(1)谈谈内审的功能
“上面说的这些工作都做完,勉强可以算作是项目范围确定下来。不过,这才是万里长征的第一步。”
“要说你们搞咨询的也不容易,唾沫都快讲干了,才是第一步……”
“那是因为您是我亲娘。我们也不需要给客户讲这么明白,只要甩开膀子直接干活就是了。我们的客户千姿百态,像您这样学而不厌的很少。大多数的企业家还是现实了一些,更加欣赏可以带来直接经济价值的服务,比如广告,比如号称市值管理的炒股票。对于合规性的咨询服务,企业家抱持的态度大多是不以为意,素质高一点儿的能看得远一点儿,知道借这个机会梳理一下业务流程,提高一下各个业务部门之间的协作效率。那些素质需要提高的企业家,表现得就让人大开眼界啦。我之前接过一个客户,准备去香港上市,内控需要遵循PN21。我跟老板第一次见面的时候,老板就大手一挥地发布命令,希望我们像纪委一样,可以去分公司涤**歪风邪气,要是不揪出几个贪赃枉法的人,并且把他们即刻正法,都不能算项目做成功了。我听完之后为这家公司的员工捏了一把冷汗之余,还暗暗生出一丝惭愧,心想估计要辜负这个老板的期望了,同时还隐约觉得尾款收得可能会比较费劲。”
“后来呢?你是不是等着我给你捧哏(曲艺名词,对口或群口相声演出时配合‘逗哏’叙述故事情节)呢?”
“哈哈,您加这一句很煞风景啊。后来,我当然只能按照我对项目的理解去做。‘老板拿我当枪使,我却不能逢迎之。’PN21只是一个法规的合规项目,就算我做的是内部审计,首要目标也不是监察和反贪。内部审计是服务,服务于被审计单位,目的在于提升运营效率,优化现有流程,识别重大风险,建立关键控制,我认为这个观念是目前大部分企业家需要扭转和重新建立的。”
“说到这,我倒是有些不同看法。你总是强调内审的服务职能,那企业内部的舞弊、渎职、贪污靠谁去发现啊?靠犯罪分子自首吗?国家还得强力反腐呢,你这个观点,不太符合企业的正向需求吧?”
“妈,这其实是相对的问题,不能那么绝对。内审不是没有监察的功能,而是主次的问题。好比治水,是以堵为主,还是以疏为主?看上去两个都有道理,但是堵好比西医,头疼医头脚疼医脚,主要功能还是延缓症状,局部治疗;疏好比中医,正本清源,疏导路径。我见过很多企业把内审团队搞成‘八府巡按’,内审团队一下现场,分公司的主要领导全都如临大敌,来时远接高迎,去时恭恭敬敬,‘钦差’一走一切照旧,并没有解决根源问题。当然,舞弊和其他经营风险也需要内审团队积极参与,提出专业意见,但是靠内审团队来查舞弊,我觉得未免有些舍本逐末了。谈到具体的舞弊,主动地发起专项检查也是有必要的。之前我在火车驴拉供职,审计部每年制订审计计划的时候,对一些敏感的流程,或者风险高发的子公司,是要主动安排轮查性质的专项审计的。在审计过程中,如果能够发动广大群众主动爆料,我们根据爆料顺藤摸瓜,会更有针对性。当然,现在很多企业专门成立了监察团队或者部门,专门应对企业内部的贪污腐败案件。据我所知,有些监察人员还是公安出身。但我一直觉得这种纯法家性质的雷霆手段不太适合中国国情,如果公司整天笼罩在‘白色恐怖’下,肯定会影响到公司的正常运营。”
“好吧,之前我还指望你帮我掀起审计风暴呢……”熊妈妈嘟囔了一句。
“哈哈,您放心吧,您这个决定我一定会坚决反对的。关于这个问题,我一直是这么考虑的:内审具有监察功能,它应该像法律一样,是高悬于头顶的剑,让大家自觉在既定的公众秩序下自由而有安全感和尊严地生活,而不是一种威吓手段。这一点一定要讲清楚,并希望咱们在这一点上保持高度一致。”
“哦,我也没有什么极端恐怖想法,只是觉得企业做久了,内部就像一潭死水,需要外部的活力激**一下。”
“对,所以内审团队的积极参与是很重要的,但是导向和态度也很重要。内审是服务,是建立秩序和维护秩序,是正面的建设与优化,是主动、有效、不极端的监督和检查。”
“好啦,熊大侠,你都义正词言地跑题半天啦,你不是要给我讲怎么认知流程吗?我看你热血沸腾了一会儿,血压都上来了,快冷静冷静。”
“嗨,我这不是看见您马上就要走上错误道路着急嘛。有些观念并不仅仅是内控范畴里的,还可以外延到企业管理,观念正确了,方向才能正确。好,咱们接着正题讲。范围确定了,第二步就是辨别风险,风险辨别清楚了,才能谈得上设计相应的控制。不过谈到这里,我又有话要说了。”
“之前我遇到过很多同行,大家在进行专业讨论的时候,总在一个顺序问题上争论,那就是先做风险评估,还是先做流程梳理。主张先做风险评估的同人们是这么认为的:风险是起点,风险评估的结果直接影响流程的搭建。举个例子,应收账款管理这个流程在大多数企业都是风险较为集中的流程,需要设计关键控制点进行管理,从而降低风险。但是也有一个特例——教育行业,在以学校为代表的教育行业中,由于学费大多采取预收的形式,因此应收账款管理就弱化了下来。如果不先评估风险,对流程和控制的认知就有可能偏离方向。”
熊妈妈点点头:“说得挺有道理的啊!怎么着?我看你这个意思,你是要持反对意见啊?你从小就喜欢标新立异,我了解你吧?”
