时间:2020-03-20 作者:吴江涛 麻坤 (作者单位:华夏银行北京分行)
[大]
[中]
[小]
摘要:
不久前,笔者参加一个关于企业内部控制建设的主题论坛,聆听了专家、企业负责人对内部控制建设的思考。看着主题背板上的“内部控制”几个字,笔者头脑中即生出两个朴素的问题:如何理解内部控制的“内部”与“控制”?由此有一些心得,在此与大家分享。
一、在什么之“内”
内部控制的“内部”是指在什么的内部呢?多数人会说当然是指企业内部。笔者认为,这个回答并不全面,至少应从四个方面来理解内部控制的“内”,即企业内、业务内、行为内和文化内。
第一,在“企业内”。内部控制是企业自己的“控制”,是建立在企业内部的。从这个层面认识内部控制,要求处理好企业自己“内部控制”与外部监管部门对企业“监控”的关系。一方面,监管部门需要注意避免监管越界。当前,监管部门出台了一些内部控制规范和指引、指南,既然是指引或指南,就未必是适用于每个企业的,因此,不宜简单地以其条款对照式地评估企业内部控制状况,而是需要根据企业具体情况进行具体分析与评价。另一方面,企业需要注意避免习惯于“被监控”。内部控制是企业内部的价值创造活动,是企业内在所需,而非外部监管部门强加的额外负担。因此,落实监管部门发布的内部控制规范、...
不久前,笔者参加一个关于企业内部控制建设的主题论坛,聆听了专家、企业负责人对内部控制建设的思考。看着主题背板上的“内部控制”几个字,笔者头脑中即生出两个朴素的问题:如何理解内部控制的“内部”与“控制”?由此有一些心得,在此与大家分享。
一、在什么之“内”
内部控制的“内部”是指在什么的内部呢?多数人会说当然是指企业内部。笔者认为,这个回答并不全面,至少应从四个方面来理解内部控制的“内”,即企业内、业务内、行为内和文化内。
第一,在“企业内”。内部控制是企业自己的“控制”,是建立在企业内部的。从这个层面认识内部控制,要求处理好企业自己“内部控制”与外部监管部门对企业“监控”的关系。一方面,监管部门需要注意避免监管越界。当前,监管部门出台了一些内部控制规范和指引、指南,既然是指引或指南,就未必是适用于每个企业的,因此,不宜简单地以其条款对照式地评估企业内部控制状况,而是需要根据企业具体情况进行具体分析与评价。另一方面,企业需要注意避免习惯于“被监控”。内部控制是企业内部的价值创造活动,是企业内在所需,而非外部监管部门强加的额外负担。因此,落实监管部门发布的内部控制规范、指引和指南,应具有主动性和积极性。内部控制在“企业内”,看似常识,却常常被误入歧途。在实践层面,一些监管部门手伸得太长,越界监管、条款对照式监管的现象是存在的。企业内部控制变成了监管监控,这是与内部控制的初衷相违背的。另外,一些企业或企业内部单元简单地将内部控制视为监管要求、上级规定,自主建设内部控制的意愿不强,内部控制建设比较被动。不是“我要”施行内部控制,而是监管部门“要我”施行内部控制。这也是与内部控制初衷相违背的。
第二,在“业务内”。内部控制不仅是写在制度中的,更重要的是存在于业务活动中,即存在于企业的交易或事项中。交易或事项包括主体(企业自身与交易对方)、时间、空间、工具、财物(交易对象)等基本要素,内部控制存在于每一项交易或事项的这些要素及其要素关系中。或者说,内部控制所控制的就是这些交易要素及其相关关系,比如:银行办理一笔贷款业务,借款人应具备什么条件、内部办理业务的员工应具备什么资格等,这是关于交易主体的控制要求;贷款期限、放款时间等是关于时间的限制;抵押物要求、资金流向要求等是关于交易对象的限制;质押存单的保管、票据真伪的鉴别等对交易使用的工具提出了要求。从这个角度认识内部控制,要求处理好业务发展与控制、风险管理之间的关系,尤其要注意内部控制不是置身于交易或事项之外进行的控制。