论文关键字:内控 内部控制 文化
经过三十年的改革实践,企业家逾来逾感到强化 管理 的重要,也在积极探索如何才能加强管理。内部控制的理念逐渐被企业界所关注。这一工作虽已取得成效,但是在企业不断革新、不断迎接 市场 挑战的形势下,内控工作尚处于起步阶段。而发达国家已经研究和 总结 出了一套比较完整的理论和方法---三大目标和五大组成部分:“从“控制 环境 、风险评估、控制活动、信息与交流和监督评审”五方面开展工作,为实现各项“操作性目标、信息性目标和遵从性目标”而自觉奋斗”。本文要说明的就是,学习和运用其先进的内控理论和方法,强化内部控制,提高管理水平,形成切合企业特点的内控文化和机制。
一、转变观念
内控常被误解为仅仅是 审计 部门的事,其实,所有制及其组织结构并不是现代企业最本质的东西,最本质的是企业内部的控制文化和控制机制。企业管理的实践启示我们:要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识,理直气壮地强化企业的内部控制。
1、转变经营管理观念
内部控制在不同的 经济 体制下有不同的内涵,尽管其中的某些内容会有一致性。一部分人习惯于甚至满足于传统的经营管理方式,认为只要能够规范化操作就行了,不必考虑是否先进。wWw.11665.cOM多数人片面强调改革组织结构的重要性,忽视了控制方式的跟进和强化。这就使企业的改革同微观治理机制相脱离。不论是维持传统的经营管理方式,还是片面以改革取代控制的观念,都已经被实践证明是有害的。
2、转变对内控目的的认识
早期学者认为,内控是为了保护企业的财产, 会计 记录的准确可靠和及时提供可靠的 财务 信息,称之为“三目的论”。后期学者补充,内控除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率,称之为“四目的论”。
3、跟上国际内控研究的步伐
同计划经济相比,市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究,大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施,确保其 投资 取得回报。强化内控已经成为发达国家治理公司的重要手段。
二、充分理解内部控制的内涵
内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。
1.准确理解内部控制的定义
不同部门的人从不同的角度对内控会有不同的看法。美国审计权威机构coso的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为了实现下述三大目标提供合理的保证:
⑴、操作性目标:各种经营活动的效果和效率
⑵、信息性目标:财务和管理目标的可靠性、完整性和及时性
⑶、遵从性目标:遵从现行 法律 和规章制度
这三大目标既满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司不能为实现经营性目而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明:①内控是一种程序,它意味着向某一终点努力,但不是终点本身;②内控是用来取得一种或多种互相区分而又紧密联系的目标;③内控受人的影响,而不只是政策、守则或表格;④只能期待内控为公司管理层提供合理的保证,而不是绝对的保证。
由此可见,审计部门以往所提的“合规性审计”、“效益性审计”和帐务检查等等都属于专项审计,也都有一定的片面性。审计工作的重心应当转向对内部控制的审计再监督,而对内控的检查评价有别于传统的审计思路,其目的要明确和全面,检评要完整和深入。
2.从总体上把握内部控制系统的框架:重要的是,现代内控理论赋予了内控广范的职能,把内控置于很高的层面上,从而强化了内控的作用。coso认为内部控制涵盖了五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻 地理 解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
3.全面理解内控五大组成部分的内容:
⑴、控制 环境
控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟。
控制环境中的要素有价值观、激励与诱导机制、精神 指导 、员工能力、 管理 哲学 与经营风格、组织结构、规章制度和人事政策等等。公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
管理监督和控制 文化 方面的原则包括:
①董事会应当负责批准并定期审查整个经营战略和重大政策;理解经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别,衡量,评审和控制风险;批准组织的结构;并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。
②高级管理层负责执行由董事会批准的战略和政策,维护一种组织结构,能够明确责任、授权和报告关系;确保所委派的责任能有效地执行;确定适当的内控政策;并监督评审内控系统的充分性和有效性。
③董事会和高级管理层负责按照高标准促进员工的职业 道德 和完整性,在机构中建立一种控制文化,在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。
⑵、风险评估
风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
⑶、控制活动:
控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执 行政 策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。有关控制活动和职责分离的原则包括:
①控制活动应当是公司日常工作的不可分割的一部分。这些活动应当包括高层审查;对不同部门或处室的活动的适当控制; 物理 控制;检查对敞口限额的遵从情况;对违规经营的跟进情况; 批准和授权制度;查证核实与对帐制度。
②有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎的和独立的监督评审。
