服务热线
021-68580928
摘要:随着国家治理能力现代化建设的推进,无论是国有企业、上市公司还是民营企业,都明显地感受到来自于外部越来越多的监管要求,加强内部管理,实现企业规范运营,成为企业当下的重要工作内容之一。为统筹、合理定位几项相关工作,理顺工作关系和思路,本文尝试就企业制度、风险管理、合规管理、内部控制、内部审计、监管和道德遵从几个领域进行探讨。
一个成熟的企业,本身是一个能够独立运转的市场主体,企业的价值流,以及直接或间接围绕价值流提供管理、支持、服务、监管的各管理系统,共同构成了企业的运营体系。企业运营体系和其中的各系统之间的关系,就如森林和树木的关系。
在横向布局上,企业包括面向市场的价值产出和营销流,也就是价值管道,一般以分公司、子公司、事业部、产品线等形式存在,其运行轨迹可以称为企业的价值管道,视为企业的前端;面向各前端提供共性的技术、创新、中试、供应链等支持机构,视为企业的中端;为保证企业正常运转,企业中设置的职能机构,构成了企业的后端。企业后端作为职能平台,面向前端、中端提供支持、服务和监管。具体到企业下属的子公司、事业部、产品线等机构,前、中、后端同样存在,差异在于繁简、大小、分布不同而已。
企业领导层建立合适的组织,通过分权、授权,并按照一定的规则行权,形成了企业的治理结构和治理能力,领导、管理、监督企业运营运营体系的运转。
在企业运营中,除我们日常接触的计划管理、质量管理、人力资源管理、财经管理等系统外,本文所要讨论的制度、风险管理、内控管理、内部审计和监管等职能,往往分布于企业的后端平台,并由其组织推动产生、运行、维护和执行监督,具体形式、效果视前、中、后端的应用场景情况而体现。
制度是为保证企业正常、合规、规范运转而设计形成的一套规则。衡量企业单体制度的标准有三项,一是有效性,包括内容上须保持与相关法律法规、政策的遵从性,与上位制度的符合性,制度产生过程的合法性,这是制度有效的基本底线;二是制度的合理性,制度是规则,规则应符合制度规定范围内的运行规律,这是制度能够被执行的基础条件;三是制度执行的可监管性,是保证制度执行的管控手段,但不是必要条件。企业在把握单体制度有效的情况下,根据企业自身需要,不断丰富制度构成,使制度能够支持企业的运营需要,并通过持续维护,提高制度的时效性,即用制度的确定性去保证企业的正常、规范运转。
制度是企业存在和运转的基本规则,设计科学、执行到位的一套健全的制度,原理上,在企业合规管理、内部控制、风险管理、内部审计、监管(以下统筹7类工作)等各个方面,能够发挥积极的作用,但并不意味着能够完全满足这些工作的目标要求。另外,7类工作要规范运转,也必须通过配套制度的建设,从而形成长效运行机制,也可以理解为,缺乏制度支持的7类工作,是难以维继的。
风险在于不确定性的客观存在而可能带来的超出预期的,也就是超出承受范围的后果。对风险的管理,实际是对不确定因素或事项的管理,而不是对后果的管理。对后果的管理叫危机管理。
不确定性往往来源于管理活动或业务活动(活动当然存在内、外)。也就是说,只有有追求目标的活动,往往才存在不确定性。企业存在的理由就是创造客户,创造用户价值,并通过商业交换使价值得以实现,再通过不断的投入、扩大再生产等活动,从而推动企业价值增长,也就是企业的发展。因此,风险始终是与企业相生相伴的。
