丁家豐 馬軍生
2010年4月,財政部等五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》(以下簡稱配套指引)���。此次發(fā)布的配套指引由18項《企業(yè)內(nèi)部控制應(yīng)用指引》�����、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》(以下分別簡稱應(yīng)用指引���、評價指引和審計指引)組成,連同2008年5月發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡稱基本規(guī)范)����,標(biāo)志著我國企業(yè)內(nèi)部控制規(guī)范體系基本建成。伴隨著配套指引的發(fā)布�����,財政部等部委開展了一系列宣傳和培訓(xùn)工作�,企業(yè)也紛紛開始了解、學(xué)習(xí)并嘗試建立內(nèi)部控制規(guī)范體系����。
筆者作為專業(yè)咨詢?nèi)藛T,曾參與了多家大型上市公司的內(nèi)部控制建設(shè)����,也參加了財政部舉辦的有關(guān)內(nèi)部控制培訓(xùn)班,但在與各類企業(yè)交流�、協(xié)助企業(yè)建立內(nèi)部控制規(guī)范體系的過程中發(fā)現(xiàn):大多數(shù)企業(yè)對內(nèi)部控制規(guī)范體系存在不同程度的疑惑、抵觸甚至誤解��,出現(xiàn)了“走形式”�����、“繞彎路”和“瞎折騰”等現(xiàn)象��,不但影響了企業(yè)提升管理����、防范風(fēng)險的效果,還浪費了企業(yè)的精力和資源。筆者根據(jù)實際工作經(jīng)驗歸納總結(jié)了企業(yè)內(nèi)部控制規(guī)范體系建設(shè)中的十大誤區(qū)����,并提出了防范的措施,以期為企業(yè)建立健全內(nèi)部控制規(guī)范體系提供一些思路�����。
誤區(qū)一:有關(guān)規(guī)定要求的是財務(wù)報告內(nèi)部控制��,因此內(nèi)部控制應(yīng)由財務(wù)部門負(fù)責(zé)
幾乎無一例外��,各大上市公司在開始建立內(nèi)部控制規(guī)范體系時�,總是先找財務(wù)部門,他們認(rèn)為:一方面�,財務(wù)會計與內(nèi)部控制有密切聯(lián)系;另一方面��,內(nèi)部控制要求外部審計要對基于財務(wù)報告的內(nèi)部控制的有效性發(fā)表審計意見�,不找財務(wù)部門找誰呢?那么����,內(nèi)部控制僅是要求基于財務(wù)報告的內(nèi)部控制嗎?內(nèi)部控制的日常工作究竟應(yīng)該由哪個部門來具體操作���?
基本規(guī)范第四條指出����,內(nèi)部控制應(yīng)當(dāng)貫穿決策����、執(zhí)行和監(jiān)督全過程,覆蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項����;審計指引第四條指出,注冊會計師應(yīng)當(dāng)對財務(wù)報告內(nèi)部控制的有效性發(fā)表審計意見�,并對內(nèi)部控制審計過程中注意到的非財務(wù)報告內(nèi)部控制的重大缺陷,在內(nèi)部控制審計報告中增加“非財務(wù)報告內(nèi)部控制重大缺陷描述段”予以披露�。以上規(guī)定都清楚表明了企業(yè)要做的是全面防范各類風(fēng)險的內(nèi)部控制,而不僅是基于財務(wù)報告的內(nèi)部控制�。關(guān)于內(nèi)部控制的日常工作究竟應(yīng)該由哪個部門來具體操作的問題,答案也是清晰明確的�,因為基本規(guī)范規(guī)定,董事會負(fù)責(zé)內(nèi)部控制的建立健全和有效實施�����。也就是說���,內(nèi)部控制是企業(yè)最高層����、一把手的責(zé)任,董事會可以把內(nèi)部控制的日常操作授權(quán)給任何一個管理部門����,但最終還是要由董事會負(fù)責(zé)。
