企业内部控制中公司层面与业务层面的关系
2013-08-15徐春阳
徐春阳
(胜利石油管理局 财务监控中心,山东 东营257000)
内部控制是指企业决策层、管理层和操作层为实现经营目标、财务目标、合规目标,而实施的一系列控制措施和过程,是企业规范经营行为、防范经营风险、提升管理效果的重要手段。目前,国内外理论界和实务界普遍认为内部控制主要包括五个方面,即内部环境、风险评估、控制活动、信息与沟通、内部监督。其中,内部环境是实施内部控制的重要基础,风险评估是内部控制的首要前提,控制活动是内部控制的具体措施,信息与沟通是内部控制的必要条件,内部监督是内部控制的保证手段。企业在实务操作中,需要将以上五方面按公司层面和业务层面进行控制,因此,企业在内部控制过程中理清好两个层面的关系十分重要和必要。
一、公司层面控制内容及其基本要求
公司层面的控制是指存在于公司整体层面,对业务层面实施的控制措施产生普遍、深远影响的控制,体现公司的风险管理理念、风险承受能力、公司治理监控水平、对道德价值观的遵守、人员素质与发展水平以及职责权力分工。根据《企业本部控制基本规范》,公司层面控制的主要内容包括内部环境、风险评估、信息与沟通及内部监督四个部分,其基本要求主要体现在企业体制、机制、规章、制度等方面。
1.内部环境。内部环境是建立与实施内部控制的基础,包括治理结构、权责分配、发展战略、人力资源、社会责任、企业文化、反舞弊及内部审计等方面。一是治理结构。企业要根据国家有关法律法规和公司内控手册的要求,按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则,明确本企业的治理(管理)架构和内部职能机构的设置和职责。如上市公司必须建立健全股东大会、董事会、监事会和经理层,以及结合生产经营特点和内部控制要求,采取职能制或事业部制设置内部组织机构。二是权责分配。企业要按照公司内控手册中权责分配的原则和规定,结合本企业业务特点和管理需要,按照权责对等的原则确定权限层级、标准,建立本企业的权限指引和授权机制。尤其应建立审批行为的自律机制,对权力行使应有规范要求,形成恰当的制衡和授权机制,权责清晰、授权有度,防止权力行使的随意或滥用。三是发展战略。企业要结合外部监管要求,结合本企业的市场机会、可利用资源水平和自身优势与弱点等情况,制定、实施、监控和动态调整本企业的发展战略,落实公司发展战略并体现公司的相关要求。如近几年国内、外对环境保护提出了更严格的要求,许多企业适时调整,将“绿色低碳”作为发展战略之一。四是人力资源。企业要按照公司人力资源管理的相关要求,结合本企业人力资源管理现状,制定本企业的人力资源规划,建立健全本企业的人员引进与开发、使用与退出等机制,充分体现本企业人力资源管理特色。五是社会责任。企业要根据公司社会责任管理体系,在安全生产与环境保护、节能减排与产品质量、促进就业与保护员工合法权益、社会公益等方面的要求,结合本企业的社会责任工作开展情况,建立并完善本企业的社会责任管理工作,落实公司针对社会责任工作的相关要求。如国有企业必须按照《工会法》要求,成立工会组织,定期召开职工代表大会。六是企业文化。企业要在遵循公司统一的价值理念、企业愿景、企业精神、企业作风以及经营理念的基础上,塑造企业文化并定期开展评估和创新,落实公司针对企业文化工作的相关要求。如中国石油化工集团公司提出“爱我中华,振兴石化”,制定下发企业文化建设纲要等企业建设活动。七是内部审计。企业要在遵循公司内部审计工作要求的基础上,结合本企业内审机构和人员设置,以及内审工作开展情况,建立本企业内部审计管理制度和程序,明确本企业内部审计基础管理工作。如作为上市公司应成立审计委员会,保证工作的独立性。
2.风险评估。风险评估是内部控制的首要前提,是在风险识别和预测的基础上,采用定性或定量方法,对风险发生可能性和影响程度进行预计和估算,最终确定风险评级的过程。具体内容包括风险管理组织体系、风险识别和分类、风险评估、风险应对及风险监控与报告等。企业应全面梳理、识别和评估影响目标实现的相关风险,建立本企业风险清单或风险库。针对不同风险,结合本企业的风险偏好和承受度,权衡利弊,按照成本效益原则制定完善相应的规避、降低、分担或承受措施。通常情况下,内部风险可以进行有效防范和控制,外部风险主要采取规避。
3.信息沟通。信息沟通是内部控制的必要条件,指信息在公司内部各层级、各部门之间以及公司与客户、供应商、监管者和股东等之间的传递。包括信息收集机制、信息沟通机制、内部报告、保密管理及信息技术整体控制。企业信息沟通的内容,应包括信息收集机制、信息沟通机制、内部报告管理、保密管理和信息技术整体控制五个方面。企业应识别来源于本企业内部及外部、与经营管理相关的各类信息,明确本企业的信息收集渠道和方式,建立内部及外部沟通机制,制定内部报告体系及信息保密制度,并加强信息技术整体控制。
4.内部监督。内部监督是内部控制的保证手段,是公司对内部控制建立与实施情况进行监督检查,评价内部控制设计和运行的有效性,发现内部控制缺陷,提出改进措施并监督整改情况的过程。主要包括对建立并执行内部控制的整体情况进行持续性日常监督,对内部控制的某一方面或者某些方面进行专项监督,以及提交相应的检查评价报告、提出有针对性的改进措施等。企业内部监督的内容,应包括内部监督架构、内部监督分类及内部控制评价两个方面。企业应参考公司内部监督架构和内部监督分类并结合自身情况,建立本企业的内部监督架构及分类,明确各层级职责。根据本企业的架构及分类,建设内部控制评价和测试机制,健全本企业的内部控制监督机制。
