我們在為企業(yè)建設內控體系的過程中��,經常會遇到一類問題���,就是建設內控制度的問題��。在遇到這類問題時,客戶往往就會提出疑問:內控制度建設的依據和標準是什么��?內控制度建設與規(guī)章制度建設是不是一樣的����?是不是已經建設了規(guī)章制度體系�����,就等于已經建設完成了內控制度�?通過這篇文章�,我們就給各位做一個詳細的解釋。
首先�����,內控制度屬于規(guī)章制度的范疇�,但是又不完全等同于規(guī)章制度,即便是企業(yè)已經建設了較為完備的規(guī)章制度體系�����,一旦需要建設符合監(jiān)管要求的內控體系����,那么仍然得需要針對內控要求對現(xiàn)有的規(guī)章制度進行審核優(yōu)化�,使其符合內部控制要求。
一����、從內容上:內控制度要比規(guī)章制度要求細化
我們需要承認的是�,內控制度也屬于規(guī)章制度��,他首先要符合規(guī)章制度建設的要求�����,比如從格式上滿足于規(guī)章制度建設上“章���、節(jié)�����、條���、款、項�����、目”的基本格式結構����,從要件上要包含規(guī)章制度建設中的“管理要求�、管理對象�����、管理職責����、管理內容、檢查考核��、附則附件”等要件要求���,從內容上要符合規(guī)章制度編寫中的“合法性�����、合規(guī)性�����、合章性、合責性���、合流性����、合理性”的要求。(具體要求見《規(guī)章制度審核優(yōu)化的“五審原則”》一文)�。可以說����,內控制度編制要完全符合規(guī)章制度編制的要求,對其內容的審核也必須要符合規(guī)章制度內容審核的要求���。
規(guī)章制度編寫的格式要求
但是從另一個方面來說�����,內控制度不僅僅要滿足于規(guī)章制度內容編寫的要求�����,還要同時滿足于內部風險控制的要求��。也就是說��,內控制度建設的主要目的是為了防范控制企業(yè)內部可能發(fā)生的風險���,所以在編寫內控制度時�����,一定要確保制度編寫中要包含企業(yè)對風險控制管理的要求��,而這些風險控制的要求����,也許并不是我們常規(guī)的規(guī)章制度編寫中所需要具備的�。
二、從數(shù)量上:內控制度包含在規(guī)章制度之內
我們要單獨建設內控制度框架清單��,與我們要單獨建設規(guī)章制度框架清單����,是兩個不同的思路和方式。在之前我們發(fā)布的《如何設計規(guī)章制度“分層��、分類���、分級”目錄清單》一文中����,我們明確提出通過組織功能分析的方式,建立起企業(yè)分類分級的規(guī)章制度框架目錄清單��。也就是說�����,規(guī)章制度框架清單的建設方法是組織功能分析的方法���,檢核的依據是每個項重點職能是否已經實現(xiàn)了制度化管理。
而我們在單獨建設內控制度框架清單時����,我們依據的是前期通過各種方式識別出來的風險清單,在風險制度化控制要求的背景下���,我們需要對每一項風險事項進行一一對應���,判斷其是否已經有相應的制度對其風險進行控制。也就是說�,企業(yè)現(xiàn)有的制度是否已經對公司的所有的風險點實現(xiàn)了全覆蓋,如果未能實現(xiàn)風險的制度全覆蓋��,那么其原因是什么����?比如通過其他方式實現(xiàn)對風險的管理控制也是可以的��,不過必須要給予清楚的說明�����。
示例:某企業(yè)根據內控十八項指引檢核內控制度建設情況(研發(fā)模塊)
從上表可以看出�,我們在設計內控制度框架中�,依據的是國務院五部委頒布的《內部控制十八項指引》,我們要針對十八項指引中提出的內控體系建設要求進行詳細分析�,指引中提到的每一個內控要求,都要逐一實現(xiàn)制度化管控���。
從這一差異我們也可以看出來�,規(guī)章制度與內控制度建設的依據并不是完全一致的�,規(guī)章制度是針對職責,運用組織功能分析的方法�����,內控制度是針對風險�,運用風險分類分級的方法。在這里需要明確一點的是���,公司的內控制度小于規(guī)章制度�����,規(guī)章制度要涵蓋內控制度�����。如果企業(yè)僅僅提出建設內控制度的要求���,其涉及的制度范圍和數(shù)量要遠遠少于規(guī)章制度的范圍。
規(guī)章制度框架與內控制度框架示意圖
三��、從標準上:內控制度與規(guī)章制度的強度標準不同
在制度編寫上����,規(guī)章制度與內控制度其實也存在著較大的差異。在內控制度編寫中�,制度建設的目標是對企業(yè)面臨的風險進行制度化管控,所以主要的聚焦是應該將企業(yè)控制風險的措施體現(xiàn)在制度內容中��。這其中就存在一個問題��,控制風險是以增加審核環(huán)節(jié)����、提高審批權限為主要手段的�����,其必然在一定程度上會損害企業(yè)的運行效率�����。每一個增加的審批環(huán)節(jié)���、更高職級的審批都會對企業(yè)的運行效率帶來較大的損害,從而降低企業(yè)快速適應市場的能力����,但是這又是企業(yè)在風險內控中所不得不面對的問題。
而在規(guī)章制度建設中�����,我們所面對的問題不僅僅是風險控制的要求����,還有提高效率的要求,或者說是控制風險與提高運行效率之間的有效平衡���。而在缺乏內控要求的企業(yè)制度建設中���,往往又對提高確保運行效率的要求更為迫切與直接���。這一點,我們在之前的《【國企內控十篇(10)】在內控體系建設中如何確定“內控強度“》一文中做了部分闡釋��。
從這個角度來看��,內控制度建設的標準較為單一�,主要是針對風險控制的要求���,通過不斷增加審核環(huán)節(jié)依據不斷提高審批權限�����,來確保風險的控制要求�。這與規(guī)章制度的編寫要求不太一致�,規(guī)章制度在編寫時不但要關注風險控制的要求,還要同時關注運行效率的問題��,需要在風險控制與提高效率之間取得一個較為穩(wěn)定的平衡��。而這一平衡點的確定,是需要在不斷的業(yè)務運行以及不同部門的博弈中逐漸取得共識的�����。
