时间:2023-04-07 作者:叶兴全 黄博 刘凯
[大]
[中]
[小]
摘要:
基于风险导向的业务链价值管理型内控体系构建探索
叶兴全 黄博 刘凯
作者简介:叶兴全,武汉第二船舶设计研究所;
黄博、刘凯,天职国际会计师事务所(特殊普通合伙)。
摘 要:本文通过分析职能管控型内部控制体系建设中存在的关于内部控制认识认知、效率效果的常见问题,结合权责管理、流程价值管理、业务固有风险评估、内部控制信息化等,提出融合风险管理与信息化建设的业务链价值管理型内部控制体系构建思路,设计了全链条覆盖且价值高效的业务流程及业务固有风险等级量化评估模型,并建议从管理机制融合、明确内部控制信息化的定位着手开展内部控制与信息化融合建设。
关键词:内部控制;业务链;流程价值;风险评估;信息化
中图分类号:F275 文献标志码:A 文章编号:1003-286X(2023)06-0029-04
内部控制管理是以流程的形式反映业务管理的本质,应基于目标导向,将处于业务流程上的各个部门、岗位、权责及规章制度等,集成并贯穿于业务链以形成跨部门职能的价值管理。然而,有的企业在内部控制体系建设时着眼于职能管控,即由各职能部门基于主管业务领域的管控需求建章立制,分板块架构设计形...
基于风险导向的业务链价值管理型内控体系构建探索
叶兴全 黄博 刘凯
作者简介:叶兴全,武汉第二船舶设计研究所;
黄博、刘凯,天职国际会计师事务所(特殊普通合伙)。
摘 要:本文通过分析职能管控型内部控制体系建设中存在的关于内部控制认识认知、效率效果的常见问题,结合权责管理、流程价值管理、业务固有风险评估、内部控制信息化等,提出融合风险管理与信息化建设的业务链价值管理型内部控制体系构建思路,设计了全链条覆盖且价值高效的业务流程及业务固有风险等级量化评估模型,并建议从管理机制融合、明确内部控制信息化的定位着手开展内部控制与信息化融合建设。
关键词:内部控制;业务链;流程价值;风险评估;信息化
中图分类号:F275 文献标志码:A 文章编号:1003-286X(2023)06-0029-04
内部控制管理是以流程的形式反映业务管理的本质,应基于目标导向,将处于业务流程上的各个部门、岗位、权责及规章制度等,集成并贯穿于业务链以形成跨部门职能的价值管理。然而,有的企业在内部控制体系建设时着眼于职能管控,即由各职能部门基于主管业务领域的管控需求建章立制,分板块架构设计形成职能管控型内部控制体系,忽视了一项业务全链条跨部门关联运转的客观实际,不能合理平衡风控效果和流程效率。
本文着眼实务应用,将迈克尔·波特的价值链理念引入内部控制体系建设领域,在分析内部控制认识认知和效率效果等方面常见问题基础上,研究提出兼顾风险防控与管理效率的内部控制体系构建思路,期望为企业内部控制体系建设从职能管控向职能管控服务于业务管理转型提供些许启示。
(一)关于内部控制认识认知的几个误区
1.将内部控制等同于规章制度。有些人认为制度体系是否健全,决定了内部控制是否完善。这种思维下设计的内部控制体系,往往简单堆叠企业各个部门出台的规章制度、审批单及审批流程等,但对于背后的设计逻辑深究不够,对内部控制与业务、制度、流程及表单之间的内在关系不求甚解。
2.将内部控制独立于风险管理。有些人认为内部控制是预防管理而风险管理是事后处置,二者相对独立。这种思维下的风控管理人员往往忽视业务固有风险识别与评估对内部控制设计的牵引和支撑作用,对一项内部控制旨在防控什么风险或能够防控什么风险不能做到心中有数。
