「摘要」本文根据对亚新科集团内控制度现场研究的顿悟,从现代企业实务出发,指出COSO报告和巴塞尔委员会的有关文件对内控制度只强调评价而忽略设计和执行的缺陷,并对内控制度概念予以补充和扩展。其新颖之处在于将“作业”及其相关概念(诸如作业管理、供应链、价值链、流程再造等相关管理方法和ERP、CIMS、Internet、办公室自动化等新兴信息技术)引进到内控制度,特别提出内控制度是最优化、最简捷和最理性的作业标准或作业程序的观点。其次,根据扩充的内控概念,演绎出总体设计思路和单项设计思路。前者针对一个集团或子公司而言,其方法包括三维立体的静态结构、过程循环式的动态结构和常规 /非常规事件结构;后者针对单个内控项目而言,其设计方法包括按部门、按项目和按流程。
一、引言
过去几年,我国会计以至整个管理领域对内控制度的需求日益强烈。其根源并不是控制一词所具有的“治人”与“治于人”的含义对人们的诱惑,而是在国外成功经验和惨痛教训的刺激下,我国党和政府机关、企业及其他各类营利或非营利组织越来越倾向于将内控制度当作治本的手段,用来遏制领导干部贪污腐败、堵塞国有企业资产流失的漏洞、规避企业及其他营利或非营利组织的经营风险和制止虚假企业会计信息流入证券市场以至整个社会等等。国家有关部门、营利组织已经制订并实施与内控制度相关的法规或政策:
1986年财政部颁发《会计基础工作规范》,其中对内控制度作了明确规定;
1999年全国人民代表大会通过新《会计法》,将内控制度当作保障会计信息“真实和完整”的基本手段之一;
2001年6月财政部发布《内部会计控制———基本规范(试行)》和《内部会计控制规范———货币资金(试行)》;
2000年11月证监会发布《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,在招股说明书正文中专设一部分,用来说明其内控制度的完整性、合理性和有效性;
1997年1月中国注册会计师协会实施《独立审计具体准则第9号──内部控制与审计风险》,以便于会计师事务所评估审计风险,提高审计效率,保证执业质量;
1997年1月国家审计署实施《中华人民共和国国家审计基本准则》,其中将对内控制度的测试当作“作业准则”予以规定;
中纪委、中组部等近几年也发布了一些相当于内控制度的文件(如“收支两条线”的规定)。
营利组织特别是“三资”企业大多有一套成文的内控制度。例如接受我们咨询的亚新科集团(亚91洲战略投资集团公司的简称),已经建立起比较完备的内控体系,按篇幅计算超过150万字,其中还不包括质量控制项目。
不言而喻,我国内控制制度建设已具备相当的规模,取得重要成果。但是,还必须清醒地看到:第一,党和国家有关部门以及各类组织的相关文件中所谓的内控制度在概念上并不统一;第二,我国还没有形成内部控制的整体框架(结构、内容和联系);第三,我国现存内控制度只注重制度的文字编写环节,严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面;第四,在内控制度设计上明显存在着各自为政、就事论事的倾向;第五,与西方国家相比还有很大的差距。
我们认为,我国内控制度之所以存在着这些缺陷,其原因就是我们尚未注意如何界定概念和理清设计思路的问题。本文由此立论,做一些初步探讨,希望对弥补这些缺陷有所裨益。
二、何谓内控制度
(一)西方人的界定内控制度是外来语,英语为InternalControlSystem。美国是内控制度最发达的国家,像巴塞尔委员会这样的国际性银行组织对内控制度也特别关注,发布过很多相关的、有价值的文件。在西方,内控制度的概念具有历史性,是逐渐发展和完善起来的。
1 1934年美国《证券交易法》使用“内部会计控制”的术语,作为根除“大危机”中虚假会计信息泛滥的根本措施之一。
