从实务角度看信息化下企业内控风险点的识别与应对
——以A差旅报销流程为例
2023-10-30李洪岳航空工业特种所
李洪岳/航空工业特种所
内部控制是企业管理的一种方式,通过识别和控制企业管理中的风险,达到防范损失的目的。内部控制有自身的体系,实务中以内控手册或内控制度形式存在,通过与企业管理过程对照,达到检验企业风险控制管理效率的目的。
一、内部控制风险识别与应对概述
企业建设内部控制,是在梳理流程基础上,对易发生风险的环节加以关注,通过实施控制程序,实现风险的可控[1]。内部控制梳理的流程是企业覆盖面更广的流程,比企业日常管理涉及流程更全面,因此通过内控梳理流程识别的风险涵盖了企业管理全部风险。风险的识别与应对就是流程风险的识别与应对,并加以制度化。企业流程风险识别方式有如下两方面:一方面从内控角度,通过头脑风暴法识别内控流程风险,从中选取企业流程所涉及的风险;另一方面从企业管理角度,以日常工作经验或第三人建议识别风险。两方面共同作用,实现风险识别不遗漏。企业流程风险被识别后,需对识别的风险进行分析,结合自身情况选择应对策略。常见的风险应对策略有风险回避、风险承担、风险降低和风险分担等。流程风险得到识别,并通过分析确定应对策略,为内控目标的实现提供风险管控方向。风险控制就是在上述基础上,对风险加以限制的措施,具体主要指不相容职务分离、授权审批、信息化控制、实务控制、预算控制、考核控制等。最后将成熟控制措施予以规范化,形成制度性文件[2]。本文主要围绕差旅报销业务,讨论信息化控制的应用。
二、企业内部控制风险点的识别与应对
(一)企业简介
A 是国内生产大型设备的制造企业,集预研、科研、生产于一身。其主要产品M 在国内同类型市场占有率超80%。近年来,市场需求旺盛,对其产能提出了较高要求。为满足市场需求,A除增加本地产能外,还持续扩充异地产能。与相关单位联系紧密,异地生产次数不断增加。A采取从本地调有经验员工异地完成任务策略,员工本外地间往来频繁,差旅数量也随之激增。此外,A售后服务区域覆盖全国,售后服务从本地出发,使差旅发生数量增长迅速,总量上呈逐年上升趋势。A目前差旅报销已基本实现信息化覆盖,在提供工作便利的同时,也为内控建设提出新的要求。因此,对A 差旅报销通过内控加以流程梳理,识别相关风险,提出应对策略,对差旅报销目标的实现有指导意义。
根据上述分析,首先对A 差旅报销流程风险进行识别和应对。差旅报销流程环节具体如图1所示。
图1 A差旅报销流程
(二)A差旅报销流程风险的识别与应对
差旅报销内部控制目标是通过梳理流程确保连续及易错环节的管控实现报销的完成。因此,识别流程风险就是识别流程连续性被妨碍的因素和识别影响易错环节被管控的因素。A差旅报销自报销人申请至报销款发放的流程已初始至网上报销系统,通过初始前检验和应用后反馈,证明该流程前后衔接紧密,实现了流程连续的目的,流程风险得到识别防控。A差旅报销易错环节主要指报销人提交环节(包括提交出差申请单和差旅报销单)和稽核会计复核环节。在报销人提交环节,由于自身对差旅报销办法生疏,对可报销单据和网上填写标准理解有误,或者自身报销疏忽,造成网上提交的单据出现错误,影响报销目标的实现。据此,此环节识别出的风险是报销人对报销理解有误和自身填报差旅信息疏忽造成的错误。应对此类风险的策略是风险降低,即通过降低风险发生的概率保证目标实现。该环节在流程中地位重要,该特点决定风险选择策略为降低。通过实践经验看,此类风险不能通过部门领导和单位主管领导审批防控,以报销人为对象的防控是风险控制方向。在稽核会计复核环节,由于自身知识储备、报销新政策的启用及业务量庞大的原因造成稽核会计不能发现报销错误,或稽核后形成错误结论,如未发现加计错误、补助计算错误等。据此,此环节识别出的风险是稽核会计自身知识储备等原因造成稽核错误。应对此类风险的策略是风险降低,采取该策略的原因与报销人风险策略是一致的。由于该环节发生在报销流程末段,此环节后续无其他审批,因此将稽核会计作为风险防控关键点是控制风险的关键。通过上述讨论可以看出,报销人提交环节和稽核会计复核环节的共同特点是信息系统没有覆盖。在信息系统逐渐取代人工的情况下,信息系统未覆盖的环节继续需要人工控制,是风险防控的主要部分。
(三)A差旅报销信息化风险的识别和应对
A 差旅报销信息化系统作为风险点可进一步分为初始化阶段风险点和运行中风险点。信息系统在建设阶段,将差旅报销规则初始化,形成网上报销流程。对原报销流程理解是否到位,初始是否准确在建设阶段对网上报销正确与否影响重大。对差旅报销规则确切的理解及初始时代码准确描述是使得差旅报销信息化成功的关键。在运行阶段,原已初始至信息化系统的流程是否稳定是影响差旅报销能否完成的另一因素。根据对市场信息化软件产品的了解,现有差旅报销信息化软件在稳定性上还有待进一步提高,这就造成信息化系统在运行一段时间后会形成系统错误,进而造成差旅报销错误。在目前企业软件普遍定制化的情况下,差旅报销系统的运行错误不可避免。综上可得,差旅信息系统风险点是指初始阶段报销流程不准确造成错误和运行阶段系统错误造成报销错误的可能。应对上述风险的策略是风险降低,即报销系统运行前的事前风险降低和运行中的事中风险降低。事前降低是通过选择成熟的信息化模块实现,事中降低是通过信息化应用反馈、改进信息化实现的。需要进一步指出,由于信息化自身的缺点,报销系统错误不可避免,但由于人工控制的介入,差旅报销结果错误可以避免,因此报销系统事中风险策略是降低,避免了接受风险带来的损失。
(四)A差旅报销内控制度风险识别和应对
内控制度是对管理流程的约束性规定。针对制度对具体流程规定的内控风险已在上述讨论过了,下面仅对制度本身进行风险识别和应对。制度本身的风险是指制度内容不完善,具体措施表述不明确,或滞后于业务变化形成的风险[3]。A差旅报销随着实际经营业务的扩大日益增加,报销类型也日趋复杂,除常规异地普通差旅、排故差旅及生产差旅外,特殊情况下差旅的实质内容存在变化,形成了特殊差旅类型,需综合适用各报销政策,如2020 年新冠病毒感染下报销政策的适用。制度表述不明在编制时不易发现,在实际报销适用中会显现,易形成报销错误。综上,内控制度风险点是指,制度表述不明造成错误和规定滞后于业务造成错误。应对上述风险的策略是风险降低,即对制度编制时风险的事前应对和制度适用时的事中应对。在制度编制时增加控制措施,防止制度表述不明的情况,在执行时根据适用情况不断改进制度内容,提高差旅报销效率。
(五)A 内控环境对差旅报销风险识别和应对的影响
对企业而言,内控环境包括很多方面,如董事会、审计委员会、监事会等的设立规则和运行机制,企业文化和制度,管理机构的设置,人力资源及企业运行模式等[4]。内控环境对企业活动具有广泛性影响,控制活动反映内控环境的特点。A作为国资委全资国有企业,其形成了具有自身特点的企业文化,即差旅报销作为支撑活动,目的是服务企业科研生产,满足员工对报销及时性和可理解性的要求。在这种文化氛围下,差旅会计需要担负更多的发现和防控错误的工作。在信息化条件下,完善人工控制措施,不断提高信息化系统的质量,满足员工报销需求。基于此,A差旅报销内控的重点在末端财务,这就需要加强关注,配套更多资源予以完成。
三、结语
内部控制在企业管理的应用上,实务要求与理论要求有一定区别。实务从简易适用角度,将不涉及业务的部分忽略,适用部分又在实际情况下辩证性应用[5]。信息化的应用,将复杂的内控风险识别和应对方式标准化,实现简易操作,是理论运用于实践的真实写照。内控的研究和建设还应关注内控环境的影响。