浅谈企业内部控制体系的建设
2010-10-09东莞职业技术学院马锦清
东莞职业技术学院 马锦清
浅谈企业内部控制体系的建设
东莞职业技术学院 马锦清
企业内部控制已经成为企业管理的重要组成部分,2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》,标志着我国企业用以规范发展、规避风险的内控指南已初步建立。在当前发展形势下,我国企业内部控制制度产生的新变化,对企业加强内部控制提出了新的思路和途径。本文就此进行初步探讨,结合实际操作中需注意的一些问题,提出完善内部控制的对策建议。
内部控制体系 企业内部控制 基本规范
一、企业内部控制体系建设的现状分析
《企业内部控制基本规范》在企业内控体系中处于最高层次,起统驭作用,为企业内部控制制度的建设提供了指导性纲领,促进了企业管理制度的完善。但具体实践中,还是存在很多不尽人意的地方:
1.企业内部控制得不到重视,控制环境不良
控制环境是企业内部控制的核心,是其他要素发挥作用的基础,直接影响企业内部控制的贯彻和执行。但目前我国企业的内部控制因为没有强制的有效性界定的限制,很多企业经营者并不重视内部控制制度的建设,没有设置相应的部门机构进行专门管理,人事安排也达不到制度管理的需要,无章可循或有章不循的现象较为严重。还有很多企业受经济性质的影响,政府干预行为过多,内部控制被人为操纵,有效性受到质疑,整个内部控制缺少独立的执行空间,控制环境不利于开展内部控制制度的建设。
2.缺乏实之有效的内部控制制度
由于企业经营者风险意识较差,对于经营环境的变化、采取新的或改良的信息系统、应用新技术、开发新产品等现代企业风险估计不足,对风险防御措施的要求也较低。只追求眼前不丧失巨额的经济利益,没有考虑企业发展的长远目标,也就没有涉及与风险管理相应的内部控制制度;或者内部控制制度时为了应付检查,不是从本单位的实际情况出发,仅从现有的规章制度中摘抄,从设立开始就一直停留在纸上谈兵阶段,未能有效执行,内控制度缺乏实用性和可操作性。
3.企业信息共享度低,沟通不顺畅
内部控制要想有效地开展,必须借助于企业良好的信息系统,职能部门及时获得其他各个部门的工作进展状况。而在我国企业中很多事务由于信息达不到共享,沟通不畅,各个部门封闭运行,有限的资源得不到合理配置,常会发生资源的浪费。有的信息还可能被随意控制,管理者在做出经营发展决策时面临较大的决策失误风险。
4.企业控制活动不当,内部监督不力
目前很多企业的董事会及公司经营管理的权力集中于法定代表人一身,这种权责划分使“内部人控制”现象不断升级,影响了整个企业的控制活动的开展。而且内部审计应该是企业内部控制制度的一个重要组成部分,但相当一部分企业内部监督体系残缺不全,没有设置内部审计机构。即使设置了内审机构,也是有名无权,审计工作无法开展,其职能也已严重弱化,严重影响了内部控制的有效性和执行力。还有的企业虽然建立了严格的监督机制,但监督内容不够全面、不够科学,侧重于事后监督,对事前控制不做要求,也未设置相应的考核评价指标,审计人员的工作开展的实效得不到鉴证,内控措施难以真正落到实处。
二、完善企业内部控制的建议措施
1.强化控制意识,增强内部控制的权威性
企业首先应充分认识到实行内部控制的必要性,树立正确的内部控制意识。管理者要提高自身的管理水平和管理思想,将内部控制制度的建设提到重要日程上来,并为其排除可能存在的制度建设障碍。在机构设置上科学规划内控部门的权力与职责,保证内控工作人员顺利开展工作,并结合企业自身的特点,加强对员工业务技能和内部控制知识的培训,或通过内训、考证、研讨等方式促进内部审计人员综合素质的提高,培养其采用现代内部控制信息技术手段的能力,改进传统审计方法,提高监督质量,规避企业风险。
2.改善内控环境,突出关键控制点
首先应该构建浓厚的企业文化氛围,创造良好的内部控制环境,通过加大宣传和培训贯彻力度,强化全员内控意识,规范员工内控行为,提高推进内部控制工作的积极性。其次建立科学高效的内部控制岗位责任制,明确权利与责任,调动企业内部各成员实施控制的自觉性,为内部控制的不断完善创造条件。此外,还需注意突出关键控制点,结合企业实际情况,在保证内部控制整体流程的有效性的前提下,对内控设计和运行情况进行评估,关注各关键控制点,有重点地解决最有可能带来风险损失的事项。以电信企业为例,由于电信运营商的运营业务基本是以信息技术为支撑,考虑到这个行业特点,再参考《萨班斯——奥克斯利法案》的要求,据需要着重从TI控制环境、计算机操作、程序及数据的访问、程序开发及变更等方面进行改善,这种内控关键点的把握可以提高工作效率,节约人力物力。
