前些日子我们集团总部到我们中国区进行内部审计,活活地被折磨了2个多月(1个半月的准备时间,半个月的现场审计),弄得我筋疲力尽、嗓子嘶哑,现在恨不得休个年假。因为我们集团的内部审计是出了名的严格,很多公司的CFO、CEO都倒在他们的审计之下。
我们对审计原先也没有抱多大的希望,因为我们之前请来了已经通过审计的国外兄弟公司过来帮我们抓问题,他们的判断是非常悲观的。果不其然,我们的审计最终结果是:Unsatisfied !
当审计的几个冷血,在会议室把他们的所观察到的所谓的事实、所谓的违背公司原则的事项、所谓的建议讲了一大通,之后在最后一页很醒目地得出结论是:本次审计没有通过,你们有多长时间可以申诉、如不申诉或申诉无效则多长时间必须按照他们的建议进行改善,他们会定期跟进了解我们的改善情况等等。当时我们中国区CEO在内的所有的执行委员会成员们都恨不得吃了他们,可是人家是那么的坦然,那么的职业!
其实他们的最终结论出来以前,他们将他们的工作草稿跟我们沟通过一次。我们一群人当时感觉还不错,跟对方较真地说:“这段话有问题!你既然讲的是事实那么不能有‘there may not …’‘it will be …’这种字眼——因为这是你的‘image’不是‘fact’”。甚至有人语带威胁说:“如果你们的报告用中文出,那么你们死定了!汉语的遣词造句,我们比你们强多了!”。审计人员含含糊糊地表示可以考虑你们的意见,没有想到他们在最后的报告里在原则性的问题上基本上没做任何更改。我们大家都很失望,不过对我所控制的部分审计表示比较满意,但我还没来得及高兴,紧接着说到:这样好的控制经验没有在其他地方得到共享,说明我们内部的沟通环节有问题!
虽然我不是什么内控专家,但是对内控的机理、容易出问题的环节,多了一些了解,下面是我的一点心得(失败的经验也是很宝贵的~),或许对应付内部审计有一些提示吧~
首先,做好内控工作的关键是最高管理层对风险的认知程度和规避的态度,这是给内控的整个框架定基调的部分。
就我们公司来说,因为是总部在瑞士,在美国上市的500强企业,所以对各种风险的控制是非常严厉的。尤其是需要提交SOX法案要求的管理层声明和相关的内控文件,所以内部审计不是开玩笑的。
本来北欧的那些国家就注重各种人权而出名的,而且是廉洁社会的典范,所以这些理念已经延伸到企业经营中的每一个环节。如,不允许给客户、政府机关送现金或现金替代品、礼品不能超过35欧元(在国外是20欧元,只是到了中国标准稍微提高了点——因为他们认为中国是送礼成风的国家)、不能赠送烟酒、所有的宴请必须有详细的参与人员的清单、不能去卡拉ok和桑拿浴——影响公司形象、给客户的样品必须有跟踪调查报告等等,非常严格。
他们提出来“企业公民”的概念:
- 我们竭力提倡和保护联合国人权宣言的内容,不允许出现企业内部践踏人权事情发生;
- 我们尊重和认同每个国家的文化差异;
- 健康和安全是我们经营中考虑的首要环节;
- 我们保护股东、员工、客户、政府和公众的利益。
等等,内容非常全面。
当然,我对这些内容是不是完全得到贯彻持一点点的怀疑态度,但是至少是大体上反映了最高层的经营理念。一个公司通常是基于自己的经营理念提出一个愿景,根据这个愿景制定若干个战略,再根据这个战略提出实现的目标的几个途径,如以人为本、鼓励技术创新、结合什么什么等等,这些形成一个金字塔的构架,自上而下。
那么如何保障公司的战略顺利地实现的呢?
