关于企业内控体系建设的几点思考 关于企业内控体系建设的几点思考作者:王永亮来源:《经济研究导刊》2021年第28期摘要:目前,随着监管部门和企业自身发展的要求,内部控制体系建设工作越来越受到重下面是小编为大家整理的关于企业内控体系建设的几点思考 ,供大家参考。
关于企业内控体系建设的几点思考
作者:王永亮
来源:《经济研究导刊》2021年第28期
摘
要:目前,随着监管部门和企业自身发展的要求,内部控制体系建设工作越来越受到重视,这也是提升企业管理水平的重要措施和必然趋势。内部控制体系建设是一项系统工程,是一个不断优化固化的过程。对于企业而言,建设一套完善和规范的内部控制体系至关重要。从某企业内部控制体系建设的历程出发,分析我国企业内部控制体系建设存在的问题,并提出相应的思路和方案。
关键词:内部控制体系;三本手册;内部控制制度
中图分类号:F272文献标志码:A文章编号:1673-291X(2021)28-0016-03一、企业内部控制体系建设的必要性
内控源于风险,而风险之于企业,是与生俱来的。内部控制体系建设作为企业风险防范的最为重要的一道防线,在现代公司治理中扮演着重要的角色。随着企业规模的不断扩大,规避市场环境、资本管控、成本价格等各方面的风险,提高风险应对能力,已成为企业快速发展的迫切需求。为了企业发展战略的顺利实施以及战略目标完成的高效安全,争取在复杂多变的市场竞争中立于不败之地,推进企业内部控制体系建设就成为了推动企业发展的重要举措。这不仅是响应财政部、国资委等监管机构的要求,同时也是满足资本市场的要求,更是满足企业自身发展的要求。
企业的战略决策就是要面临各种决策风险,企业的经营管理就是对各种风险进行规避,随着企业规模不断扩大,企业需要应对的风险也将增加,要在各种风险环境中立于不败之地,就必须有敬畏之心,积极推进企业内部控制体系的建设。企业内部控制体系建设是一项系统工程,通过内部控制体系建设,可以给企业经营发展以及综合管理带来一定提升,并可按照风险管理基本流程,通过对各种经营风险进行识别、评估、应对、运行监控、报告、持续改进等,形成一套闭环的风险管理体系,从而提高内控执行力,提升公司各项经营业务的精细化管理水平。内部控制体系化建设能够加快信息反馈速度,提升内控工作效率、质量与风险管理能力,加强信息披露,提升企业形象与投资者信心。
二、A企业内部控制体系建设工作回顾
A企业内部控制体系建设首先根据其上级集团公司统一安排,于2011年安排监察审计部负责配合某会计师事务所编制,形成内部控制体系(内部控制制度手册、内部控制管理手册、内部控制评价手册)“三本手册”,2012年初通过上级集团公司验收后全面实施。
这三本手册在集团公司下属各单位中大同小异,几乎是完全一致的“多胞胎”,并且内容翔实,涵盖企业业务的所有细节,完全按照国家财政部、证监会、审计署、银监会、保监会等五部委联合下发的《企业内部控制基本规范》《企业内部控制配套指引》编制,正如手册前言所称“本手册满足集团企业统一要求和外部监管要求,确保企业各项工作规范、有序、高效运行”,完全体现了编制时企业经营业务管控的现状与特点。三本手册在编制时,对全面风险管理、内部控制管理、内部控制评价做了职责分工,如在《内部控制管理手册》中规定:“管理规划部具体负责企业风险评估、风险管理工作;负责内部控制体系及制度体系有效运行和完善,对职能部门拟定发布内部控制制度进行审核。纪委(监察审计部)具体负责内部控制制度有效性的监督与评价。各职能部门负责本部门级职责系统内部控制制度的制定与实施,对本部门及本系统内部控制制度的健全性、合理性、有效性负责。”
手册发布以后,作为内部控制管理核心部门的经营规划部首先提出异议,认为纪委(监察审计部)与外部事务所搞出的三本手册仅仅将相关内容拼凑起来,不符合企业管理实际,难以操作实施,归纳起来的主要问题有三个。
其一,内部控制制度如何界定?与各项管理制度有哪些异同?
其二,风险评估、风险管理工作不能凭空出現,如何与各项业务融合?缺乏相应的人才配备。
其三,三本手册只是对管理和控制流程现状的表述,内部控制管理的机制和规则到底是什么?如何去实施动态管理?
