前 言
会计师事务所如何在做好审计这个基础业务的前提下,逐步扩大财务管控、内部控制、税务规划、人力资源管理、并购重组等相关领域的管理咨询业务,是摆在很多求变革、求发展的事务所面前的一个重要课题。中瑞诚会计师事务所甘肃分所2014年成立,成立时间相对较晚,面对行业内审计业务竞争白热化、恶意压价竞争导致很多事务所冒着巨大的风险追求规模的扩张、非注册会计师控制的事务所遍地开花导致的虚假(低质量)报告盛行,从而影响行业形象持续走低等状况,如何探索一条以新兴业务带动传统审计业务稳步发展的路径,是我们确定的事务所第一阶段的发展战略的出发点。经过认真研究,借鉴国际“四大”咨询业务占比持续增长的发展模式和成果经验,我们认为,解决问题(管理咨询)是比发现问题(审计)更能提供客户价值的一个方向。但企事业单位需要解决的问题类型千差万别,会计师事务所能够帮助解决的问题必须要和我们擅长的领域相关,最终我们看到国家对国央企、行政事业单位内部控制体系建设的刚性要求和会计师事务所高端人才具备的专业特长具有很高的契合性,可以成为我们发展咨询业务的切入点。
从2015年开始,我们组织省内外管理咨询专家,投入人力财力研发行政事业单位内部控制体系建设咨询业务。从2017年承接兰大一院内控体系建设咨询业务开始,经过五年多的深耕,在行政事业单位(包括大型三甲医院、高校、政府部门、各大厅局、科研院所等)内控体系建设咨询以及国有大型企业集团的财务管控体系建设、风险管控体系建设、内控体系建设、合规体系建设等方面全方位出击,实施了五十多个评价和建设业绩,形成了会计师事务所实施管理咨询业务的独特方法论和项目实施流程、成果模板等核心技术成果。随着完成项目的不断增加,我们发现内控体系建设项目在具体实施中存在部分单位项目完成的过程中,咨询机构和建设单位花了大量的精力精心设计的内控体系,在成果(内控手册、风险控制矩阵)交付后,委托方具体落地中存在执行效果不佳、影响咨询机构声誉等问题。为此,我们梳理总结出来可能导致内控落地效果的关键因素,和各位同行交流,以助力会计师事务所未来逐步解决这些问题,提高咨询成果的认可度,为客户提供超值服务、提升会计师事务所在管理咨询领域的影响力。
正 文
在实践中,部分行政事业单位、企业集团在聘请咨询公司做完集中建设阶段的咨询工作,咨询机构交付内部控制手册和风险控制矩阵之后,就认为万事大吉,任务结束,成果束之高阁,运行和监督机制难以落实,持续的评价、优化、监督执行流于形式。之前在做手册时,最担心的是内部控制手册的落地实施问题,对咨询机构(会计师事务所)是百般挑剔,提出了很多要求,雄心勃勃。但做完了就雷声大雨点小,从单位领导到具体职能部门都缺乏内控意识,实际执行大部分维持原来的做法,内控体系建设阶段优化的职责、流程、规则得不到有效执行,职能部门不愿意得罪人,相关部门我行我素,内控达不到理想的状态,内部控制手册落地实施的问题逐步显现。于是人们的焦点就又集中在了内部控制的咨询无意义,实施内部控制咨询的第三方都是在做无用功的认知。到底谁对谁错?从事咨询的会计师事务所也很无奈,觉得挺冤枉。因为毕竟自己是无法长期参与到咨询方的具体业务活动中,也无法代替领导层去决策,从成本效益的角度来看,咨询方支付的费用也不足以使得咨询机构投入持续长期的精力去陪着咨询方督导落地实施,而咨询方也无意再每年投入资金聘请第三方提供后续跟踪服务。最后,演变成内部控制体系的咨询活动也就不了了之,难以达到当初的预期效果。
那么,究竟是哪些因素导致这样的局面,事务所如何避免这样的结果发生呢?我们认为,主要的影响因素和解决策略可以从项目实施前和项目实施及交付后两个方面着手考虑和解决。
一、项目实施前
第一,需要在咨询前,咨询机构必须努力与咨询方达成核心共识,将咨询方的预期控制在合理的层面。一般来说,谁最了解咨询方的内部具体情况呢?当然是咨询方,这就要求咨询方在咨询时一定要有人员投入,相关人员必须跟随项目专家组了解内部控制的方法论,了解流程图和制度、岗位职责的具体思路与做法,以便在咨询方撤场后,形成咨询方自己完成新问题、新风险防控措施的完善和解决的能力。也就是说咨询机构在内控集中建设阶段,只能做到替咨询方培养人才,说你不敢说的话,做你不敢做的事,引导咨询方做好顶层设计,针对内控缺陷的具体整改虽然需要双方的共同努力,但主要还是在咨询机构专家的指导下由咨询方完成,达成这个共识至关重要。
