文/王小明
企业内部控制问题探讨
文/王小明
近些年来,国际上一些著名企业相继爆出丑闻,如法国兴业银行倒闭等事件,引发了一系列连锁反应,造成了极其严重的后果。我国企业也为内部控制和风险管理的缺失付出了惨痛的代价,如中行、农行、兴业、浦发等银行巨额虚假贷款、大额资金失踪等舞弊案频频曝光。究其原因,内部控制存在缺陷是导致企业不能及时发现和有效控制经营中存在的风险,经营失败并最终挺而走险、欺骗社会公众和投资者的重要原因。只有,合理的内部控制才能使企业长久发展。建立与完善企业内部控制,己成为当前理论界和实务界最为关注的话题之一。
内部控制;问题;对策
内部控制是现代企业管理的重要组成部分,它对确保企业有序开展各项工作和提高企业管理水平有着十分重要的作用。企业的一切经营活动都不能离开内部控制制度。从国有企业主要领导的“59岁”现象到民营企业生产规模在5000万元左右的徘徊,都引起人们对内部控制的广泛关注。从国内的企业会计造假案件到国外安然、世通和默克制药等大公司相继出现的财务黑洞,使这些世界旗舰型的大公司因会计丑闻导致潜在的财务危机凸现。在对这些财务舞弊和经营管理失败案例进行反思过程中,理论界和实务界的目光不约而同的聚焦到企业内部控制系统上,并逐渐意识到企业内部控制体系的缺陷、无效与不执行是诱发上述案件的关键因素之一。建立和完善企业内部控制体系已成为当务之急,是企业全面经营管理的对策,也是对完善社会主义市场经济体制、深化企业改革、提高企业抵抗风险的能力和可持续发展能力必将产生深远影响。因此,本文试图就企业内部控制存在的问题及解决对策做一些尝试性的探讨和研究。
内部控制是由组织的董事会成员、管理层和其他成员实现的过程。目的是为了合理地保证经营的效率性和效果性、财务报告的可信性、对有关法律和规章制度的遵循性。内部控制由控制环境、风险评价、控制活动、信息与沟通、监督五个相关联的要素组成。
内部控制主要包括机构组织控制、人员素质控制、不相容职务分离控制、规章制度控制、信息质量控制、目标计划控制;除上述六种控制内容外,还包括有授权批准、财产安全、业务程序、内部审计控制四种。在这些控制中,内部审计是内部控制的特殊组成部分,其目的是确保财务收支活动及有关经济活动合法、真实,确保经济成果的合理、有效,以及确保单位履行的社会和经济责任。内部审计人员要了解单位内部控制是否健全、有效,评价所有控制的目标是否达到,各种制度是否符合内部控制的基本要求,控制点的设置是否合理,控制职能是否划分清楚,人员分工是否恰当。在了解评价的基础上,对内控制度进行复合性测试,由此找出控制薄弱环节,向单位领导提出改进建议和措施,完善内部控制
内部控制是指单位内部为了有效地进行经营管理,而制定的一系列相互联系、相互制约、相互监督的制度、措施和方法的总称,包括管理控制和会计控制两类。具体来讲,内部控制部控制由若干具体政策、制度和程序所组成,它们首先是为了实现管理层的经营方针和目标而设计的,有助于管理层实现其经营方针和目标。其次,健全有效的内部控制,可以利用会计、统计、业务等各部门的制度规划及有关报告,把企业的生产、营销、财务等各部门及其工作结合在一起,各部门密切配合,充分发挥整体作用,以顺利达到企业的经营目标。从而促进整个企业经营效率的提高。最后,内部控制作为企业管理的中枢环节,既保证会计信息的真实性和准确性,又是防范企业风险最为行之有效的一种手段。它通过对企业风险的有效评估,不断加强对企业经营风险薄弱环节的控制,把企业的各种风险消灭在萌芽之中,是企业风险防范的一种最佳方法。
近年来,我国企业目前内控主要由内审部门、风险管理部门和财务部门主导,带有部门色彩的内部控制的制定、主体内容和方式造成内部控制缺乏整体性,内控制度执行不力,控制目标忽略运营的效率,公司治理结构不完善以及内部控制信息披露制度不完善。虽然,我国企业逐步深化内部控制思想,但企业的内部控制仍然存在着企业部门分割,使内控体系失效;监管力度不够;片面强调防止内部控制却忽视内部控制的经营性目标; 内控制度有章不循,执行流于形式等问题和缺陷。
