管理制度與內控手冊的關系

1、管理制度與內控手冊的關系一、什么是管理制度對于“管理制度”這個概念，似乎并沒有權威的學術定義。從法律層面上看，我國公司法規(guī)定：公司董事會負責制定公司的基本管理制度；經(jīng)理負責擬訂公司的基本管理制度以及制定公司的具體規(guī)章。但是，對于哪些屬于基本管理制度，哪些屬于具體規(guī)章，公司法本身也沒有給出明確的定義。ISO質量管理體系將文件分為四級，即一級為質量手冊類，二級為制度類，三級為作業(yè)指引類（流程），四級為使用表格類。這種分類符合我們經(jīng)常提到的“管理制度化、制度流程化、流程表單化”的邏輯。因此，從實務角度看，管理制度可以有廣義和狹義兩種理解，即廣義的管理制度是包括制度、流程和表單在內的管理規(guī)范的總和，而

2、狹義的管理制度僅包括其中的制度文件。二、什么是內部控制關于內部控制我們有三個權威定義：內部控制整合框架（2013）：內部控制是一個由主體的董事會、管理層和其他員工實施的，旨在為實現(xiàn)運營、報告和合規(guī)目標提供合理保證的過程。企業(yè)內部控制基本規(guī)范第三條本規(guī)范所稱內部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。行政事業(yè)單位內部控制規(guī)范（試行）第三條：本規(guī)范所稱內部控制，是指單位為實現(xiàn)控制目標，通過制定制度、實施措施和執(zhí)行程序，對經(jīng)濟活動的風險進行防范和管控。COSO強調內控是一個過程（Process），并且進一步將其解釋為“政策及流程手冊、系統(tǒng)和表單（policy a

3、nd procedure manuals, systems, and forms）”?；疽?guī)范在內部控制的概念上沿用了COSO的定義。而行政事業(yè)單位內控規(guī)范也說明內控是需要嵌入到制度、措施和程序中去的。從上述內部控制定義中，我們也可以得出結論，內部控制是通過制度、流程和表單體現(xiàn)出來的。關于印發(fā)企業(yè)內部控制規(guī)范體系實施中相關問題解釋第1號的通知第7條是如此表述內控與管理的關系：“企業(yè)應當立足管理現(xiàn)狀，全面梳理各項管理制度和管理體系，從管理體制、機制以及落實各級權利責任等方面，將內部控制的要求融入各項管理體系中，形成內部控制的長效機制，使內部控制真正為經(jīng)營管理服務?！币虼?，真正的內控是要以“潤物細

4、無聲”的方式融入管理體系，即融入管理制度、流程和表單中去。三、對內部控制建設成果的反思1、現(xiàn)狀在實務中，一提到內部控制建設成果，大家馬上就會聯(lián)想到內部控制手冊，其主要內容包括流程圖和風險控制矩陣等。鑒于流程圖在企業(yè)管理制度中本來就有體現(xiàn)，因此，內部控制手冊的核心在于風險控制矩陣。風險控制矩陣（Risk and ControlMatrix）就是將管理制度中涉及的風險和對應的內部控制進行匯總，以發(fā)現(xiàn)控制缺陷的一種矩陣表格（常見表現(xiàn)形式為EXCEL表格）。使用風險控制矩陣的目的是為了明確公司所面臨的風險以及明確針對風險的現(xiàn)有內部控制。每家企業(yè)或中介機構設計的風險控制矩陣可能都略有差異，但大多包括：風

5、險編號、風險描述、控制編號、現(xiàn)有控制措施、控制類型、控制頻率等字段。什么樣的活動算是控制措施呢？依據(jù)企業(yè)內部控制規(guī)范，控制措施包括：不相容職責分離，授權審批，會計系統(tǒng)，財產(chǎn)保護，預算，運營分析和績效考核等。我們來看兩段流程步驟描述：A、計劃財務部步驟對會計科目增加/刪除/凍結申請進行審核，主要審核會計科目申請的必要性，以及是否與會計準則的要求相符合，審核通過后在會計科目維護申請表上簽字確認。B、每月結賬前，計劃財務部會計根據(jù)審核簽字并蓋章后的電量計量單和電費計算單在ERP系統(tǒng)財務模塊的應收賬款模塊中進行相應會計處理并制作相應憑證。按照企業(yè)內部控制規(guī)范對控制措施的定義，描述A屬于控制措施，應當列

6、入風險控制矩陣；描述B只描述流程步驟，不具有控制風險的作用，因此不會列入風險控制矩陣中。由此我們可以得出一個結論，即風險控制矩陣中只將流程中具有控制風險作用的有限步驟列入，因此其對流程的描述是不完整的。這就解釋了一個實務問題：為什么企業(yè)經(jīng)常抱怨內部控制手冊的實用性非常差？其核心問題就在于此，即內部控制手冊不是一個完整的過程描述。從本源上看，內部控制手冊更多是為審計師準備的檢索手冊，而不是為企業(yè)員工準備的操作手冊。因此，即使內部控制手冊編制得很完美，企業(yè)員工也無法照章辦事。2、反思不管是COSO還是我國的內控規(guī)范都沒有規(guī)定內部控制的建設成果就是內部控制手冊。但是，實務中為什么會形成內控建設成果等

7、于內部控制手冊的概念呢？筆者猜度，由于薩班斯法案后，上市公司需要進行內控審計，審計師在審計時需要一個工具來快速識別控制缺陷，就設計了風險控制矩陣。而后，最早開始大規(guī)模為企業(yè)提供內控建設咨詢服務的又恰恰是會計師事務所，所以以風險控制矩陣作為內部控制建設成果的誤會就由此產(chǎn)生。從上述內部控制的定義分析中，我們可以得出結論：真正的內部控制建設應該是將內部控制的要求融入各項管理體系中。從實務角度看，企業(yè)永遠只有一套管理體系。內部控制建設不是另起爐灶，而是對原有的管理體系進行優(yōu)化并使之滿足內部控制規(guī)范的要求。因此，內部控制手冊與內部控制建設之間沒有必然的聯(lián)系。3、建議首先，內部控制建設需要講究成本效益原則和實用性原則，不必拘泥于出具內部控制手冊這個形式，而是需要以建設目標為核心，以風險導向為原則，解決企業(yè)控制不足的問題。比如，對于IPO企業(yè)來講，其內控建設就是以財務報告目標為核心，通過分析報表科目認定及其錯報風險，重點解決收入確認、成本核算和關聯(lián)交易等核心問題，其具體工作成果可以依靠制定一些管理制度、流程和表單來體現(xiàn)。在實務中我們經(jīng)常會發(fā)現(xiàn)許多擬IPO企業(yè)的一線操作人員其文化程度不是很高，對于他們來說，一份設計完備的表單的控制執(zhí)行效果遠比一本厚厚的內部控制手冊更有效。其次，要善用內部控制手冊。內部控制手冊主要用戶是審計