当然有很多个途径,犹如我们实现和谐社会,需要诸多的政府部门、社会、企业、个人等各个角色的参与一样,企业的各个部门必须各司其职——其中内控就像公检法一样,保证公司的各项运营符合公司的战略、符合国家法律、符合效益最大化的原则,并对违反原则的行为提出整改建议。
不同国家的公检法或类似公检法的机构的权威性都有所不同;内控部门的权力也是一样的,如果最高领导层觉得,没有必要控制那么多环节,或我愿意冒很大的风险来提高发展速度,那么内控部门自然就没有所依仗的尚方宝剑了。说白了,一个国家如果很多部门的之间的相互牵制非常有效,那么他的决策效率肯定会相对低的——至少短期效果来看是——因为很多事情都需要反复地磋商、讨论才可以通过。
但是从长远角度出发,这些磋商的机制、相互限制的机制,可以降低内部的决策失误,权力的极端倾斜问题,所以它是实际上是最高效的一种机制。因为一旦控制缺陷所带来的不良决策的危害发飚时,会很快摧毁把以前的所有的、所谓的高效决策带来的利益的。很多中国企业,刚开始发展很快但是又很快衰败的原因之一,就是缺少一个科学的相互牵制框架,以个人说了算——成也萧何败也萧何。
当年中航油(新加坡)分公司因为参与期货交易而陷入破产境界,其总经理陈久霖亦锒铛入狱。其实,该公司的内控制度是向当地完善的,是安永会计师事务所受中航油总部的委托而设计的,尤其是对期货交易时,现货行情达到什么价格必须平仓,亏损多少以上上报国内的总公司等等。但是,从总公司到新加坡分公司,没有人真正把这个制度当回事,所以最后以国有资产大量流失为告终。简言之,领导层必须放弃什么都要追求高效率的决策方式,一定要允许有人在头脑发热时泼冷水,否则基业无法常青的——这是内控有效的最重要的前提。
其次,必须对公司所处的经营环境进行彻底的分析。
包括法律环境分析,如何种行为容易触犯行贿关联的规定;政策环境分析,如国家的产业政策、环保政策等对公司产生什么影响;经济环境分析,如汇率变动、利率变动、价格变动等方面的分析。根据这些外部环境的分析,提炼出对公司造成最大风险的环节,并进行相应的应对措施。
具体地从我们公司的情况来说,内控的目标是把公司的可能面临的风险进行具体化,并划分到若干个相对度独立的业务循环(operation cycle)中,再把每个循环必须涵盖的控制点清楚地列示。我们公司把业务区分为:生产及存储环节、采购环节、财务报表及帐务环节、固定资产环节、人员及工资环节、销售及回款环节等循环。每个循环又区分出若干个子循环,并详细地描述其内容。如采购环节中,必须控制的点是:下订单的人和签收货物的人区分开、哪些采购必须得3个以上的供应商报价、客户的基础的维护权限如何区分、检验不合格的原辅材料和合格品仓库的位置在系统和实物上如何区分、标准单价预测机制是什么等等,大概有80多个控制点。
那么如何建立有效的内控机制呢?
在把上述的各个控制点熟知之后,制定相应的标准业务流程(Standard Operating Procedure,简称SOP),通过这些SOP把每个业务划分到每个岗位,并明确规定每个人的职责。
这个SOP至少应该满足以下内容:
- 保证将每一个业务循环划分成各个岗位职责;
- 必须涵盖所有的控制点;
- 必须有足够的证据表明,实际工作就是按照这个制度执行的;
- 必须具备可操作性。
最后一点其实是很重要的,但是往往被忽略,因为好多部门只是为了迎合内部审计将各个控制点堆积起来,结果是一个无法操作的、各种规定的汇总表。如:SOP规定“必须保证先进先出的实物流动”,但是没有具体的操作办法,那么这句话就是一个空话。就像,当年中国国家足球队的主教练施拉普纳说过:“不知道往哪里踢的时候,就往门里踢”,但是他并没有教我们的队员如何往门里踢。SOP的最重要的意义是,任何一个人根据这个规定处理同样的事情,必须得到同样的结果,即,不会给操作人员造成理解上的偏差。
我们公司建立SOP的时候,我的要求是:
- 各个部门把现有的各个岗位职责和工作流程全部做一个详细的描述,并清楚地标明责任人。
- 部门内部进行自由讨论,以发现现有的岗位职责中有无遗漏的事项。
- 部门领导确认现有的工作流程是正在进行着的,而不是只是一个空架子。
- 总部要求每个业务循环中必须涵盖的控制点分发给各个部门,要求他们在2周之内保证部门的每个相关人员熟知。
- 召开关于SOP的Kick-off Meeting ,做关于内控的背景、时间要求、质量要求等方面的介绍,并成立一个临时委员会(TFT),进行定期的开会讨论进展。
- 各个部门做完草稿以后,临时委员会进行审核,如无大问题,那么形成一个试行版本,并在各部门实务中采用。
- 3个月的测试结束之后,根据实务中发现的问题,进行重新的修订工作
- 修订结束之后,交给公司的最高领导层签字,下发。
为什么没有把控制点事先发给各部门呢?