作为体系建设的内部配合单位,监察审计部对此无法给出有效答复。
三本手册的运行结果是,监察审计部每年组织各相关单位根据《内部控制评价手册》要求,对重点业务流程进行内控审核评价,并在此基础上编制企业年度内部控制自我评价手册并上报上级集团公司。手册文件所规定的“风险评估、风险管理”“内部控制体系及制度体系有效运行和完善”“对职能部门拟定发布内部控制制度进行审核”等都成为一种纸面规定,没有任何实际进展。
三、企业内部控制体系建设工作存在的主要问题
如何解决内部控制管理“两张皮”现象已成为企业必须面对和解决的首要问题,通过对公开网站上百家上市企业内部控制和风险管理制度的收集,笔者对内部控制体系建设和风险管理等业务进行了相对广泛的论证和研讨。笔者认为,目前企业内部控制体系建设工作存在以下主要问题。
第一,对内部控制概念的认识存在偏差。内部控制不应该是一个管理制度,而应是一个在对各项经营业务流程实施风险评估的基础上针对关键风险点采取一定防范措施的运行机制。内部控制措施应列入到各项管理制度之中,才能发挥其控制机制的作用,不存在所谓的“内部控制制度”。
第二,手册的定位不准。《内部控制管理手册》《内部控制评价手册》应定位为体系大纲文件,不是一个有效的内部控制和风险管理制度文件,内部控制体系建设需要相应的不同层次的管理制度文件支撑。
第三,全面风险管理和内部控制体系建设缺乏思路清晰可操作性的整体规划。
四、企业内部控制体系建设系统规划思路和架构方案
内部控制涉及企业的各个部门,对企业的健康发展起着极为重要的作用。企业实行内部控制,组织实施的重点环节是组织结构及职责分工、授权批准、风险评估等,同时通过内外部审计监督手段,使内部控制更有效地发挥作用。根据上级集团公司有关内部控制工作规定等要求,笔者组织企业内部控制和审计人员经多层次多方面研究沟通,确立了企业内部控制体系建设系统规划思路和架构方案。
企业内部控制体系建设系统规划可以分三个层级进行构建。
第一层次是企业层面的宣贯文件,包括全面风险管理手册、内部控制管理手册、内部控制评价手册等,为全面风险管理和内部控制工作提供目的和原则要求,是统筹性纲领性文件。
第二层次是企业层面的管理文件,包括全面风险管理办法、内部控制工作实施办法、内部控制评价实施办法等制度文件,为全面风险管理和内部控制工作提供职责和流程等规范。
第三层次是业务管理层面的管理指引以及业务层面的评价操作指引等文件,为具体业务工作提供规范性的操作指引。
笔者根据以上规划思路在所在企业已经制定下发了《全面风险管理办法》《内部控制工作实施办法》《内部控制评价实施办法》等三个基本管理制度文件,同时对各职能管理部门、业务部门的相关职责进行明确,确立风险管理和内部控制工作的管理和操作流程,使全面风险管理和内部控制工作实施起来有章可循、有据可依。
企业层面的宣贯文件依然是三本手册,但用《全面风险管理手册》替换《内部控制制度手册》,并对三本手册实施定期修订制度,每年一季度组织进行全面修订更新。
第三层次的指引文件根據业务管控现状统一计划并分阶段逐步制定完善。一是确定内控管理框架。以风险为指引,梳理完善业务流程,从而确定内部控制管理框架,确保内部控制建设
的体系完整。二是开展风险识别与评估。结合企业控制目标,综合考虑内部与外部环境,全面系统收集相关信息,进行风险识别与评估,评估企业可能面临的风险。三是制定内部控制制度。具体说明各流程的控制目标,形成覆盖全业务流程、满足内外部管理要求的内部控制制度,将其作为企业内部控制必须遵守的基本准则,从而指导公司内部控制有效运行。四是对内控进行监督检查。监督检查工作分为日常监督检查和专项监督检查,日常监督检查是指进行常规、持续地监督检查。专项监督检查是对某一或者某些方面进行有针对性的监督检查。五是评价内控执行。根据内部控制评价结果及缺陷,编制内部控制评价报告。
五、完善内部控制体系必须考虑的几个因素