小熊没反驳,只是微微笑笑。
熊妈妈还有点意外:“咦?你竟然没还嘴?的确成熟了。”
小熊:“我累……”
熊妈妈:“……”
“您说得对,我刚才所说的观点,其实只能在理论上成立,原因有两个:第一,没有哪家企业是没有业务流程和基本控制的,流程可能随意一些,没有落在书面上形成正式文档,控制可能自发的多一些,随心所欲一些,缺少规范的约束。但是我没有见过哪家企业是流程和控制点都没有的,比如前面说的学校,您觉得学校体系中会存在一个没有价值的应收账款流程吗?所以,在这样的实际情况中,所谓风险引导流程的说法其实是站不住脚的。第二,在实务中,如果不谈流程,上来就谈风险,那么这个项目便缺少根基。在现实业务中,评估风险往往要企业的业务人员会同年轻的项目顾问一起来确定,如果没有流程作为讨论基础,我不觉得所谓的风险评估可以顺利进行。当然,如果我亲自去做,即使什么流程也没有,我也能做出风险评估,但是能把人活活累死。现在您觉得我说的有道理吗?”
“你嫌累还说那么多?我刚才正反两个观点都想了一下,其实先评估风险还是先归纳流程并不是绝对的,对吗?还得结合现实情况。”
“对,万事万物都不是绝对的。《金刚经》上说‘佛说般若波罗蜜。即非般若波罗蜜。是名般若波罗蜜。’佛总说这种来回看都对的话,这是什么意思呢?就是凡事皆为一理,你说它是,它也有非,你说它错,它也对。”
“也不对吧?比如你是我儿子这件事,你怎么解释也有可能不是呢?”
“嗯,我也是党和人民的儿子。”
(2)安得倚天抽宝剑——谈谈Visio
“在了解流程之前,先介绍一个好用的工具。微软在2000年花巨资收购了一个叫作Visio的公司,这个公司的主要产品就是Visio。总的来说,Visio的核心功能之一是绘制流程图。”小熊一边说,一边打开一个办公软件。
“在遥远的2003年,我刚到火车驴拉开始做萨班斯项目的时候,这个软件还是收费的,每个licence(授权软件)大概要收35美元。说到这里,我又想起了一件往事,中国的五部委(财政部、证监会、审计署、银监会、保监会)在2008年出台了《企业内部控制基本规范》并要求上市公司作为第一批试点在上市后强制合规,一时间神州大地上掀起了一场内控热潮。由于需求过于旺盛而导致供应不足,致使大批非专业人士也加入到提供内控咨询服务的大军里。您别说,这一点倒是很像相声界当年的情况,内控和相声一样,不用上台阶,一推开就是山门,但是距离山顶还有十万八千里。内控和相声不像财务报表和京剧,得先过苦日子,爬台阶,累得半死才到山门口。最后导致的结果是,这些上市公司的内控文档争奇斗艳、千姿百态,看得我尴尬症都犯了。很多规模较小的事务所没听说过Visio或听说了也不会用,于是别出心裁地用Word画了流程图,画出来的东西连直线都是拐弯的,实在是乱七八糟。我之前看过其他同人画的Word版流程图,气得我都说刻薄话了,‘这样污染眼睛的东西应该先打印出来,再全部撕掉’。”
熊妈妈听了不由得啧啧道:“要说我儿子这爱憎分明、胸怀宽广还真像你爸。”
小熊听了嘿嘿一笑:“我知道您讽刺我言辞刻薄,可是我实在是出于愤怒。本来内控服务是一条很好的咨询业务线,却生生地让同行们用质低价廉的专业精神给做废了。前些日子我了解了一下市场行情,连四大会计师事务所的报价都低得可怜。”
“这不是好事吗?从企业的角度,我带头同意你们大幅降价。”
小熊听了不由得苦笑:“妈,这您有所不知,羊毛出在羊身上。您这边降价,中介收的钱请不起好的咨询顾问,派去给您做项目的大多都是生瓜蛋子,生活才刚刚能够自理,要不干脆在工作内容上打折扣,到头来受损失的还是企业。企业花了这笔钱,请了咨询顾问,当然希望最后的结果是提升效率、改善运营,而不是省钱,对吧?物美价廉本来就是不成立的悖论,这个您应该深有体会吧!”
