董伟
随着中国市场经济的成熟及各类企业主体管理及治理结构的不断完善,内部控制逐渐走进国人的视野。近年来,财政部、证监会等五部委陆续颁布《企业内部控制配套指引》、《企业内部控制基本规范》等规章制度,在国内倡导构建内控机制,企业内部控制得以普及。依据多年财务管理经验,与调研企业内部控制建设与执行情况,笔者从控制环境、风险评估、信息与沟通和监控四个大的项目以及企业文化、治理结构、机构设置和责权分配、人力资源管理、内部审计、法律环境、风险识别、分析和应对、信息收集、传递和共享、监控等具体项目进行了调查,发现目前众多企业虽然认识到了内部控制的重要性并在制度和具体控制活动上采取了一些措施,但离内部控制规范的要求还有很大的差距,值得高度重视。
一,企业内部控制存在的问题分析
首先是管理层对内部控制的重视不够。表现在四个方面:董事会制度不健全,独立履职能力不强;监事会对CEO及内部审计主管的任命等重大事项没有实施有效的监督;高层管理者对财务报告的可靠性关注不够;公司对员工的工作内容、权限规定不明确。
据笔者调研,发现一些企业董事会制度尚未健全,董事会组成不科学,目前董事会成员主要还是由政府或政府委托国资委选聘的,大多是由曾担任过或仍然是国有企业领导或政府部门的官员组成,不能适应经济发展对董事会多元化的要求。也有的企业决策层与执行层未能有效分离,独立履行职责能力不强。由于职能上又与执行层相重叠,严重影响其独立履行职责、维护公司整体利益。
笔者也发现一些企业监事会制度不健全,大多是追求了形式上的完善,而忽视了公司治理赋予监事会的重要职责的发挥,对CEO的任命根本无法实施监督,对建立内部审计的集团,对内部审计主管的任命也没有能够实施有效的监督。由于公司治理结构的不完善,大部分集团管理层对职工的工作内容没有书面的描述,不能严格按照职工所具有的知识和技能来安排合适的工作,不能赋予职工完成工作所应该拥有的权限,也不能提供职工执行职务或完成工作所应掌握的信息、资金、预算等,职工大多不能了解自己所担任工作的相关内控制度。
其次是内部控制制度不健全。具体表现为:没有制定完整健全的员工守则;没有建立员工晋升制度;.薪酬和激励制度不健全;未建立职工培训制度。
据笔者调研,发现一些企业没有制定正式的员工行为守则,未能让每一个员工了解并认可自己的职责、承担职责应有的权限、完不成职责可能受到的处分等,所以,在工作中职工就不能与集团的管理层形成高度的一致,在经营活动、制度执行等方面不能维护集团的利益,从而会削弱内部控制的效力。许多企业未能建立职工的晋升制度,对职工的晋升条件、晋升的政策没有明确的文件规定。许多企业没有制定相对完善的职工薪酬和激励制度;没有制定明确的加薪条件和标准,或者虽然有,但大部分职工并不了解;在职工的薪酬和晋升中大多仅仅依据职工的短期业绩目标,没有能够将企业的长远目标、职工的诚信和道德价值观与薪酬和激励结合起来。甚至一些企业对关键管理人员未能制订完善的培训计划,并定期对关键管理人员履行其职责所需的知识、技能和经验进行培训;也未能建立公平合理的职工培训制度并定期进行修订和调整;也没有能够做到定期安排职工进行业务培训,以不断提高他们的知识的技能。
第三,企业内部各职能部门职责划分不够明确。企业的机构设置及各部门的职责划分不够明确,主要表现在:一是在董事会下没有能够按照公司治理的要求设置必要的专门委员会,如审计委员会、薪酬委员会等,以对集团重大事项进行研究和决策;二是集团大多没有设置专门的内部审计部门,即使有内部审计部门,其独立性也得不到保证,内部审计监督的职能没有能够有效地发挥,内部审计无法按程序对内部控制的缺陷进行报告,从而严重影响了内部控制的有效性;三是对各个内设机构的职责划分不明确,从而导致员工对所在部门的业务目标不能清楚了解;四是对关键管理人员的职责未进行明确界定。
