企业如何提高内部控制能力
公司管理中普遍出现的问题:
中国公司市场化程度越来越高,市场竞争也更加激烈。在长期的管理经历中,
经历了各个行业和不同规模的公司咨询,我们认为:虽然各个公司的基于不同行
业商业模式的不同而有差异之外,在财务控制及内部控制方面都存在类似的问题,
我们总结如下:
1.财务管理基础薄弱,财务内部控制弱化;现在财务核算或管理软件已经获
得了极大的普及,各个层次或功能的财务管理或核算软件能够帮助财务人员很好
的提高效率和确保核算数据的正确性和及时性。但目前公司的基础财务管理水平
却与管理层对财务数据的要求有一定的差距。比如:财务资料的内部控制标准、
职位分离原则的实施、、权限管理、决策数据支持、战略管理和业绩管理等方面
都存在问题。财务发挥的作用并没有我们期望的效果。这也是很多公司在管理过
程中,认为财务并没有很好的监管及控制业务的进行,而是流于形式和只是为了
完成必要的程序;
2.财务管理功能缺乏,明显缺乏良好有效的财务管理工具及内部控制工具。
在实践管理过程中许多工具和技术并没有获得公司管理人员的执行或是运用,比
如预算管理、关键业绩指标、内部控制标准、财务预警机制等。在公司实际管理
过程中,财务人员耗费了大量的精力和时间在财务数据收集、整理、核算、编制
财务报告方面,并没有在财务数据分类、成本削减、业绩管理、预算控制、战略
管理等过程中发挥积极的作用,而是退缩于只是提供数据和信息的支持者的角色。
3.公司整体缺乏内部控制机制和标准,也没有意识到内部控制给公司带来的
利益。在很多跨国公司中纷纷建立了规范和齐全的内部控制标准,并将内部控制
标准融入到流程设计和流程改进中,大量的进行员工培训和教育,将内部控制标
准深入到所有员工的日常工作和行为中,以降低公司的商业风险和规避在商业中
出现舞弊和欺诈等非正常商业行为的发生,以维护良好的公司社会形象和维护股
东利益;
4.由于中国公司的外部环境并没有要求公司强化内部控制标准,这种不成熟
的市场化运营方式导致公司并不关心内部控制标准对公司能够带来的经济及社
会利益,公司认为所谓的走“擦边球”似的路线能够帮助公司获得期望的利益,而
没有考虑到由于内部控制失效对公司的造成的损害可能致命的,我们从“安然”事
件中可以看到内部控制失效后对公司所带来后果。
内部控制定义:
内部控制一般指:
1.对公司内部运做流程的审视和检测;内部控制具体执行时需要相关的内部
控制审计人员对公司各个运行程序进行全面的审视和检测,包括运用必要的审计
手段,比如分析性测试、内部控制水平评估、调查、现场查看等,需要完备的审
计工作底稿和管理报告,并对公司管理层报告审计过程中发现的问题和提出自己
的管理意见;
2.流程管理的修正器和轨道;内部控制的实施需要公司具有比较完善的运营
流程和流程操作手册,在实际审计及检测过程中依据公司运营流程和操作手册能
够很好的判断实际与期望及事前规定的差异,能够发现流程运营过程中的冗余和
不增值部分,并规范它。
3.是公司内部管理不可缺少的环节;内部控制实际上是公司内部管理工作中
基础和奠基,公司所有的运营流程和管理流程都需要纳入内部控制标准的范围以
内。
内部控制的利益:
1.有助于我们达到主要创意和最佳公司目标,在我们进行内部控制标准设计
的过程中,我们需要关注公司股东及战略目标,除了基础的控制措施以外,对于
战略管理等方面内部控制标准能够帮助我们很好的实现战略目标。
2.有助于保护我们的财产和信息、技术,在内部控制中许多原则能够帮助公
司维护资产和信息、技术的安全,比如良好的复核验证程序、定期的报告和记录
程序、权限管理等方式都能够帮助我们很好的维护资产、信息、技术完整。
3.有助于确保我们提供可靠和及时的经营报告和财务报告,由于内部控制标
准在维护财务信息和财务数据的安全和完整方面具有非常良好的技术和手段,也
是将内部控制标准作为内部控制最重要的控制部分,因此有理由相信内部控制标
准对于公司财务信息的维护和完善是非常有效的。
4.有助于我们遵循有关的法律、法规、惯例,避免损害公司声誉和地位,在
内部控制标准中,我们专门对公司对于外部环境,特别是法律法规,惯例等的维
护放置到非常重要的地位。由于内部控制标准失效和执行不好而造成公司在违反
法律和商业惯例方面而该给公司造成的损害,包括短期经济利益和长期社会利益
方面已经有非常多的沉痛案例。
内部控制的评价标准:
内部控制评价的具体标准还可以分为两个层次:第一层次是内部控制要素评
价标准;第二层次是内部控制作业层级评价标准。借鉴美国 COSO 报告的研究
成果,内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监
督五个。每一个要素又可以再分为更多的项目,例如控制环境要素涵盖的项目就
