说说内控管理制度应该由谁执⾏
⼀家公司的设⽴,⾸先需要有出资⼈。参与出资的就是股东,股东组成有限责任公司的股东会或股份有限公司的股东⼤会,制定《公司章程》,选出董事和监事,成⽴董事会和监事会,再由董事会聘任总经理,总经理负责建⽴公司的组织架构,聘任合适的管理⼈员。
董事会由代表各股东利益的董事组成,代表股东⾏使职权,维护股东权益,向股东负责,受监事会监督。股东是公司的所有者,股东(⼤)会做出决策,董事会负责执⾏,⼀如家族和家主。⽽总经理由董事会聘任,负责执⾏董事会的决策,接受董事会的考核,⼀如东家和掌柜。
⼀般来说,董事和监事是所有者,⾏使资产的所有权,⽽总经理等职业经理⼈⾏使经营权。于是实现了所有权与经营权的相互分离,各级⼈员基于委托代理关系相互联系,处理事务。
董事会及监事会——把握⼤政⽅针
现代企业制度的设计通过划分董事会、监事会和管理层的职责权限、任职条件、议事规则和⼯作程序,确保决策、执⾏和监督相互分离,相互制衡。
董事会对股东(⼤)会负责,依法⾏使企业的经营决策权。可以按照股东(⼤)会的有关决议,设⽴战略、审计、提名、薪酬与考核等专门委员会,明确各委员会的职责权限、任职资格、议事规则和⼯作程序,为董事会制定科学决策提供⽀持。监事会也对股东(⼤)会负责,监督企业的董事、管理层和其他⾼级管理⼈员依法履⾏职责。
董事会与监事会对管理层予以适当的指导与监督;在制定战略与⽬标的同时,也要确⽴企业经营的⼤政⽅针,关注企业经营的过程,不仅关注某个经营时点的结果,也关注整个经营期间的变化趋势。
董事会与监事会设计适当的绩效管理体系,在关注管理层短期⽬标的同时兼顾其长期⽬标,关注财务⽬标的同时兼顾⾮财务⽬标,推⾏综合平衡的绩效管理。设计适当的薪酬激励体系,薪酬不可过低失去激励的功能,也不可太过优厚,以⾄于让管理层和员⼯难以坚守⾏为准则。职位的晋升或薪酬不能完全由短期绩效决定,要综合考虑长期绩效及其胜任能⼒等。另外,需采取措施使管理层少受⾏规或⾏业潜规则的诱惑。
董事会和监事会与财务负责⼈、内审⼈员和外审⼈员保持联系,定期会晤,讨论财务报告的程序、内控制度或他⼈所提的建议,以及管理层的绩效等。
董事会与监事会确⽴恰当的程序,以保证能获知重⼤事项或重要争议,明确下属部门所要列报的信息,包括但不限于财务报表、主要的营销策略、重⼤合约等。通过这些信息来追踪与监督企业的财务
状况、经营成果与管理层的⽬标实现情况。
董事会和监事会监督企业⽂化建⽴的过程,定期评估企业⽂化建设,在出现特定事项时,介⼊调查,根据调查结果,对管理层作出指⽰,要求管理层坚守⾏为守则,确保企业⽂化适当且有效。
董事与监事⼀般要拥有⾜够的知识、产业经验、时间和意愿,以提供咨询与监督服务。
董事会决定公司内部管理机构的设置,包括按照业务性质划分组织单位,决定采⽤集权还是分权管理,抑或是部分集权部分分权,其中集权的程度如何。让管理层清楚地了解他们所担负的职责以及公司对他们的期望。当环境发⽣变化的时候,企业的组织结构也会跟着改变。
董事会要评估管理层的知识、经验、能否胜任其所担任的职务,判断实际所承担的责任是否超过其所应该承担的责任。
另外,董事会和监事会还应关注管理层及会计、审计、数据处理等关键岗位⼈员的流动率是否正常,观察这些员⼯是否会意外辞职,是否会在通知离职意向后的短期内即告离开,关注是否接连⼏任财务主管或内部审计⼈员相继离职。
综上所述,董事会和监事会是在股东(⼤)会这⼀最⾼权⼒机构的指挥下,负责确定企业组织的⼤政⽅针。
管理层——制定规则,遵守规则
