仇雪嵘
摘要:2008年,财政部等五部委联合发布中国版萨班斯-《企业内部控制基本规范》,2010年配套发布了相关指引,2015年江苏省国资委要求省属国企进一步加快构建内部控制体系,防范经营风险。本文结合本企业探索和优化内控体系建设的具体实践,从集团管控的角度,通过分析国企内控管理的困境,以实现管控目标为思路,对国企内控体系建设的基本路径和重点领域进行研究和探讨,以期不断完善和发展。
关键词:会计;内控管理
自《企业内部控制基本规范及配套指引》发布至今,根据国资部门的监管要求和集团自身高质量发展的需要,国企特别是大中型国企集团进一步完善了内控制度,探索建立并优化内控体系。但如何在符合监管要求的基础上,根据集团实际发展阶段和现状,科学设计并动态调整内控框架和运行机制,并切实加以有效执行仍是國企亟待解决的重要问题。
一、内部控制的定义
内部控制理论产生于西方,大致经历了内部牵制、内部控制、管理控制、会计控制、内部控制结构以及一体化结构五个阶段。内部控制目前被普遍接受的定义是1994年COSO在《内部控制-整体框架》中的定义:一个组织设计并实施的程序,以便为达到该组织的经营目标提供合理保障。内控体系的经营目标分为三个层面,一是保证企业内部管理顺畅,从而保障经营成果的达成;二是防止舞弊,维护资产安全;三是保证财报准确,公允反映经营成果。COSO把控制活动分成五大组成部分,即控制环境,风险评估,控制活动,信息与交流以及监督评审。内控是一个系统而动态的过程,有着统合整体、约束激励、反馈监督及完善治理结构等多重作用。在国企集团实施内控体系构建过程中,需要更加重视成本与效率问题;权利和责任问题;风险评估与流程控制等问题。
二、国企内控管理及困境分析
(一)公司治理方面的缺陷
《企业内部控制基本规范》第十一条,对企业治理结构进行了相关规定,公司治理决定了公司内部决策过程和利益相关方参加公司经营的方法。十八大以前,国企普遍存在粗放有余,制衡不足,缺乏科学决策与良性运行机制,而导致企业经营失败,重大风险事件频发,越级、越权或权利真空现象比较普遍。十八大以后,随着深化国企改革,反腐倡廉不断深入,各项制度及内控在不断完善,但在公司治理方面仍存在不少缺陷。一是股权集中,所有者(控股股东)和管理者界限不清。结果往往是多个政府部门同时对一个国企集团拥有不同的监督和管理权利,使得国企因经营目标不统一而充满冲突。如国资委行使出资人职责,其他政府职能部门行使行业监管职责,财政部门同时履行国资保值增值的监督职责,甚至存在同一企业出资人和实际管理人目标相背离;二是董事会与经营层重合。大多数国企董事会成员为组织任命,并兼职为国企高管人员,再加上外部董事都由公司聘请,董事会对经营层的控制力难以真正做到独立;三是监事会功能实质性缺位,监督效率和效果不高,监事会虚置现象普遍存在。
(二)制度及信息化建设方面的缺陷
十八大以后,国家从制度层面、机制层面、以及立法层面采取了全方位的措施来规范约束权力,在重点领域和环节通过规范审批流程加以控制,为未来国企的健康发展指明了方向。但制度层面存在流程和规定比较复杂,眉毛胡子一把抓,并时有交叉,前后矛盾,难以区别重点和一般,主要与次要,追求动态地增加制度和流程而忽视优化和简化流程,导致制度执行难,流程效率低;信息化建设层面表现为人才储备不足,技术基础薄弱,科学的系统化思维跟不上,再加上决策层、管理层、作业层关注点不一致而导致信息化建设“外强中干”,有心无力。
(三)风险评估方面的缺陷
风险评估是内控系统建设的基础组成部分,但在对本企业所面临风险进行定性和定量评估时,缺少风险识别的标准和方法体系,更缺乏动态的风险调整机制,往往存在重视财务层面风险而忽视业务层面的风险;重视集团本部风险而忽视控股子公司风险;重视形式的合规而忽视实质的监控,用单一的财务管理手段去解决业务层面、控股子公司层面及其他重大领域的风险控制,容易导致重大风险事件的发生。
