论文部分内容阅读
摘要:加强和规范企业内部控制,对提高企业管理水平和风险防范能力,促进企业可持续发展具有重大的意义。本文通过对内部控制概念以及内部控制涵盖的内容的理解,提出系统化内部控制的概念,相应提出系统化内部控制解决方案及内控建设中应注意的相关问题,以期为国内企业,尤其是已上市或拟上市公司的管理理念调整及内控建设提供有益的参考。
关键词:内部控制;风险管理;系统化
中图分类号:F270 文献标识码:A 文章编号:1001-828X(2011)11-0107-02
一、系统化内部控制
1.内部控制
美国COSO委员会在1992年9月公布的《内部控制—整体框架》(即SOCO框架)中对内部控制的定义:“企业董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规”。
我国财政部、证监会、审计署、银监会和保监会等五部门在2008年6月联合发布的财会[2008]7号《企业内部控制基本规范》中则将内部控制定义为:“是由企业董事会、证监会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效益合效果,促进企业实现发展战略”。
综上所述,内部控制是指由企业内部相关利益者实施的,为确保企业目标实现、识别并预防可能阻碍目标实现的各种风险而实施的各类程序和政策总和。
2.系统化内部控制
系统工程是用系统思想为指导,以系统整体功能最佳为总体目标,通过对系统综合、系统分析构造系统模型来调整改善系统结构,使之达到整体最优化。系统化内部控制是指将系统工程的观点和方法运用到内部控制中,将企业内部控制建设视作为一项系统工程,从内部控制的总体目标着手,进行系统的逻辑总体设计,确定内部控制整体框架,然后进行各控制子系统的设计和实施,最终实现内部控制总体最优。
二、系统化内部控制的内容
1.系统化内部控制的总体目标
根据《企业内部控制基本规范》,内部控制包括五大目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。因此,系统化内部控制的总体目标是在国家有关法律法规的指导下,利用博弈论、受托责任论等理论和系统工程方法,根据企业特性构建完善企业内部治理结构和内部控制制度体系,做到职责清晰、流程优化和控制有效,形成事前预防、事中控制、事后监督纠正的内控机制,以实现上述内部控制的五大目标。
2.系统化内部控制应遵循的原则
(1)系统性原则。企业建立内部控制的整个过程,是一项复杂的系统工程。在整个系统的实施过程中,包括内部控制目标的确认,企业治理结构设计,部门职责划分,各种内控制度的建立与实施、内部控制的评估和审计等众多内容,都必需采用系统工程的方法与原理去安排组织,这样才能使企业内部控制建设能顺利正确地进行。
(2)全面性原则。内部控制必须涉及到企业的各项业务过程和各个操作环节,覆盖所有的部门和岗位。
(3)动态性原则。内部控制要跟得上企业的发展变化,在开设新的机构部门或业务种类时,必须“内控先行”,首先建章立制,采取有效的控制措施,即使在创新领域,也不能因为法律没有规定或没有要求而不采取必要的控制措施。
(4)独立性原则。内部控制的检查、评价部门必须独立于内部控制的建立和执行部门,制度的制订、具体业务执行和内部控制监督检查三岗必须作为不相容职责进行适当分离。
3.系统化内部控制涵盖的内容
在COSO框架下,内部控制由控制环境、风险评估、控制活动、信息与沟通、监督等五部分构成,这五部分内容即为内部控制的五要素。
我国2010年发布的《企业内部控制配套指引》(财会[2010]11号)中将配套指引分为内部控制应用指引、内部控制评价指引和内部控制审计指标三大部分,在应用指引中要求企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制,并按涉及环节具体划分为内部环境类(组织架构、发展战略、人力资源、企业文化、社会责任)、控制活动类(资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告)、控制手段类(全面预算、合同管理、内部信息传递、信息系统)等三类21个方面。