“经理”,包括总经理及下属部门负责⼈。
《公司法》第四⼗九条中对经理(总经理)的职权有这样的描述:
⼀、主持公司的⽣产经营管理⼯作,组织实施董事会决议;
⼆、组织实施公司年度经营计划和投资⽅案;
说说控三、拟订公司内部管理机构设置⽅案;
四、拟订公司的基本管理制度;
五、制定公司的具体规章;
六、提请聘任或者解聘公司副经理、财务负责⼈;
七、决定聘任或者解聘除应由董事会决定聘任或者解聘以外的负责管理⼈员;
⼋、董事会授予的其他职权。
管理层应对董事会负责,主持企业的⽣产经营管理⼯作,拟订公司的基本管理制度,制定公司的具体规章。
管理层应制定员⼯⾏为守则或类似的规范,对员⼯在遭遇利益冲突、不法或不当⽀出、内线交易等情况时应如何处置做出规范。让员⼯知道哪些⾏为是可以接受的,哪些⾏为是被禁⽌或不受⿎励的,当知道他⼈有不当⾏为时⾃⼰该如何处理等,并通过⼊职培训或其他⽅式定期让员⼯学习⾏为守则。
管理层也可以通过⾯对⾯的沟通,或⽇常的⼯作交流,传达强调道德操守重要性的信息,让员⼯做正当的事,⽽不是偷⼯减料、坑蒙拐骗。
管理层与员⼯、供应商、客户、竞争对⼿、会计师、监管部门等交往时,也应坚守操守与价值观。当向客户收取的价款超过应收客户的价款时,或⽀付给供应商的价款低于应付供应商的价款时,管理层不应置之不理。
当员⼯违反既定政策与程序时,相关部门应按相关规定予以处罚,但应将重点放在补救措施上,完善相应的内控制度。
正常情况下,管理层应遵循管理程序,不得逾越或⼲预既定的控制程序,但可以就何种情况下应该出⾯⼲预及⼲预的办法、程度等做出指引性规定。当⼲预实际发⽣时,管理层须制作相应的书⾯记录,予以适当解释。
管理层应聘⽤具备执⾏职务相应能⼒的员⼯,明确各岗位的职责说明书,并定期检查、更新。招聘、任⽤、培训和绩效考核等都应参照相应的职责说明书来进⾏。对执⾏某特定⼯作员⼯的特定知识与技能予以特别说明,如任职会计岗位需要具有会计从业证书,任职强弱电岗位的员⼯需要具有电⼯证,法务的从业⼈员要具备相应的法律知识等。
若⼦公司或分⽀机构的位置分布⽐较分散,那管理层除了要经常召开部门管理会议外,还要注意与各地的运营主管之间的互动,定期或不定期地实地考察各地的运营情况。
管理层不应把会计⼈员的功能只定义为记账与应付税务局,单位的运营负责⼈⽆权决定财务报告上所列⽰的数据,应防⽌未经授权的⼈接近或使⽤资产,包括数据或管理信息。
管理层要⿎励员⼯在授权范围内主动发现问题,解决问题。建⽴机制,保证每位员⼯所做的决策与其被授予的权利和义务相匹配,授权过程明确,授权的范围与层级需充分考虑相关的信息。公司事务的操作应严格按照授权决策权限来进⾏,均须经过适当的核准。
内控的有效性,终究还是依赖于⼈的执⾏。有效的内控需要能⼒强的、可以依赖的员⼯的参与。管理层需保证所执⾏的⼈⼒资源政策与程序能招募到或培养出这样的员⼯。⽐如招聘的程序要适当,以到公司所希望雇⽤的员⼯;任⽤的程序要恰当,保证新进的⼈员了解其所担负的责任以及公司对他们的期望;考核与晋升的程序要适当,保证考核与晋升的标准与绩效相⼀致,且与⾏为守则所要求的⼀
致,定期讨论员⼯的⼯作绩效,在评估绩效的同时评估员⼯的操守与价值观。
管理层要能辨别出可能导致不能达成整体⽬标的风险,分析风险,选择风险管理策略,制定风险管理计划。针对已辨别出来的风险、政策及程序,帮助确保整改措施被落实执⾏。
