内部控制的事实存在于几千年的历史沉迹之中,为什么在近几年里受到了人们的普遍重视并加以广泛应用?安然、世通、巴林银行等全球性系列公司财务舞弊和会计造假案以及我国上市公司恶性舞弊事件,严重冲击了资本市场的正常秩序,引起了世人强烈震撼。如今,内部控制已成为一个世界性话题,在各国政府的推动下,内部控制再次成为理论界和实务界关注的焦点,美国于2002年出台了萨班斯(SOX)法案,要求在美上市公司在年报中披露内部控制自我评价报告,并聘请注册会计师对公司财务报告内部控制有效性进行审计。美国强化资本市场管理的做法得到国际上的普遍认可。我国企业也为内部控制和风险管理的缺失付出了惨痛的代价,如邯郸农行金库5100万元被盗案、中航油期货5.54亿美元巨亏案、四川长虹约5亿美元应收账款被骗案等。2004年底和2005年6月,国务院领导连续就强化企业内部控制问题作出重要批示,要求“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”。财政部按照国务院领导指示,联合证监会、审计署、银监会、保监会等五部委分别于2008年、2010年发布了《企业内部控制基本规范》和《企业内部控制配套指引》,标志着我国企业内部控制规范体系建成,并自2011年1月1日起在我国上市公司和大中型企业分步实施。
一、内部控制涵义
1934年美国《证券交易法》,首先提出了“内部会计控制”(Internal accounting control system)的概念。
美国的审计程序委员会下属的内部控制专门委员会经过两年研究,于1949年发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出了定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。
1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》,简称COSO报告。根据COSO委员会的定义,内部控制是为达到目标提供合理保证而设计的过程。具体来说,是为了达到提供可靠财务报告、遵循法律法规和提高经营效率效果等目标。
我国《企业内部控制基本规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。我国《企业内部控制基本规范》与COSO《企业内部控制一整合框架》基本保持了一致。
内部控制理论的发展经过了一个漫长的时期,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。
据史料记载,早在公元前3600年以前的美索不达米亚文化时期就已经出现了内部控制的初级形式――内部牵制的实践。在法老统治的埃及中央财政银库里,已初具内部牵制的雏形:银子和谷物等物品接收时的数量的记录、入库时数量的记录与实物的观察、接收数量与入库数量的核对,分别由三名人员完成。仓库的收发存记录由仓库管理员的上司定期检查,以确保记录正确,账实相符。
我国在西周时,就闪烁着内部牵制制度的火花,比如“听出入以要会”,即以会计文书为依据,批准财物收支事项。至秦朝时,已形成严密的上计制度和御史监察制度。至宋朝时,已形成知府与通判联署的做法,可见内部控制制度在我国早已有之。
随着公司制企业的出现,生产资料的所有权与经营逐渐分离,股份公司也相应地发展起来,在此情况下,开始注重并实施工作标准化、组织分工等科学方法对内部的经营管理活动进行控制,实行由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。内部控制除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。
随着企业组织形式与经营业务的发展,人们对内部控制的认识不断深化,提出了内部控制的三项目标和五大要素,标志着内部控制进入一个新的发展阶段。
内部控制的产生与发展,总是和社会生产力水平、企业的经营管理方式与水平相关的。特别值得注意的是,内部控制既是社会控制的组成部分。其产生和发展不仅有内在因素,而且还有外在影响。社会控制,尤其是政府控制,必然要求社会上的每一个单位实行相应的管理和内部控制。宏观控制必须以微观控制为基础,外部控制不仅影响和制约内部控制,而且也要以内部控制为基础。