3.将内部控制等同于人工审批。有些人认为管理层介入审批是一项业务得以开展的必备条件,所历经的审批层级越多或越高则内部控制效果越好。这种思维下设计的内部控制流程常常陷于冗余低效或重复无效,制定的内部控制措施往往滥于层层加码或矫枉过正,也使得自动化控制难以得到充分有效运用。从而导致企业高管疲于处理大量事务性单据,甚至因流程过长下的信息不对称被“绑架审批”或盲审盲批;也时常因“前面人以为后面人会审、后面人以为前面人已审”的信赖错觉,出现“层层审批、层层失守”的失控局面;甚至习惯于以领导签字背书代替客观取证。
4.将审核审批等同于权力。有些人认为权限是否合理,决定了内部控制是否到位。这种思维下设计的权责体系往往忽视一项权力对应的责任设定,无形中放大了管理者的潜在权力欲,使得内部控制体系存在先天文化缺陷。尤其容易让企业“一把手”崇尚绝对集权,导致分权与授权运用不足而影响管理效率和市场响应速度,甚至凌驾于内部控制之上。
5.将交易金额大小等同于风险高低。有些人认为一项业务的交易金额大小,决定了风险之高低。这种思维下设计的分级授权往往以交易金额作为单一授权标准,不能根据不同业务领域或管理模式下的风险差异进行分类分级授权。无论是费用报销还是合同签订,只要金额达到标准均需层层审批至企业“一把手”,导致流程过长、控制过度。
6.将内部控制信息化等同于信息系统开发。有些人认为将内部控制流程及表单嵌入业务信息系统,便实现了内部控制信息化。这种思维下开展内部控制与信息化融合建设,往往盲于开发各种业务信息系统,以求覆盖内部控制主要业务领域,却不考虑如何通过自动化控制取代人工控制和如何强化内部控制日常管理信息化,导致内部控制与信息化“两张皮”、内部控制体系成果运用不深等。
(二)关于内部控制效率效果的几个问题
1.缺乏自成体系的构建方法是软肋。有的企业风控管理部门对内部控制体系理论研究不深,对实践运用和经验总结不够,往往依赖于外部咨询机构的标准化思路,无法提出独具企业特色的内部控制体系构建方法,导致内部控制体系出现水土不服或内部控制效率效果不佳等。
2.无关联板块分割是硬伤。有的企业以职能管理为内部控制体系设计的切入点,脱离了业务本身链条化运转的客观实际,使得无法从一项业务全链条视角去评估其固有风险分布及内部控制设计合理性,导致流程不能全链条一体设计、关键风险点定位不准、流程无价值甚至损值等。
3.非增值型业务流程是痛点。一项业务整体风险能否得到有效控制,关键在于抓住该业务链上的主要风险点并设计合理控制,而职能管控型内部控制体系难以从前后端流程关联角度,去评判各个流程及控制点的必要性和风控效果,使得从单独职能领域上看似合理高效的控制,在整个业务链上看却成了低效无效的控制。
4.信息孤岛是壁垒。有的企业组织架构按职能设置,即由各职能部门分别管理同类型业务,容易导致数据孤岛而不能集中共享、系统孤岛而不能串联勾稽、管控孤岛而不能有效高效。
5.事权混同是短板。一项业务通常关联财权与事权、事权与事权。业务开展的必要性与可行性一般应由事权决策线审批决定,但多数企业财务部门在介入预算编制审批后仍然参与具体事项立项审批,造成财权与事权混同并影响流程效率。事权与事权混同则常见于采购需求审批与采购实施审批。另外,无视决策阶段与执行阶段的风险差异而实行无差别审批,也会导致一个事项重复审批和流程冗余。
6.角色混同是缺陷。有的企业常忽视业务流程参与角色相关职责界面的清晰定位,基本以经办、审核和审批为划分标准,使得一些仅需知悉业务信息的人员以审核审批角色嵌入流程批转而影响效率。
7.管控不足是纰漏。有的企业风控管理部门囿于职能管理思维,缺乏内部控制日常变更的管控意识,失于对业务链上不同领域或阶段的关联关系、管理效率及风控效果的整体评估与统一管理,以及失于对流程效率的跟踪监控,任由企业管理部门各行其是,导致“流程碎片”不断累积而降低业务链的整体运转效能。
