中天恒3C框架基于風險管理的內(nèi)部控制研究報告,歷時十年之久,是在認真系統(tǒng)學習研究國內(nèi)外內(nèi)部控制、風險管理理論,總結國內(nèi)外內(nèi)部控制、風險管理實踐經(jīng)驗的基礎上,逐步形成的?,F(xiàn)將研究背景、研究成果及其主要創(chuàng)新報告如下:
一、研究背景
內(nèi)部控制孕育于人類管理活動的實踐之中,是伴隨著人類社會經(jīng)濟地不斷發(fā)展及管理活動日趨復雜而不斷發(fā)展和完善起來的。物換新移,世事更替,內(nèi)部控制的號角已在全球吹響,我國內(nèi)部控制大潮更是風起云涌,內(nèi)部控制理論與實踐發(fā)生巨大變革時代已經(jīng)來臨,積極投身內(nèi)部控制建設大潮,推動內(nèi)部控制理論研究的繁榮昌盛,是時代賦予的神圣而光榮的使命。
內(nèi)部控制是一項十分重要的工作,關系到主體戰(zhàn)略目標的實現(xiàn),關系到主體持續(xù)、健康、穩(wěn)定的發(fā)展。這已經(jīng)成為人們的共識。美國、英國、澳大利亞、新西蘭等國家的民間團體或政府部門早就對內(nèi)部控制或風險管理進行了系統(tǒng)研究,已經(jīng)發(fā)布了內(nèi)部控制框架和風險管理框架或標準,我國的理論界和實務界在內(nèi)部控制及其風險管理方面也進行了積極的探索和實踐,取得了初步成效,政府監(jiān)管部門先后頒布了《中央企業(yè)全面風險管理指引》、《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引等。
中國企事業(yè)單位構建和實施內(nèi)部控制,必然要借鑒世界發(fā)達國家的標準,但不能照抄照搬,要適合中國企事業(yè)單位的特點和實際情況,要有中國人自己的內(nèi)部控制、風險管理標準。中天恒管理咨詢公司和中天恒會計師事務所以構建中國企事業(yè)單位自己的內(nèi)部控制與風險管理標準為己任,于2002年初組建了中天恒3C框架課題組,在大膽借鑒國際權威內(nèi)部控制與風險管理框架或標準,認真學習汲取國際、國內(nèi)有關內(nèi)部控制與風險管理方面大量最新研究成果的基礎上,依據(jù)我國政府監(jiān)管部門頒布的內(nèi)部控制與風險管理方面的有關文件精神,多方面總結我國企事業(yè)單位內(nèi)部控制和風險管理建設實踐的經(jīng)驗,歷經(jīng)4年深入研究和舉辦了幾十次的高峰論壇,在2006年3月3日推出了“中國式全面控制框架”(簡稱“3C框架”)。“3C框架”一經(jīng)推出,就引起了會計界、審計界、企業(yè)管理界以及新聞媒體的廣泛關注,對推廣全面控制的理念,對內(nèi)部控制理論研究和內(nèi)部控制建設起到了一定的推動作用。
又經(jīng)1年多的研究和實踐,于2007年4月19日(農(nóng)歷三月初三)正式推出了“3C框架:中國式全面風險管理標準” (簡稱“3C全面風險管理標準”)。3C全面風險管理標準包括基本框架、實務標準、操作指南,基本涵蓋了COSO全面風險管理框架和國務院國資委頒布的《中央企業(yè)全面風險管理指引》的所有內(nèi)容。3C全面風險管理標準力求自主創(chuàng)新,除增加了實務標準、操作指南這些具有可操作性的內(nèi)容之外,在基本框架方面也進行了一系列的創(chuàng)新,充分考慮了中國企事業(yè)單位的實際情況,在構建中國企事業(yè)單位自己的全面風險管理標準方面進行了有益探索。 3C全面風險管理標準推出后,在中國企事業(yè)單位得到了廣泛推廣,推動了中國企事業(yè)單位全面風險管理實踐。
