论文部分内容阅读
2002年美国《萨班斯-奥克斯利法案》颁布后,各国相继出台关于内部控制的法律法规与规范文件。近年来,中国日益重视企业的内部控制体系建设与风险管理能力的提升,各监管机构纷纷出台相应的规范文件督促上市公司、中央企业、银行、保险机构等建立健全内部控制体系;其中,财政部、证监会、审计署、银监会和保监会五部委联合颁发的《企业内部控制基本规范》和《企业内部控制配套指引》是中国内部控制体系建设的里程碑。
虽然很多企业都表示,建立内部控制体系的外在动因是为了满足外部监管要求,内在动因是为了提升企业自身的整体管理水平和风险管理能力。然而在实务操作的过程中,有些企业抱着“侥幸”和“应试”的心理,对内部控制体系存在种种误解。企业梳理内部控制体系的目的究竟是什么,是否仅为“应试”、满足监管机构的合规要求,还是真正应当更加关注自身能力的提升和管理水平的整体提升?企业的高级管理层应该如何定位内部控制体系,如何定位、规划、开展关键工作,避免内控体系的“两张皮”现象?
如何判断内控体系有效性——
重大缺陷“零容忍”
中国的上市公司在《企业内部控制基本规范》颁布之前,已有部分公司依据上交所与深交所的内部控制指引公开披露内部控制评价报告,但那时并未明确要求上市公司对自身内部控制体系的有效性下结论,多数上市公司的有效性结论是模棱两可的,例如有些企业披露内部控制有效性结论为“制度健全,执行基本有效”。然而,在2010年“企业内部控制指引”颁布之日起,要求上市公司在披露内部控制评价报告时,必须对自身内部控制体系出具有效还是无效的明确结论,不再存在模糊的所谓“基本有效”的灰色地带。
那么,内部控制体系有效性的判断标准是什么呢?从正向的维度而言,是企业内部控制体系的建立合理保证了企业目标的实现;而从负向的维度而言,是企业是否存在内部控制重大缺陷。这说明上市公司只要存在一个内部控制重大缺陷,就表示该公司的内部控制体系是失效的。也就是说,内部控制体系的有效性对重大缺陷是“零容忍”的,例如企业仅存在1个重大缺陷,与企业存在100个重大缺陷,其内部控制体系的有效性结论都是无效的。而这一个重大缺陷可能出现在企业的集团本部、子公司、子公司的某个部门、甚至某个部门的某个岗位上,这种“零容忍”的判断标准对公司的管理提出了巨大的挑战。公司需要确保所有的业务活动、流程等控制都是有效的,不存在重大缺陷,才能在内部控制评价报告中出具有效的结论。
2011年,在沪深交易所2340家上市公司中,1844家上市公司披露了内部控制评价报告,占比78.80%,496家上市公司未披露内部控制评价报告,占比21.20%。在1844家披露了内部控制评价报告的上市公司中,1841家认为自身的内部控制体系是有效的,不存在重大缺陷,占总样本量的99.84%;1家上市公司未出具结论,占样本量的0.05%;仅2家上市公司认为自身的内部控制体系未得到有效实施,占样本量的0.11%。从整体统计的结果来看,中国上市公司的整体管理水平似乎是极高的。
鉴于内部控制有效性是个时间点的概念,也就是说上市公司披露的内部控制有效性结论是针对2011年12月31日那一天的,而非某个时间段的概念,因此为了在年末“达标”,企业往往尽早开展内控梳理工作,尽早开展整改工作。在整个年度的内控建设和梳理过程中,企业往往会发现许多内部控制缺陷,甚至重大缺陷。这在衡量上市公司内部控制水平的“迪博?中国上市公司内部控制指数”上得到印证,该指数发现,上市公司的内部控制水平是呈正态分布的(见图1),这表明中国上市公司内部控制“极好”和“极差”的企业都是较少的,绝大部分企业处于中间地带。而处于中间地带的这些企业,其内部控制水平和整体管理水平并没有达到非常优秀,并不排除某些业务活动或流程中存在内部控制重大缺陷的可能性。
那么,企业究竟在哪些环节经常会出现内部控制的重大缺陷呢?
归纳总结美国上市公司披露的财务报告内控实质性漏洞、中国上市公司披露的内部控制评价报告和内部控制审计报告,整合迪博多年在内部控制与风险管理领域的经验,我们发现,首当其冲的是人员的胜任能力问题。与“人”相关的问题,似乎一直困扰着中国的企业,上到公司董事会及其下属委员会成员、公司高级管理层的胜任能力,下到管理中层、关键管理岗位的人才缺乏,公司整体的人力资源机制优化问题,保留人才问题,合理的组织架构和岗位设计问题,人员能力与岗位需求匹配度的问题等等。由于企业各个管理岗位的能力需求模型是不同的,例如某些岗位需要很强的某项专业知识,某些岗位需要很强的沟通能力,某些岗位需要人很仔细,应当有不同能力特点的人才与之匹配,这就是所谓的人员胜任能力。不过企业往往抱怨,“培训不足,人员数量或能力有待完善和提升”等等。
第二大问题集中在会计处理事项、财务报告及审计调整和内部控制程序相关的领域中。由于财务部门是企业信息流的终点,往往是问题集中爆发的部门。然而,很多在财务部爆发的管理问题,以及由外部审计师发现的管理缺陷和审计调整,究其原因,并不是由财务部门本身的管理不足造成的,很多情况下是由于整个信息流、实物流和资金流,在流经其他管理部门和管理领域的过程中发生或逐步积累,最终导致问题在财务部集中爆发。
此外,内部监督机制和IT信息系统也是缺陷高发的领域,例如内部审计的独立性问题,针对内部控制有效性的内部审计缺失问题,信息系统一般控制失效问题,信息系统应用控制缺陷问题等。
除了上述内控缺陷高发的管理领域之外,如何判断内部控制体系的有效或无效呢?