“我开个小玩笑活跃一下气氛嘛。我当然知道一分价钱一分货,就咱们自己来说,奶油这个单品原料,你说说市场上还有几家面包房用的比咱们好?”
“就是就是,行业内自律和必要的同业保护才是双赢。”
“咱们接着说Visio。这个软件最大的好处是不拘泥于空间的限制,可以较为灵活自如地记录流程。我们同行里有用Word画图的,我各举一个例子,给您一个直观的感受,看看哪种形式更加清晰明了。”
Word版本:
Visio版本:
“果然是即视感很强啊!我看出来了,是因为Visio你可以盘着画对吧?”
“对,我也可以四面开花地画,总而言之,Visio构图可以更为灵活,画图的界面很友善,小工具也好用,从哪个角度都完爆Word版本。至于如何使用Visio画图,不在咱们讨论的范围内,您要是有兴趣,回头我单独教您。”
“咱们重点说说在了解流程的过程中应该注意哪些问题。第一,要多沟通,不厌其烦地沟通。之前我带队做项目,看到小朋友坐在那对着电脑较劲儿我就很悲愤,因为做内控咨询不比做财务报表审计,只需要抠数字就行。做内控咨询,完整充分有效地与各个流程负责人沟通特别重要,很多流程的分支脉络是靠顾问的主动引导才有可能问出来的。各个流程负责人(process owner)一般都是最了解本流程的管理层,但是他们不是专业的内控人员,需要思路清晰的引导,很多问题还需要设计一下再问,这样才能确保内控人员了解到的流程信息是完整的。”
“第二,要了解现存的控制,不要了解理想的控制。在实际访谈过程中,很多流程负责人出于紧张,对,您没听错,出于紧张,他们往往美化自己的流程。其实在日常运营中,他们有时候也会下意识地明白自己公司的流程中存在漏洞,因此在访谈的时候,可能会自觉地把这样的漏洞补上。在了解流程的这个阶段,我们需要了解的是现在时,而不是将来时,了解的控制点是现存控制(existing control),而不是理想控制,这一点一定要说在前面。”
“第三,在了解现存流程的同时,也需要了解管理层对现有流程的改善需求。很多业务流程在当时设计时并没有考虑到业务变化,在业务变化后也没有积极修订,导致很多业务流程在执行过程中遇到阻力。咨询顾问正好借这个机会,细致地了解客户的需求,倾听客户在实际业务中遇到的困扰,这些信息会帮助咨询顾问在为客户重新设计一些关键控制点时有所参考和借鉴。举个例子说吧,我们之前有个客户,经常会开展一些重大工程项目,按照之前的流程,集团投资部也需要在工程开展的过程中实施管控,比如关键的工期节点、重大的付款节点等。但是对于投资部而言,他们一般只负责前期项目开发的立项报备,在工程开工后,并不清楚项目的节点和实施细节,无法对工程的实施过程进行有效的监督,也没办法在一些过程中的关键表单,如施工节点工作量确认单、重大节点付款审批单上签字。这个问题一直把投资总监折磨得欲哭无泪,这样的问题就是我们在实际访谈过程中需要详细了解的。了解需求后才能提供更好的咨询服务,这样贴近企业需求的咨询才有价值。”
(3)鸡生蛋还是蛋生鸡——内控问题也是哲学问题
“了解流程的过程,也是记录流程的过程。之前有些一起工作的同事在做内控项目时,跟管理层聊得热火朝天的,但是不记笔记。访谈结束后生编硬造,这样太被动,了解到的信息也很有可能有遗漏。因此我们建议在做访谈的时候,按照流程的步骤,先把流程记录下来。访谈结束后,再根据记录的流程绘制流程图。比如,可以按照下面这样的格式记录流程。”
“我上面列示的记录流程表格是我们后面要讲到的主要工作文档风险控制矩阵(Risk & Control Matrix,缩写为RCM)里的第一列和第二列,使用上面的表格,可以在访谈结束时较为完整地记录所要了解的业务流程的全貌。根据这个相对完整的流程,使用Visio软件,就可以绘制出一幅体现现在时态的业务流程图。”
“您要是没什么问题了,我可继续往下讲了。我知道这一段听着有点困,您要是困了可得告诉我一声。我之前在外面讲课的时候,最怕午饭后的第一个小时,听课率基本上为零。有的同学简直就是来休息的,睡觉不说,睡相还难看,睡相难看也就罢了,还有节奏地打呼噜。”
熊妈妈扑哧一笑:“你这么一说我都不敢困了,你给我解释解释什么叫睡相难看?”
