淺談會計內部控制工作的創新

李麗

摘要：會計內部控制工作對于企業發展而言具有十分重要的作用，在新的經濟社會背景下，有必要將戰略控制思維加以融入，基于治理、風險與遵循（GRC）三大模塊開展相關工作。在這種背景下，本文首先概述了戰略控制思維，進而分別分析了GRC背景下構思、籌劃并引領回復企業生機與GRC背景下內部控制工作的開展。

關鍵詞：會計內部控制 工作 創新 戰略控制 GRC

一、戰略控制思維

戰略風險含在COSO ERM的第4個組成要素——風險評估中，但是常被忽略。因為戰略風險問題是股東價值大幅滑落的主導原因，因此，應將戰略風險控制納入內部控制計劃中。就COSO ERM“戰略與目標設定”組成要素而言，企業應以籠統的語詞設定使命或愿景，再根據其渴望達成之事項設定目標，而戰略目標是屬于高層級的目標，應支持企業的使命并與其一致。至于戰略，其是一項行動計劃，設計用來達成特定的企業目標，是與如何達成目標有關。戰略的層級可分為：公司戰略、業務單位戰略、功能性戰略與營運戰略。戰略控制可能系對戰略管理的任一項要素（包括：目標、設定戰略、規劃、執行、評核）進行控制。戰略控制的范圍應涵蓋所有層級，自企業整體、功能性單位、地區、業務單位，乃至于流程。以AXA Equitable Life 為例，戰略控制是：戰略性專案的事前復核；戰略性項目的事后復核；核心業務中所選定戰略流程的事后復核。；根據高層管理人員的請求對戰略性決策的事前營運復核；業務的績效或標桿復核。

二、GRC背景下構思、籌劃并引領回復企業生機

治理、風險與遵循（Governance， Risk and Compliance，簡稱GRC）是：從了解戰略目標、使命與經營模式開始；對監督功能作全面性的審視；從各種監督功能集結與風險有關的信息；考慮的范圍包含人、流程與技術。GRC不是：并非僅為一項技術方案，而常包含賦予技術能力；并非僅為企業風險管理的另一個名稱；并未消除對現存功能的需要，如遵循；并非僅為概念性的。

目前存在許多公司中的GRC以及保證性功能常無法協調一致，以至于未必能達成其維護公司營運，進而改善整體效率與績效的核心目標。依據KPMG的調查報告顯示，在GRC匯合（GRC Convergence）方面，使機構有興趣的影響因素（驅動因子）包括：整體經營的復雜性（44%）、想要降低機構的風險（37%）、想要改善公司的績效（32%）、對避免道德與聲譽丑聞的關心（32%）等，而無興趣者則僅有1%。KPMG的GRC整體模式設計，提供一個清楚的架構，將風險管理及遵循活動與治理、機構文化、保證及報表連結。第一個步驟就是要將GRC與機構的使命結合，然后將其轉化為戰略目標，包括下列：戰略：我們想要達成什么？價值：我們象征什么？經營模式：我們如何組織？價值趨動：什么因素影響我們機構的成功？

在機構與整體模式的核心為經營流程。這些流程應有很強的控制能力。圍繞著流程的是GRC的運作模式，包括治理、風險管理與遵循管理，并付諸實施，以驅動企業的保證作業。有4個關鍵組成要素必須平衡，以使其能保持彈性：風險方面為了解并量化機構所面臨的風險；文化與行為方面為在每日的行為中置入風險管理；治理、組織與內部架構方面為監督經營流程及決策制定；企業保證方面為評估、監督與報表控制的有效性。GRC的指引原則為：誠正、紀律、責任、溝通、可課責性、獨立、透明。KPMG的GRC整體模式（KPMG's GRC Holistic Model）包括：實施GRC的步驟包括評估現行與想要的狀態、設計及建置GRC的架構、實施GRC的架構、維護GRC架構。

在GRC匯合上有三道防線：第一道防線是業務擁有者。關鍵職責包括管理、遵循、實施（業務單位/流程擁有者、戰略規劃、權限管理/技術支持）。第二道防線是準則制定者。關鍵職責包括建立政策、提供戰略連結、指引&協調、辨識企業趨勢（風險管理、財務報表、SOX、法令、遵循、隱私權、采購/供應商管理）。第三道防線是提供保證者。關鍵職責包括聯系高層管理人員與董事會、合理化的報表、提供監督與保證（內部控制）。

三、GRC背景下內部控制工作的開展

（一）扮演的角色

GRC可確保已置入適當的控制以處理相關風險、可確定控制運作的有效性、可確定有效率的使用資源及GRC系統的響應、提供董事會及高層管理人員有關GRC系統的效果與高績效。而內部控制在GRC的角色在于：參與GRC系統的設計，以確保其可衡量性（你只能衡量可衡量的事項），包括為了其有效性、為了高成效的價值兩個方面；協助選擇與風險及控制結合的指標，包括考慮風險的優先級、考慮各項對其他項的關系、考慮發現事項的行動能力三個方面；對控制的制訂提出建議；執行定期評估，包括GRC系統設計的有效性、GRC系統運作的有效性兩個方面；支持取得GRC系統的認證。

（二）工作要素與運作實務

GRC系統含有8個整合要素與8個普遍成果。8個整合要素為：組織與監督、文化與內涵、評估與結合、預防與促進、監督與識別、響應與解決、信息與整合、監控與衡量。8各普遍成果包括：達成企業目標；提升組織文化；增進利益相關者信心；預備與保護組織；預防、監督與減少災難；激勵期望的行為；促進回應與效率；最合適的經濟與社會價值。8項整合要素的運作實務分別如下。

第一，組織與監督。包括：決定是否就企業整體實施GRC系統，或分階段實施；制定GRC系統可衡量的目標、指針、門坎與可容忍度；決定系統各關鍵層面應負責的角色，并通過賦予決策權與資源，使其能運作；辨識每個角色需要獨立、透明的特定層面。

第二，文化與內涵。包括：定義現有的內部與外部的內涵，這又具體涵蓋辨識會影響組織達成目標的因素與事件、辨識利益相關者及其意見的影響；了解現有文化，這又具體涵蓋分析道德文化與領導人員、分析風險文化、分析治理文化與管理風格；建立價值與目標，這又具體涵蓋定義并取得對使命與價值的承諾、定義一組平衡的領先與落后指標，以協助管理人員了解組織是否在所定義的容忍度范圍內達成目標。endprint

第三，評估與結合。包括：辨識可能影響目標達成的因素，這又具體涵蓋內部與外部因素的變更所導致的風險、因不正直或未遵循規則所導致的風險、流程與技術的不適當或疏忽、組織與員工的風險傾向及其相互間的關系；建立現行的風險類型，這又具體涵蓋分析組織固有弱點與現行方式，將風險與剩余風險水平最適化、評估現行最適化活動的效果、效率與回應速度，確保能建立最優先者；決定最適化的風險，這又具體涵蓋制訂風險指標，以期能在關鍵風險事件發生或潛在發生時告知管理人員、考慮到機會以鞏固并置入活動。

第四，預防與促進。主要是促進并鼓勵想要的行為，預防不想要的事件或活動，混合使用控制和激勵，包括行為準則、政策、預防性控制（技術、流程、實體、人員）、認知與教育、人力資本激勵、理財/保險、利益相關者的關系/需求。

第五，監督與識別。包括：建立熱線，以及取得員工與利益相關者意見的方法；建立流程的控制活動與程序，以監督有害事件、未遵循與錯誤行為；使用一份工作考核檢察表，對于GRC系統的有效性，詢問有關觀察到的或懷疑的錯誤行為與想法；監控監督技術的控制指標，以辨識實際或潛在的未遵循與錯誤行為。

第六，響應與解決。包括：制定程序以調查遵循或道德問題；依照所建置的層級規則，與適當的管理人員、監督體系及其它利益相關者溝通結果與建議；建立改正的技術控制，使能終止、減緩或從有害事件中復原，并使未來不至于發生；建立監督機制及負責的部門，以確保改正的控制活動被執行。

第七，信息與整合。包括：辨識與管理GRC信息的定義與程序；收集、存取及使用GRC信息的政策與程序，這又具體涵蓋存取控制是許多風險與規定的關鍵、數據的安全與隱私應予考慮；符合規定與復原目標，在延伸企業中儲存GRC信息的政策與程序；管理非正式GRC相關溝通的計劃；用來與現有技術投資整合的技術架構。

第八，監控與衡量。包括：持續監控改變，其可能對組織有直接、間接或累積的影響；按照所辨識的規定或關鍵風險，計劃定期再評估GRC系統的設計，這又具體涵蓋基于規定或風險的改變及辨識所需要的改變、分析最佳風險活動的潛在失敗以及所使用方法的可能失敗；按照設計，定期評估GRC系統的運作。

參考文獻：

[1]曹路.國有企業母子公司有效管控體系的探討[J].經濟師，2008

[2]許丹，張記朋.基于集團管控框架的財務管控模式研究[J].現代經濟信息，2011

[3]張建軍.淺談集團財務管控體系建設[J].經濟研究導刊.2009endprint