如何建立和完善企业内部控制制度
内部控制制度是社会经济发展到一定阶段的产物,是现代企业管理的重要手段。我们知道,有关企业经营的失败、会计信息失真、违法经营等情况在很大程度上都可以归结为企业内部控制制度的缺失或失效,诸如我国巨人集团的倒塌。郑州亚细亚的衰败,震惊中外的琼民源、银广厦事件的发生,乃至美国安然公司的破产等等这些现象,无不与企业内部控制制度有着一定的关系。因此,完善企业内部控制制度,保证会计信息质量,对于完善公司治理结构和信息披露制度,保护投资者合法权益,并保证资本市场有效运行,有着非常重要的意义。本文拟对此进行初步的探讨。 一、 内部控制的理论发展
内部控制具有其科学的定义和丰富的内容,只有深刻理解内控的内涵才能明确如何强化内控。纵观历史上对内部控制的理论研究大致上分为四个阶段: (一)内部牵制阶段
内部牵制这个概念最早于1905年由L.R.Dicksee提出,他认为,内部牵制由三个要素构成:职责分工、会计记录、人员轮换。当时的内部牵制是基于以下两个基本设想:1、二个或以上的人或部门无意识地犯同样错误的机会是很小的;2、二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的,内部牵制机制确实有效地减少了错误和舞弊行为,因此在现代内部控制理论中,内部牵制仍占有重要的地位,成为有关组织机构控制、职务分离控制的基础。 (二)内部控制阶段
1949年,美国会计师协会的审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。1958年10月该委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述,并将内部控制划分为会计控制和管理控制。 (三)内部控制结构阶段
1988年美国注册会计师协会发布《审计准则公告第55号》,提出了“内部控制结构”是为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。《审计准则公告第55号》从1990年1月起实行,自
此,《审计程序公告第29号》中将内部控制划分为内部管理控制和内部会计控制的提法也被“内部控制结构”所取代。 (四)一体化控制阶段
八十年代以来,虚假财务报表时有发生。为此,美国成立了“反虚假财务报告委员会”,下设专门致力于内部控制研究的“发起组织委员会”,简称COSO。COSO于1992年提出了题为“内部控制——整体框架”的研究报告,这就是著名的COSO报告。审计准则委员会于1995年发布了《审计准则公告第78号》,全面接受了COSO报告的观点,并自1997年1月起生效。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列三大目标提供合理保证: 1、经营的效果和效率(操作性目标); 2、财务报告的可靠性(信息性目标); 3、符合适用的法律和”法规(遵从性目标)”。
这三大目标既能满足不同的需要,又相互交叉。是一种“全部控制论”的概念。在COSO报告中,认为内部控制涵盖了企业内部五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。这五大组成部分与前述三大目标有机地相结合,构成了内部控制的完整体系。COS0报告旨在为各行各业提出这一思路的。我国的企业工作者很有必要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度,而且看这些制度是否得以认真贯彻实施。 二、现行企业.内部控制中存在的主要问题 (一)对内控认识不足
改革开放二十多年来,对于国有企业,只是一味地批评计划经济制度管理得太严太死,因此在改革中十分重视经济权利的下放,然而,却淡漠了经济活动内部的至关重要的控制机构,甚至连国有企业多年来积累的内部控制经验也都给放掉了。事实上,并非所有企业都只是靠宏观体制的改革才能发展的,关键是企业微观领域的改革不能滞后于宏观体制的改革,这也许正是为什么有的企业的在改革中充满了生机,而有的企业却被市场所淘汰的原因所在。目前一些企业特别是有些国有企业对内部控制的认识存在两种倾向值得注意:一是一部分人习惯于甚至满足于传统的经营管理方式,认为只要能够规范化操作就行,不必考虑是否先进。二是虽然大家意识到改革的必要性,但是容易片面强调改革组织结构的重要性,忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式,还是片面以改革取代控制的观念,对企业的发展都是不利的,这些认识上的偏差都将阻碍着企业内控的发展和完善。 (二)产权关系不明
产权制度改革是公司法人治理结构的核心,而规范的公司法人治理结构,关键要看董事会能否充分发挥作用。但在我国现阶段,公司的法人治理结构不够完善,甚至是有形无实,尤其体现在董事会这一重要机构没有发挥应用的职能。有不少国有企业在改革过程中,一味地“放权让利”,致使原厂长负责制的领导班子现在既是经理层又进入董事会,董事会成员和经理