“就是本来长得难看还睡着了。”
“这哪里是睡相难看,你就是嫌弃人家长得难看。”
小熊走到窗前,把窗户推开:“是啊,长得难看还不知道努力,您说得多没前途?我给您开点窗户您就不困了。”
“画完图,基本上就可以标注控制点和风险点了。”
“我给您截了一部分固定资产盘点的流程图,咱们来说明一下控制点和风险点的标注方法。上面流程图中带颜色的圆圈就是我们标注出来的控制点,以及对应的风险点,不同的颜色代表不同类型的控制。根据不同的维度,控制点可以有好几种分类方法,比如按照控制类型,一般分为三种控制,第一类最常见,叫作人工控制(manual control)。图里标注深色的就是人工控制,这样的控制在中国企业内最为常见,凡是不经过系统处理的控制点都归为人工控制。”
“与人工控制对应的是系统控制,是由信息系统参与进行的控制点。系统控制也分为两类,第一类标为浅色,叫作可变控制(configurable control),凡是该控制都需要在信息系统的平台上完成,但是控制对象是可以在系统内部进行调整的。举个例子,比如有这么一个控制点,单笔采购金额在1,000元以上的都需要总经理在系统中进行审批。首先,这是一个系统控制,其次,这个控制对象是可以调整的,比如可以从1,000元调整为2,000元或10,000元。”
“第三类上面的图中没有,它也是系统控制,叫作固有控制(Inherent Control)。固有控制主要是关于系统的一些固有逻辑设置的有关控制,比如在一般财务系统中,都会有这样的控制点,如果凭证没有审核,就无法过账;如果报表不平,也没有办法结账。此类控制在运营操作层面不好调整,因此成为固有控制。我说了这么多,您记住了吗?”
“这么多东西,我可得消化消化。”
“没事,我讲慢一点。这里还涉及一个先写控制还是先写风险的问题,这个我认为可以灵活一点儿。在流程相对完整记录的情况下,先考虑风险是有好处的,因为风险可以评价现存的控制是否充分。比如对于一般的生产型企业来讲,应收账款是一个风险较高的区域,对于应收账款的催收,我们需要考虑以下几个风险点。”
“第一,应收账款期末余额记录不准确、不完整;第二,应收账款记录混乱,未对账期较长的应收账款明细进行进一步分析;第三,未对应收账款明细进行分析复核,未能将高风险的明细项目标注出来并采取相关措施;第四,未与客户进行定期对账,导致双方记录有较大差异;第五,未建立积极的应收账款催收机制,对应收账款的催收不够主动和有效。这五点都是应收账款催收相关的风险点,在了解和评估了这些风险后,我们可以回过头来评价这家企业就这些风险所设计的控制点是否充分。比如,咱们主板有这么一家公司,它很有个性,客户只有一个,是一家超大型的垄断央企。那么对这家公司而言,应收账款是一个高风险的领域。”
“都抱上这样的粗腿了,为啥应收账款还是高风险领域呢?”
“客户大,付款慢,这是大型国有企业的通病。不是不付款,而是一拖就是一两年,如果现金流不够好,规模小的企业很容易被拖死。在这样的情况下,应收账款变为坏账不太可能,但是账龄一般都会很长,所以咱们在做风险分析的时候就要灵活一点儿。坏账相关的风险相对低,但是账龄相关的风险,以及运营资金相关的风险,评级就得高一点儿。”
“哦,其实我更想请教的是,如果账期特别长,企业都快坚持不下去了,那该怎么办呀?”
“一般都忍着。”
“……”
“哈哈,我也开个小玩笑活跃一下气氛。一般都会和客户沟通,毕竟供应商倒闭了,对企业也没什么好处。此外,这样的大型国有企业一般都是阶段性地集中付款,所以有紧张的时候,也有宽松的时候,就当客户替你定存了吧。”
“再说点边边角角的知识。首先,控制点用C(control)来标注,后面的序号表示这是该流程的第几个控制点;风险点用R(risk)来标注,序号跟着控制点标就行。圆圈要统一放在控制点的右上角,因为很多时候流程图写不下的流程信息需要单独标注,标注为一个空心的圆圈,放在控制点的左上角。再来说说流程图的布局问题,我看过的流程图也得有个万八千张了吧,这些流程图虽然千姿百态,但其实是可以看出画图人的思路的,有的人思路清晰,画图之前先进行构图,所以画出来的图显得饱满,信息量大,空间使用的效率高;有的人不上心,画图不用大脑,因此画的图干瘪,随心所欲,信息量小。此处介绍个专业名词‘informative’(信息量大),不论是流程图,还是风险控制矩阵,我的要求都是informative,因为这些流程图的阅读者不光是流程的负责人,更多的可能是管理层、审计师,或者其他相关利益人。如果人家看了你的流程图,不知道这个流程是如何运行的,有哪些重大风险和潜在风险,以及管理层设计的关键控制点是如何降低风险的,那么这张流程图就是不够informative。”
“哎呀,你们这项目上的规定够零碎的。”
“这才哪到哪,我还没说完呢。中文要求是楷体、10磅字,英文和数字要求是Times New Roman、12磅字,如果用Arial,那就得调到10磅字最多,因为Arial放得太大不好看。标注的详细解释要统一放在流程图的左下角,如果写不下,要求单独加一页,将该二级流程的所有标注都集中写在一起。”
“行,算你狠。我看出来了,你小子的强迫症是当年被你们领导逼出来的吧?”