风险管理的宗旨,就是识别并控制风险。能够接受并承担的风险也意味着机会,不敢承担风险的企业是谈不上发展的,这就是风险与发展的辩证关系。从风险的属性角度,我们可以把风险分为两个大类,一类是企业在运营过程中,经常面对的可识别的确定性风险;另一类是由于内外部环境,或者突发的自然条件变化而构成的突发风险,此类风险往往具有很大的不确定性,不确定性风险与企业运营活动场景直接相关。一般讲,对确定性风险可以通过制度形式明确行为规则,也可以通过内部控制的设计,保证应对风险的行为得到执行,这就是风险管理与规章制度、内部控制之间的彼此关联关系。一般情况下,一个对风险呈现积极态度的企业,其面对的确定性风险占比能够达到90%左右,所以,可以把制度、内控作为企业应对风险的措施之一。对少量的不确定性风险,企业需要针对具体场景情况,通过制定或采取必要的短期措施实施管控,并随着认识的深入得以提炼、固化和复制,此谓不确定性风险关闭,也就是说,对风险的管理需要平衡短期和长期的关系。就合规管理而言,其本身就是风险管理的一个分枝,只不过其强调的是对外法律法规、监管政策、行业规则、社会责任和商业承诺的遵从性风险控制,对内是企业制度、道德甚至技术标准的遵从性风险控制。
内部控制是一种约束措施,这种约束反映在不相容职权的分离与监督,目的在于通过控制,达到制衡活动主体的行为,控制依据在于对活动的要求、规范和责任。活动通常直观体现于流程,因此,从内部控制效能上看,有制度的作用,但更多体现于流程载体上的控制,区别在于流程控制更能突出重点,表现更为直观、实用。对企业而言,可以说,没有制度就没有内控,但有了制度,并不意味着就能够完全发挥内部控制的效能。
内部控制的直接反映是不相容职权的分离,实质是对授权后行权的制衡,最为直观的目的在于防腐败、促经营、提质量,把权力锁在规定的笼子里,防止权力泛滥。因此,企业内部控制的有效,建立在企业合理、全面的授权基础上。从当前看,很多企业的授权,在形式上是存在的,但仔细研究内容与构成,可以发现存在几种问题,一是不规范、二是不全面、三是分类有遗漏、四是对行权错误缺乏责任认定标准,这就导致内控的设计基础是不完整的,需要系统梳理,统筹设计。
从内控的核心要义理解,内部控制重点体现在“控”,也就是把控制纳入业务流程,这就意味着流程的固化和执行,本身就可以发挥控制流程风险的作用,所以说,流程本身就是一道防线。流程既然有控制的作用,内部控制建设必然也是从制度起步,从流程实现,而流程实现的责任者就是业务管理者。意味着,业务管理者一方面承担着业务管理的责任,另一方面也承担着流程梳理、内控设计、控制执行的监管责任。由此分析,企业宏观意义上的监管是普遍存在的。问题是,监管和内部控制的区别是什么?笔者认为,二者没有特别清晰的划分,但可以把握一个甄别原则,即:控制是流程中的一种行为,监管则不在流程内。需要特别注意的是,领导者的审批不是监管,审批只是流程中的一个活动。在一个企业中,常见的监管包括:主管领导对计划执行情况、控制执行情况的监管,监事会、审计、稽查、巡查巡视等系列活动也是监管。其次,上部分提到,企业的确定性风险基本占比可以达到90%左右,而这部分确定性风险是可以在流程活动中得到反映的,因此国资委文件中提到的,以内部控制为依托加强风险管理,是有其内在依据的。
这是笔者第一次谈内部审计工作,以前经常听到的都是审计专家畅谈对风险管理、内部控制的讲解和培训,但确切地说,很多内容并不完全认同。
全面风险管理体系由三道防线构成,其中第三道防线就是内部审计机构,这种定位是基于全面风险管理视角下确认的。很多时候,不少企业把内部审计与其它监管机构一起表述为第三道防线,有道理但并不完全准确,其它监管机构有对人行权的监控,也有对机构运作的监控,其监控行为往往通过事项表现出来。而内部审计则是对事的监管,是按照结果线索,行使逆向追溯监督,并对照相关制度、内控标准进行问题认定,所以审计是事后的。经常听到的一句话是,审计天然就是风险管理专家,从风险管理以及审计工作逻辑看,这句话不完全准确。不准确的原因,可能是把三道防线误解成了战斗中的一、二、三层防御阵线,也就是说,如果第三层被攻破了,意味着战斗的失败。那么第三道防线如何发挥作用呢?就是通过审计调查,对风险管理或内部控制结果进行独立调查,对照内部控制活动要求向前追溯,印证是否得到执行,并发表评价或审计意见。只有这样,内部审计才不失监管定位,而不是去履行识别风险责任。