第二,要在合同中明确约定,针对专家组识别的缺陷和风险,提出的职责权限的调整、业务流程的优化、具体的制度修订与建立到底是谁的责任。在内控咨询项目实践中,我们一贯坚持这样的理念,咨询机构主要是负责流程梳理与再造工作,在全面梳理业务和准确识别风险的基础上指出现有职责权限划分、业务流程设置、现有制度存在的缺陷和可能给单位带来的风险,最终问题的解决还是要落实到制度层面的建设与完善。但具体的制度制定与修订发布决策是由咨询方完成的,这不是咨询机构的责任。当然,你非要咨询机构参与这一事情,显然是需要在一开始就要考虑投入的时间和成本,做到咨询预算当中去的。毕竟咨询机构有着丰富的咨询经验,拥有的各类制度体系肯定是有很多可以参考的模板,可以根据咨询方的实际情况进行具体的建议和制定相应的制度体系。显然,这需要在咨询协议达成前双方达成共识。否则内部控制手册完成后,还是不具备制度操作性,毕竟许多单位更习惯于通过具体的制度去执行具体的要求。被控制的主体是不可能深刻理解并自觉落实内部控制的三维管理甚至矩阵管理流程图,以及对本单位所形成的组织架构影响及管理方式的改变的。所以,沟通前期必须将咨询方在部门职责、业务流程调整的决策、具体制度建设完善的职责方面进行清晰的划分和约定,以便项目在双方的共同配合下顺利推进,达成最优成果。
第三,在咨询项目的启动过程中,要采取措施引起咨询方管理层的高度重视,最好让单位主要负责人能够实际履行单位内控领导小组组长的职责,在关键节点、关键会议上明确表态重视和支持内控工作,才能保证项目的顺利实施和执行效果。咨询单位的控制环境、单位层面内部控制的建设,会直接影响到未来具体业务活动如何建设,甚至成为未来具体业务活动建设的主基调。但事实是,由于牵头部门的影响力不够或理解不到位、推动能力有限,启动培训和后续培训无法开展或管理层不参与,导致主要领导对内控缺乏认识,很多项目咨询机构现场工作都结束了,撤场了,一把手领导竟然不知道,以为还没有开始,或者还在进行中,这种咨询注定难以逃脱执行效果不佳的结局。因为领导不支持、不参与,你不可能落实领导者的需求及风险容忍度,领导对于利益的权衡、组织架构设置的思路、风险管控的意见不能体现在项目里面,怎么证明咨询是成功的,又如何获得领导者对于结果的支持呢?
第四,培训应该伴随着咨询活动的始终,是项目能够顺利实施和内控制度和手册得到执行的关键。目前行政事业单位和大型企业集团各层级对内控仍然缺乏全面和正确的认识,所以,项目开始和实施各阶段的培训显得尤为重要。这种专题培训既要有总体理念的前期培训,又要有具体风险评估及具体业务活动应该如何实现管控的业务培训,最后还要有手册编制完成,评价完成后针对结果的一个培训,需要双方达成共识和一致意见,将咨询专家的理念和方法传授给单位各层级人员,否则咨询方所涉及到的具体部门是不可能理解咨询机构为什么要做出这些调整和改变的建议,影响未来执行的效果。
第五,内部控制是需要最终融入到单位的各项业务活动之中的,管控的目标最终是要通过内部控制的信息化去实现的。内部控制的咨询是建立了一套内部控制方法改造后的规则,这套规则包括流程的梳理与优化,岗位职责权限的划分,风险点的识别,风险评估后所设计的控制措施的繁简程度,领导者风险容忍度的植入。而这样的管控体系,如果没有信息化的支撑,执行的刚性就无从谈起,管理层凌驾的风险始终存在。这就要求内部控制手册的编写和咨询专家在全面梳理时就要考虑未来信息化的问题,最好是与信息化同步建设完成,这样内部控制也就落地了,咨询的效果也最好。但是,咨询机构和咨询方必须清醒的认知到,目前市场上尚无单独成熟的内部控制软件,单位现有的ERP信息化建设、财务信息化、OA系统的建设等如何体现内控的规则,是否纳入内控建设项目咨询的范围和预算必要的费用是要提前进行明确和约定的,这也是保证项目成果是否能够落地的关键因素。
二、项目实施及交付后
第一,内控缺陷和风险识别阶段完成后,按照咨询机构的建议,咨询单位组织制度的修订工作,由牵头部门与制度归口管理部门针对涉及到的部门进行工作分配,组织开展制度的修订与建立工作。内控体系建设咨询的核心是完善单位现有制度体系,并由最高管理层发布实施,以保证在执行过程中,按照最新的制度去执行,保证制度的全面性和适当性是基本要求。所以,内控体系建设过程中,形成牵头部门和制度归口部门协同,分解任务,及时跟进,按时完成制度完善工作是至关重要的环节,保证制度质量是内控落地的基础。当然,在执行的过程中,肯定会出现这样那样的问题,这就需要咨询方持续性开展评价优化工作,咨询机构咨询成果的交付不是内控工作的终点,而是内控体系建设、评价、优化闭环循环往复的开始。
第二,各部门要及时确认咨询方的成果,针对不合理、不合适的地方形成汇总意见,并由领导班子决策取舍问题,汇总后反馈给咨询方进行修订。这一工作需要牵头部门从一开始就要理解内部控制的工作在干什么,怎么干,咨询方和咨询机构各自负责什么,不是所有的工作都推给咨询机构,毕竟职能权限与业务流程的调整以及增补、修订、废止制度的决策权限在咨询方,体现的是咨询单位领导层的管理理念和单位的管理习惯,咨询机构无法替代咨询单位。
第三,每年要将内部控制评价工作分为自我评价和外部第三方的评价,责任落实到位,才能保证落地效果,形成长效机制。内控的定期自我评价是内控落地的主要保障,自我评价由内控的监督部门组织所有涉及到的部门开展。评价的重点要从设计缺陷与执行缺陷两个维度,按照当年确定的重点领域(或者全面评价,要看单位的规模)进行,具体涉及到岗位、职责、流程、制度、风险五个方面去评价。然后再由第三方针对评价的结果组织再评价,验证我们自己发现的问题是否合理、正确、全面,找出新的内控缺陷或整改不到位的缺陷,最后针对所有评价结果汇总,由内控职能部门再开始新一轮的完善优化工作。总之,内部控制建设只有起点没有终点,并且我们也会发现,内部控制建设与完善不是靠某一个部门可以完成的,而是需要全员上下集体配合才能完成的。
第四,内部控制制度体系、流程体系、运行保障体系经过1-2年的持续完善后,需要逐步在具体的信息系统中进行固化,以保障落地效果。内控的信息化,就是将内部控制的规则、流程、制度,岗位要求,植入业财融合的日常运营管理活动中去,体现为信息系统的细化要求与控制表单,而不仅是信息系统建设的功能要求。管理制度化、制度流程化,流程岗位化,岗位职责化,职责表单化,表单信息化都需要体现在信息系统中。信息系统的建设,作为咨询方也必须认识到,不是简单的线下流程和需求转移到线上,而是改造后的流程和规则通过线上去完成,只要规则设计是合法、合规、合理的,内控的要求全面嵌入到信息系统中,就能保证制度执行的刚性和内控要求的落地,才能最终实现内控咨询目标的全面实现。
总之,企事业单位的内部控制是可以落地实施的,但需要咨询机构与咨询方的共同努力,达成共识,清晰责任。内控体系建设咨询的过程也是知识转移的过程,需要咨询方也要加强学习,毕竟长远来看,内控是咨询方自己的事情,咨询方不能一味依赖咨询机构,将所有的责任推给咨询机构,导致离开咨询机构就没法推进工作,难以保证落地效果,咨询的目标也就很难实现。咨询机构(事务所)也要本着负责任的态度,搞清楚在咨询过程中自己可以做什么,不可以做什么,而不是一味的唯利是图,吃政策的红利,迎合咨询方的不合理要求,给了一个没法落地的成果,最后没有达到咨询的效果,从而堵住了自己未来的业务拓展通道。所以,立足为客户解决问题,在咨询项目实施过程中该细化的地方细化,该简化的简化,该投入的投入,该培训的培训,该培训的培训,认认真真做好每一个项目,不断总结经验,提升我们的专业服务能力,为客户的长远利益着想,我想这样的内部控制建设咨询项目才能真正有实效,给客户带来专业价值,事务所在咨询领域的良好口碑才能逐步树立起来。让我们携手努力、共创事务所光明的未来。