论文部分内容阅读
【摘要】 2008年财政部颁布的《企业内部控制基本规范》要求中国企业建设并有效执行内部控制体系。文章从内部控制体系建设的意义入手,就内部控制的效益和成功构建内部控制体系的关键因素等方面,对我国内部控制体系的建设进行分析。
【关键词】 意义 效益 建设 内部控制体系
实践证明,内部控制与风险管理是现代企业经营管理的必备“武器”。近几年,企业面临的风险日益增多,美国的《2002年萨班斯—奥克斯利法案》(简称SOX法案)、COSO2004年的《企业风险管理——整合框架》、我国国资委2006年的《中央企业全面风险管理指引》以及财政部2008年的《企业内部控制基本规范》等一系列法律法规紧锣密鼓的制定,企业也在不断地认识、建设并有效地利用内部控制体系和风险管理体系。
从内部控制理论的发展历程看,内部控制的控制重点就是企业风险,对风险的管理主要是通过内部控制体系控制关键风险点来实现的。风险管理是建立在内部控制基础之上的、具有更高层次和综合意义的控制活动。如果离开良好的内部控制系统,所谓的风险管理只能是一句空话而已。因此,鉴于中国目前大多数企业内部控制体系尚未构建或构建不完善,笔者主张中国企业应先构建基于风险管理的行之有效的内部控制体系,并通过对该体系的有效执行,实现对企业主要风险的管理。
一、中国企业内部控制体系建设的意义
企业内部控制体系建设的意义来自于企业面临的挑战和机遇,是企业自身发展的迫切要求,主要体现在以下几个方面。
1、实现企业战略目标的要求
学术界不同学派关于战略的观点和假设等不尽相同,但都承认“核心竞争力”是企业竞争优势的所在。核心竞争力战略理论认为,企业要想长期稳定地保持其竞争优势,必须通过制定正确的战略目标,培养和发展能使企业在未来市场居于有利地位的核心竞争力。而制定的战略能否最终实施,取决于企业各个业务流程的有效执行。有效执行的内部控制体系不但对企业战略目标起到了强劲的科学支撑与持续保障作用,还使企业具备识别和管理整个企业多种风险的综合能力,这有助于减少企业的不确定性与盈利的波动性,进而增强企业的核心竞争力。
2、建立现代企业制度的要求
现代企业制度的核心内容包括规范和完善的企业法人制度、严格而清晰的有限责任制度、科学的企业组织制度、科学的企业管理制度以及企业破产制度和外部保障制度等。构建并执行这些现代企业制度内容,都需要切实可行的内部控制体系建设,因为现代企业制度和内部控制体系建设之间是相辅相成的。
3、企业生存发展的要求
自2004年年底以来,“中航油事件”5.54亿美元的亏损、中储棉10亿元的亏损等国有资产接连不断的巨亏噩梦,在国内外引起了巨大震动。由于这一系列事件的主要原因是企业内部控制体系方面存在严重缺陷,使人们意识到切实加强企业的风险控制已到了危及企业生存的刻不容缓的地步。
4、参与国际竞争的要求
参与国际竞争的前提是要和国际上大多数企业处于基本相同的经营环境中。但从国外企业的风险管理实施进展看,自美国SOX法案对在纽约上市的公司提出建立内部控制体系的要求后,许多国际大公司对内部控制体系的建设进行了完善和改进,并在此基础上进一步建立了全面风险管理体系。中国企业要参与国际竞争,就必须逐步建设内部控制和风险管理体系,不断缩短与国外企业风险管理的差距,在国际竞争中不断加大投资并购等业务的成功率。
5、投资者对企业预期的要求
投资者包括现实投资者和潜在投资者,他们的目的基本都是取得预期的收益。而内部控制的目标在于有效率和有效益的经营、循规守法进而保护企业财产安全,这正是实现企业收益的保证。循规守法主要通过完善的内部控制流程来保证。内部控制体系有利于保证企业的保值、增值,最终实现投资者的利益预期。
6、国内外法律法规的要求