二、我国企业内部控制的建设情况
新中国成立以来,无论是在计划经济条件下,还是在改革开放的前期,企业内部都有管理规章制度,虽然这些规章制度没有被称为内部控制制度,但其实质体现的就是企业的内部控制。
计划经济时期国家对企业实行高度的计划控制,规避了大部分市场风险,企业内部的有关控制制度主要来源于国家有关规章制度,具有浓厚的行政管理色彩。
改革初期国家实行了一系列简政放权、提高企业生产经营自主性的措施,国家计划对企业的影响日渐减少,企业的自主经营权逐步扩大,原来依赖于国家有关规章制度的内部控制已经明显不能满足企业健康成长的需要,但制度改革与人们头脑中思维的变革存在距离,人们关注的焦点是企业经营权的下放和职工积极性的调动,很少有人注意到这一阶段企业内部控制建设与执行上的空白,忽视了内部控制的跟进和强化。
进入20世纪90年代,党的十四大明确提出了全面建设社会主义市场经济的大思路,企业作为市场经济下的微观个体,面临着来自各方面的竞争与风险,一些企业开始关注内部控制的建设,特别是《萨班斯法案》颁布后,在美国上市的企业都要按照该法案的要求制定并披露其内部控制的情况,进而推动一批在美国上市的中国企业按照COSO框架进一步完备了自身的内部控制系统。同时,我国政府也开始加强对企业内部控制建设的推行力度,颁布和修订了一系列相关的法律法规,强调内部控制的重要性,要求企业建立相应的内部管理和内部控制制度。
2006年7月15日,我国企业内部控制标准委员会成立大会暨第一次全体会议在北京举行。企业内部控制标准委员会成员由财政部、证监会、国资委等来自监管部门以及实务界、理论界的专家学者组成。
2008年5月22日,财政部又会同证监会、审计署、银监会、保监会联合发布了《关于印发的通知》(以下简称《基本规范》)。2010年4月15日财政部、证监会、审计署、银监会、保监会五部门又联合发布《企业内部控制应用指引-第1号组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》。
2010年4月26日财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。该配套指引包括《企业内部控制应用指引-第1号组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》,连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
目前,建立了“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体‚结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系。该体系具有架构成熟、体系完整、内容丰富、指导明确、方法科学的特点,构建了一个标准框架‚是继我国企业会计准则、审计准则体系建成并有效实施之后的又一项重大系统工程。
三、加强企业内部控制建设的意义
被称为中国的“萨班斯法案”的内部控制规范体系,对于企业进一步提升管理水平、实现可持续发展并更好地服务经济社会发展大局具有十分重要的意义。
(一)有关内部控制的不当认识
1、认为内部控制的建设就是制定规章制度
书面形式的规章制度,虽然是内部控制的一种必要表现形式,而且是内部控制管理中最重要的环节,但是员工价值观、职业道德与胜任能力等软环境,也是企业内部控制建设的重要组成部分。另外,在重视制度制定的同时,更应该注重制度的实际执行。否则,再完善的制度,如果仅停留于书面形式,也无任何管理意义。
2、认为内部控制就是“管、卡、压”,会影响工作效率和积极性
为了达到内部控制的目标,遵守规章制度、填表格和签章都是必要的控制手段。而且履行这些控制手段和措施,肯定会耗用一定的时间。但是,这并不意味着一定会滋生官僚主义和降低工作效率。相反,只要企业在设计控制制度时,能够根据企业的实际业务流程制定合理的控制程序,就完全可以实现控制和效率的统一。反之,如果只是为了图省事,减少控制措施和控制环节,则可能导致企业发生严重的经济舞弊,而且在没有科学严密的制度约束的情况下,各个部门和岗位很容易遇事相互推诿,工作效率很难真正提高。
3、认为内部控制主要是会计和审计部门的工作
