美国金融危机的爆发,带来了全球的新一轮经济衰退。究其原因,则是自由经济所导致的政府控制缺位,金融企业的创新出了位,正如华尔街的反思:将灵魂出卖给了魔鬼;从国内看,三鹿集团的风风火火,却一朝倾塌在三聚氰胺之下,企业董事长受到起诉;这一切,都能让人感受到企业在经营上的浮躁、利己和急功近利,严重忽视经营风险,结果给社会给自己都带来严重的后果。企业生产经营的外部环境正在发生着巨大变化,外部的监管正在加强,市场的游戏规则正导向在可持续发展上,政府宏观管理的要求促使企业的内控机制必须尽快完善和加强。
《企业内部控制基本规范》(以下简称规范)的出台为企业建立健全内部控制机制提供了依据。作为针对上市公司的刚性规范要求,《规范》提出了建设框架,包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五个方面的要素。按照要求,上市企业不仅需要建立这一内控机制,还必须要定期对内部控制的有效性进行自我审计评价,并向外部披露年度自我评价报告,也可聘请具备资格的第三方来对内控有效性进行审计和报告。
虽然从表面上,《规范》约束的是企业的财务管理行为,而背后却是反映着对企业的人力资源管理的要求,要求企业必须改进完善内部人力资源管理体系,财务管理的指标反映着企业经营的结果,而人力资源管理状况则反映着达到这一结果的过程,是领先性管理指标,结果上的风险产生来自于过程。从企业内控要求的人力资源管理改进上,笔者认为如下方面是需要重点关注的:
经营理念风险
人的风险是企业经营的最大风险。管理基于文化,行动受控于理念,《规范》明确提出了企业需要加强企业文化建设的要求。社会责任感、诚实守信、风险意识等等成为要要求的企业文化的重要成分。
企业是否有相关的使命、愿景和核心经营理念和价值观的阐述和承诺,以及有否相关的培训沟通活动开展以及榜样树立的价值导向,是需要在内部控制审计中需要关注的。
企业生存的理由是其功能性,也就是为社会提供符合使用期望和要求的产品,通过符合要求的产品的提供为自己带来财务上收益,这是双赢的结果,如果是在企业内部的经营风气中只强调自己的利益,只强调获取,而不讲求付出,就会出现欺诈,导致企业经营的短命,这是最大的风险所在。
人员配置风险
《规范》中对企业的组织机构和岗位设置提出了明确的要求,组织保障是实现内部风险控制的基础。不仅是要求企业需要作到业务运作的职责清晰和明确,而且对于内部审计的职责分配也提出了相应的规定。
《规范》第二十二条规定在内部风险的识别上,明确了有关董事、监事、经理以及其他高级管理人员的职业操守方面的风险以及员工的专业胜任能力方面的风险,这要求企业必须加强任职资格管理控制,以及岗位工作能力控制。
《规范》提出了关键岗位的强制休假制度以及定期岗位轮换制度的执行的要求,这表明在企业的人事任用上,需要明确关键岗位名录的建立和维护,并需要有强制休假的记录,同时,对于关键岗位人员需要定期进行岗位轮换的记录。
在企业的保密性要求上,《规范》提出了掌握国家秘密和重要商业秘密的员工离岗需要有限制性规定,从而要求企业需要对涉密岗位进行识别,需要有脱密期概念,涉密岗位人员的离职需要有一个过程来证实企业对商业秘密保护上的风险控制措施。
法规执行风险
《规范》在企业外部风险的识别上,明确提出了法规和监管要求等法律风险的控制。在企业的人力资源管理领域,企业需要遵循一系列的劳动管理法规,例如08年实施的《劳动合同法》、《就业促进法》、《劳动争议调解仲裁法》、《职工带薪年假条例》、《劳动合同法实施条例》以及当前部分条款依然有效的《劳动法》的规定。
《劳动合同法》明确规定自用工自日起1个月内需要签订书面的劳动合同,需要没有作到将有两倍工资处罚的风险;《劳动争议调解仲裁法》要求在用工纠纷中企业承担举证责任,例如加班休假的记录缺失将使企业存在承担不利后果的风险;《就业促进法》要求企业不能有就业歧视,比如性别歧视、宗教歧视、民族歧视等等;原劳动和社会保障部的《禁止使用童工的规定》要求企业不得使用16周岁以下的童工等等。
政府的政策法规体现着游戏规则和宏观管理的要求,不遵守游戏规则的后果是严重的,一个企业做到了财务上的赢利,如果其背后是违法行为作为支撑,是以牺牲员工权益为代价,那这企业的经营风险就可想而知。
企业制度风险
在当前强调的企业文化建设中,其最高层次是企业的理念层,体现为自觉的潜意识成分,是经过企业长期的修炼和积累而成的,在之下则是制度层,这是形成一般意识的关键,企业的各项人力资源管理政策措施,都是为这一目的而服务的,都是在告诉员工,什么样的行为是被鼓励的,什么样的行为是被禁止的;在制度层之下是行为层,表现为行为技能。