“是啊,那个时候我英文名字还叫牛哄哄的爱德华,我们领导经常从遥远的办公室一角致电,指示我过去,非让我当面解释清楚为什么我在底稿中这么爱用定冠词the。虽然我当年在心里鄙视她拿着鸡毛当令箭为难小朋友,但是现在回过头来看,觉得这样刻薄的要求更加刻骨铭心,从长远来看,还是对职业成长有好处的。”
(4)是骡子是马拉出来遛遛——穿行测试
小熊最近迷上了游泳,但是每天都工作到很晚,回家再游也不太现实,索性在公司附近的一个会所办了一张年卡。每天午休的时候,他不吃午饭便去游泳,游完后随便吃点什么便上楼继续工作,这样效率更高,两不耽误。会所游泳池的常客都是些大爷大妈级的人物,一个个精神矍铄、顾盼自得,很像是年轻时有故事的风云人物。小熊已经不好意思说自己是年轻人了,但在这支游泳队里却是无可争议的“小朋友”。小熊的泳技和体力都还稚嫩,经常让身边的大爷大妈轻松赶超,他生来好胜,往往不服气地加倍提速,结果把呼吸节奏都搞乱了,到最后游得乱七八糟,还是被轻松赶超。后来小熊想,人生其实也是如此。
这天小熊刚举着一个面包、一杯咖啡走进办公室,熊妈妈就跟了进来。
“妈,您看我刚游完泳,气还没喘匀呢。这不,饭也没吃。”小熊扬扬手里的面包。
熊妈妈笑眯眯地坐下:“没事没事,我陪你吃,这样还能聊聊天,多好。”
“我今天跟老太太较上劲了,刚才被一个老太太追着游了好几圈。每次我想歇会儿的时候,老太太都热情地说:‘小伙子你先游,你游得快。’但是她有所不知,我都快游瘫痪啦!我这刚进门喘口气,又被老太太围追堵截。”小熊叹口气,咬了一口面包。
“嘿,你别自我感觉良好啦,虽然你是我儿子,但是我也很客观地告诉你,凭你还远远达不到让老年妇女痴狂的程度。”
小熊:“……好吧,我无语了,咱们还是接着讲内控吧。流程图画完了,接下来是两项很重要的工作,咱们一个一个说。第一项工作叫作穿行测试,英文是walk through。顾名思义,英文的字面翻译也是穿行的意思,穿行测试的目标是确定控制设计的充分性和有效性。在画流程图的阶段我曾经强调过,流程图中需要体现现存流程和控制,而非理想流程和控制,目的是通过流程图和穿行测试,我们可以确定企业在正式搭建内控体系之前所设计的流程和控制是否充分有效。”
“举个例子,在了解流程的阶段,流程负责人介绍说,他们每半年组织一次固定资产的盘点,盘点工作由行政人员组织实施。就这个例子而言,我们首先确定这个控制点是否充分。我们认为不够充分,因为资产类的盘点小组成员中应该有财务人员参与。这是为什么呢?因为财务人员可以根据实际盘点的结果,及时进行账项调节,确保账实相符。其次,我们对该控制点执行穿行测试,要求管理层提供上一次半年度资产盘点的相关记录,比如盘点通知、盘点计划、盘点表、盘点总结等,确认该控制点是否真的在实际中予以执行。比如,管理层羞答答地表示,上一次资产盘点还是在一年前做的,那么这表明,你在了解流程时记录的相关的控制点并不是现存控制,这就需要对你刚刚画的流程图进行修订。在做完一个二级流程的穿行测试后,在对控制设计的充分性和有效性有一个全面评价后,我们需要对穿行测试的结果予以书面记录。这是第二项很重要的工作,即控制设计缺陷的汇总及新控制的设计。”
穿行测试工作底稿举例——资金管理流程(节选了部分流程的部分步骤)
执行人:Stephanie Ding
复核人:Mark
20××年×月××日
穿行测试
___________________________________________________________
业务流程:货币资金管理流程目 的:了解货币资金管理流程及控制制度,评价控制设计的有效性及控制是否得到执行信息来源:张××,出纳___________________________________________________________
穿行测试或选取的业务交易:
货币资金管理流程包括现金的管理,收到现金或银行存款,付出现金及银行存款,银行贷款及支付利息,整个流程中涉及的账务处理。
穿行测试中查阅的文件:
穿行测试的执行程序:
我们对出纳进行了访谈,了解了货币资金管理的流程及其关键控制点,随机抽取了样本,并获取样本运行的支持性文件,对样本进行了穿行测试。
货币资金管理流程中涉及了如下控制点:
■现金管理与收付流程:
1)出纳从客户处收到现金,经与销售订单及过磅单核对无误后向对方开具收据,留取存根联且在存根联上签字,并在同一天将收到现金货款存入银行。(参照控制点TZTR-10-01)