管理层要让需要使⽤信息的⼈取得他们所需要的信息,上情下达,下情上传。保证组织具有可⽤于规划、进⾏监督、遵守法律法规所需的信息,即明确收集什么样的信息,具体到什么程度,通过什么样的⽅式或系统来收集,信息系统与战略规划的配合度如何,对信息系统⽅⾯的投⼊与重视程度如何。
管理层也应该加强监督环节的建制,确保内部控制的持续有效。可以建⽴⼀种机制,⽐如指定⼀个部门,如履⾏内控、内审职能的部门,或某个联合管理委员会,每隔⼀段时间,就以归零的⼼态和全新的观点来检查内部控制制度是否正常,以保证内部控制有效,并及时发现不⾜,进⽽谋求改善。
同时,管理层也不应忽视外部监督的引⼊。可以先将本企业的道德标准信息传递给外界⼈⼠(如客户、供应商、独⽴的第三⽅机构等),建⽴特定的信息收集渠道以接收对⽅的反馈,有的企业会采⽤告客户、供应商的公开信,设⽴、邮箱等⽅式。
董监⾼与企业⽂化
企业⽂化是内控环境的重要组成部分。企业⽂化看不到摸不着,但基本上所有问题产⽣的原因都可以
归结于某种⽂化,企业的所有问题也基本上都可以从企业⽂化中到答案,到解决⽅案。
什么是企业⽂化?根据《企业内部控制应⽤指引第5号——企业⽂化》,企业⽂化是指企业在⽣产经营实践中逐步形成的、为
整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的⾏为规范的总称。
企业⽂化是在企业⽣存与发展的过程中慢慢形成的,对员⼯的⾏为有引导和规范作⽤,有助于形成企业的向⼼⼒。⽐如同样的危机出现在不同的企业,结果可能完全不同。在有的企业中,员⼯们会⼤难临头各⾃飞;⽽在另外的企业中,则可能完全相反,员⼯们会众志成城、共渡难关。同样的事件放在不同的企业,即使都没有明确的管理制度,结果也可能不同。
在企业⽂化形成与建设过程中,董监⾼起主要的作⽤。董事、监事、经理和其他⾼级管理⼈员应当在企业⽂化建设中发挥主导和⽰范作⽤,以⾃⾝的优秀品格和脚踏实地的⼯作作风,带动影响整个团队,共同营造积极向上的企业⽂化环境。
职能部门和分⽀机构——规则的执⾏者
职能部门与分⽀机构是内控执⾏的主体,是内控的第⼀道防线。这⾥的职能部门泛指所有具有计划、组织、指挥权⼒的部门,如财务部、⼈⼒资源部、IT部门、采购部门、销售部门等。这⾥的分⽀机构
指分公司、分⼚、分店等⾮独⽴法律主体型组织。
职能部门和分⽀机构所进⾏的最主要的内控活动是,按照决策机构与⾼级管理层的部署,结合实际的业务操作情况,设计管理制度,明确业务操作流程,对关键控制点实施控制。
若内控是张⽹,那董事会和管理层负责的就为纲,职能部门和分⽀机构所负责的就是⽬。针对不同的⽬标,⼤鱼或⼩虾,动⽤的⽹便不同。但⽹眼⼤⼩,怎么联结,还是冲锋陷阵在第⼀线的职能部门或分⽀机构最了解情况。要想做到“⼀引其纲,万⽬皆张”,需上下部分配合得当才⾏。
职能部门和分⽀机构的负责⼈对内控制度的设计按职能或流程进⾏切分,将控制点与组织架构⾥的岗位结合起来,把控制措施落实到⽇常的业务操作中。对各业务岗位的经办⼈,不⽤与董监⾼⼀样“⾼标准,严要求”,只要“低标准,严要求”,严格执⾏相应的制度规定或流程要求即可。若是有完善的建议,也需经过⼀定的审批程序⽅可进⾏修改。
咸淡哥的⽼领导,他所在的摩托车企业规定,所有⼈都必须在黄⾊线内⾏⾛,⽽他⾃⼰正式最严格执⾏者。划定框线的⼈则纵观全局,负责整个流程与区域的设计,保证各⾏其道,互不妨碍。
职能部门和分⽀机构的负责⼈需要把⾃⼰管理区域内的框线划清楚、划利落,让各⾃职能范围⾥的流程顺畅起来,保证职责划分不会相互冲突,相互撞车;同时,要保证部门职责不能超出该部门的黄⾊框线,对于超界的事只有建议权,没有修改权。