(四)审计监督与评价方面的缺陷
审计监督是内控体系建设的重要方面,也是内部控制的保障。国企在审计监督方面普遍存在审计独立性不够,审计涵盖面偏窄,成果运用不足,审计与业绩评价相脱节等诸多亟需改善的方面。同时,国企的审计偏重专项监督,一般来说每年会制定相应的审计计划,对内部控制的某些环节进行有针对性的审计,但缺乏审计系统或者审计系统独立于财务和业务系统之外,信息化水平的低下使得日常监督无法整合到业务运行各环节中,无法及时报告并纠正内部控制中的重大缺陷。
三、几点对策
(一)文化引领,内控体系建设与国企高质量发展相同步
内控是一种手段和方式,更是一种文化。十八大以后,在国家层面全面推进依法治国和全面从严治党,对国企合规经营的要求日益严格,巡视督查和处罚的力度不断加大后,大多数国企特别是中高级管理人员合规意识不断增强。一是保持战略导向和风险控制的平衡。根据战略上“做什么,不做什么”的业务规划,准确把握内控的核心环节和重点领域;二是长期坚持,深浅适度。结合企业发展的实际情况,分步骤分阶段实施内控体系建设,不能一味求全责备,真正把内控体系建设看成是一场“中长跑”,扎扎实实一步步推向前进。
(二)制度先行,内控体系建设与风险评估相适应
一是处理好效率和成本的关系。国企的各项制度较全,但缺乏系统性和动态调整机制,从而导致制度执行效率低下。因此在内控体系建设中,横向应重点关注组织架构和部门职能的顶层设计,尽量避免部门职能交叉和定位模糊;纵向应重点关注由下而上的内控环境建设,一般来说,国企同一重大事项需要横向协调和沟通的部门较多,流程较长,由于部门间本位主义严重,而导致沟通成本高,效率低,落地难。因此在内控体系建设时应充分考虑沟通成本,科学设计纵向及横向的协调沟通机制,必要时要进行穿行测试,确保内控制度设计合理,执行有效。二是关注业务及经营层面的风险评估。经营风险与财务风险是既有联系又相互区别的两个概念。多数经营风险最终都会产生财务后果,可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响。但由于业务与经营风险涉及的面更广,时间跨度更长,因此国企在进行内控体系建设时应更多关注业务及经营层面的风险评估,并设计相应的内控措施。三是强化对控股子公司股权管理的控制。当企业发展到集团规模,需要集团总部对控股子公司实施有效的管控。集团管控类型划分流传最为广泛的是“集团管控三分法”理论:即财务管控型,战略管控型,操作管控型。这三种管控模式各有优缺点,操作管控型和财务管控型是集权和分权的两个极端,战略管控型则处于中间状态。集团应从自身实际出发,选择合适的控股子公司的管控模式。总体来看,国企因控股子公司出现重大风险事件导致重大损失的案例不在少数。因此,在内控体系建设时,集团型管理的指导思想必须到位,母子公司相互关系的功能必须定位,母公司对子公司的管理行为必须就位,控股子公司的层级压缩必须归位。
(三)考核指引,内控体系建设与监督评价相促进
国企应建立以内部审计为主,外部监管为辅的内控自评及监管机制。在国企更高层面专门成立内部控制评价与监督领导小组,负责内部控制评价与监督的实施工作也不失为一种新的尝试。内部审计部门可在领导小组的指导下,具体负责建立经济活动风险评估机制,制定内部控制评价办法,定期组织编制风险评估报告,对内部控制的完善性、有效性等做出评价,以满足国企可持续高质量发展的需要。内部审计是内部控制的再监督,为使内部控制具有实效,必须保证内部审计部门的独立性。同时内部审计及外部监管结果应当作为国企考核的一项内容,只有建立内部控制的问责及激励机制,才能增强内部控制执行的有效性。国企应重视审计与监督成果的运用,不仅包括对内部控制体系的调整和完善,还包括建立审计监督成果案例库,通过对具体风险案例的分析持续改善内控体系的有效性,推进国企实现高质量发展。