二、业务层面控制内容及其基本要求
业务层面控制是内部控制具体实施,是各种控制措施和要求的集成,为达到特定的目标而由不同的岗位分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位之间进行转接成为可能,构成闭环系统。目前,业务层面控制活动一般应包括:生产、销售、采购、成本、资金、资产、工程、担保、合同、信息管理等方面。控制措施一般应包括:不相容职责分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等,每一项控制措施独立或组合用于各类活动中。
企业可采用内控业务流程形式,将以上生产经营管理活动分解成多个内控流程。每个业务流程应明确控制目标、控制风险、控制步骤、不相容岗位、对应权限和职责。从发起到结束,每一个内控流程步骤由一个或多个控制点构成。控制点内容应执行主体、执行动作、执行结果,执行动作中应采用一种或多种控制措施。以采购活动为例。企业首先应分析评估采购活动各环节存在的风险,其次针对风险明确控制目标,最后围绕目标制定控制步骤,每一步骤明确控制点内容。并严格依照各步骤涉及的物资采购、合同、财务、考核等部门及岗位的职责,实施计划控制。
通过内控流程体系进行业务层面控制,能够梳理各业务流程,突出流程中主要风险及关键控制点,更加清晰的反映企业实际生产经营过程中面临的风险,并实施针对性控制,加强企业对于风险的反应及处理能力。同时,也易于企业按照流程体系对风险控制情况进行检查监督。企业需要注意的是,以流程形式实施业务层面的内部控制,既要坚持全面性原则,尽可能全过程、全方位、全覆盖,又要坚持成本效益原则,突出重点,以控制有效来保证经营高效。
三、公司层面与业务层面的关系
通过分析了解公司层面和业务层面的控制内容和要求,可以清晰地看到两者的不同点和共同点。公司层面控制侧重于宏观指导,原则要求,着眼于长远。而业务层面控制侧重于具体措施,操作程序,立足于实际。只有两者紧密联系,相辅相成,才能形成内部控制的整体。作为企业,在重点实施业务层面控制的基础上,应高度重视公司层面控制,充分认识控制的必要性,进一步明确控制方向、内容和具体措施。同时,根据公司层面内容的变化,按照重要性原则,结合实际,适时调整、优化业务层面的控制流程或控制步骤、控制点以及权限设置。
1.公司层面与业务层面的不同点。公司层面与业务层面的不同点主要体现在三方面。一是控制的执行主体侧重点不同。公司层面控制执行主体侧重于决策层和管理层,业务层面控制执行主体侧重于管理层和操作层。如发展战略、人力资源政策主要是由董事会制定,物资采购主要由供应部门来实施;二是控制的角度不同。公司层面侧重于宏观要求,业务层面侧重于微观执行。如风险评估要求企业要全面分析、评价可能存在的风险,资金管理重点是如何控制财务风险;三是控制结果的影响不同。公司层面失去控制有可能导致企业全局性的失败,业务层面失去控制往往造成局部的损失。
2.公司层面与业务层面的共同点。公司层面与业务层面的共同点主要体现在三方面。一是控制遵循的原则基本一致。即都要遵循全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则;二是控制实现的总体目标是一致的。即都围绕实现生产经营目标、财务目标和合规目标而实施;三是防范的基本风险是一致。即主要为了经营风险、防范战略风险、法律风险和财务风险。
3.公司层面与业务层面的结合。目前,企业实施内部控制必须避免两类片面性。一是重视公司层面控制,而轻视业务层面控制。如建立了公司治理结构,制定了发展战略,明确了权限责任,但是没有制定具体的配套措施,以原有的制度来代替内部控制操作流程,有可能导致控制不落地,中看不中用;二是重视业务层面控制,而忽视公司层面控制。如针对生产、销售、采购、成本、资金、资产、工程、担保、合同、信息等管理活动,均制定了相应的控制流程,明确了详细的控制措施。但对公司层面的发展战略、企业文化、社会责任等没有明确控制要求,则有可能导致控制方向出现偏差,南辕北辙事倍功半。
具体实务操作中,企业可借鉴国家《企业内部控制基本规范》与《企业内部控制应用指引》的方式。即将公司层面涉及的四个方面,以指引形式表述。如《企业组织架构控制指引》《企业权责分配控制指引》《企业发展战略控制指引》《企业人力资源控制指引》《企业社会责任控制指引》《企业文化控制指引》《企业风险评估控制指引》《企业信息沟通控制指引》《企业内部监督控制指引》等,每个指引明确控制目标、风险及要求。业务层面以流程化或矩阵化形式表述,如《企业资本支出管理业务流程》《企业货币资金管理业务流程》《企业物资采购管理业务流程》《企业生产销售管理业务流程》《企业合同管理业务流程》等,每个流程明确控制主体、岗位、步骤、节点及权限,同时将公司层面的有关要求具体落实,由原则性要求变为实际的操作与控制,从而形成一个有效的整体内部控制体系。