提升企业内部控制执行效果的探讨

2009-08-25 09:37林旦颖
会计之友 2009年22期
关键词:风险预警问责制内部控制

林旦颖

【摘要】 本文以巴林、兴业银行、中航油和三鹿事件为例,阐述内控制度的重要性,分析内部控制有效执行的制约因素,结合即将施行的《企业内部控制基本规范》,提出企业加强内控制度有效执行的措施。

【关键词】 内部控制;有效性;问责制;风险预警

财政部、证监会、审计署、银监会和保监会于2008年6月28日联合发布了我国第一部《企业内部控制基本规范》(以下简称《基本规范》),该基本规范于2009年7月1日起首先在上市公司范围内实施,并鼓励非上市的其他大中型企业执行。这是中国会计审计领域的又一重大改革举措。此次《基本规范》的印发,标志着中国企业内部控制规范体系建设取得重大突破。这个以规范企业信息披露为主要目标的企业内部控制标准体系,旨在提高公司财务报表的真实性和可靠性。该规范的实施必将提高我国企业财务报告的有效性,保障公司资产安全,减少舞弊事件发生,有效提高风险防范能力,提高公司经营效益,实现公司价值最大化。由此,内部控制制度的有效执行问题摆在了实务界和理论界面前。

一、执行内部控制制度的重要性和必要性

1995年2月27日,在世界上有着4万员工、4大集团,全球几乎所有地区都有分支机构、233年的巴林银行垮了。导致巴林银行破产的根本原因就是:巴林银行内控制度执行不力,缺乏风险防范机制。2008年初,成立于1864年的法国兴业银行集团也曝出违规操作丑闻。兴业银行是法国乃至世界上主要的银行集团,总部设在巴黎,分别在巴黎、东京、纽约证券市场挂牌,它的总资产在1997年12月31日达到4 411亿美元,在法国居第一位,在全世界则至第七位。按照规定,银行的证券或期货交易员进行交易时,都会受资金额度的严格限制。但操作员杰罗姆?凯维埃尔闯过了5道电脑关卡,获得使用巨额资金的权限,违规操作近一年都没有被发现,给银行造成49亿欧元的损失。从巴林、兴业银行的监管不力可以看到,再完善的内控制度如果执行不力都是无济于事的。

再看国内企业,同样看到内控执行不力的灾难性后果。如曾获新加坡上市公司“最具透明度”的企业——中航油(新加坡)。按照规定,公司的风险管理基本结构是从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5万美元时向首席执行官汇报;亏损50万美元时,必须斩仓。尽管它有完整的风险管理制度,在风险管理委员会设置、风险控制流程等各方面都比较完备,但遗憾的是公司的这些制度并未得到有效执行,公司内部风险管理内控系统形同虚设,最终给公司造成了超过5.5亿美元的灾难性损失。

最新的三鹿事件也引发我们对内控执行的思考。自1993年起,三鹿奶粉产销量连续15年实现全国第一。2007年,集团实现销售收入100.16亿元,同比增长15.3%。然而,在企业疯狂扩张的背后,却隐藏着内控失效的潜在风险。三鹿之败在于内控的缺失。三鹿集团内控意识淡薄,风险识别、评估、控制能力低下,最终导致了“结石门”。风险点管控是企业内控的基本要求,一个企业的产业链越长,风险点就越多。对食品行业而言,质量监控无疑是风险控制的关节点。《基本规范》第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”应急机制不健全,正是压倒三鹿集团的最后一根稻草。

上述事件无一不在诠释内部控制制度执行有效性的重要性和必要性。要使内部控制制度达到实现公司价值最大化的目标,关键在于有效执行。

二、内部控制有效执行的制约因素

内部控制的有效性有两层涵义:一是指企业的内部控制政策和措施没有与国家法律相抵触的地方;二是指设计完整,合理的内部控制在企业的生产经营过程中,能够得到贯彻执行并发挥作用,实现其为提高经济效率、效果,提供可靠财务报告和遵循法律法规提供合理保证的目标。在评价内部控制的有效性时,只有满足了第一层涵义,才能考虑其执行的效果;而第二层涵义对企业来说则是根本性的,也是企业的追求目标。内部控制有效执行的主要制约因素有:

(一)内部控制的执行动力先天不足

从经济学的视角来审视内部控制的执行,内部控制制度的执行成本几乎是由企业的总经理及以下的各执行层来承担。而内部控制执行效果的受益者除经理层和内部员工外,还有企业的委托层(股东)和企业外部的审计人员、投资者和潜在投资者、外部监管者等相关各方。因此,如果没有对代理人内部控制的再监督,企业收益提高了,但执行者却得不到报酬,那么内部控制的执行水平必然低于企业最优水平。而单纯的外部管制并不能解决这种外部效应导致的内控失灵,这一点通过透视中航油事件可以得到验证。

(二)内部控制受管理成本因素的影响

不管实施何种管理,都需要付出管理成本,如果实施内部控制造成企业管理成本奇高,则有可能对内部控制进行适当的调整和修改,这样就会削弱内部控制效能的充分发挥。控制环节越多,控制措施越复杂,相应的控制成本也就越高,同时也会影响企业生产经营活动的效率。

(三)高层管理人员的违规操作

内部控制是人们根据管理的需要而建立的一种方法,只有每个人都能按要求执行,才能发挥其真正的作用。但是如果高层管理人员违规操作,那么再严密的内部控制也不能产生应有的效果。内部控制作为企业管理的一个组成部分,它理所当然地要按照其管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。

三、内控新规下加强内控有效执行的措施

(一)树立正确的“内控观”

内部控制体系并不是一个独立于企业现有管理体系外的新东西,更不意味着对企业现有管理体系的否定。实际上,内部控制体系更应该扮演现有管理体系的“整合者”角色。内部控制体系应该融入到企业的文化中去,企业领导应该真正认识到内控的精神实质,才能积极推动企业内控的发展,并真正帮助企业实现价值的最大化。具体执行如下步骤:第一,评估现状。参照规范的内容对企业自身进行一个自我检查,充分理解企业现存的内部控制措施以及其中存在的内部控制缺陷,并对企业的业务流程进行全方位的梳理。 第二,建立初步规划。由于基本规范不仅要求企业要像《萨奥法案》那样财务报表合规,还包括对效率效果的合规、合法性、资产安全以及战略方面等五个目标全部要合规。因此,企业目前可以配合自身管理的需要去建立一个初步的规划,然后再逐步实现目标。 第三,建立有效的工作团队。企业应按照基本规范的要求,明确董事会、监事会以及各级管理层在内部控制中的责任,规范审计委员会以及内部审计职能的独立性。在此基础上根据自身情况搭建内部控制体系,建立内控团队,启动一系列内部培训,包括在企业内部对内控重要性的宣传。对于某些企业而言,如果执行内部控制标准过高,可以考虑将其业务外包,由专业中介机构提供服务,尽可能提高效率、减少成本。 第四,必须关注内控指引的建设与更新。由于基本规范对部分关键的标准和程序只提出原则性的要求,而具体的指引都还处于征求意见的阶段,因此企业一方面要关注现有政策的明确要求(如证券交易所内控指引中提出的关注领域),另一方面需要时刻关注指引内容的变化与要求。在某种情况下,对政策要求的误判,可能会直接造成企业成本的增加,甚至浪费。

(二)引入问责机制,建立内控制度有效执行的机制保障

所谓问责制,就是在某项活动中针对相应的权力明确相应的责任,并对相应责任履行进行严格科学考核,及时察觉失责,依据相应的失责对当事人追究和惩罚,靠“问”的“制度化”来保证“权责对等”实现的一种机制。内控制度中建立严格科学的问责制,并严格执行,可以增加内部经营活动各方逃避义务的风险,增强各方互利合作的可能,促使内部控制制度有效实施。