事实上,内部控制不仅首先不是,而且也主要不是会计和审计部门的责任。就控制责任来说,对内部控制负总体责任的首先是董事会,会计部门和审计部门只是作为职能部门具体实施内部控制的相关工作。就此而言,会计部门、审计部门和企业中的生产部门、计划部门、销售部门等在内部控制管理中处于相同的责任地位。在管理实践中,企业的内部控制涉及管理的各个层面和环节,因此企业的所有部门和人员都和内部控制的有效实施有着密切关系,都以自己的工作岗位和工作内容为界限而承担相应的控制责任。否则,如果仅仅依靠会计部门和审计部门,则根本无法完成预定的控制任务,而且在控制过程中如果不能全员参与、全过程参与,那么局部的控制效果也很容易被其他部门或环节中的浪费或损失所抵消,从而无法从总体上提高企业的内部控制管理成效。
4、认为内部控制就是为了防止贪污舞弊
预防贪污和舞弊是内部控制的一项重要任务,可以说从内部控制产生之日起这种作用就一直存在,而且也是人们强调的重点之一。但是,对现代内部控制来说,预防贪污舞弊只是其工作的一部分内容,除此以外,内部控制还关注企业经营效率的提高、规避企业经营过程中的各种风险等。随着内部控制的发展,内部控制的主要目标在于兴利,而防止员工舞弊正在逐渐退居内部控制的次要目标。
5、认为内部控制越严格越好
内部控制应当根据企业的实际情况来制定,不同行业、不同规模的企业,其生产经营的特点是不同的。因此,对内部控制的要求也有很大差异。内部控制制度的制定,要遵循成本效益原则和灵活性原则。内部控制并非越严格越好,关键是要适合企业的自身情况,能提高企业的经营效率。从理论上讲,判断一个控制制度的优劣,不是看其严密程度,而是看其是否能够真正促进企业管理水平的提高。凡是能够实现企业管理目标的控制制度,就是有效的、良好的控制制度。
6、认为内部控制建设可以采用“拿来主义”的思想,可以复制其他企业的
不可否认,内部控制的一部分控制方法是具有通用性的,如岗位分离控制、实物控制、授权批准控制等都可以直接采用其他企业的经验做法。但是,内部控制还有其他一部分内容,如岗位设置和职责划分等,则都是内生于每个企业的生产经营过程和管理活动之中的,无法直接采用其他企业的做法。其实,即便是一些具有原理性、通用性的控制方法,也应该与企业每个阶段的实际情况相结合,而不能直接采用其他企业的做法。否则,很难有良好的控制效果。
(二)加强企业内部控制建设的意义
1、加强内部控制有助于提高企业整体管理水平
“管理是企业的生命”。内部控制体系建设是提升企业管理水平的有效手段,是企业在市场竞争中屹立不倒的重要保障。当前企业做强做大、进入资本市场、参与国际竞争的任务越来越迫切,要求我们必须加强内部管理,练好“内功”,在现有管理基础之上,要遵照有关制度规范,建立并完善与企业相适应的内部控制体系。
完善的法人治理结构以其合理的权力制衡机制,是确保企业内部管理指令运行顺畅、提高管理效率的重要手段。法人治理与内部控制有着密切的关系,完善的法人治理结构是内部控制的基础。法人治理结构不健全,将导致内部控制不完善。同时,内部控制是法人治理结构的运行保障,法人治理结构中的权利制衡机制能否合理有效运行,需要内部控制的监督、修正与保驾护航。当前,我国企业所面临的紧迫任务是建立完善的企业法人治理结构,以适应社会主义市场经济的要求,保证企业的健康持续发展。
2、加强内部控制有助于提高企业风险管理能力
内部控制制度健全而有效是企业风险管理的前提。通过实践得出的结论是:得控则强、失控则弱、无控则乱。为了有效应对国际金融危机的冲击及挑战,通过进一步完善内部控制体系和新的《企业会计准则》施行,有效的提高企业风险管控能力。
3、以建立健全企业内部控制体系为契机,进一步提升企业管理水平
建立健全企业内部控制体系是现代企业制度建设的需要,也是市场经济竞争与发展的内在要求。建立现代企业制度的关键就是要有一套健全有效、管理科学、行为规范的决策、执行和监督体系及责任制度。企业内控体系建设是一项持续性长效工作,企业内生的需求与外部监管形成的合力能够促进企业内部控制体系工作更好更快地发展。企业建立健全内控建设体系、提升企业管理水平是经济发展的迫切需要,要以建立健全内控体系为契机,切实提升企业管理水平。
