一、内部控制的定义
内部控制在商业、立法、管理等众多方面的意义不同,概念也不尽相同。广义的看,内部控制是为合理确保企业能够实现理想的运营效率和效果、公布可靠的财务报告和严格遵守法律法规等三方面的目标而设计的,且受董事会、管理者和其他人员所影响的一套程序。
二、内部控制的要素和环节
内部控制与企业经营管理的模式和业务流程息息相关,然而具体到每个企业又各不相同。一般来说,它由五个相互关联的要素和环节组成:
(一)控制环境
控制环境奠定了一个组织的管理基调,提供了一个规则和框架,关系到每一个成员的控制意识,是其他要素和环节的基础。具体包括诚信、道德观念与人员的工作能力,管理哲学与经营风格,权利与责任的分配,人力资源的组织和开发,以及来自董事会的关注和指导。
(二)风险评估
企业都要面临来自外部和内部的各种风险,为了管理这些风险,企业要进行风险评估。首先,要明确企业存在于不同经营管理层面且相互协调一致的目标。然后去识别和分析达到目标所面临的问题和风险,为风险管理和问题的解决奠定基础。针对于难以控制的政治、经济、行业以及经营环境,企业必须建立一种机制去识别和应对因变化而产生的相关风险。
(三)控制措施
控制措施是协助管理意志得以贯彻实施的政策和步骤,确保采取必要的措施控制风险以实现经营目标。控制措施贯穿于整个组织的各个层面和各个职能。它包括一系列的对经营活动、资产安全和权利与责任的批准、授权、审验、复核、检查和评估。
(四)信息与沟通
为了确保每个岗位能够履行其职责,企业必须按照一种特定的方式搜集、筛选和交流相关信息。信息系统必须能够形成包含经营、财务以及法规等方面的信息报告,以实现对企业的经营和对业务的控制。它不仅包含内部产生的数据,还涉及与商业决策和外部报告有关的外部事件、行动和条件的信息。有效的沟通应该贯穿整个组织,高级管理者向组织中的所有人下达明确的指示,控制责任必须严格执行,人们必须明确自己在内部控制体系中的角色,清楚个人行为如何与其他人的行为相协调。同时,组织内部需要一个向上反馈重要信息的沟通机制,与客户、供应商、监管者和股东等的外部沟通也必须有效。
(五)监控
内部控制系统需要监控,这是一个能够对内部控制系统在一定时期内评估其运行质量的程序,由持续监控、个别评估或将两者结合而实现。持续监控可用于运行过程,包括有规律地管理和监督,以及其他成员在履行个人职责时而采取的措施。个别评估的范围和频度取决于对风险和持续监控有效性的评估。被发现的内部控制系统的缺陷以及其他严重的事项应该向上报告给高层管理者。
这五个要素之间的协作和组合优势,构成一个有效适应环境变化的完整的有机系统,它与企业的经营活动交织在一起,为最基本的商业目的而存在。只有内部控制融会贯通于企业的基本架构,且成为企业经营管理的精髓时,它才能最有效地发挥作用。
三、内部控制的作用和局限性
内部控制可以帮助企业实现其经营和盈利的目的,防止资源的损失,确保财务报告的可靠,遵守各种法律法规,避免名誉的损伤和其他后果。总之,它可以帮助企业达到其目标,同时避免问题和突发事件的发生。
但是,内部控制不是万能的。内部控制并不能保证企业目标的绝对实现,它只是向管理层和董事会提供了一个相对合理的保证。它不能使一个存在固有缺陷的企业管理变得健康。政治、经济、市场与法律环境的变化也超越了控制范围。内部控制系统还会因人员的相互串通和管理层强加的意志而失效。另外,由于资源稀缺,在考虑控制的效果时必然要与成本相联系,因此难免会因为节省成本而使内部控制系统在设计和构建时先天不足,从而导致后天的失效。
四、具体实施内部控制的思路
内部控制的范畴涵盖整个企业组织,财务部门只是其中的一部分,并非设计、推行和监控内部控制系统的理想主体。但是从实践工作看,财务部门汇集了公司经营的关键数据和信息,反映着公司经营的业务流程和成果,与内部控制的目标息息相关,从财务的角度去审视内部控制比较全面和权威。鉴于加强企业的内部管理成为今年公司管理工作的重点,从财务角度出发,立足与公司的具体业务,我们提出一些意见,推动内部控制的进步与改善。具体思路如下:
(一)锁定内部控制的目标
1.公司经营目标:从收入的确认、费用控制、利润水平的监控、应收账款和存货等资产的管理、资金计划等与公司经营目标密切相关的几个方面的业务流程出发,考察与加强内部控制。
2.资产的安全与风险管理,实施事前的对各种交易方案和操作方法的分析和评估,规范包括采购和销售在内的各种项目管理的评审规则,以及对这些评审的监督控制措施;实施对项目的过程控制和监督,争取在事前和事中防范风险,保障资产的安全。
3.财务报表的编制,包括年报、中报、简要报告以及主要财务数据摘录。从报表的合理性、可靠性、一贯性等原则出发考察与加强与报表编制相关的内部控制。
4.企业经营的守法合规,侧重于税法和上市公司监管等方面的法律法规,考察与加强相关的内部控制。
(二)从五个方面落实以上目标的控制效果
1.控制环境
主要包括:业务流程是否清晰,管理制度是否健全,岗位人员能否胜任,管理方法是否科学,权利与责任的分配是否合理,从领导到员工的控制意识如何,考核与激励措施是否有效。
2.风险评估
主要包括:确定不同组织层面经营管理目标;以上目标与公司整体目标(短期与长期)的协调关系;识别和分析影响目标实现的外部和内部因素;分析风险因素对目标的影响程度;针对不同风险因素可能采取的对策;分析企业对风险的应变能力。
3.控制措施
主要包括:企业总体目标是否合理有机地分解到各个层面;分解的目标是否有效、及时与合理地衡量与考核;采取哪些必要的措施控制风险以实现目标;对业务流程的控制是否明确和有效(批准、授权、审验、复核、检查和评价等);控制措施能否有效地促进目标(分部和整体)的达成。
4.信息沟通
主要包括:汇报层次、信息沟通与反馈体系是否明确、快捷和完整;内部和外部信息的收集、整理与汇报的责任与程序是否明确,运行是否有效;信息上传下达的渠道是否畅通、稳定、及时与有效;各岗位人员是否明确在内部控制体系中的角色;各岗位之间的衔接是否清楚、顺畅与有效;重要信息的汇报反馈机制是否健全有效。
5.跟踪监控
主要包括:是否存在内部控制跟踪监控程序;监控措施是否合理有效;监控是否及时规律;监控反馈系统是否健全有效;反馈调整是否及时到位。
