内部控制制度是指企业为了提高经营管理效率(经营目标)、保证信息质量真实可靠(报告目标)、保护资产安全完整(资产目标)、促进法律法规有效遵循(合规目标)和发展战略得以实现(战略目标)等,由企业管理层及其员工共同实施的一个权责明确、制衡有力、动态改进的管理过程。内部控制包括五个相互联系、相互作用的组成要素,即控制环境、风险评估、控制活动、信息与沟通、监控。
一、国内外内部控制理论发展历程分析
1、国外内部控制理论发展
国际上,内控制度已经历了五个大的发展阶段。
(1)内部牵制阶段(20世纪40年代前)。主要表现为对会计账目和会计工作实施岗位分离和相互牵制,这一阶段的目的主要是保证财产物资的安全和会计记录真实。
(2)内部控制制度阶段(20世纪40年代末至70年代)。形成包括组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内控制度体系,内容上已经划分为内部会计控制制度与内部管理控制制度。
(3)内部控制结构阶段(20世纪80年代至90年代)。由偏重研究具体的控制程序和方法发展为对控制环境的研究。内部控制结构主要包括控制环境、会计系统和控制程序三个部分。
(4)内部控制整体框架阶段(20世纪90年代)。标志性成果是美国COSO 委员会1992 年提交的研究报告《内部控制——整体框架》。这一阶段强调:风险评估在内部控制中的重要作用;信息与沟通是强化内部控制的重要途径;对内部控制系统本身的监控是内部控制发挥作用的关键环节。
(5)目前的企业风险管理框架阶段。在《内部控制——整体框架》的基础上,2004 年9月COSO委员会公布《企业风险管理——整合框架》,将内部控制上升到全面风险管理的高度。企业风险管理包括以下八个组成要素。内部环境:内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。目标设定:必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别:必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估:通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对:管理当局选择风险应对措施,包括回避、承受、降低或者分担风险,采取一系列行动以便把风险控制在主体的风险容量以内。控制活动:制定和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通:获取相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。监控:对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。
总的来说,第四个阶段的内部控制理论基本奠定了现代企业内部控制的基本框架,影响最为深远,第五个阶段的内部控制理论只是进一步细化。
2、国内内部控制理论发展
鉴于内部控制制度的重要作用,1996年我国财政部在颁布的《会计基础工作规范》中首先提出了内部会计控制概念。随后,有关部门相继出台了若干涉及内部控制的文件。1999年10月,全国人大常委会通过的《会计法》明确要求各单位应当建立健全单位内部会计监督制度。
2001年,财政部发布了《内部会计控制规范(试行)》;2006年7 月15日,财政部会同国资委、证监会、审计署、银监会、保监会共同发起成立了企业内部控制标准委员会(以下简称CICSC),作为内部控制标准体系的咨询机构。2007年3月2 日,CICSC发布了《企业内部控制——基本规范》和17 项《企业内部控制——具体规范》的征求意见稿,基本形成了一套适合我国的较完整的企业内部控制规范。2008年6月,财政部、证监会、审计署、银监会、保监会等五部委联合发布的《关于印发〈企业内部控制基本规范〉的通知》、《企业内部控制基本规范》,要求上市公司自2009年7月1日起执行,鼓励非上市的大中型企业执行。
总的来说,国内内部控制制度主要是借鉴国外第四个阶段的内部控制理论,下面文章主要基于这一框架对企业如何加强内部控制进行一般性探讨。
二、我国企业加强内部控制的措施分析
1、改善内部控制环境
(1)强化内部控制的意识。首先是公司管理层必须树立现代管理思想,自觉形成风险管理观念,重视内部控制,并通过有效的信息传导机制确保公司全体员工都明确自己对内部控制的“责任”。
(2)完善企业治理机制,优化组织结构。股东与董事会、董事会与经理班子之间的委托代理关系是企业最基本的契约关系,内部控制的设计必须从组建公司治理结构开始,执行效果的好坏也依赖于公司治理的完善与否。在设计公司组织结构时,应明确规定每一个部门的责任与利益,既要防止权力重叠,也要避免出现权力真空,使每一项业务处理的各个环节都有相应的机构和具体人员负责。
(3)强化“两会”监督功能。首先,要增强董事会的功能,关键问题是要保证董事会在决策、监管过程中的独立地位,为此,必须严格限制董事会与经理班子的重合,同时进一步完善独立董事制度。其次,要强化监事会的权力,明确监事会失察的法律责任,确保监事会责权利的落实。
