国内大型企业近年来顺应新时代的管理要求,大都开展了以流程梳理为先导的内部控制体系建设和成果固化,提升了企业管理,防控了经营风险。
但是由于一方面企业面临不断变化的内外部经营环境,内部控制标准流程需要适时完善优化,动态调整,保持活力; 另一方面,受制于初始工作的边界制约,已有的流程常常会存在跨业务壁垒的端到端流程未能全面落实、各类业 务颗粒度不统一、流程与制度衔接不足、流程在信息系统的固化有待提升等问题。
依据国内外风险管理和内部控制的实践,内部控制的意义首先在于规避风险,实际上是组织的内部风险控制机制。
因此,内部控制流程作为内部控制的载体,其优化设计应围绕公司既定的战略和经营目标,以风险辨识和评估为切入点,确定业务关键控制环节,制定有效防范风险的控制措施,保障内部控制实施的效果。
实施内部控制必须权衡内部控制实施成本与预期效益,以合理成本实现有效控制。通常情况下,内部控制工作越周密、越细致,控制效果也越好,但同时也增加了控制的复杂性,导致成本上升,工作效率下降。因此,内部控制流程的设计必须做到详略得当,在满足重要性的前提下,尽量提高效率。
在设计控制流程时,必须保证控制措施具有唯一性,即不重不漏。公司在设计具体的内部控制活动时,是按照业务流程来进行的,许多流程之间的业务存在交叉,为使控制责任能够具体到人,针对交叉业务的控制就必须要贯彻唯一性原则,使得所有该管的事情有人管、管起来。
企业管理关注价值链,内控流程也必然围绕价值管理进行设计。公司主要包括战略、市场、研发、生产管理等基本价值活动和人力、财务、物资、法律等支持性价值活动,这些价值活动将企业内部与外部、各业务环节等以价值链的形式连接起来,通过价值管理实现价值增值。
内部控制是散布在这些价值活动中的一连串行动,通过管理和控制这些价值活动,确保公司目标的实现。因此,优化内部控制流程的价值驱动因素并加以管控,一个主要方面,就是通过对影响企业目标实现的关键价值作业的控制,提升企业价值。
企业内部控制活动涉及企业组织架构、控制环境和业务活动流程三个方面,忽视企业的组织框架结构和控制环境,单纯考虑业务活动本身进行内部控制方案的设计,内部控制实施效果将大打折扣。
如果将企业的内部控制流程设计成为一套完全封闭的控制体系,不能根据企业的实际情况对内部控制流程进行修正和完善,将导致内部控制与企业运营实际严重脱节,最终致使内部控制形同虚设。
因此,要高度重视内部控制流程的后续建设问题,结合组织架构、控制环境的变化定期或不定期对内部控制流程进行梳理,及时修订完善,保证内部控制流程对企业运营的管控力。
ECRS分析法:该方法是工业工程学中程序分析的四大原则,用于对流程进行优化,以减少不必要的环节,从而达到更高的工作效率。
SDCA循环:即“标准化、执行、检查、总结(调整)”模式,包括所有和改进过程相关的流程的更新(标准化),并使其平衡运行,然后检查过程,以确保其精确性,最后做出合理分析和调整使得过程能够满足愿望和要求。
这些技术方法综合来看,虽然具体构成要素不相同,但都涉及到待优化流程的界定、评价、分析和改进等过程。
环境评价,评价传统业务流程的上游和下游是否有业务流程的调整,例如居于财务资金流入流程上游的收入业务流程是否有所调整,公司经营领域新的扩张是否能够走通现有业务流程;评价业务本身是否拓展了范围,例如基建工程加强对其他费用的监控措施,是否在流程中体现。
风险评价,评估现有政策、营运战略以及信息披露各方面的风险变化状况,对于风险等级有显著变化的,评价现有流程是否能满足风险管控目标。例如上游价格调整,企业即将面临较大的经营压力,需评价现有的流程是否都考虑和反映了该项重大风险。
控制缺陷评价,根据近期重大内外部检查的结果,评估检查发现存在问题领域的流程所存在的缺陷。例如检查发现某项业务领域存在问题,需评估相关各项流程是否存在缺陷,如不相容职务分离等控制措施是否到位。
制度和信息系统评价,评价当前在行的制度是否与内部控制措施一致,当前在用的信息系统是否有效衔接。是否满足信息加工的要求,如不满足则存在业务规则和数据规则的集成断点,需重新明确要求并固化要求。
确定内控流程优化的范畴,根据步骤一评估得到的流程设计缺陷及运行缺陷,确定需要调整二级还是财务流程。例如假定某业务流程存在设计缺陷,需分析确定控制措施是否包含在其他二级流程中,能否与该业务流程衔接,流程调整哪几项。
确定调整后的内控流程包含的各要素:流程名称、步骤名称及说明、责任部门及岗位、授权类型、相关印章、相关文档、涉及系统、相关制度、控制点、控制频率、控制方式、控制目标、风险点描述
确定测试样本量,根据步骤二确定的流程控制频率,确定测试样本量。例如存货出入库业务,如果每天都有发生,应确定不少于15个样本量。
执行穿行测试,即用一个样本模拟该流程,并检查其是否符合流程控制标准,据此评价该控制活动的有效性。
充足样本测试,在穿行测试通过的前提下,应当设置工作底稿以详细记录一定样本量的测试情况;检查内控活动的执行人员、过程、结果、频率、文档的流转和保存等是否如内控活动所述展开。根据充足样本的测试结果对该控制活动的有效性进行评价。
完善流程各要素内容,根据步骤三的测试结果,如果了解到的实际控制活动与初步设定的关键控制活动有所变化,相应调整流程中各要素的内容。
固化实施内控流程,根据调整后的控制措施、岗位职责的变化,提出细化控制文档、制度规范以及调整信息系统的要求并予以实施。例如强化了存货出入库控制措施,相应的应细化出入库单的交接要求。