遵循萨氏法案建内控制度的联通经验
再如决策程序。过去决策层对业务的决策随心所欲,没有一个科学的评估程序。比如业务部门设计了一种买100送50的套餐项目,没有经过任何评估,分管领导一批,一夜之间就推出了这个新业务。这个行销方案能获得多少用户?新增用户带来的收入是否可以补偿放弃收入机会的损失?是否会引起用户放弃原来定制的业务?和竞争对手有什么差异?和政府的政策有没有什么违背的地方?有没有不正当竞争?是否政府管制项目?这些问题谁来评估?是否对这些可能产生的风险设计了有效的控制措施?对这些问题首先应该做一个综合的风险评估,制定控制措施和可接受的风险目标,然后再做决策。现在往往是听说哪个地方、哪家公司价格降了,咱们不降不行,你降,我也降。我们的考核机制和决策规则究竟控制了什么?有时为了争取一个用户不惜代价,因为考核指标就是看发展的用户数,并不考虑争取这个用户花了多少钱,能给公司带来多少利润。
针对类似的问题,山东分公司的各个业务部门首先揭摆风险,梳理业务流程,再经过专家梳理和总部各个部门一起认定,确定哪些流程列入内控范围,最后一共提出200多个大的风险。然后我们对每一个流程按照三个构成要素建立制度文档:一个是流程图,描述了所有业务的流程关系和所经过的从起点到终点的岗位,并标明哪一个环节有风险点和控制点;一个是流程描述,对所有岗位环节的任务(做什么、怎么做、什么时间完成等)进行描述;还有一个是风险描述及控制文档。
继续分解风险
在各个部门的具体运行环节中,他们还要根据自己的业务流程可能包含的大的风险继续分解,具体到部门中是什么样的风险。比如我们规定用户信息录入时重要的用户信息必须健全,按照用户登记卡的信息进行登记后,在开通后的第二天必须回复一个电话来确认其联系电话和地址的真实可靠。目的就是控制用户的欠费。我们业务的特点是先服务后付费,欠费风险很大,联通一年欠费有几十个亿,这是影响效益的关键问题。那么我们在程序上就围绕控制用户欠费建立相关责任,在流程中的关键部分控制风险。首先明确这个流程当中有什么风险,把欠费的风险分解到几个部门去,主要是业务部门。流程中哪个环节存在这个风险就应该描述出来,标在流程中,提醒这个岗位负责防范。
再比如公司的价格管理。一项服务项目的设计必须有足够的支撑,因为价格过低可能会导致发展用户群出现亏损。针对这个问题,我们要求在制定价格时必须几个部门一起介入,拿出方案。财务部门拿出成本计算依据,计费部门提出计费技术支持方案,评估在价格上违不违背政府的管制,竞争对手反映如何。从几个方面评估,最后进行决策。这样就避免了盲目制定价格导致经营亏损的情况。针对这个风险我们也建立了相关制度。首先我们要评估现有的制度是否还有效。过去有些规定很原则,没办法量化。要量化就要花很大力量去收集文件,建立标准。如果以前没有这方面的制度,我们就要求公司业务部门把这个制度补上,明确要建立制度,不能用流程代替制度。
风险也是针对我们公司面临的问题,大家在一起揭示风险,进行梳理。怎么梳理呢?风险是哪个部门的,就把哪个部门的风险落实到哪个流程上,在哪个流程中就落实到哪个环节。这就把风险控制责任落实到一个个具体环节。有多少个环节就建立多少个控制活动。对控制活动我们在制度上进行描述。一是风险是什么,控制措施是什么,控制责任人是谁。这实际上是归纳,是风险提示,标明这项活动的风险是什么?实施怎样的控制?是接触性的控制还是预见性的控制?比如财务报表的风险,一个问题可能涉及几个风险,有财务报告真实性的风险,有经营效率和效果的风险,有法律法规的风险。在这一张图上都要表示出来:它是什么风险,风险级别程度。我们一定要关注重点风险。在我们设计的制度当中,就像美国911之后发布的安全信号一样,用橙色、绿色、白色区别风险程度。哪些部门、哪些单位是重点,哪个关键流程是重点,我们都把它标示出来,重点监督、关注这些风险。
设置记录性文档
设计当中还有一个重要环节,就是每一个环节要有一个记录性文档。记录性文档分几种,一种是审批单,它记录审批依据、审批人责任。通过审批单我们就知道这是一个什么报告或什么申请。这种文档是传递性的。还有一种完全是记录性的。我们要求每个月要进行存货盘点,建立盘点表。这个盘点表就是记录文档。这个文档要求记录实际盘点的数量、金额和盘赢、盘亏比较,以及存货的质量、是否存在品质残次、是否存在积压滞销、是否存在跌价损失。这个文档非常重要,因为它不仅对外部审计师进行事后复核有很重要的作用,302条款也要求所有记录性文档必须是可供复核的。不像我们过去问仓库管货员:每月盘点了吗?他说盘点了,拿本账对对数就行了。事后也没办法认定他是不是每个月都进行盘点。我们的制度要求虽然可能浪费一些成本,但是很必要。每个月有一个盘点表,看到盘点表我就承认你做了盘点,没有盘点表我就不承认你执行了内控责任。所以这个记录文档是非常关键的。我们在制度上要求必须有记录性文档。管理制度上明确了,我们会依据明确的文档格式来认证。这其实就是相关的内部控制措施。
监督执行
监督制度确立以后,上级怎么执行也必须建立一种有约束的机制。上级要经常监督下级掌握本岗位的工作任务、面对的风险和公司设计的控制措施并执行这个内部制度。所有人员都把自己那块读懂了就足够了。我们把所有的控制责任建立到每个人头上,每个岗位上。这个岗位可能一岗多人,但是只要在这个岗位上工作,就要熟悉这个岗位的业务流程和相关的风险控制。过去很多企业规定每个年度末财务部门要组织进行财产清查,我们的内控制度就不是这样。我们要求分管存货或资产管理的部门应该主动进行盘点,把盘点结果、差异报给财务部门。过去是我们组织他们进行清仓查库,组织盘点,现在要求物管部门有义务定期提供财产清查报告、差异报告。如果存在损失,还要写出说明。过去依赖财务部门去做,不但做不过来,大家还都在应付你。过去新员工上岗,只告诉他坐在哪里,电话多少,大概讲讲怎么做,而没有讲他应该做什么,做到什么程度,有什么责任,将来有什么提升的机会。现在我们要求上级有义务做到这些,然后监督下级。让每个员工熟悉自己,自己约束自己。
就像我们一直以来宣传的那样,经营是有风险的,不能指望这个企业没有风险就收益好,关键是怎样驾驭风险,就是把风险详细地揭示出来。让从事这个岗位的人员知道这个岗位有什么风险,去关注它。我们常常出现的情况是,一个文件当中已经讲了,但有些人员根本不知道他应该控制这个风险,领导签个字,然后存档,没有人来具体控制。对此,我们的内部制度要求每一个流程要把风险细化,分解到每个流程及相关环节中,并加一个标识,提示该岗位员工有什么风险,见了这个风险怎么控制,由谁来控制,落实到位。我们建立的岗位职责也是人力资源部门建立的岗位责任制度,是企业完整的架构,统一的标准。内控制度的岗位职责是这个岗位做什么,做到什么标准?比如收入报告应该次月几号提供,要具体量化才能保证实现。以前只是知道做什么,没有明确做到什么程度。
我们事实上构成了一个内控制度的整体,明确了每一个流程必须包括的控制要素。这些要素说起来很容易,做起来是非常难的。因为有很多东西是约定俗成的,就这么做。找制度,没有;制度什么时候定的,不知道。师傅教徒弟,就是这么做的。执行制度最难的就是习惯改革。我们规定,建立了这套流程和制度规范,就必须按这个执行。不管现在的效果如何,必须按章办事,这是你的职责。至于评价这个控制活动和具体控制目标的差异,特别是制度设计上的缺陷,有相关部门的相关人员来做。已有的制度不遵守,或自己认为这样做效果更好,自己就给改了,大家都这么做,实际上就把这个制度废掉了。这就是我们国有企业控制方式和境外企业控制方式的不同。境外企业的规定很细,哪怕一点点事项,都有最详细的解释。例如通信业,我们规定用户欠费一个月以上停机,那么次月就不得计费,也就不能确认收入了。但企业出于某种利益驱动,就要出账、报告收入。欠费了,我照样计费;停机了我也照样计收入,结果这个用户存不存在都不知道,计费收入无法保证收回。对此,我们会在内控制度中详细描述用户欠费停机的次月起就要停止计他的月租费,把他具体量化。反过来,假如用户欠费但未停机,根据我们的信用制度,我们要求每一个省级分公司或市级分公司必须把它量化。应该根据每一个消费者交费信用的经历来判断,长期交费信用好的,时间有多长应该有一个评估,在多长时间内交多少钱,有信用额度,建立和维护欠费自动停机控制程序,并且必须有专人来维系这个欠费用户。有些特殊用户临时出国了,没办法交费,这期间他会来电话通知“我暂缓再交费。”这种情况是允许的。特别是有些政府机关本月经费没有下来,这些客户虽然欠费但有信用基础。这种情况下,还需维系这些用户的存在,不能说欠费我就停机。
山东分公司的内控制度涉及到400多个流程,用了半年多的时间,可见建设内控制度确实不容易。主要是观念上的差异。我们建立的内控制度也有别于ISO9000.ISO9000只是一个流程图,反映流程关系,不是以控制风险为目标去实现应该达到的控制活动。从企业角度讲,控制目标是降低资产损失、利益流失方面的风险,这是我们关注的重点。下一步公司打算在全国进行推广。首先要进行动员、培训。第一步是进行高层培训,由我们公司的董事长来讲,从企业自我发展的角度认识内控的必要性。各个部门要针对部门所管辖范围内存在的影响经营效率和效果的风险去分析、认识内控的必要性。各个部门的老总也要讲今年准备在内控上做哪些工作,要完成什么样的目标。内控办公室负责讲内控制度设计的规范性和具体要求。我们境外的律师从萨班斯法案404条款及监管要求、出台背景和约束以及执行方面的影响来讲;审计师从管理建议上,针对我们公司存在的管理上的缺陷来讲。通过几个角度进行培训,让领导真正认识和理解404条款的重要性。
在全国推广的过程中,山东分公司的内控制度范本可供各省级分公司参考。这个范本适用于省级分公司,但是不能完全照搬,不能代替各省应当建立的符合本单位特征的内控制度。因为生产组织不一样,管理手段也有差异,同样的风险可能在这里存在,在那里更突出一些;可能一个风险在山东仅是一个部门的一个控制点上,在其他地方几个部门都有这个风险。因此,他们必须梳理风险:一个是通过分析评估来揭示,一个是预见。预见风险和现存的风险要进行归纳,同等对待,建立相关控制。国有企业的管理往往习惯于出了问题再说,亡羊补牢。按照这个逻辑就是待问题已经发生了再建立控制措施,预见的风险并没有纳入事先控制的范围,这就很难保证有效地控制风险。
完善的内控制度设计虽然是一项重要突破,但关键是如何组织落实。落实当中要把这个制度分解到每个人,把这个制度体系分解成责任体系,这样的内控制度才是完善和有效的。我们有信心争取年底前把内控制度设计完成,以制度来完善现有的作业。明年解决年报所出现的问题,然后用一年的时间进一步完善。我们中国联通的内部控制制度应该说刚刚开始做,距离一些在美国上市公司的做法和成果还有很多缺陷和不足。
- 上一篇:ERP应用风险与内部控制
- 下一篇:萨班斯—奥克斯利法案下公司内部控制的思考