如何认识内部审计在企业中的定位呢?首先内部审计机构是企业中的监管机构之一,类似企业内部的司法机构,工作上保持很大的独立性。内部审计对事负责,其次对行为负责任,但不对流程负责,其行使的是逆向监督的职能,这就是我们在管理上经常听到“从源头抓起”,放在审计是不能这样表述的。但审计可以“围绕发现的问题线索”,一直向前追溯,一查到底,从而形成审计意见,所以审计经常讲的一句话是“揭示问题”。
内部审计对内部控制的评价,一般是结合审计项目实施的,也就是结合审计项目的需要,对照上级相关制度、内控要求,首先对被审计机构的内部控制、制度进行有效性审计和健全性审计,从而确定审计依据和标准开展相关工作。所以,企业在持续完善制度的基础上,建立完善的流程控制手册,仍是不可缺少的工作之一。其次,内部审计行使审计职责,应该坚持的是查、处分离原则,也就是对审计中发现的违法违纪行为问题,需要移交相关纪律监管机构处理。
作为发挥监管角色的内部审计,是否存在被监管的问题呢?当然,审计的主管领导、企业的审计委员会都可以履行监管职责。在企业中如何衡量内部审计工作效果呢?笔者认为衡量标准应该参照两个方面:一是企业不能出现“应被审计发现,但未发现”的大事儿;二是已经发现的问题不能接二连三发生。所以,审计对问题的处理和纠正是可以发挥一定作用的,就是通过问题公开,发挥警示作用,而不是把问题放在柜子里。
监管可以理解为超脱于流程之外的监督,目的在于保证企业健康运行。在企业内部,从企业治理结构分析,监事会是企业的最高监管机构,代表广大股东对企业,对董事会成员,企业高管人员实施监督。企业设置的各类委员会,在董事会授权下行使的职责中,也包括对业务系统的监管。对企业治理结构情况的描述,也是企业内部控制环境的构成之一。
其次,企业根据管理需要,实施授权,授权和行权是分层分级的,实际上,流程中的每一项活动,都是活动主体行权的过程,只不过行权的大小和范围不同,业务主管领导对行权情况实施监管责任。还有一种情形,譬如质量管理机构、职业健康、安全管理等机构,需要建立全领域的业务管理系统,在推进和执行过程中,实际上他们也在行使部分监管职责。
另外,不同类型、性质的企业,根据国家、上级单位要求,或者根据企业自身安全需要,设置了各种不同名称的道德遵从型机构,如国企的纪检监察机构、巡查机构,外企或民企中的道德监督办公室等等,这些机构对企业领导人员、员工行为实施监管,目的是规范员工行为,执行道德标准。
从一个企业总体来讲,监管是无处不在的,不同的是,不同类型机构的监管定位、监管方式、监管时机和监管对象存在一定差异,从整体监管角度,可以形成以下不太准确或者比较牵强的观点:审计关注的侧重点是“点”的问题;而业务类监管关注的是“线”的问题,包括普适类的质量管理、财报控制等等,其监管的是同一共用流程的执行情况,所以也是“线”的问题;道德遵从类机构关注的是“面”的问题,即通过营造道德遵从环境,建立一个“场”的监督。
制度、风管、合规、内控、内审、监管和道德遵从7类工作,虽在一定程度上具有其内在的差异性,但在很多方面又彼此关联,互为支持,找准定位,理清关系,相互借助,统筹推进,是企业提高工作效率,追求效能最大化的必要途径。
本文原创来自中科惠达,作者程天弩。