(一)内审形同虚设,财务舞弊现象严重
在发达国家,上市公司组织建立内部审计机构是出于对内部审计职能的自发要求,而我国上市公司则是依据审计署制定相关法规,自上而下强制性要求各组织建立自己的内部审计机构,并非自身需求。实际上,我国上市公司内部审计几乎形同虚设,会计信息披露不真实,财务舞弊现象比较严重。
(二)监管体系不健全,监管力度不够
目前,我国在监管体系中仍然存在很多问题,自律组织不健全,自律作用基本没发挥出来。凡是市场本身能解决的问题,政府就不应过多干预。我国目前的监管体系中,政府以行政命令的方式过多地干预了市场,弱化了内控的监督作用。从内部监督体系来看,我国成立了内部审计机构,但内部审计的职能未能充分发挥,机构形同虚设。内部审计机构的职责不仅是审核企业会计账目,还应包括稽查和评价内控制度是否健全,企业内部组织机构职能发挥的效率,并向企业最高管理层提交报告和改进建议。但实际情况是,一些企业领导不重视内部审计工作。企业内部审计机构缺乏人员,不设立内部审计机构或与财务部门合为一个部门,即使设立了机构,但由于内部审计人员人事管理还由本单位决定,单位领导直接制约内部审计工作,切身利益直接受所在单位控制,内部审计的职责是在本单位主要领导直接领导下对领导负责并向其报告工作。内部审计明显处于被动地位,不可避免地造成内部审计必须为本单位利益考虑,大大限制了内部审计的独立性。
(三)防止片面内部控制,忽视内部控制的主要目标
企业内部控制有其特定的内容和形式、技术与方法,功能与特征、它贯穿于管理过程的始终,是管理工作的重要内容。它的目标是为了衡量和纠正企业工作人员的活动,保证事态的发展符合计划要求。内部控制必须渗透到各个业务领域和操作环节,重点制约和调节关键的业务、关键的资产、成本费用。企业内部控制要按照目标和计划,对企业工作人员的业绩进行评价,找出缺陷,分析原因并采取对策进行改进,防止损失,最终达到企业的经营效率和效益的提高,对企业预定目标的实现起到保护作用。所以,既不能用其他管理工作代替内部控制,也不能用内部控制取代其他管理工作。内部控制的一项重要目标是防止会计信息失真,但防止会计信息失真不是内部控制的唯一目标,也不是最重要的目标。所以,把内部控制的目标限定在减少会计信息失真,不仅不利于发挥其改善经营管理的作用,而且会使企业领导及员工对内部控制产生抵触。
(四)内控制度有章不循,执行流于形式
我国绝大多数企业虽然已建立了内部控制制度,但相当一部分内部控制制度残缺不全或有关内容不够合理。许多企业也错误地认为制定各种各样的制度和手册就是在实行内部控制,而没有实质性地改变企业管理和运营的模式、过程和方法。还有些企业会计人员兼职较多,职责不明,财务岗位设置和人员配置不当,存在业务交叉的状况。有的企业将订立的企业内部控制制度的执行停留在把它挂在墙上、印发在文件上以应付有关部门的检查,对内部控制制度的执行流于形式,只强调灵活性而不遵守它应有的刚性和严肃性。
(五)信息与沟通系统不够完善,缺乏应有的可靠性
企业内部控制信息系统是指对企业经济业务进行记录、处理、归纳、报告并保持相关资产、负债和所有者权益的记录及方法。信息和沟通系统的作用是协调各方利益,使各级管理者及时掌握营运的状况和组织中发生的问题,确保其对自己责任范围的控制,并且利用反馈信息对工作中的失误采取尽可能的补救措施。经营者通过信息系统了解竞争对手的经营状况,财务成果和市场的发展变化,而且还可以通过财务报告等形式向社会提供必要的会计信息。有的企业人员为了一已私利,利用企业内部控制不完善、内控不严的漏洞,挪用公款、贪污或盗窃资金,或与外部不法人员相勾结,利用虚假发票非法侵占企业资产,造成国有资产遭受重大损失,致使会计信息失真,违法违纪现象时常发生。
