我国的企业内部控制规范体系已全部建成,实务中存在过于依赖和机械模仿应用指引的倾向,并未能真正理解和吃透基本规范的原则要求。本文对此进行解读。 一、内部环境和控制活动的再认识 第一,《应用指引》更符合典型的制造业企业。应用指引只是“针对企业一般性的业务和重点环节制定了原则性的要求,未涵盖行业特点突出的具体业务”。通过对应用指引的深入研究可以发现,应用指引针对的业务和环节更多是以一般制造业企业为蓝本的,因此,以应用指引来建设零售业、服务业、电商和金融业(应用指引共制定了21 项,其中涉及银行、证券和保险等业务的3 项指引暂未发布)等非制造业的内部控制体系时需要辩证运用。 第二,《 应用指引》覆盖了大部分企业管理职能,但不是全部。如内部审计和税务管理就没有相关的应用指引可供参考,但这两大职能不管是从重要性角度还是从风险角度都是值得作为内部控制建设重点领域。对这类没有应用指引的领域,可以按顺序从以下方面寻找参考依据:(1)国家颁布的其他法律法规文件,如内部审计内部控制建设可以参考审计署《关于内部审计工作的规定》、国资委《中央企业内部审计管理暂行办法》和中国内部审计协会的《中国内部审计准则》等。税务管理内部控制建设则可以参考国家税务总局发布的《大企业税务风险管理指引(试行)》等;(2)上级主管部门或母公司的规章制度;(3)按照内部控制三角原理,即目标→风险→控制,参考和借鉴标杆企业优秀管理实践。 第三,《应用指引》更侧重财务报告相关内部控制和操作层面的风险控制,并对和财务报告相关内部控制密切相关的非财务报告内部控制作了少量延伸。以业务层面控制为例,销售管理中面临的重大风险之一是销售不足,《应用指引第9 号销售业务》第三条虽然提到了此项风险,但没有对此提出任何针对性的风险管控措施;应用指引对大客户管理、渠道管理、销售团队管理等其他销售管理中重要的业务风险则根本没有提及。以公司层面控制为例,大部分企业都制定了绩效管理政策和流程,从操作性层面满足了内部控制的要求。虽然《应用指引第3 号人力资源》要求企业“设置科学的业绩考核指标体系”,但由于没有强调并提出针对性的控制措施,而往往被企业所忽略。如国有企业领导班子的考核指标中收入和利润指标占据绝对权重,其潜在风险就是投资冲动,以求短期内做大规模,而弱化了对投资形成资产未来减值风险的关注。类似这些战略性和战术性风险及其控制措施在不同企业之间相差甚远,因此,作为一个通用性质的指引根本无法全面覆盖。这就需要企业在进行内部控制建设中,让业务职能部门的骨干人员充分参与其中,而不是试图从应用指引中照抄照搬。 第四,《应用指引》更符合单体内部控制建设。基本规范和应用指引中都没有针对子公司管理做专门描述,而集团化经营是现代企业的重要特征之一。实务中对子公司的管理控制可以参考和借鉴上海证券交易所的《上市公司内部控制指引》和深圳证券交易所的《上市公司规范运作指引》等文件。因此,企业应当全面遵循《企业内部控制基本规范》的原则和要求,以应用指引为参考,结合行业特点,从企业的管理目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定有效的内部环境和控制活动。 二、风险评估要素的再认识 内部控制规范对风险评估的内容、方法等做了明确要求,但对于什么时候、在哪些环节开展风险评估以及风险评估并没有明确表述。计划阶段的风险评估。显而易见,风险评估始于战略规划的制定。企业在制定战略规划时需要评估内外部的风险和机会,针对风险制定风险应对策略,针对机会则是最大限度地进行利用。同时,将战略规划分解为年度经营计划时,也需要进行必要的风险评估,以便使日常经营活动与战略相衔接。 执行阶段的风险评估。执行阶段的风险评估具体形式主要包括内部审计、绩效管理、预算和运营分析。内部审计的职责之一就是通过日常内部审计活动发现存在的内部控制缺陷,并提出相应的管理建议,如追究相关责任人责任、修订和完善制度流程等。