内部控制基本原理——三角制衡原理(见图1)。在内部控制制度中解决由谁来问责这一问题,值得重视,单位所有经济业务涉及到以下人员,他们是经办人、审核人、审批人、支付人、检查人、监督人等,他们的权力可以分为三类,一类是经办权,另一类是审核、审批或支付权,还有一类是检查、监督权。这三类人所分管的工作应该是相互独立并形成相互制衡关系,如同三角形的三个边。这也体现了内部控制的两个基本原则——岗位分离原则和权力制约原则。

(三)全员参与,与绩效考核相挂钩

COSO的内部控制概念中强调内部控制是由企业董事会、经理层和其他员工共同实施的,《基本规范》第3条也明确了这一点。可见企业内的任何一名员工都应参与到内部控制管理中,也应被纳入到内部控制运行过程中,实现内部控制运行过程中的全员参与,同时,明确个人在事前、事中、事后不同的风险控制责任,明确各部门、各岗位的具体职责。只有从上至下的全员重视,并严格按照内部控制指引的规定进行操作,才有可能避免风险事件的发生。

根据行为科学理论,为了最大限度地发挥人的主观能动性,只有根据行为效果进行奖罚才能实现人的行为效果的最大化。因此必须要把激励和约束机制引入到内部控制运行机制中来,完善管理层上下级之间的委托代理关系。把内部控制的相关工作明确责任,落实到人,按照管理层次进行层层分解落实,并且和公司的经营目标、岗位责任联系起来,进行必要的奖罚和考核。通过内部控制运行与绩效相挂钩,达到进一步强化内部控制执行的目的。

(四)强化信息技术安全

近期一系列金融机构中所发生的金融欺诈案例都在提醒我们,强化IT系统安全对于防范欺诈风险的重要性。《基本规范》强调了企业要建立与其经营管理相适应的信息系统,使得内部控制流程能够和信息系统实现有机结合,从而达到对相关流程的自动控制,以便进一步减少或消除人为操作因素所带来的风险。同时,企业也应该采用先进、完善的信息技术手段,如加强人员权限和密码管理、严格监控数据输入、对所有操作进行详细记录和备份,以确保技术系统的安全运行。

(五)建立风险预警和突发事件应急机制

根据《基本规范》的相关要求,企业要全面系统地收集所有信息,及时进行风险评估,并采取适当的风险应对策略,比如购买保险、及时放弃或停止相关活动以减少或避免损失等,实现对风险的分散和有效控制。同时,严格执行风险管理制度。相对于制定严格的风险管理制度,将这些制度严格地落实到企业实践中才是更为重要的。如果没有良好的执行,再完善的制度也起不到任何作用。除了制定制度之外,企业管理层应该在制度的执行上进行更加严格的监督,才能真正实现风险控制的目的。●

【主要参考文献】

[1] 财政部,证监会,审计署,银监会,保监会.《企业内部控制基本规范》.

[2] 陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007,(10).

[3] 陈志斌.问责机制与内部控制制度的有效实施[J].《会计研究》,2004,(7).

[4] 万志昂.建立健全企业内部控制制度的探讨[J].商业会计,2009(3).

[5] 刘进.对内部控制运行机制的思考[J].中国内部审计, 2006,(7).

[6] 许学丹. 如何提高企业内部控制的有效性[J].财会月刊,2009,(2).

[7] 吴俊.企业内部控制的局限性及执行中应处理好的关系[J].会计之友,2008(12).

[8] 万志昂.建立健全企业内部控制制度的探讨[J].商业会计,2009(3).

[9] “执行”内控新规[J].首席财务官,2008(11).

猜你喜欢
风险预警问责制内部控制
以运营动态为载体,推动地市运监工作实用开展
高校财务风险预警指标的建立与应用研究
十年来国内无为问责制研究的成果及前瞻性分析
作风建设视域下的无为问责制度建设
行政事业单位的内部控制问题以及解决策略思考
我国物流企业内部控制制度的问题及建议
房地产开发企业内部控制的认识
行政事业单位内部控制存在问题及对策
制造企业销售与收款业务的内部控制分析
我国行政问责制的现实困境与完善路径