2 1949年,美国注册会计师协会(AICPA)在一份特别报告中,首次将内部控制界定为“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策,所制订的政策、程序、方法和措施。”[1]按照这个定义,内部控制一开始就突破了财务会计的范围,包括了成本、预算等项内容。
3 1958年会计程序委员会发布《独立审计人员评价内部控制的范围》的报告,其中将内部控制分为内部会计控制和内部管理控制,[2]这就是人们所熟知的内部控制制度“二分法”的由来。
4 1986年最高审计机关国际组织(INTOSAI)在第12届国际审计会议上发表《总声明》,赋予内部控制新的涵义,即“作为完整的财务和其他控制体系, 包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立的,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整,并提供及时、可靠的财务和管理信息。[3]”这个概念相当的宽泛,几乎达到无所不包的地步。
5 1988年AICPA发布《审计准则公告第55号》,将内部控制界定为“为合理保证企业特定目标的实现而建立的各种政策和程序”,在结构上由控制环境、会计制度和控制程序三个要素组成。
6 1992年COSO委员会①发布《内部控制———整体框架》的报告,即著名的COSO报告;1995年,AICPA又以《审计准则公告第78号》的形式发表。COSO报告提出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。”[4]同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可,因而成为迄今最权威的内部控制的概念。
7 1997年巴塞尔委员会发布《银行组织中内控制度的框架》的报告,将COSO报告提出的内控制度的02①包括美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、内部审计协会(IIA)、管理会计师协会(IMA)整体框架成功地应用于银行业,并演绎出适合银行业但具有一定普遍性的十三条原则②。该报告实际上是对巴林银行失控案例的积极反应,但同时也将内控制度的范围推广到无以复加的地步。
(二)我国的提法
在我国,由谁在哪部文献中首先使用内部控制概念已无从查考,但在正式法规中首先有实际意义的使用似应确定为1986年财政部颁发的《会计基础工作规范》。该规范只提到内部会计控制,并定义为“单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。这个定义为嗣后财政部发布的其他内控文件以及《会计法》所沿袭。值得注意的是,在这些文件及《会计法》中基本上将内部会计控制当作会计监督的一部分。实际上英语“Controls”作为名词的复数形式可以翻译成“监督”,那么,“InternalControls”完全可以翻译成 “内部监督”。
中注协的内控概念的外延比较宽泛,在其1997年实施的《独立审计具体准则第九号———内部控制与审计风险》中称内部控制为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序”,“包括控制环境、会计制度和控制程序”。该定义是审计的概念,它明显地套用了AICPA在1988年提出的内控定义。
证监会、国家审计署、中组部、中纪委等部门的内部控制概念与上述两种大同小异,但似乎是“各有所司”:证监会主要防范上市公司及金融、保险机构的会计信息失真;国家审计署主要防范政府机关和国有事业单位资产流失和信息失真;中纪委和中组部主要防范领导干部贪污腐败,诸如此类。
很明显,我国内控制度的概念受西方影响很大,中注协的概念明显地套用了AICPA在1988年提出的内控定义。而财政部有意识地将有关文件限定在会计控制的范围,除了行政权限的考虑之外,也表明我们对其他内控制度及其与会计控制的关系的认识还不成熟。
