关于企业内部控制体系建设的思考 中国企业内部控制基本规范体系包括

  【摘要】内部控制制度是现代企业管理制度的重要组成部分。本文从加强企业内部控制体系建设的必要性出发,分析了内部控制与全面风险管理的关系,提出了构建体现全面风险管理的内部控制体系的构想。
  【关键词】企业 内部控制 风险管理
  
   内部控制制度是现代企业管理制度的重要组成部分。建立现代企业制度的关键就是要建立健全与企业内部管理和市场经济发展相适应的,又符合国家的各项法律法规和制度要求的内部控制体系。现就企业内部控制体系建设,谈点认识和思考。
  加强企业内部控制体系建设的必要性
  1、加强企业内部控制体系建设是适应新形势发展的外在需要。内部控制最初起源于内部牵制,即为维护企业财产物资的安全性、完整性、保证会计资料及其他有关资料正确性,确保各项财务收支的合理性、合法性而建立起来的业务分管责任制。随着社会经济的发展和现代科学管理方法的产生和运用,内部牵制的范围得到进一步扩大,逐渐发展到经营决策目标的建立和贯彻,经济效益的实现和评价等诸多领域,并由此形成了一套比较完整和科学的内部控制制度。国际权威机构美国的COSO委员会认为:内部控制是一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障。
  随着市场竞争的加剧,对企业内部管理水平要求的不断提高,促使内部控制扩大到企业内部各个领域,建立一个统一的、可操作的内部控制框架应运用生。在COSO委员会的内部控制管理框架中,把内部控制框架划分为五个构成要素,即:控制环境、风险评估、控制活动、信息与沟通和监控。COSO框架是世界上发布最早的权威性内部控制框架,直到现在仍是世界上应用最广泛的,大多数上市公司皆采用了COSO内部控制框架作为评估公司内部控制的标准。众所周知,与先进、发达国家的内部控制制度相比,国内企业内部控制体系建设还处于起步阶段。作为上市的国有大型企业,不断加强内部控制体系建设已是势在必行。
  2、加强企业内部控制体系建设是强化企业管理的内在需要。当前市场竞争越来越激烈,企业风险无处不在,我们更要看到企业管理中还存在的诸多问题:一是会计制度执行不到位、会计基础工作薄弱、内部会计监督不到位,导致国有企业资产流失。二是企业法人治理结构还不尽完善,往往缺乏有效的控制措施,许多管理者的思想和行为方式还没有从根本上转变成适应市场需要的管理观念,大量无为的“内耗”无形中提高了企业的运营成本。三是企业法律意识薄弱,有法不依,投机取巧;执法不严,姑息迁就;违法不究,存在卖人情给面子情结。四是有的企业管理者价值观扭曲、缺乏现代企业管理能力,企业人事政策缺乏透明度、缺乏激励机制,不能够选拨出优秀的管理人才和调动人的积极性。随着环境的变化,不断加强企业内部控制工作,已是解决企业内部管理存在问题的重要措施。
  充分认识内部控制与全面风险管理的关系
  COSO委员会在全面风险管理框架中认为:全面风险管理是一个过程,受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,合理确保企业取得既定的目标。该框架有三个维度:第一维是企业的四个目标,即战略目标、经营目标、报告目标和合规目标;第二维是全面风险管理的八个要素,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控;第三维是企业的各个层级,包括整个企业、各职能部门及下属各单位。他们之间的关系是:全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。从内部控制和全面风险管理的实质内涵可见:
  1、内部控制与全面风险管理是密切关联的。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的报告类目标、经营类目标和遵循类目标三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。随着内部控制或风险管理的不断完善和更加全面,它们之间必然相互交叉、融合,直至统一。
  2、内部控制与全面风险管理的差异性。一是两者的范畴不一致。内部控制主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制定目标时就充分考虑了风险的存在。二是两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的,内部控制所负责的是风险管理过程中间及其以后的重要活动。三是两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”,将产生正面影响的事件视为机会,将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。四是两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,这些内容都是内部控制框架中没有的。
  努力构建体现全面风险管理的内部控制体系
  随着风险管理导向内部控制时代的来临,现代内部控制的工作重点更加关注有效的风险管理机制和健全的公司治理结构。针对当前内部控制存在的问题和发展现状,企业必须要努力构建体现全面风险管理的内部控制新机制,要不断赋予内部控制新的内容,以促进企业更好更快的科学发展。
  1、构建全新的内部控制体系原则。一是全面风险管理原则。内部控制组织结构的设置应使全面风险管理的目标和要求渗透到企业的各项业务过程和各个操作环节,要体现全员、全过程、全方位原则。二是独立性原则。风险管理部门、内部审计部门、监察部门要保持相互独立,直接向最高决策层负责,保证内部控制机构的独立性。三是垂直管理原则。内部控制的组织机构设置应满足垂直管理的要求,下级风险控制综合管理部门由上级风险控制部门直接管理,以利于强化内部控制机构的权威性。四是责权利相结合原则。要保证部门之间权责划分明确、清晰,有可操作性,保证部门之间的信息沟通方便、快捷,准确无误,以保证内部控制系统的高效运作。
  2、进一步完善企业治理结构。现代企业制度需要完善的企业法人治理结构,而完善的企业法人治理结构是实行内部控制的制度环境。我国《公司法》规定董事会在公司管理中居于核心地位,董事会应对公司内部控制的建立、完善和有效运行负责。在现有的产权制度下,可设立风险管理委员会,作为内部控制管理的主要决策机构,设立风险管理部为主要执行机构。同时可设立内部审计委员会,负责监察、评价内部控制的健全性、合理性和执行情况,督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行内部控制程序,内部审计委员会负责监督、评价内部控制状况,并将修正内部控制意见反馈前者,以完善内部控制体系建设。两个委员会相互配合,共同实现内部控制的各项目标。
  3、建立符合内控要求的管理新机制。许多企业的规章制度大都比较健全,但不少内部控制方面的内容已经不适用于企业的当前环境,并且许多设计良好的内部控制制度也没有有效运行。所以,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善各项业务管理制度,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范机制,构筑起面向全员、覆盖所有业务和涉及业务全过程的内控管理体系,实现内部控制和风险管理的同步发展,构筑起全方位、立体交叉的监督管理网络。基层要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造,加大自律监管的力度。内审系统要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新机制,将内部控制管理由上级要求提升到企业的整体行为,推进内控管理水平不断上新台阶。
  4、树立“以人为本”的管理理念。现代企业间的竞争是人才的竞争。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻和执行内部控制有很大的帮助。因此企业管理者首先要确立以人为本的管理思想,以人为本的观念反映到企业内部控制中就是以人的发展为出发点来展开企业内部控制活动的各项内容,创造良好的环境氛围激发员工的积极性、主动性和创造性。其次要在企业中大胆引入竞争和激励机制,通过绩效评价体系、学历培训教育以及完善的社会保障体系等科学的人力资源管理手段来吸引人才、培育人才、留住人才。
  5、打造富有特色的优秀企业文化。企业内部控制制度的建设和执行与企业文化的建设是密切相关的。企业内部控制的逻辑起点是自我管理,而自我管理是企业文化的一个基本内容。优秀的企业文化能促进内部控制的建设,而完善的内部控制更能进一步规范企业文化。企业内部控制制度的贯彻执行有赖于企业文化的支持和维护,同时科学、完善的内部控制制度,能够展示企业的精神风貌,融汇企业经营理念,打造和谐企业形象,有利于促进优秀企业文化的形成,推动企业文化的进一步发展。所以,高度重视内部控制的企业文化,不仅有利于科学合理地制定和执行内部控制制度,还可以弥补内部控制制度的不足,使企业的内部控制始终处于有效状态。■
  
  (作者单位:中铁四局集团有限公司办公室)
  责编:叶水茂