主持人:非常感谢张总,刚才我们听到了用友的咨询顾问、产品总监,从用友方方面面的解决方案,以及企业集团如何做管控,对应用友集团的解决方案,以及怎么用用友的产品进行匹配,我们张总也给用友的产品在技术方面做了简单的介绍,有可能是因为时间关系,讲的相对来说快了一些,如果大家有一些疑问,可以在整个论坛之后有一个交流互动的时候,可以跟他们做多一些深入的交流。
刚刚谈到企业管控和集团管控,我们就在想,去年像雷曼兄弟的脱产还有02年的安然事件,再次给集团企业敲响了警钟,企业如何规范公司的治理,以及如何加强风险的内控,我们听一听德勤咨询的专家是怎么说的?
德勤俞政:大家好,我先自我介绍一下,我是来自德勤会计师事务所的,我叫俞政,我这个名字在512大地震之后就不敢到四川了,一到那里大家就感到害怕,大家就感到余震来了。我最近忙的要命,准备培训资料给大家讲课,因为财政部部委新出了一个企业基本规范,我的企业家朋友都非常忙,他们经常打电话跟我说,小俞我忙的要死,尤其财务部的老总说,外审来了,内审来了最后狼来了,小俞你什么时候来呢?大家怎么做可以做到电子商,应对企业基本规范,我的朋友打电话跟我说,我这次花60万请了内控专家专门给我建立企业内部管控他还要花60万请会计事务所做咨询服务,花60万值不值?我没有办法评判,但是一个人建立企业的内控,建立一个框架体系,这是绝对不可能的,任何一个企业需要建立一个健全的框架和内控体系,需要方方面面从财务部销售部采购部各个体系一起上,而不是光靠一个人,你聘用这个人花了大价钱是干什么的?至少他可以告诉你企业管控是什么?你要聘请会计事务所或者外部机构他可以告诉你合同怎么签,需要签哪些东西?需要做哪些东西?各个部门之间怎么协调?这是他要做的,或者他可以牵头做这个事情,但是依赖他一个人绝对不可能,我还有一个企业家朋友说,小俞我觉得内控这个东西,其实跟ISO差不多,所以我们找原来做ISO的同事负责这个项目,你说好不好?我说,这个东西仁者见仁智者见智,你说他跟ISO完全相同不尽然,完全不同也不可能,其实还是企业管控企业内控怎么管理,怎样牵头做这个项目,从项目的角度来说可以说是基本相同的,但是不同的是做ISO的同事是不是对内控非常明确?这位企业老总就把我的电话留给ISO的人,他打电话给我说,这个基本规范里面说,我们采购里面一定要有采购计划,但是市场现在变化非常大,今天都不知道明天有什么活,我怎么做计划,我们没有计划,然后我跟这位同事说,怎么可能没有计划?只不过内控计划的形式你不一定了解,不是一张表是采购计划才是采购计划,有可能没有长期的计划,但是短期是按照订单来的,按订单,几个订单合并以后会有短期的计划,一个月或者一个星期的计划,这也是一个计划,并不等于说完全就没有,我不符合企业基本规范,不是这样的,还有一种情况,是这样的,我的财务部的朋友跟我说,我最近被分配了一个特别恶心的事,我要牵头管企业内部规范的项目,但是所有的部门都认为,各个流程都跟财务部有关,最后全部流到财务长表上,所以财务一个人做就可以了,跟我有什么关系,非常苦恼,外审内审都是我一个人做,怎么可能呢?所以大家现在体会到企业内部规范是流程性的东西,不是强调财务帐表的东西,我们需要体谅财务部的同事,很多东西是事后的控制,很多帐表已经是既成的事实,老板要关注定价合不合理,而不是合同签了,货发了,到财务部,说财务为什么没有好好审,那个时候财务不能做什么,最多退回去重来,最后还是要审的,所以烦恼非常多,今天我就要跟讲一下关于关于“建立健全企业内部内部制度”。
第一个,我国内部控制相关的监管要求。这是财政部层面。基本规范主要强调鼓励建立健全内控机制,需要有一些外部会计师事务所的认证,对于其他。第二项在08年之前有22个流程,22个流程是征求意见稿,在08年12月31日的时候他出了15个正式版的指引,第二个东西就是评价指引,企业如何评价自己的内控工作,这三样东西和大家有关。最后第三个东西是见证指引,是会计师事务所需要看的。