2008年以來,以財政部等五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引為標志,開啟了我國企業(yè)全面建設內(nèi)部控制體系的新時期?;谕獠勘O(jiān)管的要求和內(nèi)部自身提升管理水平的需要,中國企業(yè)建立健全內(nèi)部控制,加強風險管理的熱情高漲,大多數(shù)中央企業(yè)和上市公司已經(jīng)根據(jù)國內(nèi)外內(nèi)部控制及風險管理規(guī)范要求,設計完成了內(nèi)部控制和風險管理手冊,僅中天恒管理咨詢公司參與其設計就有上百家之多。這確實是難得的大好形勢。然而,內(nèi)部控制與風險管理作為現(xiàn)代企業(yè)管理的核心內(nèi)容之一,更多是需要解決實際問題。內(nèi)部控制與風險管理手冊設計固然很重要,但不管其手冊設計的多么好,不實用、不執(zhí)行,就是花瓶,就是擺設,是中看不中用的東西,對提升管理水平確實是沒有大多作用。正是基于這種認識,中天恒咨詢的重點從研發(fā)內(nèi)部控制與風險管理標準、設計內(nèi)部控制與風險管理手冊,向評審內(nèi)部控制與風險管理,督導內(nèi)部控制與風險管理的落地和執(zhí)行轉變。中天恒3C框架課題組歷時2年之久的研究與實踐,于2010年推出了“企業(yè)內(nèi)部控制規(guī)范的超越與應用”、“風險管理實務操作應用”、“預算管理實務操作應用”等研究報告,為內(nèi)部控制、風險管理、預算管理等真正的落地生根做出了不懈努力。
要使內(nèi)部控制與風險管理真正落地生根,開花結果,必然要走信息化之路。為此,中天恒專門成立了北京智遠天恒信息技術有限公司,對內(nèi)部控制與風險管理的信息化進行專業(yè)、系統(tǒng)地研究與開發(fā),經(jīng)過1年多的研究與開發(fā),于 2011年推出了“3C框架:內(nèi)部控制信息系統(tǒng)研究報告”,與2012年初推出了《3C內(nèi)部控制評價軟件》。該軟件以《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引為依據(jù),以中天恒3C框架理論為指導,以清晰的設計、大容量的數(shù)據(jù)庫和自動化的操作程序,為企業(yè)內(nèi)部控制評價人員提供一套方便、實用的評價軟件,以期大幅提高內(nèi)部控制評價的質(zhì)量與效率。3C內(nèi)部控制評價系統(tǒng)的核心內(nèi)容由四部分核心模塊構成,即任務創(chuàng)建、評價作業(yè)、評價報告和缺陷追蹤。其中,任務創(chuàng)建模塊主要是解決內(nèi)部控制評什么的問題,評價作業(yè)模塊主要解決如何評價的問題;評價報告模塊則主要解決如何起草內(nèi)部控制評價報告;缺陷追蹤模塊則關注對于發(fā)現(xiàn)的內(nèi)控缺陷如何進行分析、評價和整改。
目前,內(nèi)部控制實踐已經(jīng)發(fā)展到與風險管理、公司治理等相融合的新時代。這迫切需要從理論的高度進行總結、提煉,構建全新的、系統(tǒng)的內(nèi)部控制理論結構(理論框架),用來指導日益發(fā)展了的內(nèi)部控制實踐。內(nèi)部控制理論是內(nèi)部控制實踐的基礎,對指導內(nèi)部控制實踐具有重要的指導意義。然而,長期以來,內(nèi)部控制被誤認為僅僅是一種實用技術,或簡單地把政府監(jiān)管部門、行業(yè)協(xié)會發(fā)布的一些規(guī)范當成內(nèi)部控制理論,本末倒置,致使內(nèi)部控制理論研究遠遠滯后于內(nèi)部控制實踐,缺乏超前性、系統(tǒng)性、實用性,嚴重影響了內(nèi)部控制科學理論對內(nèi)部控制豐富實踐指導作用的發(fā)揮,已經(jīng)產(chǎn)生了越來越明顯的“瓶頸”效應,內(nèi)部控制理論缺失對內(nèi)部控制實踐的掣肘在很多方面已經(jīng)顯現(xiàn)出來了。