內部控制是社會經濟發展到一定階段的產物,是現代企業管理的重要手段。綜觀以往案例,有關企業經營失敗、會計信息失真、違法經營等情況在很大程度上都是因為企業內部控制的缺失或失效。諸如巨人集團的倒塌,鄭州亞細亞的衰敗,震驚中外的瓊民源、銀廣夏事件的發生,巴林銀行的敗落,美國安然公司的破產等等這些現象,無不與企業內部控制失效有關。因此,建立和完善企業內部控制,有利于提高企業經營的效果和效率,有利于提高財務報告的可靠性,有利于保障企業遵循法律法規,有利于保護財產物資的安全完整。
根據COSO(Committee of Sponsoring Organization)于1992年發布的《內部控制——整體框架》報告,內部控制是由企業董事會、管理層和其他員工制定和實施的,旨在為經營的效果和效率、財務報告的可靠性以及相關法律法規的遵循性等目標提供合理保證的過程。內部控制由控制環境、風險管理、控制活動、信息與溝通和監督五個相互聯系的因素所構成,并強調了包括董事會、管理層、內審人員及其他員工在內的內部控制主體“人”的極端重要性,而且認定“人”(經濟人)是理性的,其在給定或設定的約束條件下會盡量使自己的偏好與利益最大化。在這五個因素中,控制環境就像一把保護傘,對其他幾個因素起著保護和制約作用。這五個因素的相互關系圖示如下:
按照《內部控制——整體框架》,構建企業有效內部控制可從以下五個方面入手:
1.完善企業的控制環境
控制環境決定了企業的基調,直接影響企業員工的控制意識。控制環境的優劣直接決定著企業的各項控制措施能否執行及執行的效果。它包含了管理哲學、經營風格、授權與責任方式、組織結構、員工的團結觀念和競爭意識、人力資源政策及其執行等許多因素。針對控制環境的影響因素,企業要加強以下方面的建設:
企業有必要健全管理機構,理清各機構的管理權責,確定董事會在內部控制框架構建中的核心地位。我國很多公司在形式上建立了董事會、監事會,但實際工作中還存在許多誤區,真正的法人治理結構并未完全建立。董事會的監控作用嚴重弱化,“董事”不“懂事”通常是“虛職”且缺少必要的常設機構,如“東方鍋爐”這一案例,在很大程度上就是因為董事會與總經理職責重復“一套人馬兩塊牌子”造成的。
為了建設優良的控制環境,需要倡導積極向上的企業文化,提升企業管理者的操守和價值觀,保障內部控制的有效運行。企業制定的任何制度都不可能超越設立這些制度的人,企業內部控制的有效性同樣也無法超越那些創造、管理與監督制度的人的操守及價值觀。管理層的操守及價值觀是構成控制環境的一個基本要素,對于企業內部控制的效率和效果影響深遠,直接影響到下級員工的道德行為、思維方式和品行。
優良控制環境的形成也離不開高素質的員工,企業必須高度重視員工素質控制。建立嚴格的招聘程序,保證應聘人員符合招聘要求;加強對員工的培訓,提高其專業勝任能力;加強考核和獎懲力度,定期對員工業績進行考核,獎懲分明;定期或不定期進行工作崗位輪換,通過輪換及時發現存在的錯弊情況,有助于抑制不法分子的不良動機。
2.進行全面的風險管理
風險管理是指企業為達到其目標而確認和分析相關風險,在此基礎上對風險進行管理的過程。風險管理涉及企業面臨的內、外部諸多風險,但考慮成本效益原則,并不是所有的要素都有采取內部控制的價值,只需針對那些具有風險并且會影響有關控制目標實現的可控要素進行控制。
在風險評估中可以采用如下的風險管理模型:工作目標—風險評估—控制風險的措施。
工作目標是風險評估的起點,是控制環境中的要素,只有明確工作目標,才能識別控制環境的各個要素中,哪些要素存在影響工作目標實現的風險,通過對風險程度的評估,采取積極有效的控制措施,保證其工作目標的實現。下面以財務部為例,按照風險管理模式對財務部可能存在的風險進行評估。財務部屬于企業的管理層,財務部的工作目標是為董事會和經理層提供及時、準確、完整的財務報告。
風險評估是為了能夠達到財務部的工作目標。在分析控制環境中的各個要素時就可能發現:
⑴人員素質不高,不能按照會計法規做事。
⑵越權管理,讓不該做某事的人做了事,如,出納既做現金賬又負責支付現金;而應該做事的人卻不能在正確的時間里去做事,如總賬會計到月底還不能完成上個月的會計報表。
⑶信息系統發生錯誤,從而提供了不正確的數據。由此可見,控制環境因素中人員和信息系統可能成為引起財務報告不及時、不準確、不完整的風險要素,因此,財務部應該對這兩個關鍵控制點的風險程度進行評估,以便在下一環節中采取有效的控制措施。
3.設立良好的控制活動
控制活動指那些有助于管理層決策順利實施的政策和程序。控制活動出現在整個企業內的各個階層與各種職能部門,涉及的控制對象包括人、財、物、產、供、銷等各個方面,而控制措施是針對各關鍵控制點而制定的,因此,企業在制定控制活動時關鍵就是要抓住關鍵控制點。
⑴針對人員的控制活動。一是職責分離。職責分離是現代企業內部控制的基本要求,對于單位的一切交易或事項都應嚴格按照不相容職務相分離的原則,科學地劃分各職責權限,形成相互制衡機制。二是工作流程。明確每個崗位的職責,使每一個人的工作能自動地相互檢查另一個人或更多人的工作,從而達到相互牽制的目的。三是票據與記錄控制。票據是證明交易發生和交易的價格、性質及條件的證據。實行票據保管、收款與會計記錄人員的崗位分離;對所有票據(包括發票、支票、收據、工時記錄等)進行預先編號,在此制度下,所有作廢的票據都要妥善保存,對已經使用的票據能夠有會計人員進行定期銷號,并及時與票據保管人員進行核對,以防止交易漏記或重復記錄現象,保證全部收入、結算款項等能夠及時準確入賬。四是資產接觸與記錄使用。資產接觸與記錄使用主要是指限制接近資產和接近重要記錄,以保證資產和記錄的安全。五是績效考評。為了實現既定的工作目標,應實施有效的激勵、獎懲機制,激勵全體員工參與企業管理和控制,以充分發揮各自的主觀能動性。六是獨立稽核。每一個人都有可能由于偶然疏忽發生錯誤,為了避免此類錯誤的發生,每一個人完成的工作將由與此工作沒有直接關系的另一個人或部門進行驗證、審核。
⑵針對信息系統的控制活動。信息系統的控制十分重要,具體應通過采取權限控制、數據輸入/輸出控制、手工憑證的控制等方式,各個崗位應通過設置密碼口令來防止別人越權使用自己的權限,沒有權限的人絕不允許對數據進行查閱或修改。
4.建立廣泛的信息與溝通
公允的信息必須被確認、捕獲并以一定形式及時傳遞,以便員工履行職責。要建立一個廣泛而有效的信息與溝通系統,應該遵循以下原則:
⑴一個有效的內控系統需要充分、全面的內部財務,經營和遵從方面的數據,以及關于外部市場與決策相關的事件和條件的信息。
⑵有效的內控需要建立可靠的信息系統,涵蓋公司的全部重要活動。
⑶有效的內控系統需要有效的交流渠道,確保所有員工充分理解和堅持現行政策和程序,影響他們的職責,并確保其他的相關信息傳達到應被傳達到的人員。
5.加強內部控制的監督
內部控制系統需要被監督,即對該系統有效性進行評估的全過程。在監督內部控制時應當遵循下述原則:
⑴應當不斷地在日常工作中監督評審內控的總體效果。
⑵對內控系統應當進行有效和全面的內部審計。企業應建立相對獨立的內審機構,不依附于有關職能部門,配備稱職和得力的人員,應得到適合的培訓,并在企業內部建立一個相互協調、相互牽制的監督體系,內審作為內控系統監督評審的一部分,應當向董事會或其審計委員會直接報告工作,獨立地行使審計監督權。
⑶不論是經營層或是其他控制人員發現了內控的缺陷,都應當及時地向適當的管理層報告,并使其得到果斷處理,實現組織預期達到的內控水平。
總之,市場經濟條件下的企業需要內部控制,呼喚內部控制,這是主流,這是規律。越是優秀的企業,規范管理越有無形的作用。企業經營好比一江清水,管理規范好比千里長堤,水從堤轉,才能因而得福。如果大堤本身千瘡百孔,水就會破堤而出,為禍一方。軍中無法,等于自敗;企業無規,等于自亂。
(湖南湘潭職業技術學院)