第四,企业对风险评估认识不够统一。笔者调查中发现,许多企业未能将企业的宗旨、目标和发展战略在董事会及员工之间进行充分的讨论和沟通,以达成一致。在制定了宗旨、目标和战略后未能通过必要的方式让董事会成员和全体员工去熟知和了解。在制定集团的战略计划、经营计划和全面预算时未能完全考虑集团的宗旨和目标,从而会导致风险的产生。有不少企业没有设置专门的风险评估机构,大多数集团也没有明确专人负责这方面的工作,所以集团管理层对来自集团外部的风险往往不能敏锐地察觉并客观正确地进行识别,如供应渠道方面、技术创新、经济发展趋势、政治环境和自然环境等,由此对可能产生的风险估计不足,从而威胁集团稳定健康的发展。另有一些企业的管理层对来自集团内部的风险估计也严重不足,人力资源管理制度不健全,从而造成管理不規范;集团融资方面缺乏全局意识,对各种融资渠道可能带来的风险不能正确地预测;对集团存在的劳动关系管理没有给予足够的重视,从而给集团的发展埋下了隐患。
二、加强企业内部控制的对策与建议
首先,通过对于企业负责人、管理层的培训教育,提高企业管理层对内部控制的认识。对于民营中小企业来说,企业负责人都很重视企业的内部控制,在经营中内部控制的意识很强,内部控制的能力却很弱,难以达到风险控制的目的。而我国大部分企业是通过国有企业改制、合并而来的,目的是为了进一步提高资源的利用效率、防范市场可能带来的相关风险,基本上都存在着“国有股独大”的现象。但实践中国有股出资者的缺位让所有者很少去关心资本的安全,再加上委托人与代理人之间信息的严重不对称,从而让企业的内部控制变得有形无实。因此,作为出资者的政府主管部门,应站在委托人的角度,加强对于企业负责人的培训,进一步提高企业经营管理者(受托人)对内部控制重要性的认识)对内部控制人员的认识。实施内部控制不仅要有财务人员的参与,更重要的是要有全员的参与。只有企业经营管理者(受托人)重视对内部控制人员的培训,转变观念,提高内部控制方面的知识、素养和能力,才能更好地发挥内部控制人员在实施内部控制中的主观能动作用,提高内部控制的效率和效果。
第二,企业要建立健全内部控制制度。衡量一个现代企业的内部控制制度是否健全,主要三个方面的标准:各个控制岗位(或控制关键点)是否采取了有效措施,以实现具体的控制目标进而满足内部控制对约束机制的基本要求;各个控制环节(或控制活动)是否采取了有效措施,以达到制度上衔接而生成运行和协调机制;各个层面的控制人员是否采取了有效措施,以实现内部控制效应而具备自我完善的机制。
因此,现代企业在制度管理的顶层设计上必须建立企业集团内部约束制度,从权力、责任和职业素养三个方面对各个控制岗位进行约束。在建立企业内部运行制度时,必须从全面预算管理、经营管理、信息传递和内部审计等方面对各个控制环节进行约束;在建立企业集团内部动力制度,必须从利益驱动、激励、风险控制和集团文化建设等方面对各个层面的内部控制人员进行约束。
第三,科学设置职能机构,明确集团利益相关方的职责。在企业内部控制中,出资人做到正确定位,不要越位,承担好作为出资人代表的管理职能,认真做好对企业的绩效评价工作,对企业董事会的建立、董事会职责的发挥和经营事项进行必要的指导。制定对企业集团进行绩效评价的制度;构建对企业集团绩效进行正确评价的指标体系;明确绩效评价结果的约束力。
