论文部分内容阅读
内部控制是现代企业管理的重要组成部分,它虽不是医治企业病症的灵丹妙药,但确是抑止企业病症萌发和扩散的一剂良方。它是企业的自动预警系统和维护系统,是确保企业稳健发展不可或缺的“稳定器”,是强化企业内部各方面、各环节相互制衡,增强抗风险能力,保证企业按照既定方向顺利实现最终目标的有效工具。
近年来国内外频繁发生的重大会计信息失真事件扰乱了资本市场,动摇了投资者的信心。为了稳定资本市场秩序,创造良好投资环境,保护投资者利益,监管机构强烈要求企业加强内控管理。中国电信作为在美国和香港上市的企业,为了满足萨班斯法案的要求,更是本着对投资者负责的态度,早在2003年就自发地提出了内控目标并于8月份正式启动“中国电信与财务报告相关的内部控制项目”。经过努力,2004年7月底完成了内部控制纲领性文件——《股份公司内部控制手册》的编写工作,在此基础上,各省级电信公司本着循序渐进的原则,以“设计有效,执行有力”为标准,以“培训、试行、推广”为方式,编写了具体实施细则。目前全集团(特别是上市公司)在试行基础上已全面推行内部控制。
推行内部控制取得的成效
1. 风险管理和责任意识进一步增强
内控建设使电信员工普遍意识到加强风险管理对企业的重要性和紧迫性,强化了管理者的风险管理和责任意识,理顺、明确了各部门与岗位的职责和风险控制任务,使员工清楚地知道本岗位关键控制点在哪,如何查错防弊,如何控制和规避经营风险,也加强了部门之间无缝协作,风险控制工作由个别部门转向多部门共同完成。
2.权责日益明晰和条理化
通过编写权限列表,理清了权限范围和责任段落并予以条理化,上到集团公司领导,下到县市电信分公司的营业员,各层级在各操作环节中的权限和责任一目了然,使过去“权限不清,责任不明”的局面得到了有效改观。
3.财务报告更加真实完整
内控强调过程控制。推行内控后,我们对所有可能产生虚列或隐瞒收入、成本列支不实等财务信息不真实现象的环节加强了过程管控,所有收入、支出项目均严格按照权责发生制原则准确列账,有效促进了企业管理程序化、精细化、规范化,提高了对外披露的财务报告的真实完整性,有效降低了企业经营风险。
加强企业内部控制应消除几个误区
1.内部控制不能局限于内部会计控制
有些电信企业管理人员认为内部控制就是内部会计控制。这种认识误区导致内部控制的设计和执行仅局限在内部会计控制上,内控被当作财务部门的事,以致内部控制薄弱,难以形成全面的、闭环式的内控管理。
在实际工作中,尽管会计控制在内部控制中占有较大的比重,但内部控制涵盖的范围比会计控制大得多,它涉及到企业的方方面面,既包括一般意义上的资产、资金和成本管控,也包括经营、决策、劳动管理,甚至企业文化建设等等。因此,内部控制从管理结构上分为会计(财务)控制和管理控制两个方面。会计控制是内部控制的核心层次,主要是对财产物资的安全性、会计信息的真实性、完整性及财务活动合法性的控制,其目标是保证财务报告的可靠性;而管理控制是内部控制的框架层次,其目标则是为保证经营方针、决策的贯彻执行,促进经营活动经济性、效率性以及经营目标的实现。这两个方面相互依托,纵横交织,相互制约,形成了有效运行的内控网络。因此,把内部控制片面地理解为内部会计控制有失偏颇,同样仅由财务部门、财务人员来实施也是不完整的。只有全面正确理解内部控制,并由企业全体成员共同参与,才不会发生“断链”现象,才有可能达到内部控制的目标。
2.内部控制不能仅局限在操作层面,应高度重视决策层面
一些企业的领导认为内部控制的对象就是企业下属部门及其员工,而将自身置之其外,由此导致现行内控制度设计和执行上一个严重的缺陷就是没有将内控与公司总经理(CEO)联系起来。
