加强和完善企业内部控制,企业内部控制环境的建设首当其冲。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境建设的质量直接关系到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。加强企业内部控制环境应从以下几个方面入手:
1.强化董事会职能
如果说控制环境是企业内部控制体系的核心,那么董事会就是这个核心的核心。它负责为公司经理制定博弈的规则,对内部控制来说,一个积极的主动的董事会是相当重要的。具体应作好以下几个方面的工作:①董事会成员应具备相当的工作经验和专业知识;②董事会应具有相对于管理层的独立性;③董事会中的外部董事应占有一定的比例,以防止少数董事专断;④董事会成员应确保参与管理的程度和采取措施的有效性;⑤董事会成员对管理层提出的问题应具有一定的广度和深度;⑥重点关注董事会成员与内外部审计人员的关系实质。
2.提高管理者素质
管理者素质在企业经营管理中起绝对重要的作用,直接影响到企业的行为,进而影响到企业内部控制的效率和效果。企业根据各自情况的不同,在培养和选择管理者时,应重点考虑下列策略:(1)管理者的职业操守、道德观、价值观、世界观;(2)管理者的知识与经验;(3)管理者对待和承担经营风险的方式;(4)管理者对信息处理以及会计功能、人员所持的态度;(5)管理者对财务报告的态度和所采取的措施; (6)管理者对现有可选择的会计政策和会计估计所持有的谨慎或冒进态度;(7)企业应依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通。
3.诚信为本
无论是对于企业还是对于整个宏观经济,诚信的重要性都是不言而喻的,认识到这一点,无论是企业最高管理层还是其他成员,都应当做到:(1)严格一致地保持诚信行为和道德标准;(2)不要盲目追求不切实际的目标,以致形成不必要的压力;(3)对敏感职位之间的职责分工要准确明细,以避免出现资产失窃的疏漏或隐藏不佳绩效的漏洞; (4)加强企业的内部审核制度;(5)发挥董事会的职能,使其客观监督企业的高层管理阶层;(6)提供道德方面的指导,使所有雇员在一般和特定环境下能够保持正确的判断;(7)制作文字化的行为准则和政策声明,将其传达给全体雇员;(8)将诱发人们不诚实、非法和不道德行为的动机降至最低。
4.完善组织结构
企业的组织结构是指为公司活动提供计划、执行、控制和监督职能的整体框架。企业组织结构建设的好坏直接影响到企业的经营成果及控制效果。具体应采取下列策略:(1)确保组织结构的适当性及其提供管理企业所需信息的沟通能力;(2)按照主管人员所担负的责任,判断其是否具备足够的知识和经验;(3)保证各主管人员所负责任的适当性;(4)企业应根据环境的改变相应调整其组织结构;(5)注意员工尤其是负责管理及监督职能的员工人数是否充足。
5.适当的权责分配
组织结构只是给企业的经营运作与控制提供了一个合理的框架,真正进行这些工作的主要还是企业员工。因此,企业内部控制环境建设的另一项重要任务就是权责分配。权责分配包括确认从事营运活动的权利与责任,以及建立沟通管道和设立授权方式等。它强调对于组织内的全部活动要合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配,要使所有员工知道他们的工作行为,职责担负的形式和认可方式,以及与达成组织目标的联系。
6.注重企业文化的建设
企业在培养自身的文化时,应避免只注重内部和短期的企业文化,保持一种健康的文化氛围,使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在实务中沟通与强化该标准。企业中正式的政策文件等只能书面表明管理阶层想让什么发生,而企业文化则决定什么会发生。
7.人力资源政策及实务
保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,是内部控制有效的关键因素之一。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻和执行内部控制有很大的帮助。具体应作好以下工作:(1)企业应有完善的招聘与选拔方针及操作性程序;(2)需要对新员工进行企业文化和道德价值观的导向培训;(3)针对违反行为准则的任何事项,制订纪律约束与处罚措施;(4)应制订具有奖励和激励作用的报酬计划,同时注意避免诱发不道德行为;(5)对员工的晋升、指导以及奖罚应以阶段性的业绩评估结果为依托。风险评估策略