(三)我们的观点
我国内控制度在概念上基本套用西方的。西方的内控概念概括起来无非是上文所说的“三个目标”、“五个要素”、“十三条原则”。但是,西方内控概念大多由实务界特别是审计和经济监管组织所界定,因而描述性的多,对本质的揭示不够充分,同时以现成的内控制度为前提,强调对内控制度的评价,忽略了如何设计和执行内控制度③。对企业来说,这些被忽略的东西正是第一位的。我们认为,补充下列几点十分重要:
1 内控制度首先是一种授权体系和责任体系。内控制度发生在社会领域的各类组织中。在抽象的意义上,控制就是A委托B按照A的意图将A的事情办好。这就是代理人说中的委托代理关系。委托过程实际上是授权和指派责任的过程。由于现代各类组织层级多、结构复杂,因而在各类组织中,控制或者内部控制所体现的委托代理关系实际上是一种授权体系和责任体系。责任源于授权,而授权必须解决两个问题:(1)权利来源。为什么A有委托B的权利?谁有可能是A或B呢?在市场经济条件下,资本的权利、提供经费的权利是控制权的基本来源之一。(2)权利的运作。如果B是若干人时,权利的运作就成了问题。西方人强调在高度透明的前提下,将同一权力下授给若干人,按照相互制衡、相互监督的原则运作权利。东方人则强调当事人对相互之间的事务的直接介入,所谓“您中有我,我中有您”。A对B的控制在小规模的组织中基本上是直接的,随着组织规模的增大,控制的间接性越强,授权体系和责任体系越复杂。
至于B为什么接受A的委托,则是因为B受到个人利益的驱动,也就是B可以从接受A的委托中得到好处。
2 内控制度是一种最优化、最简捷和最理性(合乎逻辑)的作业方式或作业标准。一个组织的运营过程是由一系列作业组成。所谓作业是指“具有特定目的的一个事件、一项任务或一件工作的基本单位”。作业是相对的概念,还可以说一项作业由若干任务组成,而若干项作业又可以组成一个流程。作业可以按照不同标志进行分类,其中最流行的是将作业分成与单位产出相关的作业、与产出批量相关的作业、与产出类别相关的作业、与基础设施相关的作业。而与基础设施相关的作业也称为与组织相关的作业,并进一步分成结构性作业和程序性作业。
将作业概念引进到内控制度,具有重大意义。依此为基础,可以直接引进适时制(JIT)、作业管理(ABM)、作业链、价值链、供应链等最新的管理方法,使内控制度成为优化、简捷和理性的作业标准。同时也表明内控制度不仅“治病”,而且可以“保健”。
将内控制度当作作业标准,就可以按照控制论或管理控制的循环步骤,执行内控制度,实现内控制度的目标。
3 在外延上,内部控制包括会计(财务)控制、管理控制、业务控制和法规执行控制。会计(财务)控制的目标是保证财务报告的可靠性,管理控制的目标是保证管理目标即效率和效果的实现,法规执行控制的目标是保证法规的贯彻执行。这三个目标与COSO报告完全一致。那么,我们为什么又增加一项业务控制呢?一个重要的原因是会计控制的对象为货币以及与货币有关的物,管理控制的对象为人,业务控制的对象为物。业务控制与会计控制或管理控制可能重叠,但会计控制或管理控制都不能完全涵盖业务控制。此外,法规执行控制是其他三项控制的前提条件。
4 内部控制是衡量组织风险的基础。内控制度是一种标准,而风险就是对标准的偏离程度。对一个组织来说,将内控制度设计的越符合实际,该组织的风险越小。
三、内部控制制度总体设计研究
内控制度的概念的目的在于为内控制度的设计提供理论指导。
现代企业的内控制度是一个体系。所谓体系是指一个有结构或由若干因素组成的整体。因此,我们将内控制度的设计分成总体设计和单项设计。前者说明一个现代企业的内控制度的整体结构或组成要素的设计,后者说明构成该整体结构中的每个要素内容的设计。我们认为,内控制度的整体设计可采用三条思路:
(一)三维立体的静态结构
一个现代企业的内控制度在总体上应该是组织、项目和流程三个方面的综合,具有三维立体性。