建设企业内部控制体系,不是另搞一套,而是在现有基础上,不断优化提升企业管理体系和制度流程,使之更加适合企业发展的需要。在我国市场经济不断完善和发展中,许多企业探索出了一套行之有效的规章制度、工作流程和操作方法,将企业管理、风险管理与内部控制有机结合起来。因此要把内控体系融入企业各项管理和业务流程中,与企业战略管理、全面预算管理、企业管理信息化、全面风险管理相结合,切实提高企业风险防控能力。
4、建立健全企业内部控制体系,推动企业可持续发展
在推动企业做强做大、可持续发展,进而推动国有经济稳步发展的过程中,建立并完善企业内部控制体系、提高企业基础管理水平,是企业健康、持续发展的内因和基础,也是决定因素。首先,建立完善的企业内部控制体系,是企业内部业务流程和业务环节得到有效执行的保障,有利于企业战略目标的实现和在未来市场中核心竞争力的形成。其次,建立完善的企业内部控制体系,有利于企业的经营管理符合国家有关法律法规的要求,避免与政策层面的冲突,更好的适应内外部环境,平稳发展。第三,建立完善的企业内部控制体系,通过对企业内部有关规章制度等的执行,通过对企业业务流程的梳理和控制,有利于企业识别风险,分析并评估风险,最后对症下药,有效地解决各种风险。总之,在我国社会主义市场经济的建设过程中,保障企业的健康运转和可持续发展,需要通过推动企业建立并完善内部控制体系,在企业内部形成一种自我检测、自我监督、自我调整、自我发展的内部驱动机制。
四、内部控制规范体系组织实施应处理好的几个关系
内部控制标准制定、实施和外部推动,三者紧密相连,缺一不可。在内部控制体系建设过程中,要统筹规划,通盘考虑,集思广益,充分论证,妥善处理好以下几个方面的关系。
(一)内部控制与风险管理的关系
内部控制与风险管理是一对既相互联系又互有差别的概念。一般认为内部控制是为了达到某些目的而进行的一种动态的过程,这个过程是通过纳入管理的大量制度及活动实现的。而风险管理是指围绕特定目标,通过各种手段对风险进行管理,为实现目标提供合理保证的过程和方法。
内部控制与风险管理既有联系,又各有侧重,不存在包涵或被包涵关系,也无法完全互相替代。
相同点是两者均是合理保证目标实现的过程。在实际操作中,内部控制的实施经常运用风险管理的方法,内部控制是基于风险的控制过程,是对风险进行评估和管理的必要过程。通过内部控制的实施,将风险控制在可接受的范围内,确保企业的经营按照既定的目标前进。同时风险管理的技术方法也常运用到内部控制的过程中。
两者的差别则主要体现在:风险管理更偏向这一过程的前端,更偏向于对影响目标实现的因素的分析、评估与应对,相对于内部控制,风险管理是一个更为独立的过程。而内部控制更加重视实施,嵌入到企业各业务流程的具体业务活动中,融合在企业的各项规章制度之中,使企业在正常运营过程中自发地防止错误,提高效率,从而合理保证目标的实现。
(二)内部控制与内部审计的关系
内部控制与内部审计两者之间存在互相促进、互相提升的关系,共同为企业的健康发展发挥保驾护航的作用。
一般认为,内部审计是企业为保证目标的实现,在企业内部通过审查和评价自身经营活动、财务行为、内部控制等的合法、适当、有效而开展的独立的监督评价活动。内部审计是内部控制的重要组成内容,是内部控制五要素中监督的重要手段,同时也是内部控制不断完善、持续改进的建议与监督主题。相应的,内部控制是内部审计的工作对象之一,内部控制需要内部审计对内部控制的设计是否合理、执行是否有效等方面进行检查、反馈,从而实现自身的不断完善和提高。
当然,两者之间也存在差异,内部控制是一个内涵非常宽泛、连续不断的过程,几乎覆盖了企业周转运营的各个方面。内部审计则是持续不断的检查评价行为,并且,针对不同的审计对象发挥不同的监督作用。
(三)内部控制与企业管理的关系
内部控制与企业管理也是一对相互关联的概念。所谓企业管理,就是指由企业管理层或管理机构对企业的经济活动过程进行计划、组织、指挥、协调、控制,以提高经济效益的一系列活动的总和。管理工作有三个基本职责:计划、组织、领导。为了实现组织的目标必须制定一整套管理制度,这套制度包购计划、组织、领导以及各项政策、规章、制度、标准和程序,这总称为内部控制。企业管理是一个非常宽泛的概念,不但涉及企业的内部经营管理,而且涉及企业的外部关系。内部控制是一个系统,是企业管理的重要组成内容,融于内部管理之中,是企业内部为确保企业目标实现而建立起来的一系列政策、规则、程序,是从风险和控制的角度系统地将企业管理具体化,也可以说是企业管理的具体化,是管理的灵魂,是使管理臻于科学,更加合理、更加有效的重要保证。