有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分
派体系、人力资源政策及实行等。至于作业层级评价标准主要是控制活动要素的
细化,控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助公司保
证其已针对“使公司目标不能实现的风险”采取了必要的行动。控制活动是针对控
制点而制定的,公司一般根据其生产经营活动的特点来设计控制活动内部控制标
准设计流程:
在设计内部控制标准过程中,我们需要关注内部控制的环境。
在进行内部控制标准设计中,我们需要关注:
1.股东的利益需求;
2.一般公认会计准则及审计准则;
3.国家及地区的法律法规;
4.交易委员会具体法律要求及其他要求;
5.客户需求;
同时,我们也需要关注:
1.财务政策、工作程序;
2.公司内部审计要求;
3.公司外部审计要求;
4.员工行为准则等;
在现代公司中对于内部控制的建立必须以系统的观点来看待,内部控制不是
单个部门能够独立完成的工作。
一般的内部控制制度包括:
1.员工行为准则;
2.内部控制标准培训;
3.工作程序准则;
4.财务准则;
5.电子安全标准;
6.公司的其他标准及政策。
在综合考虑上述因素之后,我们需要对我们的各种流程进行分析及重新设计。
依据管理咨询项目我们对公司前期的调查和诊断,并和公司管理层进行了充分的
沟通,确认存在以下问题:
1.流程控制混乱,各个流程设计不清晰;特别在涉及到流动资金管理方面的
流程,比如应收帐款、应付帐款、存货管理、现金及银行存款等方面,造成公司
在资金管理和流动资金流转速度不能够满足公司对于资金的要求;
2.公司没有内部控制标准和相关的内部控制制度,所有的控制都存在于各个
管理人员零星的自主活动中;无法依据系统化的内部控制标准进行内部管理;
3.部门之间联系业务流程混乱,造成部门之间的业务配合不协调和迟滞,信
息交流不通畅;
4.财务基础管理工作薄弱,比如缺乏必要的财务信息及资料的管理手段和制
度、基本核算业务流程不合理、财务功能缺失,必要的信息收集和来源渠道和记
录没有设立等问题;
5.财务人员需要获得实用的财务软件系统来降低财务核算过程中的工作量
和压力;(这一点可以通过购买外部软件供应商的适合软件来解决)
6.财务人员在业务运营过程中没有依据财务内部控制标准或是公司的内部
控制要求进行财务监督和审核,沦为各个部门的支持和帮助,并由于各个业务部
门的工作问题而导致财务部门在公司中倍受批评;
7.公司缺乏统一的财务政策,造成财务人员在实际执行业务核算和业务监督
过程中缺乏必要的依据和标准,也在业务监督和管理过程中师出无名。
咨询顾问和公司财务部门变革小组成员共同对以上提出的问题进行了排序,
依据重要性原则依次制订解决方案。
1.在每个行动之间我们设计了详细的行动计划,该计划内容包括:
2.行动目的;
3.行动范围;
4.行动方式;
5.行动步骤;
6.重点关注领域;
7.实施内容;
8.行动实施成果。
该计划内容需要和公司负责该工作的管理人员达成一致;在咨询过程中一般
将相关流程和内部控制标准的部门的人员共同组成改进团队,以充分获得各个职
能部门和专业人员的知识及解决方案。
综合考虑公司内部控制各个关键因素的要求后,确认我们需要达到的目标,
一般采用最佳实践作为参照(最佳业务实践:应该是公司策略,业务流程,支持
系统和组织结构的组合或其中的某一部分,它必须能够对一整套关键绩效指标
(KPI),例如成本,服务质量和投资回报率等,产生积极的影响,从而给公司
带来最大价值。Adersen 咨询公司定义)。
我们在选择最佳实践时一般采用:
1.本公司过去的先进水平;
2.本行业的先进水平;
3.类似流程的其他行业先进水平;
4.确认内部标准设计的基本内容,一般包括:
5.采购流程;
6.存货控制流程;
7.财务报告;
8.计算信息系统危机处理及控制;
9.专有资讯保护;
10.财产实物保护及内部控制;
11.成本内部控制;
12.实物盘点及清理内部控制;
13.应收账款、应付账款、总账、现金内部控制;
14.法规、法律内部控制。
依据内部控制内容和最佳业务实践,确认在每个内部控制环节(上述环节)
我们的内部控制标准,这个标准的设计非常艰难。在设计该内部控制标准的过程
中,需要依据内部控制的基本原则来进行。
内部控制基本原则包括:
1.内部控制标准对有关资源保护、经营、财务信息的可靠性以及遵守法律和
惯例等事项,
2.提供合理的,而非绝对的保证。
3.合理保证我们可以认为控制成本不应该超过可产生的效益。
4.忠诚不渝、良好的业务判断以及一种良好的控制文化是非常重要的。
5.实施控制是一个合理、良好的业务判断,而不是固定的模式,任何公司和
核算单位都可以照搬的。