有人认为,内控就是一套强有力的政策和程序。不少企业会很骄傲地向外界宣称,他们有很厚的一套制度,装订精美,内容翔实,而且参照了行业的最佳实践。然而实际上,这些制度往往缺少时效性的规定,缺少罚则的界定,将规则性的条款与程序性的条款混为一谈,某些具体控制活动的描述含糊不清等。深究之下又会发现,制度与制度之间的衔接关系很难厘清,各业务部门往往站在自己的立场来制定制度,至于本部门制度与别的部门制度之间的关系是否存在重叠,是否存在管理空白,不得而知。在有些企业中,制度并不是用以指导日常经营活动的开展,各个岗位在日常工作过程中并不会去仔细阅读制度参照执行,完成“领导交办”的任务往往总是最优先的,在这种“人治”的文化影响下,制度的真正作用会非常有限。甚至有企业觉得“等出了问题再去查制度”,制度变成了推脱责任的利器。 有人认为,内部控制就是内部审计等牵头部门的任务和责任,与我没有直接关系。有些企业在开展内部控制体系建设和梳理的初始,就没能在公司自上而下地认识到,内部控制体系的意义是什么。如果仅仅定位于“应试”,似乎就是个合规的事情。实践发现,起初这样定位内部控制体系的企业,往往最终实施的效果不尽如人意,工作成果与实际情况脱离,甚至形成“两张皮”的结果。
有人认为,内部控制体系就是对过去事情的检查,或者是一张“你不应该做什么”的清单。有些企业往往以为,自己的管理一向不错,过去没有发生过什么重大的损失事件,公司在行业内的声誉一直以来也都很好,因此内部控制体系就是好的。更多的企业则愿意关注如何把企业做大做强,更关注企业的销量、产量,在行业内的排名,甚至在世界上的排名,而当面对可能存在的风险和管理漏洞时,管理层所持的态度往往是,现在这样的管理方式并没有带来曾经实际发生的坏的结果,因此“我们不需要改变”。然而,以充满荣耀的过去来推断充满不确定性、充满变化甚至危机的未来,藉此衡量企业经营管理水平,是否明智呢?企业管理中,我们的容忍度究竟是什么,是不是只要“没坏的事情发生”,就能容忍各种管理缺陷的存在呢?
有人认为,内部控制体系会占用核心业务人员的时间,并且多年的管理为企业积累、沉淀下了诸多管理体系,例如质量管理体系、精益管理体系、绩效管理体系等。为什么还要如此强调一个内部控制体系呢?关键岗位的管理人员也会产生相应的困惑,我究竟应该遵从哪个管理体系?是原来的管理体系还是内控体系,它们之间的关系又是什么?这个普遍存在的现象表明,企业并没有能很好地认识到,内部控制体系的实质,就是“整合”并不断优化。
还有人认为,信息系统就代表了良好的内部控制体系。有些企业觉得,自己上了完整的ERP信息系统,有着规范和良好的信息化管理流程。但他们还没有意识到,信息系统好比是一个“碗”,系统中跑的实际业务,就是碗中盛的“菜”,这道菜是否色香味俱全,容器是否合适,是否能符合烹饪这道菜的需求,是个重要的因素,但绝对不是关键因素。可见,实际业务操作的信息流、实物流、资金流如何才能更加高效,如何才能在每个环节更有效地防范和控制风险,并不取决于信息系统本身的优劣,而在于如何在每个环节有效地设计控制活动,并进而固化于信息系统之中,信息系统只是一个载体。在各业务流程尚未梳理清晰、在各业务流程中的风险未能完全有效识别并分析的前提下,匆匆忙忙上马信息系统,可能带来的结果就是信息系统的效率低下,升级成本不断上升。其结果是,部分企业甚至抱怨,上了ERP信息系统后,最“有用”的就是财务模块。
如何构建有效内控体系——
内部控制整合框架
如何构建真正有效的内部控制体系?这里不得不提及COSO内部控制整合框架。
1992年美国COSO委员会颁布了《内部控制——整合框架》。COSO建立此框架的初衷在于,在美国证券市场经过了一个世纪腥风血雨的洗礼,经历了各种 “血的教训”之后,希望将一个规范、对投资者负责的企业经营管理的各个要素,以模型的方式予以固化和沉淀,让更多的公司从中受益,让更多的投资者受益。这种经验的高度概括和沉淀,对中国企业的经营管理,一定有着很重要的意义。
COSO内部控制整合框架类似一个“魔方”(见图2),我们能看到的有三个“面”。居上的一个“面”是内部控制的三大类目标,包括经营类、财务报告类以及合规类目标。在COSO随后颁布的“全面风险管理——整合框架”中,企业的目标演变成了四大类,新增了“战略类”目标。这个框架包含了企业经营管理的所有目标。
框架中的正面是内部控制的五个构成要素,包括持续监控、信息及沟通、控制活动、风险评估和控制环境。很多企业对五要素并不陌生,但对其为何以此种顺序排列,则不知其所以然。
企业所有经营活动的基础是“控制环境”,你可以最简单、最通俗地把控制环境理解成一个地方的“风气”如何。一个企业的控制环境如果很好,就有理由相信,在经营管理的各个环节,大家的工作责任心很强,执行力也很强,各个控制活动是经过严格设计并且有效的;相反,如果一个企业的控制环境给人的感觉是管理松散、人治严重、随意性较强,那么有理由相信,在其各个管理领域中,可能存在重大管理缺陷的概率会相应地增大。
在企业管理中,这种“风气”通常被称为“文化”,那么,好的文化是如何形成的?文化不是公司的厂区和办公室墙上贴的标语,也不是领导讲话的内容,而是企业每个员工的意识。当每个人的意识逐步统一,每个人所表现出来的工作习惯逐步统一,每个人的价值观逐步统一,并形成特色的时候,企业的文化就自然形成了。这样一种文化形成的过程,需要公司自上而下的正直的经营理念、符合实际需要的高效的组织架构、合适的人力资源管理机制、良好的社会责任等,但是在控制环境的诸多内容中,最重要、最根本的,概括起来,就是“人”。因此,企业必须在明确自己的战略发展方向后,明确对于不同产业的管控方式,明确集团总部与子公司或下属单位之间的管理界面,并设计符合需求的组织架构;在此基础上,明确各关键岗位的能力需求模型,并在整个内控体系建设和流程梳理过程中,不断完善这些能力需求模型,进而开展针对关键岗位人员的能力评估,以判断能力短板,并制定有针对性的能力提升计划或人才补充计划。当然,这个过程也需要一个良好的人力资源管理机制作为支撑和辅助。
“人”和“文化”是各个管理要素的根本,对于企业的战略有着重大的影响。管理大师吉姆?柯林斯从财务指标、运营模式、企业愿景、经营战略、组织架构、技术支撑等维度,曾对11家明星企业进行剖析,总结出曾经辉煌的“大企业”走向衰败的五个阶段:目空一切、盲目扩张、漠视危机、药石乱投、随风而逝。
