内部控制包含以下五大组成部分的内容:
(1)控制环境
控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
(2)风险评估
风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
(3)控制活动
控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。
(4)信息与交流
信息与交流存在于所有经营管理活动中,使员工得以搜集和交换经营、管理和控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息技术的发展中注意控制信息系统。
(5)监督评审
“监督评审”是内控体系的第五大重要组成部分,其主要内容是对上述内控活动,包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。 以上五大组成部分与前述三大目标有机地相结合,构成了内控的完整体系。我国的企业工作者很有必要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度以及这些制度是否得以认真的贯彻实施。
很多企业的中层管理者对内控认识比较肤浅,也不了解内控与管理、内审的关系,简单的认为管理就是内控,抓了管理,内控自然就到位了。因此,我们有必要搞清楚内控与管理的关系。
1管理的内涵及其与内控的区别
管理是管理者确立目标和战略,并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要以一定的组织形式为依托,以一定的规章制度为依据,采取种种方法去实现既定的目标。管理者有责任控制局面,并解决和纠正各项经营管理活动中所发生的偏差和错误。管理的含义比内控更为广泛,并不是所有的管理活动都是内控活动。而内控则是管理中至关重要的部分,就是要抓住管理活动中的那些对管理目标实现至关重要的部分,也就是它的主要矛盾,具体体现就是:控制要素和控制风险,这是管理者必须关注的地方。
2风险管理与内部控制的关系
风险评估是对可能发生的不利条件或事件进行评价,并做出完整的专业性鉴定的一种系统过程。风险是和环境、目标共存的。相对于外部环境而言,同类企业有同类风险,谁能战胜风险,风险就转化为机遇,同时也会提高其竞争能力,并直接影响其提高其产品质量与服务质量的能力。风险是如此之重要,以至于有人认为风险管理就是内部控制,甚至风险管理包括了内控。实质上,内控涵盖了风险管理,内控处在比风险管理更高的层次上,内控才是管理的更本质性的内容。内控所负责的是风险管理过程中间及其以后的重要活动,内部控制强调评估经营管理活动中突出的风险点,建议经营管理人员针对这些风险点实施必要的控制活动。风险管理为内控中的风险评估提供了前提条件。风险管理的全部活动都在内控的监督评审之下。
内控程序涉及到以下几个方面:工作目标的确立,风险的识别和分析,针对风险研定控制措施,对所采取的控制活动进行监督评审等等。而这些控制工作显然都是各级经营管理部门的基本职责。因而,我们说内控的大部分工作都是经营管理部门的重要职责。首先,合乎标准的内控需要公司营造良好的“控制环境”,使员工树立正确的价值观,遵守正常的职业道德,而公司的管理层又能够以恰当的管理风格和正确的激励机制,引导员工创造一种良好的企业文化,特别是控制文化。同时,设计适应业务发展的组织结构,配备合格的经营管理人员,制定合理和严格的规章制度,确立正确的目标和战略决策系统等等,也都是加强内控的必要环境条件。第二,“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国有企业在转轨过程中带来了巨大的损失。风险的防范有大量工作要做,包括对内部和外部的风险进行判别和预测,分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。第三,当风险已被发现之后,经营管理者还需要调动机构和人员,切实执行所制定的“控制活动”,以便防范和化解风险,合理保证经营管理目标的实现。这方面的工作是十分细致的,包括高层检查,直接管理,信息加工,实物控制,确定指标,职责分离等等。第四,在信息科技突飞猛进地发展的时代,“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。
如果把如此丰富的内控工作简单的理解为管理,一个直接的后果就是削弱了经营管理部门的风险意识和控制觉悟,使他们满足于行政指令的执行方式,而无意面对复杂多变的竞争形势。因此,控制活动是公司日常经营管理工作的不可分割的一部分。
虽然近年来我国内部控制建设方面做了许多扎实有效的工作,并取得较大成绩,但是我国对内部控制理论的研究和实践与国外相比面无论在广度上还是深度上都有较大差距,存在不少问题。
(1)缺乏系统性内部控制理论的指导,内部控制基础十分薄弱。
我国至今尚未形成一个统一的权威的内部控制定义。财政部发布的《内部会计控制规范——基本规范(试行)》,只是定义了什么是内部会计控制,对于内部控制的具体定义、构成等未予以明确说明。由于理论研究的滞后,导致内部控制实践的落后。我国企业的内部控制水平良莠不齐,不少企业对内部控制知之甚少,有的企业甚至根本没有内部控制意识,内部控制基础十分薄弱。 (2)忽视内部控制环境建设,内部控制的执行缺乏有效监督。
控制环境是内部控制能否生效的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视。许多企业无视国家的法律法规,甚至弃基本的内部控制制度于不顾,对内部控制内容进行利益选择,形成内部控制成为“内部人的控制”的现象
(3)内部控制固有的局限性。
内部控制固有的局限性假如没有得到较好的控制,也会直接导致内部控制的失效。COSO报告指出,内部控制决不是包治百病的灵丹妙药,再完善的内部控制也不能解决企业存在的所有问题和困难,具体包括以下四大问题:①不能解决治理阶层人员素质问题;②不能左右政府政策或经营环境;③不能绝对保证企业完成经营目标;④不能绝对保证企业决策中不出现失误。
那么,如何建立和完善企业内部控制机制和控制文化呢?企业可以从以下几个方面入手:
(1)强调高级领导层的控制责任。
首先,董事会充分理解公司的主要风险,正确设定风险的可接受水平;并定期督导高级管理层识别,估量,监督和控制这些风险;确保内控系统的有效性;建立独立的审计委员会帮助董事会行使这方面的职责。其次,高级管理层负责制定识别,估量,监督和控制风险的程序,通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内控政策;并监督评审内控的充分性和有效性。
(2)大力提倡和营造一种“控制文化”。
一方面董事会和高级管理层负责促进在道德和完整性方面的高标准,并在机构中建立一种文化,向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用,并在程序中充分发挥他们的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。
(3)企业要充分关注对全部风险的评估。
特别要明确银行是承担风险的机构,生产企业也需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险,并对企业不能够控制的风险采取正确的防范措施。
(4)控制活动已被当作企业日常工作的不可分割的一部分,而不是对经营管理的额外补充。
有效的内控系统能够迅速采取应变措施,避免不必要的成本;建立适当的控制结构,明确定义各经营级别的控制活动。特别强调适当分离职责;识别和尽力缩小有潜在利益冲突的地方;并遵从谨慎的和独立的监督评审。
(5)高度重视企业的信息与交流。
首先是保证信息的完整性、可靠性和可获性,并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审,防止突发事件;特别注意有效地控制电子信息系统和信息技术的使用。另外,建立有效的交流渠道,确保相关信息的正确传达。
(6)企业应当注意加强监督评审活动,并强调缺陷的纠正。
企业经营管理人员应经常在日常工作中监督评审企业内控的总体效果和主要风险;对内控制度定期进行独立、有效和全面的内部审计,并将结果向高级领导层直接报告;及时报告并果断处理所发现的内控缺陷。
(7)对内控制度的评价要成为企业内审监督部门的日常监管工作和现场检查监督工作。
内审监督部门和外部审计机构应要求企业具有有效的内控制度,充分和有效地化解企业的风险;监督部门应检查高级领导层的内控态度、内部审计部门的有关工作和外部审计的检查结果等等,对不合要求的企业采取措施。
内部控制虽然重要,但它不是万能的,也有其局限性。企业的内控能合理地确保基本经营目标的实现,但不能把一个本质上很坏的经营者变好。内控能确保财务报告的可靠和合法合规,但不能绝对保证做到这一点,而只能合理保证。此外,内控制度的设计还受到人、财、物等资源的约束,因此,企业在建立和完善内部控制机制和控制文化时应多加考虑。
参考文献:
[1]王光甫.企业战略管理.中国财政经济出版社,2000.
[2]迈克尔·波特等着,刘守英主编.战略——45 位战略家谈如何建立核心竞争力.中国发展出版社,2002.
[3]师东菊.企业战略成本管理中存在的问题及策略研究.中国科技信息,2007.
[4]田华秀,张波.浅谈我国企业内部控制现状及治理对策.中国论文下载中心,2010.
相关文章:
“小”出纳看大内控04-26
财政资金安全之内控制度构建04-26
谈电算化会计系统的内部控制04-26
中小型企业内部控制的现状及对策04-26
论企业内部会计控制中的环节控制04-26
浅析企业内部会计制度的建设04-26
内控建立探索04-26
现代企业内部控制制度分析04-26
浅谈如何提高内审工作的有效性04-26
浅析企业会计内部控制04-26