第2版序言 企业内部控制:从“一句废话”到“千变万化”
由简入繁:企业内部控制缘何复杂
内部控制的核心思想可以归纳为一句话:“如果你觉得会受到损害,那么你就应该采取对策。”趋利避害是人类的本能,这句话几乎就是一句“废话”。
然而,就是这样一句“废话”,在现实中却呈现出了千变万化的情形。不仅国家出台了一系列内控相关文件,而且理论图书更是汗牛充栋。与此同时,企业所进行的实践活动亦是令人眼花缭乱。为什么会这样?笔者认为,一个关键的原因是,即使在不考虑企业战略多样性的前提下,企业经营本身也是一个极端复杂的场景。这种场景的复杂性直接导致了内部控制的复杂性。具体表现在以下四个方面。
1.企业目标的多样性
企业在其既定战略及目标下,需要对股东、债权人、员工、社区或社会公众、行业内其他企业、政府等主体的利益诉求进行积极响应。与之相联系,企业往往需要同时遵循税务、环保、安全、质量、特殊行业监管、资本市场、劳动者保护、反垄断等多方面要求。例如,2021年4月,市场监管总局依据《中华人民共和国反垄断法》,对美团立案调查:美团因滥用在中国境内网络餐饮外卖平台服务市场的支配地位,采取多种惩罚性措施、手段等,保障其“二选一”独家合作行为的实施,排除、限制了相关市场竞争,被责令停止违法行为,全额退还独家合作保证金,并处以34.42亿元罚款。
2.企业外部环境、业务模式及风险态度的多样性
外部环境。企业外部环境可能会持续发生变化,即便当前不存在重大风险,未来也可能出现重大风险。例如,笔者所住小区旁边是上海一大型会展中心,路边餐饮门店将展会带来的人流作为主要目标客户。然而,2021年由于疫情的影响,数月之内的会展中心活动都被取消了,餐饮门店损失惨重。
业务模式。不同的企业通常会采取不同的业务模式,进而影响企业所面临的风险特征。例如,危化品生产、运输等企业会面临更加显著的危化品安全相关风险;在经营过程中需要获取大量客户信息的企业,会面临更加显著的客户信息泄露风险。
风险态度。不同企业的高层对风险的偏好存在差异,一些企业愿意“冒险”,而另一些企业则会选择“保守”,这会对企业所面临的风险特征产生显著影响。例如,在2020年前后国家对房地产行业进行宏观调控的大背景下,一些房企采取了“去杠杆”“缩规模”的措施,而另一些房企则进一步扩大经营规模。
3.企业风险管理活动的多样性
即使针对客观上完全相同的风险,不同的企业所进行的风险管理活动也可能存在显著差异。
风险识别和评价能力建设。由于企业部门设置、职责分配、人员素质、领导重视程度等因素的影响,不同企业在识别风险、评价风险的能力上会出现显著差异,具体表现为一些企业对风险能够保持敏感,而另一些企业则对风险缺乏反应。例如,2021年9月13日,台风“灿都”登陆我国期间,一名行人在上海长风大悦城星巴克门口被一未得到有效固定的广告牌砸伤。
风险承受及控制成本投入。由于业务规模、资金实力、股东背景等因素的影响,不同企业的风险承受能力以及控制成本投入也会存在差异。实力雄厚的企业不仅能够承受较大的风险损失,还能够在控制成本上进行更大的投入。例如,设置专业部门,引入专业人才,购买专业数据,购买咨询服务等。
控制措施选择。所谓“条条大路通罗马”,针对同一类风险,由于企业文化、管理风格、信息化水平等因素的影响,不同的企业可能选择不尽相同的控制措施。例如,针对费用控制,有的企业主要依靠业务部门审核,有的企业主要依靠财务部门审核,而有的企业则更多地依赖执行预算费用标准。
4.企业构成主体的多元性
一家企业,无论规模大小,通常都会由多个部门、岗位构成,而在这些部门、岗位上,会配置相应的人员。如果是企业集团,还会涉及总部和下属分支机构。企业构成主体的多元性是企业内控复杂性的一个重要因素。企业构成主体的多元性要求我们关注如下问题。
目标和权责利结构。在同一企业内部,不同的主体会有不同的微观目标和权责利结构。例如,在生产过程中,生产部门追求生产任务完成率,质量部门追求产品质量合格率;在投资过程中,业务部门追求项目落地,风控部门追求风险可控;在预算编制过程中,各个部门都希望收入类预算目标易于达成,费用类预算目标留足余地。因此,企业必须在各主体间协调、沟通等方面设置控制措施以明确不同主体的目标和责任,例如,召开跨部门协调会议,设计集体决策机制,制定责任认定程序等。
组织习惯养成成本。有种观点认为,自然人养成一个习惯需要21天。一项管理制度或流程通常会涉及多个部门或岗位,制度或流程的有效执行则依赖所有相关人员都能够有效执行,这种“习惯”的养成不可能一蹴而就。因此,企业还需要采取必要措施,例如,加强人员培训、制度宣传贯彻、绩效考核等。