首先是国内法律法规的要求。我国政府有关部门制定了一系列法律法规,要求企业通过内部控制体系建设来管理风险。法律法规是需要企业遵循的,所以,企业必须构建完善的内部控制体系。其次是中国企业到国外上市的法规要求。比如中国企业到美国上市,必须遵循SOX法案,该法案中最难操作、最复杂、耗费成本最高的404条款要求所有到美国上市的企业建立风险内部控制机制。
二、企业建设内部控制体系将获得的效益
企业建立的目的是盈利,内部控制体系也必须为企业带来效益,企业才有动力愿意去实施这项工作。在构建有效的内部控制体系过程中,企业至少可以从以下几个方面获得效益。
1、通过理顺关系来解决企业现存的管理问题
为了建立行之有效的内部控制体系,企业必须对本企业内部的业务流程进行梳理。企业在梳理各业务流程时,首先要对业务流程中可能存在的风险进行识别,通过分析识别,将企业历年累积的管理问题挖掘出来,并通过风险清单的方式进行明示;其次要对这些风险进行有效的评估,通过评估来判断风险的大小及风险的特性等;最后要对症下药,对识别出的管理问题进行有效的解决,解决问题的关键是通过业务流程梳理明确权责关系,进而提高企业的管理能力。可见,这个过程主要是通过业务流程的梳理,发现和解决现存的管理问题,并对构建行之有效的企业内部控制体系做好铺垫。
2、通过提升企业整体管理水平来提高企业经营效率与效果
如果企业通过对业务流程的梳理构建了行之有效的内部控制体系,该体系毫无疑问会有效防范和抵御风险,并将风险控制在萌芽状态或控制在企业可承受的能力范围之内。内部控制体系的有效执行,最终会提升企业整体管理水平,而企业整体管理水平的提升就意味着企业经营效率和效果的提升。
3、通过企业增值来更好地回报投资者
实践证明,完善的内部控制体系及其有效实施能最大限度地保护投资者的权益,内部控制的缺失则可能给投资者带来无法挽回的损失。安然、世通等的破产都是由于内部控制体系不完善造成的,给投资人造成了巨大损失。企业经营与管理的最终目的都是为了增加企业价值,最大化投资者利益。内部控制执行的好坏将直接影响企业价值最大化目标的实现,而执行有效的内部控制体系能够在促进企业发展的同时给投资者带来更高的价值回报。 三、中国企业成功建设内部控制体系的关键因素
企业内部控制体系建设主要包括具体构建阶段和长期实施阶段。由于企业各种环境因素会发生变动,内部控制体系的制定就不可能一劳永逸,而需要根据环境的变化和企业发展的要求进行不断的完善和修订。但不管是在具体构建阶段还是长期实施阶段,企业要想成功建设内部控制体系,必须把握以下关键因素,并尽可能做到。
1、力求管理层高度重视,并将高管的重视制度化
内部控制体系是一项庞大的系统工程,需要公司各级领导的支持和大力配合。例如,董事会的承诺与投入能极大地推动企业内部控制体系的构建与实施;经理的素质、品行关乎企业的发展,进而影响到内部控制的效率和效果。实践证明,企业有效的管理是从高层开始的,所以,企业应该在相应的规章制度中将高管的重视和参与制度化,以有效推进内部控制体系的执行。
在内部控制建设过程中,将高管的重视和参与制度化,至少应体现在以下几个方面,以保证高管能够积极支持风险内部控制的构建与实施:成立内部控制领导小组和工作组,并由董事长及CEO等高层管理人员任组长;协调风险管理部门与业务部门之间的关系;强化业务操作的合规观念,结合内控要求,明确部门职责,优化部门设置;通过全员会议提升全员风险管理意识,形成完整的内部控制制度体系,将风险理念融入企业文化;形成强有力的监督考核机制,并对内部控制工作的设计和执行给予有力的监督和指导;由CEO等高级管理人员亲自听取内部控制和风险报告。
2、构建严密的组织保障,落实内部控制职责
