丁家豐 馬軍生
2010年4月�����,財政部等五部委聯(lián)合發(fā)布了《企業(yè)內部控制配套指引》(以下簡稱配套指引)�。此次發(fā)布的配套指引由18項《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》(以下分別簡稱應用指引��、評價指引和審計指引)組成�,連同2008年5月發(fā)布的《企業(yè)內部控制基本規(guī)范》(以下簡稱基本規(guī)范),標志著我國企業(yè)內部控制規(guī)范體系基本建成����。伴隨著配套指引的發(fā)布�����,財政部等部委開展了一系列宣傳和培訓工作�����,企業(yè)也紛紛開始了解��、學習并嘗試建立內部控制規(guī)范體系�����。
筆者作為專業(yè)咨詢人員�����,曾參與了多家大型上市公司的內部控制建設����,也參加了財政部舉辦的有關內部控制培訓班��,但在與各類企業(yè)交流����、協(xié)助企業(yè)建立內部控制規(guī)范體系的過程中發(fā)現(xiàn):大多數(shù)企業(yè)對內部控制規(guī)范體系存在不同程度的疑惑、抵觸甚至誤解���,出現(xiàn)了“走形式”�、“繞彎路”和“瞎折騰”等現(xiàn)象��,不但影響了企業(yè)提升管理�、防范風險的效果,還浪費了企業(yè)的精力和資源����。筆者根據(jù)實際工作經(jīng)驗歸納總結了企業(yè)內部控制規(guī)范體系建設中的十大誤區(qū),并提出了防范的措施����,以期為企業(yè)建立健全內部控制規(guī)范體系提供一些思路。
誤區(qū)一:有關規(guī)定要求的是財務報告內部控制��,因此內部控制應由財務部門負責
幾乎無一例外��,各大上市公司在開始建立內部控制規(guī)范體系時���,總是先找財務部門�,他們認為:一方面,財務會計與內部控制有密切聯(lián)系�����;另一方面���,內部控制要求外部審計要對基于財務報告的內部控制的有效性發(fā)表審計意見���,不找財務部門找誰呢?那么��,內部控制僅是要求基于財務報告的內部控制嗎��?內部控制的日常工作究竟應該由哪個部門來具體操作����?
基本規(guī)范第四條指出,內部控制應當貫穿決策�、執(zhí)行和監(jiān)督全過程,覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項�;審計指引第四條指出,注冊會計師應當對財務報告內部控制的有效性發(fā)表審計意見���,并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷��,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露�。以上規(guī)定都清楚表明了企業(yè)要做的是全面防范各類風險的內部控制��,而不僅是基于財務報告的內部控制�。關于內部控制的日常工作究竟應該由哪個部門來具體操作的問題,答案也是清晰明確的�����,因為基本規(guī)范規(guī)定���,董事會負責內部控制的建立健全和有效實施����。也就是說�����,內部控制是企業(yè)最高層�、一把手的責任,董事會可以把內部控制的日常操作授權給任何一個管理部門�����,但最終還是要由董事會負責。
因此�,在內部控制規(guī)范體系的具體實施過程中,筆者建議���,可由企業(yè)管理部門或戰(zhàn)略部門(部分企業(yè)可以選擇成立專職的內部控制部或風險管理部)負責內部控制規(guī)范體系的建立工作�����,紀檢監(jiān)察或內部審計部門負責對內部控制的監(jiān)督�。理由是:企業(yè)管理部門或戰(zhàn)略部門一般統(tǒng)領企業(yè)經(jīng)營的各項事務����,在建立健全內部控制規(guī)范體系的過程中,能從全局角度對企業(yè)經(jīng)營的流程以及流程中的風險控制點進行梳理和完善�,而紀檢監(jiān)察和內部審計部門具有一定的獨立性和審計監(jiān)督技巧,能夠相對公正且高效地執(zhí)行內部控制的監(jiān)督任務��。
誤區(qū)二:內部控制是為了應對外部監(jiān)管����,對企業(yè)來說則是降低效率增加了成本
筆者在與企業(yè)交流的過程當中,經(jīng)常能遇到這樣的事情:企業(yè)老總聽說要推行內部控制規(guī)范體系的建設�����,于是對財務總監(jiān)說:“去安排人弄一下?�!?a target="_blank" style="color: black;" >財務總監(jiān)很為難:“內部控制的工作量好像很大����?!崩峡偘参浚骸扒皟赡甓ǖ膬瓤刂贫冗€在嗎?拿來改改能過關就行�,千萬不能耽誤了正常的工作?��!?/wbr>