建立独立的董事会制度,企业应完善法人治理结构,根据市场法则,建立独立的董事会制度,强化集团的内部控制和内部治理。根据内部控制基本规范的要求,结合各企业集团的实际,建立监事会并根据需要在董事会下设立审计、薪酬、投资和全面预算管理委员会等机构,建立董事会与经理层之间的制衡机制,讨论并协调解决集团成员企业与职能部门间发生的重大问题。科学设置集团的职能机构,明确划分各职能机构的职责,并将机构的职责以文件的形式下发集团各成员企业,让全体管理层及广大职工都熟悉并了解,调动管理层和广大职工参与集团内部控制的积极性,实现内部控制的最终目标。
第四,构建完善的信息共享系统,加强风险预判与评估
企业要充分利用先进的网络系统,加强企业信息共享系统的建设力度,构建完善的信息共享系统,提高企业内部控制所需信息的实时性、集成性和准确性,从而保证内部信息沟通与传递的有效性,并为内部控制提供信息支持。企业要指定专人,负责风险识别。资金是企业的“血液”,企业所有的活动都会涉及到资金的流动,因此,企业可明确由CFO或其授权的财务(审计)部门负责人承担风险的识别和反馈工作。一方面关注并识别来自集团外部的风险,如供应渠道方面、技术变革方面、政治经济方面和经营环境方面的风险;另一方面关注并识别来自集团内部的风险,如员工招聘、管理人员离职、劳动关系和融资担保方面的风险;三是关注并识别来自经营过程中的风险,如经营过程中的合同签订、资金结算、货款收回、市场变化等方面的风险。
重视风险分析,及时采取应对措施。各职能部门在收到风险负责人初步识别的风险反馈后应组建相应的风险管理团队,一方面对风险发生的可能性进行分析,根据发生的可能性大小进行排队;另一方面对可能发生的风险预计会带来的影响及其影响程度进行分析,确定重点关注和控制的风险;最后,讨论制定风险发生后的应对计划和应对措施,确保风险发生后能将其带来的不利影响降到最小。
三,企业必须加强内部审计,强化对内部控制的检查监督
对于内部控制机制的监督,《基本规范》明确规定:“企业应当在董事会下设立審计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。”对于具体监督方式和内容,《基本规范》还有详细规定“对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告”。可见,内部控制机制的监督实际上由董事会、监事会、审计委员会及内审部门协力完成,基本上都属于治理层的范畴。
企业内部控制能否得到有效实施,还取决于审计机构是否健全,审计工作是否及时。因此,企业必须设置独立的内部审计机构,或者定时聘请独立的审计团队承担审计委员会的职能,及时随时全面地对于企业运行过程审计。审计机构和审计人员应依法行使审计职权、受托履行审计职责,正常开展各项审计活动,加强对内部控制的检查、监督和评价,并将结果反馈给集团决策层。集团决策层应该高度重视企业集团的内部审计工作,重视内部审计结果的使用,真正发挥企业集团内部审计的效能,促进集团及其成员企业价值的增值,以实现内部审计的职能。
总之,作为内部控制的主体对内部控制的认识程度,决定了企业内部控制的行为以及成效。随着市场经济体制的不断完善和经济全球化进程的加快,只有高度重视并加强集团的内部控制工作,科学设置企业的内部机构,制定并完善内部控制制度,建立信息沟通和共享机制,加强内部审计和风险控制,才能实现政府组建集团的目的,实现国有资产的保值和增值。
参考文献:
[1] 吴泷.大型企业集团内部控制及实施的有效设计[J].会计之友,2012(9下):85-87.
[2] 财政部,证监会,等.企业内部控制基本规范[S].2008.
[3] 冯建华.企业集团内部控制问题解析[J].中国外资(下半月),2013(1):175-176.
[4]刘芳.企业集团内部控制探析[J].财会通讯.综合(中),2009(8):96-97.