我国企业内部控制管理现状及内控设计缺陷 管理论文

于海珍

摘要:随着社会经济的发展、经营环境的变化而不断丰富和发展的内部控制,在不同社会经济发展时期、不同经济活动内容和不同经济管理要求中内部控制的内涵不同。本文主要从我国企业内部控制管理现状及内控设计缺陷等方面入手,对内控设计提出了几点建议。

关键词:企业内部控制 内控设计 内控设计缺陷

中图分类号:F275 文献标识码:A

内部控制起源于国外发达的资本市场和注册会计师行业,它的发展从20世纪40年代至2004年9月,历经了五个阶段。为了提升企业的风险控制能力,降低公司经营风险,保障股东权益,2008年财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,要求从2009年7月起,中华人民共和国境内设立的大中型企业建立内部控制,小企业和其他单位可以参照本规范建立与实施内部控制。无论国内还是国外,无论何种规模的企业,如何把握正确的内控设计原则,建立一个具有针对性、适用性的内部控制体系都是十分迫切的。

1 内部控制的涵义

内部控制起源于国外发达的资本市场和注册会计师行业。内部控制的涵义,是随着社会经济的发展、经营环境的变化而得到丰富和发展,不同的社会经济发展时期、不同的经济活动内容和不同的经济管理要求赋予了内部控制不同的内涵。

内部控制理论发展过程分为五个阶段:内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。内部牵制阶段:主要形成于20世纪40年代以前,主要以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。这一阶段强调对某一业务环节或某一部门业务的控制。内部控制制度阶段:存在于20世纪40年代至70年代初,主要特点为在内部牵制的基础上,进一步强调公司在某一个经济业务程序或者某一个经济业务方面的控制。内部控制结构阶段:形成于1988年4月,指的是为合理保证企业特定目标的实现而建立的各种政策和程序。包括控制环境、会计系统和控制程序三个要素。内部控制整体框架:形成于1994年,从此阶段开始,内部控制由企业董事会、经理阶层和其他员工实施,为企业经营的效率效果性、财务报告的可靠性、相关法律法规的遵循性等目标实现而提供合理保证的过程。包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。企业风险管理框架:形成于2004年9月,将企业管理的重心由内部控制转向风险管理,将《内部控制整体框架》中的三大目标增加为四大目标,框架要素由五个要素扩充为基于风险管理的八个要素,突出以风险为导向的内部控制新理念。

内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。是现代企业管理的重要手段,有效的内部控制不仅能使企业的资源合理配置, 提高经营效率和效果,更能防范和发现企业内部和外部的欺詐行为。

2 内部控制的意义

案例一:以巴林银行的破产案为例,巴林银行在20世纪90年代前是英国最大的银行之一,有超过200年的历史。由于缺乏必要的职责划分以及必要的业务监控机制,巴林银行新加坡分行总经理里森在1992-1994年期间,从事日经指数的期货对冲业务和债券买卖业务,累计亏损超过10亿美元,导致巴林银行在1995年2月破产。巴林银行的破产,原因是多方面的,但内部控制存在缺失、无效或执行不力是不容忽视的关键因素,说明了企业建立内部控制的必要性。

案例二:国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。

目前,我国许多企业尚处于内部控制管理的初级阶段,在企业内部因为缺乏科学严格的内部控制而导致会计信息失真、生产管理混乱、资产管理失控等情况也日益凸现。尽管一些企业已经注意到了加强内控管理的重要性,但并未采用科学的管理控制方法和手段,缺乏内控管理的整体设计,仍远远不能满足企业的需要。随着我国市场经济的迅速发展,中小型企业已成为支撑我国经济快速增长、扩大劳动就业的重要力量,但目前我国中小企业的发展状况却不容乐观。据有关统计,我国中小企业平均寿命不到3年,每分钟就有约9家中小企业面临着倒闭或倒闭的威胁。中小企业虽然组织结构相对简单,人员部门相对较少,但如果缺乏有效的内控管理,就不一定能确保运作的效率,也不一定能确保业务的安全。一旦积累的潜在问题爆发,对原本就力量薄弱的中小企业来说可能就是一场灭顶之灾。