2)现金放在保险柜中由出纳保管钥匙,需要领款时,领用人根据取款理由及数额填写领款申请单,财务经理审核后在单据上签字。(参照控制点TZTR-20-01,TZTR-20-02)
……
我们的发现和结论:
通过访谈,检查相关文件,我们认为货币资金管理基本与流程图描述一致,但仍存在一些控制设计问题:
■控制活动缺乏正式证据
“上面举了一个穿行测试文档记录的例子。做完了穿行测试,应该对管理层所设计的控制点的运行是否有效及设计的控制点是否充分有了较为深入的理解。在此基础上,应该根据企业的实际需要和行业经验,为企业设计新的控制。新设计的控制点需要在流程图上予以标注,控制点的C前面加一个N(new),表示新设计的控制点。”
“我们协助企业设计的新控制点可分为以下几种类型:
“第一种,之前没有相关的设计,完全是新的控制点。举个例子,在以前的付款流程中仅强调了管理层对付款事项的审批,但缺少在付款前对付款事项和金额的交叉核对。在实务中,应付账款会计核对合同、运输单据、发票之间的索引,并确认金额及付款进度是一个很重要的关键控制点(key control)。在这样的情况下,我们就需要设计一个新的控制点。”
“第二种,之前已经设计的相关控制点,但是该控制点在设计上不完整。比如上面咱们举的例子,固定资产的盘点没有财务人员的参与,这样的控制点在设计上就不完整,需要我们将其补充完整。”
“第三种,之前已经设计了相关控制点,但该控制点的表述不准确,无法进行测试。这样的例子很好举,我之前的一个客户,在遇到我之前请了一家本地的会计师事务所帮他们建立内控体系。这家事务所不专业也不负责,为客户设计出了这样的控制点:财务部负责开展收入内部审计,收入审计的主要内容包括宾客账务录入审核、销售价格维护、应计收入审核、收入款审核、发票管理、账单管理、预订单管理等。在审核过程中发现错误应及时修改。您看出这样的控制点有什么问题了吗?”
熊妈妈仔细端详了一下:“这个控制点好像看不太懂,好像什么都说了,又好像什么都没说。”
“您说得有道理,这样的控制点,基本可以判定是从企业日常的管理制度中直接复制粘贴的。首先,一个合格的控制点,需要具备几个核心要素:谁?做了什么?什么频率?(Who?What?When?)确定主语是为了确定责任部门和责任人;确定做了什么才能知道控制点控制的内容是什么,控制的对象为谁,以及该控制如何运行;确定频率,在后面执行控制运行有效性测试的时候才能知道选择多少样本。这是三个基本要素,还有一个很重要的单独属性——可测性。如果不可测,那么这个控制点的设计就是失败的,因为没有办法选择样本对其运行的有效性进行执行测试。”
“其次,收入审计是一个比较大的题目,不适合单独作为一个控制点来设计,如果稍具责任心和专业度,收入审计应该作为内部审计及监督流程下面的一个三级流程来进行归档(documentation),比如收入审计的计划、审计的开展、审计报告的出具及缺陷的整改等。在控制的描述中,不能出现‘将、应该’这样的字样,因为正如我们之前说过的,控制点是描述现在时态,而不是将来时态。”
“可是如果是新控制呢?说的不是将来的事情吗?”
“这个问题问得好。就新设计的控制而言,一般在下一个期间就要执行。如果站在未来的那个时点,我们谈这个控制的时候也应该是现在时态,而不是将来时态,对吧?”
“嗯,说得有道理。如果一个企业选了不合格、不负责的咨询顾问,真是受害不浅啊。”
“是啊,妈,可是很多企业的关注重点还是在看谁便宜或谁有关系……这也是我对这个行业有些失望的原因之一,劣币驱逐良币在我们这个行业也同样适用。”
“你看你选择来帮妈妈多明智,这下不用操这个心了。”
“您还真会安慰人,可是我还是一点儿也高兴不起来。设计完新控制,我们需要把穿行测试的结果加上新修订的控制点,集中在控制设计缺陷汇总表中予以记录。控制设计缺陷汇总表就是在穿行测试中关注到的,是我们提及的几种有关于控制设计的缺陷进行的汇总,这张控制设计缺陷汇总表也是下一阶段工作需要集中着力的地方。”
“我给您找了一个我们之前做的例子,让您大致了解一下控制设计缺陷汇总表是个什么样子。总体而言,在这张表中,我们需要描述我们认为控制设计存在哪些问题,我们建议的整改措施是什么。这个整改措施,实际上就是我们重新设计或修补完善新控制点的过程。”
“我看您也没什么问题,那我可往下讲啦?”小熊抬头看看熊妈妈。
“我有一个弱弱的问题,这个词还是我跟人事部的小姑娘学的,觉得挺好笑的一个词。你的工作底稿为什么一会儿是中文,一会儿是英文啊?”