一個最為突出的表現(xiàn)是,實踐中,內(nèi)部控制與風險管理已經(jīng)融合,但國外的權威機構既發(fā)布了內(nèi)部控制框架,又發(fā)布了風險管理框架,我國監(jiān)管部門既制定了全面風險管理指引,要求加強全面風險管理,設立風險管理相關部門,又制定了內(nèi)部控制規(guī)范及其配套指引,要求加強內(nèi)部控制建設,設立內(nèi)部控制部門,使得實踐中人們難以適從。還有內(nèi)部控制到底是什么,內(nèi)部控制邊界在哪里,內(nèi)部控制與風險管理、治理結構等的關系到底是什么,內(nèi)部控制到底控制什么,內(nèi)部控制如何構建與實施,內(nèi)部控制如何評價與審計,等等,一系列內(nèi)部控制理論和實踐的基本問題都需要做出科學、系統(tǒng)、全面地回答。為此,中天恒3C框架課題組總結10年來內(nèi)部控制與風險管理研究與實踐的成果,于2012年又推出了 “中天恒3C框架基于風險管理的內(nèi)部控制研究報告”,在內(nèi)部控制理論與實務領域進行了廣泛的探索,對提升我國企事業(yè)單位內(nèi)部控制水平、彌補內(nèi)部控制理論不足、促進內(nèi)部控制建設真正落地等都具有重大的理論和現(xiàn)實意義。
二、研究成果
中天恒3C框架基于風險管理的內(nèi)部控制研究報告以基于風險管理的內(nèi)部控制為主題,主要研究成果包括3C基于風險管理的內(nèi)部控制理論結構、3C基于風險管理的內(nèi)部控制操作規(guī)程、3C基于風險管理的內(nèi)部控制實務指南三部分,基本涵蓋了內(nèi)部控制理論與實務的主要內(nèi)容。
(一)3C基于風險管理的內(nèi)部控制理論結構
這個理論結構,采用了以內(nèi)部控制假設為起點的邏輯思路,是由內(nèi)部控制假設、內(nèi)部控制定義、內(nèi)部控制作用、內(nèi)部控制目標、內(nèi)部控制主體、內(nèi)部控制內(nèi)容、內(nèi)部控制分類、內(nèi)部控制原則、內(nèi)部控制流程、內(nèi)部控制方法、內(nèi)部控制方式、內(nèi)部控制融合等為要素組成的有機整體。
這個理論結構,內(nèi)在結構分為八個層次:內(nèi)部控制假設是邏輯起點,是第一層次;內(nèi)部控制定義界定了內(nèi)控是什么,是第二層次;內(nèi)部控制作用明確了為什么要內(nèi)控,是第三層次;內(nèi)部控制目標承諾了內(nèi)控想要什么,是第四層次;內(nèi)部控制主體交待了誰來干內(nèi)控,是第五層次;內(nèi)部控制內(nèi)容、內(nèi)部控制分類是從不同層面界定了內(nèi)控干什么,是第六層次;內(nèi)部控制原則、內(nèi)部控制流程、內(nèi)部控制方法、內(nèi)部控制方式是從總體上闡述了如何干內(nèi)控,是第七層次;內(nèi)部控制融合指出了內(nèi)部控制與風險管理、治理結構相融合是發(fā)展局勢,指明了內(nèi)部控制的發(fā)展方向,是第八層次。
這個理論結構,是一個相互關聯(lián)的有機整體,組成要素之間既是相互聯(lián)系的,也是有主次的。內(nèi)部控制定義、內(nèi)部控制目標、內(nèi)部控制內(nèi)容、內(nèi)部控制流程、內(nèi)部控制方法是內(nèi)部控制理論結構(理論框架)的基本要素,也是內(nèi)部控制實踐中急需理論上回答的現(xiàn)實問題。當然,內(nèi)部控制假設、內(nèi)部控制作用、內(nèi)部控制原則等要素也是內(nèi)部控制理論結構(理論框架)的組成部分,只是理論界很重視,實務界不那么關注而已。
這個理論結構,是基于風險管理的內(nèi)部控制理論結構,就是要以風險管理為基礎,把風險管理自始至終融合在內(nèi)部控制理論結構(理論框架)之中,為基于風險管理的內(nèi)部控制實踐提供理論上的支持。
(二)3C基于風險管理的內(nèi)部控制操作規(guī)程