(四)会计准则与内部控制的关系
会计准则是基础,内部控制控制是保障,两者相辅相成,互相促进。会计准则对企业经济业务的确认、计量和报告作出规定,是专业技术规范;内部控制是一套以价值链为轴心、与企业生产经营和管理若干因素相结合的系统管理规范。内部控制涉及到企业经营管理的各个环节、各个方面,如企业文化、管理理念和具体业务流程等,受其影响的不仅有公司管理层,还包括普通员工。从内容上看,会计准则是纵向的,内部控制是横向的;从程序上看,会计准则的执行是直线的,内部控制的执行是立体的;从实施上看,会计准则是左手,内部控制是右手。会计准则与内部控制的关系要多思考、多讨论,这样既可以推动会计准则的贯彻实施,又能够强化内部控制的系统建设。
(五)内部控制成本与效益
建立一套完善的内部控制体系可以有效应对企业面临的风险,提高经济的效率和效果,促进企业提高运营效率,对企业的持续发展具有十分重要的保障作用。但对于企业来说,并不是越多的内部控制就越有益。如果为构建并运行内部控制系统的成本超出了因内部控制而带来的收益时,按照成本效益原则,这项内部控制就是无益的,也是没有必要的。所以,企业要按照成本效益原则处理好控制系统完备程度与效益的关系问题,实现控制效果和控制目标目的和谐统一。但是这也并不是说企业可以以节约成本为理由,而不建立或不健全内部控制机制。关于如何在完善内部控制机制与内部控制成本之间寻找一个平衡点,是一个值得继续探索的问题,关键的一点就是,只要将企业的风险控制在企业可承受范围之内即可,没有必要过度控制。
(六)内部控制与管理效率
与企业自身情况相符合的内部控制,有利于企业提高管理效率和生产经营效果,但是,如果所建立的内部控制系统环节过多,过于复杂繁琐,不但将导致企业成本增加,而且还将因控制而丧失了效率。为此,企业应结合自身的具体管理情况,确定科学的控制点,以取得控制与效率的最佳结合点。要注意的,并不是控制环节越多、程序越复杂、范围越广、内容越多的内部控制就越好,而是应该结合实际情况制定适合企业自身实际的控制强度和内部控制体系。如何建立一套科学的内部控制体系,实现控制与效率的有机结合也一直是内部控制建设中的一个难点问题。
(七)要充分认识到内部控制自身的局限性
绝对科学严密的内部控制是不存在的,内部控制也要受到其自身局限的制约。如由于有关内部控制制定人员水平、经验等原因而导致的内部控制的先天缺陷,由于内部控制执行人员疏忽或有意等行为而导致的内部控制失效。再如内部控制制度只是针对预期可能发生的问题而建立的,对一些非经常性的突发事件,由于往往难以预料,无法事先采取预防控制程序和措施等。所以不要把内部控制作为提高企业内部管理、防范企业风险的万能药。
五、企业内部控制规范体系组织实施
“天下大事,必作于细;成之不易,用之更难。”这是财政部王军副部长在讲到企业内部控制配套指引实施时说的一句话,足以说明企业内部控制配套指引的制定、出台不容易,执行起来也不会一帆风顺。我们既要充分认识到贯彻落实企业内部控制配套指引的必要性和迫切性,也应清醒地意识到推进实施的艰巨性和复杂性。
(一)企业内部控制实施的总体要求
1、加强对企业内部控制实施工作的领导
企业内部控制配套指引的实施,从一定程度上讲就是领导工程,领导重不重视是配套指引能否得到有效执行的关键。对此,有关职能部门要建立工作协调机制,各级各部门建立企业内部控制配套指引实施协调机制,及时解决实施进程中遇到的问题;同时,要寓监管于服务之中,注重提高内部控制实施监管的效能。
2、财政部门要加强政策业务指导
各级财政部门要会同其他有关部门联合成立“企业内部控制规范实施工作组”,工作组成员将吸收学术、实务、注册会计师、政府有关部门等专家,为配套指引实施提供咨询服务。同时,注重加强与有关部门沟通交流,对实施中出现的问题进行研究,为内部控制规范配套指引的实施提供技术支持。各地财政部门要高度关注内部控制规范在本地的贯彻落实情况,积极推动工作,搜集情况,及时上传下达,推动内部控制规范的有效实施。
3、实施全方位的内部控制规范培训
