关于企业内部控制构建若干思考,本文主要内容关键词为:内部控制论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、企业内部控制构建基本内容
财政部、证监会、审计署、银监会、保监会等五部委颁布的《企业内部控制基本规范》(以下简称“基本规范”)及《企业内部控制配套指引》(以下简称“配套指引”)已相继施行,必将有效地推动上市公司建立和完善内部控制(以下或简称“内控”)。笔者认为完善有效的内部控制对企业有重大意义:保障经营活动合法合规,防范经营风险、道德风险和操作风险;保障资产的安全与完整,确保企业资产保值增值;规范经营管理活动和会计核算,保障财务报告及相关信息真实完整;提高企业的经营效率和效果,持续维持、提高企业的核心竞争力;确保各项战略举措得到有效实施,促进企业实现发展战略;确保控制剩余风险在企业可承受的范围内;提高企业对内对外的信息与沟通能力,增强企业对外部环境的适应能力;满足财政部、证监会、深交所以及国资委的监管要求或管理规定;与顾客、社区、社会互动共赢,彰显公司的社会责任感,提升企业形象和品牌知名度。
(一)内部控制构成。《基本规范》提出了内部控制建设(以下简称“内控建设”)和实施应该遵循的基本原则和总体要求,具有强制性;《配套指引》对企业常见的、一般性生产经营过程的主要方面和环节进行了规范,是对《基本规范》相关规定的进一步补充和说明,具有指导性和适应性。但是,《基本规范》和《配套指引》两者均没有明确完善的内部控制的构成,这是企业在构建内部控制过程中不得不面对的一道难题。在美国的《萨班斯—奥克斯利法案》(Sarbanes—Oxley Act,2002)颁布实施以来,有关内控建设的理论研究和实践取得丰硕的成果,国际上较普遍的共识是一套完善的内部控制应该包括:业务流程图及说明、内部控制信息系统、完善的内部控制制度、健全的控制环境及内部控制评价标准。
(二)内部控制有效性评价标准。根据多年的企业内部控制构建及内部控制自我测试评价经验,笔者认为衡量一项具体业务的控制措施是否有效,包括设计的有效性和执行的有效性,应坚持“风险、控制措施、制度、人”四位一体,具体评价标准如下:该业务的主要风险是什么?针对该风险的控制措施是否存在?该控制措施是否合理可行,可否预防风险或及时发现问题?合理可行的控制措施是否得到有效执行?控制中发现的问题是否被及时处理?控制措施是否有相关制度支撑?控制实施人员是否具备实施控制的能力?控制实施人员是否真正理解控制措施或相关制度?在实施控制中所使用的信息是否可靠?控制剩余风险是否在企业可接受的范围内?控制是否适应变化的环境?