(一)概念与要素
业务链价值管理型内部控制体系是以全链条覆盖的业务流程为中枢,在识别评估业务固有风险基础上,针对性设计人工控制规则和自动化控制规则;在规范权力体系和行权规则前提下,明确界定各业务流程参与角色的直接责任、主管责任和领导责任;最后以体系文件及规章制度等形式予以固化,打造流程全链条覆盖、业务风险可控、权责利匹配的价值高效的内部控制体系。核心要素包括业务链、风险事项、控制规则、行权规则与审批责任等。
(二)全链条覆盖且价值高效的业务流程
1.流程设计合理的前提。
(1)流程架构科学是基础。应厘清企业主营业务及职能管理业务板块构成,据此搭建内部控制流程总体架构。
(2)主线流程清晰是关键。应针对每一项主营业务绘制贯穿业务始终的主线流程,清晰反映业务链上关键管控阶段和管控节点,同时绘制每个管控节点对应的子流程图并汇集成图库。其中:主线流程旨在让使用者全面掌握一项业务需历经的全部流程环节及前后逻辑关系,让设计者能够站在全链条角度去评估业务固有风险的分布状况和研判内部控制设计的合理性。子流程则用于指导具体的业务办理,定义风险事项、控制规则和审批责任等属性,并作为主线流程的穿透引用和基础支撑。
2.流程价值高效的方法。
(1)以业务链前端控制为主。尽可能减少或取消业务链后端的控制子流程或控制点。例如:采购业务应着重控制需求的必要性、供方选择的合规性、定价的合理性、招投标和合同签订的合法性等,对于合同签订后的执行环节,应结合管理模式优化和合理分类分级授权,尽量通过自动化控制取代人工控制,从而压缩业务链上的流程长度。
(2)转变支付管理模式。在不改变授权规则的情况下采取批审批付模式,即由需求部门提交付款申请并经合同管理部门审核后,推送至资金计划管理系统并汇总形成资金支付计划,企业高管通过月度资金计划会一次性审批后,纳入预算管理系统实行精确付款自动化控制,避免逐单逐人层层审批付款模式下耗用大量时间。
(3)适度分权与合理授权。建立集体决策重大事项、高管决策分管领域事项、中层决策授权范围内事项的三级行权体系。要根据业务固有风险情况,合理分类授权与分级授权,压缩流程长度以提升灵活性。例如:可将低风险业务的公章使用审批权下放至企业中层,并实行“业务事项谁决定、用章责任谁负责”的“章随事走”机制,即业务事项经审批后自然用印,不再单独发起用章申请审批流程。
(4)明确分事行权规则。坚持事权与财权、事权与事权分立,以明确责任界面和压缩流程审批层级。例如:采购需求审批应由业务部门及分管领导决定其必要性和可行性,财务部门和采购实施部门不应介入。
(5)充分运用自动化控制。要打破必须人工审批的惯性思维,采取将控制标准嵌入业务信息系统或通过相关业务信息系统联动控制等方式实现自动化控制取代人工控制。例如:
情景假设:某公司出台制度规定员工按80元/天及实际出勤天数计算报销通勤费,实际出勤和通勤费报销由部门负责人分别通过考勤系统和网报系统审批。
风险识别:通勤费报销主要风险包括报销标准和实际出勤天数是否准确、票据是否合法合规、是否超额度报销等,前两项已分别通过规章制度及考勤系统人工审批实现控制,第三项则由会计人员审核控制,第四项为剩余风险。
优化方法:通过考勤系统自动计算报销额度后,推送至预算管理系统进行自动化控制,取消报销时部门负责人人工审批控制(属于典型的无价值流程)。
(6)分清流程参与角色。将仅需知悉业务事项的人员由流程前端主动审核审批转为流程末端被动接收,或通过业务信息系统推送统计报表等使其掌握业务信息。
(三)量化业务固有风险评估