能够成为“大企业”,其历史一定充满了辉煌和荣耀。但在追求跻身世界500强的过程中,企业是否考虑过,世界500强其实是以经营规模而非管理能力作为参照。我们追求的究竟是短期内成为行业领头,还是100年后企业仍然活着。在企业的不断扩张过程中,吉姆?柯林斯发现,即使出现了一些潜在危机的信号,即使某些管理指标或财务指标开始恶化,“大企业”的管理层往往会选择漠视。当这些潜在的风险和危机信号真正演变成为损失事件时,企业开始频繁更换高级管理层,以期望有人能力挽狂澜,但结果往往不尽如人意。在前三个阶段,企业需要用风险管理的理念来控制发展不偏离轨道,倘若向第四阶段演变时,企业需要的可能就不再是“风险管理”,而是“危机管理”了,因为此时,风险不再是未来的不确定性,而是实实在在的损失事件了。 在众多中国上市公司、中央企业、大型国有企业中,不乏追求规模的不断扩张中,忽视或者漠视管理中存在的种种隐患的行为。而恰恰此时,是企业正视风险,开展全面风险管理,完善内部控制体系建设的最必要、最迫切的时机。一旦等到风险逐步累积、量变演化成质变后,大企业走向灭亡也并不是非常困难的事情。众多明星企业、百年企业一夜破产的真实案例,就是最好的证明。
第二个要素是“风险评估”。企业在开展内部控制体系建设的过程中,应当牢记一个基本的逻辑:目标—风险—控制。企业经营管理的任何活动都有目标,影响目标实现的不确定性称之为风险,我们需要用控制手段来防范和管理风险。根据COSO内控整合框架的定义,企业的目标可以分为三大类,或者以COSO全面风险管理整合框架的定义,目标可以分为四大类,那么相对应地,企业所面临的风险也可以分为四大类。企业每时每刻都面临着各种风险,例如内部有管理、人力资源、财务、自主创新和安全环保等方面的风险,外部有经济、法律、自然环境、法律、社会和行业技术等方面的风险。
对于单个风险的评估,我们可以从两个维度进行,包括风险发生的可能性,以及如果风险发生对企业的影响程度。应对风险,我们可以选择“风险规避”,也就是当评估的影响程度太大,可以放弃做这件事情,以完全规避风险。我们也可以选择“风险转移”,例如购买保险,或者引入合作伙伴共担风险。也可以选择“风险控制”,运用综合的管理手段,优化某些流程以及其中的控制活动,以降低风险发生的可能性,或者降低风险发生后的影响程度,使风险降低到能接受的水平,也就是风险容忍度以下。还有一种,当评估某个风险的可能性和影响程度都不大,本来就在可承受范围之内时,我们可以选择“风险承受”的管理方式;但风险承受并不代表不作为,需要定期评估并监督风险的变化,以及时调整管理手段。
也许有企业会问,当讨论某个单项目标时,就会有许多风险,每个风险都需要分别评估并讨论制定应对策略;那么企业的四大类目标自然可以分解成许多流程中的若干目标;而当分解到每个工作岗位时,目标就更多了。这样一来,企业所面临的风险岂不是繁杂而数量众多?确实如此,因此才需要把这些风险都“管理”起来。此间,我们需要分清哪些风险是头等重要的,也就是影响程度和可能性都很高的风险,这些风险往往并不能通过简单的一两个措施就解决,而需要企业某些管理机制的整体提升;也有些风险可能只需要某个流程中的某些控制活动进行优化,就能很好地进行管理。因此,风险评估的目的不仅是就风险谈风险,或者找到应对措施,更加重要的是,分析各重大风险的成因,梳理各风险之间的关系,以便能够厘清企业管理提升的整体思路,从而能够聚焦在那些特别需要投入资源的领域,能够聚焦在那些问题的根源上,进而进行企业管理能力提升的整体规划。这就是为什么有些企业各个业务部门分别牵头搞各种管理提升的专项,在改善管理的过程中,往往会走进死胡同,觉得力不能及。如果企业的管理提升缺乏整体的规划,部门牵头的管理提升专项只能是“盲人摸象”。
依照六字原则“目标—风险—控制”,我们自然就看到了COSO内控整合框架的第三个要素,“控制活动”。控制活动是公司建立执行的政策章程,以确保管理层的指示可以得到顺利贯彻执行。控制活动必须与风险评估构成一个整体,需要依据风险评估结果以及风险可承受度选择相应的控制措施。一般来说,控制措施可以分为不相容职务相互分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。实践中,企业各业务部门的领导经常会向下属“交办”一些事情,“交办”就是控制活动的设计过程。但是,当部门领导在“交办”时,是否考虑过这件事情能否由此岗位承担,是否存在职责不相容的问题,是否存在舞弊风险?交办执行的细节是否针对风险进行过考量,是否能够防范风险,如何考核其执行是否到位?这些考量,可称之为控制活动的设计有效性。因此,控制活动设计有效的主责就在于各个业务部门的负责人,他们应对各业务活动中存在的各种风险有清晰的认识和评估,并针对性设计有效的内部控制,交办给不同的岗位执行。同时,他们需要持续监督,以确保控制活动的执行有效。当这些控制活动都经过了悉心设计,显性化并固化下来时,各业务活动的流程也就逐步显性化并固化了。
实践中,有些企业在进行流程“显性化”甚至“优化”的过程中,对于流程的描述、控制活动的描述非常模糊,例如“相关部门相关人员不定期进行检查”。这样描述的条款是不具可操作性的,也无法确保落实到位,更无法进行监督检查和绩效考核。如果仔细研读诸多企业的制度和流程文档时,类似的问题还不在少数。因此,在描述任何控制活动时,都必须清楚地表述,哪个部门哪个岗位;以多少的频率,例如每天、每月、每季度等;控制的客体是什么,例如哪个报表,哪个单据;具体执行了哪些事情,例如复核了数据的准确性;怎么完成这些事情,例如追查到了原始合同以确保数据的准确性;留下了哪些痕迹,例如签字确认——也就是“5W1H”原则。只有依照这样的原则进行表述的控制活动、流程描述才是具有可操作性的,才是能够成为标准,用以指导具体工作,并作为监督检查的标尺。
企业固化的流程文档可以包括流程图、流程描述和风险控制矩阵,这些文档应当与企业的制度相辅相成。制度规定原则性的内容,例如能做什么,不能做什么;而流程文档规定的是做事的顺序,例如先做什么后做什么,谁来做,怎么做等。制度好比一颗颗珍珠,而流程就是线,串起来之后,你会发现这是串漂亮的珍珠项链。
