[提要] 构建有效的企业内部控制体系可以合理地保障其遵守适用的法律法规,帮助其提高自身的运营效率与效益,达成经营战略目标及增强财务报告的可靠性,但在实际实施过程中仍存在诸多问题,需要我们更深入的思考与探讨。
关键词:企业;内部控制体系;构建
中图分类号:F27 文献标识码:A
收录日期:2017年1月13日
在我国,企业内部控制体系的建设起步较晚,自2008年制定了《企业内部控制基本规范》以来,我国企业在内部控制体系的规范、实施与披露方面均取得了长足的发展,越来越多的企业也开始加大了自身在建设内部控制体系方面的投入,但从整体来看,现存的企业内部控制体系在建设方面仍存在着诸多的问题,需要我们深入的思考与探讨。
一、企业内部控制发展历程
伴随着SOX法案的发布,学者们对内部控制的研究也趋之若鹜,大部分学者都是借助于当时的法律或议案中有关内部控制方面的信息,在企业内部控制有效性上进行了诸多探究。COSO委员会于1992年首次提出了内部控制的五要素,即控制环境、风险评估、控制活动、信息与沟通和监控五要素,后于2013年发布的最新内部控制框架中又提出了17条核心的内控原则,五要素与核心原则的提出,大幅度地增强了企业在内部控制建设方面的可操作性。
我国在内部控制的体系建设方面起步较晚,自财政部、证监会、银监会、保监会、审计署联合制定和签发《企业内部控制基本规范》与《企业内部控制配套指引》起,才正式标志着我国企业内部控制规范的基本建成。2011年,企业内部控制规范分别在68家境内外上市公司和216家内控规范试点公司强制实施,发展到2012年,强制实施的范围又进一步扩大到主板国有控股上市公司。自此,内部控制规范在我国上市公司正式进入了实施阶段。
二、我国企业内部控制实施现状
自《企业内部控制基本规范》与《企业内部控制配套指引》发布实施以来,由于对上市公司的刚性要求,影响到越来越多的企业关注自身的内部控制体系建设,内部控制体系在规范、实施与披露方面得到了长足的发展。有效的内部控制体系可以合理地保障企业遵守适应的法律法规,帮助其提高自身的运营效率与效益、达成经营战略目标及增强财务报告的可靠性,但因企业存在着内控环境复杂,业务活动多样,各部门间、人员间的信息沟通环节较多等问题,造成内部控制工作在具体实践过程中障碍重重,无法切实体现内部控制规范在企业经营管理中的价值。目前,我国企业在内部控制体系建设方面仍存在不少的问题有待解决。
(一)内部控制环境薄弱。控制环境是内部控制的基础要素,企业应从治理、战略、组织设计等方面入手,构筑一个适合内部控制生存和发展的环境,为企业搭建一个良好的运行平台。目前,我国还有大部分的企业并没有过多的关注控制环境的建设,内部控制基础环境薄弱。首先,企业对内部控制的认识不清晰。有的企业将内部控制视为一系列的规章制度、操作手册等,有的企业将内控视为成本控制、资产安全控制等;其次,企业没有完善的公司治理机制。内部控制应该由企业的董事会、监事会、经理层和全体员工共同实施完成,董事会、监事会、经理层分别负责内部控制体系的建设、监督和日常运行等工作;除此之外,企业还应设立审计委员会或专门的内部审计部门来实施内部控制工作,但大部分企业现阶段并没有完善的治理结构;最后,企业内部管理权责不明确。目前企业所应用的各项管理制度还没有真正融合成一套系统化的体系,由此引发了部门间管理界面不清晰、管理责任不明确等问题。企业应从内部控制角度出发结合自身的业务特点,划分清晰的管理界面,明确其职责权限,落实到各级责任主体。这一系列的问题导致了企业现有的控制环境薄弱,企业应当加大对内部控制环境建设的力度,建立完善的治理结构、明确权责、加强企业文化建设,以此来提升企业的内部控制环境。
(二)风险评估工作仍需加强。企业在生存和发展的过程中会面临着各种各样的风险,包括法律法规、政治、自然环境、信用、市场等外部风险,还包括运营、决策管理、操作等内部风险,企业可以通过建立内部控制体系来防范风险,但前提是对风险的有效识别与评估。