综上,无论国内还是国外,无论何种规模的企业,把握正确的内控设计原则,建立一个具有针对性、适用性的内部控制体系都是十分迫切的。

3 内控设计的原则

在规范中要求企业建立与实施内部控制,应当遵循下列原则:全面性原则,内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。重要性原则,内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。制衡性原则,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。适应性原则,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。成本效益原则,内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。

4 我国企业内部控制管理现状

在实务操作中,由于我国企业内部控制建设起步较晚,虽取得一定的成绩,但与发达国家相比仍有明显的差距。很多企业认为内部控制就是内部会计控制、就是内部监督,把内部控制看作是企业的管理手册、规章制度等,也有的企业把内部成本控制和内部资金安全控制等视为内部控制,对企业内部控制的理解不恰当、不全面,从而导致企业内部控制管理工作的不足。

4.1公司结构不合理

公司内部管理结构不合理,管理职责不明确,风险意识薄弱或认识不清。比如我国许多公司组织结构虽然设立了董事会、监事会,并聘任总经理班子,但在实际工作中,董事会的监控作用弱化,缺少必要的常设机构;企业上下风险意识薄弱,风险识别与评估应对机制不健全。

4.2内部控制体系不健全

部分企业没有形成一个完整的内部控制体系,内部控制制度不完善,自我防范与约束机制不健全,在执行过程中发现管理漏洞或发生损失才采取补救措施,偏重于事后发现性控制而忽视事前的预防性控制,尤其是对经营风险和财务风险的事前控制的缺乏有效的设计;企业内部控制制度不健全,部门之间缺乏有效的协调和牵制,易造成管理脱节。尤其在财务部门,企业未完全按会计准则、制度等规定组织会计核算和披露信息,导致财务报告在完整性、准确性等方面存在问题。

4.3缺乏信息沟通

信息是指来源于公司内、外部,与公司经营相关的财务及非财务信息。包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。沟通是指信息在公司内部各层次、各部门以及在公司与客户、供应商、监管者和股东等外部环境之间的传递。

很多企业各个部门之间存在信息不对称现象,不利于各职能部门之间的协同作业效率的发挥,例如:运营部门与财务部门信息传递不及时,或在企业决策过程中财务人员被排除在公司经营决策之外,均会导致企业内部控制实施的缺陷,令企业存在潜在的财务风险或经营风险。

4.4缺乏监督和考核

由于缺乏有效的监督和考核机制,使得内部控制在执行中缺乏有效性,内部控制体系无法有效落实。我国中小企业大多未设置独立的审计部门或审计人员,也没有相关的规章制度,缺乏必要的监督环节。很多上市公司、国有企业虽然制定了内部控制制度,但并未真正执行。其主要原因就是考核奖惩机制不健全,控制的执行缺乏相应的监督,执行过程流于形式,执行效果大打折扣,在此种的情况下,再健全的制度也难以发挥应有的作用。

5 设计缺陷及相关案例

设计缺陷是指缺少实现控制目标所必需的控制,或者现有控制没有得到合理的设计,即使按照设计的控制运行,也无法实现控制目标,则为设计缺陷。主要体现在:企业没有完整准确地描述关键控制,同时也没有执行;企业没有识别及预防重要风险;企业的关键控制不足于防范主要的财务错报风险;不相容岗位未进行分离。

案例1:由出纳人员执行银行对账工作,虽然该项关键控制在实际中得到执行,但由于是不相容岗位,不相容岗位未进行分离,属于设计缺陷。

案例2:某企业确认了付款业务的财务风险及关键控制,但内部控制设计中未对付款业务的审批权限进行规定,付款业务无论金额大小,均由部门负责人审核、经公司副总审批后支付,企业所确认的关键控制不足以防范主要的财务风险,属于设计缺陷。