COSO报告指出:内部控制是由企业董事会、管理当局和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成而提供合理保证的过程。从该定义可见企业管理层必须与员工一起参与,而不应袖手旁观。
其实,操作层面作为内控的执行者处于被支配地位,必然要接受监督和约束,其权力受限,失控的风险和损失较小,而决策层一般处于支配地位,权力较大,一旦脱离内控制度的监督和制衡,权力就容易被滥用,其决策失误所造成的损失不仅巨大,而且往往是无法挽回的。
另外,内控的效果在很大程度上也取决于企业领导者们的认知与重视程度,领导的大力支持和身体力行是有效推进内部控制的必备条件,否则,不论内控制度设计得多么完美,其结果只能是有限甚至是无效的。《萨班斯法案》特别指出:“内控建设和维护的责任在于公司管理层”。因此各单位领导尤其是一把手必须本着对单位负责同时也是对自己负责的态度高度重视并亲自参与内控工作,要充分认识到这是降低自身风险的重要举措,是全局性工作,而不是某个或几个部门的工作任务。
3.完善的内部控制并非为了控制任何风险而不惜一切代价,而是寻求风险与效率的平衡点
一些人在看到风险并认识到内控的必要性和重要性后,往往又容易走向另一个极端,即认为完善的内部控制就是要防范和控制一切风险,殊不知控制风险总是要付出一定的包括牺牲效率在内的成本和代价。例如,部分电信企业在制定大宗采购(如通信工程物资)内控流程时,由于金额巨大,从立项审批、签订合同,到按合同付款、列账,每个环节都要分管领导甚至一把手签批,完成一项作业,仅签字就要四五次,有这个必要吗?立项审批和签订合同是该流程的关键控制点,风险较大,自然应按照审批权限由分管领导或一把手签字,但付款和列账是履行采购合同的子流程,其主要风险已通过合同的条款加以控制,为了控制较小的风险而履行层层上报和签批的程序,其效率可想而知。
风险与效率是一对难以调和的矛盾,科学的内控体系就要实现风险与效率的相对平衡,既要规范企业运作,防范风险,又不能把企业管死。因此我们在掌控审批权限和控制环节等方面必须把握分寸,权衡利弊得失。当风险较大,不加以控制,企业就遭受不小的损失或负面影响时,即使牺牲某些环节一定程度的效率,也要控制住风险。相反,如果风险很小,对企业影响不大,则应以效率为重,减少控制环节或降低控制力度。
加强企业内部控制应把握好几个关键点
1.避免业务规程与内控流程相脱节而形成“两张皮”现象
业务规程即业务管理办法,一般已考虑了内部控制的要素并通过企业内部制度文件的形式规定下来,具有一定的约束力,但未必完善。推行内部控制时就要从防范风险和规范流程的角度对现有业务规程的缺失点和漏洞加以修补完善,以重新发文的方式规定执行。但企业在制定内控流程时并没有这样做,而是在业务规程之外另立一套内控流程,使得二者相脱节,形成“两张皮”。由于内控流程未形成规章制度,对流程操作者无约束力,其结果是内控流程被束之高阁,成为聋子的耳朵——摆设了。因此,要达到内控的目的,内控流程必须与业务规程并轨,赋予规章制度的效力。
2.把握好授权尺度和分寸,建立起责任分解制度
内部控制中的一个重要环节是进行委托授权控制。在授权的过程中,必须把握好一个“度”,即什么层级的经营者、什么流程应该赋予什么样的权力,须深思熟虑,既要避免权力过分下放,也要避免过分集中,还要根据企业内外部情况的变化适时进行调整。
权力和责任是辩证统一的。在授权的同时,为了保证公司目标的实现和不偏离轨道,内部控制的责任也必须层层分解落实到各部门、各岗位乃至每个人,一级对一级负责,建立起责任分解制度,从而形成“权力分享,风险和责任分担”的局面。当然,在分解责任的时候应考虑到权力和责任正相关性关系,要协调匹配,避免失衡。
3.注意处理好制度建设与执行力的关系,始终把执行力作为检查和评估的重点
不少企业存在的一个通病是:各项规章制度很健全,但有章不循现象十分突出。
