所在位置:首页 > 文库 > 内控
内控评价需要把握的“四性”原则,让缺陷快速浮现
2023年08月15日

参加过不少企业的内控评价,客观讲,大多企业提供的程序内控手册,不足以支持“评价”。所以,仍是通过对“制度”、“流程”的双向对比、印证化快速理解,将制度作为实施评价的依据,而且发现的问题,还具有很强的“问题信服力”。

至于内控评价中对体系的“完整性、系统性”评价,如果程序性文件不足以支持评价的实施,就不用提体系评价了。所以,笔者提出的内控评价“四性”原则,适合于企业“程序性内控实践”的适应性评价。

原因是什么?认真思考一下,流程与内控建设,确实梳理了很多流程,建立了很多风险控制矩阵,至于流程的规范程度有多高,暂且不说。由于内控认定缺乏标准,导致的控制泛滥,不少企业错误地把“具有控制功能的全面性流程活动”、或者把“内控角色推出的控制方式或采用的措施”当做了内控活动,这些活动的作业说明不具备具体化的条件,不具体、不规范的活动就不可衡量,何谈“评价本身的有效性”呢?这种程序手册,在企业中是不会被应用的。

熟悉制度的人都知道,很多制度并没有对具体控制活动过多地“规范化”,甚至很多制度中就一句“经某角色审批”后如何的话。那么这些“非内控的控制”怎么评价?就是“找到能够证实角色执行了签字审批”的痕迹,但这个执行结果,印证的是“流程执行力”,而不是“内控执行力”。

非内控的“控制活动”,不体现在流程与内控建设中,但内控评价不能“缺失”,否则就失去了对“外部监督加强内控建设要求”的支撑。

谁见过内控缺陷体现在“领导审批”呢?从现实看,能够转移管理责任的措施,相信各个部门都会发挥的淋漓尽致,这就是“猴子上树”的道理。当然,前提是审批者做了,如果没有审批而流程结束,那就是责任问题而不是缺陷了。这就是内控评价的“第一性原则”:规定的流程必须执行,流程不落地就意味着结果存在缺陷(不需再评)。至于流程是否合理,授权是否充分,那是管理水平决定的,在内控评价报告中,以“管理建议”的方式表现出来。

验证了流程执行,就需要印证产出过程。既然领导们执行了审批,为什么有时候还会出现问题呢?因为,内控缺陷基本存在于“职能部门”过程中的职能控制(上文归纳的内控4个特点),在流程中,最后的领导审批是流程活动,不是内控。正是由于过程内控有缺陷,导致领导审批后的结果,有时候出现了“问题”,有时候,又没有问题,原因是:内控执行缺陷导致流程不稳定。

在评价中,流程是否出现结果问题,并非由“无效或低效的内控”决定,那谁起着决定作用呢?与提案发起人的“能力和水平”有关,所以,有缺陷的内控,不一定就必然发生问题。对内控执行的一致性进行评价,即不同标准的提案,得到同样的“控制结果”,只需要印证制度中明确的要求,是否在“样本内容”中得到完整体现,足可印证“内控执行缺陷”了,这就是内控评价的“第二性原则”:数据一致性评价。

如何评价内控设计的适应性呢?很简单,只要是控制部门自己订立的管控型制度,制度中控制的内容,由制度订立部门自己执行,就大概率存在“内控设计缺陷”。

当然,这个结论不能轻易形成,需要找到“证据”,而这个证据并非体现于样本本身的形式,而在于“制度中限制、控制条款”与“样本中对应内容”的匹配性,基本能够保持70%发现“管理设计问题”的概率。

比如:有些单位以加强风险管理为由头,取消各业务部门“合同权”,归口到某一个职能部门,听着很合理,但可以作为评价重点进行验证,一旦发现问题,本质是“内控缺失”问题。

再比如:在有些固定资产投资管理部门,争取到的改造经费,用来购置固定资产,在不少企业中,投资管理部门实质性决定着“供应商”、“采购品类与型号”,他们的理由是“他们是管投资的”,听着合理,其实,这已经不是“缺陷”,而构成了“故障型问题”。

请注意,我说的是管理设计缺陷,而不是内控设计缺陷,原因是内控设计是由管理决定的,所以,这种缺陷需要从“控制功能”角度进行描述,而整改则体现于“职责的调整”,通过制度的订立表现出来。这就是内控评价的“第三性原则”:控制与常态执行角色一体性评价。

坚持三性原则实施的内控评价,一般都会发现不少不同程度缺陷,这些评价针对的是“例行”的程序性事项。别忘了一点,有例行事项就必然存在非例行事项,而非例行事项的控制,一般通过制度加以规范。

非例行事项的控制,通常会比例行事项的控制权高一级,这是实施内控评价的“基本思路”。按照这条思路,寻找并验证非例行事项的结果,首先要验证的是多个样本的“控制”权是否一致;其次验证制度的规范化,是否体现了控制权,二者的匹配,就支持评价结论的形成。

这种评价方式,遵循的原则是:例行控制权与非例行控制权一致的,如果与制度中设计一致,说明制度设计存在缺陷;如果制度中没有明确的,例外事项的控制就属于失控的补救行为。如果实际执行中,非例行控制权升级,而制度中没有明确的,这是“习惯”,说明管理的规范化有待加强,完善制度成为评价中的“管理建议”;只有当升级的控制与制度中的设定保持一致,结果产出又保持了一致性,才说明非例行事项的控制有效。这就是内控评价的“第四性原则”:非例行事项控制的升级化、规范化评价。

来源:风控新视野 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K