以上說法中�,管理者把內部控制與企業(yè)經(jīng)營看成了完全不相干的兩件事��,其后果是非常嚴重的����。內部控制是防范企業(yè)經(jīng)營風險、是企業(yè)經(jīng)營管理必不可少的組成部分�,企業(yè)只要進行生產(chǎn)經(jīng)營活動,就必然同時進行內部控制��,比如采購詢價比價���、加強應收賬款的回收、盤點現(xiàn)金等都是企業(yè)采取的比較普遍的內部控制措施�。從表面上看,內部控制是外在監(jiān)管的要求�����,但很多有遠見的企業(yè)早已開始積極借助內部控制這個外力推動自身的管理變革����,加強對經(jīng)營風險的識別和控制�,提升精細化、規(guī)范化管理的水平�����,為企業(yè)做大做強打基礎�。
關于實施內部控制規(guī)范體系增加企業(yè)管理成本的問題,基本規(guī)范早已指出�����,內部控制應當遵循重要性原則和成本效益原則�,也就是說,在實施的過程中��,應當抓大放小,考慮風險損失與控制成本孰輕孰重的問題�����,不要件件小事都控制�����,不要為了控制而控制��。在有些企業(yè)里��,員工領用一張A4打印紙都要簽字審批�,而對于上億元的投資項目卻未充分評估�����,草率上馬���,這其實是走入了內部控制的誤區(qū)���。所以,內部控制應當也必然是企業(yè)的自發(fā)需求�����,內部控制從防范風險的角度協(xié)助企業(yè)完善了管理,而非降低效率增加了成本�����。
誤區(qū)三:企業(yè)建立和完善內部控制規(guī)范體系�����,就是編寫內部控制制度
基本規(guī)范第六條指出�����,企業(yè)應當根據(jù)有關法律法規(guī)���、本規(guī)范及其配套方法��,制定本企業(yè)的內部控制制度并組織實施�。對于本條款的理解�����,企業(yè)中就出現(xiàn)了以下兩種比較典型的情形:第一種,組織業(yè)務骨干和筆桿子編寫一套名為《內部控制制度》的文件�,少則三四頁,多則十幾頁��,不少上市公司還將《內部控制制度》通過證券交易所向投資者披露��。第二種���,組織一些涉及管理�����、財會���、法律多個專業(yè)的名牌大學畢業(yè)生�����,歷經(jīng)數(shù)月查閱名典巨著���,增刪數(shù)十遍�����,編撰了一套由十幾萬字���、上百項管理制度構成的《企業(yè)內部控制制度匯編》�����,并召開全體員工大會隆重發(fā)布�。
筆者認為����,內部控制制度是企業(yè)所有規(guī)章制度、管理辦法���、實施細則的總和����,而制定內部控制制度的過程��,是企業(yè)從上到下分析業(yè)務���、梳理流程��、識別風險���、加強管控的過程�����。在精細化管理水平較高的企業(yè)���,除了制定內部控制制度文本外,還制定了讓人一目了然的流程圖和便于操作的表單���,員工將表單按照流程圖填寫并按規(guī)定的程序進行流轉����,與此同時各項管理的要求和控制措施也履行到位��,這與一些企業(yè)編寫上百項內部控制制度卻忽視操作性的做法形成了鮮明對比�。
誤區(qū)四:企業(yè)應根據(jù)18項應用指引梳理出18個內部控制制度
筆者在與企業(yè)交流的過程中,不止一次被問到:《內部信息傳遞制度》究竟怎么寫����?筆者很疑惑:為什么要寫這個制度呢���?原來�����,不少企業(yè)認為����,應用指引共18項,“忠實地”根據(jù)18項指引編寫18個內部控制制度��,是貫徹內部控制規(guī)范體系的最佳做法�,而應用指引中的第17號是“內部信息傳遞”,所以就出現(xiàn)了編寫《內部信息傳遞制度》的問題�。
筆者認為,內部信息傳遞是內部控制的基本要素之一��,貫穿于企業(yè)生產(chǎn)經(jīng)營的每個流程當中:營銷有市場調研報告��、生產(chǎn)有生產(chǎn)分析會���、采購有供應商名錄等���,所有這些都是重要的信息傳遞形式和手段,早已深入到企業(yè)生產(chǎn)經(jīng)營的每一個流程中的每一個環(huán)節(jié)�。如果企業(yè)的每一個制度都體現(xiàn)了信息的形成與使用,那么就無需勞心勞力再專門編寫一個關于信息傳遞的制度了��。