因此���,在內(nèi)部控制規(guī)范體系的具體實施過程中����,筆者建議����,可由企業(yè)管理部門或戰(zhàn)略部門(部分企業(yè)可以選擇成立專職的內(nèi)部控制部或風(fēng)險管理部)負(fù)責(zé)內(nèi)部控制規(guī)范體系的建立工作,紀(jì)檢監(jiān)察或內(nèi)部審計部門負(fù)責(zé)對內(nèi)部控制的監(jiān)督�。理由是:企業(yè)管理部門或戰(zhàn)略部門一般統(tǒng)領(lǐng)企業(yè)經(jīng)營的各項事務(wù),在建立健全內(nèi)部控制規(guī)范體系的過程中�,能從全局角度對企業(yè)經(jīng)營的流程以及流程中的風(fēng)險控制點進(jìn)行梳理和完善,而紀(jì)檢監(jiān)察和內(nèi)部審計部門具有一定的獨立性和審計監(jiān)督技巧��,能夠相對公正且高效地執(zhí)行內(nèi)部控制的監(jiān)督任務(wù)�。
誤區(qū)二:內(nèi)部控制是為了應(yīng)對外部監(jiān)管��,對企業(yè)來說則是降低效率增加了成本
筆者在與企業(yè)交流的過程當(dāng)中����,經(jīng)常能遇到這樣的事情:企業(yè)老總聽說要推行內(nèi)部控制規(guī)范體系的建設(shè)����,于是對財務(wù)總監(jiān)說:“去安排人弄一下��?��!?a target="_blank" style="color: black;" >財務(wù)總監(jiān)很為難:“內(nèi)部控制的工作量好像很大�����?�!崩峡偘参浚骸扒皟赡甓ǖ膬?nèi)控制度還在嗎��?拿來改改能過關(guān)就行��,千萬不能耽誤了正常的工作�����?����!?/wbr>
以上說法中��,管理者把內(nèi)部控制與企業(yè)經(jīng)營看成了完全不相干的兩件事���,其后果是非常嚴(yán)重的。內(nèi)部控制是防范企業(yè)經(jīng)營風(fēng)險�����、是企業(yè)經(jīng)營管理必不可少的組成部分����,企業(yè)只要進(jìn)行生產(chǎn)經(jīng)營活動,就必然同時進(jìn)行內(nèi)部控制�,比如采購詢價比價、加強應(yīng)收賬款的回收��、盤點現(xiàn)金等都是企業(yè)采取的比較普遍的內(nèi)部控制措施���。從表面上看���,內(nèi)部控制是外在監(jiān)管的要求����,但很多有遠(yuǎn)見的企業(yè)早已開始積極借助內(nèi)部控制這個外力推動自身的管理變革�,加強對經(jīng)營風(fēng)險的識別和控制,提升精細(xì)化�、規(guī)范化管理的水平,為企業(yè)做大做強打基礎(chǔ)�����。
關(guān)于實施內(nèi)部控制規(guī)范體系增加企業(yè)管理成本的問題�����,基本規(guī)范早已指出�����,內(nèi)部控制應(yīng)當(dāng)遵循重要性原則和成本效益原則��,也就是說�����,在實施的過程中����,應(yīng)當(dāng)抓大放小,考慮風(fēng)險損失與控制成本孰輕孰重的問題����,不要件件小事都控制,不要為了控制而控制����。在有些企業(yè)里,員工領(lǐng)用一張A4打印紙都要簽字審批����,而對于上億元的投資項目卻未充分評估,草率上馬����,這其實是走入了內(nèi)部控制的誤區(qū)。所以����,內(nèi)部控制應(yīng)當(dāng)也必然是企業(yè)的自發(fā)需求,內(nèi)部控制從防范風(fēng)險的角度協(xié)助企業(yè)完善了管理,而非降低效率增加了成本�����。