1 关于项目维度所谓项目,是指内控制度的基本单位。亚新科集团除质量控制外,还有88个内控项目,诸如人事招聘、危机处理、合同管理、工厂消防、成本控制、财务预算与预测、采购计划、员工绩效评估等等。
那么,如何确定内控制度项目的数量呢?由于任何两家企业、任何两位企业经理总是存在着或多或少的差别,因此,不同企业、同一企业的不同经理在项目数量上可能有不同选择。但是,下列几方面必须充分考虑:(1)企业愿景、战略和经营目标的要求;(2)管理的“粗细”;(3)体现COSO报告的总体框架;(4) 涵盖会计控制、管理控制、业务控制和法规执行控制。此外,设计内控制度项目数量时,可参照组织的供应链来进行。例如,对制造企业来说,供应链可从顾客开始,由研究开发、设计、制造、营销、配运、顾客服务等组成。供应链可以转化为流程,如下文所述,流程又可分解为作业和任务。以此为基础便可确定内控制度的数量。
其次,所有内控制度项目是不是可以等量齐观呢?答案是否定的。它取决于相对谁来设计内控制度项目。对证监会、中注协和注册会计师,会计控制可能最重要;对企业总经理,管理控制和主营业务控制可能最重要;而对车间主任,业务控制可能最重要,诸如此类,不一而足。另外,有些项目执行的结果是可以计量的,例如预算控制、成本控制等;而另一些项目的执行结果,则属于非定量的或不能直接定量的,例如危机处理等。值得注意的是,预算控制、成本控制对任何组织来说都应该放在首位。
2 关于组织维度
所谓组织,在这里是指具有共同行动目标的人类群体。现代企业是一个组织。它可以被分成高层、中层、基层和现场四个层级,每个层级由若干单位组成、每个单位有若干成员。按照COSO报告的思想,每个层级每个单位每个成员都与内控制度相关,应该参与内控活动。从组织维度设计内控制度,需要考虑企业的控制目标、控制环境和控制方式,进而确定企业的管理跨度与管理层级、企业是实行集权制还是分权制,并建立使组织得以运行的保证———经济责任制度和岗位职责制度。组织维度设计得好,可以营造良好的内控环境。
3 关于流程维度
所谓流程,是指企业经营过程的一个阶段,由若干项作业组成,而作业由若干项任务组成。在典型的制造业中,其经营过程有研究开发、设计、制造、营销、配运和售后服务等项流程。每项流程,例如制造流程,包括材料入库、材料存储、材料搬运、加工、半成品搬运、加工、成品入库存储、成品包装发运等项作业。而每项作业,例如材料入库,包括卸载、验收、盘点、移动、摆放、记录等项任务。特别重要的是,任务是由组织成员完成的,授权和责任在这里可以体现出来。在流程维度设计中,就是遵循着这种相对的“流程—作业—任务”三个因素之间的依次关系进行。
4 项目、组织和流程之间的关系
简单说来,每个项目都是通过组织的层级、单位和成员按照一定的流程、作业和任务的要求来完成的;从流程、作业到任务,由于任务由人或组织成员来完成,因此,完成任务的成员组成单位、单位构成层级,从流程维度很自然地过渡到组织维度。换句话说,一个内控制度项目是由组织和流程组成,是一个二维体系,当企业存在多个项目时,就可形成由组织、流程和项目组成的三维立体框架(见图1)。
(二)过程循环的动态结构
应该指出,现行内控制度设计上一个严重的缺陷就是没有将内控制度与公司总经理(CEO)联系起来。COSO报告和巴塞尔委员会的报告特别强调了这一点,但在操作层面上,很多人仍然在进行会计控
制,并当作财务部门“自娱自乐”节目。另一个缺陷在上文已经指出,即在设计内控制度时,很少有人站在企业立场上考虑如何执行内控制度、实现内控制度的目标的问题。我们认为,在动态上,内控制度不仅包括制定,而且包括执行,对执行情况的计量或测试、对计量或测试结果的分析和报告,根据偏差进行整改(包括预先设定奖惩制度和整改方案,修订内控制度)等。这是一个完整的动态结构或系统,可由图2表示。
图2:内控制度过程循环的动态结构图