⑷、信息与交流
信息与交流存在于所有经营管理活动中,使员工得以搜集和交换经营、管理和控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息技术的发展中注意控制信息系统。有关的原则包括:
①一个有效的内控系统需要充分的和全面的内部 财务 、经营和遵从性方面的数据,以及关于外部 市场 中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。
②有效的内控需要建立可靠的信息系统,涵盖公司的全部重要活动。
③有效的内控系统需要有效的交流渠道,确保所有员工充分理解和坚持现行的政策和程序,影响他们的职责,并确保其他的相关信息传达到应被传达到的人员。
⑸、监督评审
监督评审是经营 管理 部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则:
①应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分,并且各级经营层和内部 审计 人员应当定期予以评价。
②对内控系统应当进行有效和全面的内部审计。内审要独立进行,应得到适合的培训,并配备称职和得力的人员。内审作为内控系统监督评审的一部分,应当向董事会或其审计委员会直接报告工作,并向高级管理层直接报告。
③不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。
以上五大组成部分与前述三大目标有机地相结合,构成了内控的完整体系。我国的企业工作者很有必要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度,而且,这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
三、关于内部控制与管理的关系
多数中层管理者对内控认识比较肤浅,也不了解内控与管理、内控与内审的关系。有人认为管理就是内控,抓了管理,内控自然就到位了。也有人认为内控是内审部门的工作,抓内控应该由内审部门牵头。因此,必须搞清内控与管理的关系。
1.管理的内涵及其与内控的区别
管理是管理者确立目标和战略,并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要以一定的组织形式为依托,以一定的规章制度为依据,采取种种方法去实现既定的目标。管理者有责任控制局面,并解决和纠正各项经营管理活动中所发生的偏差和错误。
管理的含义比内控更为广泛,并不是所有的管理活动都是内控活动。而内控则是管理中至关重要的部分,就是要抓住管理活动中的那些对管理目标实现至关重要的部分,也就是它的主要矛盾,具体体现就是:控制要素和控制风险,这是管理者必须关注的地方。
2.风险管理与内部控制的关系
风险评估是对可能发生的不利条件或事件进行评价,并做出完整的专业性鉴定的一种系统过程。
风险是和 环境 、目标共存的。相对于外部环境而言,同类企业有同类风险,谁能战胜风险,风险就转化为机遇,同时也会提高其竞争能力,并直接影响其提高其产品质量与服务质量的能力。
风险是如此之重要,以至于有人认为风险管理就是内部控制,甚至风险管理包括了内控。
实质上,内控涵盖了风险管理,内控处在比风险管理更高的层次上,内控才是管理的更本质性的内容。内控所负责的是风险管理过程中间及其以后的重要活动,内部控制强调评估经营管理活动中突出的风险点,建议经营管理人员针对这些风险点实施必要的控制活动。风险管理为内控中的风险评估提供了前提条件。风险管理的全部活动都在内控的监督评审之下。
四、正确处理内控与内审的关系
有些人认为内控主要是内审部门的事,在实际工作中,内控工作往往被领导委派给内审部门去计划和安排。这种认识不仅来自高级管理层,就是内部审计人员也存在一些模糊认识。因此有必要澄清认识,转变观念,正确处理内控与内审的关系。
1.内控首先是经营管理部门的工作
内控程序涉及:工作目标的确立,风险的识别和分析,针对风险研定控制措施,对所采取的控制活动进行监督评审等等。这些控制业务显然都是各级经营管理部门的基本职责。因此,首先是经营管理部门要重视内控,只有把内控视为本职工作,才能保证各项工作任务顺利实现。其次才是内审部门独立于经营管理工作之外,才能真正起到对工作的监督和弥补作用。
2.内控主要是经营 管理 部门的工作
内控的大部分工作都是经营管理部门的重要职责。
首先,合乎标准的内控需要公司营造良好的“控制 环境 ”,使员工树立正确的价值观,遵守正常的职业 道德 ,而公司的管理层又能够以恰当的管理风格和正确的激励机制,引导员工创造一种良好的企业 文化 ,特别是控制文化。同时,设计适应业务发展的组织结构,配备合格的经营管理人员,制定合理和严格的规章制度,确立正确的目标和战略决策系统等等,也都是加强内控的必要环境条件。
第二,“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国有企业在转轨过程中带来了巨大的损失。风险的防范有大量工作要做,包括对内部和外部的风险进行判别和预测,分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。
第三,当风险已被发现之后,经营管理者还需要调动机构和人员,切实执行所制定的“控制活动”,以便防范和化解风险,合理保证经营管理目标的实现。这方面的工作是十分细致的,包括高层检查,直接管理,信息加工,实物控制,确定指标,职责分离等等。
第四,在信息科技突飞猛进地发展的时代,“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。
如果把如此丰富的内控工作统统推给 审计 部门去做,一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟,使他们满足于 行政 指令的执行方式,而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务,而去参与经营管理活动,自然分散了审计人员的注意力,也削弱了审计的独立性。因此,控制活动是公司日常经营管理工作的不可分割的一部分。
3.对内控的检查评价主要是经营管理部门的工作
“监督评审”是内控体系的第五大重要组成部分,其主要内容是对上述内控活动,包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是,而且主要不是内审部门的工作。