誤區(qū)三:企業(yè)建立和完善內(nèi)部控制規(guī)范體系�����,就是編寫內(nèi)部控制制度
基本規(guī)范第六條指出��,企業(yè)應(yīng)當(dāng)根據(jù)有關(guān)法律法規(guī)�、本規(guī)范及其配套方法,制定本企業(yè)的內(nèi)部控制制度并組織實施��。對于本條款的理解���,企業(yè)中就出現(xiàn)了以下兩種比較典型的情形:第一種,組織業(yè)務(wù)骨干和筆桿子編寫一套名為《內(nèi)部控制制度》的文件����,少則三四頁,多則十幾頁��,不少上市公司還將《內(nèi)部控制制度》通過證券交易所向投資者披露���。第二種��,組織一些涉及管理�、財會、法律多個專業(yè)的名牌大學(xué)畢業(yè)生�����,歷經(jīng)數(shù)月查閱名典巨著�,增刪數(shù)十遍,編撰了一套由十幾萬字�����、上百項管理制度構(gòu)成的《企業(yè)內(nèi)部控制制度匯編》�,并召開全體員工大會隆重發(fā)布。
筆者認(rèn)為���,內(nèi)部控制制度是企業(yè)所有規(guī)章制度����、管理辦法�����、實施細(xì)則的總和,而制定內(nèi)部控制制度的過程����,是企業(yè)從上到下分析業(yè)務(wù)、梳理流程��、識別風(fēng)險�、加強管控的過程。在精細(xì)化管理水平較高的企業(yè)�����,除了制定內(nèi)部控制制度文本外���,還制定了讓人一目了然的流程圖和便于操作的表單����,員工將表單按照流程圖填寫并按規(guī)定的程序進(jìn)行流轉(zhuǎn)����,與此同時各項管理的要求和控制措施也履行到位��,這與一些企業(yè)編寫上百項內(nèi)部控制制度卻忽視操作性的做法形成了鮮明對比�����。
誤區(qū)四:企業(yè)應(yīng)根據(jù)18項應(yīng)用指引梳理出18個內(nèi)部控制制度
筆者在與企業(yè)交流的過程中,不止一次被問到:《內(nèi)部信息傳遞制度》究竟怎么寫�����?筆者很疑惑:為什么要寫這個制度呢����?原來,不少企業(yè)認(rèn)為���,應(yīng)用指引共18項�����,“忠實地”根據(jù)18項指引編寫18個內(nèi)部控制制度����,是貫徹內(nèi)部控制規(guī)范體系的最佳做法���,而應(yīng)用指引中的第17號是“內(nèi)部信息傳遞”����,所以就出現(xiàn)了編寫《內(nèi)部信息傳遞制度》的問題。
筆者認(rèn)為�����,內(nèi)部信息傳遞是內(nèi)部控制的基本要素之一����,貫穿于企業(yè)生產(chǎn)經(jīng)營的每個流程當(dāng)中:營銷有市場調(diào)研報告、生產(chǎn)有生產(chǎn)分析會��、采購有供應(yīng)商名錄等�����,所有這些都是重要的信息傳遞形式和手段�,早已深入到企業(yè)生產(chǎn)經(jīng)營的每一個流程中的每一個環(huán)節(jié)。如果企業(yè)的每一個制度都體現(xiàn)了信息的形成與使用�,那么就無需勞心勞力再專門編寫一個關(guān)于信息傳遞的制度了。