6.内部控制更强调过程的控制,而不是对结果的处理。
7.未雨惆缪,把可能发生的风险杜绝在没有发生之前。
所有的内部控制标准的设计需要符合内部控制矩阵的要求,以下四条原则是
非常重要和必须在设计内部控制标准中使用:
1.授权
2.记录
3.安全/保护
4.验证
依据内部控制内容和最佳业务实践,咨询顾问和管理人员共同编制业务流程
图和业务流程设计分析,并标注每个关键控制点,并确认每个控制点我们的内部
控制方法及手段,以及必要的管理报告系统;并将所有的内部控制程序文件和流
程图汇总形成完整的内部控制文件。
依据内部控制标准和最佳业务实践,咨询顾问和公司管理人员共同对流程进
行调整,消除流程中不增值部分,缩短流程运行时间,提高效率。
在流程设计过程中,需要遵循以下原则:
1.要从工作的目的出发而不是工作的过程出发定义岗位职责;
2.剔除对内部客户和外部客户都不增值的部分;
3.在流程设计中融入内部控制标准;
4.建立流程设计过程中的业绩考核体系;
5.成本和效益的配比分析,提高成本效益比;
最后步骤,由于内部控制标准和流程设计是密切联系的,因此需要公司在实
施该标准的前期首先对公司的员工进行长期和大范围的培训和教育。
一般培训方式包括:
1.正式培训,包括培训班、临时培训、职业培训;
2.职业教育大学,资格教育;
3.演示及过程展现;
4.设计易辨认的图示标牌或是简易的说明文字,流程图;
5.局域网上发布或是网上学校;
6.散发资料,定期考核等;
7.定期的检查和反馈会议。
在进行内部控制标准实施之间,如果该部分的工作没有达到预期效果是话,
将对内部控制标准的实施造成非常严重的后果。在该过程中,获得员工的认可和
理解,以及理解内部控制标准对公司的重要作用及个人的作用都将会对内部控制
标准的顺利实施起到良好的效果。
二、我国企业内部控制规范建设中存在的问题
虽然我国近年来在内部控制规范建设方面做了许多扎实有效的工作,并取得
了较大的成绩,但与国际先进、成熟的内部控制规范体系相比较,仍然存在着不
小的差距和一些亟待解决的问题。
(一)企业对内部控制的内涵认识不清。企业普遍认为内部控制就是内部控
制制度,是企业用以防止发生错误和舞弊、或者是用以应付有关部门及主管单位
检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的
职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的
内部控制制度制定工作,就是实施了企业内部控制(潘秀丽,2005),对内部控
制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评
价。而按照 COSO 的 ICIF 框架对于内部控制的定义:企业内部控制是受企业董
事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的
可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风
险评估、控制活动、信息与沟通、监督五个方面的内容构成。COSO 框架强调内
部控制是为了保证企业目标的实现而实施的控制过程,要围绕五要素来构建内部
控制框架,是一项比较复杂的系统工程。
(二)企业内部控制的相关规范制度亟待整合。由于管理体制方面的原因,
我国有关内部控制的指导原则、指引、规范出自不同的政府部门或机构,如《内
部会计控制规范》、《中央企业全面风险管理指引》、《证券公司内部控制指
引》、《证券投资基金管理公司内部控制指导意见》、《商业银行内部控制指
引》、《上市公司内部控制指引》等一系列规范性文件分别出自财政部、国资委、
中国证监会、中国人民银行、深圳证券交易所、上海证券交易所等部门。政出多
门造成这些规范形式多样、标准不一,对内部控制概念的界定、控制目标的确立、
应遵循的控制原则、内部控制要素的构成等重要内容均有不同的解释和规定。这
既增大了内部控制规范的制定成本,又增大了各内部控制规范之间的协调成本。
而且,由于没有专门机构统一负责内部控制规范建设,已经制定的内部控制规范
也无法在全国范围内迅速而有效地推进,失去了其应有的价值。
(三)忽视内部控制环境建设。按照 COSO 的 ICIF 框架,控制环境是内部
控制框架体系的第一要素,被视为其他控制要素的基础。按照 ICIF 框架的定义,
内部控制环境是指一个企业的基调和氛围,对内部控制形成外部约束,并直接影
响企业员工的控制意识。控制环境因素主要包括管理层的经营理念和经营风格,
企业员工的道德价值观和工作胜任能力,管理当局的授权和职责分工方法,人力
资源的组织与开发,董事会的关注和指导力度等。控制环境是内部控制能否生效