对内控情况进行监督评审犹如设立一道道防线,而第一道检查监督的防线就应由经营管理部门的各级负责人监守,包括设置和执行岗位内部和岗位之间的相互牵制,进行前后台和部门之间的平衡制约等等,并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究,把大量主要的风险问题在第一道防线予以切实解决。这里,他们不仅要深刻地自我评价所开展的控制活动,还要提出改进控制和进一步化解风险的措施,并交上级主管验证。这种自我评价要规范化和制度化,必要时应实行离岗检查和交叉检查的制度。在实际中,这种工作往往被以工作忙、人手少或 成本 高而忽略掉了。例如把对离任负责人的评审统统推给内审部门进行“离任审计”,不仅加重了内审负担,而且常使该项工作流于形式。恰恰是疏于自我检查和评价,造成部分管理人员有章不循,一些基层单位问题成堆。
财会部门应当形成化解风险的第二道防线,财会人员负责行使后台监督的重要职能。业务的每一项收付和债权 债务 的发生都会在帐面上反映出来,这本身就是一种监督; 会计 人员在会计核算中保证这种反映的真实、准确和完整,并有责任以会计资料为依据,控制企业 经济 活动按预定计划目标进行,并报告所发现的违法违规的 财务 事件;财务主管在会计科目设置、帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题,促使企业遵守 国家法 律和政策,加强经济核算,改善经营管理,完善现代企业制度,提高经济效益。财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来,而且要从 管理会计 的角度,在更深层次和更大范围内(例如在跨部门乃至全单位范围)发现问题,研究对策,预测风险,并提供信息。
如果认为对内控的检查评价只是内审部门的工作,上述两道化解风险的重要防线就会被忽略甚至取消。这一方面会大大削弱各单位防范风险的意识和能力,而且另一方面会因为大大加重内审部门的工作负担,而必然降低内审工作的质量,提高内审方面的监督 成本 。
4.内审监察部门对内控的再监督负有极其重要的责任
如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分,那么内审监察工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在前述两道防线之后的第三道防线,每一个公司都应当设立这一战线。对于风险较高的 金融 机构 来说,这第三道防线更是必不可少的。其重要性不仅仅在于内审已经变成了最后一道防线。尽管从监督职能的角度来看,内审监察部门的工作量应大大少于经营 管理 部门的自我监督检查和财会部门的管理监督,但是,内审监察部门的独立性和应有的权威性,加上其组织系统的垂直性,赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在稽核监察人员在严密的计划和组织之下,能够独立地按照法人要求,有选择地对内控的各方面行使其检查职能,并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人,然后有权督促内审监察建议的落实。
总之,内控不仅首先不是,而且主要不是内审监察部门和人员的责任;内控的检查评价也主要不是他们的责任;但同时,对内控的再监督又是内审监察部门义不容辞的重要职责。
五、内部控制的国际发展趋势及其启示
1.强调高级领导层的控制责任。
首先,董事会充分理解公司的主要风险,正确设定风险的可接受水平;并定期督导高级管理层识别,估量,监督和控制这些风险;确保内控系统的有效性;建立独立的 审计 委员会帮助董事会行使这方面的职责。其次,高级管理层负责制定识别,估量,监督和控制风险的程序,通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内控政策;并监督评审内控的充分性和有效性。
2.大力提倡和营造一种“控制 文化 ”。
一方面董事会和高级管理层负责促进在 道德 和完整性方面的高标准,并在机构中建立一种文化,向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用,并在程序中充分发挥他们的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。
3.企业要充分关注对全部风险的评估。
特别要明确 银行 是承担风险的机构,生产企业也需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险,并对企业不能够控制的风险采取正确的防范措施。
4.控制活动已被当作企业日常工作的不可分割的一部分,而不是对经营管理的额外补充。
有效的内控系统能够迅速采取应变措施,避免不必要的成本;建立适当的控制结构,明确定义各经营级别的控制活动。特别强调适当分离职责;识别和尽力缩小有潜在利益冲突的地方;并遵从谨慎的和独立的监督评审。
5.高度重视企业的信息与交流。
首先是保证信息的完整性、可靠性和可获性,并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审,防止突发事件;特别注意有效地控制 电子 信息系统和信息技术的使用。另外,建立有效的交流渠道,确保相关信息的正确传达。
6.企业应当注意加强监督评审活动,并强调缺陷的纠正。
企业经营管理人员应经常在日常工作中监督评审企业内控的总体效果和主要风险;对内控制度定期进行独立、有效和全面的内部审计,并将结果向高级领导层直接报告;及时报告并果断处理所发现的内控缺陷。
7.对内控制度的评价要成为企业内审监督部门的日常监管工作和现场检查监督工作。
内审监督部门和外部审计机构应要求企业具有有效的内控制度,充分和有效地化解企业的风险;监督部门应检查高级领导层的内控态度、内部审计部门的有关工作和外部审计的检查结果等等,对不合要求的企业采取措施。
六、内部控制的局限性
内部控制虽然重要,但不是万能的,也有其局限性。企业的内控能合理地确保基本经营目标的实现,但不能把一个本质上很坏的经营者变好。内控能确保 财务 报告的可靠和合法合规,但不能绝对保证做到这一点,而只能合理保证。此外,内控制度的设计还受到人、财、物等资源的约束。
