-
企業內部控制建設應以經營的效率和效果為主導目標,以財務報告的可靠性、資產的安全性和經營的合規性為三大保障目標。在此基礎上,建設實踐將重點關註內部控制組織的建立和內部控制建設的五大要素。
(1)內部控制組織
組織是系統運行的基本保證。通常的內部控制組織包括兩個層次:董事會和管理層。強調內部控制的建設和實施由董事會負責,並設立專門的審計(風險)管理委員會加強管理。此外,內部控制組織的建立強調管理者是企業內部控制建設的具體實施者和責任人,各管理部門根據職能開展內部控制的建設和實施。其中,是否設立專職內控部門是企業界關註的焦點,通常的設置方法包括三種:
方法壹:成立單獨的內控部門。優點是有利於提高內控建設的初期推進效率,缺點是內控部門與管理部門分離,未能體現內控責任與管理責任的融合。這種方法在金融企業中應用廣泛。對於實體經濟,通常沒有專職的內控部門。
方法二:內部控制由內部審計部門牽頭。好處是在系統初期建設完成,系統運行平穩後,內部審計作為內部控制的監督部門,可以在全公司的基礎上,牽頭協調各部門定期進行內部控制自我評價,不斷完善內部控制體系建設。缺點是國內企業內部審計部門往往人才匱乏,在內控建設初期獨立承擔這壹重任可能力不從心。
模式三:在內控建設集中期成立內控建設辦公室,辦公室抽調各大部門人員專職從事內控體系建設工作。當系統正式投入運行後,辦公室將被解散,人員將回到所有管理部門,牽頭職能也將回到內部審計部門。這種方法的優點是可以集中各部門的力量來完成內部控制的系統化建設。系統順利運行後,相關人員將回到管理部門的骨幹崗位,有利於促進各管理部門對內控體系的理解和內控與管理的融合。實踐表明,對於管理基礎薄弱的實體經濟企業,采用第三種內部控制模式更好。
當然,組織的設立沒有壹定的規則,企業要根據自身特點設立內控組織,明確相關管理職責。
(2)內部環境的診斷和改善
內部環境是企業內部控制建設和運行的載體。企業在建立內部控制機制時,首先要診斷和改善內部環境。壹方面,內部環境的改善可以為控制活動的設計和運行奠定基礎;另壹方面,內部環境的診斷可以加強控制活動與內部環境的匹配,有利於控制活動的順利進行。
通常,內部環境的診斷和改善包括治理結構、機構設置、權責分配、內部審計、人力資源政策和企業文化六個方面。其中,必須首先完善內部審計的組織設置、權責分配和定位,這樣後續控制活動的設計和運行才會順暢。治理結構、人力資源政策和企業文化可以與控制活動的運作同步改進。
(3)動態風險評估
風險評估是內部控制系統化建設的重要體現,也是後續內部控制措施設計的重要依據。根據成本效益原則,企業應對評估的重要風險加強內部控制措施,有效降低風險。對於二次風險,企業應簡化控制活動和流程設計,承擔相關風險,體現以經營的效率和效果為主導目標的內部控制建設理念。
風險評估包括兩個階段:風險識別和風險評估。在風險識別階段,企業應當識別影響內部控制目標實現的不確定因素,對企業風險進行識別和分類,形成企業風險管理數據庫。壹般來說,企業的風險可以分為五類:戰略風險、市場風險、操作風險、財務風險和法律風險,並在此基礎上進壹步細分。在風險評估階段,企業應使用二維風險評估坐標圖,從破壞性和發生頻率兩個維度對風險進行評估,將風險點定義為重大風險、中等風險和低風險。企業應根據行業特點和目標設定確定風險評估的標準,評估標準應註重定量和定性標準的結合。
在實踐中,我們強調不同行業的企業,或者同壹行業的不同企業,或者同壹企業處於不同的發展階段,風險評估的結果是不同的。為此,企業應至少每年進行壹次風險評估,及時發現新環境、新業務帶來的新風險,動態調整風險評估結果,進而動態調整控制活動的規範,使原本靜態的內控體系動起來,始終踏上企業發展的步伐。
(4)控制活動的設計
控制活動是實施內部控制系統的核心要素。在規範控制活動的過程中,企業應當形成內部控制政策和程序手冊(以下簡稱內部控制手冊)。
企業在設計控制活動時,應建立與管理活動相融合的設計理念。首先明確企業控制活動的周期,然後將內部控制措施嵌入控制活動,完善管理活動的系統流程設計,形成企業內部控制手冊。內部控制手冊采用模塊設計,每個模塊壹般包括五個方面:
第壹,管理目標。圍繞內部控制的目標,企業在設計內部控制手冊時,首先要明確控制活動的管理目標。例如,采購付款周期的管理目標應包括保證物資供應、提高采購效率、減少資金占用、控制采購成本、確保核算準確等。
二、管理機構及職責。本部分明確規定了控制活動中涉及的組織和職責,以確保後續過程的順利運行。
第三,授權審批矩陣。該部分應明確劃分董事會、經理層和職能部門之間所有涉及控制活動的權利,明確各級審批責任。
第四,控制活動要求。該部分壹般以制度文本的形式編寫,明確控制活動各控制環節的內部控制要求,作為相關業務管理流程設計的依據。
第五,對照以上部分,各業務管理部門應重組和完善業務流程,強化關鍵風險點的控制措施,確保組織職責、授權審批和內控要求在業務流程中得到落實,確保管理目標的實現。
在內部控制手冊的設計過程中,特別強調與企業現有經營管理活動相融合的設計理念,禁止設計脫離原系統流程的孤立的內部控制手冊,避免出現業務部門仍參照原流程,內部控制手冊在實踐中被束之高閣的現象。
(5)信息和溝通貫穿始終。
信息與溝通是指在內部控制建設中,確保合適的崗位在合適的時間獲得合適的信息。信息與溝通的設計應貫穿於內部環境、風險評估和控制活動中,如風險評估報告的報告程序、控制活動中控制文件的設計等,都體現了信息與溝通要素的建立和完善。
(6)內部監督手段。
內部監督置於五行之末,是內控管理閉環的體現。因此,內部監督也可視為五要素之首,是內部環境、風險評估、控制活動、信息與溝通要素持續改進的基礎。內部監管手段包括風險預警、內部評估、績效考核,缺壹不可。
風險預警是壹種相對較新的管理工具。通過預警指標的報告和跟蹤,突破傳統企業內部審計的時空限制,利用現代企業高效的信息收集手段,幫助管理者從海量數據中提取關鍵信息,捕捉企業容易忽視或下級管理者試圖隱藏的關鍵數據,及時發現並采取措施防範風險。風險預警系統的設計包括四項任務:選擇指標項、設置臨界值、跟蹤分析報告和修正關鍵數據。企業應根據自身的行業特點和管理重點設定風險預警指標,並逐步積累臨界值。
內部控制自我評價是基本規範的要求,是管理審計的重要組成部分。完善內部評價手段的關鍵是建立評價標準和評價流程,明確內部控制缺陷的認定標準,規範評價報告。
此外,績效考核強調將內部控制建設和運行的有效性納入企業績效考核,以促進內部控制制度的執行。