制度建设是企业内部控制的前提和基础,而执行力是关键和保障,是内控制度设计的合理性、完整性、可操作性以及内控效果的检验法宝。有了健全的内控制度,只是做到了“有法可依”,其效果好坏就看是否做到了“有法必依、执法必严”。如果将制度束之高阁而我行我素,则制度形同虚设。
在检查和评估企业内部控制执行情况和效果时,切不可只重视制度建设是否健全,关键要看是否被有效遵循。应将穿行测试资料与内控流程进行对照,看其各环节是否都按照制度要求履行职责,一旦偏离或根本没按内控流程操作,则必须严格按照考核评价和奖惩体系进行兑现。
4.强化全过程控制,建立起考核和问责制度
目前电信企业内控的方法侧重于事前和事中控制,而对事后控制很少涉及。笔者认为,有效的内部控制应该是全过程的。事前控制的目的在于作出正确的决策,制定切实可行的目标;事中的控制是让企业活动按照一定的决策方向、目标运行;而事后控制侧重于分析结果形成的原因,找出存在的弱点及隐患,并对欠妥部分作出相应的调整,从而为决策提供依据,形成闭环管理,同时对内控执行的有效性进行评价、考核,并落实奖惩。因此只有加强全过程控制,即在进行事前和事中控制的同时加强事后控制,才能有效修正前期的不足或偏差,确保后期的控制始终不偏离正确轨道并形成良性循环,同时通过事后控制建立起考核和问责制度,才能全面提升内控执行力,确保内控有效性。
5.注意处理好内控工作与日常管理工作的关系,自觉把内控工作融入到日常管理工作中去
内部控制是对企业的整个经营管理活动进行监督与控制的过程,是企业管理的重要组成部分,与日常管理工作是相辅相成的关系,二者不能割裂开来,应水乳交融。
内控体系建设与日常管理一样具有延续性。随着电信经营管理环境不断变化,新业务不断推陈出新,企业必须不断改革和创新,从而需要不断修订和完善内控流程。即使这些都没有变化,有效的内部控制系统本身也须具备自我监督反馈机制,必须经历发现问题并解决问题的循环往复和不断完善的过程,因此内控工作不可搞运动战、阵地战,也不能虎头蛇尾,要持之以恒地将其与日常管理工作有机结合起来,从而使内控工作规范化、日常化、有序化。
近年来国内外频繁发生的重大会计信息失真事件扰乱了资本市场,动摇了投资者的信心。为了稳定资本市场秩序,创造良好投资环境,保护投资者利益,监管机构强烈要求企业加强内控管理。中国电信作为在美国和香港上市的企业,为了满足萨班斯法案的要求,更是本着对投资者负责的态度,早在2003年就自发地提出了内控目标并于8月份正式启动“中国电信与财务报告相关的内部控制项目”。经过努力,2004年7月底完成了内部控制纲领性文件——《股份公司内部控制手册》的编写工作,在此基础上,各省级电信公司本着循序渐进的原则,以“设计有效,执行有力”为标准,以“培训、试行、推广”为方式,编写了具体实施细则。目前全集团(特别是上市公司)在试行基础上已全面推行内部控制。
推行内部控制取得的成效
1. 风险管理和责任意识进一步增强
内控建设使电信员工普遍意识到加强风险管理对企业的重要性和紧迫性,强化了管理者的风险管理和责任意识,理顺、明确了各部门与岗位的职责和风险控制任务,使员工清楚地知道本岗位关键控制点在哪,如何查错防弊,如何控制和规避经营风险,也加强了部门之间无缝协作,风险控制工作由个别部门转向多部门共同完成。
2.权责日益明晰和条理化
通过编写权限列表,理清了权限范围和责任段落并予以条理化,上到集团公司领导,下到县市电信分公司的营业员,各层级在各操作环节中的权限和责任一目了然,使过去“权限不清,责任不明”的局面得到了有效改观。
3.财务报告更加真实完整
内控强调过程控制。推行内控后,我们对所有可能产生虚列或隐瞒收入、成本列支不实等财务信息不真实现象的环节加强了过程管控,所有收入、支出项目均严格按照权责发生制原则准确列账,有效促进了企业管理程序化、精细化、规范化,提高了对外披露的财务报告的真实完整性,有效降低了企业经营风险。