由此可见,系统化内部控制所涵盖的内容,包括了企业内部控制目标确定、组织架构的建立健全、内控框架建立健全、各具体业务流程的整理规范、内控系统的评估、内控体系执行的规范和检查等方面;涉及整个企业资金流、物流、人力流和信息流,既涵盖与财务报告相关的内部控制,也包括非财务报告方面的内部控制。
三、系统化内部控制解决方案
1.根据企业特征的不同,确定企业内部控制的业务目标
一般来说,内部控制的目标有三方面:即报告信息的可靠性、资产的安全完整以及对法律法规的遵循。同时促进提高经营的效率效果、促进实现企业的发展战略。但是,以所有权与经营权分离为特征的现代企业在股东、董事会、经理层和普通雇员之间存在三层委托代理关系,降低代理关系所带来的代理成本和代理风险是内部控制存在的根本原因。企业所有制形式、规模大小、管理水平、所处发展阶段等不同,委托代理关系存在一定差异,从而也意味内部控制的业务目标也存在具体差异。最终所有者为国家或社会公众的企业如国有企业、上市公司等,其三层代理关系中首先是最终所有者与董事会的委托代理关系,内部控制业务目标可以概述为报告信息的可靠性、资产的安全完整以及对法律法规的遵循。但对于我国众多的家族企业或者个私经营者来说,股东、董事会和经理层往往三位一体,内部控制业务目标应以促使企业战略目标实现、经营风险识别防范和保证经营效率效果为主。
2.完善公司治理架构和公司内控组织
公司治理结构即公司治理层面的组织架构,涉及股东(大)会、董事会、监事会和经理层,是内部控制环境的基础。企业在确定战略目标后,应根据国家有关法律法规和公司战略目标的要求,按照决策权、监督权和执行权相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。同时按照《内部控制规范》建立内控组织,中大型企业应在公司董事会下设内部控制管理委员会或审计委员会负责公司内部控制建设工作,设置公司内审部门具体进行内部控制建设工作;小型企业可由公司董事长、经营班子和财务部门负责人共同组成内部控制管理委员会,由稽查监控部门兼任内控具体建设工作。
3.建立健全内部控制制度,形成书面内部管理手册
内部控制制度是内部控制框架的组成部分,主要从公司治理、业务流程、管理流程各个子系统着手,通过系统风险评估确定各子系统的内部控制重点和难点,利用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制措施,对每个子系统建立一个内控子模块。
每个企业在企业文化、管理风格上各有特色,决定了每个企业内控环境各有不同,因而其内部控制系统也存在一定差异。在明确现阶段内部控制业务目标以及确定公司治理结构、内控组织后,应在企业原有各项管理制度的基础上,根据内部控制管理的三目标五要素的要求进行修改健全,形成企业内部控制系统。按照自上而下的原因,从企业治理层面首先进行总体风险评估,按现代企业治理要求建立企业治理结构并明确职责权限,形成具有法律效应的公司章程。同时根据企业实际业务流程,通过沟通访谈、分析业务流程、头脑风暴等方法,深入理解业务流程和管理流程,分筹资、投资、采购、销售、利润分配等具体业务环节确定各环节的量化风险,评估风险的严重程度,建立相应的风险数据库及风险应对策略,并在高风险环节确定关键控制点,确定关键岗位及职责表,描述关键控制点及相关的关键控制活动,建立不相容职务表,将各项管理制度、管理办法、实施细则、关键业务流程图、关键业务控制矩阵、备查文档等进行书面化,形成内部控制管理手册、制度手册和评价手册。制度手册中的每个业务模块包含业务目标、业务风险、关键控制点、业务范围、业务流程(部门职责、工作程序、权责指引、流程图)等内容。
4.落实内控制度的评估、日常监督和动态更新,确保有效控制
企业在建立了内部管理手册以后,应由在制度上明确由职责独立的内审机构负责监督内部控制的日常执行情况,对企业的非经常性项目进行不定期的监督,并及时直接地向企业内控委员会汇报。同时,企业在发展过程中,经常会面临着各样各样的新业务和新变化,这些变化会导致原有的风险手册和内控管理手册不再符合企业的实际,应及时根据企业的内外部环境的变化对内控体系进行动态更新,以确保有效控制。
四、结语
总之,首次规范企业内部控制体系对目前我国企业来说是一件十分必要的任务,在建立内部控制过程中,应从内部控制总体目标入手,结合企业的实际情况,以系统工程的观点来建设适合本公司特点的能行之有效的内部控制体系。
