首页
书库
完本
足迹

§四、内部控制五要素(1 / 1)

总经理财务一本通 刘亚莉 2347 字 3个月前

近30年来,美国在企业内部控制方面进行了诸多的研究和实践,使内部控制理论得到了重大改进,并为世界各国所广泛借鉴。如何建立一个完整的内部控制整体框架,对总经理加强企业管理具有重要意义。

企业建立内部控制制度的目的在于,提高企业经营管理水平,并加强企业的风险防范能力,促进企业可持续发展。一个有效和健全的内部控制制度至少包含图12-2所示的五个要素。

1.规范的内部环境

内部环境是企业实施内部控制的基础,比如企业治理结构是否完善、机构设置及权责分配是否合理、是否拥有健康的企业文化,以及完善的内部审计、人力资源政策等。

内部环境是其他内部控制要素的根本,其中管理效率是一个重要的衡量指标。在上例中,公司在生产经营的过程中,出现了矿井安全隐患问题,但未得到领导重视,说明该公司某些员工,特别是管理层的人员亦在一定程度上缺乏安全意识;领导未能及时给予任何答复,也反映出该公司管理效率的低下。

【提示】内部环境的好坏取决于管理层的理念和经营风格。通常情况下,如果企业主要管理人员武断专行、刚愎自用,都会导致公司治理结构形同虚设,对内部控制环境造成破坏。

2001年,美国世通公司宣告破产。该公司曾经位列财富500强的第42位,鼎盛时期的雇员总数为8万人,年收入达352亿美元。其创始人伯纳德·埃伯斯从一家电话公司起步,通过兼并、收购、上市等一系列资本运作使公司快速扩张,于1995年更名为世界通信公司,埃伯斯任首席执行官(CEO)。到1999年6月21日,世界通信公司股票涨至64.50美元的最高峰,市值则冲破1960亿美元。2001年,大量收购行为导致世通高额负债并引起美国证券监管机构的关注,为此证监会展开调查,埃伯斯被迫辞职。在离职审计中,审计部门发现公司财务造假金额高达90多亿美元,而埃伯斯向世通公司的个人借款也高达3.66亿美元。

世通公司以及其他许多从零起步快速扩张最终破产的企业(如美国南方保健等),都表现出一个惊人的相似的特征,即公司创始人的个性刚愎自用,而且企业管理权限过度集中于创始人或CEO手中。这种控制权的过度集中导致公司治理结构中的监督、制衡功能难以发挥,通常在企业达到破产等不可挽回的地步后才被发现。我国许多小公司在做大过程中也存在类似问题,有时还未做成大公司就难以前进。公司治理结构在公司正常发展扩张中具有不可或缺的监督作用,同时也是对高管人员行为的必要制衡。内部环境是企业必须着力打造的企业氛围。

企业应当结合业务特点设置内部机构,如内部审计部门等,明确职责权限,将权利与责任落实到各责任部门。在达到一定规模后,企业还应当在董事会下设立审计委员会,负责审查企业内部控制,监督内部控制是否得到有效实施,并对企业内部控制进行自我评价。

2.严谨的风险评估

风险评估就是企业采取一定的程序和方法,及时识别经营活动中的风险,并对风险进行系统分析,合理确定风险应对策略。上述煤矿公司的案例就是缺乏必要的风险分析程序,导致潜在风险未能及时被发现和防范。

某集团是一家从事海洋运输的公司,在全球90多个国家和地区设立有海外公司。2008年4月1日,该集团宣布成立集团风险控制和管理委员会,集团总裁亲自担任委员会主任,旨在加强集团风险控制和管理。

2006年6月以来该集团两次爆出“资金门”事件。2008年春节前后该集团驻韩国釜山公司被查出挪用公司巨额运费收入及部分投资款,公司内部人员先后进行非法截留转移多达一百多次,被挪走的资金总额大约4000万美元,约合人民币3亿元。釜山分公司采用的造假手法包括虚报费用、虚开发票、和供应商内外勾结等。

