控制环境与内控体系.docx
- 文档编号:9695995
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:8
- 大小:20.31KB
控制环境与内控体系.docx
《控制环境与内控体系.docx》由会员分享,可在线阅读,更多相关《控制环境与内控体系.docx(8页珍藏版)》请在冰豆网上搜索。
控制环境与内控体系
控制环境与内控体系
1992年这一版的立方体,把控制环境放在了最下面,其实是凸显了控制环境是一个企业内部控制产生效力的基石,把监督放在了最上面,表示监督活动自上而下的进行。
其实,在1992年的内控框架中,它的框架主体图并不是这个立方体,而是下面这个角锥体,这是个被后来的立方体框架图冲淡了的框架示意图,但却是1992年COSO内控框架的主角。
从这个内控框架原始图里可以看的出来,几个要素的定位和重要程度是不一样的,控制环境作为最底层要素,在整个框架里有着举足轻重的位置。
很多企业的内部控制出了问题,有很多时候是控制环境中存在缺陷,如果没有建立一个良好的控制环境,其余的那些控制要素能够发挥作用的基础就不存在,设计的再周全都无济于事。
我们拿最近的瑞幸咖啡财务造假事件为例,管理层打造了一个激进的业绩目标,在目标无法完成时,铤而走险的进行合伙舞弊。
这是违背商业伦理和基本价值理念的,如果在管理层这样的操守下,塑造的企业文化和价值观肯定是不健康的,在这样的控制环境下的控制活动自然也会走形。
可以肯定的说,瑞幸咖啡的控制环境必然存在重大瑕疵。
控制环境是土壤,是决定内控这个种子能否生根发芽的重要保障。
COSO内控框架列示的控制环境的内容,其实不仅仅是针对内部控制而言,而是针对一个良好的公司治理环境下应该体现的一些管理要素,这里只是从内部控制的角度对这些要素进行的阐述而已。
大家知道,COSO在2017年发布了其革命性的企业风险管理框架,其中也是采取了五要素的框架图,就两个框架内容对比看,其内部控制和风险管理框架重合度最大的就是控制环境这一要素,对应着COSO企业风险管理框架中的的第一个要素“治理和文化”部分。
我们具体看一下COSO内部控制框架中的原则和关注点:
原则1:
组织应展现对诚信和道德价值观的承诺
需要设定贯穿整个组织的“高层基调”
一个人有一个人的“人格”,相应的,一个企业也应该有一个企业的“企格”,企格怎么形成的?
靠的是组织最高层的基调设定及言传身教。
组织需要明确为什么会被创立、它的使命和愿景是什么?
它能够为社会和全体员工及利益相关方带来什么?
它秉持什么样的价值主张?
对风险的基本态度?
这些都是要通过文字表达出来并通过各种途径传播给整个组织,以便达成最广泛的共识。
另外,高层人员要带头践行这些价值主张,如果仅仅是口号,管理层都不履行甚至肆意践踏,那这些口号就成了空谈,所谓上梁不正下梁歪,这会对内部控制产生极大的损害。
想象一下,如果瑞幸咖啡的董事长和总经理都一直宣扬并践行“对舞弊事件零容忍”的价值主张,瑞幸还会出现这样的造假事件吗?
2017年,刘强东在谈及京东反腐败的问题上严厉指出:
“你贪十万,我就是花一千万也要把你查出来!
