我们知道,企业经营失败、会计信息失真及不守法经营在很大程度上都可归结为企业内部控制的缺失或失效,如巨人集团的倒塌、郑州亚西亚的衰败等,那么,如何建立健全企业的内部控制制度呢?
按照COSO委员会在《内部控制--整体框架》中提出的理论,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其具体构成要素包括控制环境、风险评估、控制活动、信息和沟通和监督。
按照上述理论,我认为,构建具有良好绩效的内部控制体系可以从五个方面入手,即
完善企业的控制环境
任何企业的控制活动都存在于一定的控制环境之中。所谓控制环境,是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,主要是指重大影响因素。控制环境的好坏直接影响到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现,加强和完善企业内部控制,首先应注意企业内部控制环境的建设。控制环境是一种氛围,其主要内容包括经营管理的观念、方式和风格;组织结构;董事会;授权和分配责任的方法;管理控制方法;内部审计;人力资源管理政策和实务;外部环境的影响等。
进行全面的风险评估
面临企业内外环境的日益复杂化,以及企业间竞争的日益激烈,企业经营风险不断提高,如何辨别、分析防范和控制经营风险,已成为企业内部控制制度的重要内容之一。
一般来说,企业的风险管理就是按公司既定的经营战略,利用各种风险分析技术,找出业务风险点,并采取恰当的方法降低风险。企业的风险管理要以预防为主,即通过增加、补充或规范各内部控制环节来减轻可能面临的风险;其次,要建立内部监督机构对企业高风险区域经常进行检查,及时发现已存在的或潜在的风险;最后,要善于转嫁风险,如购买保险等。总之,企业的风险管理必须贯穿并渗透于企业控制的全过程。
设立良好的控制活动
控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动出现在整个企业内的各个阶层与各种职能部门,涉及的控制对象包括人、财、物、产、供、销等各方面。
控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的关键绩效领域确定其关键控制活动,一般包括对人的素质、任职资格以及业绩考核的控制,企业运营的控制,包括计划决策管理、销售收款、采购付款、财产物资管理、质量管理、融资投资管理、资金管理控制等,以及对内部信息系统的构建、内部监督机构运作等方面进行的控制。
建立统一的管理信息系统
管理信息系统,就是向企业内各级主管部门(人员)、其他相关人员,以及企业外的有关部门(人员)提供信息的系统。通过管理信息系统,企业内部的员工能够清楚地了解企业的内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。
一个良好的信息系统应有助于提高内部控制的效率和效果,具体讲,应有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定和以及改进建议的及时传达。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确和经济地传递(包括向下的、向上的和横向的沟通传递)给企业内的相关人员,使他们能够顺利履行其职责。
加强企业的内部监督
要确保内部控制制度被切实地执行且执行的效果良好,内部控制过程就必须被施以恰当的监督。监督是一种随着时间的推移而评估制度执行质量的过程。
内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。在内部控制的监督过程中,内部审计发挥着越来越重要的作用,内部审计通过监督控制环境和控制程序的有效性,监督企业的内部控制是否被执行并及时反馈有关执行结果的信息,帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立、为改进控制制度提供建设性建议,为组织成功的达到所需要的内部控制水平服务。(思捷达管理咨询顾问:沈爱琴)