作者简介:胡玲莉(1972-),女,浙江永康人,会计师,从事内部控制、审计方向的研究。
关键词:内部控制;风险管理;系统化
中图分类号:F270 文献标识码:A 文章编号:1001-828X(2011)11-0107-02
一、系统化内部控制
1.内部控制
美国COSO委员会在1992年9月公布的《内部控制—整体框架》(即SOCO框架)中对内部控制的定义:“企业董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规”。
我国财政部、证监会、审计署、银监会和保监会等五部门在2008年6月联合发布的财会[2008]7号《企业内部控制基本规范》中则将内部控制定义为:“是由企业董事会、证监会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效益合效果,促进企业实现发展战略”。
综上所述,内部控制是指由企业内部相关利益者实施的,为确保企业目标实现、识别并预防可能阻碍目标实现的各种风险而实施的各类程序和政策总和。
2.系统化内部控制
系统工程是用系统思想为指导,以系统整体功能最佳为总体目标,通过对系统综合、系统分析构造系统模型来调整改善系统结构,使之达到整体最优化。系统化内部控制是指将系统工程的观点和方法运用到内部控制中,将企业内部控制建设视作为一项系统工程,从内部控制的总体目标着手,进行系统的逻辑总体设计,确定内部控制整体框架,然后进行各控制子系统的设计和实施,最终实现内部控制总体最优。
二、系统化内部控制的内容
1.系统化内部控制的总体目标
根据《企业内部控制基本规范》,内部控制包括五大目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。因此,系统化内部控制的总体目标是在国家有关法律法规的指导下,利用博弈论、受托责任论等理论和系统工程方法,根据企业特性构建完善企业内部治理结构和内部控制制度体系,做到职责清晰、流程优化和控制有效,形成事前预防、事中控制、事后监督纠正的内控机制,以实现上述内部控制的五大目标。
2.系统化内部控制应遵循的原则
(1)系统性原则。企业建立内部控制的整个过程,是一项复杂的系统工程。在整个系统的实施过程中,包括内部控制目标的确认,企业治理结构设计,部门职责划分,各种内控制度的建立与实施、内部控制的评估和审计等众多内容,都必需采用系统工程的方法与原理去安排组织,这样才能使企业内部控制建设能顺利正确地进行。
(2)全面性原则。内部控制必须涉及到企业的各项业务过程和各个操作环节,覆盖所有的部门和岗位。
(3)动态性原则。内部控制要跟得上企业的发展变化,在开设新的机构部门或业务种类时,必须“内控先行”,首先建章立制,采取有效的控制措施,即使在创新领域,也不能因为法律没有规定或没有要求而不采取必要的控制措施。
(4)独立性原则。内部控制的检查、评价部门必须独立于内部控制的建立和执行部门,制度的制订、具体业务执行和内部控制监督检查三岗必须作为不相容职责进行适当分离。
3.系统化内部控制涵盖的内容
在COSO框架下,内部控制由控制环境、风险评估、控制活动、信息与沟通、监督等五部分构成,这五部分内容即为内部控制的五要素。
我国2010年发布的《企业内部控制配套指引》(财会[2010]11号)中将配套指引分为内部控制应用指引、内部控制评价指引和内部控制审计指标三大部分,在应用指引中要求企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制,并按涉及环节具体划分为内部环境类(组织架构、发展战略、人力资源、企业文化、社会责任)、控制活动类(资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告)、控制手段类(全面预算、合同管理、内部信息传递、信息系统)等三类21个方面。
由此可见,系统化内部控制所涵盖的内容,包括了企业内部控制目标确定、组织架构的建立健全、内控框架建立健全、各具体业务流程的整理规范、内控系统的评估、内控体系执行的规范和检查等方面;涉及整个企业资金流、物流、人力流和信息流,既涵盖与财务报告相关的内部控制,也包括非财务报告方面的内部控制。
