企業內部控制規范體系建設中的十大誤區及防范
作者:丁家豐 馬軍生
本文發表于《財務與會計》2011年第2期
2010年4月,財政部等五部委聯合發布了《企業內部控制配套指引》(以下簡稱配套指引)。此次發布的配套指引由18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》(以下分別簡稱應用指引、評價指引和審計指引)組成,連同2008年5月發布的《企業內部控制基本規范》(以下簡稱基本規范),標志著我國企業內部控制規范體系基本建成。伴隨著配套指引的發布,財政部等部委開展了一系列宣傳和培訓工作,企業也紛紛開始了解、學習并嘗試建立內部控制規范體系。
筆者作為專業咨詢人員,曾參與了多家大型上市公司的內部控制建設,也參加了財政部舉辦的有關內部控制培訓班,但在與各類企業交流、協助企業建立內部控制規范體系的過程中發現:大多數企業對內部控制規范體系存在不同程度的疑惑、抵觸甚至誤解,出現了“走形式”、“繞彎路”和“瞎折騰”等現象,不但影響了企業提升管理、防范風險的效果,還浪費了企業的精力和資源。筆者根據實際工作經驗歸納總結了企業內部控制規范體系建設中的十大誤區,并提出了防范的措施,以期為企業建立健全內部控制規范體系提供一些思路。
誤區一:有關規定要求的是財務報告內部控制,因此內部控制應由財務部門負責
幾乎無一例外,各大上市公司在開始建立內部控制規范體系時,總是先找財務部門,他們認為:一方面,財務會計與內部控制有密切聯系;另一方面,內部控制要求外部審計要對基于財務報告的內部控制的有效性發表審計意見,不找財務部門找誰呢?那么,內部控制僅是要求基于財務報告的內部控制嗎?內部控制的日常工作究竟應該由哪個部門來具體操作?
基本規范第四條指出,內部控制應當貫穿決策、執行和監督全過程,覆蓋企業及其所屬單位的各種業務和事項;審計指引第四條指出,注冊會計師應當對財務報告內部控制的有效性發表審計意見,并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。以上規定都清楚表明了企業要做的是全面防范各類風險的內部控制,而不僅是基于財務報告的內部控制。關于內部控制的日常工作究竟應該由哪個部門來具體操作的問題,答案也是清晰明確的,因為基本規范規定,董事會負責內部控制的建立健全和有效實施。也就是說,內部控制是企業最高層、一把手的責任,董事會可以把內部控制的日常操作授權給任何一個管理部門,但最終還是要由董事會負責。
因此,在內部控制規范體系的具體實施過程中,筆者建議,可由企業管理部門或戰略部門(部分企業可以選擇成立專職的內部控制部或風險管理部)負責內部控制規范體系的建立工作,紀檢監察或內部審計部門負責對內部控制的監督。理由是:企業管理部門或戰略部門一般統領企業經營的各項事務,在建立健全內部控制規范體系的過程中,能從全局角度對企業經營的流程以及流程中的風險控制點進行梳理和完善,而紀檢監察和內部審計部門具有一定的獨立性和審計監督技巧,能夠相對公正且高效地執行內部控制的監督任務。
誤區二:內部控制是為了應對外部監管,對企業來說則是降低效率增加了成本
筆者在與企業交流的過程當中,經常能遇到這樣的事情:企業老總聽說要推行內部控制規范體系的建設,于是對財務總監說:“去安排人弄一下。”財務總監很為難:“內部控制的工作量好像很大。”老總安慰:“前兩年定的內控制度還在嗎?拿來改改能過關就行,千萬不能耽誤了正常的工作。”
以上說法中,管理者把內部控制與企業經營看成了完全不相干的兩件事,其后果是非常嚴重的。內部控制是防范企業經營風險、是企業經營管理必不可少的組成部分,企業只要進行生產經營活動,就必然同時進行內部控制,比如采購詢價比價、加強應收賬款的回收、盤點現金等都是企業采取的比較普遍的內部控制措施。從表面上看,內部控制是外在監管的要求,但很多有遠見的企業早已開始積極借助內部控制這個外力推動自身的管理變革,加強對經營風險的識別和控制,提升精細化、規范化管理的水平,為企業做大做強打基礎。
關于實施內部控制規范體系增加企業管理成本的問題,基本規范早已指出,內部控制應當遵循重要性原則和成本效益原則,也就是說,在實施的過程中,應當抓大放小,考慮風險損失與控制成本孰輕孰重的問題,不要件件小事都控制,不要為了控制而控制。在有些企業里,員工領用一張A4打印紙都要簽字審批,而對于上億元的投資項目卻未充分評估,草率上馬,這其實是走入了內部控制的誤區。所以,內部控制應當也必然是企業的自發需求,內部控制從防范風險的角度協助企業完善了管理,而非降低效率增加了成本。
誤區三:企業建立和完善內部控制規范體系,就是編寫內部控制制度