(三)内部控制构建步骤。为了有效推动各主板上市公司全面实施《基本规范》,规范内控建设管理,提高内控建设效率和效果,证券监管机构为上市公司规定了内控建设路线图,其中,内控建设阶段的主要工作如表1所示。
表1的工作步骤可用图形示例,如图1所示。
图1
实际上,企业开展内控建设的过程与上图存在一些差异,这些差异主要有两个环节:第一,由于内部可胜任的内控人才匮乏或人员编制限制等原因,企业一般聘请专业的项目咨询机构帮助开展内控建设,因此在梳理流程、识别风险之后,就开展内控设计,初步形成业务流程,然后进行控制分析和制度缺口分析,修订完善业务流程,提出制度修订建议,编制内控手册;第二,内控自我测试中发现的缺陷,大部分是执行方面的问题,只有少部分属于设计方面的问题,由于员工已形成惯性思维和操作习惯,对新的内部控制的认识理解需要过程,难以一步到位,因此,内控手册修订完善与内控测试及缺陷整改往往是多次交互进行,螺旋式前进,而不是“一站式”或直线运动,因此,内部控制实际的构建过程如图2所示。
图2
业务流程是指企业所进行的一系列逻辑相关的、跨越时间和空间的、有序的活动。对业务流程的描述应该体现该项业务活动如何发生、处理、记录、报告的自始至终过程,体现出审批、授权、复核、资产保全、职责分离等控制活动。
在初步完成业务流程绘制后,应将内部控制整体情况与控制标准进行比照,建立“风险控制分析模板”进行控制差异分析和制度缺口分析,记录、归集分析结果,提出制度修订建议、整改控制差异,最终建立一套满足管控要求、符合公司实际情况的业务流程。
控制差异分析:根据企业统一确定的风险标准,结合具体业务确定各业务流程中存在的风险;将已有的控制和已经确定的风险相对照,分析权衡现有的控制环节与方法是否可以应对已确定的各种风险,如果已有的控制措施不能确保控制剩余风险在企业可接受的范围内,就需要增设新的控制措施。
制度缺口分析:各单位将企业现有的控制措施与现有的规章制度进行对比,来发现规章制度缺口。制度缺口有两种情况:一是有控制,但没有形成正式的规章制度;二是有控制,也有相关规章制度,但没有达到内控建设所确定的记录要求,需要进一步修订完善规章制度。
业务流程梳理及修订完善是企业内控建设的核心工作和关键工作。但在业务流程修订完善方面,有些单位却绕弯路或存在错误理解,比如有些单位在流程绘制方面没有注重部门间的协调,割裂业务流程,将业务流程变成了部门职责,导致绘制出来的流程有着浓厚的本位主义色彩,偏离了内控建设目标;有些单位没有考虑自身企业的实际情况,生搬硬套或照搬照抄其他单位的业务流程,工作缺乏严谨和细致;有些单位认为控制“越多越好、越全面越好”,忽视了内部控制的适应性原则和成本效益原则,出现控制过度或控制冗余,降低了工作效率和效果,导致员工对内部控制多有非议或产生抵触情绪。
二、企业内部控制构建经验分析
笔者曾经先后参与多家公司的内部控制构建,包括在美国和香港上市的公司、在国内主板上市的公司,以及中、大型国有企业。纵观企业内部控制构建历程,内部控制构建是一件浩大繁琐的工作,每一步工作都有其必然的工作量,不可以粗放开展、也不可能有跨越式前进,否则,欲速则不达。内部控制构建是由千万个细节工作组成,需要项目建设人员的细心、耐心和责任心。内部控制构建的最大考验不是所需巨额的费用,而是管理层及全体员工的态度、决心和信心,或者说是企业的意志。
(一)设置内控建设管理机构。企业内部控制构建要取得成功,首先要从上至下建立健全强有力的建设指挥机构和组织管理体系。内控建设是一项非常庞大的工程,工作内容十分繁重,需要结合内控法规对现行管理架构进行重新定位和设计,对现行制度进行梳理,或立或废,描述业务流程和进行风险分析,提供全员培训和组织内部控制测试等,单一的职能部门或个人难于协调全公司范围的建设事宜,也无法平衡和充分利用企业内外部的所有资源,难以协调解决一些跨部门、跨组织的问题,因此,为了有效开展内控建设,企业一般都成立了“内控项目建设委员会”或“内部控制规范实施专项领导小组”,公司董事长或CEO亲自担任委员会主任或专项领导小组组长。