加强企业内部控制应消除几个误区
1.内部控制不能局限于内部会计控制
有些电信企业管理人员认为内部控制就是内部会计控制。这种认识误区导致内部控制的设计和执行仅局限在内部会计控制上,内控被当作财务部门的事,以致内部控制薄弱,难以形成全面的、闭环式的内控管理。
在实际工作中,尽管会计控制在内部控制中占有较大的比重,但内部控制涵盖的范围比会计控制大得多,它涉及到企业的方方面面,既包括一般意义上的资产、资金和成本管控,也包括经营、决策、劳动管理,甚至企业文化建设等等。因此,内部控制从管理结构上分为会计(财务)控制和管理控制两个方面。会计控制是内部控制的核心层次,主要是对财产物资的安全性、会计信息的真实性、完整性及财务活动合法性的控制,其目标是保证财务报告的可靠性;而管理控制是内部控制的框架层次,其目标则是为保证经营方针、决策的贯彻执行,促进经营活动经济性、效率性以及经营目标的实现。这两个方面相互依托,纵横交织,相互制约,形成了有效运行的内控网络。因此,把内部控制片面地理解为内部会计控制有失偏颇,同样仅由财务部门、财务人员来实施也是不完整的。只有全面正确理解内部控制,并由企业全体成员共同参与,才不会发生“断链”现象,才有可能达到内部控制的目标。
2.内部控制不能仅局限在操作层面,应高度重视决策层面
一些企业的领导认为内部控制的对象就是企业下属部门及其员工,而将自身置之其外,由此导致现行内控制度设计和执行上一个严重的缺陷就是没有将内控与公司总经理(CEO)联系起来。
COSO报告指出:内部控制是由企业董事会、管理当局和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成而提供合理保证的过程。从该定义可见企业管理层必须与员工一起参与,而不应袖手旁观。
其实,操作层面作为内控的执行者处于被支配地位,必然要接受监督和约束,其权力受限,失控的风险和损失较小,而决策层一般处于支配地位,权力较大,一旦脱离内控制度的监督和制衡,权力就容易被滥用,其决策失误所造成的损失不仅巨大,而且往往是无法挽回的。
另外,内控的效果在很大程度上也取决于企业领导者们的认知与重视程度,领导的大力支持和身体力行是有效推进内部控制的必备条件,否则,不论内控制度设计得多么完美,其结果只能是有限甚至是无效的。《萨班斯法案》特别指出:“内控建设和维护的责任在于公司管理层”。因此各单位领导尤其是一把手必须本着对单位负责同时也是对自己负责的态度高度重视并亲自参与内控工作,要充分认识到这是降低自身风险的重要举措,是全局性工作,而不是某个或几个部门的工作任务。
3.完善的内部控制并非为了控制任何风险而不惜一切代价,而是寻求风险与效率的平衡点
一些人在看到风险并认识到内控的必要性和重要性后,往往又容易走向另一个极端,即认为完善的内部控制就是要防范和控制一切风险,殊不知控制风险总是要付出一定的包括牺牲效率在内的成本和代价。例如,部分电信企业在制定大宗采购(如通信工程物资)内控流程时,由于金额巨大,从立项审批、签订合同,到按合同付款、列账,每个环节都要分管领导甚至一把手签批,完成一项作业,仅签字就要四五次,有这个必要吗?立项审批和签订合同是该流程的关键控制点,风险较大,自然应按照审批权限由分管领导或一把手签字,但付款和列账是履行采购合同的子流程,其主要风险已通过合同的条款加以控制,为了控制较小的风险而履行层层上报和签批的程序,其效率可想而知。
风险与效率是一对难以调和的矛盾,科学的内控体系就要实现风险与效率的相对平衡,既要规范企业运作,防范风险,又不能把企业管死。因此我们在掌控审批权限和控制环节等方面必须把握分寸,权衡利弊得失。当风险较大,不加以控制,企业就遭受不小的损失或负面影响时,即使牺牲某些环节一定程度的效率,也要控制住风险。相反,如果风险很小,对企业影响不大,则应以效率为重,减少控制环节或降低控制力度。