實踐中,內(nèi)部控制構建與實施過程是復雜多樣的,因主體和監(jiān)管要求的不同而不同。
這個操作規(guī)程,把復雜多樣的內(nèi)部控制過程簡單歸納為目標確定、風險識別、風險評估、風險應對、控制活動、內(nèi)部監(jiān)督等基本程序,從而構成內(nèi)部控制構建與實施的連續(xù)不斷的動態(tài)過程。
這個操作規(guī)程,界定了目標確定是一項復雜的管理工作,內(nèi)部控制是圍繞目標展開的;風險識別是對風險進行評估的前提,是實施有效內(nèi)部控制的重要步驟;風險評估是內(nèi)部控制構建和實施的一個關鍵流程;風險應對是構建和實施有效內(nèi)部控制的重要環(huán)節(jié);控制活動是風險應對策略的具體實施途徑,是構建和實施有效內(nèi)部控制的關鍵步驟;內(nèi)部監(jiān)督,是對內(nèi)部控制有效性進行監(jiān)督檢查的過程,是構建和實施有效內(nèi)部控制必不可少的反饋環(huán)節(jié)。
這個操作規(guī)程,明確了上述基本程序可以獨立出來,但實際工作中是各自相互聯(lián)系分不開的,且各個基本程序本身是一個動態(tài)的過程,因此,內(nèi)部控制操作流程并不意味著必須是僵化的、一成不變的。同時,上述基本程序是構建和實施內(nèi)部控制基本步驟,也是內(nèi)部控制評價和審計的基本內(nèi)容。
這個操作規(guī)程,吸收了國內(nèi)外權威內(nèi)部控制、風險管理研究成果中相當于操作流程類的要素,并盡可能與其相一致、相銜接果,對非操作類的要素,如控制環(huán)境(內(nèi)部環(huán)境)、信息與溝通等都進行了摒棄,貫徹了嚴密的目標——風險——控制的內(nèi)在邏輯關系,突出了對風險控制的內(nèi)容,理清了內(nèi)部控制構建與實施的基本過程,為基于風險管理的內(nèi)部控制構建與實施提供了明確的操作路徑。
(三)3C基于風險管理的內(nèi)部控制實務指南
這個實務指南,摒棄了把內(nèi)部控制實務重點放在基于五要素(八要素)的內(nèi)部控制體系上的權威做法,強調(diào)內(nèi)部控制實務范圍要涵蓋各個部門、各項業(yè)務,涉及到各個部門的各個崗位、每個員工以及各項業(yè)務的每個環(huán)節(jié),要加強重點流程與特殊業(yè)務的內(nèi)部控制,著力抓好資金、投資、采購、基建、銷售、產(chǎn)權管理、人力資源管理、質(zhì)量管理、安全生產(chǎn)等關鍵業(yè)務流程控制,加強境外資產(chǎn)、金融及其衍生業(yè)務、重大經(jīng)濟合同和節(jié)能減排等特殊業(yè)務的內(nèi)部控制建設,建立重大風險預警與應急機制,制訂和落實應急預案。
這個實務指南,明確了內(nèi)部控制實務到底有哪些,因主體的不同而不同,也因管理需要的不同而不同,不能模式化、固定化。
這個實務指南,明確了中國企業(yè)內(nèi)部控制實務范圍應以企業(yè)內(nèi)部控制配套指引為起點,特別要結合自身的情況確定內(nèi)部控制實務的范圍和重點,真正讓內(nèi)部控制成為扎根于企業(yè)的內(nèi)生機制,為促進企業(yè)戰(zhàn)略目標的實現(xiàn)。
這個實務指南,強調(diào)了內(nèi)部控制實務工作要與風險管理實務工作相融合,以減少不必要地重復勞動,提高工作效率。
三、主要創(chuàng)新
中天恒3C框架基于風險管理的內(nèi)部控制研究報告,兼容并蓄,博采眾長,充分吸收了國內(nèi)外內(nèi)部控制理論研究成果,系統(tǒng)總結了我國企事業(yè)單位豐富的內(nèi)部控制實踐經(jīng)驗,在大膽借鑒了國外先進理念的基礎上,充分考慮了中國企事業(yè)單位的實際情況,力求自主創(chuàng)新,既與國際權威框架相趨同,與國內(nèi)《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引相融合,又突出了自身特色。簡單來說,其特色可歸納為以下三個方面。
