秦奋
[摘要] 建立与完善企业内部控制,已成为当前理论界和实务界最为关注的问题之一。本文以企业内部控制和公司治理理论为基础,对我国企业内部控制存在的问题和主要成因进行较为深入的分析,指出内部控制体系存在缺陷的关键所在,提出改进企业内部控制体系的对策建议。
[关键词] 内部控制;公司治理;信息披露
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 07. 007
[中图分类号]F239.45[文献标识码]A[文章编号]1673 - 0194(2012)07- 0014- 03
1 企业内部控制存在的问题
1.1 企业部门分割,使内控体系失效
由于我国企业一直按资源特性和属性横向分割设计组织结构,形成部门割据的特征是不可避免的,各部门都从本部门利益出发来理解、执行内部控制。例如,财务部门和设计、采购、生产、库管、销售各环节共同控制着企业产品成本。设计部门主要执行产品的质量和功能的控制;采购部门把熟悉供应商、采取便利的采购方式作为首要业务;生产部门把安全完成产品生产作为主要业务,对业务效率、产品成本考虑得很少;销售部门把产品的销售、赊销和销售折扣等价格策略作为主要业务。上述部门的立场都与内部控制的最终目标相背离,财务部门对成本的核算也只能是对运营过程事后的反映。
1.2 监管体系不健全,监管力度不够
目前,我国的监管体系仍然存在很多问题,自律组织不健全。企业外部监督体系存在行政干预多、监管手段违反市场规律的问题,想以行政管理代替市场选择。在我国目前的监管体系中,政府以行政命令的方式过多地干预市场,弱化了内控的监督作用。从内部监督体系来看,我国成立了内部审计机构,但内部审计的职能未能充分发挥,机构形同虚设,一些企业领导不重视内部审计工作。企业内部审计机构人员缺乏,并且由于内部审计人员人事管理还由本单位负责,单位领导直接制约内部审计工作,内部审计明显处于被动地位,大大限制了内部审计的独立性。
1.3 片面进行内部控制,忽视内部控制的目标
内部控制必须渗透到各个业务领域和操作环节,重点制约和调节关键的业务、关键的资产、成本费用。内部控制要按照目标和计划,对工作人员的业绩进行评价,找出缺陷,分析原因并采取改进对策,最终实现企业经营效率和效益的提高。所以,既不能用其他管理工作代替内部控制,也不能用内部控制取代其他管理工作。内部控制的一项重要目标是防止会计信息失真,但防止会计信息失真不是内部控制的唯一目标,所以,把内部控制的目标限定为减少会计信息失真,不仅不利于发挥其改善经营管理的作用,而且会使企业领导及员工对内部控制产生抵触。
1.4 信息与沟通系统不够完善
企业内部控制信息系统是指对企业经济业务进行记录、处理、归纳、报告并保持相关资产、负债和所有者权益的记录及方法。信息和沟通系统的作用是协调各方利益,使各级管理者及时掌握营运状况和组织中发生的问题,确保其对自己责任范围的控制,并且利用反馈信息对工作中的失误尽可能采取补救措施。经营者通过信息系统了解竞争对手的经营状况、财务成果和市场的变化,而且还可以通过财务报告等形式向社会提供必要的信息。有的人员为了一己私利,利用企业内部控制不严的漏洞,挪用、贪污或盗窃资金,或与外部不法人员勾结,利用虚假发票非法侵占企业资产,造成国有资产遭受重大损失,致使会计信息失真。
2 企业内部控制存在问题原因分析
2.1 内部控制整体性较差
我国企业目前的内部控制缺乏整体性,主要表现在:风险管理部门能从整体上把握总体业务风险,全面监控企业的总体风险,但与其他业务部门相比较而言,对关键业务环节和控制点的认识还不是很明确。内审部门把对业务和风险的核查作为自己的职责,使内审部门主导的内部控制是一种事后评价,不可避免地背离了全面内部控制的初衷。财务部门的职责使内部控制侧重于对运营效率风险和财务效果的反映,而较少地关注业务过程本身的属性,造成内控体系对业务的影响和冲突,有时还会导致与营运效果相背离。各部门从自己立场出发制定职责,缺乏整体性,对内部控制的可操作性造成不利影响。
2.2 公司治理结构不完善
虽然我国许多上市公司设立了股东大会、董事会、监事会和总经理等机构,但企业的运行机制还不健全,控股股东几乎控制了公司的股东大会、董事会和监事会,股东大会对财务报告的约束比较薄弱。董事会中绝大多数是控股股东代表,而且大多又是企业的管理者,董事会的监控作用被严重弱化。监事会成员往往是企业内部人员,与被监督者是上下级关系,对董事和经理的监督作用有限,再加上专业知识缺乏,结果往往使监督流于形式。我国目前还没有从根本上建立真正的法人治理结构,合理的人力资源管理机制也没有形成,公司组织机构设置也存在一定问题,机构设置不合理,不相容岗位的职责尚未分离的现象仍然存在。
2.3 控制目标忽略运营效率
随着我国加入WTO,企业间竞争越来越激烈,企业将会面临更大的环境变化和风险。因此,为了实现利益最大化,企业应在内部控制中增加非财务目标。内部控制主要的控制手段是风险评估,采用风险评估手段识别和分析企业内部的控制环节可以事前将经营管理风险(含财务管理风险)控制在最小程度,即哪个环节控制风险最大,哪个环节就是要加强的关键控制点,不论其是否会对企业的会计系统产生影响。我国上市公司普遍缺乏有效的风险管理机制,对市场缺少充分分析和缺少风险意识,忽视经营风险而片面追求财务杠杆的运用,风险控制失效,致使公司经营战略的及时调整受到严重影响。