成员高度重叠,致使国有单位产权主体缺位、权责不清,加强内部控制的受益主体模糊。根据有关抽样资料统计,在上市公司的董事会成员中,100%为内部董事的公司占有效样本数的22.1%,50%以上为内部董事的公司占有效样本数的78.2%,董事长和总经理一人兼任的公司占总样本的47.7%,由此可见,公司董事会在很大程度上掌握在内部人手中。而应该作为所有者产权代表的董事会,既不能充当所有者的“守护神”,又不能代表所有者对经营者进行监督。这种责权不分的公司治理结构,导致所有者对经营者不能实施控制,作为代表公司股东的控制主体——董事会也就形同虚设。 (三)人员素质不齐
“水至清则无鱼”,内控制度加强了,贪污舞弊、侵吞资产、弄虚作假容易了,那些私心重、想“捞一把”的法人代表以及某些员工就不那么愿意了。还有一些法制观念淡薄的国有企业的法人代表,“严以律人,宽以待己”,只喜欢约束别人的“内控制度”,而讨厌约束自己的内控制度。也有一些国企或私企法人代表的业务素质较低,根本不懂内控制度为何物,当然也就谈不上加强内控制度建设了。让思想和业务素质很低的人去管理企业,又如何能搞好内控建设呢? (四)监督机制不全
目前有很多企业监督评审主要依靠内审部门来实现,而有些企业的内审部门隶属于财务部门,与财务部同属一人领导,内部审计在形式上就缺乏应有的独立性。另外,在内审的职能上,很多企业的内部审计工作仅仅是审核会计帐目,而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面,却未能充分发挥应有的作用。 三、 现代企业内部控制制度的框架设计
按照COS0内控理论,结合我国现行企业内部控制中存在的主要问题,我认为,构建现代企业内部控制体系可以从五个方面入手,即 (一)完善企业的控制环境
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏直接影响到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。控制环境中的要素有价值观、组织结构、控制目标、员工能力、激励与诱导机构、管理哲学与经营风格、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。控制环境中的要素很多,对对于企业来说,不是短时间内就能改变的。要改善企业内部控制环境,我想首先要做好如下几项工作:
1、加快现代企业产权制度改革。真正实现产权明晰、权责清楚、管理科学、政企分开的现代企业制度,从产权制度上保证内部控制制度有效建立。
2、要有明确的内部控制主体和控制目标。控制主体解决了由谁进行内部控制的问题,而控制目标则解决了为什么要进行控制的问题。我们知道,企业内部由四种经济主体所组成,相应地,企业内部也有四种控制主体,即股东、经营者、管理者和普通员工,这四种控制主体都有各自的控制目标,股东的目标是财富最大化、财产安全、能获得如实报告;经营者的目标
是实现既定的经营目标、不断增加经营效益;管理者的目标是完成责任目标、资产安全、获得业务运行的真实报告。只有在控制主体及其控制目标明确情况下,才能实施有效控制。 3、要有先进的管理控制方法和高素质的管理人才。管理控制方法作为管理当局对其他人的授权使用情况直接控制和整个公司活动实行监督的一种方法,包括很多内容:如,制定企业各项管理制度、编制各项计划、业绩与计划考评、调查与纠正偏离期望值的差异等,这些方法对于不同规模和不同复杂程度的企业均十分重要。要具有先进的管理控制方法,还需辅以积极的人事政策,要能培养和引进一批具有高素质、掌握先进的管理方法的人才队伍,来改善企业的经营管理观念、方式和风格,培养全体员工良好的道德观、价值观和全员控制意识,从而形成一个特定的企业文化氛围。 (二)进行全面的风险评估
控制环境中包括的要素很多,但考虑成本效益原则,并不是所有的要素都有采取内部控制的价值,只需针对那些具有风险并且会影响有关控制目标实现的可控要素进行控制。在风险评估中可以采用如下的风险管理模型: 工作目标-风险评估-控制风险的措施
工作目标是风险评估的起点,是控制环境中的要素,只有明确工作目标,才能识别控制环境的各个要素中,哪些要素存在影响工作目标实现的风险,通过对风险程度的评估,采取积极有效的控制措施,保证其工作目标的实现。下面以财务部为例,按照风险管理模式对财务部可能存在的风险进行评估。
1、财务部的工作目标。财务部属于企业的管理层,其工作目标是为董事会和经理层提供及时、准确、完整的财务报告。
2、风险评估。为了能够达到财务部的工作目标,在分析控制环境中的各个要素时就可能发现: (1)人员素质不高,不能按照会计法规做事。
(2)越权管理,让不该做某事的人做了事,如,出纳既做现金账又负责支付现金; 而应该做事的人却不能在正确的时间里去做事,如总账会计到月底还不能完成上个月的会计报表。 (3)信息系统发生错误,从而提供了不正确的数据。 由此可见,控制环境因素中人员和信息系统可能成为引起财务报告不及时、不准确、不完整的风险要素,因此,财务部应该对这两个关键控制点的风险程度进行评估,以便在下一环节中采取有效的控制措施。 (三)设立良好的控制活动
控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动出现在整个企业内的各个阶层与各种职能部门,涉及的控制对象包括人、财、物、产、供、销等各个方面,而控制措施是针对各关键控制点而制定的,因此,企业在制定控制活动时关键就是要抓住关键控制点。仍以财务部为例,对可能影响到财务部工作目标实现的人员和信息系统这两个关键控制点实施控制。
