根据中天恒3C框架基于风险管理的内部控制研究结果,内部控制设计是以国家监管部门制定的内部控制规范及其应用指引为依据,结合主体的实际情况,用系统控制的技术和方法,构建主体自身内部控制体系的一个连续不断的动态过程。
理论界认为,内部控制系统由很多个内部控制循环组成。内部控制循环是个体上的概念,而内部控制系统是整体上的概念。通常,每个内部控制循环设计完成后,再加以整合,从而形成企业整体的内部控制系统。
实践中,围绕设计目标,中天恒将内部控制设计工作划分为收集资料和了解情况、现状流程描述、风险评估、寻找控制点、确定控制措施、明确控制责任、完善控制证据、编制内部控制文档、设计内部控制手册、制度优化10个基本流程。此外,根据内部控制实际操作需要,在基本流程的基础上,还应有多层次的具体流程,每个具体流程还需明确工作内容、方法、步骤及相应的表单等。
概括而言,所谓内部控制设计流程,就是内部控制设计的程序,包括内部控制设计准备、设计实施、试行及完善等基本流程。
内部控制设计准备
内部控制设计准备是内部控制设计的首要环节,也是内部控制设计的基础。企业应从认识、人员、时间、经费保证等多方面对内部控制设计进行长期准备。如果企业领导不重视,企业上下没有统一的思想认识,内部控制设计工作就很难有效推进。
笔者认为,具体内部控制设计技术层面的工作主要包括:
界定需求。界定需求就是对内部控制设计需求的界定。在内部控制设计准备阶段,界定需求对内部控制设计至关重要。
内部控制设计需求因主体构建内部控制体系的动因不同而不同。为了满足外部监管部门要求的内部控制设计要突出合规性和全面性,要以满足监管部门要求为内部控制设计的出发点;而为满足主体内部需要的内部控制设计则应突出针对性和有用性。同时,内部控制设计需求也会因主体及其运行特点而不同。不同的主体有自己的特点,主体运行的特点在一定程度上决定了内部控制设计的需求是有差别的。
主体进行内部控制设计的需求是复杂多样的。一般而言,内部控制设计需求包括:设计或完善整个内部控制体系;设计或完善重要项目或业务的内部控制制度,比如建设项目、采购业务等方面的内部控制;改进商业流程或绩效,有些企业进行内部控制设计就是为了改进特定商业流程或提高绩效。这种情况下的内部控制设计注重的是对商业流程的分析或影响绩效的诸多要素的分析。
分解目标。分解目标就是对内部控制目标进行细化。内部控制目标是设计内部控制的方向。确定内部控制总体目标是需要的,但过于笼统宽泛的内部控制总体目标不便于进行内部控制设计,内部控制目标应当具体且便于理解。因此,内部控制设计者应当对内部控制整体目标进行分解,以便进行内部控制的设计。
成立小组。成立小组就是要成立内部控制设计项目组。这是内部控制设计准备阶段的重要步骤,是内部控制设计工作能够有效进行的组织和人员上的保证。内部控制项目组包括领导组和工作组,工作组还可进一步细分。不管项目组怎样组成,也不管项目组如何细分,领导是关键中的关键,同时内部人员和外部咨询专家的相互配合也是至关重要的。
收集信息。收集信息就是收集内部控制设计方面的初始信息。这是内部控制设计准备阶段的基础工作,也是内部控制设计项目组的一项重要日常工作,应贯穿于内部设计全过程。内部控制设计所收集的信息会因单位、项目的不同而不同,但国家有关法律法规、组织结构、部门岗位职责及现行各项规章制度是最基本的信息。
初步了解。初步了解就是了解企业现有的内部控制状况,这是制定具有针对性内部控制计划和实施方案的前提。
制定计划。制定计划就是制定内部控制设计工作计划,是对内部控制设计项目实施的全过程所做的综合安排。涉及几个项目组的大项目,制定综合性工作计划是必要的。一般的小项目,工作计划可和实施方案合并。
编制方案。编制方案就是编制内部控制设计项目实施方案,是实施具体内部控制设计项目的具体依据。内部控制项目实施方案要具体、可操作,一般应包括具体目标、具体内容、具体人员、具体时间、具体流程、具体方法、具体要求。
