内部控制
企业内控建设要突破财务层面
来源:MBA智库 添加日期:2014年12月11日
2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门发布的《企业内部控制配套指引》连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。在这里,根据多年来给企业提供内控建设咨询的经验,我们将就企业内控建设状况、实施重点难点等进行总结分析,并提出相应建议。
大多企业未能建立有效的内控监督和评价体系
对于我国企业而言,内部控制制度及内部控制评价是近年来才正式提出的一个概念。大部分企业内控制度的建设和评价是从五部委颁布《企业内部控制规范》和证券交易所《上市公司内部控制指引》的要求开始的。企业的内控制度还处于建设的初步阶段,企业内控大多还不够系统、全面和规范,内控建设还停留在从局部业务管理的需求而自发衍生出来的阶段。
我国企业对于内控内涵和范围的理解还较为狭窄,大多还局限于财务相关的循环和业务上,没有树立内控的全局观和全员观。这必然会导致企业在内控建设过程所投入的人、财、物大打折扣。更为可怕的是,由于无法从业务流程的根源上进行内控建设和监督,仅从财务流程加以控制,不论是控制效率还是控制效果都会大打折扣,更不用说要把内控提到提升企业经营管理水平的层面上。
大多企业未能建立有效的内控监督和评价体系。我国大部分企业在内控系统建设和实施评价过程的衔接部分还未到位,还未建立有效的内控监督体系,更不用说定期向董事会提交内控评价报告的制度,这是上市公司内控监管需要重点关注的问题。这样一来,企业内控评价和信息沟通基本无从谈起,内控实施也无法落到实处。
内控建设的难点何在
集团公司管控体系薄弱。随着全球经济一体化进程的加快,企业在激烈的市场竞争中所面临的不确定性越来越大,企业间的并购、重组日益频繁,许多企业为了生存和发展纷纷组建企业集团。在集团化过程中,随着资产规模急剧膨胀,如果集团公司的管理资源和管控体系无法跟上,将导致集团公司出现严重的失控问题,比如业务失控、财务失控、投资失控、人员失控。有些集团公司甚至不清楚究竟有多少孙子公司,有多少有负债。在这类分支机构失控情况下,企业家多年创立和发展的集团公司极有可能在短时间内陷入崩塌的漩涡,甚至解体。
企业信息系统控制基本处于空白状态。上世纪90年代兴起的企业信息系统建设,至今仍方兴未艾。然而,与之形成鲜明对比的是,企业内控信息系统建设基本处于空白状态。市场中暴露出来的企业信息系统舞弊,不断冲击着企业信息系统的安全性和控制有效性。
信息系统控制对于企业来说是一个难上加难,却不得不解决的问题。信息系统控制建设的困难来自于两个方面:一是企业信息系统作为一个信息集成系统,对其理解需要较高的专业知识和能力,而这恰恰是很多企业缺失的;二是企业在进行信息系统建设规划时,由于信息系统服务供应商本身是IT技术出身,没有内控知识,在进行系统设计时没有把内控要求考虑进去,进而导致企业信息系统成为一个没有系统控制的黑箱子,使得企业陷入可怕的信息系统失控状况,导致巨额的经济损失。
内控与企业其他管理体系衔接混乱。在企业内控建设中,经常要面对的是企业内控体系与企业其他管理体系的衔接问题。在内控体系建立之前,很多企业由于内部经营管理或行业监管的需要都已经建立了相关的管理体系。在企业实务中较为常见的是质量控制体系和安全生产体系。质量控制体系为ISO认证体系,而安全生产体系则主要是基于行业监管的要求。如何实现内控体系与已有管理体系之间的有效衔接,这就成为企业内控建设的难点。
对于这个问题,企业首先应对内控体系与其他管理体系的定位和功能在公司内部进行充分的讨论和培训,让员工明确内控体系在公司整个管理体系中的位置及与其他管理体系的关系。从大的层面来说,企业内控体系、质量管理体系和安全生产体系,各有侧重分工又相互联系。企业内控侧重于企业内部流程和风险控制、侧重于经济管理上,质量管理体系侧重于产品质量的监督,而安全生产体系则着重于企业生产流程和操作的规范化。当然,内控体系和其他管理体系很多时候在管理的流程和业务上也会存在重叠,必须保证几个管理系统的一致性和包容性。