内审部门——内控的监督者
内部审计有两⼤职能:鉴证和咨询。鉴证解决“怎么样”的问题,咨询解决“怎么办”的问题。当然为⼤家所熟知的内审职能更多的是鉴证⽽⾮咨询。内部审计本⾝在企业中不直接参与相关的经济活动,处于相对独⽴的地位,⼜处在各项内控管理活动中,是执⾏内部监督的最好选择。
内控体系建设具有系统性,内控审计具有纵深性。内控强调过程合规,内审关注结果合理。相关⼈员可以将内审过程中发现的内控失效案例作为加强内控建设的有⼒抓⼿,同时把内审⼿段作为检查内控运⾏状态的有效⼯具,使企业有压⼒去认真落实内控规范。
内控与内审是有区别的,主要表现在关注点、对象和⼿段上。
关注点不同。内部控制的关注点是管理流程、制度和岗位约束、制度的有效性、关键岗位等;内部审计的关注点是各项指标的完成情况,异常财务现象,财务规范性等。
对象不同。内部控制的对象是整个企业的各个环节;内部审计的对象是与外部审计对象相关的环节和相关的财务信息。
⼿段不同。内部控制⼿段主要有环境控制、风险评估、活动控制、信息与沟通、监控等;内部审计的主要⼿段是查证、函证、抽样、座谈、调查等。
内控和内审虽有区别,但更是有联系的。联系就表现在这⼆者的最终⽬标具有⼀致性,都是为了促进组织⽬标的实现;都是从组织的整体出发,通过协调各部分的资源与⼒量,提升组织的效能进⽽实现⽬标。
在实践中,可以借助内审的⼒量去推动内控的建设与完善,也可以充分利⽤内控建设的成果减少审计的⼯作量,同时也可以将内审整改与内控建设和完善相结合,让审计建议更具操作性。
很多企业建⽴了⼀⼤堆规章制度与程序,但其却⽌于纸⾯或流于形式,没能真正发挥作⽤,⼀个很重要的原因就是没有强有⼒的监督⼒量。让⼀双眼睛去看着,或者使别⼈认为有双眼睛在看着,对管理策略的执⾏来说是个不错的选择,也是有⼒的保障。
从内审的⾓度看,内控也有促进作⽤。内审的第⼀步,是对内控体系进⾏评价,若内控体系相对完善,则其对资料的采信程度就⾼,审计抽样就可以适当简化。另外,内审内控⼈员通常⽐较了解组织的运⾏情况与关节,知道组织的优缺点,更知道职能部门的长处与短板,对审计发现的问题通常都能提供不错的解决建议,从⽽使审计发现事项的整改建议更具操作性,审计整改也变得更加顺利。
可以说,内控具有系统性,但⼒度有限,内审更深⼊,但覆盖⾯有限。⼆者的有机结合,能帮助组织把内控建设落到实处,帮
助组织把风险控制做全做深。
内控部门——组织的划线⼈
内部控制涉及组织的整体业务与管理,严格意义上说,其不应该是⼀个单列的部门,因为全部的职能部门都是履⾏内部控制职能的部门。⼀般国外企业没有内控这样的部门设置,但国内企业有,主要还是由国内的管理阶段和管理实践决定的。实事求是地说,我们的内部控制是短板。短者,不及也,要么是做得不够,不到位,与统⼀的标准和普遍的规律存在差距;要么是跟不上事物的发展,落后于形势;要么是在发挥应有作⽤上不充分,有⽋缺,存在有待克服和突破的瓶颈。我们的组织需要有⼀个部门来牵头把内部控制这个短板给补起来,于是便单设⽴⼀个内控部门来补短板。
虽然是这么说,但在很多公司⾥⾯并没有哪⼀个部门叫内控部门,很多公司由综合管理部门来负责内控事宜,如风险控制部、综合管理部、企业管理部、办公室、运营管理部等,也存在由董事会、监事会牵头组成内控实施⼩组来推动内控⼯作的情况。但⽆论以什么形式存在,内控的职责基本上是差不多的。
咸淡哥提到职能部门和分⽀机构的负责⼈负责划定框线,保证各⾃的活动不要超出各⾃的黄⾊框线,那谁来负责划定各个职能部门和分⽀机构的黄⾊框线呢?
就是内控部门。内控部门负责在整个组织内划定框线。
在⼀个组织⾥,总有些事情好处多多,⼤家抢着做,也总有些事情是⼤家唯恐避之不及的。为了组织的整体利益,内控部门得在管理层的⽀持下把任务分配好,让职能部门和分⽀机构各领“⼀段”,对流程上有关联的部分,得考虑各段之间的连接,保证流程的顺利进⾏。
内控部门有个不错的⼯具,这便是内控⼿册。若企业章程是企业的宪法,那内控⼿册就是基本法律、法规、规章、条例和实施细则等。在形式上,它通常包括管理制度、业务流程和作业表单等。其除了⾸次编制之外,最重要的还是⽇常的修订,包括定期的和不定期的修订。⼀⽅⾯,企业在发展,内控要量体裁⾐;另⼀⽅⾯,⾐服穿久了,会有破损,就得打补丁。
通过内控⼿册对组织职能分⼯进⾏确定,组织实现了条块化分割与整理。但这些都是表⾯功夫,就算这样,想要做到像模像样也要花时间。内控部门的另⼀个主要任务是培育组织的内部控制能⼒,提升组织的风险管理能⼒。这是⼀个漫长⽽⼜艰难的导⼊过程。⼀个⼈学习尚且不易,何况⼀个组织的学习呢?
⽅法总⽐困难多。我们可以先从简单的事务开始,让职能部门练习起来。例如,完善内控⼿册时,可以由内控部门提供模板,让职能部门或分⽀机构把部门内的制度和流程⾃⼰先整理起来,⼀遍⼀遍地调整修改。由此,便可以慢慢地把内控理念灌输给他们,也可以让他们把内控⽅法与其⽇常管理结合起来,融会贯通。有了基本的铺垫之后,再让其通过内控⾃评等形式学会⾃我检查与⾃我管理,结合
实际发⽣的案例进⾏检讨,并完善内控措施。如此,慢慢地实现内控管理能⼒的提升。这个过程是管理的基础,所需时间长短不⼀,⼀年到三五年都有可能。
2020年我们关注:物流、教育、新消费领域为主,以上三领域均已与资⽅达成共识(19年度《咸蛋说》平台已经为多家企业成功融资,⾏业涉及:物流、AI、⾃动驾驶等⾏业,欢迎资⽅和项⽬⽅私聊。)
《咸蛋说》业务领域:
审计业务:出具⾮上市公司/上市公司年度审计报告、专项审计报告、管理建议书、合规报告等
公司管理业务:财务整理(含多账合并)、内控管理、全⾯预算管理、内审制度建⽴等
FA业务:财务顾问、法务顾问、新三板挂牌辅导、IPO实施、投融顾问、私募基⾦、场内外资本市场、并购重组。
【声明】本⽂章版权归原作者及原出处所有。凡本注明“来源XXX或转⾃XXX(⾮本)”的作品均转载⾃其他媒体,转载⽬的为学习、交流所⽤,内容为作者个⼈观点,仅供参考,并不代表本赞同其观点和对其真实性负责。本转载⽂章,我们已经尽可能的对作者和来源进⾏注明,若因故疏忽,造成遗注,请及时,我们将根据著作权⼈的要求,⽴即更正或者删除有
关内容。本拥有对此声明的最终解释权。
发布评论