根据图2提供的思路,在设计内控制度时可以作如下考虑:1 与上述相同,内控制度的设计首先考虑企业的愿景、战略和目标。据此设计好内控制度之后,便是内控制度的执行。但对控制者来说,最重要的不是他去执行内控制度,而是保证执行者实现内控制度的目标。
2 实现内控目标的第一步是对内控制度执行情况进行计量或测试。诚如上述,全部内控制度的项目可以分成执行结果可计量和不可计量的两类。对可计量的内控制度执行情况的计量通常由会计核算、结算和统计等途径取得,例如预算执行结果就可以从会计核算的结果得到。对不可计量的内控制度执行情况的计量通常由测试表来取得,例如对公司印鉴使用控制制度的测试就必须按照该制度的要求设计问卷调查表,来了解该制度的执行情况。应该说,一项内控制度的执行情况往往可计量部分和不可计量部分并存。在这里,我们统统用测试表来表示对内控制度执行情况的计量或测试。
就操作层面而言,一家企业内控制度的测试可以分成综合测试和单项测试。前者是对全部内控制度项目的测试,在现代企业中这主要是集团公司总部对子公司或二级经营单位内控制度的总体执行情况的测试,其测试表的结构按照COSO报告的整体框架设计;后者是对一个内控制度项目或一个相关的单位的测试,其测试表的结构也是按照COSO报告的整体框架设计。
3 实现内控目标的第二步是将内控制度执行情况计量或测试的结果与内控制度进行比较,然后做出项判断:
(1)测试结果是否与内控制度相符?如果相符,控制者不做任何干预,由执行者或被控者照常继续执行;如果不相符,则过渡到下一个判断。
(2)偏差是否可以接受?如果可以接受,控制者不做任何干预,由执行者或被控者照常继续执行;如果不可接受,则过渡到下一个判断。
(3)内控制度是否符合实际?如果符合,偏差则导源于执行者,应进一步分析偏差的原因,拟定纠偏措施,并向控制者提供测试报告,控制者依据测试报告采取纠偏行动,干预执行者的执行过程。如果不相符,偏差则导源于内控制度,控制者则应采取修正或补充内控制度的行动。为了形象理解控制者纠偏的过程,显现控制的地位,我们用图3予以说明。
4 内控制度执行情况的测试报告作为一种媒介,将控制者和执行者、总经理的监督和下属的现场运作巧妙地连接起来,其重要性是不言而喻的。有两个问题在设计时要特别注意:
(1)测试报告至少分成两种:一是对测试结果的汇总和详细分析,称为明细报告,留在内控部门备查;二是在明细报告基础上编制的报告,称为简式报告,要定期报告给总经理。
(2)测试报告结构应该与测试表保持一致,也就是COSO报告的整体框架。其中应就每个要素进行评估,特别说明造成制度与制度执行情况之间偏差的动因。
5 控制者依据测试报告采取纠偏行动有两种含义:
(1)直接干预,即控制者直接和强制性地要求执行者用控制者指定的行动方式取代原有的行动方式。例如规定用办公室电话打长途必须登记,但因执行不严,致使电话费上升。其矫正措施可能是将电话上锁,钥匙由专人保管,强制性地让打长途的人进行登记。
(2)间接干预,即控制者制定和坚持一套行之有效的激励制度,通过激励制度“准自动化”地矫正执行者的行为。仍以电话费为例,控制者可以规定该办公室长途电话费超过100元部分由办公室成员承担50%.除非办公室成员不喜欢钱,不然,他肯定会自动调整自己的行为。
(三)以企业经营活动事件的常规性、非常规性和混合性为基础的结构
在一定意义上,企业经营活动是由一系列事件组成,按照性质这些事件可区分为常规性的、非常规性的和混合性的三类(见图4)。另一种表述是:确定条件下发生的、不确定条件下发生的和混合条件下发生的。
据此,我们可发现内控制度设计的另外一些思路:
1 在严格意义上,人们能够控制的只是常规性事件,所谓内控制度也只是相对常规性事件而言,人们无法为那些非常规性事件设计内控制度。
2 在设计内控制度时,并非不考虑非常规事件。因为非常规事件发生在内控制度控制的范围之外,属于企业风险,执行者往往利用这些事件的发生采取有利于自己而不利于控制者的行动。对此,至少应采取两种方法予以防范:
(1)设计非常规性事件的处理原则。应该注意,尽管人们无法预见非常规事件在何时何地以何种方式发生,但凭经验和理性可以知道可能发生的非常规性事件的类型。例如在企业中可能发生产品质量、环保事故、财务危机、生产安全事故等等。因此我们有可能设计非常规事件或危机处理程序,包括处理原则、程序和权责等等。例如企业可以规定当发生严重危害公众事件时,管理当局在12小时之内通过媒体做出反应,以表明诚意;要积极与政府配合;统一对外口径等。
(2)用非控制方法弥补控制方法的不足,特别要营造健康的企业文化氛围,建立职业道德规范。健康的企业文化使企业大多数成员形成共同的价值观念,是形成企业凝聚力和企业成员归属感的基础,进而使企业成员热爱企业、关心企业,这特别适合以中国为代表的东方文化。而职业道德在这里是指与企业成员的工作相关的规范,是一种稳定的职业心理和职业习惯。因此,企业应该为不同岗位上的成员,制定相应的职业道德规范;要总结和以适当的形式强化健康的企业文化。只有这样, 当危机发生时,才会有人主动报告和处理,不至于袖手旁观。
3 在企业经营活动中,大多事件既不是常规又不是非常规,而属于混合性的。就此设计内控制度,需要考虑下列几个方面:
(1)混合性事件转化成非常规事件非常有可能,但往往有征兆。因此,在设计内控制度时应该有相应的预防条款,防危机于未然。
(2)混合事件的存在表明,与此相关的内控制度本身就有风险,也就是说并非按照内控制度去做就会完全避免错误。不能迷信内控制度,它是有局限性的。因此在执行内控制度过程中,对内控制度本身的评估是不可忽视的。
(3)混合性事件完全或在一定程度上转化为常规事件是可能的。例如未来外汇汇率是混合性的,人们可以通过套期保值使之转化为常规性事件。当然,这需要经验、知识和技巧。
四、单项内控制度的设计思路
所谓单项内控制度就是指上文所说的一个内控制度项目。这里将从三个方面给予讨论:按部门进行设计、按项目进行设计、按流程进行设计。
(一)按部门设计部门是构成组织的单元。按部门设计内控制度应该注意下列几个问题:
1 将部门既看成组织中相对独立部分,又看成与组织中其他部门相互连接的环节,各个部门甚至形成一个投入产出的网络。进行部门内控制度设计时,首先要营造良好的控制环境。控制环境因素包括部门内每一个人的诚信、道德价值和能力;管理层的管理理念和经营风格;管理层授权方式和发展其员工的方法,部门的组织结构和岗位设置等。而要形成良好的控制环境,就需要从部门的组织结构和岗位设置,明确责任的分派和权力的授予出发,注重提高本部门员工的诚信和工作能力,奠定良好的控制基础。同时,还应发现该部门与其他部门的联系。
2 分析部门在企业中可以涉及到的项目,分析部门处于项目工作流程的哪一个环节,或属于流程中的哪一个作业链条之中,存在何种风险,部门需要参与哪些工作任务,在执行任务的过程中可能会遇到的风险种类及大小,初步评估部门面临的风险,并进而确定关键控制点。
3 根据控制点确定所要进行的控制活动,进行责任和权力的具体分派,制定业绩考核标准。一个部门是由若干流程组成;一个流程由若干作业组成;一项作业由若干项任务组成;一项任务都是由一个或几个人来完成;而为了完成任务,每个人都必须被指定明确的责任。在部门设计中,可以按ABM的方式来进行设计,即按价值链或作业链来进行设计。第一步,明确各部门涉及到的作业(如部门的作业可分为三种:接受顾客需求作业;满足顾客需求作业以及辅助作业),明确部门的作业链和价值链以及作业结构;第二步,确定部门的主要工作流程以及各流程的投入与产出;第三步,确定流程中的各项作业以及相应任务;第四步,从按作业收集耗费的资源成本数据出发,确定作业的产出指标;第五步,制定作业的业绩指标,即将部门的业绩指标分解到各项作业,并根据部门的实际业绩作出评价。
按作业链进行部门的内控设计,使部门明确在整个内控制度中自身涉及到的内控项目有哪些,处于流程中的何种地位,部门即能保持一定的独立性,又能实现很好的衔接,集合各部门为整体,实现全企业的作业成本管理,可以将企业有限的经济资源合理地在部门之间进行分配,资源会实现合理配置。