我讲一下基本规范和以前的东西有什么新思路?第一个,现在的概念反复强调的是以风险为导向,为什么这样说?以前做内控,就事论事,这个东西签了字没有?现在不是,现在需要先看看企业风险在哪里?去年我为大型企业做风险管理项目,当中理出1400多条风险,这些风险董事长都要管吗?没有必要,所以我们就要梳理出前10位东西,是他今年必须要解决的东西,对于这十大风险来说,他就知道哪些东西需要应对,对于中等的就可以缓一缓,或者用其他的方式进行解决,现在的基本规范第一强调的是以风险为导向,第二特色是整个基本规范强调的都是一个流程,大家都知道以前我们的管控强调的是部门,这个部门管这个,那个部门管那个,但是现在基本规范都是流程,采购流程、销售流程、人力资源流程,为了避免流程和流程之间出现没有人管的情况,所以现在他是以流程为导向,今天早上,我跟一个客户讨论项目如何做,讨论哪些需要放在项目里面来?我深深体会到流程的重要性,我们讨论哪些流程需要纳入工作范围的时候,法务部的同志说,小俞我觉得我们要单独加一个流程叫做合同管理,这是非常重要的,所有的风险都在合同管理里面,法律风险、企业风险都在里面,我就跟他说,王律师,其实合同管理是融入到整个业务流里面的,你的采购里面有没有合同管理?有,我签采购里面有,销售里面也有,人力资源里面也有,我们应该把合同管理的项目分散到各个业务流程当中去,使他在业务流里面得到管理,而不是单独的针对法务部列出流程,专门做合同管理的流程,不是这样的,所以大家在应对新的基本规范的时候,需要以流程为考虑的对象,而不是以部门为考虑的对象。第三个亮点,是比较虚的东西,在最后的应用指引定下来以后,它增加一些和流程不太有关的东西,首先需要有发展战略,企业文化、社会责任、组织架构、研发内部报告,这是新加的一些东西,这些东西都非常虚,为什么国家要把这些东西放进去?可能大家感觉他完全不产生效益,对于我们的企业有什么现实的现金来源吗?首先讲社会责任,我有一个企业,他拥有一些碳的排放量,《京都协议》,在中国现在还没有加入到这个京都协议里面去,它的环保做的非常好,他的社会责任可能比较好,他做环保的时候非常注意周边的环境民生,他就碳排放量以300万的价格卖给了日本,这是不是企业效益?他如果不注重社会责任,他完全可以不用管污染等等,但是他这样做反而得到很好的回报。我的另外一个客户是医药企业,他的企业宗旨是我的销售人员需要出现在我的客户需要的时候,大家知道中国的医疗体系其实还是黑暗的地方,这一家企业在非典之前,北京的一家大医院是进不去的,因为被其他的药商垄断了,后来非典了,这家医院又是接待非典病人的重载区,所有的销售人员都不愿意到这一家医院,医务人员非常的苦恼,这个时候这一家企业的销售人员每天打电话,你们现在情况怎么样?是不是有所松动,是不是可以来探望一下?到非典快要结束的时候,有所松动的时候,他们中国区的销售总监,第一时间送了两束鲜花到医务人员的办公室,他不是说要卖药给你,而是要感谢你们这些白衣天使,要感谢你们为我们这些非典病人作出的贡献,这件事情直到现在这个院长每次开供应商大会的时候,还和他们的销售总监说,当时所有人都嫌弃我们,只有你们是看重我们医务人员,真心诚意的对待我们的医务人员,这家企业社会责任心非常强,他们的社会宗旨是从来不买任何一家有价新闻,从来不说进一个产品的时候用钱来推这些东西,他们从来不买有价新闻,这说明企业文化传达给员工的时候,他也会产生一些效益,只是这些效益是比较隐性的,包括组织架构建立的好可能还会留住一些员工,使队伍体系比较安全稳固,在这次的企业基本规范里面有新的东西加到里面,大家可以考虑到工作的方向可以往这个方向挪一挪。
讲到企业基本规范有两个地方需要指出,09年7月1日时候上市公司必须开始实施企业基本规范,还需要披露年度自评的报告,还鼓励上市企业包括中小型企业可以参照执行企业基本规范,我们对这个规范做一些解读,首先是控制目标方面,那么多规范,其实中国人是想赶超英美,讲究合法、合规资产安全财务报告及相关信息真实完整,另外又加上两条,是提高经营效率和效果,促进企业实现发展战略。还有内控要素,内部环境风险评估控制活动与沟通内部监督,还有约束机制,我们强调把内控纳入绩效考评当中去,现在我基本上遇到的企业里面有80%以上的企业都说,由于内控不纳入绩效考评,没有办法考评。有一家保险公司,所有的内控全部记录到绩效考评当中,让员工知道错在哪里?这说明我们可以把内控落地,让他和具体工作衔接起来,再来是外审要求,可以聘请会计师事务所对内控有效性的进行审计,出具审计报告,提供内控咨询的事务所,不可以同时为同一企业提供内控服务。
