内控方案批准后由财务部门牵头实施。在实施过程中我们深深体会到,财务部门很难完成这个任务。就像预算一样,内控贯穿在整个企业错综复杂的流程和关系中,不单单是财务的事情。财务是一个记录、反映和监督的过程,组织对外信息披露的任务责无旁贷,而监督又有两个方面,财务可以完成会计信息和经济活动的日常监督,但是其他一些经济行为的监督财务就做不到了。比如,通信计费由负责计费系统的维护部门管理,他们每月向财务部门报告的应收收入是否准确,必须依赖于计费部门IT系统总体控制和应用控制水平。可以说,监督这项职能赋予了财务很大的责任,但实施起来不尽如人意。根本原因在于影响企业财务报告(内控成果)的因素不仅是会计业务和财务管理水平,还有所有部门的业务,而企业却没有建立起一个普遍的控制制度,所以仅仅依靠一个部门完成是不可能的。又如,错记通话费会出现1倍或几倍的赔付,虽然不排除有人员记录错误的原因,但很多时候是由于系统的更新和扩容或者设计缺陷造成的,是属于技术原因。还有一些原因,比如绩效考核制度,比如对经营者的业绩只以收入为指标进行考核,不正确的业绩观的驱动会导致作弊和虚假收入的出现,因此反舞弊也是内控的目标之一。中国联通过去没有这方面的相关制度,对此我们针对有实质控制权力的人,包括总公司高级管理层、各省管理层和一些关键岗位的部门,建立了一套反舞弊的管理办法,在履行控制程序时去发现、避免造假的发生。可以说这种控制不仅仅是一个作业层面的控制,还包括对高级管理人员行为的控制,而所要控制的对象应该选择重要的部门和业务。
内控首先要保证企业达到下列三个目标:一是提高经营效率和效果;二是保证财务报告真实性;三是保障法律法规的遵从性。内部控制实质上是对影响上述目标实现而对可预见的风险进行揭示,针对个别风险制定有效的控制措施和可接受的风险控制目标,并形成完整的内控制度体系、责任体系和运行及监督机制。从实践和公司的情况来说,我们认为经营效益和效率是公司当前控制的重点。财务报告的真实性通过完善的制度完全可以解决,但影响效益和效果所涉及的经济活动太多了,不是财务一个部门能做到的。因此,公司建立了一个由“一把手”任内控建设领导小组组长、CFO组织内控办公室的主要业务、相关业务部门负责人为成员的组织架构来实施控制。
实施的第一项工作就是培训,端正态度,正确认识什么是内控,为什么要进行内控。之所以有萨班斯法案,大家都以为是美国惹的祸?实际上不仅仅是美国,我们自身确实存在很多问题。比如我们的损失浪费确实很大,是影响所有国有企业发展的一个重要因素;我们国家现行制度规定企业的重大问题由集体决策,集体决策的结果就是谁也不承担责任或推卸个人责任,等等。这种培训是让每位员工都有内控制度的意识和责任,认识到这是工作的一部分,首先从思想上得到重视。
内控是以制度的形式存在的,我们前边也提到,集体决策的结果是谁也不负责,所以内部控制先要完善制度:建立反舞弊制度和对所有业务流程的控制制度。更重要的是控制环境。控制环境就是包括管理层在内的公司员工形成一种内控的理念,建立全员风险控制责任。
在联通山东分公司的试点
2004年11月1日,我们开始在联通山东分公司进行试点。经过近半年的时间,把省级分公司涉及的402个流程进行了所有内控制度文档的设计,而这仅仅是设计阶段。
梳理流程,找出风险点
在设计阶段首先要做的是梳理流程,定义流程。对每一项经济业务的初始点和终点都做出描述,并将相关环节串起来形成流程关系。然后找出哪些是重要的业务活动。流程中所有的作业环节必须明确作业内容及其目标和标准,而且这个标准应该是可量化的。由于每个流程会涉及到很多环节,涉及到几个部门,所以每个流程中的各个环节都有一个任务描述,即对流程的说明,包括这个岗位是做什么的、应该做到什么程度、什么时候完成、可能发生什么问题、发生时如何处理等。当然这简简单单的说明后面是公司制度和规定的支持。