该集团的财务体制是:控股公司掌控下属企业的全部财务和资金结算,海外分公司通常都采取独立核算制度,分公司只需要在年底报年账,不需要报明细账,有些公司甚至连现金流都不用向总部汇报。如果海外分公司不涉及上市公司,总部通常也不对海外分公司实施定期审计。公司内部控制存在的严重漏洞导致财务造假和巨额资金挪用。

该集团成立集团风险控制和管理委员会,事实上就是针对该事件的,并进一步借此完善公司的内部治理结构,建立风险评估制度,加强公司防范风险的能力。

一个严谨的风险评估程序通常包括以下步骤:

(1)进行风险分析

近年来,西方国家开始出现风险分析团队和首席风险分析师,企业设置风险控制委员会,其目的就是进行风险分析和判断。风险分析需要具备专门技术,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等概率进行测算,对识别的风险进行分析和排序,确保风险分析结果的准确性。

我国企业也在逐步建立风险控制机构,上述中海集团的案例就是一个典型代表。建立风险控制和管理机构的目的就是使企业的风险防范和控制行为规范化、制度化和长久化。

(2)确定风险应对策略

企业应当根据风险分析的结果,在风险与收益中进行权衡比较,并结合企业的风险承受度,确定风险应对策略,以对风险进行有效控制。通常情况下,企业可以采取的风险应对策略有三种:

1)规避风险

对于超出企业风险承受度的事项,企业可以选择放弃或者停止与之相关的业务活动,以避免和减轻损失。比如本书第五章提到的好易控公司针对某大型国企的中控产品销售及安装调试服务,如果该状况不能改善并长期持续下去,好易控公司就应当采取避免越陷越深、公司积压款过多的策略,其作用就是减少乃至停止与该国有企业的合作。

2)降低风险或分担风险

降低风险是指从企业内部采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。

分担风险是指企业借助外部力量,采取业务分包、购买保险、合作经营等方式,将风险控制在风险承受度之内。比如钢铁企业为保证原材料供应与上游铁矿石厂商联营,就是一种分担风险的方式。

3)承受风险

承受风险是指企业对风险进行评估后,认为风险可以接受,准备实施新项目。通常情况下,企业应该对项目的风险进行充分估计并有充足的应对措施。

(3)风险的持续关注

企业的风险随实际情况和环境的变化在不断发生变化,企业需要根据不同发展阶段的具体情况,结合业务拓展,持续收集并关注与风险变化有关的信息,不断调整对风险的评价和分析,并及时调整风险应对策略,对风险进行适时动态的把握。

(4)重大风险预警机制

通过重大风险预警机制和突发事件应急处理机制,可以及时应对可能发生的重大风险或突发事件,确保突发事件得到及时妥善处理。

3.有效的控制活动

内部控制在企业管理中具有极其重要的意义,企业内部控制制度的实施在很大程度上依赖于控制活动。控制活动是企业根据风险评估结果所采用的相应控制措施,其目的在于将风险控制在可承受度之内。企业的控制活动通常应包含以下几个方面:

(1)不相容职务分离控制

凡是业务流程中所涉及的不相容职务,需要实施相应的分离措施,形成各司其职、相互制约的工作机制。

企业不相容职务的内容主要有:钱账分离、物账分离。前者包括现金、银行存款的管理,后者主要体现在仓库的实物管理和账务管理必须分离。这些内容在本书第二部分均已做了详细介绍。