每个企业都面临来自内部和外部的不同风险,需要对这些风险都加以评估。特别要注意的是当企业内外部环境发生变化时,风险最容易发生,因此应加强对环境改变时的事务管理。风险评估是提高企业内部控制效率和效果的关键之一。
国外对风险评估非常重视。战略管理中常用的“SWOT”(strength, weakness, opportunities and threats)分析法,就是风险分析的一种。企业应该对内分析自身的优势与劣势,长处与短处,对外分析外界的机会和威胁,考虑自己的生存机遇。不仅企业在战略目标的制定过程中要进行“SWOT”分析,而且在企业日常的内部控制过程中也应该时时这样做,才能将内部控制目标达不成的风险降至最低。
控制活动策略
企业管理阶层辨识风险之后,应针对这种风险发出必要的指令。控制活动即确保管理阶层的指令得以执行的政策及程序,包括核准、授权、验证、调节、复核、职务分工以及保障资产安全等多种活动。控制活动旨在帮助企业针对“使企业目标无法达到的风险”采取必要行动。一个完整的控制活动体系应包括以下五个方面:
1.企业绩效分析及相应指标的比较
企业在生产经营过程中会采取各种措施,如价格政策的变化、新产品开发、合资经营、融资行为以及生产技术的改良、生产成本的控制等,高层管理人员应对这些措施的效果进行评价,并与预算、预测、前期及竞争者的绩效相比较,以衡量目标达成的程度,同时对计划执行情况进行监督,还需要调查超出计划的结果或者不正常的趋势,辨认目标无法达成的原因。
2.直接的部门管理
部门经理应认真复核本部门的经营业绩,检查本部门经营活动的执行情况,并对某项经营活动的前景和趋势进行预测。
3.实体控制
为保证企业资产的安全完整,应定期进行盘点,并与账面记录比较。
4.信息控制
包括一般控制和应用控制两方面。一般控制帮助管理阶层确保系统持续、适当的运转。应用控制概括起来就是输入控制和输出控制,如系统软件的控制,存取安全的控制,系统维护控制等。
5.分工
员工应各司其职,避免交叉、舞弊现象的发生。
控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的五大循环即采购循环、销售循环、付款循环、收款循环和理财循环等分别设计其控制活动。在各个循环中,往来账款是最常见的一项业务。导致往来账款业务中出现问题最主要的原因就在于企业缺乏相应的控制政策和控制程序,如岗位分离、授权批准、文件记录、预算控制、实物保全等,或有了这些政策和程序却没有执行。
信息与沟通策略
围绕在控制活动周围的是信息与沟通系统。一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息与沟通系统的质量影响到企业内部控制的效率和效果。具体包括以下两个方面:
1.信息系统
一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及对外界的信息沟通管道。企业建立良好的信息系统,必须做到:(1)建立良好的信息系统支持策略;(2)将信息系统与企业营运有效的结合;(3)恰当选择更新信息系统的最佳时间;(4)确保信息品质。
2.沟通
一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务。每位员工都必须了解内部控制制度的有关方面,如这些方面如何生效,在控制制度中所扮演的角色、所担负的责任以及怎样与他人的工作发生关联等。
内部监督策略
一个健全的内部控制系统必须得到有效的监督。监督是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程,也是一种随着时间的推移而评估制度执行质量的过程。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来实现,或两者结合。
1.持续的监督活动
持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行其职务所采取的行动。持续监督活动包括:(1)绩效比较;(2)外界沟通;(3)内部监督;(4)职务分离;(5)建议制度;(6)信息反馈。
2.个别评估
在持续监督的基础上,企业在必要的时候需要聘请独立的人员或组织进行评估,以直接监视控制系统的有效性,这种做法是对持续性监督程序的评估。其范围和频率应视风险的大小及控制的重要性而定。
3.报告缺陷
对内部控制的缺失应由下向上报告,某些重大缺失应报告给高层管理阶层和董事会。