企业如何做内控评价?

发布时间:2022-11-18发布部门:总裁办公室

内控评价,是企业内控管理的一个步骤。内控管理比较规范的企业,会包括三类内控评价形式:一是定期的企业层内控评价;二是与审计项目结合的动态内控审计;三是基于某业务、项目等领域的专项内控评价。

01.内控评价前提原则及认识模糊

在大多数人的理解里,把内控评价内容定义为:对内控设计、执行的有效性进行评价。听起来似乎很有道理,但本质上什么都没说,理论和实践还是有很大差异的。

(一)5个内控评价的前提原则

1)不能用结果说明过程控制的有效,而应用过程有效证明结果。(2)不能用没有问题证明管理的完善,而应用管理的完善反映风险控制力。(3)不能用业绩卓越证明管理卓越,卓越的业绩,可能建立在高昂的试错成本或机会成本上。(4)不能用单一问题否定管理的有效性,重复性问题才能说明设计或执行中存在不足。(5)不能用规模型企业的内控评价方法,强加于中、小、新企业,而应以发展阶段、外规遵从风险、管理追求作为内控评价的视界基线。

(二)3个认识模糊的方面

1)对内控评价“内容结构”的认识模糊。企业内控管理,在满足合规要求的前提下,是一个持续改进的过程,需要理顺“内控机理”:是管理驱动内控?还是内控代表管理?这是一个整体与部分的关系,决定着内控评价的关注点和方法。

我的理解是:内控是企业为维持运作秩序(包括满足合规要求),防范重复发生流程风险,采取的“风险解决方案”。在合规管理(外规)方面,企业的相关内控需要固化设置;在管理方面,内控的设置是以需求为牵引的。所以,管理驱动内控,内控是管理的一项功能,功能面向的是流程风险,与流程目标有关,流程产出才会对企业目标构成影响。

内控评价,不仅仅是对“控制活动”本身的评价,而是通过确定被评价领域,以理解管理本质为前提,围绕确定的单个流程进行评价,通过对流程控制的“设置、规则、角色活动要求、产出”的理解、查验、测试与评价,以证实“功能”是否正常。

2)对内控评价标准理解的认识模糊。从理论上讲,实施内控评价要建立“评价标准”,这句话本身没有问题,但从实践角度,“企业的内控评价标准”很难设计。即使很多企业完成并发布了包括“定性+定量”评价标准的制度,机构也可以拿出来一份 “公式化定量标准”,看似合理,只要是企业层的,就很难具备现实性,只是为了证明评价 “有参照标准”这个过程而已。

3)具体内控评价方面的认识模糊。其实,这一点不能称为模糊,而是由内控设计、评价人员具体能力形成的行为结果反映。承担过一些企业的评价,也临时帮助过几个评价项目的“救火”,完全沿用“审计”模式进行内控评价,具有一定局限性;用程序执行记录衡量内控,不完全准确。

譬如:验证一份审批单,可以反映程序的记录过程非常齐全,这在企业中是常见现象,但不能反映控制的目的和效能。原因是,依据控制活动的“输入设计”,从内容、结构上,都不能支持控制目标,那控制通过的“依据”又是什么?其实就是“走审批程序”,闭着眼“签字”,自然存在“缺陷”。

再比如:国资委违规追责中规定,对重大投资项目要进行风险评估内控,但从不少企业的投资管理制度、投资审批流程中,并未反映风险管理部门的内控活动。原因是,由于流程控制人员政策认知不系统,部门间沟通不畅,内控设计不能做到“统筹兼顾”。这种基于显性控制的评价,本身就遗漏了“合规性内控是否存在”的评价。

02.内控评价的内容结构、方法及实例

“对内控设计、执行的有效性进行评价”,是一种非常模糊的表述。在具体评价中需要“具体化”,以反映内控评价的内容结构,指导内控评价实践。我把它具体为5个方面:

充分性评价,充分性包括两个方面:

一是对内控建设涉及范围的充分性进行评价,即按照企业内控建设的要求、方案与建设方式,对内控建设产出的覆盖程度进行查验,这是企业内控管理、建设“广度”的验证性评价反映(没有流程化控制的中小企业,也可以用制度反映内控,前提是要理解制度管理的内涵逻辑,不能视大小规模企业一样,不加区分地瞎评);