“啊?这也是一个问题。说到工作语言的问题,由于《萨班斯法案》是美国监管机构对于在美国上市的企业的监督举措,因此需要企业的审计师就内控出具审计报告。内控审计报告什么样子,我们之前还比较详细地介绍过。中概股公司的审计师大致分为两个阵营:第一个阵营以四大会计师事务所为代表,现场工作主要由‘四大’的中国团队完成,只有报告需要美国合伙人签署,因此底稿可以选择中文;第二个阵营是除‘四大’以外的其他会计事务所,这些事务所有的在中国有一个业务小分队,有的是美国直接派来的审计团队,在这样的情况下,由于审阅底稿的很可能是外国友人,那么底稿需要选择英文。”(详见PART 3中“天下谁人不识君——404条款”。)
“哦,但是这里面有个问题啊!你们这套底稿,按照你的说法是帮助管理层落地的内控文档,包括什么流程图啊、风险控制矩阵啊,这些都应该由企业员工操作规范吧?要都是英文的,咱们国际化程度又没这么高,大家伙儿怎么用啊?”
“妈您客气了,我觉得咱们根本没达到国际化的程度。在这样的情况下,做顾问的就辛苦一点儿,一般先选择第一工作语言,再根据做出来的工作成果,帮助企业将工作成果翻译一遍。当然很多企业并不需要翻译所有的文档,可能只需要选择一部分关键文档来翻译。”
“此外,还有一个对于穿行测试的补充说明。穿行测试一般只需要选择一个样本,大多数的运营类流程是可以实现一个样本从头到尾穿行的,比如采购流程、销售流程、存货管理流程、固定资产流程。但是也有一些流程,在穿行的过程中需要换样本,比如人力资源流程,因为很难选到同一个员工的样本贯穿求职、日常考勤管理、离职,中间还包括各种情况,比如薪酬变动、轮岗、重大奖励或处罚等。”
“妈,您是不是没有问题啊?我接着往下讲了?”
“怎么,你当了这么多年的老师,一直认为学生表示沉默就是没有问题吗?”
“嗯,其实我知道更多的时候是没听懂。”
“其实道理都懂,只是实践还跟不上理论。我决定等咱们做404条款项目的时候,你也给我分一个流程,我也很想试一试。”
“妈呀,您这个学习精神能感动中国啦!虽然我还没见过哪家公司的董事长亲自上阵做内控,但是您这样一表态,咱们这个项目其实已经成功一半啦。”
(5)重复就是力量——控制执行有效性的测试
“穿行测试完成后,缺陷清单也就出来啦,接下来一般会让企业喘口气。经过这么一轮折腾,核心管理层和关键流程负责人应该对内控是什么、怎样实施内控有一个大概的观感了。通常我们会留给企业三个月的时间来适应新事物,同时,三个月的时间也是用来产生新样本的时间。”
“其实你说的这个问题,我还有点担心。之前我就发现了,一旦公司上下掀起一股热潮的时候,大家干劲都挺足,一旦活动结束或告一段落的时候,大家好像一下子就懈怠下来了。这个内控工作是不是也会出现这样的问题?”
“这个问题绝对会出现,其实也好理解,这是人性的问题。人是惰性很强的动物,喜欢习惯性思维和行动。现在先破后立、大刀阔斧,把他们之前用惯了的流程重新构造,内心抵触情绪可想而知,再加上日常运营工作本身就非常繁重,还要同时兼顾与适应新流程,不崩溃都算好样的了。”小熊停下来喝了口水,“这茶真称得上是清茶,一点茶味都没有。”
熊妈妈没接话,愣了一会儿,说道:“你过去做的企业里有因为内控崩溃的吗?”
小熊噗地将一口茶喷了出来:“我就这么一比喻,您还当真了。只要流程负责人存着一点责任心和认真工作的态度,别扭几天就适应了。后面的好处他们自然会体会到,一家企业的内控想成功,一定是‘一把手’非常重视,下面的团队持之以恒。放在酥园身上,您就放心吧,我会时刻监督大家的。如果真有因为做内控而崩溃的,我养他。”
熊妈妈斜眼看看小熊:“作为一个男人,你能随便说养谁的话吗?”
小熊哈哈一笑:“我特别欣赏您这种坦率的幽默感。”
“三个月后,‘胡汉三’又回来啦。此次我们做的测试是关于控制执行有效性的测试,换句话说就是大样本的测试。您还记得穿行测试解决的是什么问题吗?”
“穿行测试解决的是控制设计有效性的问题。”
“既然是大样本测试,第一个需要确认的问题就是样本量。在这个问题上,业内有一定的共识。当然,这个也谈不上什么‘金标准’,如果企业用自己的力量来搭建内控体系也可以有所调整;如果企业选择了外聘中介机构,那么可能会遵从中介机构的建议。”
“我举一个关于样本量的例子。在一个测试期间内,比如一个季度,我们可以考虑上面的样本量水平。比如一个控制点每天都要运行好多次,那么我们在这个季度内选择五个相关样本进行测试。一般和运营直接相关的流程,控制点都会满足这个条件,比如采购订单、销售订单、存货的出入库和这几个流程相关的控制点一天运行的次数都不会只是一次。在不同频率下的样本量的选择我就不赘述了,都很简单。只补充一点,我想问问您,什么控制点是季度控制或年度控制的呢?”