基本規范第六條指出,企業應當根據有關法律法規、本規范及其配套方法,制定本企業的內部控制制度并組織實施。對于本條款的理解,企業中就出現了以下兩種比較典型的情形:第一種,組織業務骨干和筆桿子編寫一套名為《內部控制制度》的文件,少則三四頁,多則十幾頁,不少上市公司還將《內部控制制度》通過證券交易所向投資者披露。第二種,組織一些涉及管理、財會、法律多個專業的名牌大學畢業生,歷經數月查閱名典巨著,增刪數十遍,編撰了一套由十幾萬字、上百項管理制度構成的《企業內部控制制度匯編》,并召開全體員工大會隆重發布。
筆者認為,內部控制制度是企業所有規章制度、管理辦法、實施細則的總和,而制定內部控制制度的過程,是企業從上到下分析業務、梳理流程、識別風險、加強管控的過程。在精細化管理水平較高的企業,除了制定內部控制制度文本外,還制定了讓人一目了然的流程圖和便于操作的表單,員工將表單按照流程圖填寫并按規定的程序進行流轉,與此同時各項管理的要求和控制措施也履行到位,這與一些企業編寫上百項內部控制制度卻忽視操作性的做法形成了鮮明對比。
誤區四:企業應根據18項應用指引梳理出18個內部控制制度
筆者在與企業交流的過程中,不止一次被問到:《內部信息傳遞制度》究竟怎么寫?筆者很疑惑:為什么要寫這個制度呢?原來,不少企業認為,應用指引共18項,“忠實地”根據18項指引編寫18個內部控制制度,是貫徹內部控制規范體系的最佳做法,而應用指引中的第17號是“內部信息傳遞”,所以就出現了編寫《內部信息傳遞制度》的問題。
筆者認為,內部信息傳遞是內部控制的基本要素之一,貫穿于企業生產經營的每個流程當中:營銷有市場調研報告、生產有生產分析會、采購有供應商名錄等,所有這些都是重要的信息傳遞形式和手段,早已深入到企業生產經營的每一個流程中的每一個環節。如果企業的每一個制度都體現了信息的形成與使用,那么就無需勞心勞力再專門編寫一個關于信息傳遞的制度了。
而更深層次的問題是,在內部控制規范體系的建立中,部分企業雖以文件(或企業制度)的形式貫徹落實了有關方面的要求,卻忽略了對重要流程的識別和梳理。應用指引有18項,而企業流程卻有數百項;應用指引契合了制造業的大部分需要,卻還有建筑業、服務業等企業的業務流程不能完全覆蓋。因此,筆者認為,18項應用指引只是指導和參考,企業要抓大放小,抓住關鍵控制點,判斷哪些經營管理的核心流程需要梳理,唯有如此,才能識別風險,加強對風險的防范和控制。
誤區五:借助國際知名咨詢機構的力量,企業內部控制就能達到國際領先水平
許多企業感到單靠自身力量搞內部控制很吃力,就想到借助外部的力量。不少企業首先想到的是聘請國際知名咨詢機構(或會計師事務所),他們認為知名機構的成功案例和邏輯縝密的方案值得信賴,卻并未考慮這些機構所提供的解決方案是否契合自身的需要。常見的結果是,幾個月的合作結束后,企業會發現:得到的是難懂的內部控制方案和幾十項拗口的內部控制術語、難以實施的內部控制措施及員工對方案的抵觸。
筆者認為,企業在聘請外部機構協助建立健全內部控制時,至少要滿足以下三個條件:一是咨詢機構有能力向管理層及各級員工提供全方位、多層次的內部控制培訓,培訓傳達的內部控制建設思路要契合現階段國內新興市場經濟的特點。二是咨詢服務內容不僅要包括方案的調研和設計過程,還要包括方案的輔導和實施。三是企業管理層(尤其是高層)及員工要安排時間和精力與咨詢公司進行溝通,以保證提供的方案是量身定做的。
誤區六:內部控制規范體系的建設任務緊迫,企業應當在最短時間內建立實施
一些企業的管理者在認識到了建立內部控制規范體系建設的重要性及緊迫性后,拍板決策:“3個月建立,3個月修改完善,半年時間全部建成”。這種雷厲風行的做法值得稱道,但在如此短的時間內就能建立健全內部控制規范體系卻讓人生疑。
一方面,從建立內部控制規范體系的角度來說,內部控制不能獨立于企業經營管理之外而存在,內部控制規范體系與企業現有的組織架構、人員配備、業務流程和授權權限等多個方面都有緊密的聯系。在建立企業內部控制規范體系時,需要全面探討和思考以上事項,如果簡單跳過這一過程,在內部控制規范體系的推進中就會削足適履或自相矛盾。
從實施內部控制規范體系的角度來說,任何發展變革都需要有一個宣傳、發動、探索、學習、試行和落實的過程。在這個過程中,全體員工要學習有關內部控制的知識,接受內部控制的理念,更難的是要打破舊有的利益格局,改掉舊有的操作習慣,這都需要大量的時間。筆者認為,大型企業建立和實施內部控制規范體系一個可行的思路是:首先對企業的生產經營活動流程進行全面梳理,建立全面的內部控制規范體系,然后選擇其中幾個較為容易改進的流程進行試點,進而逐步推廣到全部流程。這種摸著石頭過河的做法配合了企業生產經營的開展,可以減少企業改革的阻力。