提升内控水平可从四点着手
结合上述情况,我认为,我国企业内控建设应该分阶段分类型、有计划、有步骤的推进,以不断提升企业内控水平。
更为详尽的应用指南。《企业内部控制基本规范》及《企业内部控制配套指引》的发布代表着我国企业内部控制监管法规的基本确定,然而,《企业内部控制配套指引》其中的条款还是原则导向较强。考虑到我国公司内控制度的薄弱,没有太多的内控制度执行的经验,很多公司面对内控评价工作还是会出现无从着手的困境。因此,设计一套详尽、操作性强的内控应用指南,对公司内控建设有较大的帮助。
加强企业内控体系培训。内控制度的建设和评估对于我国上市公司来说是一个相对陌生的概念,因而在公司内部进行全面的内控培训成为了公司内控建设和评估的起点。只有先在公司内部推广和普及内控的理念和意识,公司内控的建设和评价才有扎实的基础。公司在进行内控培训时,可借用国家会计学院和权威中介机构的专业知识能够为公司推广、普及内控理念和意识,甚至做好内控制度建设和评价工作。
建立企业内部控制委员会与工作小组。对于公司内控制度建设,企业应从两种情况来分析:首次执行和后续执行。对于首次执行公司内控建设的,在项目执行之前,公司应成立内部控制委员会,对公司内控的建设进行统筹安排,并在委员会下确立专门的项目执行小组以保证公司内控建设的有效执行。而在后续公司内控评价中,公司内控的评价已经成为公司的常规工作,则可以考虑淡化公司内控委员会和项目小组的职能,并将公司内控评价的工作安排给相关部门,如由公司内部审计部门、风险管理部门或财务等部门负责具体执行。
加大中介机构在企业内控建设过程的参与度。企业内控的复杂性及中介机构专业性都决定了在我国企业内控建设的庞大工程中,中介机构应加大参与力度,以自身的专业知识为这份内控工程添砖加瓦。同时,考虑到我国企业内部控制规范体系有悖于美国《萨班斯法案》要求的财务报告内部控制范围,在中介机构参与过程中,应着重考虑我国企业经营管理的中国特色及重要央企的信息安全问题。
大多企业未能建立有效的内控监督和评价体系
对于我国企业而言,内部控制制度及内部控制评价是近年来才正式提出的一个概念。大部分企业内控制度的建设和评价是从五部委颁布《企业内部控制规范》和证券交易所《上市公司内部控制指引》的要求开始的。企业的内控制度还处于建设的初步阶段,企业内控大多还不够系统、全面和规范,内控建设还停留在从局部业务管理的需求而自发衍生出来的阶段。
我国企业对于内控内涵和范围的理解还较为狭窄,大多还局限于财务相关的循环和业务上,没有树立内控的全局观和全员观。这必然会导致企业在内控建设过程所投入的人、财、物大打折扣。更为可怕的是,由于无法从业务流程的根源上进行内控建设和监督,仅从财务流程加以控制,不论是控制效率还是控制效果都会大打折扣,更不用说要把内控提到提升企业经营管理水平的层面上。
大多企业未能建立有效的内控监督和评价体系。我国大部分企业在内控系统建设和实施评价过程的衔接部分还未到位,还未建立有效的内控监督体系,更不用说定期向董事会提交内控评价报告的制度,这是上市公司内控监管需要重点关注的问题。这样一来,企业内控评价和信息沟通基本无从谈起,内控实施也无法落到实处。
内控建设的难点何在
集团公司管控体系薄弱。随着全球经济一体化进程的加快,企业在激烈的市场竞争中所面临的不确定性越来越大,企业间的并购、重组日益频繁,许多企业为了生存和发展纷纷组建企业集团。在集团化过程中,随着资产规模急剧膨胀,如果集团公司的管理资源和管控体系无法跟上,将导致集团公司出现严重的失控问题,比如业务失控、财务失控、投资失控、人员失控。有些集团公司甚至不清楚究竟有多少孙子公司,有多少有负债。在这类分支机构失控情况下,企业家多年创立和发展的集团公司极有可能在短时间内陷入崩塌的漩涡,甚至解体。