公司管理层要积极参与、支持和推动内控建设。公司主要领导,特别是董事长或CEO要亲自挂帅领导内控建设管理机构;亲自动员公司各级组织和全体员工要重视内控建设、支持内控建设和参与内控建设;推动公司单独划拨内控建设专项资金,提供充足的人力、物力、财力;参与项目咨询机构的选聘;定期听取内控建设汇报和测试情况汇报,协调解决一些跨部门、跨组织的问题;主持制定内控建设考核管理办法;亲自与外部审计师、项目咨询机构、证券监管机构等建立沟通机制,听取有关的建议和意见。公司管理层应将内控建设真正作为“一把手”工程来抓,避免出现“说起来重要、做起来次要、忙起来不要”的局面;高级管理人员要带头执行制度,率先垂范,任何个人都不得拥有超越内部控制的权力,既不“向上越权”,又不“向下越权”,更不能超越职责插手事务,确保公司内部控制“设计有效、执行有效”。
内控建设是一项系统的综合工程,除了公司领导高度重视外,还需要各单位各管理部门之间的共同协作和统一管理,内控建设有必要实行全过程的“统一领导策划、统一政策制定、统一实施安排、统一检查标准、统一奖惩”,变少数部门的行为为单位管理部门的一致行为,变临时行为为持之以恒的长期行为,变管理者行为为全员参与行为。
(二)内控建设培训。内控建设涉及的法规条款或知识点较多,包括新出台的《基本规范》、《配套指引》及有关解释或指南,证券监管机构有关内控建设的最新要求,风险评估方法以及最为广泛认可的内部控制整体框架国际标准COSO框架等。由于培训内容多,涉及面广,侧重点也不同,选择科学合理的培训方式将会事半功倍。
在内控知识宣贯和建设氛围营造方面,公司应分层次分区域集中培训员工,培训责任逐级分解,形成“千斤重担万人挑,人人肩上有一份”的局面;制定合理可行的内控建设管理考核办法,并严格兑现,用铁的纪律和奖惩机制促使各级管理人员及一线员工重视内控知识学习,变被动为主动;因地制宜,创新学习培训模式,比如发行可以随身携带的内控知识单行本,或将培训内容做成小纸条分发给每位员工;组织员工互相测试,寓教于乐;组织内控知识讨论和演讲比赛,激发员工学习兴趣等;充分利用文件、视频会议、宣传栏、报纸杂志、内部网络、电子邮件、户外广告宣传内控建设知识和内控建设要求,并用业绩合同的形式将个人的内控建设责任固化,列入月度和年度考核指标;出版信息简报,提供法案法规的最新变化、国内外企业内控建设经验;选派内控建设骨干参加准则制定机构、内控权威机构和外部审计师组织的培训会议。
内控培训应坚持以下原则:首先应坚持全员培训和动态培训,现有在岗人员全部参加培训,新进员工在岗前培训中接受内控知识培训;其次应强调制订培训计划,包括单位培训计划和个人学习计划,从制度上保证学习质量;第三是做好培训考勤记录和学习笔记,留下足够的培训学习证据;第四是及时通报培训情况,总结好的培训方式方法并推广,查找不足,补缺补漏;第五是实战培训各级内控建设人员,选取具有代表性的单位作为试点,完善操作步骤和确定工作标准后,“树立标杆、典型带路”地进行推广,缩短各单位自行摸索的过程。
(三)确认重要业务流程与关键控制点。证券监管机构对2011年实施和试点开展内控建设的单位,要求先从财务报告内部控制切入,已经完成了财务报告内部控制的公司,则鼓励将财务报告内部控制扩展到全面内控建设。在建立与财务报告相关的内部控制过程中,需要首先确定与财务报告相关的重要会计科目和披露事项,再进一步确定与重要会计科目和披露事项相对应的业务流程,即重要业务流程,然后设计与财务报告相关的内部控制。
(1)重要会计科目确认。在确定重要会计科目时,有关的定量和定性分析方法如下:
定量标准:在进行风险评估时,一般选择合并财务报告税前利润的5%作为确认重要会计科目的定量标准。
定性标准:在确认重要会计科目时,先按定量标准进行确认,凡是会计科目的当期余额或发生额大于或等于定量标准(税前利润的5%)的,直接确认为重要的会计科目;对于其他的会计科目,还需要从定性的角度,确认是否属于重要会计科目。通常考虑的定性因素包括:会计科目核算的业务存在较大的错误和舞弊的可能性;会计科目核算的业务所包含的交易数量、复杂程度和类似程度;会计科目相关的交易事项本身具有较强的经营风险,可能存在重大的财产损失;会计科目核算的内容存在较强的会计估计和人为判断,会计科目确认记录金额具有一定的不确定性;与或有负债相关的会计科目;相关账务处理的确认、金额计算较复杂;本年度新发生的交易或行为所对应的会计科目;会计科目核算内容是否包含大量的关联交易。
如果根据上述定量和定性的因素确认某项会计科目是重要的,那么其附属科目也是重要的。例如:固定资产是重要会计科目,其附属的累计折旧、固定资产减值准备等也应确认为重要会计科目。
(2)重要披露事项确认。财务报告中的每项附注都是报告使用者关心的事项,所以,企业应将财务报告的会计报表附注,全部确认为重要的披露事项。在确定重要披露事项时,应将每项附注作为一个整体确认为重要披露事项,而不是针对附注中的个别披露事项。
(3)关键控制确认。关键控制是在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少的和无可替代的。如果缺少该项控制,将在很大程度上直接导致财务风险的产生。确认关键控制的目的是:将确认的关键控制作为控制活动的重点,对其实行全面、严格的管理,以防范重要风险。
重要业务流程和关键控制点确定必须克服“越多越全面越好”的错误思想,必须考虑成本效益、制度可行性和实践操作。控制程序太复杂会导致整个组织运行低效率,甚至带来严重的后果。
(四)内部控制完善与内部控制测试互动。在新的内部控制试运行后,内部控制测试(以下简称“内控测试”)逐步展开,并与缺陷整改交互进行,有力推动内控建设。
按组织级别分,内控测试可以分为公司总部组织的验收测试(以下简称“总部测试”)和分子公司自行开展的内部测试(以下简称“分子公司测试”)。两者一般均遵循公司总部制定的测试标准和方法,但在实际中,两者所起的作用差别比较大。
总部测试由总部的内控建设管理机构负责,委托内部审计部门或外部中介机构开展。一般情况下,总部测试的测试人员素质比较高,而且在测试之前要进行集中培训。总部测试结果是分子公司内控建设考核的依据,并且要报送给公司董事长CEO或者CFO,因而分子公司都高度重视总部测试,认真准备、极力配合、积极沟通。公司测试开展之前,内控建设管理机构会发文要求分子公司先行开展自测,自测结果作为总部验收考核的重要内容之一。每一次的总部测试对分子公司内控建设都是一次极大的推动。
分子公司测试一般是分子公司项目组人员和内审人员联合开展。从实践中看,依靠内部力量明显无法满足分子公司内控测试的要求,有些分子公司委托外部中介机构进行。委托外部中介机构也面临需要对外部人员进行较长时间培训、费用高、可胜任内控测试的中介机构少等问题。由于受分子公司领导重视程度的影响,分子公司内控测试开展情况和测试结果相差很大,而且较难发现公司层面控制存在的问题,或者发现却不敢披露。
在内控测试中要注意处理好三个问题:
(1)要正确对待测试中发现的问题。在大张旗鼓开展内控建设阶段,测试中发现问题是很正常的,这些问题包括设计方面存在的问题和执行方面存在的问题。公司公司管理层必须表达认同体系运行可能存在的问题,只要不是违规违纪问题,公司管理层将留给被测试单位足够的整改时间,并在整改中提供指导、支持和帮助。被测试单位和人员应该正确对待测试,不怕暴露问题,发现问题及时整改。要加强内部测试过程的监督审核,确保测试质量。