(一)搭建了基于風險管理的內(nèi)部控制理論結構
中天恒3C框架基于風險管理的內(nèi)部控制研究報告,首先搭建了基于風險管理的內(nèi)部控制理論結構,為內(nèi)部控制實踐提供理論上的支持。搭建基于風險管理的內(nèi)部控制理論結構本身就是一個具有挑戰(zhàn)性的創(chuàng)新命題,不敢說是填補了內(nèi)部控制理論的空白,但確實進行了一系列理論創(chuàng)新:
該研究報告探討了內(nèi)部控制基本假設,確立了內(nèi)部控制的三個基本假設,即內(nèi)部控制主體假設、內(nèi)部控制風險可控假設、內(nèi)部控制有效假設。
該研究報告提出了內(nèi)部控制定義集合的新思路,把內(nèi)部控制定義集合分為廣義內(nèi)部控制定義、不同類型主體內(nèi)部控制定義和同一主體不同視角內(nèi)部控制定義三個層次,重新定義了這三個層次的內(nèi)部控制概念,把內(nèi)部控制嚴格界定在控制風險的范疇內(nèi),即內(nèi)部控制僅是控制風險的過程,不是個大籮筐,不是無所不包的,不是什么都能控制的。
該研究報告界定了內(nèi)部控制本質(zhì)作為內(nèi)部控制所特有的一種屬性,應是針對風險的檢查、糾偏、調(diào)整和制約系統(tǒng),其核心是制約機制。
該研究報告重新定位了內(nèi)部控制目標,即通過防范風險來合理保證主體目標的實現(xiàn),將內(nèi)部控制目標體系分為總體控制目標和具體控制目標兩層次,并將總體目標界定為防范戰(zhàn)略風險,將具體目標分為防范資產(chǎn)風險、防范信息風險、防范遵循風險、防范經(jīng)營風險、防范管理風險、防范道德風險等。
該研究報告厘清了內(nèi)部控制范圍邊界及其實質(zhì)內(nèi)容,把內(nèi)部控制內(nèi)容界定為對風險的控制,并從便于控制風險的角度,把內(nèi)部控制內(nèi)容分為管理風險控制、業(yè)務風險控制、財務風險控制、遵循風險控制、其他風險控制等一級科目,強調(diào)內(nèi)部控制需要建立風險組合觀,把分散的風險整合起來進行控制管理。
該研究報告區(qū)分了內(nèi)部控制基本原則和一般原則,把基本原則確定為風險導向原則、制衡性原則、全面性原則,把一般原則確定為適應性原則、有效性原則、成本效益原則、獨立性原則等。
該研究報告劃分了內(nèi)部控制工作流程,即內(nèi)部控制設計、內(nèi)部控制執(zhí)行、內(nèi)部控制監(jiān)督三大階段,并把發(fā)雜多樣的內(nèi)部控制過程簡單歸納為目標確定、風險識別、風險評估、風險應對、控制活動、內(nèi)部監(jiān)督等基本程序,從而構成內(nèi)部控制構建與實施的連續(xù)不斷的動態(tài)過程。
總體來說,中天恒3C基于風險管理的內(nèi)部控制研究報告吸收了國外內(nèi)部控制理論研究成果與實踐經(jīng)驗,但沒有局限于表面化的比較或著全面的照搬,而是借鑒中有選擇,吸收中有創(chuàng)新,是趨同與創(chuàng)新并舉的。
該研究報告放棄了內(nèi)部控制要素這個內(nèi)容。不論的國外權威框架,還是國內(nèi)政府監(jiān)管部門頒布的規(guī)范,都把內(nèi)部控制要素作為一個重要內(nèi)容來論述的。但內(nèi)部控制要素到底是什么,由哪些元素構成,每個要素的具體內(nèi)容包括哪些,結構如何,理論上還沒有個統(tǒng)一的結論,在實踐中也是比較混亂的,且實用性不大,因此,經(jīng)反復研究最終還是放棄了內(nèi)部控制要素這個內(nèi)容。