在内部控制评价范围上国家财政部有明确的要求,但在2012年对上市公司披露的风险统计数据中显示,识别出的风险数量远远小于十项,并且有15%的风险没有制定相应的应对措施,由此可以看出,大部分的上市公司尚未有效地执行国家在风险披露方面的相关规定。目前,我国企业对风险评估的定位认识不清,风险评估工作仍处于起步阶段。
企业最大的风险不是无法应对风险,而是没有对风险做出有效的识别。企业可以合理地调配资源来妥善处理与应对已知的风险,而对于尚未识别出的风险,企业往往很难在较短时间内调集资源来应对风险的突降,防不胜防。通常情况下,企业无法准确的识别自身所处环境的外部风险与内部风险,究其原因为:外部环境复杂、多变,企业没有掌握有效的手段和工具对外部环境做出准确的分析与判断;而又因企业山中望山,无法纵观全貌,使得对自身内部环境评价不够客观,没能有效的识别出企业自身的内部风险。因此,企业如何有效识别与评估风险是内部控制体系建设工作的重中之重。
三、企业内部控制体系的构建
(一)以《企业内部控制应用指引》为框架。《企业内部控制应用指引》中提及的18项应用指引完整的诠释了内部控制在企业中的作业内容。企业应在此框架基础上,结合自身所处的行业、发展阶段、企业类型以及自身业务特点,识别重点需要加强与控制的领域,制定详细的内控手册,因地制宜地构建出一套具有自身特色的内部控制体系。
(二)查找相关风险并采取应对措施
第一,要识别与评估企业面临的重大风险。企业风险识别与评估是企业内部控制体系构建的重要环节,也是企业内部控制现存的薄弱环节。如上文所述,企业在生存发展过程中会面临各种各样的风险,但是不同的企业由于受到其所处行业、规模、组织形态的影响,所面临的风险也是各不相同的,作为集团企业更为关心的是战略、管控、资金等方面的风险,而单体企业则对市场、操作等风险更为关心。在风险识别阶段,企业应当围绕其设定的内部控制目标来识别影响目标达成的各种不确定因素,并判断其风险等级,后续还应建立和完善企业自身的风险管理库,以便于风险改进的过程跟踪。此外,识别经验的积累对识别过程中的风险判断也是极为重要的。不同的风险在内控上的缺陷描述不同,与之相匹配的应对措施也就存在着极大的差异,因此企业要结合自身的客观条件,充分识别与评估当下所面临的风险是尤为关键的。
第二,针对不同缺陷制定相应的控制措施。立足成本效益原则,企业应当针对识别出的重要风险制定强有力的内部控制措施,而对于次要风险则应尽量简化其控制活动与流程设计,始终保持企业以经营效率与效果为前提的内部控制理念。企业面对已识别出的内部控制缺陷,可以先从制度和执行两个方面入手,如果没有相关的制度,可认定为内控设计缺陷;如果存在相关制度,但仍存在风险,则可认定为执行缺陷。企业应根据识别的不同缺陷制定有针对性的控制措施。对于内控设计缺陷,企业应组织相关部门进行研讨,设计合理的内部控制制度;对于内控执行缺陷,企业应查明是在哪个环节出现问题,并反思问题出现的原因,结合企业自身采取相应的应对措施。
(三)内部控制评价与提升。开展内部控制自我评价工作的具体内容应围绕《基本规范》与《应用指引》要求设计,企业应制定内部控制评价程序,对内部控制的有效性进行全面评价,为企业经营的决策层提供一份真实且具有指导性的内控评价报告。在评价期限的设定上,企业可以选择定期评价或新业务评价等,通过不断的内控风险评价,可以让企业找到经营存在的风险,提升企业自身对风险评估的能力,并设计有效的抵御风险模型,通过不断的改进循环,企业才能一直保持稳定上升的发展态势。
(作者单位:长春一汽富维东阳汽车塑料零部件有限公司)
主要参考文献:
[1]周守华,胡为民,林斌,刘春丽.2012年中国上市公司内部控制研究[J].会计研究,2013.7.
[2]钟佳颖.企业内部控制、社会责任与财务绩效[D].浙江财经大学,2016.
[3]樊行健,肖光红.关于企业内部控制本质与概念的理论反思[J].会计研究,2014.2.
|
