。随着时代的进步,企业不仅要考虑核心利益相关者的诉求,还越来越多地需要考虑其他利益相关者的诉求,如政府部门、环保组织、社区等诉求的促进就业、环保节约、慈善事业等等。
从愿景到战略
企业的使命、愿景和价值观是在较长一段时间内稳定不变的,但是面对瞬息万变的外部环境和内部资源、能力,企业需要思考如何分阶段去实现长远的使命、愿景目标,这个过程就是战略管理(第2号指引发展战略)的过程。使命和愿景指引着战略制定的方向;而核心价值观则引导着战略的思考方式以及执行策略。
战略实施四要素
战略的实现依托四个要素,即流程、组织、人员和信息。这里的流程是广义上的流程,从企业价值链(甚至供应链的价值链)到狭义的流程。流程是企业创造价值的过程,也是内部控制体系建设重点关注的领域。这部分内容是应用指引体系占比例最多的,涉及第6-13号指引、15-16号指引,既包括控制活动,又包括控制手段,需要更多地从动态角度去理解。组织(第1号指引组织架构)涉及企业中的角色和职责分配,既包括公司治理结构,也包括职能管理机构,控制措施中的不相容职务分离控制和授权审批控制也主要体现在此要素中。应该说,流程与组织是相辅相成的,横向看即为流程,纵向看即为机构、岗位的设置及其职责和能力要求。机构设置是为了实现专业分工的好处,流程管理则是为了真正的创造价值。流程和组织架构都是虚拟的,真正要让企业运行起来必须有人(第3号指引人力资源)这个要素的参与。在组织架构设计中确定了不同岗位的能力要求,在人员环节需要考虑的是如何吸引、保留、开发和激励具有合适能力的人员。如果说核心价值观考虑的更多的是人的“德”,那么在这里考虑更多的是人的“才”。实务中的内部信息传递可以分为财务报告体系(第14号指引财务报告)和管理报告体系(第17号指引内部信息传递)两类。随着电脑和网络的普及,信息系统(第18号指引信息系统)在内部信息传递中扮演着越来越重要的角色。一个好的信息系统能够让适当的信息、适当的方式、适当的时间和地点提供给适当的人员,提高企业的决策和经营管理能力。
同样的核心价值观
可以引发不同的战略和策略
应当看到,同样的核心价值观可以引发不同的战略和策略,从而需要不同的流程、组织、人员和信息来支撑战略。例如,索尼和3M都将创新作为核心价值观(分别是Creative 和Innovation),在此核心价值观下,两者必然都将新产品研发作为重要的竞争战略来实施,但实施路径却大相径庭。索尼公司在流程上会强调市场部门与研发部门之间的互动;在人员上会强调人员的专业性;在信息上会更重视客户信息的反馈,并且时刻关注技术发展动向。3M在流程上强调后勤部门对研发的支持;在人员上更强调人员的多元化;在信息上会需要更严谨的产品生命周期价值的反馈(为激励相关创新员工提供依据)。
可见没有标准的通用于各企业的管理模式,条条大路通罗马,只要保持使命愿景价值观、战略和战略实施要素之间的有效衔接,就是好的、有效的管理。因此,要从管理提升角度全面推进内部控制体系建设就需要贯彻内部控制建设的重要性原则和适应性原则,由上而下地对企业的管理逻辑(经营模式、管理模式)作深入的理解,才能避免出现千篇一律都能适用的内部控制体系文件。
二、内部控制的动态管理逻辑
内部控制的动态管理逻辑(图2)是在静态管理逻辑的基础上,加入了时间的因素,是企业日常经营活动的具体展开。表面合规的内部控制体系一大表征就是对照基本规范和应用指引硬性罗列各项制度和流程,完全脱离企业日常管理的实际。
比如销售、生产、采购、资金等管理职能都需要年度或月度的计划工作,这些计划工作和预算管理是如何联通的?又如控制措施中的预算控制(其中的预算分析环节)、运营分析控制和绩效考评控制应该如何整合?再如工程项目、研发和投资都要求做立项研究,这些立项科研工作应如何协调?我们看到在很多表面合规的内部控制体系中这些制度和流程都是相互独立的,一到实际操作就会让企业员工无所适从。要破除这些混乱,需要将基本规范的原则要求和应用指引的指导性规范还原到企业管理的各个环节中去,要充分理解这些内部控制要素和控制活动及其依附的管理活动是如何相互衔接和交叉互动的。
图2 内部控制的动态管理逻辑
使命、愿景、价值观
一般来说,企业的使命、愿景和价值观一旦确定,会在较长的几十年内保持不变。这部分内容除了与战略目标直接相关外,还有一个通常被忽略的联结点,那就是行为规范与绩效考核的关系。基本规范第18条所要求的高管在企业文化建设中起垂范作用与员工遵守行为准则,如果缺乏相应的考核机制是很难真正实现的。基于中国的国情,企业中的党风廉政建设往往与行为规范也存在一个管理上的联结点。
战略规划阶段
战略是为应对复杂多变的内外部环境而制订的路线图,因此,战略规划的覆盖周期需要根据环境的变动情况而定,环境多变的企业可以将战略规划周期设定为3年,环境较为稳定的企业则可以为5年,甚至10年规划。在战略规划中核心内容之一就是要确定战略目标,制订目标评价指标体系(基本规范第35条)和目标值。在目标值的制订过程中,同时会考虑风险预警指标(基本规范第37条)及其相应的处置预案。第9号指引销售活动第5 条要求企业做好市场调查和营销方式等营销管理工作。