内部控制体系的构建和实施需要相应的组织保障,即企业应成立各级内控机构,落实内控职责。一般而言,内部控制机构至少应该包括:规范的公司法人治理结构和各层级的风险管理职能部门。
规范的公司法人治理结构是促使内部控制体系有效运行,保证内部控制功能发挥的前提和基础,是实行内部控制的体系环境。各层级的风险管理职能部门应涵盖企业决策和管理者(如董事会、CEO、CFO等)、风险管理职能部门、经营系统、内部审计、外部审计等部门。由于不同企业的组织结构、经营特点、管理风格等也不同,具体设置时,风险管理的机构和职责也不同。例如,《企业内部控制基本规范》明确规定内部控制机构必须有专门或指定机构,并将内部控制最高决策机构设在董事会。
对董事会控制下的风险管理各部门的职责进行分工,可以把企业风险管理的职能部门和职责归为风险管理的四道防线:第一道防线——各相关部门和业务单位;第二道防线——风险管理部门;第三道防线——内部审计部门;第四道防线——外部审计和公共监督。这四道防线构成严密的内部控制组织保障,各司其职,真正落实内部控制职责。
3、整章建制,构建体系化的制度保障
在大力倡导企业内部控制体系之前,中国大部分企业的内部控制体系都没有完善的制度保障,都是按照经验和习惯行事。大凡成功的企业都有一套系统、科学、严密、规范的内部控制体系。因此,要构建和实施完善的内部控制体系,必须要有体系化的制度保障。当内部控制体系构建后,企业一般应从以下方面考虑制度建设的问题。
固化建设期已经规定的规章制度。在构建期,企业会有许多规章制度,例如《沟通访谈管理办法》、《工作纪律管理办法》、《培训管理办法》、《文档管理办法》等,其中有许多是适用于企业长期实施阶段的。所以,在内部控制体系构建成功后,就应着手对建设期的许多规章制度进行重新审视,按照长效机制的要求对其进行修订,并将其固化,使其在今后的内部控制工作中继续发挥应有的作用。但要注意的是,在内部控制执行过程中,这些制度并非不变,需要在此基础上随着环境的变化随时对其进行评价和修订,进而有效地指导企业解决长期实施过程中出现的问题。
【关键词】 意义 效益 建设 内部控制体系
实践证明,内部控制与风险管理是现代企业经营管理的必备“武器”。近几年,企业面临的风险日益增多,美国的《2002年萨班斯—奥克斯利法案》(简称SOX法案)、COSO2004年的《企业风险管理——整合框架》、我国国资委2006年的《中央企业全面风险管理指引》以及财政部2008年的《企业内部控制基本规范》等一系列法律法规紧锣密鼓的制定,企业也在不断地认识、建设并有效地利用内部控制体系和风险管理体系。
从内部控制理论的发展历程看,内部控制的控制重点就是企业风险,对风险的管理主要是通过内部控制体系控制关键风险点来实现的。风险管理是建立在内部控制基础之上的、具有更高层次和综合意义的控制活动。如果离开良好的内部控制系统,所谓的风险管理只能是一句空话而已。因此,鉴于中国目前大多数企业内部控制体系尚未构建或构建不完善,笔者主张中国企业应先构建基于风险管理的行之有效的内部控制体系,并通过对该体系的有效执行,实现对企业主要风险的管理。
一、中国企业内部控制体系建设的意义
企业内部控制体系建设的意义来自于企业面临的挑战和机遇,是企业自身发展的迫切要求,主要体现在以下几个方面。
1、实现企业战略目标的要求
学术界不同学派关于战略的观点和假设等不尽相同,但都承认“核心竞争力”是企业竞争优势的所在。核心竞争力战略理论认为,企业要想长期稳定地保持其竞争优势,必须通过制定正确的战略目标,培养和发展能使企业在未来市场居于有利地位的核心竞争力。而制定的战略能否最终实施,取决于企业各个业务流程的有效执行。有效执行的内部控制体系不但对企业战略目标起到了强劲的科学支撑与持续保障作用,还使企业具备识别和管理整个企业多种风险的综合能力,这有助于减少企业的不确定性与盈利的波动性,进而增强企业的核心竞争力。