二是制度、流程控制本身的充分性设计,是基于管理逻辑,对风险控制效能可实现性的验证性评价,重点体现在“重要业务流程”、“归口管理部门”、“跨部门关键风险活动的控制”、“例外活动的升级控制”,这些内容不一定是显性的,而是基于对“风险”的感知,本质是“管理性”诊断评价,并非所有人拿个“表格”就能胜任,而是隐藏在评价高手“头脑”中的隐性知识。缺少充分性的评价,评价的意义会大打折扣,也是很多企业总感觉评价报告表现为“鸡肋”、“琐碎”的主要原因。

2)符合性评价,是基于企业“规则一致性”的评价,包括面向外规赋予合规义务的“控制”设计;制度控制与流程控制的一致性。现实中,制度流程或反映在流程内的控制活动,是否一致,是否存在遗漏(现实中,这种问题并不少见),取决于内控设计阶段的产出质量。

如果内控建设的产出,只是简单复制,就可能存在不能覆盖或反映制度中设定控制的问题,也就会存在“制度执行”的隐患,而且违背制度要求的责任在内控管理机构,原因是“参照流程内控,没有控制要求”,这是内控管理的“关切”、“担心”所在,也是导致内控不能落地,内控手册中需要重点说明的问题。

3)规范性评价,指对控制活动设计的内容,是否具备可执行条件进行的评价。内控管理是“制度、流程、习惯性默认规则”的延长线,延长线型工作侧重于“全面化、具体化”,核心在于“控制规范化”。不具备“控制”功能发挥的设计,何谈“执行”?依据制度,没有“控制具体化”的翻版式流程,除了让“控制显性化”之外,还会增大“规则不一致”的风险概率,谈不上对管理的贡献,一定程度上,内控执行的效果,由内控设计质量决定。

实例:采购部门为降低采购成本,需要对“产品开发部门选材”实施控制,以降低新产品开发的采购品类。控制,不能简单理解为“选材审查”,而是“采用什么管理方法”可以降低“审查”难度,从而提高流程效率。内控管理不仅仅在于“强化内控”,也在于“内控的优化与简化”。

对选材流程内控评价的内容包括3个方面:一是“优选目录”的建立,在目录内选材,只走程序,无需控制。评价的对象是“优选目录”,立足点在“归口部门”的管理;二是超目录选材,内控评价需要理解控制规则,查验“超目录选材”的控制过程、结果与效果,评价的对象是“控制主体构成、控制原则、内容、时间、结果、过程记录”,立足点在“跨部门环节的活动”;三是对年度新增的采购品类实施采样,验证两个支流程的执行情况,立足点在“测试验证”。所以,无论哪个方面的评价,都需要以理解“管理”本质为前提。

4)有效性评价。指在一致性的基础上,控制角色是否在履行职责,是否按照控制活动规范、特别是限制性条款履行责任;控制后的产出,是否满足限制性条款的要求。反映在“选材流程内控评价”中的“三”。(5)合理性评价。指基于流程效率、成本,面向的是流程角色职责、权限分配环节进行的评价。但该领域的评价,一般以“问题建议”形式给出,而不认定为缺陷。

实例:资产处置是长期以来监督的重点环节,随着监督力度的加强,企业对资产处置流程进行了规范。在某企业中,只要是资产报废、处置,都需要企业“一把手”审批。

这个流程看似合理,却出现了3个问题:一是“没有区分待处置资产重要性、资产原值、频率”,采用了“一刀切”模式,责任不清;二是这种流程造成管理成本增加、运作效率低下;三是企业主要负责人受困于各方面的“事务”,影响企业整体发展的规划与管理。本质是流程设置不合理,权限分配与职责不匹配,造成管理控制复杂化。问题在于“归口管理”的整体设计,控制自然包括其中。停留于“表面化”条件上的评价,不会发现或认为存在缺陷。

确定内控评价内容结构,本质是找到“评价”的着力点。在具体评价中,与评价人的个人知识跨度、实践经验、理解能力紧密相关。5个维度的评价,不是“串行”工作,而是在思维、具体理解、审查、验证、测试评价中的并行或交叉。基于5个方面的评价,在很多企业中,会揭示出不少“内控缺陷”信息。

 

转自

天锦咨询