第一,增强内部控制和内部审计人员的职业荣誉感。内部控制和审计岗位人员虽然介入了企业许多重大政策的调整和完善,并从专业角度提供了强有力的支持,但内部控制特别是审计工作的双刃性特点往往使他们在作出贡献的同时为自身的职业发展留下了阴影,可以说难言荣誉感。从工作方式方法角度来看,其他职能和业务部门的工作更“接地气”,能够直接参与具体的业务处理,是行为的主动者,完成得好就能够取得具体成果,而内部控制和审计的角色却是以第三方的角色去检查、去“挑刺”、去评判,运用专业知识提出意见,这些不但很难取得现场管理者的认同,而且即使意见被采纳了,最后的成绩都是别人完成的。随着时代的发展,内部控制和内部审计工作逐渐发挥出其价值创造作用。因此,探究如何构建内部控制和内部审计人员的职业生涯体系、提升其职业荣誉感,是企业迫切需要做的事情。
第二,关于内部控制体系建设的有效性。目前,各企业内部控制管理均以“三本手册”为基础来开展各种内控自评工作,并配合外部事务所进行内部控制审计。每个季度根据上级集团公司的要求上报内部审计、内部控制和风险管理报表。仅从报表来看,成果很让人激动,企业的内部控制环境建设良好、各项控制流程没有重大纰漏,有问题也只是一点疏忽。但笔者从自身多年从业经验角度来说,认为其中内部控制自我评价的有效性很难让人满意和信服,内部审计自身的定位和管理模式使得其很难对外出具真实性程度较高的内部控制自我评价报告。
构建职责明确的责任分工体系,构建严密的风险管控体系。从“谁授权,对谁负责”的原则来讲,企业内部机构无法对企业高层的行为实施有效评价,自我监督并不现实。并且从内部控制发展历程来看,内部控制主要因众多企业舞弊和财务造假等丑闻而得到重视与推广,在企业面对的风险中最大的风险就是高层风险、是企业文化风险,也只有企业高管才能轻易视各种规章和控制机制若无物,使各种管控形同虚设,使企业陷入生死存亡的险地。笔者认为,这也是国内与国外将内部控制环境作为内部控制体系架构理论的首要前提和基础的原因所在,毕竟环境和文化的缺失将使得一切控制措施都成为虚设。但对于内部控制环境和企业文化的监控和评价,也就是对企业高管层的监督和评价,不是企业自身的审计和风险管理部门所能做到的。
为此,笔者建议可从集团企业层面建立内部控制评价体系平台,内部控制评价体系平台可从两个层面开展。
第一层面,从集团企业层面对下属各子企业的内控控制环境和企业文化建设等内部控制体系建设进行评价,可借鉴ISO9000系列认证、IRIS体系认证的方式方法,建立集团企业的内部控制体系评价标准,每年按评价标准组织专家进行现场审核打分,评价结果在集团企业内部公示并将其纳入绩效考核指标。实施内部控制考核,对内部控制体系建设完成情况、内部控制监督、优化与改进情况等进行评价,并将评价结果与相关责任人的绩效考核相结合,逐级落实组织领导责任。发现内部控制存在缺陷的,根据其性质或影响程度中对相关责任人给予相应处理。对于造成资产损失的,追究相关责任人的责任,确保各项内控制度有效落地执行。
第二层面,由子企业审计和风险管理部门负责对企业内部具体的专项业务控制活动进行测评和评价。构建公开透明的内部控制监督体系;加强内部审计工作,设置审计合规部,加大源头把关、过程控制的力度;加强审计信息化建设,推进信息化审计功能进一步升级,创新完善内部控制监督机制,健全完善审计制度,促进内部审计工作的制度化、程序化、规范化,促使内部审计工作成为企业内部控制管理的必不可少的重要组成部分。
通过上述两个层面的配合实施,不但可以提高内部控制体系的有效性,同时能够通过内部专家体系的建立促进内部审计、内部控制和风险管控人员职业生涯的完善。
参考文献:
[1]张宜霞.内部控制——基于企业本质的研究[M].北京:中国财政经济出版社,2004.[2]中国内部控制研究中心
刘永泽,池国华.企业内部控制制度设计操作指南[M].大连:大连出版社,2011.[3]胡为民.内部控制企业风险管理——实务操作指南[M].北京:电子工业出版社,2013.[4]许国才.企业内部控制流程手册[M].北京:人民邮电出版社,2012.[责任编辑
毛
羽]
推荐访问:内控体系建设实践与探讨 关于企业内控体系建设的几点思考 体系建设 内控 几点思考