但说起来很容易做起来却往往走入误区,比如:(1)近年来商业银行掀起了风险体制等方面的垂直化改革,很多商业银行在改革过程中,特别强调将信贷审批或风险管理置于业务单元之外。这种过度独立化倾向在一定程度上限制了发展,但未必能真正控得住风险。(2)在建立监督机制时,比较强调独立性,但却常常忽略独立的相对性。独立应是指利益、人格的独立。很多人却将独立理解为将监督、监控与业务分离。事实上,当控制、监督与业务分离时,它自然很独立,同时也很孤立,很难有效发挥监督、控制业务风险的作用。
第三,在“行为内”。依笔者自身从事内部控制实践的体验,认为有效的内部控制存在于员工的举手投足之间。以商业银行会计柜台内部控制为例:柜员办理一笔理财业务,其询问客户不当就可能导致销售诱导;其在计算机键盘上操作不当就可能造成资金错划;其起身暂时离开柜台去洗手间必须锁上钱箱,否则印章可能被盗用。银行柜台业务内部控制所控制的正是柜员的一言一行、举手投足(作为一项内部控制措施,银行监控录像监控了员工的一言一行、举手投足)。因此,内部控制存在于员工行为中而不是制度中。从这个角度讲,内部控制首先要强化员工行为自律(限制类措施)和岗位之间的相互牵制(牵制类措施包括不相容职务分离、复核等线性牵制类措施和双人办理等并行牵制类措施),专业部门、监督部门的检查、监督等管制行为(管制类措施)是次后的控制设计。内部控制建设的核心工作正是规范员工的言行。
第四,在“文化内”。内部控制存在于企业文化中。即便企业对员工行为的规范十分严密,员工不执行、执行不到位或不能持续执行,内部控制也难以奏效。只有当内部控制规范成为员工思想、行为上的习惯时,内部控制执行才具有自觉性、主动性。思想、行为的态度与习惯靠企业文化来养成,这恐怕是内部控制建设中最难做到的。在这个层面,要求处理好内部控制五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)的关系。在内部控制五要素中,人们通常比较注重风险评估、控制活动、信息与沟通等要素的建设,却忽视内部环境的建设。内部环境的核心就是企业文化问题,人们常常将其视为内部控制的前提或软性要素,这事实上是一种误读。内部环境、企业文化本身就是内部控制的组成部分,而且是最基础的部分。只有将内部控制置于企业文化中,才有可能处理好发展和控制的关系,也才有可能持续发挥其功能。从内部控制促发展的角度看,业务是变化的,内部控制措施是相对固定的,那么,内部控制如何适应业务的多样性和变化呢?这需要员工依据具体情况做出判断,而判断的基础就是内部控制文化。从内部控制控风险的角度看,风险是常态化存在于每一项交易业务中的,是持续不断的,而监督检查等内部控制措施是非连续性的,靠监督检查来覆盖每一项交易中的风险并不现实,因此还要依赖于交易主体的自律和牵制。那么,如何保证自律和牵制始终有效呢?笔者认为,除了监督,更重要的是植根于员工灵魂中的企业内部控制文化。文化是软性的、主动性的、渗透性的,可填充控制措施和监督在时间、环节上的断点和间隙,其内部控制功能是常规内部控制措施无法企及的。
对于内部控制建设,人们常用心、用力于“控制”,却未必用心、用力于“内部”。其实,有效的内部控制建设如何在“内部”两个字上下功夫,可能比如何在“控制”两个字上下功夫更难,但也更能取得成效。
二、“控”什么
控,引也。将弓拉满,箭在弦上,引而不发,这是控的状态。可见,控是一种平衡术。所以,在早期希腊,控制的内涵是掌舵术。笔者认为,掌舵术是对控制的最好诠释。内部控制就是一种掌舵术。在现代企业,内部控制是一种风险平衡术,控制的是“风险”和“度”,即将风险平衡在可接受的范围内。这一点看似容易理解,但人们的意识和行为习惯却常常跑偏,失去了控制重心和平衡。
