经济的快速发展促使当今企业面临的经营和竞争环境日趋复杂和快速变化,内部控制作为规范企业内部管理和防控风险的重要手段,在企业运营与可持续发展中发挥着越来越重要的作用。
了解、选择和建立适宜的内部控制管理规范,设计完善的内部控制体系并使其有效运行,是企业提升经营管理水平的一项长期性重要工作。
内部控制的要点与价值
内部控制作为企业为提高经营和资源利用效率,而在内部实施的各种制约和调节的组织、计划、程序和方法,其深刻的内涵主要包括以下几方面。
在业务流程管理上,企业在设计具体业务循环的内部控制时,是以业务流程为依据进行的,由于许多业务流程之间存在交叉,如销售与收款、货币资金循环在款项回收环节的重合。为使内部控制的执行责任能够落实到人,针对交叉业务的控制设计就要具有唯一性,从而保证内控制度的执行和对业务流程的管控。
内部审计是内部控制的重要事后监督手段之一,它通过评价业务活动、内部控制和风险管理的适当性和有效性,促进企业完善治理和实现价值增长。
风险管理方是内部控制的设计和运行旨在实现的目标,包括对财务报告、遵守法律法规、舞弊和职务侵占等领域的风险识别、分析和评估。它贯穿于企业整体并为企业实现战略目标提供合理保证。
从内部控制的价值维度来看,内部控制最重要的价值是提升会计信息质量和财务报告的可靠性。当前我国会计信息质量存在的主要问题在于会计信息的真实性、财务报告的可靠性不高。
上市公司财务造假丑闻的曝出,对注册会计师行业的公信度和资本市场投资者的利益都带来巨大的损害。而内部控制通过规范流程、职责分离、合规监督等手段,避免了人为逾越控制措施等舞弊风险,从而为财务信息的真实性提供了保障。
在企业运营的效率和效益提升方面,完善的内部控制制度通过对企业内部的各部门和人员的分工、控制与协调,促使企业内部机构与人员更好地明确目标、履行职责,保障企业的生产经营活动有序而高效地开展,促进经营效益的提升。
在对法律法规的遵循方面,由于内部控制制度的设计基于遵循法律及相关法规的规定,并形成了遵守法律法规的执行过程,便可以大大降低企业的违法违规风险,从而避免了由此带来的经济处罚和对信誉形象的负面影响。
现行内部控制框架
内部控制体系的建设是社会经济发展到一定阶段,企业外部监管环境和内部管理提升的共同要求。内部控制的发展历程中形成了COSO报告、SOX法案以及《企业内部控制基本规范》几种主要的规范体系。
COSO是由美国注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会组成的委员会(CommitteeofSponsoringOrganizations)。COSO委员会把内部控制系统化,提出内部控制的三大目的:即取得经营效果和效率、确保财务报告的可靠性和遵循适当的法律法规。其年提出和改进的《企业风险管理整体框架》被称为“新COSO报告”。
新COSO报告的改进关键点,在于把风险管理的理念融入原有内部控制框架体系中,在合规、经营、报告的基础上增加了战略维度,并将内部控制的控制环境、风险评估、控制活动、信息沟通、监督五项要素扩展为包括目标制定、风险确认、风险管理策略选择在内的八项。
SOX法案全称为《年公众公司会计改革和投资者保护法案》,由美国参议院银行委员会主席萨班斯和众议院金融服务委员会(CommitteeonFinancialServices)主席奥克斯利提出,又被称作《年萨班斯-奥克斯利法案》。
SOX法案的内容分为两部分,一是主张加强对会计职业及上市公司行为的监管,二是增加上市公司高管舞弊等违规行为的刑事责任,提高了财务舞弊的违规成本。
同时,SOX法案提出了上市公司的内控及报告制度,要求公司年度报告中提供“内部控制报告”,并明确了管理层对与财务报告相关内部控制的责任,包括采用适当的内部控制框架评价企业相关内部控制系统的有效性等。
《企业内部控制基本规范》是我国本土内部控制规范体系,年由财政部、证监会、审计署、银监会、保监会制定发布,是国内最权威的内部控制技术标准及实施要求。
在吸收COSO报告和SOX法案成果的基础上,《企业内部控制基本规范》结合我国国情进行了具有适用性和针对性的改进和创新,建立了更加适合中国企业的内部控制规范体系,其提出的内控的五大要素包括内部环境、风险评估、控制措施、信息与沟通、监督检查。
《企业内部控制基本规范》主要适用于在我国境内设置的大中型企业,而外资和合资企业则更加倾向于选择“欧美体系”的COSO报告和SOX法案作为内控建设的参考框架。
内部控制建设如何保障运行有效
内部控制对于风险、舞弊事项的事前防范和事后发现有至关重要的作用,尽管当前很多企业已经认识到这一点,但对于很多企业尤其是中小企业而言,完善的内部控制体系建设仍面临着无从下手、难以落实、成本效益不佳等问题。
做好内部控制的设计和运行,首先要做好全面计划并记录内部控制。全面计划指通过不相容岗位分离、授权审批、会计系统、财产保全、风险控制、预算控制等措施,对包括全部业务循环、所有流程环节及关键控制点、全体人员的责任做出计划和制度规范。
其次,通过测试内部控制运行有效性,发现内部控制体系在设计中的缺陷和运行方面的问题,例如内控制度设计不合理或不具备可行性、缺乏执行内控制度的保障和监督机制等。
最后,建立内部控制的改进及反馈机制。由于企业面临的内外部经营环境不断变化,已有的内控设计常常会面临跨部门的流程未能全面落实、流程在信息系统的固化有待提升、内控制度与业务发展不适应等问题,因此内部控制体系需要建立动态的优化及反馈机制。
此外,随着业务流程对信息技术的依赖程度越来越高,内部控制执行更加准确和高效,对信息技术的控制和风险管理也成为企业面临的重要课题。