流程管理是企业建立内部控翻体系的基础
企业内部控制体系应以流程管理、流程再造为基础。内部控制体系的有效性取决于经营、业务和管理流程的先进性。如果没有设计合理、操作流畅的经营、业务和管理流程作为基础,设计得再好的内部控制体系也形同虚设,缺乏风险识别、评估和应对的有效途径,以至于既无法量体裁衣,也无法落地生根,从而沦为摆设。所以要做到:
(一)梳理划分各经营及业务单元,主要业务循环及经营、业务和管理流程
企业内部控制体系是企业内部运行的一整套政策和流程,企业确定了战略目标之后。还需确定一系列相关目标来支持战略目标。这些目标包括企业内部控制经营目标、报告目标和合规目标。经营目标与经营主体的有效性和效率有关,包括业绩和赢利目标以及资源合理配置,它们因管理当局对结构和业绩的选择而异。报告目标与报告的可靠性有关。它们包括内部报告和外部报告,可能涉及财务和非财务信息。合规目标与符合相关法律和法规有关,它们取决于外部因素,在一些情况下对所有主体而言都很类似,而在另一些情况下则在某一个行业内有共性。
特定的目标取决于主体所从事的经营业务和经营目标。所以需要梳理划分各经营及业务单元、主要业务循环及经营流程、业务流程和管理流程。
(二)识别各项流程中存在的风险和内控缺陷,并进行分析和评价
自从美国内部控制权威机构COSO提出的SOX法案在2002年颁布实施以来。一些国际知名的咨询公司和会计师事务所为企业提供内部控制咨询服务的主要做法是以内部控制框架或标准为参照物,根据内部控制框架的构成要素评价内部控制的设计有效性,然后测试内部控制运行的有效性,最后综合设计和运行的评价,对内部控制的有效性作出总体评价。评估内部控制目标实现的风险,判断是否存在重大缺陷,从而确定内部控制是否有效。这种思路和方法被称为详细评价法,在企业内部控制建设和日常评价中用的比较多。
基于企业流程管理的内部控制体系被称为以风险为基础的内部控制评价,它不是从控制到风险。而是从风险到控制,即从企业流程管理中相关目标实现的风险进行内部控制,其程序如下:
1.评估各经营及业务单元、主要业务循环特别是经营、业务和管理流程中相关目标实现所存在的风险。进行内部控制流程关键控制点设计。
2.识别和确定企业充分应对这些风险的内部控制是否存在。即评价各流程中内部控制的设计应对相关目标实现风险的有效性。绘制内部控制流程图。
3.收集和确定各流程中内部控制运行有效性的证据(包括涉及具体流程的企业外部法规、公司规章和重要内部管理制度),评价现有的控制是否得到了有效的运行。
4.根据主要控制点相关资料(包括各部门、各岗位与具体经营、业务和管理流程相关的重要报告及经营、业务和管理流程操作记录、附件等)。对控制缺陷进行评估,判定是否构成重大漏洞,确定内部控制是否有效。
(三)在公司治理的基础上。在企业内部进行权责划分,并进行内部控制流程监督和检查
公司治理是通过一套正式或非正式的、内部或外部的制度或机制来协调公司和所有利益相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。权责划分是指在组织结构设置的基础上,设立授权的方式,明确各部门、各岗位和各员工的权利和承担的责任。企业应结合内部控制和风险管理的相关理论,对设计和再造的经营、业务和管理流程实施监督和检查,在对企业内部控制测试和评价的基础上,作出内部控制自评报告。
20世纪80年代,美国麻省理工学院教授MichaelHammer和CSC顾问公司总裁JamesChampy在对企业广泛调研中发现,一些公司在实施改革后取得惊人成就。其原因只是改变了某些业务流程或取消了某些业务环节。在进一步研究中发现,追求根本性而不是渐进性变革是共同特点。而改革提出的问题,既不是“如何把我们的事情做得更快”,也不是“如何用最低的成本来完成我们现在所做的事情”,而是“为什么我们要做现在正在做的事情”。从流程管理和流程再造的角度出发。根据公司治理过程中具体环境的变化。主动对企业内部控制制度重新进行设计或改造,将内部控制分别整合到企业的经营流程、管理流程和业务流程中去。不是采取保护性的或有控制倾向的方法来管理不利风险和收益波动,而是通过支持和影响定价、资源配置以及其他的业务决策来优化企业绩效,以更少的投入获得更大的产出,为企业在危机四伏、竞争激烈的市场环境中获得竞争优势。这也是内部控制法规体系在我国顺利实施的必要保证。