第一,内部控制与风险。正确处理内部控制与风险的关系,应清楚一个基本常识:风险及问题永远存在。这是内部控制的存在前提,没有风险与问题即无需内部控制;这也是内部控制的存在价值,内部控制存在的意义正是发现、识别及处理这些风险与问题。内部控制对风险与问题的处理方式是:如果能接受,则容忍它;如果不能接受,则转移和化解它。如果这些问题暴露出内部控制容忍度自身存在缺陷,则内部控制制度还要进行自我调节和纠偏。在内部控制实践中有一种错误的认识,即认为内部控制消除风险和问题。这种认识虽然比较极端,但其变种却比较常见,比如怕出问题和担风险。尤其是一些管理者或监管人员见不得问题,一旦发现内部控制问题或者出现一起风险事件,就如临大敌,采取一些非理性的内部控制强化措施,导致矫枉过正。
第二,内部控制与效率。正确处理内部控制与效率的关系,还应清楚这样一个基本常识:内部控制一定会牺牲一部分效率(代价),也一定增加一些效率(减少损失或发现机会)。这是内部控制的作用机理决定的,也是内部控制的基本存在特性。一方面,内部控制一定会牺牲一部分效率。内部控制的常见作用原理就是对交易业务过程施加限制、牵制和管制。这常常会导致交易人员和交易时间增加、交易流程拉长、交易达成的条件增多等。这是企业内部控制必须付出的效率和代价,是十分正常的。虽然这是一种常识,但在实践中很多人却忘记了它或不敢面对它,比如:一些银行的部分客户经理常常以效率为借口,总是抱怨内部控制约束太多,对其市场拓展、客户营销形成了制约。而企业从事内部控制、风险管理的人员似乎也不愿承认内部控制确实牺牲了部分效率,不愿承认这是内部控制必须付出的代价。这导致一些企业的内部控制建设缺乏共识。另一方面,内部控制一定增加一些效率,这是内部控制的最终价值所在。内部控制提升企业效率有两种方式:一是避免或减少损失。企业通过对交易业务的控制,避免财产被盗用、挪用、毁损或付出其他代价。二是发现并抓住市场机会。企业通过对交易活动的控制,确保能够发现市场机会,并确保交易活动按预期进展,实现财产增值。在实践中,人们对于内部控制避免损失的作用认识相对比较充分,但对内部控制创造价值作用的认识还不够透彻,通常是基于前者来认识后者。事实上,内部控制的价值创造作用并不仅仅是消极地避免损失,还可以积极地带来增值,比如:银行贷款主体的选择并非仅仅是避免本金损失,还包括确保利息收益的实现等。厘清内部控制与效率的关系后,内部控制工作人员可以理直气壮地说:内部控制牺牲一定效率很正常;内部控制创造价值。
第三,内部控制与自由。理解了内部控制与风险、内部控制与效率之间的关系,就很容易理解内部控制与自由的关系。从内部控制主体角度看,内部控制作用的机理是为确定风险并保持一定容忍度;从受控的对象角度看,内部控制作用的机理是为确定受控对象并保持一定自由度。因此,内部控制不能简单地等同于限制自由,不能等同于缩小自由度。在实践层面,内部控制建设很容易步入这种误区,企业将强化内部控制等同于控制更严的现象普遍存在。这种现象持续下去,内部控制自身即变成一种风险或问题。笔者认为,与内部控制制度要求不符的问题相对容易发现,而最难防范的反倒是内部控制自身控制过严或控制过宽的问题,尤其是内部控制控制过严的风险,很难被内部控制自我诊断发现和纠正。因此,企业应注意将“强化控制”转换成“优化控制”,即设定更有利于战略、经营目标、合规目标实现的控制度。同时,监管部门在推行内部控制时,除了督促企业建立更严密的内部控制,还应注意企业内部控制与其经营管理目标的适宜性。后者是企业经营层难以自觉的,更需要监管部门从外部加以审视和提示。
总之,企业内部控制建设一定要在两个字上下足功夫:一个是“内”:有内在动力、有内化措施;一个是“度”:设定容忍度、控制偏离度。唯有如此,才能够真正发挥内部控制的作用。■
责任编辑 刘黎静
相关推荐