而更深層次的問題是,在內部控制規(guī)范體系的建立中�����,部分企業(yè)雖以文件(或企業(yè)制度)的形式貫徹落實了有關方面的要求��,卻忽略了對重要流程的識別和梳理�。應用指引有18項,而企業(yè)流程卻有數(shù)百項��;應用指引契合了制造業(yè)的大部分需要��,卻還有建筑業(yè)��、服務業(yè)等企業(yè)的業(yè)務流程不能完全覆蓋�。因此,筆者認為����,18項應用指引只是指導和參考,企業(yè)要抓大放小���,抓住關鍵控制點���,判斷哪些經(jīng)營管理的核心流程需要梳理,唯有如此�,才能識別風險,加強對風險的防范和控制���。
誤區(qū)五:借助國際知名咨詢機構的力量�����,企業(yè)內部控制就能達到國際領先水平
許多企業(yè)感到單靠自身力量搞內部控制很吃力�,就想到借助外部的力量����。不少企業(yè)首先想到的是聘請國際知名咨詢機構(或會計師事務所),他們認為知名機構的成功案例和邏輯縝密的方案值得信賴����,卻并未考慮這些機構所提供的解決方案是否契合自身的需要��。常見的結果是����,幾個月的合作結束后,企業(yè)會發(fā)現(xiàn):得到的是難懂的內部控制方案和幾十項拗口的內部控制術語�����、難以實施的內部控制措施及員工對方案的抵觸。
筆者認為��,企業(yè)在聘請外部機構協(xié)助建立健全內部控制時���,至少要滿足以下三個條件:一是咨詢機構有能力向管理層及各級員工提供全方位����、多層次的內部控制培訓��,培訓傳達的內部控制建設思路要契合現(xiàn)階段國內新興市場經(jīng)濟的特點�。二是咨詢服務內容不僅要包括方案的調研和設計過程,還要包括方案的輔導和實施��。三是企業(yè)管理層(尤其是高層)及員工要安排時間和精力與咨詢公司進行溝通���,以保證提供的方案是量身定做的����。
誤區(qū)六:內部控制規(guī)范體系的建設任務緊迫����,企業(yè)應當在最短時間內建立實施
一些企業(yè)的管理者在認識到了建立內部控制規(guī)范體系建設的重要性及緊迫性后���,拍板決策:“3個月建立�����,3個月修改完善����,半年時間全部建成”�。這種雷厲風行的做法值得稱道,但在如此短的時間內就能建立健全內部控制規(guī)范體系卻讓人生疑����。
一方面�����,從建立內部控制規(guī)范體系的角度來說���,內部控制不能獨立于企業(yè)經(jīng)營管理之外而存在���,內部控制規(guī)范體系與企業(yè)現(xiàn)有的組織架構����、人員配備�、業(yè)務流程和授權權限等多個方面都有緊密的聯(lián)系�。在建立企業(yè)內部控制規(guī)范體系時,需要全面探討和思考以上事項�,如果簡單跳過這一過程�����,在內部控制規(guī)范體系的推進中就會削足適履或自相矛盾�����。
從實施內部控制規(guī)范體系的角度來說�����,任何發(fā)展變革都需要有一個宣傳�����、發(fā)動、探索���、學習、試行和落實的過程��。在這個過程中����,全體員工要學習有關內部控制的知識�,接受內部控制的理念,更難的是要打破舊有的利益格局���,改掉舊有的操作習慣,這都需要大量的時間����。筆者認為,大型企業(yè)建立和實施內部控制規(guī)范體系一個可行的思路是:首先對企業(yè)的生產(chǎn)經(jīng)營活動流程進行全面梳理�,建立全面的內部控制規(guī)范體系�,然后選擇其中幾個較為容易改進的流程進行試點,進而逐步推廣到全部流程�����。這種摸著石頭過河的做法配合了企業(yè)生產(chǎn)經(jīng)營的開展,可以減少企業(yè)改革的阻力���。
誤區(qū)七:內部控制自我評價就是上市公司在年末出一份報告說明加強管理的情況
2006年6月上交所發(fā)布的上市公司內部控制指引規(guī)定����,公司董事會應在年度報告披露的同時��,披露年度內部控制自我評估報告����,隨后深交所也提出了類似的要求。而在實際披露過程中��,有的上市公司認為����,自我評估報告就是在年末出一份報告說明加強管理的情況,由于沒有硬性規(guī)定�����、各上市公司理解的不同���,造成披露的效果參差不齊��。
評價指引及指引解讀發(fā)布后����,相關要求就更加明確了�����。首先�,自我評價報告只是一個結果��,更重要的是企業(yè)需要完善自我評價這個過程��,具體來說就是評價的依據(jù)�����、范圍�、程序、方法及缺陷的認定����。其次,企業(yè)可以完善和推廣內部控制評價表,就是對評價過程中形成的評價工作底稿進行全面整理和綜合匯總����,整理出一個包括內部控制各要素的結論性評估表格,一般由評價內容����、業(yè)務描述、有效性/缺陷����、評價記錄等項目組成。通過完善和推廣使用內部控制評價表���,可以使不同企業(yè)的內部控制評價報告更具可比性���,同時也有利于報告使用者的閱讀和理解。
誤區(qū)八:國有企業(yè)需分別做好全面風險管理和內部控制兩項工作