3.加强企业内部控制的评价与监督
首先需建立事前、事中、事后监督体系。改变以往只重视事后监督的方式,对各项业务进行全程监控,尽可能地发现所有风险因素。但全程监控还应注意要有选择、有重点对风险高点进行反复监督控制,以保证内部控制机制的高效性和可靠性。其次因为《内部审计准则第5号——内部控制审计》明确了内部审计与内部控制是检查和被检查、评价和被评价的关系,内部审计是对控制系统的再监督、再控制,在控制系统中具有不可替代、举足轻重的地位,所以有效地执行内部控制必须加大内部审计的监督力度。内部审计机构应当随时对内部控制制度执行情况进行检查,监督企业内部各项规定的落实和执行情况。对监督检查中发现的内部控制重大缺陷,直接向董事会及审计委员会报告,为改进企业内部控制提供建设性意见。还可以借助政府和会计师事务所等外部审计力量实现对内控的双重监督,从而对企业内部控制进行独立、客观、公正的评价。
4.建立完善的企业内部控制体系,强化信息沟通
企业在建立内部控制体系时,在遵守现有法律规范的基础上,必须与企业发展的具体条件和环境相结合。在设定控制目标之后,可采取以点带面全面展开的策略,逐步健全多目标、多层次的内部控制整体框架,并随着内控活动的开展不断修改、完善,使其更好地为企业发展服务。同时要强化信息系统的沟通,确保组织中每个人都明确各自所承担的特定职务,能及时获取与外部的事项、活动及环境等有关的信息,调整自己的业务活动,保证工作效果不与企业发展目标相偏离,减少内部控制的工作量。
三、建设内部控制体系需注意的问题
内部控制对企业的风险管理成效显著,但在具体的管理中还必须对内部控制有正确的理解,需注意以下问题:
1.内部控制具有相对独立性,只是控制过程的一部分
企业应该努力建立完善的内部控制体系,但内部控制体系只是具有相对的独立性,它可以通过控制监督发现企业存在的风险隐患和管理问题,却不能完全解决差错和避免一切舞弊的发生。管理层不能对内部控制提出过高的、不切实际的要求,不能完全依赖于内部控制体系来实现发展目标。内部控制也不是企业控制工作的全部内容和管理方式,内部控制要想收到预期的管理效果,还必须与其他部门密切配合,形成一个统一的、互相促进的整体,共同为企业的风险管理而努力。
2.要注意处理好内部控制与风险管理的关系
企业加强内部控制目的就是全面提升企业经营管理水平和风险防范能力,是企业风险管理的重要手段、核心内容。通过内部控制可以促使企业建立有效的风险管理系统,科学合理地开展风险的识别、评估、分析、报告等工作,增强风险管理的效率,将各种风险对企业可能造成的不利影响降低到最低程度。因此企业的内部内控应该与风险防范相结合,形成有机统一体,提高企业的管理效率。
3.企业内部控制体系建设的目标确定
企业内部控制作为企业管理的一种手段,其最终目的不是发现问题、惩罚失误,而是要通过有效地内部控制手段实现企业价值的最大化。如果内部控制活动偏离了企业价值最大化的终级目标,其监督控制行为效果就不会是最佳的,不仅不会给企业带来应有的效益和管理流程的改进,还可能引起其他部门的反感,激化利益矛盾,牵连企业其他项目的发展。因此,建立在价值管理基础上的内部控制,才是企业所要建立的真正有效的内控体系。
4.将企业内控建设纳入经营业绩考评体系
目前我国企业刚刚处于内控建设的初期,员工受思想观念的局限,对内控的重要性认识不足,开展工作积极性不高是普遍现象。要想真正将内部控制落实到位,就必须将这种制度的贯彻落实与员工最切身的利益相连,即把内部控制抽象性、要素性的方法和程序设计为企业具体可操作的方法与程序,对每个步骤制定考核指标,将企业内部控制建设同绩效考核挂钩,调动工作人员的积极性,保证内部控制工作在各部门的贯彻落实。
[1]胡兴国.论中国特色的企业内部控制监管体系.财务与会计(综合版),2009;8
[2]徐哲.董事会与企业内部控制环境创建.经济与管理,2008;2
[3]胡玄能.企业内部控制规范解读.新华出版社,2008