摘要:
近年来,我国通过进一步加强和规范企业内部控制,促进了企业经营管理水平和风险防范能力的提高。但是在具体执行的过程中,一些企业仍然存在对内部控制理解认识、实质把握上的偏差。笔者结合工作体会和部分企业的实施经验,认为企业在执行内部控制中应着重注意以下几个问题。
(一)实现内部控制目标是核心
企业的经营管理必须要有明确的目标,内部控制也不例外。1992年COSO发布的《内部控制——整体框架》指出,内部控制的目标是:财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性。这三项目标相互关联,缺一不可。我国于2008年发布的《企业内部控制基本规范》,在COSO报告的基础上结合我国的实际情况对内部控制的定义进一步做了发展,其中提出的内部控制目标是:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。企业在生产经营的过程中,必须紧紧围绕着控制目标,采取适当有效的控制活动,才能达到内部控制的效果。一般在企业层面需要设定两个层次的内部控制目标:一是企业总体控制目标,这里所讲的总体控制目标应同《企业内部控制基本规范》基本一致;二是企业内部控制各专...
近年来,我国通过进一步加强和规范企业内部控制,促进了企业经营管理水平和风险防范能力的提高。但是在具体执行的过程中,一些企业仍然存在对内部控制理解认识、实质把握上的偏差。笔者结合工作体会和部分企业的实施经验,认为企业在执行内部控制中应着重注意以下几个问题。
(一)实现内部控制目标是核心
企业的经营管理必须要有明确的目标,内部控制也不例外。1992年COSO发布的《内部控制——整体框架》指出,内部控制的目标是:财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性。这三项目标相互关联,缺一不可。我国于2008年发布的《企业内部控制基本规范》,在COSO报告的基础上结合我国的实际情况对内部控制的定义进一步做了发展,其中提出的内部控制目标是:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。企业在生产经营的过程中,必须紧紧围绕着控制目标,采取适当有效的控制活动,才能达到内部控制的效果。一般在企业层面需要设定两个层次的内部控制目标:一是企业总体控制目标,这里所讲的总体控制目标应同《企业内部控制基本规范》基本一致;二是企业内部控制各专业流程所确定的控制目标,即各专业分目标。在具体的业务操作过程中,有的企业把握不住内部控制的核心内容,只是注重过程控制而忽视了目标控制,强化了过程管理而忽略了监督检查和考核,使内部控制的过程管理同目标管理之间出现了偏差。如有的企业在应收账款的控制方面,在表面上下足了功夫,制定了应收账款管理的业务流程,强化了应收账款的管理责任,建立了借款报销的审批制度等,但是在外部审计评审时,却发现该企业的应收账款坏账损失不降反升,呆账、坏账常年收不回,这就说明该企业应收账款的内部控制基本无效;再如从审计署通报的对部分行政事业单位和国有企业“小金库”的检查情况来看,“小金库”还不同程度地存在,侵占挪用公款的现象时有发生,说明部分行政事业单位和国有企业资金管理方面的内部控制未真正发挥作用。
(二)规范专业管理制度是前提
从我国已发布的企业内部控制配套指引(以下简称配套指引)来看,国家对一般企业通用及共性的业务进行了统一规范,这些业务有的涉及到公司层面控制,如组织架构、发展战略、人力资源、社会责任和企业文化;有的则属于业务层面控制的内容,如资金活动、采购业务、资产管理、销售业务等。企业应在配套指引的基础上,根据行业类型和企业特点,有选择、有侧重地建立符合企业自身实际的内部控制体系。企业还要有针对性地梳理原有的各项管理制度,并区分哪些是当前仍然适用的,哪些是已经过时的,还需要新建补充哪些制度等。从我国已实施内部控制的企业来看,主要采取了两种方法:一是围绕着管理体系开展内部控制工作,这类企业在前期自身建立的管理体系如ISO9001等基础上,把制度进行了归类、细化,按照业务类型建立起了制度——办法——细则体系。二是将专业制度进行拆分、整合,按照业务全贯通的方法建立标准业务流程,这种方法实际是把各有关的制度节点用一条主线贯穿起来,形成从始至终的业务流程。无论采用哪种方法,都需对企业内部的制度进行梳理、分类、整合、拆分、废止、补充等,使内部控制与管理制度保持一致。
(三)注重风险控制是关键
笔者结合自己的工作经验,认为风险是企业在生产经营过程中所要关注的重点和控制的业务对象,可以概括为“无风险,不控制”。一是在生产经营过程中的所有风险都要得到有效的控制。内部控制应当贯穿决策、执行和监督全过程,覆盖全部的业务事项,在风险评估的基础上制定适当控制程序和措施预案,防止意外的风险事故给企业带来损失。二是某一项生产经营活动经过认定没有风险,则可以不采取相关的控制措施。内部控制的目标决定过程的实施,企业要在全面控制的基础上,关注重要业务事项和高风险领域。
(四)强化职责分工是保证
无论是特大型企业还是小规模企业,在实施内部控制时必须把决策、执行、监督、考核等职能合理地分配到不同部门、不同岗位,建立授权适度、业务分离、相互制衡、共同控制的风险防控体系。内部控制要求企业分级授权,分工负责,明确各岗位办理业务事项的权限范围、审批程序和相应责任,最大限度地防止一人多职现象,对于机构精简的企业和人员较少的部门,如果无法实现完全的不兼容岗位职责分离控制,则必须要设置相应的补偿性控制,确保补偿性控制有效执行,消除产生舞弊的机会。对于重大的业务事项,则应采取集体决策审批或者联签制度,避免企业少数人或者个人说了算的现象。■
责任编辑 刘黎静