在当今日益激烈的市场竞争环境下,完善内部控制制度是当务之急。随着当今经济条件和形势的发展,为了更好地适应新的社会经济环境,为企业创造经济效益,最大限度地发挥内部控制的作用,要求企业内部控制必须不断完善,必须随之发展,不断地创新。根据企业内部控制的特征,改变企业内部控制的现状应采取以下具体措施:
(一)发挥财务监督的协同作用,完善监督体系
财政部、会计师事务所、证监会等外部监管对企业“自我约束”机制形成推动作用。企业可通过建立健全企业法人治理结构、预算监督、制度监督、内部审计监督、核算监督等多种形式实现内部监督,但仅靠近这些形式并不能有效约束高层管理者“内部人”的控制行为。企业应通过服务式监管、外部引导以及企业员工参与式监督等途径,促进企业自评与他评相结合的评价机制的建立,逐步完善“自我约束”及“自我评价”机制。高效的外部监管能够减少内部控制缺陷和风险管理给企业带来的损失,能够确保交易活动在公平环境下进行,使违法违纪行为得到及时制止和公正处理。
(二)风险管理和业务流程结合,强化内控制度的执行
内部控制设计应该把业务流程与风险管理相结合,借鉴和运用流程设计原理梳理业务运行逻辑关系,并根据企业经验和实践,按照资源数量要求和资源的稀缺程度分析出业务流程的关键点,找出关键点中错弊频率最高、对财务影响最突出的业务点即风险点作为控制点。因为,目前我国企业缺少的不是政策和制度,缺少的是统合观念下的风险规范制度的实施和风险辨识,缺少的是让制度贯彻下去的具体方法措施。
以流程为模式的内部控制可以有效保证企业风险管理被长期、习惯地遵从。针对各种失误和错弊,在关键控制点中制定出相应的措施和具体步骤方法,以减少其发生的损失和概率。在没有规范的企业流程和风险防范系统运行模式时,实施内部控制将会产生强烈的阵痛,是一个从思想到方式的变革。但随着内控过程对风险的化解和规避,企业的利益得到保障,企业各层次会逐渐认同并接受用内控流程模式来实施业务运营。在业务实施的过程中,自觉控制和防范业务风险,在各项业务和管理过程中实现内部控制的思想和各种要求。企业在遵从并反复运行内部控制流程时,风险管理将会成为企业的习惯。流程管理的实质就是按照业务发展和运行逻辑关系进行工序安排,使操作过程的规范和产品的可复制性得以保证,进而提高功效和质量。
(三)树立风险意识,健全风险控制机制
只有意识到了风险的存在,才能主动加强内部控制,采取有效对策和措施应对风险、控制风险。随着经济环境的变化和经济的迅猛发展,企业的信息系统风险、资产风险和兼并重组等风险逐步增大,企业在经营过程中必须加强风险管理。所以,企业要想有效地防范和控制风险必须在技术上制定风险回避、风险分散和风险转移等管理策略,建立和完善风险预测、风险评估、风险控制和风险约束机制。
风险控制机制是风险管理中形成的相互联系和制约的功能体系。要实行全员的风险管理必须做到权、责、利三位一体,风险责任要由企业、管理者和职工共同承担。降低风险的关键是完善风险控制机制。一是事前控制,即一个方案在进行决策前要兼顾考虑收益和风险两个因素。客观分析风险的存在和形成原因,制定出可行的措施,确保意外风险发生时能够有效应对。二是事中控制。控制企业营运过程中的风险。主要是采用定量、定性分析法,对风险状况进行计算和监督,及时调整、控制偏差,制定出新举措。三是事后控制。企业把风险分析资料作为指导未来管理行为的依据,总结风险管理的经验,为今后风险管理指明方向,制定措施。四是要建立预警机制,监督企业资本运营过程,通过指标分析,发现某种异常情况着手应对,将风险损失减少和降低到最小。五是对发生后的风险要建立档案,避免同类或相似风险的再次发生。
(四)改善控制环境,健全法人治理结构