因为我担心大家先入为主,抛开业务实际,为做规定而做规定。SOP的制定尽可能让更多的人参与,否则大家的理解程度不高,进而影响执行的效果。
我当时的要求是:
1)一切业务必须有相应的SOP;
2)SOP必须至少涵盖所有的控制点;
3)SOP必须是可行的;
4)通过抽样调查,必须能够提供证据来证明确实是遵守了;
5)所有SOP必须配以流程图的方式,做一个简要的介绍。
最后,如何同内部审计部门人员打交道,是一个很重要的问题。
一定要排除敌对的心理,有些人说:“公司的文化,不说是相互信任和尊重吗?为什么还要来查我们?”我当时的回答是:“我们的道德水平还没有达到‘慎独’的境界;我们的业务水平还没有达到完美的境界;我们的信任和尊重需要一个平台,需要一个时间”。因为就像我们做财务、有人做销售、有人做采购一样,内部审计也是他们的自己的工作领域——他履行他的职责,不需要搞得跟敌我矛盾一样。
但是有一些技巧还是很有必要的,以下是我们公司的几位同仁一起总结出来的应付内部审计时的注意事项:
1) 问什么回答什么,要什么就给什么。
不要把一大堆相干的、不相干的都全盘托出来。也不要对自己不清楚的事情,尤其是不是你的工作领域的事情,轻易地说出你的主观判断。因为内审人员的思路很缜密,在你不经意的说出什么话时,他们会很容易捕捉敏感信息。我们公司有个员工审计人员要一个简单的合同,她却把一整个文件夹都拿来了,而且目录写得还清清楚楚。审计人员一下子从目录里找出“非正常损失的原材料清单”,这下揪住这个问题不放了,害得整个仓库和采购人员拿出N个文件证明,这个是已经处理妥当,并经过内部和专业机构评估之后的东东。
2) 通常他们的态度都很和蔼,看起来很亲切。
但是千万不要麻痹大意,一定要有职业的警惕性。我们集团的另外一个公司有个例子是,审计人员在会议室跟一个员工面谈,很不经意地问了一句:你们的投影仪看起来不错,是什么牌子呀?多少钱呀?面谈人员很骄傲地说:佳能的,2万多块呢。审计人员紧接着问:那么应该算是固定资产吧?为什么没有固定资产标签呢?仅此一项,他们就在审计报告里写道:该公司的固定资产的实物管理存在漏洞。
3) 通常内审人员经过很严格的培训(至少我们集团是),所以你对他们多热情,也不会影响他们的专业判断,所以只要做到不卑不亢就好。
也是我们一个兄弟公司的例子,审计人员看着一个座位上的电脑,很随意地问了一句:我能用一下这个电脑吗?他们的人员热情地说:当然。审计问道:你知道他的密码吗?这位老兄立刻回答道:XXXX!——审计报告上赫然写道:该公司员工共享密码,对信息的安全保护不够!这样的例子很多,如,有些公司的门卫对平时的出入人员管理很严格,但是一看是总部来的人就免去很多必要的手续,搞不好弄个安全管理工作不严谨的大帽。
4) 要学会控制时间。
如果有个问题比较重要,而你又确信你的回答能够经得起考验,那么你可以就这个问题多发挥,这样可以把审计人员的时间占用起来,没有多余时间来纠缠其他的问题。这样做得另一个好处是,他下次问你的时候,不能太小看你的专业技能。因为审计人员通常经过一段时间的面谈,对整个的控制环境会有一个心理上评估的,所以他对你的专业技能有一定的信任,那么对控制环境也是自然产生信赖感的。
5) 不要撒谎,不要作假。
不知道其他公司是怎么样,在我们公司是一旦发现有人为了应付审计撒谎或作假,整个组织的评价就是审计不通过,CEO要下课的。但是在对方没有问到时,你可以不说出对你不太有利的一些东西。我们的一个兄弟公司,审计人员对原材料、产成品、不良品、危险品仓库进行了检查,结果非常满意。审计人员说:你们这么多的仓库管理得这么好,难得呀!得意忘形的仓库主管来一句:我们还有包装品库呢!厂长想要拦住,但是已经晚了。审计人员一看,包装品库跟垃圾堆一样,什么报废的固定资产、退回来的货物、宣传资料等等堆得跟小山一样——结果可想而知。
6) 每个部门、每个员工都应该有清楚的书面的工作责任(Responsibility )和工作描述(Job Description)并经你的上一级领导批准——这通常是对方跟你面谈的首要话题。
即首先要清楚地知道你的工作职责是什么,在职责范围内你工作的重点是什么,什么事你每天的工作,什么是你每月做得工作,你是如何实施你的控制的等等。而且你的上一级的领导是否已经清楚地知道你的工作职责并给予了适当的指导或更改,这是很关键的。如果你连自己的职责都说不清楚,那么审计人员对你乃至你的部门评价将是很糟糕的。有些人说:我没有写出来并不代表我不知道——这是错误的:书面写出来的东西和你脑子里想的东西往往是有很多差别的。
7) 明显无法掩盖的失误或错误,你最好是痛快地承认。
把重点放在你所采取的补救措施和预防措施上,而不是对事实本身没完没了地进行争辩。我们公司一个很重要的产品在几年前进行了配方变更,但是按照总部的规定,这种事项必须是事前得到总部的授权,并确认不影响产品的质量的前提下方可进行的。审计部门对此事很重视,并要求提供相关的证据。我们的相关管理人员没完没了地跟对方争辩,什么中国的原材料特性同国外不同、空气质量和湿度条件不同、政府的监管不同、产品质量并没有下降等等理由。但是对方关心的是不是就这一个事情本身,而是处理类似问题的一个流程、预防潜在风险的机制,所以这一条被列为高风险的因素。
8) 不要把对方的观点反驳的一无是处。
我们公司的审计流程是:先发过来审计范围和日程→指定公司的对审计窗口→审计前的各种前期资料发送→就前期资料在电话、E-Mail沟通→到达现场,并进行一个审计介绍会→按照事前商定的日程,同各部门负责人进行面谈→随机挑选各部门员工面谈→→核对不同的部门、职位的人员对同样一件事情的描述有无差别→重点的控制领域相关联的文件→对初步的审计结果跟管理层进行沟通→管理层对审计事实的注解→对最终审计报告→审计委员会对审计报告的评价→根据审计报告的跟踪调查。
其中最关键是一个环节是同审计人员讨论审计初稿的时候,他们会把看到的事实在审计报告里写明,并同你沟通。这个时候,不要对每一件事情都要跟他们争论。你要把审计报告中,明显对公司整体有重大影响的不利点进行争辩,并尽量说服对方把措辞改成比较温和一点;而对于无关大局的事情,就不要太寸土必争。因为对方也是有自尊心的,你把他们的每一条意见全部反驳了,他们肯定不会接受的。而且沟通时,分配好每个人的角色,即有些人比较强硬一点,有些人比较温和一点,有些人稍微和稀泥一点——这样轮番轰炸——也许有人很强硬,对方不接受;但是另外一人温和一点地说:我同意你陈述的事实,但是我觉得你只说出了部分事实,那么能不能在这个事实上加一点背景的介绍和另外一些证明我们努力了的事实?——这样的请求,通常对方很难拒绝的。我感觉我们中国区没有通过的原因之一就是,我们的管理层比较傲慢,对他们观察到的事实表示很不屑——居然教老外如何写英文!
哎,说一千道一万我们还是没有通过审计,以后的日子有的受了!只要审计没有通过,该单位会被列为全球CEO重点“关心”单位,需要定期汇报整改事项。具体到我们这里是一个星期为单位,做一个改善的报告,并层层上报,更要命的是大家都变得小心翼翼的,一切东西都要书面文件——企业官僚主义文化就是这么诞生的。
我最担心的是,大家今后的工作重点不是如何把业务做好,而是如何让内部审计通过——这是舍本逐末的行为,可是大家都为了保住自己的饭碗,只好不出头了。
- @lxd168 点评
1、 内部控制的评价是从制度方面进行考虑的,有些情况下严厉的有些苛刻,有些制度在民营企业里,感觉不可理解,这主要是中外的文化理念造成的。国外的企业,大多是从制度的角度去经营管理企业,而中国的有些企业,是从人性的角度去考虑经营企业。比如,《大染坊》中的陈六子,对染厂的管理,很多决策都是从人性的角度去考虑的。不同的文化导致不同的经营管理模式。
2、 企业的规模达到一定的程度后,更多的时候需要依靠制度去管理一个企业。内控在这个过程中起着很重要的作用。
3、 内控人员的专业和敬业精神还是很值得学习的;
4、 通过别人的失败经验使自己进步,帮助自己成长。记得在原单位时,审计人员要带走原始凭证进行进一步的考证,当审计人员带走时,让审计人员打个借条,事后审计人员告知,主要是测试公司对会计档案的保管严密程度,心想,幸好当时让她们签字了,不然审计中就多了一项,会计档案保管不完善的罪名。因此,坚持原则,特别是程序性的东西,还是很有必要的。
5、 标准业务流程,这一点在俱乐部参加活动时,henry老师也讲过这一点,(如果一个新上任的财务总监,看到公司建立了SOP,会感到很欣慰,完善的业务流程是公司财务管理的一个很好体现)完善的标准业务流程,可以使每个人员的工作岗位职责清晰,从而有利于工作的高效开展,并且不会因为某个人的变动而对现有的工作造成影响,而且无论谁做这项工作,只要按照标准流程操作,结果都不会相差很大。这就是制度和流程的作用。
6、 为顺利的通过审计,在单位就需要了解公司的财务管理对本岗位的要求,按照要求在平时做好各项准备工作,完善相应的规范操作,在进行审计检查时,掌握好一定的技巧,就能较为顺利的通过审计。
7、 以上的经验总结很值得自己在今后的工作中学习,别人的经验共享就是自己成长的加油站。
- 阿三 回复
很不错,楼主切身感受到内审的“魅力”,相信以后你们下次会认真迎审,对你的几个观点简单发表个人意见:
1、关于内控推行,做好内控工作的关键是最高管理层对风险的认知程度和规避的态度,这句话我比较赞同,我估计你们公司内审工作可能做的不严格,风险认知是职业经理人必备技能之一,层次越高越是如此,所不同的是对于风险容忍程度和风险控制成本的衡量,内审设立的目标之一便是准确衡量企业内部风险,并保证外审过关。
2、关于内控目标:内控的目标是把公司的可能面临的风险进行具体化,并划分到若干个相对度独立的业务循环(operation cycle)中,再把每个循环必须涵盖的控制点清楚地列示,其实内控执行是有成本的,关键在于重点风险,关键控制点。
3、关于迎审:我建议
(1) 由一个部门牵头负责迎审(最好是财务部),所有部门配合牵头部门,这就包括除了必须需要其它部门人员解释或者访谈外,所以解释和资料提供工作必须经过财务部主任审批,财务部对解释和资料进行审核(防止乌龙事件)。
(2) 审计过程中沟通非常重要,不要把希望寄托在最后的意见沟通会议上,始终把握内审人员工作动态,并与财务部门主任沟通,做好对策,一般来说,底稿出具之前存在很多商量的空间。
(3) “善于避重就轻,学会交换”,一般来说内审底稿存在80%左右必须出具的,20%底稿是可以拿掉的,以爽快答应小问题换取谈判筹码,进而达到利益最大化。
- END -
来源:财务职场,作者:只当是散步。版权归原作者所有