(2)授权审批控制

企业应对业务进行详细分类管理,区分常规授权和特别授权。对于特别授权项目必须要有总经理和相关高层管理人员审批方可执行,其目的在于明确权限、审批程序和相应责任。

通常情况下对于日常重复性项目实行常规授权,对于重大决策项目和突发项目都应该实行特别授权。此外,集体决策审批或者联签制度能更好地提高决策的科学性并降低风险。

(3)会计系统控制

会计系统控制能有效地防范内部错误和舞弊。会计系统控制要求企业加强会计工作,包括会计凭证、会计账簿和财务会计报告的管理和控制。关于这点,本书第十三章将详细论述。

(4)财产保护控制

财产保护体现在两个方面:一是财产的日常管理,包括财产记录和实物保管;二是定期清查,包括定期盘点和账实核对。

财产保护控制还需要加强对重要财产接触的限制,比如未经授权的人员不得接触财产。财产处置行为通常需要通过特别授权后才能进行。

(5)预算控制

实施全面预算管理制度,可以明确各责任单位在预算管理中的职责权限,并通过预算加强对各项支出的约束,以强化内部控制。

(6)运营分析控制

采用因素分析、对比分析、趋势分析等方法,对生产、购销、投资、融资、财务等方面的信息,定期开展运营情况分析,可以发现存在的问题,比如导致成本上升的因素到底是原材料上涨还是人工费用上涨,或是废品率高,并通过运营分析进行深层了解,及时查明原因并加以改进。运营分析见本书第三章。

(7)绩效考评控制

通过设置考核指标体系,对企业内部各部门及员工业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升的依据,能调动员工的积极性,并使工作业绩与个人报酬结合起来,促进企业业绩的提升。关于薪酬管理的介绍详见本书第八章。

4.良好的信息与沟通

及时准确地收集、传递相关的信息,确保信息在企业内部、企业与外部之间畅通无阻并能得到有效的反馈,是良好的信息与沟通控制的关键。信息与沟通控制的主要内容包括:

(1)建立信息与沟通制度

明确内部控制相关信息的收集、处理和传递程序,确保信息得到及时处理。前述煤矿公司的案例当中一个重大内控缺陷,就是员工关于安全风险的信息未得到有效反馈和处理。

除企业内部各单位间的信息沟通外,企业还应建立与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面间的信息沟通和反馈制度,以便及时发现问题及时解决。

(2)信息技术及信息共享

利用信息技术能更好地促进信息的集成与共享,扩大信息在企业内部的传递和影响。因此,信息系统开发与维护、文件储存与保管、网络安全等控制都是企业应该完善的内部控制制度。

(3)反舞弊机制

反舞弊机制的重点在于预防。通过建立舞弊案件的举报、调查、处理、报告和补救程序,可在一定程度上加强员工的舞弊恐惧心理,发挥企业内部管理的震慑作用,从而降低员工舞弊的动机和可能性。

图12-3是美国毕马威会计师事务所对发现财务舞弊的调查结果,从图中可以看出,内部控制是发现舞弊的最重要手段,52%的舞弊行为都是通过内部控制发现的。

美国注册舞弊检查师协会2004年进行了关于职务舞弊的统计调查。数据显示,内部控制、内部审计检查、警方通知、匿名揭发、外部审计和意外事项是发现职务舞弊的最主要方式。其中匿名揭发是最为有效的。

这也进一步说明了建立反舞弊机制和良好的信息与沟通制度的重要性。

5.内部监督

仅仅建立制度是不够的,还需要对制度的执行情况进行监督。内部监督的目的就是定期评价内部控制的有效性,发现内部控制缺陷,并及时加以改进。

企业一方面要对内部控制的实施情况进行常规、持续的日常监督检查,同时也需要对影响企业发展战略、组织结构及经营活动等重大调整或变化,进行有针对性的专项监督检查。

通过监督检查可以发现企业内部控制存在的缺陷:一是内控设计方面是否存在缺陷,比如未对重大资产进行特别授权管理等;二是内控制度的执行是否存在缺陷,即内控制度在各个部门的贯彻情况,包括人员配备与分工等。

通过监督检查对内部控制的有效性进行自我评价,对监督过程中发现的内部控制缺陷,应当及时提出整改方案,并向管理层报告,寻找改进措施。

上一章 书页/目录 下一章