國資委在2006年印發(fā)了《中央企業(yè)全面風險管理指引》��,而內部控制規(guī)范體系出臺后���,企業(yè)往往會指定不同部門或者不同負責人分別負責風險管理和內部控制的工作���,筆者認為���,這其實是一種誤解。簡言之����,全面風險管理與內部控制的內在本質相互融合。兩者都是從梳理和識別各個流程中的風險開始����,對風險加以分析和評估,最終進行管理和控制�,并對控制活動的有效性進行持續(xù)監(jiān)督和評價。兩者的區(qū)別是在側重點上��,國資委作為國有資產(chǎn)出資人�����,從提升管理的角度�����,對國有企業(yè)風險識別及防范做了全面要求�����;而內部控制規(guī)范體系則從保護投資者的角度出發(fā)�����,在兼顧各類風險的同時�,對于其中的財務報告真實性風險做了更加硬性的規(guī)定。
因此�,無論是從有關部門的要求來看,還是結合國有企業(yè)的現(xiàn)有實踐過程的經(jīng)驗教訓來分析�����,國有企業(yè)在實際操作層面都應當把風險管理與內部控制合并為一項工作來開展���,這樣才有利于形成合力��,真正提升企業(yè)的風險防控水平�����。
誤區(qū)九:企業(yè)已經(jīng)建立了質量管理體系��,再開展內部控制規(guī)范體系的建設�����,是一種重復
質量管理體系����、健康與安全管理體系、環(huán)境管理體系���、社會責任體系等都是企業(yè)常規(guī)的認證體系��,其基本思路是通過系統(tǒng)化的梳理來識別企業(yè)管理中的不足���,借助滿足認證標準的過程來提升管理。有的企業(yè)就認為:已經(jīng)針對經(jīng)營管理的各個流程采取了一系列完善的措施����,為什么還要再費時費力建立一套內部控制規(guī)范體系呢?筆者認為����,這其實就是二者如何融合和互補的問題。
首先�����,各類認證體系與內部控制規(guī)范體系并不矛盾�,只是內部控制關注的重點是風險防控,而每個認證體系都是各有其側重點的�。其次,內部控制規(guī)范體系和現(xiàn)有認證體系互相促進���,如內部控制強調不相容職務相互分離���,如將質量監(jiān)督責任同生產(chǎn)相分離,則可進一步促進質量管理工作的開展����。再次,企業(yè)在實際操作過程中����,可以將幾個認證體系共同編制一套文件,將“梳理流程�、厘定目標、識別風險��、完善控制�����、修訂制度�����、持續(xù)改進”的過程合而為一,使同一套制度能夠滿足多個認證的要求�����,這樣做既節(jié)省了企業(yè)的人力����、物力和財力,又提升了企業(yè)管理的水平���。
誤區(qū)十:實施ERP等管理信息系統(tǒng)����,就能提升內部控制水平
在一些內部控制較為薄弱的企業(yè)�����,員工素質不高���,信息溝通不暢�����,授權權限混亂�����,各個業(yè)務流程都存在不同程度的失控���,專家和老總就提出:通過實施ERP來提升管理及控制水平。實施ERP能真解決內部控制方面的問題嗎��?其實不然���。首先�,ERP以及其他任何管理軟件都是基于計算機程序的管理信息系統(tǒng)���,能夠減少人工操作和人為控制���,實現(xiàn)信息集成和自動控制。但ERP系統(tǒng)中的流程和控制措施不會自動產(chǎn)生����,需要企業(yè)對其進行設定,如果把錯誤的流程固化進系統(tǒng),那么ERP就不是雪中送炭而是火上澆油了�����。其次����,ERP本身也需要進行控制,西方國家實行會計電算化初期�����,因計算機舞弊���,每年損失上百億美元����。而信息系統(tǒng)規(guī)模越大��、與管理聯(lián)系越密切���、集成度越高��,風險也就越大����。再次,企業(yè)在實施ERP系統(tǒng)時�����,如果過分依賴于信息技術而忽視了配套管理措施�,最終會造成信息系統(tǒng)與內部控制的脫節(jié)����。
正如基本規(guī)范所指出的,企業(yè)在借助信息系統(tǒng)提升管理水平的同時�����,應當加強對信息系統(tǒng)開發(fā)與維護���、訪問與變更����、數(shù)據(jù)輸入與輸出��、文件儲存與保管�����、網(wǎng)絡安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運行����。唯有如此,通過實施ERP等管理信息系統(tǒng)����,才能真正提升企業(yè)管理及內部控制的水平。
本文發(fā)表于《財務與會計》2011年第2期
浙公網(wǎng)安備 33010802003509號