强化培训是确保企业内部控制规范有效实施的关键环节。各级财政部门要把内部控制体系的培训学习,纳入今后一段时期会计人员继续教育必修内容,认真做好企业内控的宣传培训工作。企业内部控制规范培训面要做到广,力争全覆盖,培训工作要做到常抓不懈,掀起宣传贯彻内控的新高潮,普及内部控制知识,增强内部控制意识。
4、中介机构要强化自身素质,提高服务质量
会计师事务所及其他中介机构要尽快适应内部控制审计对专业人员素质、审计方法、审计质量标准、审计独立性等提出的严格要求,增强审计责任意识,全方面做好应对准备。
5、企业认真组织实施内部控制规范体系
首先要认真学习领会规范体系的实质与要求。企业应以人为本,充分发挥人的作用,依靠提高人的综合素质、道德水准和法规意识,充分发挥控制者和被控制者的主动性、积极性和创造性,深入研究规范体系的各项要求,遵循规范提出的基本原则,并将规范中的具体要求与企业现状相结合,寻求实施企业内部控制建设的最佳途径。企业应从完善法人治理结构入手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度的顺利实施。
其次要运用信息技术促进内部控制流程。建立广泛、高效的信息与交流系统信息与交流,就是向企业内各级主管部门(人员)、其他相关人员,以及企业外的有关部门(人员)及时提供信息,通过信息交流,使企业内部的员工能够清楚地了解企业的内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。在知识经济条件下,信息沟通系统是否通畅,决定着企业能否收集到大量及时的外部和内部信息,能否实现信息在企业各层次、各部门之间迅速地传递和交流,能否率先在已有信息的基础上进行知识创新,把握先机。建立一个统一、高效、开放的信息沟通系统,是其他一切控制运行的平台,应当成为企业内部控制的重中之重。要建立一个广泛而有效的信息与交流系统,应该遵循以下原则:①一个有效的内部控制系统需要充分的和全面的内部财务、经营和遵从方面的数据,以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。②有效的内部控制需要建立可靠的信息系统,涵盖公司的全部重要活动。③有效的内部控制系统需要有效的交流渠道,确保所有员工充分理解和坚持现行的政策和程序,影响他们的职责,并确保其他的相关信息传达到应被传达到的人员。
第三监督检查内部控制实施情况。监督检查,是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。
第四对企业内部控制有效性进行审计。控制自我评估可由管理部门和职员共同进行,用结构化的方法开展评估活动,密切关注业务的过程和控制的成效,了解缺陷的位置以及可能引致的后果,然后自我采取行动改进。内部审计是一个组织内部对各种经营活动与控制系统的独立评价,以确定既定政策是否贯彻,建立的标准是否已落实,资源的利用是否合理有效,以及公司的经营目标是否已达到。首先,要从地位上保证内部审计的充分独立性,以便更好地对内部控制进行评价。设立审计委员会,增强内部审计的权威性和独立性。审计委员会隶属于董事会,受董事会的直接领导,与公司经理层相对独立,涉及到经理层的审计事项直接汇报给董事会,使董事会对内部审计所反映的问题和提出的建议能及时采取措施,真正发挥其在内部控制构建中的核心作用。其次,拓宽内部审计领域,在做好财务审计工作的同时,广泛开展离任审计、管理审计和效益审计,确保会计信息的真实性。
(二)组织实施内部控制的具体责任
1、董事会负责内部控制的建立健全和有效实施。
2、监事会对董事会建立与实施内部控制进行监督。
3、经理层负责组织领导企业内部控制的日常运行。
4、成立内部控制专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。
5、审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
(三)内部控制制度建设步骤
首先搞好现状调研及诊断。主要是对企业内部控制现状进行了解,确认控制的相关范围,审阅相关政策和程序,调研和识别企业内部控制规范所要求范围内的重点应用系统及模块清单,对信息系统的相关控制设计情况进行了解,在现有的业务流程控制文档基础上,识别的有关自动/半自动活动控制活动描述,提出调研报告和改进建议。