(2)要注重测试经验的总结与运用。在内控测试过程中,内控建设管理机构对于测试过程中出现的例外事项,不断进行汇总分析,以便发现问题;明确测试的重要流程和测试中需要重点关注的问题,并在公司网站专栏上发布,以便测试组人员学习、交流,不断提高测试水平,保证测试工作顺利进行。
(3)要重视测试结果。测试发现问题不可怕,可怕是不整改。公司管理层不把第一次测试、第二次测试发现的问题作为考核被测试单位的依据,而是把及时全面整改问题作为考核的依据,并对相同问题屡次发生进行严惩。在测试过程中,内控建设管理机构要对测试过程实行全过程跟踪,全过程改进,对测试发现的问题及时评估,及时改进。对测试过程中发现的重大问题,适时进行披露,对可能产生的影响以及市场预期进行有效控制。
(五)内控建设的信息与沟通。内控建设是一项浩繁的系统工作,几乎每天都有新的信息、知识流入,如法律法规、解释指南、工作进度、工作标准和时间要求等;同时内控建设又是全公司范围内的大事,部门之间、单位之间有大量的信息沟通需求。
首先,公司应在内部网站建立内控建设专栏作为信息沟通平台,存储和展示大量的文件资料,包括公司领导有关指示和讲话精神,开辟经验论坛、发布问题解释等。其次,要强调部门之间的沟通。内控建设过程中,需要公司各部门相关人员的共同参与和多次核实确认,沟通工作量大并需要一定的时间保证。良好的协调沟通机制,可有效提高体系建设的效率和效果,如内审部门与监察部门定期召开会议,通报反舞弊工作开展情况,并对新的形势进行评估,可以有效提高反舞弊工作的质量和效果。第三,要强调与测试人员、被测试单位的沟通。内控建设管理机构制定周密的测试工作计划,全面把握测试进度,要求测试组通过《测试进度表》和《测试反馈表》的形式定期汇报,适时监控测试情况;对于测试工作中出现的问题,内控建设管理机构统筹安排、组织协调,及时与测试组进行沟通并指导;内控建设管理机构应及时听取被测试单位的意见,并就例外事项提出具体的整改建议。对于测试中出现的个性问题,由内控建设管理机构和测试组通过电子邮件和电话进行点对点的沟通;对于测试中容易出现的共性问题,则及时提出具体的工作建议,并在内部网站专栏发布。第四,要强调与外部审计机构和审计人员的沟通。实践表明,在进行内控审计过程中,企业和外部审计师保持坦诚持续的沟通是确保项目成功实施的关键因素。在第一次面对内控审计,企业有一个适应过程,在一些问题的执行上力度上可能把握不准,存在问题是必然的。审计师也有一个了解企业实际情况、摸索改善工作方法的过程。双方需要通过沟通来增进了解,对一些问题取得共识。由于内控审计能否通过,很大程度上取决于外部审计师的决定。作为被审单位,应该积极主动与外部审计师交流、及时请教,如实反映情况,争取整改机会。不要遮遮掩掩,不能提供虚假情况,更不能站在审计工作的对立面上,拒不合作。国内外企业内控建设的一条重要经验,就是与审计师保持一个良好的沟通渠道。问题拿不准就与外部审计师商量,如果审计师认可实施方案或者整改方案,在将来的审计过程中该问题就不是问题。
三、结论
内控建设是一个动态过程,并不是一劳永逸的。在突击建设完善之后,只能说针对当前的情况,所建立的内部控制是有效的。但社会经济环境和企业自身的情况是不断变化的,业务流程与风险也是在不断变化的,这就需要企业随时关注内部控制运行情况,不断维护更新,以适应具体情况的变化,而公司管理层有责任每年发表声明,报告公司内部控制的有效性。因此,内控建设将是企业一项长期的工作,伴随企业发展而不断深化。
标签:内部控制论文; 企业内部控制评价指引论文; 内控体系建设论文; 内控管理论文; 业务流程管理论文; 内部控制缺陷论文; 风险内控论文; 管理风险论文; 管理控制论文; 沟通管理论文; 过程管理论文; 控制测试论文; 工作管理论文; 内控论文; 财务报告论文; 会计科目论文;