企业的内控机制需要实现的员工行为表现上对风险的控制,其背后的直接支撑是企业的HR管理制度,《规范》中明确提出对企业人力资源政策的要求范围,比如员工的聘用、培训、辞退和辞职;员工的薪酬、考核、晋升与奖惩。这些政策都是实现企业内控有效性的必要条件。
这些条款要求企业需要建立和实施规范的人力资源管理流程,首先是要有明确的相关制度规定,然后是制度必须被有效地执行,再次是制度的执行需要做到实现预期的人员能力控制和价值导向的目标。流程规范的价值就在于控制流程的风险。
《规范》中尤其强调企业内控制度本身必须要纳入绩效考评体系的问题,如对反舞弊机制的建立要求,对举报投诉制度和举报人保护制度的建立要求等等,也只有企业对于内控的重要性认识达到是企业级的价值导向的层次,也才能真正作到控制的有效性。
信息沟通风险
企业的风险控制的要点是决策,而决策受控于信息,从而信息的及时获得以及信息的全面性就成为影响企业内控有效性的关键因素之一。
企业的内控需要实现全员的参与才能实现有效,在这一点上《规范》明确要求企业需要做到使全体员工掌握内部机构设置、岗位职责、业务流程等情况。组织人事信息和人事政策的知道是风险控制执行的前提,企业的HR部门需要及时将人力资源政策的变动以及组织人事的相关变动情况及时在内部进行沟通,全体员工均应有方便的手段和措施来及时获取这些信息。
从各个业务职能的协作上,有关人力资源政策的执行情况,如考勤休假结果、绩效考评结果等信息也需要在相关部门之间进行及时沟通,以避免在工作配合上带来可能的风险,以及保证内部人力资源政策执行的公正性,形成良好的内部氛围和企业凝聚力。
过程执行风险
《规范》对企业内控机制的建立和执行提出了大量可操作的要求,尤其是在信息记录和信息的传递沟通上,从而在正常的企业经营之外,将附加一个较大的执行成本,增加了企业的管理负担;不仅如此,由于执行《规范》需要进行风险的识别、评估、分析、应对等等,面临的大量数据信息的处理,如果只是依赖手工进行,将使得这一执行过程本身面临着巨大的风险,导致风险控制机制本身存在着有效性的风险。
要解决这一问题,就有赖于信息系统的辅助流程优化来提供帮助与支持。比如人事组织信息的沟通、人力资源政策执行结果的沟通,可以通过HR软件的员工自助服务和经理自助服务来予以实现;比如有关劳动合同签订相关的风险应对,可以通过HR系统中的自动预警提示来辅助进行控制;比如劳动争议应对需要的大量记录,可以通过电子化的工作流程来形成电子记录、或是通过信息系统的自动调用数据信息的批打功能来辅助实现预防;比如绩效考评的完整记录和追踪,可以通过信息化的HR绩效考评流程来自动形成相关记录;比如说对于反映人力资源管理状况的诸多指标的监督跟踪例如离职率、有效用工率、员工出勤了率、平均工作负荷时间、平均招聘到岗时间等等,也可以通过HR信息系统的自动统计得到,通过指标的监控来及时识别可能的人力资源管理风险,及时记录和评估风险,并制定相应的风险控制和应对措施。
这一人力资源方面的风险还需要与企业的生产计划紧密结合起来才能有效控制风险,从而要求风险控制必须是系统完整的,不能是孤立地看待问题。例如企业的生产扩张,在带来生产规模的扩大的同时,还带来了人力资源配置增加的变化,需要相应提前采取招聘措施,否则将因人力资源不足而影响生产经营的正常开展;这一资源方面的风险控制,还需要企业必须随时关注外部人力资源市场的供给状况和供给水平,并需要根据相应情况及时调整人力资源政策,以有效化解可能的资源不足和资源浪费和资源损耗等各方面的经营风险。这些决策都有赖于给予完整、系统、全面的信息化经营管理平台来辅助实现。正是考虑了企业的执行成本和内控有效性的缘故,《规范》中也专门提出了与企业信息化有关的规定和要求:
◇针对内控信息系统的建设方面,《规范》第七条提出,企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
◇针对内控信息的有效沟通方面,《规范》第三十八条中提出,企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
◇针对信息系统本身的风险管理方面,《规范》第四十一条 企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。由此可见,企业建设符合《规范》要求的内控机制,是需要在一个充分实现信息共享和集成的环境中才能实现有效性。而采用信息技术来实现的企业HR管理风险管理和控制是其中一个重要组成部分。