該研究報告沒有引入“控制環(huán)境”(“內(nèi)部環(huán)境”)概念。不論是控制環(huán)境,還是內(nèi)部環(huán)境,都認為是內(nèi)部控制基礎,但對這個基礎到底包括哪些內(nèi)容,各類規(guī)范的解釋各不一樣,難有個統(tǒng)一的說法。內(nèi)部控制基礎到底包括哪些內(nèi)容,可以說,理論是基礎,人員是基礎,制度是基礎,技術是基礎,內(nèi)容應該是非常寬泛的,不是“控制環(huán)境”(“內(nèi)部環(huán)境”)這個概念能夠涵蓋的,倒不如就說內(nèi)控基礎更直接些。事實上,大多內(nèi)部控制規(guī)范界定的“控制環(huán)境”具體內(nèi)容,如治理結構、組織架構、人力資源政策、企業(yè)文化、內(nèi)部審計等,都是內(nèi)部控制中管理控制或業(yè)務控制的重要內(nèi)容,因此,取消“控制環(huán)境”(“內(nèi)部環(huán)境”)這個概念,把相關內(nèi)容統(tǒng)一到內(nèi)部控制實務層面一并討論,這至少顯得不重復。該研究報告將COSO內(nèi)部控制整合框架中“控制環(huán)境”要素和我國《企業(yè)內(nèi)部控制基本規(guī)范》“內(nèi)部環(huán)境”中的具體內(nèi)容全部融入了實務指南中了。
該研究報告沒有引入“信息與溝通”要素。信息在現(xiàn)代社會很重要,溝通無限,內(nèi)部控制構建與實施的全過程都涉及“信息與溝通”,不可能也沒有必要獨立出來,應該貫穿于內(nèi)部控制構建與實施的全過程。
該研究報告摒棄了把內(nèi)部控制實務重點放在基于五要素(八要素)的內(nèi)部控制體系上的權威做法。長期以來,人們把內(nèi)部控制實務的重點放在基于五要素(八要素)的內(nèi)部控制體系上,不論是內(nèi)部控制設計,內(nèi)部控制評價,還是內(nèi)部控制審計實務的重點均不如此。這或是內(nèi)部控制長期難以落地、難以發(fā)揮有效作用的重要原因。
該研究報告增加了內(nèi)部控制假設、內(nèi)部控制內(nèi)容、內(nèi)部控制原則、內(nèi)部控制流程、內(nèi)部控制方法、內(nèi)部控制方式、內(nèi)部控制融合等,突出了內(nèi)部控制實踐問題的理論研究。
(二)探討了內(nèi)部控制與風險管理融合之道
中天恒3C框架基于風險管理的內(nèi)部控制研究報告自始至終貫徹了內(nèi)部控制與風險管理融合的理念,探討了內(nèi)部控制與風險管理融合之道,主要體現(xiàn):
該研究報告把內(nèi)部控制風險可控假設作為內(nèi)部控制基本假設之一,為主體構建與實施內(nèi)部控制提供了一種邏輯上的支持,確定了內(nèi)部控制構建與實施的前提條件。
該研究報告把內(nèi)部控制定義為控制風險的過程,內(nèi)部控制本質(zhì)應是針對風險的檢查、糾偏、調(diào)整和制約系統(tǒng),其核心是制約機制。
該研究報告把內(nèi)部控制目標定位為通過防范風險來合理保證主體目標的實現(xiàn)。
該研究報告把內(nèi)部控制內(nèi)容界定為對風險的控制,這比較符合內(nèi)部控制本質(zhì)特征,能夠把內(nèi)部控制所有控制內(nèi)容都涵蓋進去,也比較簡單明了。
該研究報告把風險導向原則作為內(nèi)部控制基本原則之一,強調(diào)內(nèi)部控制應以預防和控制風險為出發(fā)點和歸宿,應當能夠?qū)χ黧w的各種風險進行有效的預防和控制。
該研究報告把目標確定、風險識別、風險評估界定為控制活動的前置環(huán)節(jié),突出了風險管理流程與內(nèi)部控制流程的融合。
該研究報告以政府監(jiān)管部門頒布的企業(yè)內(nèi)部控制配套指引的要求為起點,每一項內(nèi)部控制實務均按照關鍵概念定義、風險管理和內(nèi)部控制的結構安排,體現(xiàn)了內(nèi)部控制實務與風險管理實務相融合的理念。