而更深層次的問題是�����,在內(nèi)部控制規(guī)范體系的建立中�,部分企業(yè)雖以文件(或企業(yè)制度)的形式貫徹落實了有關(guān)方面的要求,卻忽略了對重要流程的識別和梳理��。應(yīng)用指引有18項�,而企業(yè)流程卻有數(shù)百項;應(yīng)用指引契合了制造業(yè)的大部分需要�����,卻還有建筑業(yè)�����、服務(wù)業(yè)等企業(yè)的業(yè)務(wù)流程不能完全覆蓋�����。因此����,筆者認(rèn)為,18項應(yīng)用指引只是指導(dǎo)和參考����,企業(yè)要抓大放小,抓住關(guān)鍵控制點����,判斷哪些經(jīng)營管理的核心流程需要梳理���,唯有如此,才能識別風(fēng)險��,加強對風(fēng)險的防范和控制�。
誤區(qū)五:借助國際知名咨詢機構(gòu)的力量,企業(yè)內(nèi)部控制就能達(dá)到國際領(lǐng)先水平
許多企業(yè)感到單靠自身力量搞內(nèi)部控制很吃力�����,就想到借助外部的力量�����。不少企業(yè)首先想到的是聘請國際知名咨詢機構(gòu)(或會計師事務(wù)所)��,他們認(rèn)為知名機構(gòu)的成功案例和邏輯縝密的方案值得信賴�����,卻并未考慮這些機構(gòu)所提供的解決方案是否契合自身的需要�����。常見的結(jié)果是����,幾個月的合作結(jié)束后�����,企業(yè)會發(fā)現(xiàn):得到的是難懂的內(nèi)部控制方案和幾十項拗口的內(nèi)部控制術(shù)語、難以實施的內(nèi)部控制措施及員工對方案的抵觸�。
筆者認(rèn)為,企業(yè)在聘請外部機構(gòu)協(xié)助建立健全內(nèi)部控制時��,至少要滿足以下三個條件:一是咨詢機構(gòu)有能力向管理層及各級員工提供全方位�����、多層次的內(nèi)部控制培訓(xùn)���,培訓(xùn)傳達(dá)的內(nèi)部控制建設(shè)思路要契合現(xiàn)階段國內(nèi)新興市場經(jīng)濟的特點����。二是咨詢服務(wù)內(nèi)容不僅要包括方案的調(diào)研和設(shè)計過程�����,還要包括方案的輔導(dǎo)和實施��。三是企業(yè)管理層(尤其是高層)及員工要安排時間和精力與咨詢公司進(jìn)行溝通,以保證提供的方案是量身定做的�����。
誤區(qū)六:內(nèi)部控制規(guī)范體系的建設(shè)任務(wù)緊迫��,企業(yè)應(yīng)當(dāng)在最短時間內(nèi)建立實施
一些企業(yè)的管理者在認(rèn)識到了建立內(nèi)部控制規(guī)范體系建設(shè)的重要性及緊迫性后���,拍板決策:“3個月建立�����,3個月修改完善�����,半年時間全部建成”��。這種雷厲風(fēng)行的做法值得稱道�,但在如此短的時間內(nèi)就能建立健全內(nèi)部控制規(guī)范體系卻讓人生疑��。
一方面��,從建立內(nèi)部控制規(guī)范體系的角度來說,內(nèi)部控制不能獨立于企業(yè)經(jīng)營管理之外而存在��,內(nèi)部控制規(guī)范體系與企業(yè)現(xiàn)有的組織架構(gòu)���、人員配備�、業(yè)務(wù)流程和授權(quán)權(quán)限等多個方面都有緊密的聯(lián)系�����。在建立企業(yè)內(nèi)部控制規(guī)范體系時���,需要全面探討和思考以上事項,如果簡單跳過這一過程�����,在內(nèi)部控制規(guī)范體系的推進(jìn)中就會削足適履或自相矛盾�。
從實施內(nèi)部控制規(guī)范體系的角度來說,任何發(fā)展變革都需要有一個宣傳�����、發(fā)動��、探索、學(xué)習(xí)���、試行和落實的過程����。在這個過程中���,全體員工要學(xué)習(xí)有關(guān)內(nèi)部控制的知識�����,接受內(nèi)部控制的理念����,更難的是要打破舊有的利益格局���,改掉舊有的操作習(xí)慣�����,這都需要大量的時間���。筆者認(rèn)為,大型企業(yè)建立和實施內(nèi)部控制規(guī)范體系一個可行的思路是:首先對企業(yè)的生產(chǎn)經(jīng)營活動流程進(jìn)行全面梳理,建立全面的內(nèi)部控制規(guī)范體系�����,然后選擇其中幾個較為容易改進(jìn)的流程進(jìn)行試點���,進(jìn)而逐步推廣到全部流程����。這種摸著石頭過河的做法配合了企業(yè)生產(chǎn)經(jīng)營的開展�����,可以減少企業(yè)改革的阻力�。
