内控“江湖一哥”的独白

《基本规范》规定了内部控制的目标,要素,原则和总体要求,是内部控制的总体框架。如若把内部控制体系的各种要求和规范性文件(例如十八个模块等)比作梁山一百零八条好汉,则《基本规范》妥妥的排第一把交椅,其统帅的江湖地位无可撼动。

江湖一哥,不只是传说

《基本规范》是企业内部控制的纲领性文件,有助于企业加深对内部控制体系的理解,重视、规范企业内部控制,从而提高企业经营管理能力和抗风险能力。其制定依据主要有《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》及其他相关法律法规。

《基本规范》对内部控制的定义为:内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内控是全员参与,以实现科学、规范化管理的工具之一:内控不是企业管理的最终目标,也无法取代经营管理。

一套设计合理且具有可操作性的内控体系,可以合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

如何设计一套合理且具有可操作性的内控体系呢?具体战术当然重要,但理解《基本规范》中“原则”和“五要素”的要求和内容,是保证战术不剑走偏锋的防线。

建立及实施内部控制的原则

全面系统原则

内部控制贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。即企业的各项经营管理活动都纳入内控管理的范畴,且需从系统论的观点出发,将企业看作一个普遍联系的有机整体,将各部门和各岗位设计成相互制约、纵横交错的控制网络点与面结合的控制体系。

重要性原则

内部控制应当在全面控制的基础上,重点关注重要业务事项和高风险领域。所谓凡事有轻重缓急,内控管理也如此,应抓住主要矛盾,优先、重点解决主要问题。

制衡性原则

所谓制衡原则就是内部控制制度设计及执行时,在治理结构、机构设置、权责分配及业务流程等方面须形成相互制约、相互监督的机制,不能出现一权独大、一职包办,没有监督约束的情形。内控设计及执行时若未充分考虑制衡性原则,缺乏相互制约、相互监督的机制,很可能出现舞弊、内控失控。

适应性原则

内部控制应与企业所处行业、产品生命周期阶段、业务特征、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。

每一个企业都应建立适用于自己企业的内控体系,内控配套指引,它山之石,可以攻玉,但绝不是生搬硬套,毕竟,世界上依旧没有两片一样的叶子。

在企业所处产品生命周期发生变化、战略进行调整,原有的内控措施可能不合理或不匹配。此种情况下,企业应及时调整、修正具体的内控措施,更新、补充、完善内控体系,以及时匹配企业成长的步伐,让内控措施紧贴企业实际情况,真正发挥作用。

成本效益原则

内部控制设计及实施过程中应当权衡内控措施的实施成本与预期效益,以适当的成本实现有效控制。

企业追求利润、效益,内部控制作为企业全过程管理的手段、措施也必须讲求成本效益,结合企业自身实际情况及内控其他原则的前提下,采取较为科学、合理、有效的控制措施达到控制目的,不做无用功,不必为了达到管理的高标准而牺牲、影响了业务部门的发展。

话说“基本规范及配套指引”发布了十多年,但很多企业的内控其实做得还不够好,内控体系搭建起来困难,实施起来更困难,真正落到实处的、与原来设想的还有不少差距。一部分原因就是内控体系设计及执行不合理,尤其是内控体系设计方面,没有完全遵照上述“五大原则”来设计,比如:

① 覆盖不够,该重点抓的地方没抓住、没管理到位,由此容易给人内控不得力的印象;

② 花太多精力在非重要事项上,对“非主要、重要事项及高风险领域”又管得太多,容易造成内控就爱管无聊之事的印象;

③ 由于疏忽或碍于压力及其他原因,制衡原则没把握好,造成内控约束不到位、关键岗位和人员存在控制缺失的漏洞;

④ 内控制度文件过时没及时更新修正或不符合公司实际情况,脱离实际谈制度、谈管理,违背适应性原则,根本没法执行下去;

⑤ 管控措施过于繁杂,变更过于频繁,让执行人花费了太多时间和精力,实施成本太大,严重违背成本效益原则。

建立与实施内部控制的五要素

(1)控制环境

控制环境决定了企业的基调,直接影响企业员工的控制意识。一般包括治理结构、管理哲学和经营风格、机构设置及权责分配、内部审计、人力资源政策、企业文化、员工诚信度和职业道德等。