誤區七:內部控制自我評價就是上市公司在年末出一份報告說明加強管理的情況
2006年6月上交所發布的上市公司內部控制指引規定,公司董事會應在年度報告披露的同時,披露年度內部控制自我評估報告,隨后深交所也提出了類似的要求。而在實際披露過程中,有的上市公司認為,自我評估報告就是在年末出一份報告說明加強管理的情況,由于沒有硬性規定、各上市公司理解的不同,造成披露的效果參差不齊。
評價指引及指引解讀發布后,相關要求就更加明確了。首先,自我評價報告只是一個結果,更重要的是企業需要完善自我評價這個過程,具體來說就是評價的依據、范圍、程序、方法及缺陷的認定。其次,企業可以完善和推廣內部控制評價表,就是對評價過程中形成的評價工作底稿進行全面整理和綜合匯總,整理出一個包括內部控制各要素的結論性評估表格,一般由評價內容、業務描述、有效性/缺陷、評價記錄等項目組成。通過完善和推廣使用內部控制評價表,可以使不同企業的內部控制評價報告更具可比性,同時也有利于報告使用者的閱讀和理解。
誤區八:國有企業需分別做好全面風險管理和內部控制兩項工作
國資委在2006年印發了《中央企業全面風險管理指引》,而內部控制規范體系出臺后,企業往往會指定不同部門或者不同負責人分別負責風險管理和內部控制的工作,筆者認為,這其實是一種誤解。簡言之,全面風險管理與內部控制的內在本質相互融合。兩者都是從梳理和識別各個流程中的風險開始,對風險加以分析和評估,最終進行管理和控制,并對控制活動的有效性進行持續監督和評價。兩者的區別是在側重點上,國資委作為國有資產出資人,從提升管理的角度,對國有企業風險識別及防范做了全面要求;而內部控制規范體系則從保護投資者的角度出發,在兼顧各類風險的同時,對于其中的財務報告真實性風險做了更加硬性的規定。
因此,無論是從有關部門的要求來看,還是結合國有企業的現有實踐過程的經驗教訓來分析,國有企業在實際操作層面都應當把風險管理與內部控制合并為一項工作來開展,這樣才有利于形成合力,真正提升企業的風險防控水平。
誤區九:企業已經建立了質量管理體系,再開展內部控制規范體系的建設,是一種重復
質量管理體系、健康與安全管理體系、環境管理體系、社會責任體系等都是企業常規的認證體系,其基本思路是通過系統化的梳理來識別企業管理中的不足,借助滿足認證標準的過程來提升管理。有的企業就認為:已經針對經營管理的各個流程采取了一系列完善的措施,為什么還要再費時費力建立一套內部控制規范體系呢?筆者認為,這其實就是二者如何融合和互補的問題。
首先,各類認證體系與內部控制規范體系并不矛盾,只是內部控制關注的重點是風險防控,而每個認證體系都是各有其側重點的。其次,內部控制規范體系和現有認證體系互相促進,如內部控制強調不相容職務相互分離,如將質量監督責任同生產相分離,則可進一步促進質量管理工作的開展。再次,企業在實際操作過程中,可以將幾個認證體系共同編制一套文件,將“梳理流程、厘定目標、識別風險、完善控制、修訂制度、持續改進”的過程合而為一,使同一套制度能夠滿足多個認證的要求,這樣做既節省了企業的人力、物力和財力,又提升了企業管理的水平。
誤區十:實施ERP等管理信息系統,就能提升內部控制水平
在一些內部控制較為薄弱的企業,員工素質不高,信息溝通不暢,授權權限混亂,各個業務流程都存在不同程度的失控,專家和老總就提出:通過實施ERP來提升管理及控制水平。實施ERP能真解決內部控制方面的問題嗎?其實不然。首先,ERP以及其他任何管理軟件都是基于計算機程序的管理信息系統,能夠減少人工操作和人為控制,實現信息集成和自動控制。但ERP系統中的流程和控制措施不會自動產生,需要企業對其進行設定,如果把錯誤的流程固化進系統,那么ERP就不是雪中送炭而是火上澆油了。其次,ERP本身也需要進行控制,西方國家實行會計電算化初期,因計算機舞弊,每年損失上百億美元。而信息系統規模越大、與管理聯系越密切、集成度越高,風險也就越大。再次,企業在實施ERP系統時,如果過分依賴于信息技術而忽視了配套管理措施,最終會造成信息系統與內部控制的脫節。
正如基本規范所指出的,企業在借助信息系統提升管理水平的同時,應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。唯有如此,通過實施ERP等管理信息系統,才能真正提升企業管理及內部控制的水平。
(歡迎繼續關注內控連載……)
內控相關文章:
內控連載08:銷售內控案例——促銷存漏洞,一人獨得200個特等獎
粉絲福利:
