【摘要】自2008年财政部会同证监会、审计署、银监会、保监会联合《企业内部控制基本规范》以来,各企业特别是上市公司逐渐按要求建立了相应的内部控制体系,内部控制在提高企业经营管理水平和风险防范能力,促进企业可持续发展方面起到了重要的作用。但是,目前仍有不少企业在内部控制建设方面依然存在形式化、表面化等问题,文章从企业内部控制建设中存在的不足出发,结合企业对内部控制的真正需求,探索更加贴近企业实际需求的内部控制建设要点。
【关键词】内部控制;规章制度;风险控制矩阵;
(相关资料图)
一、企业建立内部控制体系的驱动力
从外部因素来看,企业内部控制建设主要源于法律法规、证券监管的需求,特别是上市公司为解决中小股东、大股东及企业信息不对称的问题,强制要求企业建立内部控制体系,披露内部控制评价及审计报告。2021年已有4562家上市公司进行了内部控制自我评价,并披露了内部控制自我评价报告,占比高达98%,可见强制性规范要求是企业建立内部控制的重要因素。从企业内部因素来看,所有权与经营权分离的现代企业架构,股东对于职业经理人的监督必然成为重要的内容,而由董事会建设的内部控制体系就是对职业经理人最好的约束和监督;同时,企业经营过程中收益与风险并存,漠视风险一味追求收益是危险的,也是不可持续的,内部控制建设也是职业经理人规避风险的方式。对于上市公司来说,在满足信息披露要求的同时,完善的内部控制能够建立和维持投资者信心,提升上市公司价值,也是上市公司建立健全内部控制的内在动力。所以企业建立内部控制体系不仅是外部监管的需求,也是企业自身发展的需求。
二、企业内部控制现状分析
(一)企业在内部控制建设时存在误区
很多企业在进行内部控制建设时存在内部控制建设等同于内部控制制度建设的误区。很多企业一提到内部控制,就认为是一套内部控制制度,把制度建设作为内控建设的全部内容,只关注制度建设的完善程度,没有对流程进行梳理,没有对风险进行识别、评估。在内部控制评价的时候,也是把提供一套内部控制制度作为评价的主要内容,实际上这是内部控制最大的误区。制度建设是以部门职能管理为基础的制度建设,而不是以流程管控为基础的制度建设,到最后企业虽然有繁多的管理制度,但是反而很难做好管理工作。实际上内部控制应该是以风险为导向,以流程为纽带,以制度为基础的管理体系,制度建设只是内部控制的一部分,而且制度建设应该是从流程的角度,去管理业务流程中涉及的风险点,规范流程中的管控措施。
(二)内部控制体系形同虚设
当前企业内部控制存在的另一个主要问题是形同虚设。很多企业进行内部控制建设,编制了内部控制手册,修订完善了内部控制制度。但经过一段时间后,这些制度、手册就变成了“印在纸上、挂在墙上”的摆设,成了应付审计、检查的工具,逐渐与企业业务及管理实际情况相脱离,最终造成内部控制体系形同虚设。其原因主要有以下两个方面:一是忽视内部控制日常管理工作。当前企业内部控制建设的主要动力是外部制度约束,如五部委的《企业内部控制基本规范》及配套指引,上市公司还有来自证券监管机构的相关规定。为满足监管者的要求,各企业一般会组织进行系统的内部控制建设工作,在建设过程中梳理业务流程、识别相关风险,最终形成内部控制手册及相关管理制度。总结这些年内部控制建设经验,当前企业内部控制建设基本已经形成了相对成熟的方案,同时也存在大量有内部控制建设能力和经验的咨询机构可以协助企业进行内控建设工作。但是,大部分企业认为制定了内部控制手册就完成了内部控制建设全部工作,企业内部尚缺少内部控制日常运行机制,绝大部分企业的内部控制停留在日常审计、每年一次的内控评价层面。究其原因是在进行内部控制建设时,忽视了对后期内控日常工作的思考,没有充分考虑内部控制建设的真正目标是什么?内部控制在日常管理中的抓手是怎样的?很多公司开展的是运动式、项目化的建设,虽然设置了内控岗位、内控人员,但是对于内控人员日常如何开展工作,内控人员的考核、激励等基本是一片空白。二是内部控制难以量化的局限性。企业作为经营主体,在经营过程中收益与风险并存。收益可以通过会计核算、财务分析等手段较为清晰的展示出来,且已经形成了规范化、通用化的会计语言。但是风险却是一个难以量化的概念,内部控制以风险管理为核心,同样也存在难以量化的局限性。由于这种客观情况的存在,企业也更加关注收益等量化指标,而风险只有在真正发生后,才会在后期进行相关的修补,修订相关的制度,加强流程的管控等。很多时候,企业发生损失或风险事件的时候,往往是“没有迹象”的,其实并不是风险不存在,而是在量化的收益面前,企业会忽视风险的存在,比如在投资项目决策的时候往往只考虑投资回报率、回报周期等指标,而忽略隐藏在投资回报背后的风险,甚至是在做投资回报测算的时候人为地剔除了风险因素的影响。2018年初暴发的浦发银行成都分行向1493个空壳企业违规授信775亿元的事件就是片面追求绩效,内部控制形同虚设的典型。影响风险量化管理的因素主要有两个:一个是风险发生的概率,对于企业经营来说,很难从数据的角度去分析相关风险发生的概率;一个是风险发生造成的损失,风险带来的是全部损失、还是部分损失,部分损失又是多少?这在企业经营中很难计算,也是造成内部控制形同虚设的主要原因。
三、企业内部控制建设要点探索
(一)明确内部控制建设目标
在内部控制建设的准备阶段,最应该思考的是企业内部控制建设的目标是什么?想建设成什么样的内部控制体系?《企业内部控制基本规范》中提出的内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。从目前企业内部控制体系建设实践来看,基本可以分为合规型内部控制体系、监督型内部控制体系、管理型内部控制体系及价值型内部控制体系。合规型内部控制体系主要是基于法律法规、监管机构的要求,提出最底线的管理标准,合规检查是日常管理的重要组成部分,在实际运用中对业务流程的管理相对较差,适用于规模较小、拟上市的企业。但是合规性内部控制体系是最基础的,特别对于拟上市公司来说,在IPO的发行条件里,企业必须建立与实施内部控制。2017年IPO被否的企业共86家,其中有21家企业因内部控制不健全被否。监督型内部控制体系主要以法律法规、内部规范等为准绳,通过业务检查、有效性评价、审计等手段,实现对企业流程、风险的监测,并着重加强对问题的整改落实,可充分利用IT技术,整合风险评估、监测、内部控制评价等方面,适用于资本管控、偏财务管控的集团总部。管理型内部控制体系主要强调基础管理系统化的整合管理,将内部控制管理成为常态化职能,风险管控要求嵌入到经营管理的流程中,从组织、制度、流程和标准等方面实现对经营管理的支持,适用于管理基础完善、产业经营稳定的大中型企业。价值型内部控制体系重点在于在经营管理中对经营管理数据进行挖掘和分析,设置风险指标,从量化的角度对风险进行监控、预警;在企业决策中考虑风险因素,将风险与收益结合起来,成为决策的重要参照。不同的建设目标有不同的建设路径,明确建设目标是内部控制建设的前提,因此,企业在进行内部控制建设的时候,一定要清晰地思考企业建设的目标是什么,建设完成后能给企业带来什么,这样才能有正确的建设路径。企业最终追求的目标应该是价值型内部控制体系,事前内部控制风险指标成为事项决策的重要指标,企业在投审会、经营管理会等做决策的时候,需要体现存在的风险、风险的量化指标、风险的管理措施等方面,将风险与收益相结合去进行决策。事中有指标化风险监控预警体系,预警体系融入到日常管理,起到提示、监控等作用,如应收账款逾期预警等。事后有完善的评价体系,包含审计、评价等方面,通过开展定期评价或专项审计,坚守企业风险管理的最后一道防线。
(二)做好流程梳理的基础工作
流程是内部控制建设的纽带,企业首先要做的是整理、归纳出企业的业务、管理主流程,并将这些主流程分解到相关的子流程。主流程的整理、归纳可以参考《企业内部控制应用指引》,同时结合企业业务形态,如生产型企业可以参照应用指引,贸易型企业在业务流程中可以归纳为国内贸易、进口贸易、出口贸易这种更加贴近企业业务形态的流程。在主流程整理完成后,需进一步分解成详细的子流程,子流程的分解主要体现企业业务流、管理流,具体到操作的每个细节,将流程各环节对应到部门及岗位,这个时候就能清晰地看到人员在流程中的作用和控制。如可以将采购与付款流程分解为供应商管理与评价、采购计划的制定与审批、采购订单及合同管理、物料验收入库管理、采购退换货管理、采购付款、物料编码管理、采购招标管理、采购稽核等子流程。只有通过流程的分解才能看到各节点对应的风险,从而制定对应的控制活动。流程即是工作的思路和顺序,通过流程的梳理,还可以进一步梳理出流程中的标准性工作,很多流程中都会涉及相同或者类似的控制活动,标准化工作的总结提炼,将会极大地提升企业管理水平。所以做好流程梳理的基础工作是内部控制的重要组成部分。
(三)完善以风险管理为核心的风险控制矩阵
企业应在梳理流程的基础上,做好风险识别、风险评估工作,充分利用风险控制矩阵这一风险管理工具,防范风险的发生。目前风险控制矩阵主要解决了以下几个问题:风险有哪些?控制有哪些?谁进行控制?控制是怎样的等,所包含的要素主要是风险描述、控制目标、控制活动描述、控制方式、责任部门等方面。从实践来看,这些要素其实并不能完全满足企业的需求,存在不完善的部分,正是因为有缺失的建设工具,导致了很多企业内部控制无法融入企业日常管理。建议企业在制作风险控制矩阵时加入风险类别,区分定性风险和定量风险;增加风险评估措施,设置风险评估指标和公式,量化风险数据并体现对财务报告的影响。量化风险是风险管理破冰的利器,目前大部分企业把风险管理看做企业管理的重点,但是碍于风险的不确定性,在实际管理中很大程度上成为一纸空谈,只有逐步将风险量化才能解决目前风险管理存在的这种问题;增加风险等级,结合企业内部控制缺陷标准,将风险等级标识出来,这样能够清晰地看出企业在日常管理中需要重点对那些风险进行管理,同时后期评价时也可以重点关注风险程度高的事项,风险等级的高低不能只根据一些打分标准,需要结合风险计算公式对财务报表的影响,避免一些模糊的表述;另外,增加对控制活动能否通过系统控制的识别,信息化是企业业务、管理的重要手段,也是内部控制的重要技术支持,信息化的控制能够提升内部控制的效率与效果,所以在内部控制建设时识别出可以信息化控制的部分,这部分将是企业信息化建设应该考虑并重点建设的部分,对于不能通过信息化控制的部分,制定相应的辅助控制措施,这样才能形成完整的控制活动方案。通过以上要素的加入,能够更加贴近企业需求,同时为内部控制日常工作提供基础,避免出现建设与日常管理相脱离的情况。围绕风险管理为核心,形成风险识别、风险评估与控制活动的整合,整合后的风险控制矩阵可以直接作为企业风险库,避免了内部控制与风险管理两张皮的情况。对于可量化的风险,设置计算指标,在公司领导层面呈现最重要、领导最关注的指标,在公司风险管理部门建立公司风险库,对风险进行统一管理。这样形成多层次的风险管理、风险提示体系。
(四)加强内部控制文化建设
内部控制能否有效运行,良好的控制环境是必不可少的前提,在组织架构、发展战略、人力资源、社会责任及企业文化中,最关键但最容易忽略的就是企业文化。大部分企业的企业文化中普遍缺少内部控制文化要素,存在除企业风险管理部门外,其他部门及员工内部控制意识薄弱的情况。企业可以通过以下几个途径加强内部控制文化建设:一是加强对一些高风险案例的宣传,特别是企业涉及业务中存在的高风险环节,如工程项目中的采购、分包、合同、支付;投资管理中的决策、管控、投后管理;资产处置中的定价、选择、合同、决策等。通过对高风险案例的宣传、分享,增强企业内部控制意识。二是加强内部控制培训工作,企业需要不断强化对内部控制的培训工作,首先让员工树立起内部控制的理念,再慢慢融入到工作中去,最终形成良好的内控意识,从“强制要求这么做”变为“自己认为应该这么做”。企业文化是企业的灵魂,良好的内部控制文化可以加强控制措施的运行效果,还会给企业内部控制活动带来很好的补充,特别在企业没有控制到的地方将会发挥出重要的作用。
主要参考文献:
[1]李联庆、王婷.企业内部控制的现状与优化措施[J],中国管理信息化,2016(24).
[2]刘娅.企业文化对内部控制的影响[J],合作经济与科技,2016(7).
[3]姜登友;姜宏韬.上市公司内部控制信息披露浅析——以凯乐科技为例[J],国际商务财会,2022(24).
[4]傅建平.浅谈内部控制及其实施的必要性[J],现代经济信息,2015(1).
[5]王亚南.浅谈企业内部控制的重要性[J],企业文化,2013(6).
[6]张素会.我国企业内部控制存在的问题及对策研究[J],产业与科技论坛,2011(10).
作者:宗颐淼 单位:江苏苏美达集团有限公司