控制环境可谓公司开展业务的“根基”、“土壤”,土壤养得好不好,决定了后面的植被的生长。如果治理结构不清,决策治理层、经营管理层、监督层存在交叉、重叠或纠扯不清,经营、决策、监管程序不规范,相关人员无法各司其职,相应的权责无法有效履行,必造成舞弊或者公司运转效率低下,甚至影响公司正常运营;

机构设置及权责分配不合理,岗位人员缺失或重叠交叉,很可能会造成相互推诿、运转效率低下,或舞弊及其他情形;

内部审计缺失,缺乏有效的监督措施,无法独立运作,无法纠错查弊,内控将无法得到监督保障,也无法促使内控不断完善、企业管理水平得不到提升;

人力资源政策不合理,没做好人才的规划及选、用、育、留,造成人才短缺和流失;

企业文化建设不力、企业文化荒芜,会造成企业员工认同感弱、凝聚力不够。

以上任何一个环境要素,控制薄弱,无法得到良好的发展,企业业务的开展及企业的持续发展都将受到严重的影响。内部环境这个基础没打好,内部控后续建设工作也根本无法进一步开展。

(2)风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。

企业经营过程中会遇到各种各样的风险(一般风险、重要风险和重大风险)事项,有的风险经常发生,但预计损失比较小;有的风险不经常发生,但带来的损失可能比较大。内控离不开对相关业务及管理环节的风险的评估及应对,如果内控管理脱离了风险评估及应对,也就无从谈重要性原则和成本效益原则。

风险评估可从以下方面入手:

1、企业识别内部风险,应当关注下列因素:

① 董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

② 组织机构、经营方式、资产管理、业务流程等管理因素。

③ 研究开发、技术投入、信息技术适用等自主创新因素。

④ 财务状况、经营成果、现金流量等财务因素。

⑤ 营运安全、员工健康、环境保护等安全环保因素。

⑥ 其他有关内部风险因素。

2、企业识别外部风险,应当关注下列因素:

① 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

② 法律法规、监管要求等法律因素。

③ 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

④ 技术进步、工艺改进等科学技术因素。

⑤ 自然灾害、环境状况等自然环境因素。

⑥ 其他有关外部风险因素。

上述应关注的因素,就是遵循重要性原则、重点关注内控的关键领域;只有对这些须重点关注的内控领域进行风险识别、全面的评估以及制定合适的应对策略,才能抓住内部控制的关键控制点,制定合理的控制措施。

(3)控制活动

控制活动的定义:企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。

控制活动是内控实施的关键,内控实施结果最终是否有效,就取决控制活动是否恰当、充分。内控控制措施包括但不限于:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。

授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应当在授权范围内行使职权和承担责任。

企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。

授权审批控制措施应围绕“效率”与“效果”上下功夫,对于非重大事项和非关键领域适当的授权、放权以提高组织运转效率,对于重大事项和关键领域应确保决策的“效果”,而不能为了加快决策过程而简化了审批控制程序。

不相容职务分离控制及授权审批控制都是各项业务和各个管理环节应贯彻实施的控制措施。企业在建立各项内控制度时,应首先考虑该制度涉及的不相容职务是否采取了有效的分离控制措施;是否有明确、清晰的授权审批控制措施。

(4)信息与沟通

基本规范对信息与沟通的定义是,企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。

企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。

随着社会经济的发展,信息与沟通越来越重要,企业信息与沟通,包括企业内部信息的流转、传递以及与外部信息的互通都显得非常重要,

根据基本规范的相关要求,企业在信息与沟通中应做到:

① 加强信息搜集、过滤、分析整理工作,快速的获取有用信息;

② 对内部信息传递、沟通反馈机制建立有效的内部控制措施,以确保信息(数据)的有用性、真实性、完整性、安全性和传递的及时性;

③ 加强信息化管理及信息系统开发与维护,建立有效的内控措施,以确保信息的合规、高效采集,安全存储、及时传递、授权使用等方面的得到有效控制,保证信息系统安全稳定运行。

④ 重视反舞弊工作,建立良好的反舞弊内控措施,确保反舞弊信息能及时有效传递,有效实施反舞弊工作。

(5)内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。

内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。

内部监督是内控良好运行的保障机制,内控管理工作需要监督才能确保内控的建立及实施不偏离预期目标。

NEWS

(0)

相关推荐