加强企业内部控制应把握好几个关键点
1.避免业务规程与内控流程相脱节而形成“两张皮”现象
业务规程即业务管理办法,一般已考虑了内部控制的要素并通过企业内部制度文件的形式规定下来,具有一定的约束力,但未必完善。推行内部控制时就要从防范风险和规范流程的角度对现有业务规程的缺失点和漏洞加以修补完善,以重新发文的方式规定执行。但企业在制定内控流程时并没有这样做,而是在业务规程之外另立一套内控流程,使得二者相脱节,形成“两张皮”。由于内控流程未形成规章制度,对流程操作者无约束力,其结果是内控流程被束之高阁,成为聋子的耳朵——摆设了。因此,要达到内控的目的,内控流程必须与业务规程并轨,赋予规章制度的效力。
2.把握好授权尺度和分寸,建立起责任分解制度
内部控制中的一个重要环节是进行委托授权控制。在授权的过程中,必须把握好一个“度”,即什么层级的经营者、什么流程应该赋予什么样的权力,须深思熟虑,既要避免权力过分下放,也要避免过分集中,还要根据企业内外部情况的变化适时进行调整。
权力和责任是辩证统一的。在授权的同时,为了保证公司目标的实现和不偏离轨道,内部控制的责任也必须层层分解落实到各部门、各岗位乃至每个人,一级对一级负责,建立起责任分解制度,从而形成“权力分享,风险和责任分担”的局面。当然,在分解责任的时候应考虑到权力和责任正相关性关系,要协调匹配,避免失衡。
3.注意处理好制度建设与执行力的关系,始终把执行力作为检查和评估的重点
不少企业存在的一个通病是:各项规章制度很健全,但有章不循现象十分突出。
制度建设是企业内部控制的前提和基础,而执行力是关键和保障,是内控制度设计的合理性、完整性、可操作性以及内控效果的检验法宝。有了健全的内控制度,只是做到了“有法可依”,其效果好坏就看是否做到了“有法必依、执法必严”。如果将制度束之高阁而我行我素,则制度形同虚设。
在检查和评估企业内部控制执行情况和效果时,切不可只重视制度建设是否健全,关键要看是否被有效遵循。应将穿行测试资料与内控流程进行对照,看其各环节是否都按照制度要求履行职责,一旦偏离或根本没按内控流程操作,则必须严格按照考核评价和奖惩体系进行兑现。
4.强化全过程控制,建立起考核和问责制度
目前电信企业内控的方法侧重于事前和事中控制,而对事后控制很少涉及。笔者认为,有效的内部控制应该是全过程的。事前控制的目的在于作出正确的决策,制定切实可行的目标;事中的控制是让企业活动按照一定的决策方向、目标运行;而事后控制侧重于分析结果形成的原因,找出存在的弱点及隐患,并对欠妥部分作出相应的调整,从而为决策提供依据,形成闭环管理,同时对内控执行的有效性进行评价、考核,并落实奖惩。因此只有加强全过程控制,即在进行事前和事中控制的同时加强事后控制,才能有效修正前期的不足或偏差,确保后期的控制始终不偏离正确轨道并形成良性循环,同时通过事后控制建立起考核和问责制度,才能全面提升内控执行力,确保内控有效性。
5.注意处理好内控工作与日常管理工作的关系,自觉把内控工作融入到日常管理工作中去
内部控制是对企业的整个经营管理活动进行监督与控制的过程,是企业管理的重要组成部分,与日常管理工作是相辅相成的关系,二者不能割裂开来,应水乳交融。
内控体系建设与日常管理一样具有延续性。随着电信经营管理环境不断变化,新业务不断推陈出新,企业必须不断改革和创新,从而需要不断修订和完善内控流程。即使这些都没有变化,有效的内部控制系统本身也须具备自我监督反馈机制,必须经历发现问题并解决问题的循环往复和不断完善的过程,因此内控工作不可搞运动战、阵地战,也不能虎头蛇尾,要持之以恒地将其与日常管理工作有机结合起来,从而使内控工作规范化、日常化、有序化。