2.4 内部控制信息披露制度不完善
近些年来,我国颁布了一系列内部控制信息披露的规则,为规范上市公司披露内部控制信息进而完善证券市场起到了一定作用,但仍存在很多不完善之处。如,对内部控制信息缺少硬性要求,没有强制要求披露内部控制的详细信息和监事会的评价。只在上市公司融资行为发生时才强制披露其内控方面的信息。进行信息披露时以这种方式或态度,其数量和质量都很难让人满意,对投资者形成决策的作用更是远远不够。还有,对内控信息披露的内容和格式要求不详细,对内控信息披露的评价缺少统一标准。另外,在年度报告摘要中允许监事会在认为已建立内控制度时免于披露,这就为上市公司减少有关信息披露、逃避相关责任留有一定余地。
3我国企业内部控制的再设计
近年来互联网的广泛应用,给计算机会计信息系统的内部控制带来了许多新的问题,也对企业内部控制制度造成了极大冲击。在这种情况下,需要重新设计企业内部控制的制约机制(如图1所示),防范企业经营风险和财务风险。
3.1 健全风险控制机制
随着市场环境的变化和经济的迅猛发展,企业的信息系统风险、资产风险和兼并重组风险等逐步增大,企业在经营过程中必须加强风险管理。所以,企业要想有效地防范和控制风险,必须制定风险回避、风险分散和风险转移等策略,建立和完善风险预测、风险评估、风险控制和风险约束机制。
降低风险的关键是完善风险控制机制。一是事前控制,即一个方案在进行决策前要兼顾收益和风险两个因素。客观分析风险的存在和形成原因,制定出可行的措施,确保风险发生时能够有效应对。二是事中控制。主要是采用定量、定性分析法,对风险状况进行计算和监督,及时调整、控制偏差并采取新举措。三是事后控制。企业把风险分析资料作为指导未来管理行为的依据,总结风险管理的经验,为今后的风险管理指明方向。四是要建立预警机制,监督企业资本运营过程,通过指标分析,发现某种异常情况着手应对,将风险损失降低到最小。
3.2 建立信息沟通机制
建立良好的信息沟通机制可以使企业及时掌握营运状况,为企业提供正确、及时、全面的信息,并在相关部门和人员之间进行沟通。由“产生—传递—处理—反馈”形成顺畅的信息循环系统,是保障企业内部控制有效性的基础,也是实施内部控制评价的关键。所以,企业必须逐步建立高质量的信息沟通系统。
一是完善通畅的自上而下的信息传递渠道。公司管理层要为全体职工制定各自的控制职责,必须使每一名职工得到认真履行职责的明确信息,让他们清楚各自在控制系统中的职责和任务,以及各自信息传递的内容、方式、渠道和传递对象,保证按既定的路线和层次准确地传递信息。二是确保自下而上的信息反馈渠道。在日常工作中职工每天都会接触到一些关键性经营问题,他们总是最先意识到问题的存在。只有建立一个开放和畅通的信息反馈渠道,才能使这些信息及时地反馈给管理层,才会使职工有一个及时反映和解决各种意外情况的途径。
3.3 风险管理和业务流程相结合
内部控制设计应该把业务流程与风险管理相结合,并根据企业经验和实践,按照资源数量要求和资源稀缺程度分析业务流程的关键点,找出关键点中错弊频率最高、对财务影响最突出的业务点作为控制点。目前我国企业缺少的不是政策和制度,缺少的是综合观念下的风险规范制度的实施,缺少的是让制度贯彻下去的具体方法。
以流程为模式的内部控制可以保证企业风险管理被长期、习惯地遵从。针对各种失误,在关键控制点制定相应的措施和具体方法,以减少其发生的损失和概率。随着内控过程对风险的化解和规避,企业的利益得到保障,企业全体工作人员会逐渐认同并接受用内控流程模式来实施业务运营。在业务实施过程中,自觉控制和防范业务风险,在各项业务和管理过程中践行内部控制的思想和各项要求。企业在遵从并反复运行内部控制流程时,风险管理将成为企业的习惯。
3.4 改进对外披露制度
我国上市公司的内部控制信息披露存在选择性和随意性,我们可以借鉴国外经验,采取强制性披露方式,要求上市公司的管理层提供详尽的、单独的内控报告,为投资者决策提供有用的信息,降低投资者获取信息的成本。证监会应当完善内控信息披露的规范体系,对上市公司内部控制信息实行强制性披露,并对所有上市公司内部控制信息披露的范围、内容与格式做出详细的规定。
目前,由证监会制定的公开发行证券公司信息披露规范有首次披露、定期报告、临时报告和其他披露4个层次。我国应不断完善法律法规,建立内控信息披露反欺诈条款和赔偿制度,让恶意披露信息,误导投资者的公司受到制裁。证监会和交易所根据我国证券市场的实际情况而制定内部控制信息披露的规范都是可行的。我国可以考虑在交易所的上市规则中增加有关内部控制信息披露的要求,可由证监会以《公开发行证券公司信息披露编报规则》或《公开发行证券公司信息披露规范解答》的形式对具体的披露方式加以规范。同时,证券监管部门应加强对披露的内控信息进行监管,以保证信息的可信度。
主要参考文献
[1]陆燕芬.加强内控制度建设防范经营风险[J].保险研究,2003(12).
[2]周建龙.会计信息供给:强制披露与自愿揭示[J].财政研究,2006(6).