的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企
业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视,很多
企业还未开展内部控制环境建设,如公司治理方面存在严重缺陷,管理层关键人
凌驾于规章制度之上,内审部门无法肩负起监督职责等。而《证券公司内部控制
指引》、《商业银行内部控制指引》、《上市公司内部控制指引》等虽然都将控
制环境列为内部控制规范的要素之一,但也仅仅是对 COSO 的 ICIF 框架内容的
简单移植。要使内部控制环境在内部控制体系中得到完善,并发挥内部控制环境
应有的作用,还需从改进公司治理、更新管理层经营理念、加强员工职业道德教
育等基础工作做起。
(四)内部控制规范体系不完善。企业风险管理框架必须建立在完善的内部
控制框架基础之上,否则就谈不上风险管理体系框架的完善。美国 COSO 于 2004
年发布的《企业风险管理——整合框架》(ERM 框架)文件中,专门阐述了 ERM
框架与 COSO 于 1994 年修订后发布的《内部控制——整合框架》(ICIF 框架)
之间的关系:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。企
业风险管理拓展了内部控制的风险评估要素,将风险评估要素进一步细分为目标
设定、事项识别、风险评估和风险对策等,比内部控制内容更广泛,更加关注风
险。而且,COSO 在 ERM 框架中声明,虽然 ERM 框架涵盖并拓展了 ICIF 框架
的主体内容,但并不意味着可以替代 ICIF 框架,ICIF 框架仍然有效,仍然是符
合 SOA 法案规定建立内部控制框架体系的依据。我国内部控制规范尚未成完整
的系统,国资委出台的《中央企业全面风险管理指引》虽然在内容上广泛吸取了
国际上的最新研究成果和成熟经验,并具有一定的前瞻性,但在目前我国内部控
制相对薄弱的现实环境下,其实施缺乏可依赖的坚实基础,显得有些突兀,难以
获得理想的效果。
三、改进企业内部控制规范的建议鉴于我国企业内部控制规范建设中存在的
问题和我国的现实状况,笔者建议从以下几方面入手,加快我国内部控制规法建
设:
(一)提高企业对内部控制的认识和理解,营造良好的内部控制氛围。要象
宣传新会计准则、新税法那样,对内部控制进行广泛宣传和推介,改变目前人们
普遍将内部控制看作是一项制度性建设的错误观念,使企业管理层和广大员工充
分认识到内部控制的包含企业经营活动各个环节的控制过程和活动,是一项复杂
的系统工程。只有提高企业管理层和员工对内部控制的认识和理解,才能形成一
个良好的内部控制氛围,从而促进内部控制规范的建设和实施。
(二)整合现有内部控制规范,建立统一的内部控制框架体系。为了改变我
国内部控制规范建设中各自为政的现状,建议由财政部牵头,由企业内部控制标
准委员会具体负责,对现有财政部、证监会、中国人民银行、国资委、上海证券
交易所、深圳证券交易所等部门和机构制定出台的内部控制方面的规范、制度、
指引等进行重新梳理和整合,统一内部控制的概念、目标、要素、原则、程序、
评价标准等基本内容,制定出适用范围宽泛的内部控制整体框架,作为各类企业
内部控制体系建设的参照标准。各部门或机构在履行其各自管理职能时,可以对
管辖范围内的企业提出内部控制建设方面的具体要求,但建设内部控制所依据的
规范框架应该是统一的。
(三)改善法人治理结构,优化内部控制环境。法人治理结构在很大程度上
影响着企业的健康运行和企业目标的实现,并且会对企业内部控制体系的建立与
完善产生影响。企业应从完善法人治理结构入手,充分发挥股东会、董事会、监
事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业
内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评
价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业
管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德
建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度
的顺利实施。
(四)建立和完善企业内部控制规范体系。虽然以美国为代表的西方发达国
家的企业已经开始将内部控制的重点逐渐转向风险管理,但从我国目前的现状来
看,建立和完善统一的内部控制规范框架仍然是我国内部控制建设的第一要务。
完善的内部控制体系框架是企业实施内部控制、防范企业风险的基础,只有打下
坚实的基础,才能够保证企业内部控制的顺利实施和全面风险管理的有效推进。