4 设计部门内控制度时建立部门内部以及部门间的信息与沟通,部门内上下级、同级、部门间能迅速取得他们在执行任务、管理和控制企业运营过程中所需的信息,并互相交换这些信息。
5 部门的内控制度应具有监督职能,包括例行的管理和监督活动,为确保内控制度的执行,还应具有协调小组,即纵向协调或横向协调小组。
6 设计部门的内控制度也应区分常规性事件、非常规性事件和混合性事件。常规性事件的控制可按上述方法进行,而非常规性事件和混合性事件的控制可按本文第三部分总体设计中的有关思路进行。
内控制度设计后,应在部门内部进行测试,测试的基本方法是:以部门为基础,对部门的职能及岗位设置在内控制度中的实际执行功能进行测试。部门测试的结构可分为以下几个部分:部门的组织结构及岗位设置、部门应具备的功能、部门管理的权限及范围、人员的职责划分,部门的主要业务(分业务种类绘制流程图)、部门与其他部门的衔接(主要是业务上的衔接)。针对部门的测试主要看部门是否能够完成规定的职能,部门之间的职能是否存在重叠,部门之间职责的分配是否合理, 是否符合内部控制的一些基本原则,是否存在有的环节大家都管,而有的环节又无人问津的情况,及管理上是否节约而有效。根据测试结果决定是否修订或增补该项内控制度。按部门设计最实质的内容是流程设计。
(二)按项目设计一个项目,有其自身的业务流程,跨越不同的组织部门。按项目设计应遵循以下步骤:
1 分析每个项目的组织维度和流程维度。即分析在执行该项目时都会涉及到哪些部门,部门的层级、部门之间的相互关系怎样,组织结构如何,以及该项目会牵扯到哪些业务流程。同时分析在执行项目时可能面临的相关风险,然后按项目的业务流程来进行具体设计,根据执行项目的环节和流程,确定控制点,从组织和流程两方面来制定相应的内控制度:即项目的审批、授权、核实查证、责权分离、确保资产安全以及检查等,还应建立完善的信息和沟通以及监督机制。
2 制定项目内控制度的执行测试方法并形成测试报告。在项目设计中,设计一套内控制度的制定、内控制度的执行、内控制度的测试、内控制度的测试报告程序,来考证项目的组织结构方面,包括层级、单位和责任是否合理,以及项目的业务流程方面是否能进行实际操作,测试需结合COSO报告关于内控的五个要素进行,即查看项目的控制环境、风险评估、控制活动、信息与沟通和监控。
3 设计项目内控制度的修订和增补程序。形成测试报告后,就可以根据报告结果决定是否对该内控制度进行修订。经由内控制度的制定、执行、测试、报告、修订等一系列循环周转的过程进行项目内控设计,可以使制定的内控制度符合企业实际,具有操作的可能性。同样,按项目设计的最实质的内容是流程设计。
(三)按流程设计按流程设计,是对企业某项业务流程的控制制度进行设计,如对销售流程、采购流程进行内控制度的设计。一个业务流程中包括若干作业,而每项作业又由若干任务组成。按流程设计的思路是:
1 明确业务流程的工作环节的前后衔接,确定流程的投入与产出。
2 明确业务流程中涉及的作业,作业间的相互关系,建立一条作业链,并制定每一作业相应的作业标准,根据每一项作业的投入与产出,制定相应的考核指标,即将总投入与产出指标进行细化,落实到每一项作业中。
3 明确每一项作业的任务组合。对每一项任务规定出相应的标准,即制定完成任务的指标,包括量化指标和非量化指标。
4 将每一项任务落实到执行任务的每一个组织成员。即用上述量化和非量化指标作为考核组织成员的业绩指标,同时,任务需要落实到组织、单位直到个人,涉及到授权与责任,所以,流程设计与组织设计达到了有效的结合。在一项业务流程的执行过程中,又可能涉及到不同的内控项目,也即组织、项目、流程的三维组合。需要注意的是,上述流程设计必须建立在企业的业务流程比较合理的基础之上,而为了达到这一点,就应对企业的业务流程进行优化分析,进行业务流程再造。