熊妈妈想了想:“盘点算吧,还有季度、年度报税?”
“您说得都对,还有财务报告流程中的季报和年报。在美国上市的公司,季度报表也需要审计师的审阅(review),需要注意的是,季度的审阅不是审计,审计师往往不来现场,只有年度审计(audit)的时候,大批人马才会过来。”
“控制执行有效性的测试比穿行测试要直白简单得多。穿行测试乃是以整个二级或三级流程作为测试对象,而控制执行有效性测试则是以单个控制点作为测试对象。我给您找个底稿看看什么样,您就明白了。”
“咱们再讲讲之前提到的内控工作的重要载体文件——风险控制矩阵(RCM)。打个比方,RCM好比咱家之前用过的塑料珠子门帘,一根线把很多颗珠子穿起来,那么每颗珠子便相当于一个控制点。测试控制进行的执行有效性,实际上是检查每一颗珠子的质量。RCM是整张门帘,每个控制点是一颗珠子,每颗珠子对应一张工作底稿,工作底稿中标示出检验这颗珠子质量的方法。”
“先看看门帘长什么样子。”(因为门帘太长,所以我把它截为两段来说。)
第一段:
“RCM展示的是一个最末级流程,每一行是这个流程的一个步骤,有的步骤是控制点,有的步骤仅仅是一个动作,因此RCM中专门设置一栏来判断该步骤是不是一个控制点。很多年前,我看到的RCM并不是现在这样的,上面仅标示控制点,没有把所有步骤都详细标出。我现在发现这样改进之后,的确方便很多,站在门帘的角度看,这是一扇完整的门帘,对于刚刚接触内控的小朋友来说,先把完整的流程按照步骤一步步记录下来,更加有助于他们了解流程本身。责任部门和责任岗位我简单说一下,每一步动作都应落实到岗位,至于谁来做并不重要,重要的是得对应到具体的岗位。只有这样,在下一步进行控制测试的时候,你才能知道该找谁去要资料。如果这个控制点没通过,至少你还知道应该找谁负责接下来的整改工作。”
第二段:
“首先说说控制目标,这五项目标所对应的是COSO的五个目标(原来只有三个,资产安全和战略都是后加的)。如果这个步骤是控制点,那么你需要选择一下控制点对应的目标,这是一道不定项选择题,其实也没有标准的答案。一个控制点既然存在,它总得满足点什么目标吧!”
“接下来的风险点、控制点是对应的,但不是一对一的关系,一个风险可能对应着好几个控制点,一个控制点也可能同时降低好几项风险。举个小例子,家里的门锁坏了,这是个风险,我们可以设计好几个控制点来降低风险,比如换锁、加链子锁、一家人轮流请假在家看家……”
“请假在家看家这个馊主意很像你的风格啊!”熊妈妈忍不住笑了。
“是啊,这也是控制,只不过这个控制点成本太高。只要是控制,一定会有成本,所以咱们得综合优选,选性价比最高的控制。如果一个控制点就可以有效降低风险的话,那么我们就不一定非得设计两个控制点。”
“还有一种情况,一个控制点可以降低好几个风险。再举个例子吧,如果我爸能戒烟,那么既可以降低他的健康风险,又能降低我们吸二手烟的风险。”
“那也同样会增加他复吸的风险啊?”
“那……只能看他自己了……”
“门帘讲完了,咱们再回头看珠子。每个控制点都对应一张测试底稿,通过样本测试来证明它的执行有效性。我给您找个例子看看底稿长什么样子,您就明白了。”
“作为业余群众,我就不一项一项给您讲底稿内容了,反正您也不做。上面的底稿简单易懂,我讲里面几个稍微难一点儿的吧。第一个,关于样本量。您看到的29是上一个季度该企业与本控制点有关的样本量的总数,由于这个控制点是随机发生的,因此本轮测试可以选择2个。第二个,关于测试状态。有时做季度测试会发现,这个控制点的相关业务在这个季度还没发生过,那么这个控制点本轮轮空不测,状态就是‘尚未开始测试’。”
“测试执行完毕,还需要将测试过程中发现的执行缺陷予以汇总列示。那么大体工作就结束啦。”
小熊站起身来,伸了一个大大的懒腰,说道:“课讲到这儿,主体内容也就差不多啦。关于内控的课程,咱们差不多讲了两个星期,希望您能有所收获。”
熊妈妈也长舒了一口气:“也难为你啦,总让你给我这外行讲课,还要求深入浅出。熊总不容易,我得给你鼓鼓掌。”