对应上述设计缺陷,以下是两个内部控制设计较为完善的例子。

案例1:某企业设置了财务人员职责互斥矩阵,实行不相容岗位职责分离,对不相容岗位进行了有效的设计,从而避免了有关财务风险的发生。

案例2:某企业制度及内部控制手册中规定“大额资金使用先由业务部门提出书面申请,并附资金使用的用途、理由、金额和支付方式等,报分管领导审查签批后,由财务处处长归口核准,其中:10万元(含10万元)以下的资金额度,报分管财务的副总审批;10-20万元(含20万元)的资金额度,报总经理审批;20万元以上的资金额度,需提交公司预算委员会批准,并形成会议纪要”,付款业务按恰当的权限进行审批,内部控制设计有效,公司按期对执行的有效性进行测试,从而避免了财务风险的发生。

6 对企业内部控制设计的建议

6.1完善公司治理结构,强化内部控制意识

理顺现有的管理体制,完善公司治理结构,明确规定董事会、审计委员会、高管、业务单位领导、业务具体负责人、内部审计等职责,各负其责、相互制衡。企业在管理中强化内部控制意识、建立精简高效的组织机构、健全有效的内部控制制度,保证公司的制度、政策在全公司得到贯彻执行。提高风险意识,建立、健全风险识别与评估应对机制。明确风险评估的程序和方法,针对业务活动层面的每一个重要目标识别和分析来自公司内部和外部的、存在于业务活动层面、公司层面和舞弊等方面的风险,对识别的风险进行评估,并合理确定风险应对策略。

6.2建立内部控制文档记录,细化控制措施

控制活动通常包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和信息系统控制等。企业应建立内部控制矩阵模型,将企业内部控制环境、风险因素、控制措施、职责描述以及文件资料等相关信息以业务流程的方式整合到矩阵模型中,通过业务流程图、风险库、权限指引表等管理工具对企业内部控制进行管理,并设置内部控制有效性测试的程序并定期测试评价,以达到对企业经营风险有效管控的目标。

不相容职务通常包括:授权、批准、业务经办、会计记录、财产保管、稽核检查等,企业在确定职责分工过程中,应当充分考虑不相容职务相互分离的制衡要求。企业应全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,以形成各司其职、各负其责、相互制约的工作机制。

6.3加强企业内部控制的信息沟通管理

公司应建立获取外部相关信息的机制,以随时掌握有关市场状况、竞争对手的动态、立法或监管的要求以及经营环境的变化等。及时向相关人员汇报相关信息,以使各级管理人员能够及时得到并分析信息,以便判断需要采取什么措施。公司还应该适当地组织培训和加强沟通,建立有效的沟通机制,从沟通环境、沟通渠道、沟通方式及沟通反馈等多方面进行建设。

6.4强化公司内部审计职能

内部审计是内部控制制度的重要组成部分,是对内部控制的再控制。企业应建立适当的结构和协调机制,保證内部审计工作所必需的审计资源,各级审计机构的人员数量、职级、专业结构,根据需要和相关规范进行配备,内审人员应具备必要技能、相关经验及专业资格;制订考核奖惩制度,努力提高审计人员的主观能动性。保持内审部门及人员的独立性,审计机构不承担本单位的经营责任,审计人员不执行生产经营管理业务工作的具体操作。采取恰当的审计方法并正式记录审计方法和过程,在各个层面建立质量控制程序,以确保高质量的审计工作。建立健全内控体系的评价与评估机制,按期进行内部控制测试,以发现内控体系建设的设计缺陷和运行缺陷,有针对性地进行整改,以达到不断完善内部控制体系的目的。

只有加强内部控制的监督,实施定期评估,才能确保内部控制执行有效性。

参考文献:

[1] 何慧.内部控制理论的发展历程研究[J].经济研究导刊,2011(15):83- 84.

[2] 阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(5):2- 9.

[3] 严晖.公司治理、公司管理与内部控制——对COSO企业风险管理框架(ER M)的分析[J].财会通讯(学术版),2005(4):10- 14.

分享: