內控的循環文件,最好分層來寫。同樣一份文件,有些部分是不能隨便動的控制原則,有些是隨時得跟著營運調整的做法和表單,該用不同規格對待。這篇談的,就是怎麼分這幾層,以及為什麼分對了公司最省事。
把循環文件當成一部法律體系,會清楚很多。法律有層級:憲法在最上面,改動要走最高的程序;底下是一般法律,立法機關就能修;再下面是各種施行細則和表單,主管機關自己發布、隨時調整。內控文件也該這樣分,分層的依據只有一個——改這東西,該有多難。
第一層:制度與控制原則,是公司的憲法
最上層是控制原則:這個循環要防什麼風險、職能怎麼分、哪些事一定要由不同人來做。請購、採購、驗收、付款不能同一個人經手,這種原則放在這層。它寫得抽象、穩定,不寫到「用哪張單、填哪幾欄」那麼細。
這層的修改門檻最高。公司的內部控制制度本來就由董事會通過,動到這層的原則,等於修憲,要回董事會。法規在某些地方還更嚴:像取得或處分資產、衍生性商品交易、資金貸與他人、為他人背書保證、關係人交易這幾種作業程序,法令點名一定要經過董事會,有些還要股東會。這層難改是應該的,它一鬆,整個控制的骨架就垮了。
第二層:作業辦法,是把原則變成做法的法律
中間層回答「誰、在什麼時點、用什麼步驟做」。原則說「請購要先核准才能採購」,辦法就把它寫實:誰提請購、核到哪一層、金額到多少要再上一級、例外狀況怎麼處理。
這層對應一般法律,比憲法細、比表單穩,改動經過權責單位的主管核定,不必驚動董事會。把大部分操作細節放在這層,是刻意的安排。公司營運會變,流程得跟著調,這些細節如果全寫進第一層,等於每次微調都要修憲,公司會被自己綁死。分層的用意,就是讓多數調整停在這一層就解決。
第三層:表單與紀錄,是隨時可換的附件
最底層是執行時實際產生的東西:請購單、驗收單、權限設定表、簽核紀錄。它是控制的載體,不是控制本身。欄位增減、格式調整、換個系統畫面,這層改得最勤,多半單位主管核定就行,有些只是版本更新。
要留意一件事:表單可以常改,但不能無痕地改。改了什麼、誰改的、是哪一版,得留得下來。這條紀律本身屬於上層,不會因為表單好改就跟著鬆掉。
分層的真正目的:該穩的穩,該活的活
分三層,是為了解決一個矛盾:控制要夠穩,穩到查核採信;營運要夠活,活到跟得上業務。所有東西都寫進第一層,公司穩了卻動不了;把該守的原則丟進第三層,靈活了卻守不住。功夫全在一件事——判斷一條規則該落在哪一層。
判斷有跡可循,問三個問題就好。這是原則,還是執行細節?改了它,會不會動到這個循環要防的那個風險?它多久會變一次?越接近原則、越牽動風險本質、越少變動的,往上放;越是操作細節、越不影響控制本質、越常變的,往下放。
這套架構,會在查核時替你說話
會計師查內控,核心看兩件事:制度有沒有被確實遵循,制度有沒有跟著營運更新。文件分了層,這兩件你都答得清楚。一條控制從原則、做法到紀錄,在三層裡追得下來;每一層的修改,又都對得上相應層級的核准——表單改了有主管核、辦法改了有權責單位核、原則改了有董事會決議。
實務上這些作業規章至少每年要檢討修訂一次。分層之後,你清楚知道每年該回頭看的是哪幾份、由誰負責,而不是面對一大疊扁平的文件無從下手。
回到九大循環。每一個循環的文件,都該照這三層來搭。後面逐篇拆解時,會反覆用到同一個分法:哪些是該寫進制度的控制原則、哪些落在作業辦法、哪些只是表單。先把這層架構記著,後面每一篇都會用到。