1、针对人员的控制活动
(1)职责分离
财务部应按照职责分离原则划分各个人的工作,特别是一些不相容职务要实行严格分离。如,记录现金收入和支出的人员不应负责调节银行账户;出纳人员的稽核、会计档案保管和收入、支出、费用、债权债务帐目的登记工作的岗位不能由一人负责;在手工会计系统中,登记应收账款的总账和登记顾客明细帐的岗位应该分离等。通过职责分离可以有效降低控制风险,比如:将处理现金支出交易同调节银行帐户岗位分离,可以降低不记录支票付款的风险;将资产保管和资产会计记录岗位分离,可以降低盗窃的风险等。 (2)工作流程
明确每个岗位的职责,使每一个人的工作能自动地相互检查另一个人或更多人的工作,从而达到相互牵制的目的。为了实现这一目标,财务部应为每一个岗位设计工作流程图,工作流程图中明确规定每个人应该做什么、如何做、何时做以及正确进行工作的结果等。工作流程图将管理的过程进行了标准化,也就是说:要能够达到让不同的人按照工作流程图去做同样的工作,得到的工作结果将是相同的。 (3)票据与记录控制
票据是证明交易发生和交易的价格、性质及条件的证据。实行票据保管、收款与会计记录人员的岗位分离;对所有票据(包括发票、支票、收据、工时记录等)进行预先连续编号,在此制度下,所有作废的票据都要妥善保存,对已经使用的票据能够有会计人员进行定期销号,并及时与票据保管人员进行核对,以防止交易漏记或重复记录现象,保证全部收入、结算款项等能够及时准确入账。 (4)资产接触与记录使用
资产接触与记录使用主要是指限制接近资产和接近重要记录,以保证资产和记录的安全。保护资产和记录安全的重要措施是采用实物防护措施。比如,将存货存入仓库以防偷盗,如果这一仓库由胜任的职工管理,还能够减少存货的残损;对凭证和记录进行实物安全保护,能够有效降低由于凭证和记录的丢失而重新建立所需支付的成本,而且如果要是应收账款的主要档案被毁,则恐怕难以弥补。因此,为了防止这些损失,支付一些成本对资产和记录实施必要的保护还是十分必要的。 (5)绩效考评
财务部定期举行绩效考评会议,作为对财务部工作目标完成情况的事后控制,不仅可以总结一定时期的工作成果,同时也是发现问题、改进工作的过程。通过绩效考评,配合一些必要的奖惩措施,将整个财务部的工作目标与个人工作目标紧密地联系在一起,财务部的工作目标将通过个人工作目标的实现而达到,即整个团队的成功才是整个部门或公司的成功。 (6)独立稽核人都有可能由于偶然疏忽发生错误,为了避免此类错误的发生,每一个人完成的工作将由与此工作没有直接关系的另一个人或部门进行验证、审核。比如,手工发票、工资计算表、成本计算单等的正确性审核;银行存款余额调节表、现金盘点表、存货盘点表等与会计记录的比较,都对防止会计差错的发生有利。 2、针对信息系统的控制活动
信息系统已成为现代企业管理不可或缺的部分,随着电子商务的发展,信息系统的作用越来越重要。在信息系统的日常使用中,主要通过权限控制、数据录入/输出控制、手工凭证的控制等方式进行。
(四)建立广泛的信息与交流
信息与交流,就是向企业内各级主管部门(人员)、其他相关人员,以及企业外的有关部门(人员)及时提供信息,通过信息交流,使企业内部的员工能够清楚地了解企业的内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。在信息方面,要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。要建立一个广泛而有效的信息与交流系统,应该遵循以下原则:
1、一个有效的内控系统需要充分的和全面的内部财务、经营和遵从方面的数据,以及关于外部市场与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。
2、有效的内控需要建立可靠的信息系统,涵盖公司的全部重要活动。
3、有效的内控系统需要有效的交流渠道,确保所有员工充分理解和坚持现行政策和程序,影响他们的职责,并确保其他的相关信息传达到应被传达到的人员。 (五)加强内部控制的监督与评审
监督与评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。要确保内部控制制度被切实地执行且执行的效果良好,内部控制过程就必须被施以恰当的监督。监督是一种随着时间的推移而评估制度执行质量的过程。监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则:
1、应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分。
2、对内控系统应当进行有效和全面的内部审计。内审要独立进行,配备称职和得力的人员,应得到适合的培训,内审作为内控系统监督评审的一部分,应当向董事会或其审计委员会直接报告工作。
3、不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理,要树立全员控制意识,帮助企业更有效地实现预期控制目标,促进企业控制环境的建立,为改进内控制度提供建设性建议,实现组织预期达到的内控水平。