下发倡议。下发倡议就是下发内部控制设计倡议书或通知书,为内部控制设计工作造势。内部控制设计工作涉及面广、难度大,需要多部门全力配合。这就需要高管人员的领导和大力支持。在内部控制设计开始前,下发倡议书或通知书,并由高管人员组织涉及内部控制设计的有关部门干部和员工召开内部控制建设启动仪式,阐明进行内部控制设计的必要性和现实意义,并提出配合要求,会起到事半功倍的效果。
内部控制设计实施
设计实施是内部控制设计的重要环节,是内部控制设计的关键,是内部控制设计的实质性阶段,是内部控制设计项目组成员具体落实内部控制设计方案的具体操作过程。内部控制设计实施的具体流程因单位、项目以及管理要求等的不同而不同。其基本流程包括:
调查评价。调查评价就是对内部控制现状的调查和评价。内部控制设计者应当向有关人员询问有关内部控制的情况;查阅有关内部控制的管理制度和文件;查阅以前年度有关内部控制评价的档案。这项目工作是在准备阶段的基础上进行的。调查评价涉及内容很多,本阶段重点关注:
(1)评价内部控制环境。不同主体间存在的差异大多体现在内部控制环境方面。控制环境是内部控制的基础,它设定了管理的基调和特色,影响着员工的控制意识,是其他控制要素的基础,同时也为其他要素提供了约束和控制结构。
因此,不同的内部控制环境将直接影响内部控制设计的很多方面,如内部控制程序的实施、控制方式的选择等。
(2)评价内部控制健全程度。内部控制设计者应当将内部控制的现状与内部控制标准进行对比,确定内部控制的缺陷和潜在风险,并进一步评价内部控制的健全程度。
(3)评价内部控制成本。在对现行内部控制体系进行了解和评价后,内部控制设计者应当初步评估达到预期目标将要发生的控制成本,从而决定内部控制设计阶段将要采取的控制措施。
调查评价阶段的工作成果是形成内部控制现状评价报告。
描述流程。描述流程就是对企业业务流程的现状进行描述,并在此基础上优化流程。内部控制设计人员要对企业各方面的业务进行认真梳理,按业务特点和复杂程度,划分业务流程。业务流程的划分从一级开始,逐步细化,目的是将企业的全部业务划分成各个单元,便于进行描述和分析。划分流程之后,需要对现行业务流程进行详细描述。设计者应当在制度分析和业务操作分析的基础上,采用流程图的形式,直观地反映各业务和管理活动的开展过程,为以后的风险控制分析打好基础。
本阶段的工作成果是编制业务流程目录、绘制业务流程图。编制业务流程目录便于界定主体业务活动的边界,实际上就界定了业务活动内部的内部控制范围。
设计人员可以直接绘制经设计完善了业务活动流程图,但根据中天恒内部控制设计的实践经验,绘制业务流程的现状图是有用的,这可便于与设计人员完善后的业务流程图比较,让管理者知道业务流程的完善之处。
事实上,业务流程再造是非常专业的工作,内部控制设计就需要对业务流程进行优化和完善。这里特别要说明的是,绘制业务流程图时,设计人员应从内部控制视角出发,重点绘制末级流程的业务流程图。
识别风险。识别风险就是确认风险的过程。要控制风险,就先要识别出风险,知道风险在什么地方。
本阶段的工作成果是编制风险原因分析表等。
评估风险。评估风险就是评估风险发生的可能性和影响。依据实际工作人员的工作经验和咨询人员的职业判断,对各个流程中存在的风险进行识别,分析风险发生的可能性和风险成因,评估风险发生的后果与风险重要性,研究确定风险因对策略。在单个流程风险评估的基础上,对风险进行整合,形成不同层面(集团层面、子公司层面、业务层面等)的风险评估报告。
本阶段的工作成果是风险数据库、风险评估报告。
选择策略。即选择应对风险策略的过程。风险应对策略一般包括规避、降低、转移、接受等。
鉴别环节。鉴别环节就是鉴别容易发生偏差的业务环节。这些可能发生错弊因而需要控制的业务环节通常称为控制环节或控制点。
控制点按其发挥作用的程度来划分,可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大,影响范围最广,甚至决定全局成效的控制点,对于保证整个业务活动的控制目标具有至关重要的影响,即为关键控制点。相比之下,那些只能发挥局部作用,影响特定范围的控制点,则为一般控制点。如材料采购业务中的“验收”控制点,对于保证材料采购业务的完整性、实物安全性等控制目标都起着重要的保障作用,因此是材料采购控制系统中的关键控制点。相比之下,材料采购控制系统中的“审批”、“签约”、“登记”、“记账”等控制点,即是一般控制点。
需要说明的是,关键控制点和一般控制点在一定条件下是可以相互转化的。某个控制点在此项业务活动中是关键控制点,在另外一项活动中则可能是一般控制点,反之亦然。
确定措施。确定措施就是风险应对策略的具体实施措施或途径。
在风险识别和风险控制分析的基础上,与企业各部门进行反复、深入交换意见,对现有流程图和风险控制分析表进行讨论,确定控制点。在此基础上,针对具体的风险,为每一个控制点制定出具体的控制措施。控制点的功能是通过设置具体的控制措施来实现的。如现金控制系统中的“审批”控制点,就设有:(1)主管人员授权办理现金收支业务;(2)经办人员在现金收支原始凭证上签字或盖章;(3)部门负责人审核该凭证并签章批准等控制措施。银行存款控制系统的“结算”控制点则设有:(1)出纳员核查原始凭证;(2)填制或取得结算凭证;(3)加盖收讫或付讫戳记;(4)签字或盖章;(5)登记结算登记簿等控制措施。以上两个控制点的差异,说明由于其控制的业务内容不同,所要实现的控制目标不同,因而相匹配的控制措施也不相同。因此,实际工作中,必须根据控制目标和对象设置相应的具体的控制措施。
整合流程。控制流程就是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。
控制流程,通常同业务流程相吻合,主要由控制点组成。当业务流程存在控制缺陷时,则需要根据控制目标和控制原则加以整合。
明确责任。在确定各控制点和控制措施的基础上,将控制责任落实到相应的部门和岗位上,以保证责任到人,失职必究。
完善证据。完善证据就是在上述工作基础上,完善各种表单,形成控制证据。控制证据有两方面功能:一是表单本身就是控制措施的落实,将控制点和控制措施落到实处;二是表单的流转为内部控制留下痕迹,有利于进行内部控制评价与审计。
编制文档。编制文档就是在上述各项内容的基础上,编制成内部控制文档。内部控制文档应当包括:控制目标、风险分析、控制点、控制措施、控制责任、控制证据等。
设计手册。对现场工作取得的成果和收集的资料做进一步的整理和完善,编制控制程序文件,并将上述各阶段成果汇总形成企业的内部控制管理手册。
本阶段的工作成果是内部控制管理手册。内部控制管理手册没有固定的内容,一般包括总体框架、控制目标、控制依据、流程目录、风险描述、关键控制、控制措施、控制文档、权限指引等方面。
优化制度。考虑到中国企业对内控制度的高度认同和有效执行,根据内部控制措施对现有制度进行完善,修订后下发执行。
内部控制的试行完善
试行完善,是内部控制设计的必不可少的一个环节。内部控制不管设计得如何完美,关键是能够有效执行,并符合成本效益原则。因此,内部控制设计初步完成后,应当进行内部控制的试运行,从而对内部控制系统合理性和有效性进行评价,并进行必要的完善,最后内部控制系统才能进行实际运行和全面推广。
局部试行。局部试行就是对设计的内部控制选择一些单位或业务循环进行试运行,以检查其运行的效果。
修改完善。修改完善就是针对试运行的情况,修改不足之处,进一步完善内部控制设计。事实上内部控制的修改完善是一个长期的过程。
全面推广。全面推广就是经试行完善后,方可全面推广设计的内部控制。内部控制建设就由设计阶段进入实施阶段。