誤區(qū)七:內(nèi)部控制自我評價就是上市公司在年末出一份報告說明加強管理的情況
2006年6月上交所發(fā)布的上市公司內(nèi)部控制指引規(guī)定����,公司董事會應(yīng)在年度報告披露的同時,披露年度內(nèi)部控制自我評估報告��,隨后深交所也提出了類似的要求�����。而在實際披露過程中,有的上市公司認(rèn)為��,自我評估報告就是在年末出一份報告說明加強管理的情況��,由于沒有硬性規(guī)定�、各上市公司理解的不同,造成披露的效果參差不齊���。
評價指引及指引解讀發(fā)布后�����,相關(guān)要求就更加明確了���。首先,自我評價報告只是一個結(jié)果�����,更重要的是企業(yè)需要完善自我評價這個過程����,具體來說就是評價的依據(jù)、范圍�、程序���、方法及缺陷的認(rèn)定。其次����,企業(yè)可以完善和推廣內(nèi)部控制評價表,就是對評價過程中形成的評價工作底稿進(jìn)行全面整理和綜合匯總�,整理出一個包括內(nèi)部控制各要素的結(jié)論性評估表格,一般由評價內(nèi)容����、業(yè)務(wù)描述���、有效性/缺陷�����、評價記錄等項目組成��。通過完善和推廣使用內(nèi)部控制評價表�����,可以使不同企業(yè)的內(nèi)部控制評價報告更具可比性�,同時也有利于報告使用者的閱讀和理解�����。
誤區(qū)八:國有企業(yè)需分別做好全面風(fēng)險管理和內(nèi)部控制兩項工作
國資委在2006年印發(fā)了《中央企業(yè)全面風(fēng)險管理指引》��,而內(nèi)部控制規(guī)范體系出臺后,企業(yè)往往會指定不同部門或者不同負(fù)責(zé)人分別負(fù)責(zé)風(fēng)險管理和內(nèi)部控制的工作�����,筆者認(rèn)為���,這其實是一種誤解��。簡言之����,全面風(fēng)險管理與內(nèi)部控制的內(nèi)在本質(zhì)相互融合���。兩者都是從梳理和識別各個流程中的風(fēng)險開始,對風(fēng)險加以分析和評估���,最終進(jìn)行管理和控制,并對控制活動的有效性進(jìn)行持續(xù)監(jiān)督和評價�。兩者的區(qū)別是在側(cè)重點上��,國資委作為國有資產(chǎn)出資人�,從提升管理的角度�����,對國有企業(yè)風(fēng)險識別及防范做了全面要求;而內(nèi)部控制規(guī)范體系則從保護投資者的角度出發(fā)���,在兼顧各類風(fēng)險的同時���,對于其中的財務(wù)報告真實性風(fēng)險做了更加硬性的規(guī)定�。
因此�,無論是從有關(guān)部門的要求來看����,還是結(jié)合國有企業(yè)的現(xiàn)有實踐過程的經(jīng)驗教訓(xùn)來分析����,國有企業(yè)在實際操作層面都應(yīng)當(dāng)把風(fēng)險管理與內(nèi)部控制合并為一項工作來開展��,這樣才有利于形成合力��,真正提升企業(yè)的風(fēng)險防控水平。
誤區(qū)九:企業(yè)已經(jīng)建立了質(zhì)量管理體系�,再開展內(nèi)部控制規(guī)范體系的建設(shè)�,是一種重復(fù)