无论在控制环境、风险评估还是控制活动过程中,都持续地需要信息与沟通,因此框架的第四个要素就是“信息与沟通”。信息与沟通是指及时准确收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。信息流的畅通对企业的重要性类似于人体的血液流通,人体气血不通将导致疾病发生,企业的信息流不通则会引起各种损失事件的发生。
在企业,常常会出现部门间“扯皮”、下级“越级汇报”、信息披露的不及时不完整等现象,这些都是信息和沟通不畅的表现。有时企业会针对这些情况进行探讨,寻求改进的方法,但往往随着探讨的深入,发现其背后的原因错综复杂,无从下手。怎么办?回到内控框架的起点“控制环境”,通过风险评估梳理关键问题在哪里,进而针对问题根源,或改善组织架构,或改善流程设计,或改善汇报机制,或改善考核机制等;直至将这些改善的内容进行固化,形成了固化的沟通机制——或以会议的方式存在,或以表单、报表的形式存在,或以信息化系统的方式存在等。可见,信息与沟通和其他的内控要素形成了相辅相成的关系,你中有我,我中有你,密不可分。 那么,如何能够确保这些显性化的、固化的流程和机制得到很好地执行?如何能够确保前述所有内容得到及时地评估和执行?这就需要“持续监督”,这是内控体系必不可少的环节。为什么持续监督会置于内控框架的最上层,持续监督的对象究竟是什么?通常,监督可称之为“控制之上的控制”,也就是说,监督本身也是内控体系的组成部分;持续监督的对象,就是内控框架的其他四个要素。监督的主体是谁?企业的各业务部门负责人在日常经营管理过程中,监督着所负责流程的设计和执行有效性;企业的内部审计部门,独立于所有经营管理层,监督着整个内控体系的有效运行,并独立汇报给董事会下属的审计委员会。因此,持续监督可以分为两个方面:即管理层的日常监督;内部审计的独立监督。试想,如果企业各业务部门并不认为内控的监督职责是自己应该履行的责任,而企业的内部审计并不独立于经营管理层,甚至并不开展针对内部控制有效性的监督工作,导致整个内控框架中监督要素缺失,我们如何能够给出内部控制体系“有效”的结论呢?
在理解了内控框架的正面五个要素后,我们会发现:有效的内控体系,并不是一套整层和程序这么简单,而是适于一个强有力的控制环境;内控也不仅仅是财务部门和内部审计部门的责任,是企业自上而下所有人都必须参与在其中的,是涉及经营管理方方面面的内容;内控也不是针对过去事情的检查,而是针对风险而不断优化的管理提升整体方案,关注的是未来的不确定性;内控更加不是一套信息系统,信息系统只是业务的载体,也是内控的一个组成部分。
在内部控制整合框架中,第三个“面”不得不提,就是内部控制所针对的主体的单元或活动。也就是说,内部控制体系可以适用于不同大小的单元,不同的业务活动。试想一下,每个部门都有自己特有的控制环境,有自己面临的特殊风险,有针对这些风险而设计的控制活动,有自己的沟通方式,也有部门负责人的日常持续监督;每个业务活动,例如采购,也同样如此。因此,我们可以将内控框架模型想象成无数个单元,或业务活动内控框架的叠加,这就形成了一个企业的内控框架。
同样的,对这个内部控制整合框架“魔方”,如果横向能够进行拆分和叠加,纵向是否也可以呢?试想一下,当我们在经营类目标中,定义出一个子目标,并称之为“质量”时,我们发现,针对质量目标,有与质量相关的控制环境,与质量相关的风险评估体系,与质量相关的业务流程和控制活动,与质量相关的信息与沟通方式,还有与质量相关的监督体系,同时分布在各个业务单元和业务活动之中。有的企业也许会说,这不就是质量管理体系么?确实如此。于是,当这些子目标整合在一起,并且归纳为三大类或者四大类目标时,内控框架从另一个维度整合了。
回过头来再看COSO给出的内部控制框架的名称:内部控制——整合框架,其中的“整合”之意,越发值得体味。可见,内控体系并不是一个独立的新的体系,而是一个以风险为导向的,全员参与的,以企业整体管理提升为目的的,不断优化的过程体系。这个体系需要企业自上而下地建设和开展具体工作,需要有全局的考虑和长远的规划,需要企业作为一个整体,有效地应对风险,并持续优化,自我运行,自我完善。
中国的《企业内部控制基本规范》就借鉴了COSO《内部控制——整合框架》(见图3)的形式,但在内容上却体现了2004年COSO《企业风险管理——整合框架》的特征,并融入了中国的基本国情。
谁是内控实施的关键成功因素——
最高领导层的整体思路
内部控制是通过与企业的管理体系有机整合发挥其作用的,如何确保内控实施能够成功?关键因素在于企业最高领导层实施内部控制的整体思路与对内部控制体系的正确定位。
我们不妨将内部控制体系以另外一种方式表述(见图4):最高领导层在明确企业战略后,依据战略设置相应的管控模式,确定企业的组织架构,进而设计合理人力资源管理机制,确立相应的业务流程,在整体的IT规划之下,逐步实现流程的信息化。遵循“目标—风险—控制”的核心思想,我们需要寻找的是,在图4这个简化的模型中,企业的风险会落在哪个层面?哪个层面的风险才是问题的根源?是否存在要素的明显缺失?整体提升的切入点在哪里?未来的工作重点又在哪里?该如何改进设计?该如何提升执行力?回答这些问题的过程,也就是内部控制体系建立和完善的过程。
何谓内部控制最高境界——
从心所欲,不逾矩
每个企业都有着自己独特的内部控制体系,但管理的水平却可能参差不齐。《道德经》有云:“太上,不知有之;其次,亲而誉之;其次,畏之;其次,侮之。”表明了一个皇帝管理国家的不同境界,同样,这句话可以用来说明企业内部控制水平的从高到低四个不同境界:浑然不觉的境界、道德感召的境界、法律规范的境界、人治天下的境界。
我们需要的是将企业的内部控制体系逐步从人治走向法治,以法治的手段,逐步沉淀为文化,目标是无为而治。那样的境界,用孔子的一句话概括,就是“从心所欲,不逾矩”。
(作者系迪博企业风险管理技术有限公司副总裁)
虽然很多企业都表示,建立内部控制体系的外在动因是为了满足外部监管要求,内在动因是为了提升企业自身的整体管理水平和风险管理能力。然而在实务操作的过程中,有些企业抱着“侥幸”和“应试”的心理,对内部控制体系存在种种误解。企业梳理内部控制体系的目的究竟是什么,是否仅为“应试”、满足监管机构的合规要求,还是真正应当更加关注自身能力的提升和管理水平的整体提升?企业的高级管理层应该如何定位内部控制体系,如何定位、规划、开展关键工作,避免内控体系的“两张皮”现象?
如何判断内控体系有效性——
重大缺陷“零容忍”
中国的上市公司在《企业内部控制基本规范》颁布之前,已有部分公司依据上交所与深交所的内部控制指引公开披露内部控制评价报告,但那时并未明确要求上市公司对自身内部控制体系的有效性下结论,多数上市公司的有效性结论是模棱两可的,例如有些企业披露内部控制有效性结论为“制度健全,执行基本有效”。然而,在2010年“企业内部控制指引”颁布之日起,要求上市公司在披露内部控制评价报告时,必须对自身内部控制体系出具有效还是无效的明确结论,不再存在模糊的所谓“基本有效”的灰色地带。
那么,内部控制体系有效性的判断标准是什么呢?从正向的维度而言,是企业内部控制体系的建立合理保证了企业目标的实现;而从负向的维度而言,是企业是否存在内部控制重大缺陷。这说明上市公司只要存在一个内部控制重大缺陷,就表示该公司的内部控制体系是失效的。也就是说,内部控制体系的有效性对重大缺陷是“零容忍”的,例如企业仅存在1个重大缺陷,与企业存在100个重大缺陷,其内部控制体系的有效性结论都是无效的。而这一个重大缺陷可能出现在企业的集团本部、子公司、子公司的某个部门、甚至某个部门的某个岗位上,这种“零容忍”的判断标准对公司的管理提出了巨大的挑战。公司需要确保所有的业务活动、流程等控制都是有效的,不存在重大缺陷,才能在内部控制评价报告中出具有效的结论。
2011年,在沪深交易所2340家上市公司中,1844家上市公司披露了内部控制评价报告,占比78.80%,496家上市公司未披露内部控制评价报告,占比21.20%。在1844家披露了内部控制评价报告的上市公司中,1841家认为自身的内部控制体系是有效的,不存在重大缺陷,占总样本量的99.84%;1家上市公司未出具结论,占样本量的0.05%;仅2家上市公司认为自身的内部控制体系未得到有效实施,占样本量的0.11%。从整体统计的结果来看,中国上市公司的整体管理水平似乎是极高的。
鉴于内部控制有效性是个时间点的概念,也就是说上市公司披露的内部控制有效性结论是针对2011年12月31日那一天的,而非某个时间段的概念,因此为了在年末“达标”,企业往往尽早开展内控梳理工作,尽早开展整改工作。在整个年度的内控建设和梳理过程中,企业往往会发现许多内部控制缺陷,甚至重大缺陷。这在衡量上市公司内部控制水平的“迪博?中国上市公司内部控制指数”上得到印证,该指数发现,上市公司的内部控制水平是呈正态分布的(见图1),这表明中国上市公司内部控制“极好”和“极差”的企业都是较少的,绝大部分企业处于中间地带。而处于中间地带的这些企业,其内部控制水平和整体管理水平并没有达到非常优秀,并不排除某些业务活动或流程中存在内部控制重大缺陷的可能性。
那么,企业究竟在哪些环节经常会出现内部控制的重大缺陷呢?
归纳总结美国上市公司披露的财务报告内控实质性漏洞、中国上市公司披露的内部控制评价报告和内部控制审计报告,整合迪博多年在内部控制与风险管理领域的经验,我们发现,首当其冲的是人员的胜任能力问题。与“人”相关的问题,似乎一直困扰着中国的企业,上到公司董事会及其下属委员会成员、公司高级管理层的胜任能力,下到管理中层、关键管理岗位的人才缺乏,公司整体的人力资源机制优化问题,保留人才问题,合理的组织架构和岗位设计问题,人员能力与岗位需求匹配度的问题等等。由于企业各个管理岗位的能力需求模型是不同的,例如某些岗位需要很强的某项专业知识,某些岗位需要很强的沟通能力,某些岗位需要人很仔细,应当有不同能力特点的人才与之匹配,这就是所谓的人员胜任能力。不过企业往往抱怨,“培训不足,人员数量或能力有待完善和提升”等等。
第二大问题集中在会计处理事项、财务报告及审计调整和内部控制程序相关的领域中。由于财务部门是企业信息流的终点,往往是问题集中爆发的部门。然而,很多在财务部爆发的管理问题,以及由外部审计师发现的管理缺陷和审计调整,究其原因,并不是由财务部门本身的管理不足造成的,很多情况下是由于整个信息流、实物流和资金流,在流经其他管理部门和管理领域的过程中发生或逐步积累,最终导致问题在财务部集中爆发。
此外,内部监督机制和IT信息系统也是缺陷高发的领域,例如内部审计的独立性问题,针对内部控制有效性的内部审计缺失问题,信息系统一般控制失效问题,信息系统应用控制缺陷问题等。
除了上述内控缺陷高发的管理领域之外,如何判断内部控制体系的有效或无效呢?
有人认为,内控就是一套强有力的政策和程序。不少企业会很骄傲地向外界宣称,他们有很厚的一套制度,装订精美,内容翔实,而且参照了行业的最佳实践。然而实际上,这些制度往往缺少时效性的规定,缺少罚则的界定,将规则性的条款与程序性的条款混为一谈,某些具体控制活动的描述含糊不清等。深究之下又会发现,制度与制度之间的衔接关系很难厘清,各业务部门往往站在自己的立场来制定制度,至于本部门制度与别的部门制度之间的关系是否存在重叠,是否存在管理空白,不得而知。在有些企业中,制度并不是用以指导日常经营活动的开展,各个岗位在日常工作过程中并不会去仔细阅读制度参照执行,完成“领导交办”的任务往往总是最优先的,在这种“人治”的文化影响下,制度的真正作用会非常有限。甚至有企业觉得“等出了问题再去查制度”,制度变成了推脱责任的利器。 有人认为,内部控制就是内部审计等牵头部门的任务和责任,与我没有直接关系。有些企业在开展内部控制体系建设和梳理的初始,就没能在公司自上而下地认识到,内部控制体系的意义是什么。如果仅仅定位于“应试”,似乎就是个合规的事情。实践发现,起初这样定位内部控制体系的企业,往往最终实施的效果不尽如人意,工作成果与实际情况脱离,甚至形成“两张皮”的结果。
有人认为,内部控制体系就是对过去事情的检查,或者是一张“你不应该做什么”的清单。有些企业往往以为,自己的管理一向不错,过去没有发生过什么重大的损失事件,公司在行业内的声誉一直以来也都很好,因此内部控制体系就是好的。更多的企业则愿意关注如何把企业做大做强,更关注企业的销量、产量,在行业内的排名,甚至在世界上的排名,而当面对可能存在的风险和管理漏洞时,管理层所持的态度往往是,现在这样的管理方式并没有带来曾经实际发生的坏的结果,因此“我们不需要改变”。然而,以充满荣耀的过去来推断充满不确定性、充满变化甚至危机的未来,藉此衡量企业经营管理水平,是否明智呢?企业管理中,我们的容忍度究竟是什么,是不是只要“没坏的事情发生”,就能容忍各种管理缺陷的存在呢?
有人认为,内部控制体系会占用核心业务人员的时间,并且多年的管理为企业积累、沉淀下了诸多管理体系,例如质量管理体系、精益管理体系、绩效管理体系等。为什么还要如此强调一个内部控制体系呢?关键岗位的管理人员也会产生相应的困惑,我究竟应该遵从哪个管理体系?是原来的管理体系还是内控体系,它们之间的关系又是什么?这个普遍存在的现象表明,企业并没有能很好地认识到,内部控制体系的实质,就是“整合”并不断优化。
还有人认为,信息系统就代表了良好的内部控制体系。有些企业觉得,自己上了完整的ERP信息系统,有着规范和良好的信息化管理流程。但他们还没有意识到,信息系统好比是一个“碗”,系统中跑的实际业务,就是碗中盛的“菜”,这道菜是否色香味俱全,容器是否合适,是否能符合烹饪这道菜的需求,是个重要的因素,但绝对不是关键因素。可见,实际业务操作的信息流、实物流、资金流如何才能更加高效,如何才能在每个环节更有效地防范和控制风险,并不取决于信息系统本身的优劣,而在于如何在每个环节有效地设计控制活动,并进而固化于信息系统之中,信息系统只是一个载体。在各业务流程尚未梳理清晰、在各业务流程中的风险未能完全有效识别并分析的前提下,匆匆忙忙上马信息系统,可能带来的结果就是信息系统的效率低下,升级成本不断上升。其结果是,部分企业甚至抱怨,上了ERP信息系统后,最“有用”的就是财务模块。
如何构建有效内控体系——
内部控制整合框架
如何构建真正有效的内部控制体系?这里不得不提及COSO内部控制整合框架。
1992年美国COSO委员会颁布了《内部控制——整合框架》。COSO建立此框架的初衷在于,在美国证券市场经过了一个世纪腥风血雨的洗礼,经历了各种 “血的教训”之后,希望将一个规范、对投资者负责的企业经营管理的各个要素,以模型的方式予以固化和沉淀,让更多的公司从中受益,让更多的投资者受益。这种经验的高度概括和沉淀,对中国企业的经营管理,一定有着很重要的意义。
COSO内部控制整合框架类似一个“魔方”(见图2),我们能看到的有三个“面”。居上的一个“面”是内部控制的三大类目标,包括经营类、财务报告类以及合规类目标。在COSO随后颁布的“全面风险管理——整合框架”中,企业的目标演变成了四大类,新增了“战略类”目标。这个框架包含了企业经营管理的所有目标。
框架中的正面是内部控制的五个构成要素,包括持续监控、信息及沟通、控制活动、风险评估和控制环境。很多企业对五要素并不陌生,但对其为何以此种顺序排列,则不知其所以然。
企业所有经营活动的基础是“控制环境”,你可以最简单、最通俗地把控制环境理解成一个地方的“风气”如何。一个企业的控制环境如果很好,就有理由相信,在经营管理的各个环节,大家的工作责任心很强,执行力也很强,各个控制活动是经过严格设计并且有效的;相反,如果一个企业的控制环境给人的感觉是管理松散、人治严重、随意性较强,那么有理由相信,在其各个管理领域中,可能存在重大管理缺陷的概率会相应地增大。
在企业管理中,这种“风气”通常被称为“文化”,那么,好的文化是如何形成的?文化不是公司的厂区和办公室墙上贴的标语,也不是领导讲话的内容,而是企业每个员工的意识。当每个人的意识逐步统一,每个人所表现出来的工作习惯逐步统一,每个人的价值观逐步统一,并形成特色的时候,企业的文化就自然形成了。这样一种文化形成的过程,需要公司自上而下的正直的经营理念、符合实际需要的高效的组织架构、合适的人力资源管理机制、良好的社会责任等,但是在控制环境的诸多内容中,最重要、最根本的,概括起来,就是“人”。因此,企业必须在明确自己的战略发展方向后,明确对于不同产业的管控方式,明确集团总部与子公司或下属单位之间的管理界面,并设计符合需求的组织架构;在此基础上,明确各关键岗位的能力需求模型,并在整个内控体系建设和流程梳理过程中,不断完善这些能力需求模型,进而开展针对关键岗位人员的能力评估,以判断能力短板,并制定有针对性的能力提升计划或人才补充计划。当然,这个过程也需要一个良好的人力资源管理机制作为支撑和辅助。
“人”和“文化”是各个管理要素的根本,对于企业的战略有着重大的影响。管理大师吉姆?柯林斯从财务指标、运营模式、企业愿景、经营战略、组织架构、技术支撑等维度,曾对11家明星企业进行剖析,总结出曾经辉煌的“大企业”走向衰败的五个阶段:目空一切、盲目扩张、漠视危机、药石乱投、随风而逝。
能够成为“大企业”,其历史一定充满了辉煌和荣耀。但在追求跻身世界500强的过程中,企业是否考虑过,世界500强其实是以经营规模而非管理能力作为参照。我们追求的究竟是短期内成为行业领头,还是100年后企业仍然活着。在企业的不断扩张过程中,吉姆?柯林斯发现,即使出现了一些潜在危机的信号,即使某些管理指标或财务指标开始恶化,“大企业”的管理层往往会选择漠视。当这些潜在的风险和危机信号真正演变成为损失事件时,企业开始频繁更换高级管理层,以期望有人能力挽狂澜,但结果往往不尽如人意。在前三个阶段,企业需要用风险管理的理念来控制发展不偏离轨道,倘若向第四阶段演变时,企业需要的可能就不再是“风险管理”,而是“危机管理”了,因为此时,风险不再是未来的不确定性,而是实实在在的损失事件了。 在众多中国上市公司、中央企业、大型国有企业中,不乏追求规模的不断扩张中,忽视或者漠视管理中存在的种种隐患的行为。而恰恰此时,是企业正视风险,开展全面风险管理,完善内部控制体系建设的最必要、最迫切的时机。一旦等到风险逐步累积、量变演化成质变后,大企业走向灭亡也并不是非常困难的事情。众多明星企业、百年企业一夜破产的真实案例,就是最好的证明。
第二个要素是“风险评估”。企业在开展内部控制体系建设的过程中,应当牢记一个基本的逻辑:目标—风险—控制。企业经营管理的任何活动都有目标,影响目标实现的不确定性称之为风险,我们需要用控制手段来防范和管理风险。根据COSO内控整合框架的定义,企业的目标可以分为三大类,或者以COSO全面风险管理整合框架的定义,目标可以分为四大类,那么相对应地,企业所面临的风险也可以分为四大类。企业每时每刻都面临着各种风险,例如内部有管理、人力资源、财务、自主创新和安全环保等方面的风险,外部有经济、法律、自然环境、法律、社会和行业技术等方面的风险。
对于单个风险的评估,我们可以从两个维度进行,包括风险发生的可能性,以及如果风险发生对企业的影响程度。应对风险,我们可以选择“风险规避”,也就是当评估的影响程度太大,可以放弃做这件事情,以完全规避风险。我们也可以选择“风险转移”,例如购买保险,或者引入合作伙伴共担风险。也可以选择“风险控制”,运用综合的管理手段,优化某些流程以及其中的控制活动,以降低风险发生的可能性,或者降低风险发生后的影响程度,使风险降低到能接受的水平,也就是风险容忍度以下。还有一种,当评估某个风险的可能性和影响程度都不大,本来就在可承受范围之内时,我们可以选择“风险承受”的管理方式;但风险承受并不代表不作为,需要定期评估并监督风险的变化,以及时调整管理手段。
也许有企业会问,当讨论某个单项目标时,就会有许多风险,每个风险都需要分别评估并讨论制定应对策略;那么企业的四大类目标自然可以分解成许多流程中的若干目标;而当分解到每个工作岗位时,目标就更多了。这样一来,企业所面临的风险岂不是繁杂而数量众多?确实如此,因此才需要把这些风险都“管理”起来。此间,我们需要分清哪些风险是头等重要的,也就是影响程度和可能性都很高的风险,这些风险往往并不能通过简单的一两个措施就解决,而需要企业某些管理机制的整体提升;也有些风险可能只需要某个流程中的某些控制活动进行优化,就能很好地进行管理。因此,风险评估的目的不仅是就风险谈风险,或者找到应对措施,更加重要的是,分析各重大风险的成因,梳理各风险之间的关系,以便能够厘清企业管理提升的整体思路,从而能够聚焦在那些特别需要投入资源的领域,能够聚焦在那些问题的根源上,进而进行企业管理能力提升的整体规划。这就是为什么有些企业各个业务部门分别牵头搞各种管理提升的专项,在改善管理的过程中,往往会走进死胡同,觉得力不能及。如果企业的管理提升缺乏整体的规划,部门牵头的管理提升专项只能是“盲人摸象”。
依照六字原则“目标—风险—控制”,我们自然就看到了COSO内控整合框架的第三个要素,“控制活动”。控制活动是公司建立执行的政策章程,以确保管理层的指示可以得到顺利贯彻执行。控制活动必须与风险评估构成一个整体,需要依据风险评估结果以及风险可承受度选择相应的控制措施。一般来说,控制措施可以分为不相容职务相互分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。实践中,企业各业务部门的领导经常会向下属“交办”一些事情,“交办”就是控制活动的设计过程。但是,当部门领导在“交办”时,是否考虑过这件事情能否由此岗位承担,是否存在职责不相容的问题,是否存在舞弊风险?交办执行的细节是否针对风险进行过考量,是否能够防范风险,如何考核其执行是否到位?这些考量,可称之为控制活动的设计有效性。因此,控制活动设计有效的主责就在于各个业务部门的负责人,他们应对各业务活动中存在的各种风险有清晰的认识和评估,并针对性设计有效的内部控制,交办给不同的岗位执行。同时,他们需要持续监督,以确保控制活动的执行有效。当这些控制活动都经过了悉心设计,显性化并固化下来时,各业务活动的流程也就逐步显性化并固化了。
实践中,有些企业在进行流程“显性化”甚至“优化”的过程中,对于流程的描述、控制活动的描述非常模糊,例如“相关部门相关人员不定期进行检查”。这样描述的条款是不具可操作性的,也无法确保落实到位,更无法进行监督检查和绩效考核。如果仔细研读诸多企业的制度和流程文档时,类似的问题还不在少数。因此,在描述任何控制活动时,都必须清楚地表述,哪个部门哪个岗位;以多少的频率,例如每天、每月、每季度等;控制的客体是什么,例如哪个报表,哪个单据;具体执行了哪些事情,例如复核了数据的准确性;怎么完成这些事情,例如追查到了原始合同以确保数据的准确性;留下了哪些痕迹,例如签字确认——也就是“5W1H”原则。只有依照这样的原则进行表述的控制活动、流程描述才是具有可操作性的,才是能够成为标准,用以指导具体工作,并作为监督检查的标尺。
企业固化的流程文档可以包括流程图、流程描述和风险控制矩阵,这些文档应当与企业的制度相辅相成。制度规定原则性的内容,例如能做什么,不能做什么;而流程文档规定的是做事的顺序,例如先做什么后做什么,谁来做,怎么做等。制度好比一颗颗珍珠,而流程就是线,串起来之后,你会发现这是串漂亮的珍珠项链。
无论在控制环境、风险评估还是控制活动过程中,都持续地需要信息与沟通,因此框架的第四个要素就是“信息与沟通”。信息与沟通是指及时准确收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。信息流的畅通对企业的重要性类似于人体的血液流通,人体气血不通将导致疾病发生,企业的信息流不通则会引起各种损失事件的发生。
在企业,常常会出现部门间“扯皮”、下级“越级汇报”、信息披露的不及时不完整等现象,这些都是信息和沟通不畅的表现。有时企业会针对这些情况进行探讨,寻求改进的方法,但往往随着探讨的深入,发现其背后的原因错综复杂,无从下手。怎么办?回到内控框架的起点“控制环境”,通过风险评估梳理关键问题在哪里,进而针对问题根源,或改善组织架构,或改善流程设计,或改善汇报机制,或改善考核机制等;直至将这些改善的内容进行固化,形成了固化的沟通机制——或以会议的方式存在,或以表单、报表的形式存在,或以信息化系统的方式存在等。可见,信息与沟通和其他的内控要素形成了相辅相成的关系,你中有我,我中有你,密不可分。 那么,如何能够确保这些显性化的、固化的流程和机制得到很好地执行?如何能够确保前述所有内容得到及时地评估和执行?这就需要“持续监督”,这是内控体系必不可少的环节。为什么持续监督会置于内控框架的最上层,持续监督的对象究竟是什么?通常,监督可称之为“控制之上的控制”,也就是说,监督本身也是内控体系的组成部分;持续监督的对象,就是内控框架的其他四个要素。监督的主体是谁?企业的各业务部门负责人在日常经营管理过程中,监督着所负责流程的设计和执行有效性;企业的内部审计部门,独立于所有经营管理层,监督着整个内控体系的有效运行,并独立汇报给董事会下属的审计委员会。因此,持续监督可以分为两个方面:即管理层的日常监督;内部审计的独立监督。试想,如果企业各业务部门并不认为内控的监督职责是自己应该履行的责任,而企业的内部审计并不独立于经营管理层,甚至并不开展针对内部控制有效性的监督工作,导致整个内控框架中监督要素缺失,我们如何能够给出内部控制体系“有效”的结论呢?
在理解了内控框架的正面五个要素后,我们会发现:有效的内控体系,并不是一套整层和程序这么简单,而是适于一个强有力的控制环境;内控也不仅仅是财务部门和内部审计部门的责任,是企业自上而下所有人都必须参与在其中的,是涉及经营管理方方面面的内容;内控也不是针对过去事情的检查,而是针对风险而不断优化的管理提升整体方案,关注的是未来的不确定性;内控更加不是一套信息系统,信息系统只是业务的载体,也是内控的一个组成部分。
在内部控制整合框架中,第三个“面”不得不提,就是内部控制所针对的主体的单元或活动。也就是说,内部控制体系可以适用于不同大小的单元,不同的业务活动。试想一下,每个部门都有自己特有的控制环境,有自己面临的特殊风险,有针对这些风险而设计的控制活动,有自己的沟通方式,也有部门负责人的日常持续监督;每个业务活动,例如采购,也同样如此。因此,我们可以将内控框架模型想象成无数个单元,或业务活动内控框架的叠加,这就形成了一个企业的内控框架。
同样的,对这个内部控制整合框架“魔方”,如果横向能够进行拆分和叠加,纵向是否也可以呢?试想一下,当我们在经营类目标中,定义出一个子目标,并称之为“质量”时,我们发现,针对质量目标,有与质量相关的控制环境,与质量相关的风险评估体系,与质量相关的业务流程和控制活动,与质量相关的信息与沟通方式,还有与质量相关的监督体系,同时分布在各个业务单元和业务活动之中。有的企业也许会说,这不就是质量管理体系么?确实如此。于是,当这些子目标整合在一起,并且归纳为三大类或者四大类目标时,内控框架从另一个维度整合了。
回过头来再看COSO给出的内部控制框架的名称:内部控制——整合框架,其中的“整合”之意,越发值得体味。可见,内控体系并不是一个独立的新的体系,而是一个以风险为导向的,全员参与的,以企业整体管理提升为目的的,不断优化的过程体系。这个体系需要企业自上而下地建设和开展具体工作,需要有全局的考虑和长远的规划,需要企业作为一个整体,有效地应对风险,并持续优化,自我运行,自我完善。
中国的《企业内部控制基本规范》就借鉴了COSO《内部控制——整合框架》(见图3)的形式,但在内容上却体现了2004年COSO《企业风险管理——整合框架》的特征,并融入了中国的基本国情。
谁是内控实施的关键成功因素——
最高领导层的整体思路
内部控制是通过与企业的管理体系有机整合发挥其作用的,如何确保内控实施能够成功?关键因素在于企业最高领导层实施内部控制的整体思路与对内部控制体系的正确定位。
我们不妨将内部控制体系以另外一种方式表述(见图4):最高领导层在明确企业战略后,依据战略设置相应的管控模式,确定企业的组织架构,进而设计合理人力资源管理机制,确立相应的业务流程,在整体的IT规划之下,逐步实现流程的信息化。遵循“目标—风险—控制”的核心思想,我们需要寻找的是,在图4这个简化的模型中,企业的风险会落在哪个层面?哪个层面的风险才是问题的根源?是否存在要素的明显缺失?整体提升的切入点在哪里?未来的工作重点又在哪里?该如何改进设计?该如何提升执行力?回答这些问题的过程,也就是内部控制体系建立和完善的过程。
何谓内部控制最高境界——
从心所欲,不逾矩
每个企业都有着自己独特的内部控制体系,但管理的水平却可能参差不齐。《道德经》有云:“太上,不知有之;其次,亲而誉之;其次,畏之;其次,侮之。”表明了一个皇帝管理国家的不同境界,同样,这句话可以用来说明企业内部控制水平的从高到低四个不同境界:浑然不觉的境界、道德感召的境界、法律规范的境界、人治天下的境界。
我们需要的是将企业的内部控制体系逐步从人治走向法治,以法治的手段,逐步沉淀为文化,目标是无为而治。那样的境界,用孔子的一句话概括,就是“从心所欲,不逾矩”。
(作者系迪博企业风险管理技术有限公司副总裁)