2、建立现代企业制度的要求
现代企业制度的核心内容包括规范和完善的企业法人制度、严格而清晰的有限责任制度、科学的企业组织制度、科学的企业管理制度以及企业破产制度和外部保障制度等。构建并执行这些现代企业制度内容,都需要切实可行的内部控制体系建设,因为现代企业制度和内部控制体系建设之间是相辅相成的。
3、企业生存发展的要求
自2004年年底以来,“中航油事件”5.54亿美元的亏损、中储棉10亿元的亏损等国有资产接连不断的巨亏噩梦,在国内外引起了巨大震动。由于这一系列事件的主要原因是企业内部控制体系方面存在严重缺陷,使人们意识到切实加强企业的风险控制已到了危及企业生存的刻不容缓的地步。
4、参与国际竞争的要求
参与国际竞争的前提是要和国际上大多数企业处于基本相同的经营环境中。但从国外企业的风险管理实施进展看,自美国SOX法案对在纽约上市的公司提出建立内部控制体系的要求后,许多国际大公司对内部控制体系的建设进行了完善和改进,并在此基础上进一步建立了全面风险管理体系。中国企业要参与国际竞争,就必须逐步建设内部控制和风险管理体系,不断缩短与国外企业风险管理的差距,在国际竞争中不断加大投资并购等业务的成功率。
5、投资者对企业预期的要求
投资者包括现实投资者和潜在投资者,他们的目的基本都是取得预期的收益。而内部控制的目标在于有效率和有效益的经营、循规守法进而保护企业财产安全,这正是实现企业收益的保证。循规守法主要通过完善的内部控制流程来保证。内部控制体系有利于保证企业的保值、增值,最终实现投资者的利益预期。
6、国内外法律法规的要求
首先是国内法律法规的要求。我国政府有关部门制定了一系列法律法规,要求企业通过内部控制体系建设来管理风险。法律法规是需要企业遵循的,所以,企业必须构建完善的内部控制体系。其次是中国企业到国外上市的法规要求。比如中国企业到美国上市,必须遵循SOX法案,该法案中最难操作、最复杂、耗费成本最高的404条款要求所有到美国上市的企业建立风险内部控制机制。
二、企业建设内部控制体系将获得的效益
企业建立的目的是盈利,内部控制体系也必须为企业带来效益,企业才有动力愿意去实施这项工作。在构建有效的内部控制体系过程中,企业至少可以从以下几个方面获得效益。
1、通过理顺关系来解决企业现存的管理问题
为了建立行之有效的内部控制体系,企业必须对本企业内部的业务流程进行梳理。企业在梳理各业务流程时,首先要对业务流程中可能存在的风险进行识别,通过分析识别,将企业历年累积的管理问题挖掘出来,并通过风险清单的方式进行明示;其次要对这些风险进行有效的评估,通过评估来判断风险的大小及风险的特性等;最后要对症下药,对识别出的管理问题进行有效的解决,解决问题的关键是通过业务流程梳理明确权责关系,进而提高企业的管理能力。可见,这个过程主要是通过业务流程的梳理,发现和解决现存的管理问题,并对构建行之有效的企业内部控制体系做好铺垫。
2、通过提升企业整体管理水平来提高企业经营效率与效果
如果企业通过对业务流程的梳理构建了行之有效的内部控制体系,该体系毫无疑问会有效防范和抵御风险,并将风险控制在萌芽状态或控制在企业可承受的能力范围之内。内部控制体系的有效执行,最终会提升企业整体管理水平,而企业整体管理水平的提升就意味着企业经营效率和效果的提升。
3、通过企业增值来更好地回报投资者
实践证明,完善的内部控制体系及其有效实施能最大限度地保护投资者的权益,内部控制的缺失则可能给投资者带来无法挽回的损失。安然、世通等的破产都是由于内部控制体系不完善造成的,给投资人造成了巨大损失。企业经营与管理的最终目的都是为了增加企业价值,最大化投资者利益。内部控制执行的好坏将直接影响企业价值最大化目标的实现,而执行有效的内部控制体系能够在促进企业发展的同时给投资者带来更高的价值回报。 三、中国企业成功建设内部控制体系的关键因素