(三)強調(diào)了內(nèi)部控制自身的流程化
內(nèi)部控制目的之一就是促使企事業(yè)單位的各項工作的流程化,其內(nèi)部控制自身的工作就更應流程化。為此:
該研究報告理論結構中詳細地研究了內(nèi)部控制流程,將內(nèi)部控制流程劃分為內(nèi)部控制設計、內(nèi)部控制執(zhí)行、內(nèi)部控制監(jiān)督三大階段。根據(jù)內(nèi)部控制實際操作需要,在上述三大階段的基礎需要設計出多層次具體的流程,每個具體流程中要明確工作內(nèi)容、方法、步驟以及相應的表單等。具體確定了3個一級流程,10個二級流程,65個三級流程,其中內(nèi)部控制設計總計24個三級流程(設計準備8個三級流程、設計實施13個三級流程、試行完善3個三級流程),內(nèi)部控制執(zhí)行總計20個三級流程(執(zhí)行基礎8個三級流程、執(zhí)行實施8個三級流程、執(zhí)行效果4個三級流程),內(nèi)部控制監(jiān)督總計21個三級流程(監(jiān)督準備5個三級流程、監(jiān)督實施6個三級流程、監(jiān)督報告6個三級流程、監(jiān)督改進4個三級流程)。
該研究報告操作規(guī)程把研究重點安排在內(nèi)部控制構建與實施的過程,突出了對內(nèi)部控制構建與實施過程中目標確定、風險識別、風險評估、風險應對、控制活動、內(nèi)部監(jiān)督等基本程序內(nèi)容、程序、方法的闡述,力求流程化,增強可操作性。
該研究報告實務指南更加關注對內(nèi)部控制構建與實施的指導性。為了最大限度適應國家監(jiān)管部門制定相關規(guī)范,避免規(guī)范之間不必要的沖突和矛盾,實務指南在力求自主創(chuàng)新的同時,更加強調(diào)力求保持與我國已經(jīng)頒布實施的《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引的相銜接,提供了20多份基于《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引的控制矩陣,以求對對內(nèi)部控制構建與實施起到一定的指導作用。
此外,該研究報告在結構形式具有以下幾個特點:一是結構邏輯關系簡單明了。該研究報告總體結構,從理論到操作,從操作再到實務,依次增進,相互銜接,邏輯關系簡單明了。該研究報告具體內(nèi)容上,把內(nèi)部控制定義集合分為廣義內(nèi)部控制定義、不同類型主體內(nèi)部控制定義和同一主體不同視角內(nèi)部控制定義三個層次;將內(nèi)部控制目標體系分為總體控制目標和具體控制目標兩層次;把內(nèi)部控制原則區(qū)分為基本原則和一般原則兩個層次;把內(nèi)部控制工作流程劃分為內(nèi)部控制設計、內(nèi)部控制執(zhí)行、內(nèi)部控制監(jiān)督三大階段,再在上述三大階段的基礎需要設計出多層次具體的流程等等。二是內(nèi)容力求全面系統(tǒng)。該研究報告既有理論結構,又有操作規(guī)程,還有實務指南,內(nèi)容全面系統(tǒng)。三是理論與應用并重。理論源于對實踐的總結,實踐需要科學的理論指導。該研究報告融理論與實踐,寓實踐于理論,體現(xiàn)了理論與實踐的融合。
中天恒3C框架基于風險管理的內(nèi)部控制研究報告在內(nèi)部控制前沿的探索,雖力求做到自主創(chuàng)新、科學系統(tǒng)、簡單實用、具有可操作性,但終究因我們的水平有限,僅是初步探索,懇請批評指正。
雖然我們認為內(nèi)部控制與風險管理必然要融合,內(nèi)部控制與治理結構也要融合,但基于內(nèi)部控制實踐現(xiàn)狀,內(nèi)部控制構建和實施重點還沒有轉移到融合上,實踐經(jīng)驗不足,還需要今后進行繼續(xù)探索。
中天恒3C框架內(nèi)部控制課題組