企业控制环境包括企业管理理念、经营风格、治理结构、组织结构、权责分配、员工胜任能力、职业道德与人力资源等多方面。企业内部控制建设应是一个渐进的过程,分阶段地进行了内部控制建设规划,建立现代企业制度,健全和完善企业法人治理结构。管理层要从管理基础和手段入手,完善基础管理的支撑体系。如明确组织设置与职责分工来保障流程的运行,明确责权分配来保障授权审批,以基础的核算规范来保障报告可靠,以有效的业务计划体系和预算管理体系来保障经营权力的下放。
企业法人治理结构的健全是实施内部控制,优化管理的前提。法人治理结构是企业产权关系的具体表现,企业决策机制和监控体系等制度安排的基础。首先,切实保障企业所有权与经营权相分离,增强董事会的独立性。董事会、监事会和总经理的职责要明确,对董事会与经理层的重合要严格限制。实行不相容职务相分离制度。在董事会各种专门委员会分别设置,成立一个对公司重大事项进行决策,监督检查经理层,负责于全体股东的机构。其次,完善中国银监会监管相适应的行之有效的内控机制,按商业化、市场化原则引进专业人员进行经营管理,对经营者的责、权、利进行激励机制考核。再次,建立独立董事制度。这样既可对股东利用控股地位侵犯公司和中小股东利益的行为进行限制,又可以加强董事会对公司高层的监督,削减人员控制的负面作用。最后,建立健全监事会制度。确保监事会的独立性,监督董事和经理履行职责,以及行使对企业财务的监督和检查。
(五)建立信息沟通机制,完善信息管理内控体系
建立良好的信息和沟通机制可以使企业及时掌握营运状况,提供正确、及时、全面的信息内容,并在相关部门和人员之间进行沟通。由“产生—传递—处理—反馈”形成的顺畅的信息循环系统,是企业内部控制有效性的基础,也是实施内部控制评价的关键。企业是由一系列的契约集合而成的,在信息不对称的情况下,企业契约的不完备是通过内部控制来弥补的,而控制依赖良好的信息沟通机制。
我国目前绝大多数大中型企业的会计核算已经实现了电算化,既减少了人为因素对内部控制效果的影响,又节省了工作时间,提高了效率。所以,企业必须逐步建立高质量的企业信息沟通系统。完善通畅的自上而下的信息传递渠道。公司管理层要为全体职工制定各自的控制职责,必须使每一名职工得到认真履行职责的明确信息,让他们清楚地了解各自在控制系统中的职责作用和任务,以及各自的信息传递内容、方式、渠道和传递对象,保证按既定的路线和层次准确地进行传递信息。同时,确保自下而上的信息反馈渠道。只有建立一个开放和畅通的信息反馈渠道,才能使这些信息能及时反馈给管理层,才会使职工有一个及时报告、反映和解决各种例外情况的途径。
企业内部控制是提高企业运营效率与效果,保障企业依法经营、会计信息真实可靠、资产安全完整的活动,是现代企业制度的根本要求。随着社会生产力的发展和科学技术的进步,全球经济一体化的进程加速,企业之间的竞争越来越激烈,所面临的风险也逐渐加大。企业为了减少经营风险,在激烈的竞争中立于不败之地,必须加强约束、规范企业管理行为,完善内部控制体系,从而有利于资产安全、完整,保证经营成果与财务状况真实、可靠,提高经营管理的效率和经济效益。本文针对我国企业目前内部控制存在的问题,结合实际提出了一系列内部控制改进的措施和建议,但由于笔者水平所限及自身实践经验的欠缺,本文尚有诸多不太完善的地方,希望通过在今后的工作中加强积累,不断完善,能够更好的结合实践工作。
[1]李明辉.论内部公司治理与内部控制[J].广西会计,2009(11).
[2]戴彦,汪艳.内部控制木原的经济学思考[J].财会通讯(综合版),2009(5).
[3]张宜霞.企业内部控制:内涵与框架体系[N].东北财经大学学报,2009(6).
[4]徐光华,沈弋.企业内部控制与财务危机预警耦合研究—一个基于契约理论的分析框架[J].会计研究,2012(5).
[5]刘明辉,张宜霞.内部控制的经济学思考[J].会计研究,2009(5).
(作者单位:镇江市第三人民医院)