信息不对称与代理问题。在企业多个主体之间,会存在多个“代理链条”,例如,董事会代理股东会开展工作,总经理会代理董事会开展工作,并这样一级一级往企业基层传递。在代理关系中,不同主体间往往会存在信息不对称的情况,进而产生代理问题,如“偷懒”“道德风险”“过度冒险”等问题。典型的例子包括:设备维护人员执行点检时“敷衍了事”,信用审核人员“放水”,费用报销人员“夹带”个人费用,收银员侵吞收入款等。由于存在这些问题,企业还需要采取包括加强监督检查、落实不相容职责等在内的一系列措施。
企业目标、外部环境、业务模式、风险态度、风险管理活动、企业主体权责利结构及信息不对称等诸多因素,会直接增加企业所面临风险的多样性,进而增加具体控制措施的复杂性。而这些复杂性,又会给企业带来如下两个方面的影响。
(1)具体控制措施持续演化。
在企业的经营场景下,企业为了达到最终的控制效果,往往需要对控制措施进行持续演化。比如:
1)企业必须持续识别和评价风险,并制定对应的控制措施。
2)为了让这些控制措施能够执行,企业可能需要落实具体的部门和岗位职责。
3)为了让各个部门和岗位人员能够高质量履职,企业可能需要制定具体的工作执行标准。
4)如果控制措施涉及多个岗位或部门,企业可能需要制定跨部门和岗位的流程,以进行分工和协调,并固化最佳实践。
5)为了确保各个部门和岗位有效履职,企业可能必须关注对应岗位人员的能力与素质匹配,而实现这一点,企业则可能还需要关注人才的引入、培训和考核。
6)为了提高各部门和岗位的履职质量,同时降低道德风险,企业可能需要关注不相容职责分离并形成业务牵制。
7)为了明确各个部门和岗位的工作责任,传递信息、留下痕迹,企业可能需要设计业务执行配套表单并记录。
8)为了提高各类管理活动的严肃性、一致性并实现持续优化,企业可能需要形成书面制度文件,并对其进行持续评估和迭代更新。
9)为了从整体上进一步提高内控体系的执行效果,针对内控体系中的各个环节,企业可能需要引入独立监督。
上述控制措施的演化过程可参看图P-1。
图P-1 控制措施的演化过程
(2)企业内控成功要素变得多元。
上述控制措施复杂性的叠加,使得卓有成效的企业内控依赖于一系列相互联系的成功要素,具体如图P-2所示。
图P-2 内控取得实质效果的关联要素
化繁为简:提炼企业内部控制的基本范式
内部控制复杂的表现形式,可能会让企业忽略其实质,甚至出现机械模仿的现象。市面上很多内控图书,主要都是展示一些制度或流程示例。事实上,由于各家企业情况不一,读者可能会发现这些示例很难生搬硬套。例如,示例中可能会涉及多个部门,然而读者所在企业的组织架构中可能并未设置相同的部门。又如,示例中可能将特定事项最终的审批权限设置得很高或者很低,读者所在企业却并没有这样的权限设置。笔者认为,有价值的内控图书,应能透过丰富多彩的内控实践表象提炼出企业内在的基本范式,同时展示企业应如何结合其自身战略、业务特征等因素加以应用。就企业内部控制而言,其基本范式表现在如下五个方面。
(1)意识与理念。
在任何企业,企业人员(特别是中高层人员)具备风险意识、内控理念,是推动企业内部控制的基本前提,而风险意识和内控理念存在基本范式。
(2)风险与对策。
有效地识别与评价风险,制定有针对性的对策,是内控实施中的关键一环。风险本身可能有各种表现形式,但识别风险、评价风险以及针对风险制定对策,存在基本范式。
(3)原理与工具。
将实务中的各种管理实践进行归纳,能够得出被反复检验的内控原理和措施工具范式,特定企业只需要结合其自身情况对这些原理和措施工具进行调整即可加以应用。
(4)场景与应用。
企业应能够在具体业务场景下,灵活地进行风险识别、评估并制定对策,灵活应用前述内控原理与措施工具。如何在典型业务场景下分析并应用内控,存在基本范式。
(5)体系与落地。
碎片化的内控措施无法有效发挥作用,企业必须致力于搭建内控体系并推动其落地执行。如何实现企业内控体系搭建及落地,存在基本范式。
本书的最主要目标就是对上述内控范式进行提炼,同时展示其应用要领——围绕内控范式,让读者先“懂”再“用”,如表P-1所示。
表P-1 本书对内控范式的提炼
企业内部控制受到多种因素的影响,使其表现出复杂性。而掌握内控,则需要透过其复杂性总结内在规律,提炼并应用其基本范式。本书将通过系统专业的总结和大量实操案例,帮助读者“知其然并知其所以然”,切实提升自身对内控的理解和专业应用能力。
结合理论界与实务界的最新发展及读者反馈,第2版在第1版的基础上,除了进行全面文字修正、案例及分析性内容增补,主要还更新了如下内容。
(1)第2章中新增内控体系的战略导向,从上市公司内控审计看企业内控合规要点,从央企内控文件看企业内控合规要点,企业合规的专业属性等内容。
(2)第3章中新增“五要素”闭环风险分析模型及其应用等内容。
(3)第4章中新增越权风险解析、评审内部控制措施工具的应用等内容,修订通过信息化完善内控等内容。
(4)第5章中新增研发业务循环内控质量分析示例等内容。
(5)第6章中新增财务报告内部控制核心问题解析等内容。
冯萌 宋志强
2024年1月