三、系统化内部控制解决方案
1.根据企业特征的不同,确定企业内部控制的业务目标
一般来说,内部控制的目标有三方面:即报告信息的可靠性、资产的安全完整以及对法律法规的遵循。同时促进提高经营的效率效果、促进实现企业的发展战略。但是,以所有权与经营权分离为特征的现代企业在股东、董事会、经理层和普通雇员之间存在三层委托代理关系,降低代理关系所带来的代理成本和代理风险是内部控制存在的根本原因。企业所有制形式、规模大小、管理水平、所处发展阶段等不同,委托代理关系存在一定差异,从而也意味内部控制的业务目标也存在具体差异。最终所有者为国家或社会公众的企业如国有企业、上市公司等,其三层代理关系中首先是最终所有者与董事会的委托代理关系,内部控制业务目标可以概述为报告信息的可靠性、资产的安全完整以及对法律法规的遵循。但对于我国众多的家族企业或者个私经营者来说,股东、董事会和经理层往往三位一体,内部控制业务目标应以促使企业战略目标实现、经营风险识别防范和保证经营效率效果为主。
2.完善公司治理架构和公司内控组织
公司治理结构即公司治理层面的组织架构,涉及股东(大)会、董事会、监事会和经理层,是内部控制环境的基础。企业在确定战略目标后,应根据国家有关法律法规和公司战略目标的要求,按照决策权、监督权和执行权相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。同时按照《内部控制规范》建立内控组织,中大型企业应在公司董事会下设内部控制管理委员会或审计委员会负责公司内部控制建设工作,设置公司内审部门具体进行内部控制建设工作;小型企业可由公司董事长、经营班子和财务部门负责人共同组成内部控制管理委员会,由稽查监控部门兼任内控具体建设工作。
3.建立健全内部控制制度,形成书面内部管理手册
内部控制制度是内部控制框架的组成部分,主要从公司治理、业务流程、管理流程各个子系统着手,通过系统风险评估确定各子系统的内部控制重点和难点,利用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制措施,对每个子系统建立一个内控子模块。
每个企业在企业文化、管理风格上各有特色,决定了每个企业内控环境各有不同,因而其内部控制系统也存在一定差异。在明确现阶段内部控制业务目标以及确定公司治理结构、内控组织后,应在企业原有各项管理制度的基础上,根据内部控制管理的三目标五要素的要求进行修改健全,形成企业内部控制系统。按照自上而下的原因,从企业治理层面首先进行总体风险评估,按现代企业治理要求建立企业治理结构并明确职责权限,形成具有法律效应的公司章程。同时根据企业实际业务流程,通过沟通访谈、分析业务流程、头脑风暴等方法,深入理解业务流程和管理流程,分筹资、投资、采购、销售、利润分配等具体业务环节确定各环节的量化风险,评估风险的严重程度,建立相应的风险数据库及风险应对策略,并在高风险环节确定关键控制点,确定关键岗位及职责表,描述关键控制点及相关的关键控制活动,建立不相容职务表,将各项管理制度、管理办法、实施细则、关键业务流程图、关键业务控制矩阵、备查文档等进行书面化,形成内部控制管理手册、制度手册和评价手册。制度手册中的每个业务模块包含业务目标、业务风险、关键控制点、业务范围、业务流程(部门职责、工作程序、权责指引、流程图)等内容。
4.落实内控制度的评估、日常监督和动态更新,确保有效控制
企业在建立了内部管理手册以后,应由在制度上明确由职责独立的内审机构负责监督内部控制的日常执行情况,对企业的非经常性项目进行不定期的监督,并及时直接地向企业内控委员会汇报。同时,企业在发展过程中,经常会面临着各样各样的新业务和新变化,这些变化会导致原有的风险手册和内控管理手册不再符合企业的实际,应及时根据企业的内外部环境的变化对内控体系进行动态更新,以确保有效控制。
四、结语
总之,首次规范企业内部控制体系对目前我国企业来说是一件十分必要的任务,在建立内部控制过程中,应从内部控制总体目标入手,结合企业的实际情况,以系统工程的观点来建设适合本公司特点的能行之有效的内部控制体系。
作者简介:胡玲莉(1972-),女,浙江永康人,会计师,从事内部控制、审计方向的研究。