”,这就是典型的在具体问题上的“高层基调”。
在中国,我们有熟悉的类似说法像企业的“基本经营理念”或“经营哲学”,企业的最高层应该将这些基本经营理念进一步具体化,在各领域进行阐释,让这些无形约束深入人心,人人都秉持共同的价值理念,是实现有效控制的基础。
这里面体现的是一个企业创始人的格局和赋予企业的精气神,在这方面中国历来有丰沃的文化土壤,所以时机得当,中国一定能出一批伟大的企业家。
建立全员的行为规范
行为规范为全员在实现组织目标过程中的日常行为、开展活动及决策提供指导,行为规范不同于具体的业务制度,和“高层基调”有一定承接关系,是根据公司的文化和价值观,对员工行为进行指导和规范的指引性文件。
如建立是非观,让全体员工更好的针对不同情形判断对错,如不同区域可能会有不同的道德准则,不同国家的合规监管框架。
对“灰色区域”的内容提供指引。
企业的制度流程不管制定多么完善,一定有其覆盖不到的地方,或者一些新出现的情况还没有制度对此进行要求,需要对这样的情况作出引导性方案,以便更好的管理风险。
在很多跨国企业在进行新入职员工的培训时,都会对这种情况进行明确规定,如果遇到这样的情况一定需要向上级管理人员、法务及合规部报告,避免因员工自行判断使组织承担不必要的风险。
另外,对每个员工都应遵守的合规要求以及与外部合作方进行商业往来中应遵守的商业规范进行要求。
关于商业反贿赂是其中必备的内容,国内很多的企业都已经建立了针对商业反贿赂的行为规范,甚至设立了道德遵从委员会来加强这方面的要求。
这些对于建立良好的控制环境都是非常必要的内容,因为最终的控制都是基于对人的行为的控制。
对不当行为的评估及纠正
需要定期或不定期评估全员对行为规范的遵守情况,对不鼓励或违反行为准则的行为进行纠偏,应该特别注重以下的情况,非常容易导致破坏行为规范的情况发生:
高层基调没有广泛传播,对高层基调没有概念或认同度不高;
董事会未有效监督高管违反行为规范的行为;
管理层未有效监督员工违反行为规范的行为;
迫于管理层、同事或外部人员压力而实施舞弊行为;
业绩目标设定不合理,从而做出违反组织行为规范的行为;
信息沟通机制不健全,如举报人保护机制;
存在控制缺陷,在业绩不理想的情况下可以掩盖实际业绩情况;
对不当行为的调查或追责不当,导致遵从行为效力打折;
内部审计及监督机制薄弱;
原则2:
董事会应独立于管理层,并对内部控制的开展与效果进行监督
注:
由于COSO的公司治理模式以英美法系为基础,董事会是集决策与监督于一体,而中国实施的是大陆法系,公司治理机构中还存在一个单独的监督机构—监事会,我们先根据原文解读,后续再探讨中国公司治理模式下的监督职能发挥问题。
建立监督责任
董事会(或类似机构)是企业内部控制建设和运行的最终责任机构,代表所有方和利益相关方利益,对内部控制的运行情况实施监督。
董事会任命总经理、总裁或首席执行官,公司的总经理、总裁或首席执行官及高级管理层对内控控制的建立和运行负有直接责任。
董事会还可建立各专业委员会负责具体领域的内部控制事项,如风险管理委员会、审计委员会、合规委员会等。
保持独立性与专业性
COSO认为,董事会应独立于管理层,并具备相关领域专业的知识和技能来实施监督。
所谓的独立,指的是董事会成员在思想、行动、形式和实质上保持独立客观。
这种独立性的体现就是独立董事的制度要求,在美国上市的公众企业董事会基本会包含至少2/3的独立董事。
大家熟悉的萨班斯法案更是要求董事会下设的审计委员会必须完全由独立董事组成。
独立董事专业又独立的地位也是董事会监督全体高级管理层的条件保障。
原则3:
管理层为实现目标,确立组织架构、汇报线、合理的权力与责任
组织架构与汇报路线
董事会和高级管理层应该建立组织架构和汇报路线来计划、执行、控制及定期评估组织的活动,组织架构既是内部控制要求的一部分,也是实现内部控制的重要手段。
设置组织架构与汇报路线,应考虑实现风险管理和控制要求,但无论采用何种组织架构,权力和责任必须清晰、沟通渠道必须畅通。
对于某些高级管理人员来讲,有时需要设置虚线汇报路线,以达到信息的充分分享和制衡需要。
在很多跨国企业的组织架构中,矩阵管理是一种比较常见的管理架构,比如从业务和行政分两条线管理,也算是一种组织安排内控制度。
权力与责任
董事会对高级管理层授权并分配责任,高级管理层对其他管理人员授权并分配责任都是为了实现控制目标的手段,分配的好,可以有力促进组织控制目标的实现,分配的不好,就会阻碍控制目标的实现。
在这里举一个华为的例子,大家可能听说过,任正非在定位几个层次的人员时说过这样的话:
砍掉高层的手和脚,只留下脑袋用来仰望星空、洞察市场、规划战略、运筹帷幄;
砍掉中层的屁股,华为公司中层干部承上启下,至关重要,中层是“腰”,砍掉中层干部屁股就是要打破部门本位主义,再有就是要让中层走出办公室;
砍掉基层员工脑袋,在各种场合强调要服从组织纪律,建设流程化组织,建立业务规则。
权力限制
要明确定义每个岗位的权力边界,以确保权力不会被滥用或接受不适当的风险。
实施不相容岗位分离可以降低实现控制目标过程中的风险。
原则4:
组织要吸引、培育和留用符合组织发展要求的人才
建立对胜任能力的要求
组织应明确为了实现控制目标所需要的各岗位的能力要求,从董事会到CEO到高级管理层,都应该建立胜任模型,以确保那些执行控制的人员有充足的能力来满足内部控制目标的要求。
评估胜任能力
胜任能力通过任职人员的工作态度、专业知识和具体行动来表现出来,组织的人力资源部门会根据工作角色和岗位级别评估员工和岗位的匹配度。
如果一个员工在某岗位胜任能力不足,可能会无法有效执行此岗位的相关控制,此时,管理层有责任针对这些不足采取相应措施。
吸引、培育和留用人才
人才是企业发展的基础,也是实施控制的主体,组织需要制定政策来吸引、培育、留住优秀人才。
吸引认同组织文化、运营模式、满足岗位胜任能力要求的人才;
培育员工不断成长,发展与岗位、职责相匹配的工作能力;
留用组织需要的人才,提供适当的激励措施,以提升绩效和留住人才。
规划“继任计划”
上个月,美国面对新冠疫情的持续肆虐,也有不少国家的政要被感染,为了应对这一紧急的可能发生的情况,美国制定了“极端情况”下特朗普的“继任计划”,如果特朗普发生不测,55岁的四星上将名为特伦斯·J·奥肖内西(TerrenceJ.O'shaughnessy)将取而代之。
其实,在跨国企业里,“继任计划”是一项常规管理内容,也是为了达到组织控制目标,保证控制可以被不间断执行的内控措施。
到一定级别的管理人员,会被要求指定未来可能的候选人,不一定非得是紧急情况下需要,如果某一管理人员获得升迁或离职,都需要启动继任计划。
在中国的文化中,这种模式不一定能行得通,领导在任时,让领导指定未来的接任者,这是非常敏感的做法。
但如果没有形成这种规则,企业可能在遭遇突发重大人事调整时面临经营的巨大波动,根源是由于本身的确定性不足导致的。
原则5:
全员都要承担内部控制责任
落实责任,强化问责
董事会要求CEO,CEO要求管理层,管理层要求其下属,责任层层下达,问责层层落实。
这些关于内部控制的责任不是独立于管理职能的,而是融入到了日常管理的工作中,或者说日常管理的工作中有一部分是要实施内部控制的责任,因为如果一旦控制失效,造成损失,执行控制的岗位将会遭受处罚。
建立绩效衡量机制
为了达成控制目标,控制不力有可能使其受罚,但如果其可以优化当前控制也应该得到奖励,如实现了降低产品缺陷率而超额完成生产目标。
激励是管理层和其他员工提供工作绩效的驱动因素,所以适当的奖励机制对于实现最优化控制有积极作用。
从这个角度,你可以想象一个“干多干少都一样”的企业对实现目标的危害。
所以,我们面临的很多中国式的管理难题,从控制的角度都有答案。
考虑目标设定和业绩压力
董事会和管理层设定目标时,应避免形成不恰当的业绩压力,如:
a.不切实际的短期业绩指标;
如瑞幸的收入指标压力,对外承诺和实际情况之间的差距形成压力,很多的上市公司在业绩不佳时都会面临此压力。
这也是舞弊三角形的一个必备要素。
b.利益相关方之间的目标冲突;
平衡好个人绩效和公司及部门绩效之间的关系,如华为的以客户为中心,确立了当客户目标和公司目标不一致时,要以客户利益第一为处理冲突的原则。
c.短期绩效奖励与长期绩效奖励的失衡;
注意激励措施长短结合,短期反映当下绩效,长期反映持续成长能力,不要只注重短期激励兑现,造成员工只关注眼前利益;或者只有长期激励措施,让员工总是啃着馒头憧憬遥远的梦想。
绩效评估和奖励
绩效评估和奖励是为了留用优秀员工和淘汰不合格员工,绩效的评估根据目标的完成程度和管理风险的能力来衡量。
好了,这一要素的内容比较多,通过上面的介绍大家应该有基本理解,内部控制环境里提到这些点不仅仅适用于内部控制,而是现代企业管理的精髓,强化这些管理要素,对于增强组织自身的管理确定性大有裨益,明确而利索。
问渠何来清如许?
唯有源头活水来。
控制环境就是内部控制的源头,源头清了,渠里的水自然也就清了!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 控制 环境 内控 体系