企业中的营销管理简单来说就是一个中心(以客户需求为中心),二个基本点(做好市场细分和营销组合两项基本工作),其工作过程与战略规划的过程是密不可分的,应该说营销的一头连着战略规划,另一头则连着销售规划。此外,需要特别指出的是,在实务中企业往往将风险评估(基本规范第3章20~27条)作为一项独立的工作来实施,正是由于这种理念导致内部控制体系中的风险评估和全面风险管理工作无法落地。笔者认为,企业内部最适合承担风险评估工作的应当是战略管理部门,应将风险评估工作与战略管理过程融为一体。因为,对内部风险和外部风险的评估就是SWOT 和PEST 等战略规划工具的应有之意;同理,企业风险的持续动态评估也应当纳入企业战略评估的工作当中。同时,将风险评估与战略管理相融合,更能体现对风险之下蕴含的机会的发掘和把握,更能体现内部控制的目标之一:促进企业实现发展战略。
年度经营计划阶段
企业大量的日常管理工作是从年度经营计划开始的。年度经营计划可以从投资计划、日常运营计划和资金计划展开。投资计划和资金计划围绕人、财、物展开,影响的是企业长期的运营能力;日常运营计划则以产、供、销为主线,考虑的是企业当期的经营成果。年度经营计划中的定量部分(不仅仅是财务部分)则构成全面预算(第15号指引)的内容。
从资本投资计划看,根据已有的战略规划,企业首先需要考虑的是是否引入外包机制。采取轻资产战略的公司会在保留核心竞争力的同时,尽可能通过业务外包(第13号指引)来瘦身,以提高ROCE;而采取重资产战略的公司则需要筹划投资版图,考虑到投资的具体形式则包括股权投资(第6号指引)、固定资产投资(第8号指引)、工程项目投资(第11号指引)、无形资产投资(第10号指引)、人力资源投资(第3号指引)和信息系统投资(第18号指引)。对于采掘业、核电等特殊行业的企业还需要考虑安全设施(第4号指引)的投资,当然,这部分投资也可以与固定资产投资等项目整合进行。除股权投资外,所有这些投资,都会在实际投资完成后转入日常运营计划的规划范围内。股权投资则比较特殊,一旦投资完成,企业将面临新的课题,即母子公司的管控问题。当然,从广义的角度看,相应投资资产的收回和处置也应当是投资计划的应有之义。从日常运营计划看,按照信息的传递顺序,分别是销售计划(第9号指引)、生产计划、设备维护计划(第8号指引)和采购计划(第7号指引)。在汇总投资计划和日常运营计划资金流信息的基础上,形成企业的资金计划(第6号指引),内容包括融资计划和营运资金管理计划两部分。全面预算是在年度经营计划的基础上形成的,其内容不仅仅限于财务信息,还包括非财务的管理报告信息(第17号指引)。应该说预算财务报表是对年度经营计划目标的综合体现,而非财务信息则更多以附表的形式,诠释了财务信息的来龙去脉。在企业实务中,年度经营计划和全面预算工作往往是合二为一的,全面预算被视为是实现年度经营计划工作的手段。基于年度经营计划和全面预算,绩效考核方案(第3号指引)孕育而生。对下属单位的绩效考核通过经营责任合同的形式下达;而对职能部门和员工的考核则通过年度绩效方案的形式分解落实到每个员工。
执行和反馈阶段
执行和反馈阶段,是人财物、产供销各项管理工作的具体展开。合同管理(第16号指引)是界定企业的权利义务的重要管理手段;而全面预算则是协调各项业务活动的基本依据,同时通过预算分析对企业经济运行状况进行持续监控。各项业务活动的信息首先会接受业务系统的处理(如EDI,OA,MRP 和ERP 等等),然后接受财务系统的处理。业务系统和财务系统之间的数据传递可以是人工二次输入,也可以是系统通过接口自动传递。每月末,业务系统和财务系统的信息经过加工整理,分别形成管理报告(第17号指引)和财务报告(第14号指引),因此,运营分析和预算分析也是无法完全分开的职能。
监督与考核阶段
内部审计(基本规范第15、44条)是企业内部监督的主要内容。国有企业除此之外,还有纪检监察对党员干部的内部监督机制。而反舞弊和举报机制是企业审计监督和纪检监察重要的信息来源(基本规范第42、43条)。
绩效考核(第3号指引)是确保企业目标最终实现的有力手段,考核的结果除了在人力资源领域的运用外,还会为战略规划和年度经营计划提供修正依据,从而实现企业管理工作的闭环。
三、结语
内部控制体系建设的基本逻辑是:控制目标→潜在风险→控制措施。因此,要建设并全面落实内部控制体系,必须首先了解企业的管理逻辑(静态逻辑和动态逻辑),从而理解企业的战略目标和各个环节的经营管理目标。在此基础上,才谈得上选择适当的内部控制体系建设目标和方式,来逐步推进内部控制体系的建设和实施。
作者:谢力 供职于天职国际上海分所管理咨询部