2、加强风险评估
企业在经营过程中应加强风险管理,建立健全风险预测、风险评估、风险控制和风险约束机制,要合理客观地评估企业现状和风险,并且在技术上制定风险回避、风险转移和风险分散等管理策略,以有效防范和控制风险。
企业应成立专门机构对经营过程中出现的风险进行评估,如在董事会下设立风险评估委员会,聘请有关专家参加对企业经营过程中可能涉及的各种风险及早进行风险评价,确定风险领域,防患于未然。同时,还要通过建立内部监督机构对企业高风险区域经常进行检查,以及时发现已存在的或潜在的风险。 企业应参照规范的内容对现有规章制度及业务流程进行全方位的梳理,并在此基础上对制度体系进行修订、补充和完善,发现其中存在的内部控制缺陷及改进现有内部控制措施。应合理、客观评估企业现状,建立风险预警和应对机制,在规范性的前提下紧密结合自身特点,建立一套自我完善、不断提高的较为实用的内控机制。同时要积极借鉴其他企业及国内外先进的经验与成果,持续改进、不断提高。
3、结合企业经营流程和风险评估结果,设计内部控制活动
内部控制活动设计要确保对业务流程和管理过程全覆盖,落实内部控制责任体系。企业应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使企业员工了解和掌握内部机构设置及权责分配情况,促进企业各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。内控流程的建立关键在于落实、执行。首先是层层落实风险控制责任。按照“纵向到底、横向到边、责任到人”的原则,使每个员工都明确自身岗位职责和工作流程,明晰风险并按章办事。其次是实施内控工作督导制度,建立督导责任制。明确领导分工负责,建立“一把手”责任制,财务部牵头,由各部门负责人组成内控领导小组。由内控相关人员督办内控工作的实施情况,定期进行培训、检查,指导内控工作的开展。再次是将内控建设工作纳入到各部室的年度绩效考核体系当中,单列一条直接作为绩效考核的扣分指标,以确保内控工作得到有力推进。
值得一提的是,预算管理是内部控制的有效手段。在复杂的层级结构组成的企业中,信息不对称导致企业目标分解与决策权分享的困难,预算因此而成为企业内部控制的重要方式。
4、信息与沟通
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,使各部门各岗位明确各自的职责,促进内部控制有效运行。
对企业而言,所有的程序和政策确定以后,需经过内部控制部门进行测定和评估,然后再和实际操作部门慎重探讨以后,确定其中关键的控制要点在哪里。必须对员工实施相关培训,确保员工明白内部控制的重要性和积极意义,并且了解关键控制点,也就是说了解工作中的风险点。比如业务部门的员工必须确保每一笔交易的真实性,合理性和合法性是其应尽的义务,其将对任何虚假不法行为负责。以员工报销来说,企业内控制度通常不会核对每一张发票,但是企业可能会定期或是不定期的抽查,一旦发现问题,可能带来严重后果。而最关键的是财务部门的员工必须了解其职责是遵循相关程序和法律法规来监督和记录每一项交易的,并且应该不断提高自身的专业水准,将新的信息和要求准确传达给其他部门的员工。
5、监督
(1)持续性监控行为方面的监督。首先在执行公司的常规管理行为时,应该保证内部控制能够持续地被执行。这需要经常对内部控制框架进行更新和宣传,使公司的每位员工明确责任并严格按照规范操作。其次注意收集来自外部的交流信息,比如投诉的内容、无缘无故的突然改变合作方式等,都有可能表明公司的内部控制出现了问题。再次在明确公司组织结构及内部分工和授权的情况下,定期对公司的资产进行盘查,包括现金的突击盘点和对账、实物资产的账账核对和盘点、是否存在账外账等,以保证财产的安全和完整。最后加强合同管理和项目管理。
(2)独立评估方面的监督。首先加强内部审计。可以根据公司的具体情况设置内审部门或内部审计岗位,不论何种形式,都应该由董事会直接领导,专业的内部审计师不仅要监督企业的内部控制制度是否被有效的执行,更应帮助企业营造良好的控制环境。要发挥内部审计的作用,应做好以下两点。一是提高内部审计机构的地位,强化内部审计的独立性,内部审计部门必须独立于被审计部门,并向董事会或审计委员会报告。二是对内部审计的职能进行不断拓展,不仅要进行事后的审计,还要进行事前、事中的控制;不仅要对财务报表进行审计,还要对管理活动进行分析、评价。其次借助外部审计的专业水平。当公司认为内部控制制度需要有所改变时,不妨借助于外部审计的专业判断。
总而言之,五要素内部控制理论是比较成熟的,也是经国内外众多企业实践证实有效的内部控制理论,国内企业应该基于这一框架,从控制环境、风险评估、控制活动、信息与沟通、监督五个方面来加强内部控制建设。
【参考文献】
[1] 苏红敏:完善企业内部控制的对策探讨[J].全国商情(经济理论研究),2009(5).
[2] 陈素珍:浅谈内部控制的有效性及对策[J].会计师,2009(2).
[3] 张海兰、冯建荣:上市公司内部控制标准体系构建[J].财会通讯,2009(3).
(责任编辑:张琼芳)