質(zhì)量管理體系����、健康與安全管理體系�����、環(huán)境管理體系���、社會責(zé)任體系等都是企業(yè)常規(guī)的認(rèn)證體系��,其基本思路是通過系統(tǒng)化的梳理來識別企業(yè)管理中的不足,借助滿足認(rèn)證標(biāo)準(zhǔn)的過程來提升管理����。有的企業(yè)就認(rèn)為:已經(jīng)針對經(jīng)營管理的各個流程采取了一系列完善的措施��,為什么還要再費時費力建立一套內(nèi)部控制規(guī)范體系呢�����?筆者認(rèn)為,這其實就是二者如何融合和互補的問題�����。
首先,各類認(rèn)證體系與內(nèi)部控制規(guī)范體系并不矛盾����,只是內(nèi)部控制關(guān)注的重點是風(fēng)險防控���,而每個認(rèn)證體系都是各有其側(cè)重點的�����。其次��,內(nèi)部控制規(guī)范體系和現(xiàn)有認(rèn)證體系互相促進(jìn)�����,如內(nèi)部控制強調(diào)不相容職務(wù)相互分離�,如將質(zhì)量監(jiān)督責(zé)任同生產(chǎn)相分離�����,則可進(jìn)一步促進(jìn)質(zhì)量管理工作的開展����。再次,企業(yè)在實際操作過程中,可以將幾個認(rèn)證體系共同編制一套文件�,將“梳理流程、厘定目標(biāo)���、識別風(fēng)險����、完善控制���、修訂制度�、持續(xù)改進(jìn)”的過程合而為一�����,使同一套制度能夠滿足多個認(rèn)證的要求�����,這樣做既節(jié)省了企業(yè)的人力��、物力和財力�����,又提升了企業(yè)管理的水平�。
誤區(qū)十:實施ERP等管理信息系統(tǒng)��,就能提升內(nèi)部控制水平
在一些內(nèi)部控制較為薄弱的企業(yè)����,員工素質(zhì)不高���,信息溝通不暢,授權(quán)權(quán)限混亂����,各個業(yè)務(wù)流程都存在不同程度的失控,專家和老總就提出:通過實施ERP來提升管理及控制水平�。實施ERP能真解決內(nèi)部控制方面的問題嗎?其實不然����。首先,ERP以及其他任何管理軟件都是基于計算機程序的管理信息系統(tǒng)�,能夠減少人工操作和人為控制�,實現(xiàn)信息集成和自動控制��。但ERP系統(tǒng)中的流程和控制措施不會自動產(chǎn)生�����,需要企業(yè)對其進(jìn)行設(shè)定����,如果把錯誤的流程固化進(jìn)系統(tǒng)�����,那么ERP就不是雪中送炭而是火上澆油了�。其次,ERP本身也需要進(jìn)行控制�,西方國家實行會計電算化初期,因計算機舞弊����,每年損失上百億美元���。而信息系統(tǒng)規(guī)模越大、與管理聯(lián)系越密切�、集成度越高�,風(fēng)險也就越大。再次��,企業(yè)在實施ERP系統(tǒng)時���,如果過分依賴于信息技術(shù)而忽視了配套管理措施���,最終會造成信息系統(tǒng)與內(nèi)部控制的脫節(jié)。
正如基本規(guī)范所指出的�����,企業(yè)在借助信息系統(tǒng)提升管理水平的同時�,應(yīng)當(dāng)加強對信息系統(tǒng)開發(fā)與維護、訪問與變更�����、數(shù)據(jù)輸入與輸出�、文件儲存與保管�����、網(wǎng)絡(luò)安全等方面的控制����,保證信息系統(tǒng)安全穩(wěn)定運行���。唯有如此,通過實施ERP等管理信息系統(tǒng)����,才能真正提升企業(yè)管理及內(nèi)部控制的水平�����。
本文發(fā)表于《財務(wù)與會計》2011年第2期
浙公網(wǎng)安備 33010802003509號