企业信息系统控制基本处于空白状态。上世纪90年代兴起的企业信息系统建设,至今仍方兴未艾。然而,与之形成鲜明对比的是,企业内控信息系统建设基本处于空白状态。市场中暴露出来的企业信息系统舞弊,不断冲击着企业信息系统的安全性和控制有效性。
信息系统控制对于企业来说是一个难上加难,却不得不解决的问题。信息系统控制建设的困难来自于两个方面:一是企业信息系统作为一个信息集成系统,对其理解需要较高的专业知识和能力,而这恰恰是很多企业缺失的;二是企业在进行信息系统建设规划时,由于信息系统服务供应商本身是IT技术出身,没有内控知识,在进行系统设计时没有把内控要求考虑进去,进而导致企业信息系统成为一个没有系统控制的黑箱子,使得企业陷入可怕的信息系统失控状况,导致巨额的经济损失。
内控与企业其他管理体系衔接混乱。在企业内控建设中,经常要面对的是企业内控体系与企业其他管理体系的衔接问题。在内控体系建立之前,很多企业由于内部经营管理或行业监管的需要都已经建立了相关的管理体系。在企业实务中较为常见的是质量控制体系和安全生产体系。质量控制体系为ISO认证体系,而安全生产体系则主要是基于行业监管的要求。如何实现内控体系与已有管理体系之间的有效衔接,这就成为企业内控建设的难点。
对于这个问题,企业首先应对内控体系与其他管理体系的定位和功能在公司内部进行充分的讨论和培训,让员工明确内控体系在公司整个管理体系中的位置及与其他管理体系的关系。从大的层面来说,企业内控体系、质量管理体系和安全生产体系,各有侧重分工又相互联系。企业内控侧重于企业内部流程和风险控制、侧重于经济管理上,质量管理体系侧重于产品质量的监督,而安全生产体系则着重于企业生产流程和操作的规范化。当然,内控体系和其他管理体系很多时候在管理的流程和业务上也会存在重叠,必须保证几个管理系统的一致性和包容性。
提升内控水平可从四点着手
结合上述情况,我认为,我国企业内控建设应该分阶段分类型、有计划、有步骤的推进,以不断提升企业内控水平。
更为详尽的应用指南。《企业内部控制基本规范》及《企业内部控制配套指引》的发布代表着我国企业内部控制监管法规的基本确定,然而,《企业内部控制配套指引》其中的条款还是原则导向较强。考虑到我国公司内控制度的薄弱,没有太多的内控制度执行的经验,很多公司面对内控评价工作还是会出现无从着手的困境。因此,设计一套详尽、操作性强的内控应用指南,对公司内控建设有较大的帮助。
加强企业内控体系培训。内控制度的建设和评估对于我国上市公司来说是一个相对陌生的概念,因而在公司内部进行全面的内控培训成为了公司内控建设和评估的起点。只有先在公司内部推广和普及内控的理念和意识,公司内控的建设和评价才有扎实的基础。公司在进行内控培训时,可借用国家会计学院和权威中介机构的专业知识能够为公司推广、普及内控理念和意识,甚至做好内控制度建设和评价工作。
建立企业内部控制委员会与工作小组。对于公司内控制度建设,企业应从两种情况来分析:首次执行和后续执行。对于首次执行公司内控建设的,在项目执行之前,公司应成立内部控制委员会,对公司内控的建设进行统筹安排,并在委员会下确立专门的项目执行小组以保证公司内控建设的有效执行。而在后续公司内控评价中,公司内控的评价已经成为公司的常规工作,则可以考虑淡化公司内控委员会和项目小组的职能,并将公司内控评价的工作安排给相关部门,如由公司内部审计部门、风险管理部门或财务等部门负责具体执行。
加大中介机构在企业内控建设过程的参与度。企业内控的复杂性及中介机构专业性都决定了在我国企业内控建设的庞大工程中,中介机构应加大参与力度,以自身的专业知识为这份内控工程添砖加瓦。同时,考虑到我国企业内部控制规范体系有悖于美国《萨班斯法案》要求的财务报告内部控制范围,在中介机构参与过程中,应着重考虑我国企业经营管理的中国特色及重要央企的信息安全问题。
关注东审公众微信号"bjds4006505616"及时获取最有价值的信息微信二微码