其次要进行风险识别与分析。主要是在对现有的信息系统建设、实施与支持运维各个流程进行充分的风险评估、调研及访谈的基础上,找到现有内部控制体系与完善的内部控制体系之间的差距,并分析所得到的差距结果,建立风险控制矩阵。
第三,内部控制体系设计与整改方案。主要是参照《企业内部控制基本规范》及企业内部控制框架要求,结合企业内部控制具体规范标准,设计一套具有比较完善严谨、实际操作性以及可推广性的企业内部控制制度体系。企业在制定本企业内部控制制度并组织实施时,应合法合规。内部控制通常涉及的相关法律有《公司法》、《证券法》、《会计法》、《合同法》、《知识产权法》、《物权法》以及其他有关法律法规,还有本规范等等。企业应以这些相关法律法规为基础,结合本企业的特点,使用配套的方法和技术,制定出适合本企业状况的内部控制制度,并有效地组织实施。
第四,运用信息技术加强企业内部控制,是现代化管理的基本要求。使用信息技术有利于企业提高经营效率,减少或消除人为操纵的因素,从而在一定程度上减少人为错误和舞弊的发生。企业应结合本企业的实际情况,如规模、业务流程、经营特点等重要因素,建立与企业发展相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现业务和事项的自动控制。但在利用信息技术加强内部控制的同时,要做好信息技术的维护工作,既要保证信息系统的正常运行及安全可靠性,又要保证重要信息的保密性,防止秘密信息泄露。只有在这一前提下,企业才可能最大程度地发挥信息系统的协助作用。
第五,要进行培训与运行推广实施。主要是通过宣讲、培训等方式,对企业各单位和人员进行内部控制流程设计和相关制度介绍和学习,在领导统一的部署下,督导其改进流程的实施。并根据建立好的控制框架体系进行试运行,推广实施。
第六,内部控制体系改进修正和监督优化。主要是在内部控制体系试运行一段时间的基础上,通过测试,出具评估报告,并将各个部门和终端操作人员在试运行阶段发现的问题、产生的问题及反馈意见,经过讨论研究,出具试运行阶段评估分析报告。结合反馈意见汇总评估报告和企业内部控制案要求,进行讨论研究,通过分析问题,进而对整个内部控制体系进行有针对性改进或修正,进而对流程的实际可操作性和可行性进一步的优化和完善。
第七,企业应将各机构部门和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。企业可按绩效考评控制要求建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第八,企业可以委托会计师事务所对其内部控制进行审计。会计师事务所应根据《基本规范》及配套办法和《注册会计师法》、《注册会计师审计准则》、《注册会计师审阅准则》、《注册会计师其他鉴定业务准则》等相关职业准则,分别从有效性的角度对企业内部控制的建立和执行进行审计,并出具审计报告。该报告应由会计师事务所及其签字的从业人员负责。为企业内部控制提供咨询属于会计师事务所的非鉴证业务。本来应该说,提供这种非鉴证业务通常有利于会计师事务所鉴证小组获取更详细的有关鉴证客户内部控制信息,但为了保证会计师事务所鉴定小组的独立性,从而对企业内部控制体系作出客观地审计和评价,为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
总之,企业在处理内部控制、风险管理和商业伦理这三要素时,可以选择的模式是以风险管理为核心,以内部控制为基础,以商业伦理为环境,从而实现企业的有效运营。以风险管理为核心,要求企业必须建立风险预警机制、健全风险评价和监督机制、建立健全有效的财务控制机制、建立健全风险跟踪和反馈机制等。企业应将风险管理置于各项管理工作的核心地位,组织资源进行风险研究和管控,确保企业及时、有效地规避风险。以内部控制为基础,要求企业必须完善公司治理结构、优化内部控制的评价系统、完善控制环境、建立科学的业绩评价体系、完善信息传递与披露制度、建立健全有效的激励与约束机制等。企业应当把内部控制与风险管理有机结合起来,紧紧围绕风险管理,建立和完善企业内部控制。以商业伦理为环境,要求企业必须保障利益相关者的利益、强调企业社会责任、注重企业自律、确立先进企业价值观。企业应在创造新的财富、促进社会发展的基础上确立自身的价值,并在不断满足社会需要的过程中提升自己的价值。