企业内部控制体系建设主要包括具体构建阶段和长期实施阶段。由于企业各种环境因素会发生变动,内部控制体系的制定就不可能一劳永逸,而需要根据环境的变化和企业发展的要求进行不断的完善和修订。但不管是在具体构建阶段还是长期实施阶段,企业要想成功建设内部控制体系,必须把握以下关键因素,并尽可能做到。
1、力求管理层高度重视,并将高管的重视制度化
内部控制体系是一项庞大的系统工程,需要公司各级领导的支持和大力配合。例如,董事会的承诺与投入能极大地推动企业内部控制体系的构建与实施;经理的素质、品行关乎企业的发展,进而影响到内部控制的效率和效果。实践证明,企业有效的管理是从高层开始的,所以,企业应该在相应的规章制度中将高管的重视和参与制度化,以有效推进内部控制体系的执行。
在内部控制建设过程中,将高管的重视和参与制度化,至少应体现在以下几个方面,以保证高管能够积极支持风险内部控制的构建与实施:成立内部控制领导小组和工作组,并由董事长及CEO等高层管理人员任组长;协调风险管理部门与业务部门之间的关系;强化业务操作的合规观念,结合内控要求,明确部门职责,优化部门设置;通过全员会议提升全员风险管理意识,形成完整的内部控制制度体系,将风险理念融入企业文化;形成强有力的监督考核机制,并对内部控制工作的设计和执行给予有力的监督和指导;由CEO等高级管理人员亲自听取内部控制和风险报告。
2、构建严密的组织保障,落实内部控制职责
内部控制体系的构建和实施需要相应的组织保障,即企业应成立各级内控机构,落实内控职责。一般而言,内部控制机构至少应该包括:规范的公司法人治理结构和各层级的风险管理职能部门。
规范的公司法人治理结构是促使内部控制体系有效运行,保证内部控制功能发挥的前提和基础,是实行内部控制的体系环境。各层级的风险管理职能部门应涵盖企业决策和管理者(如董事会、CEO、CFO等)、风险管理职能部门、经营系统、内部审计、外部审计等部门。由于不同企业的组织结构、经营特点、管理风格等也不同,具体设置时,风险管理的机构和职责也不同。例如,《企业内部控制基本规范》明确规定内部控制机构必须有专门或指定机构,并将内部控制最高决策机构设在董事会。
对董事会控制下的风险管理各部门的职责进行分工,可以把企业风险管理的职能部门和职责归为风险管理的四道防线:第一道防线——各相关部门和业务单位;第二道防线——风险管理部门;第三道防线——内部审计部门;第四道防线——外部审计和公共监督。这四道防线构成严密的内部控制组织保障,各司其职,真正落实内部控制职责。
3、整章建制,构建体系化的制度保障
在大力倡导企业内部控制体系之前,中国大部分企业的内部控制体系都没有完善的制度保障,都是按照经验和习惯行事。大凡成功的企业都有一套系统、科学、严密、规范的内部控制体系。因此,要构建和实施完善的内部控制体系,必须要有体系化的制度保障。当内部控制体系构建后,企业一般应从以下方面考虑制度建设的问题。
固化建设期已经规定的规章制度。在构建期,企业会有许多规章制度,例如《沟通访谈管理办法》、《工作纪律管理办法》、《培训管理办法》、《文档管理办法》等,其中有许多是适用于企业长期实施阶段的。所以,在内部控制体系构建成功后,就应着手对建设期的许多规章制度进行重新审视,按照长效机制的要求对其进行修订,并将其固化,使其在今后的内部控制工作中继续发挥应有的作用。但要注意的是,在内部控制执行过程中,这些制度并非不变,需要在此基础上随着环境的变化随时对其进行评价和修订,进而有效地指导企业解决长期实施过程中出现的问题。