绩效管理既是一种日常监督活动,也是很好的风险评估活动。通过定期的绩效评价,可以督促和指导每个员工达成各自的绩效目标,以此推动企业整体目标的实现。绩效评价的结果既可以反馈至人员的招聘、辞退和培训等人事管理活动,也可以作为完善制度流程缺陷的重要依据。进行预算和运营分析的同时,也就是在进行风险评估,找出影响预算和经营指标没有达成预期的主要原因,特别是企业内部的原因,可以据以制定风险应对策略和改善计划,并根据需要完善制度流程文件。 评估阶段的风险评估。所谓评估阶段,是指年度经营评估或者阶段性战略评估。企业在初始计划阶段的风险评估可以说是仅仅是一种“猜测”,这种猜测是否正确,需要实践来检验。因此,可以说只有进入一个评估阶段后,才是真正开始作风险评估工作:依靠确实可靠的证据而不是猜测来重新评价风险及其重要性和影响程度。评估的结果可能是调整战略目标,也可能是强化和完善管理和内部控制工作,或者进行必要的人员调整等。 不难看出,如果上述工作做得完善,企业的内部控制自我评价工作就不是一项为评价而评价的独立任务,而是以“润物细无声”的方式结合企业的其他管理活动进行的。这样的内部控制评价工作即不劳民伤财、又能真正及时发现和纠正内部控制中存在的缺陷。实务中,在设计上述业务活动的控制活动时,应充分考虑嵌入相应的风险评估活动和监督活动,并关注相关业务活动之间的交叉和引用。 三、信息与沟通要素的再认识 第一,从内部环境层面看,管理层的经营理念决定了信息与沟通的范围、程度和内容。如企业管理界普遍认为企业战略是高管层的事;战略规划是保密文件,不应当传达到基层员工,这种经营理念不但决定了信息与沟通的范围、程度和内容,还将影响战略管理活动的具体控制活动。从风险控制角度看,这种经营理念本身存在巨大风险,可以作为内部控制缺陷提出与企业管理层进行沟通。 第二,从技术层面看,信息系统的运用对信息与沟通起到极大的作用,而且最佳的内部控制就是利用信息系统的输入控制和输出控制等进行控制的自动化。因此,在有条件的企业,可以考虑在一开始就利用信息系统进行内部控制的优化设计。 第三,从控制活动层面看,在设计各业务流程的控制活动时,应当考虑其中的信息与沟通要素如何体现,特别是业务信息如何及时、有效、完整地传递至财务系统。如企业在满足收入确认条件时才能确认当期收入,这当中很多原始信息需要业务部门提供,而业务部门没有收入确认条件的意识,往往存在业务原始资料的遗漏、延误提交,甚至遗失问题。 因此,需要在流程活动中明确业务部门如何、何时向何人提交何种原始业务单据;而财务人员在进行财务确认和处理时,又应当核对哪些和如何核对原始业务单据,是业务流程的内容更丰满、更具有操作指导性。对原始业务资料的管理要与绩效考核等管理机制相挂钩,确保刚性约束力。 四、内部监督要素的再认识 内部监督包括日常监督和专项监督。日常监督侧重于内部控制运行有效性的监督,而专项监督则侧重于内控设计有效性的监督。COSO 的《内部控制——整合框架》非常强调“将日常监督活动‘嵌入(building in)’控制之中,而不是‘附加(addingon)’到控制之上”。其本质是要求尽可能将针对关键控制的日常监督活动设计为业务流程中的特定环节,用以及时识别“有说服力的信息”,以识别控制缺陷,或发现控制异常并做进一步调查。如针对“合同修订审批”这个关键控制点可以采用“销售总监每季度抽取一定数量的合同,检查是否存在未经审批的修订情况”的日常监督程序。 专项监督用以定期对内部控制进行评价,并未融入日常经营管理活动中,其作用在于验证日常监督活动的结论,对日常监督活动不能覆盖的控制进行评估。通过内部监督的结果来支持内部控制有效性的结论,将大大减轻企业内部控制自我评价的工作量。此外,通过将监督程序和风险评估活动相结合,可以加强监督的效果和效率。应当考虑将风险评估程序和监督程序融入到控制活动的设计中,这需要内部控制设计人员具有丰富的内部控制理论和经营管理经验。 作者:谢力 |
|