企业基本规范的意义这里就不讲了,图上红字显示的意义是法规只可能越来越严,上证所的要求是首先要有一个自评报告,需要表述哪些东西?一些内控的基本要素、内控的局限性,还有重大的缺陷是不是有?还有,他要求董事长必须亲自填写工作底稿,为什么要亲自填写?它就需要有一个人负起这样的责任,我相信大家也听过,在美国上市的时候,惩罚条件非常严格,敢签报告的财务总监或者CEO,如果敢签假报告,第一坐牢、第二罚款,中国还没有到达这个程度,但是我相信这会是一个趋势,现在上证所会说签这个报告董事长亲自来做,相信不久的将来,法规会有越来越更新的地方来说服中小企业。对于应对法规条例,我们会给大家一些建议,首先建议大家,公司应该着手建立健全自身的内部控制体系,逐步开展自我评估的过程,从我们的经验来看,建立一个项目小组建立体系或者招一个人,这个项目做做可能三个月五个月就完成了,但是实际上这个体系建立起来需要企业自身有运作的过程,当你指出别人有不好的地方,需要给他有改正的时间,不能今天指出明天就改完了,如果改完了后来执行的怎么样?实际上真正执行的过程需要有一年的时间,让下面的人有所改正。第二我们既然要做,那么就早做,因为第一年做准备以后,第二年可能只是简单的修改这些动作。第三,我们需要做那些东西,首先我们需要建立的是公司的各级管理层的内控职责和制度,其次当制度有了之后我们需要有自我评估的体系,你有了规范,告诉我说,我需要做123456步结果,下面的人只做了12步,这就需要检察监督的体系,然后还要建立内控执行自我评估和检察监督。这三者关系相辅相成。
在建立健全内控体系的时候,我们会遇到一些常见的问题,常见的问题,首先我们现在的基本规范是以风险评估为基准的,企业可能没有正式的风险评估的程序,我发现我们各位老总比较喜欢的东西是风险比较感兴趣的,非常直观的知道企业风险在哪里?企业识别风险也不难,任何一个职工哪怕是开门的老大爷也知道自己管的风险在哪里?关键是怎么评估风险?怎么让领导安心的知道现在有哪些东西是急需要转的?有没有这样的人才或者机制在哪里?第二个受限于会计控制而不是经营合规管理。当我的一些财务数据的控制有效的时候,并不等于说我的经营和合规是有效的,有可能前端的东西已经是错误的,你签了错误的合同,财务部怎么帮助你修正?第三种是业务层面的控制,而忽略公司层面和IT层面的控制,大家可能觉得财务部是很难的,有可能业务层面的控制也是有的,各个体系的建设都有,但是软性的东西公司是不是已经注意到了?同时IT层面是不是已经注意到了?可能大家使用的是用友的东西,用友是非常好的软件,事实上他里面的很多控制是不是已经开发运用出来了?用的方式方法是不是对的?我之前和一家日本公司做了一次咨询项目,我发觉他们非常有趣,他们的操作系统非常强大,各个模块都买了,但是数据经常出错,原因是什么?数据里面的模块经常输入,但是他们不相信这个模块,他们重新做台账,也不核对,我说这个不是重复吗?那么要软件干什么呢?他说看看,实际上他都不用,IT方面有很好的工具在那里,是不是尽量的把手工的容易出错的东西融入IT里面去,让他划繁为简来用。
我们还缺乏完整的内控文档以及对业务的全面的分析,大家都说我们是有体系的,是有文件的,今天早上我去了一家企业,我们问他们有没有分期授权的机制,他们说有,但是我要看的时候,他们董秘说不成文,我说你怎么保证每个人都知道呢?你连成文的东西都没有,或者采购销售方面,什么单据都没有,说一句话,后期的人做事情的依据都没有,这样可不可以?成文化的东西企业是不是要有呢?你必须要有举例的依据出来,而不能空口无凭,所以大家都着手建立文档化的东西,他好在哪里?第一,你自己做事有依据。第二,检察的人有依据,当内审部的人来的时候他至少知道看什么东西,而不是空口说。再下面一个是按传统职能部门开展控制,缺乏业务流程的概念,就是现在是以业务流为主导,而不是各个部门管好自己的东西,企业很喜欢请外部的人判断这个东西,请外部的咨询专家做项目,我每次做项目的时候,有一些 跟我关系很好的企业家说,女枪手来了,因为他们有很多不能开展,或者企业内部有利益相冲突的地方他需要外部的专家排版,告诉他,应该做,怎么做?哪个部门应该做哪些事情,而不是一个企业里面互相纠结?所有大家首先要建立流程的概念。最后一个困难也是比较难以实现的,就是缺乏内控的管理人员,这就是为什么ISO的专家打电话问我,我没有采购计划怎么办?其实很多东西企业都有,比如说企业文化如何传达?交流机制怎样传达?大家两手一摊说,我们没有交流机制,我说不可能,你们每个人都有经营绩效,都有党员大会,这些其实都是信息的传递,只是你不知道,或者你没有办法意识到这是一个控制活动。我们在企业里面需要十年树人,需要慢慢培养大家的内控意识以及内控的管理人才。
我们遇到的第二个困难是什么?就是企业内部是不是有一些恰当的人力资源开展这项工作,是完全依赖内部资源还是运用外部资源,虽然我是会计师事务所的人,但是我绝不建议大家只用外部的人而不用自己的人,我们建议第一年你请外部的人,它的作用是帮助你搭结构。第二带一批你的人上来,重点是能有一批专职或者兼职的人员融入你的团队成为你自己的东西。第三个就是建立一套自己的文件体系,一个现有的文件体系是保留的,内控体系的建立是把文件理顺,哪些东西是控制活动,放在哪个文件当中是对应的梳理,使他成为有体系的梳理,而不是推倒重来。
德勤的建议是,在做应对措施的时候我们首先请大家要合法合规,做完了以后,需要结合非常好的实践,其实大家看过企业基本规范的时候,会知道,这个东西用到谁身上都可以,为什么?他没有非常仔细的说,这个规范是针对地产企业,或者医药企业、旅游企业的,比如说里面有一个存货流程,我的一家企业是旅游企业,它的存货是导游的帽子、导游的旗杆,你让他存货管理做了一大套是没有用,他是万宝全书,你需要结合行业的实践,根据自己公司的信息做调整,通过控制活动与控制目标的方法,使各类文件制度实际操作识别出来以后成为文档化形成公司内控矩阵。对于匹配中发现确实的内控,应由相关部门设计建立相应内控或者相关公司制度/政策,并记录到内控手册中,对于内控设计需要有一些整改。第三点,我们所有的控制活动、控制目标都已经做完了,发现自己的设计没有问题以后,需要制度汇编,制度汇编就是把以前的体系文件相融合起来,可以把这些体系文件按一些层级汇编一下,顺便再把它的控制目标放到原来的控制矩阵里面去,最好做成电子汇编放到网上,让大家检阅一下。第四点强调长效的机制,当你有很好的设计,控制已经设计的非常好了以后,下面的人是不是按照你的意思做了呢?可能每个人都有疲劳性,如果一天签100张单,你肯定不能看得那么仔细,所以这就需要有长效的机制监督他做的好不好,这就是内控执行有效性,里面需要做定期的检查和持续的整改,同时这些检察也可以融入到绩效评估里面去,这是非常好的工具。最后,我们在初期建议大家用外部的专业的资源获得知识的转移同时培养公司内部的骨干参加自评等等。
最后如何建立健全内部控制体系?讲一下如何实施,这里有5步,这里方法,当然各个企业不同,可以因企而异,首先是机构的设立和计划的建立,当你需要有组织建构的时候,你的内控部或者内审部做相应职责部门应该建在哪些方面?做ISO的项目负责人说内控在财务下面,大家觉得可以吗?我想提醒大家注意的是,这个组织架构必须赋予内控办的人非常崇高的地位,因为他需要检察的东西是方方面面的,他需要看一些比较隐秘的材料或者比较机密的材料,去监督一些非常高层的人,才可以作出好的判断。如果他是在某一个部门下面,他没有办法工作,所以我们在建立设立机构的时候,我们要充分考虑到他的架构的问题,同时,建立了内控办或者内审办以后,我需要有一些职责分工,哪些是内控办做的事情?每年需要产出哪些东西,我的工作计划是哪些?人员是哪些?这都需要做在体系上面。在计划和设计阶段,我们会产出一些东西,比如说项目小组或者部门的制度,一些职责分工,一些委派的职能,其次我们需要建立非常具体的计划,每年的工作计划或者整个部门的工作计划是怎么样?然后分批分对象的培训计划,我们为什么说分批分对象?我们有一些企业请我讲课,我的价钱比郎咸平便宜,他30万一节课,他们觉得小俞来讲课,一大批人来了,听了以后都不知道讲的是什么?我比较好的建议,你可以搞一个采购专场,因人而异,有专门有对象的做培训,这才是一个内控项目成功的基础。有培训,我们肯定会有培训资料需要分发给大家看,然后还有实施培训,这是好的项目的基础,有好的土壤在里面。这是一些样例,比如哪个阶段做哪些事情,培训的计划是怎样?德勤做这样的项目,一般建议6层培训,从风险到内控,从各个流程在讲到内控手册的使用等等。
第二个阶段,识别内部控制的活动在哪里?我们看看内部控制设计的好不好?先不讲执行,只讲设计,设计好不好?这个阶段很重要,首先需要看一下法律法规是什么样的要求,怎样来满足?其次我们需要注意的地方是要全员参与,不是财务部牵头,他来做,小到看门的大爷,大到总裁,他们都有各司其职的地方,当然你不用大爷帮助你写一些东西,但是他们都有自己的分工内控的方案整改的时间表,方案要出来,对于这个阶段的工作成果,首先我们需要有一个风险评估的工作表,你先列出那些风险,会有风险地图在里面,告诉老总你要关注哪些东西,第二个产出是内部控制手册,这是我们传统意义上的三件套,首先有不相容职责表,有没有控制矩阵?有没有流程图?流程图大家非常喜欢,容易懂,一个图下来大家就知道整个业务流是什么样子,应该怎么做,还有流程汇编,就是制度汇编,在做完了内控手册以后,这些都是理论上的东西,理论上设计,我的控制应该这样做的,还有穿行测试的工作,在内控手册的时候,很可能通过访谈问卷的形式,大家写出来的东西未必和实际操作一样,我通过抽取一个样本的方式验证一下我的内控手册里面写东西和实际操作手册是不是一样,就是穿行测试,穿行测试做完了以后,我发现内控设计上有什么缺陷,然后有一个缺陷报告,告诉相应的部门你那里做错了,需要改在哪里,需要有整改方案,包括后续的跟踪,比如整改的时间表,整改的措施,落实的措施在哪里?
风险地图,有兴趣的同事可以看一下我们电子版的非常好看,自动会画成风险地图,这些都是评估问卷,包括三件套,流程图,最上面是部门,哪些活动在哪些部门里面流过,做了哪些事情,灯泡的地方就是关注点,管控的力度只要集中在灯泡的地方就可以了,抓好了这些地方,整个内控就做好了,然后是穿行测试的样表以及整改方案。当你的设计缺陷出来了以后,我需要有一些整改的时间,我们不会建议企业做完了内控设计以后,马上马不停蹄的就直接做执行有效性的东西,而是需要给人家一点整改的时间和机会,每个企业每个部门都是一样,这个时候我们的产出会有控制缺陷报告和整改方案的建议,包括后续的跟踪。这个阶段走完了以后,这个是跟踪表的样式,大家可以看到负责部门负责人,方案在哪里。第一次完成时间、跟踪人,第二次完成时间状态等等。下一个步骤是内控实施有效性的阶段,我们抽样看看大家实际做的怎么样,这个时候,我们需要内控办或者内控小组制订《内控监督检查办法和内控检查的计划》,没有方圆不称气侯,所以我们一定要有办法在那里,才可以跟下属部门说我要做哪些检察,每年检察多少次,以及检察计划,哪些流程需要看,或者明年看那些,然后还有自评的问卷,通过检查和必要的抽样测试等手段确认内控自我评估问卷是否准确填写,并向总裁办公室或者董事会报告测试结果。
这是我们展示给大家的内控的自评表。这里大家可以看到有一个内控运行有效性测试的样本量规定,各个企业可以按照自己的环境来决定每年需要抽多少样,这是有一个计算的方法,还有内控有效性的测试底稿,这是测试底稿的样子,这个里面最难的地方是测试的方法,也就是内控部需要做的东西,那些内控活动从那里抽多少样?这是测试样本量里面要显示的。最后是报告的阶段。
我的演讲基本上就到这里,如果大家有兴趣的话,可以问用友要我们的培训资料,第二我们会后也可以做一些沟通交流,谢谢大家。
