「审计月刊」企业中的内控前置知多少?

发布时间:2023-03-10发布部门:合规与审计部门

内控前置是内控建设的一种技巧,也是管理水平提升的一种方法,但并非由于内控体系建设带来的新方法,而是由管理认识、效率思维带来的内控方式的变化,考验的是履行内控职能部门管理者的知识跨度、经验与管理智慧。


一、常见内控前置的一般表现


直观传统的内控前置,通过归纳内控的针对内容和控制标准,建立内控表单,由内控上游活动角色进行“符合性自审”。随着信息流的流转,内控角色的主要工作,由原来的“标准控制”转变为“标准执行复核”,从而降低“一对多的内控压力”,提高流程的整体效率。譬如:日常办公的固定资产更新申请,在申请单中会要求申请人填写资产的相关信息、问题,本质是在表达是否符合更换的条件,是否满足资产更新的标准。如果没有申请表单,内控角色只能进行人工核实,如果没有标准,可能会造成资产损坏带来的其它损失风险。


二、对内控一些提法的理解


制度流程化、流程内控化、内控信息化的说法,听起来似乎郎朗爽口,且带有一定的韵味与逻辑,也为很多人所推崇,但这种表述并不完全准确。问题在于:一是程序管理类制度中虽然包括文字表述的流程,但比不了流程管理中“流程”的精细,通过制度研读转化来的流程,还需要承载更多的要素、信息,而不是仅仅停留在用“流程的形式”,反映或突出关键活动。二是从流程建设角度,大体分为两个步骤,先从事理角度让流程走得通,然后再从“心智”带来的风险角度采取防范措施,才有了内控嵌入流程的体现。相对流程其它价值活动而言,内控本身是必要的非价值活动,需要想方设法减少或消灭掉,这是流程优化的追求目标。理论上,内控管理追求的理想目标,应该是“尽可能减少或消灭内控”,需要与企业管理水平与时俱进,理想目标是努力的方向,但永远不可能实现。三是内控信息化,从内控本身很难形成完整的一套基于内控功能的系统。控制是系统不可缺少的功能,但离开系统的控制,只是“技术成果体现”,只能说具备控制功能但并不能有效发挥,因为它游离于系统之外而独立存在。这就是我总说的“风控、内控、合规需要载体或应用场景”的原因。IT化的内控一定存在于“载体系统中”,也可以说流程中。说法也好,提法也罢,讲究的不是“精确”而是准确,只要有利于指导工作就可以,从这一点看,需要准确理解其中的内在含义,所以,也有成立的理由,那应该如何理解呢?制度流程化:首先,企业要把制度管理好,利用制度的权威、功能发挥预防风险的作用;其次内控建设要以流程为载体,把嵌入流程的内控活动显性化出来,从流程管理角度看,就是让流程承载内控。关键在于,流程能不能反映企业的现实,是放之四海的“原理性流程”还是“实操性可落地流程”?企业是经济绩效体,当然需要“实操性流程”。不具备执行条件的流程,决定了内控表现只能浮于形式,不具备整体逻辑割裂的流程片段,只能带来内控的泛滥,与内控追求的理想目标相悖。流程内控化:这个表述真的不准确。流程承载内控,或者内控嵌入流程,区别在于观点来源的“视角”,一个从流程维度,一个从内控维度形成的认识,但无论哪个视角,内控都需要依附于流程而存在。准确地讲,应该是“流程风险内控化”,权且当做是为了押韵而进行的一种简化版说法吧。问题在于“内控化”,控什么?怎么控?内控建设,反映到具体流程中,不能简单以“风险”而幌之。风险评估是思维中的一种逻辑思考,反映在产出的表现上,并不是似是而非的“风险语言化模糊描述”,而是针对流程中的“工作流、信息流、产出流”,有些还需要加入“时间线”的具体表述而反映的不确定性,这就是“控什么的内容”;怎么控?需要建立“依据”,然后形成控制标准。譬如:新制度审批的制度内控,依据的是“制度规范”、“制度体例划分标准”、“制度管理办法”,从而归纳形成的突出重点的“控制标准”,而不是制度管理人员的“脑袋”。控制标准的扩散、推广与上游活动的自身,即为“内控前置”。依据的建立是“管理问题”,是建立控制标准的前提;标准的确立,是“内控建设”问题。所以说,内控是管理的要素。内控信息化:虽然是基于内控的视角提出的“略显狭隘”的观点,但并非不无道理。问题是,流程建设阶段的成果如何与“现实的IT”系统关联起来,不被关联的内控建设产出,没有建立内控标准即“控制规则”的产出,不能有效支持内控信息化建设的方向。会有人说,在风险内控矩阵的“内控方式”中有体现,这是基于现有IT系统的形式表述。在流程中,以流程块的形式反映高阶程序步骤,从而形成“业务域”的整体逻辑,内控建设要找到与现有IT的信息数据传导路线,你就会发现“IT”系统的孤岛问题,就会发现来源于多数据源的“不确定”,就会发现“数字化”应用的缺陷,就会发现“内控前置”、“内控优化”需求的问题。管理能力不就是在“发现问题,解决问题”中实现提升吗?否则,内控信息化只能停留在说法上。


三、结语:内控管理往哪走?


在现实的企业中,内控前置的做法有很多表现形式,只不过这种形式往往是隐藏的,它不会贴上“内控”、“防风险”的标签,这种变化甚至有可能没有反映于现有的制度中。但随着“前置”工作趋于成熟,原有的内控功能、内容都会发生变化,如果仍按照“旧的做法”去开展内控管理,会造成不符合“现实”,甚至相较执行现状的内控,从产出的表现内容上出现倒退的可能,关键是能不能领悟到其中的“道理”。现实,并不是指的“现状”,而是基于执行现状的前提,兼顾未来的一种表述。未来,企业一定会在流程管理上推进精细化管理;未来,企业一定会在数字化建设上发力;未来,企业一定会解决IT孤岛造成的“数字应用障碍”;未来,企业一定会基于高质量发展原则下,致力于持续的降成本、提效率,这是经营的核心。企业的内控管理需要融入中心、服务中心,利用新方法,构建基于“各域”的整体结构与逻辑,与IT系统形成交互的内控体系建设成果产出,是内控管理提升效能、提高企业合规运作效率的追求,这种方法就是基于整体目标的价值流与传统职能带流程的结合及运用,因为内控不仅仅是“控制”,与之链接的有管理、流程,还有IT。

 

转自

审计之窗