评估已识别的业务固有风险等级和分析固有风险在业务链上的分布,是确保风险管理与内部控制融合、针对性设计内控规则以精准指向“控什么、怎么控”和“控该控、控可控”、流程效率与风控效果有机平衡的重要前提。业务固有风险等级量化评估模型如图1所示。计算公式为Y=β×∑xi。其中,Y为业务固有风险,由一项业务对应各轴风险值定量加总后,通过风险系数定性调整得出;β为风险系数,用于调整一项业务定量计算的异常分值;x为一项业务在各轴上的风险值,各轴风险分值标准可采取等差数列进行定义;i为A到D轴。该模型运用的基本假设为:一项业务对企业经营绩效目标影响越大,则该业务链上的相关业务活动固有风险越高;一项业务所处的管控领域越靠近业务链前端,则业务固有风险越大;一项业务涉及的最高决策主体层级越高或越偏于集体决策,则业务固有风险越大;一项业务活动越趋于事前决策环节或为该环节的主要活动,则业务固有风险越大。
图1 量化评估模型
一个设计科学且契合企业经营管理实际的内部控制体系,始终是内部控制信息化的根本。一个覆盖全面且互联互通的一体化业务信息系统,则是内部控制有效落地的核心抓手。
(一)实现管理机制融合
1.顶层管理机构协同谋划是融合建设的保障。取消纯粹的内部控制体系建设领导机构,并将相关职能纳入风险管理委员会,确保内部控制与风险管理的机构融合。协同风险管理委员会与企业信息化建设管理顶层领导机构,强化内部控制信息化的顶层规划和统一管理。
2.提前评估内部控制体系建设方案信息化落地的可行性。在内部控制体系建设方案正式发布前,由信息化管理部门组织专家就方案信息化落地的可行性进行评估,从源头增强内部控制与信息化的融合性和融合度。
(二)明确内部控制信息化的两个定位
内部控制信息化并非单纯的业务信息系统开发,应以完善的内部控制体系为中心和引领,通过内部控制嵌入业务信息系统和建立风控管理信息系统,实现全方位一体化管控(如图2所示)。
图2 内部控制信息化
1.将内部控制嵌入业务信息系统。(1)基于“管理制度化、制度流程化、流程表单化、表单信息化”的理念,通过业务信息系统固化业务流程和表单。(2)基于“自动化控制尽可能取代人工控制”的原则,设计内部控制时应充分考虑业务信息系统的运行机理,制定可对接软件编程逻辑并明确指向控什么和怎么控的自动化控制规则,为内部控制嵌入业务信息系统提供具体路径和方法。例如:要控制采购物料品名、数量及价格等在内部审价、招标实施和合同签订等三个环节的一致性,则需将物料清单从审价管理模块推送至招标管理模块及合同管理模块,并建立刚性关联约束。(3)将风险事项清单、审批责任清单等嵌入业务信息系统,即时提醒流程参与者,并使其知悉控什么风险和负何种责任。
2.强化内部控制日常管理信息化。以风控管理信息系统为依托,实现制度集中管理、流程集中管理、流程价值评估、流程效率监控、风险预警监控以及内部控制手册自动迭代等。(1)制度集中管理。结构化管理制度文本中有关流程及内部控制要求等条款,自动识别其变化情况以提醒风控管理部门作出即时调整,并同步更新至业务信息系统。(2)流程集中管理。统一流程编辑和展示平台,关联主线流程与子流程以实现穿透查询,并自动映射至业务信息系统,确保流程输入唯一。(3)流程价值评估。风控管理部门应事前评估拟变更的业务流程及控制规则,防止职能管理部门随意变更给业务链整体风控效果和流程效率带来负面影响。(4)流程效率监控。从业务信息系统抓取并分析流程运行状况,以便风控管理部门重新评估并优化长期运行效率低下的业务流程。
责任编辑 刘霁
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号