第1个回答 2023-01-18
【摘 要】随着本世纪初世界范围内公司舞弊事件的暴发,内部控制对于加强企业风险管理,防止企业失败的重要作用已经得到了理论界和实务界的普遍认可。本文以大型企业为对象,以COSO风险管理框架为标准,对企业现行内部控制的理论和实务问题进行了粗浅的探讨,希望对深化内部控制研究有所帮助。
【关键词】内部控制;风险管理;控制环境;预算管理
2004年,为遵循《萨班斯法案》的要求,美国反虚假财务报告委员会发起人委员会(COSO)又发布了《企业风险管理——整合框架》,为强调了风险管理的重要性,将原有的《企业内部控制——整体框架》中的风险评估要素细化为目标确定、事件识别、风险评估、风险反应四个要素,从而将内部控制由五要素扩展为八要素。2008年,我国财政部、证监会等五部委联合发布了《企业内部控制基本规范》之后,我国大型企业开始按照规范要求进行了内部控制方面的重建工作。但是,就整体上而言,我国企业现有企业的内部控制不管是在完整性,还是在系统性方面与标准化的内部控制规范相比,均存在不小的差距,直接影响了内部控制的执行力,迫切要求进一步加强理论研究工作,以便为企业内部控制实践提供理论依据。
一、企业内部控制理论综述
美国反虚假财务报告委员会总共发布了两个内部控制文件,一个是《企业风险管理——整合框架》,另一个是《企业风险管理——整合框架》。后者主要是针对本世纪初美国一系列公司舞弊事件提出的,更强调了风险管理的重要性,其理念与企业面临的多变的经济环境比较吻合。所以,2008年,我国《企业内部控制基本规范》在形式上采纳了《企业风险管理——整合框架》,但是在理念上全面接受了《企业风险管理——整合框架》,故本文主要以这两个文件为依据,展开对内部控制的研究。(1)内部控制目标。根据COSO企业风险管理框架,企业内部控制目标是保证经营的效果和效率、财务报告的可靠性、法律法规的遵循性、企业资产的安全性和企业战略的实现。该框架不再以财务报告为唯一目标,要求内部控制涵盖企业经营管理的全过程,并且以企业战略为落脚点,提升了内部控制的层次。(2)内部控制的主体和客体。随着内部控制实践和理论的发展,企业内部控制的要素和内容也在不断扩展,企业内部控制的主体和客体也随之不断扩大。内部控制的主体由最初的最高管理层提升到到董事会层,把内部控制提升到了公司治理层面;、和所有员工,内部控制客体范围则由最初的财务活动扩大到企业所有经营活动、董事会、管理层、企业风险项目及企业所有员工。(3)内部控制要素。内部控制是一个框架性的概念,它由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成,各要素相互支持、互相制约,缺一不可。第一,控制环境。控制环境是影响企业战略实现的各种内外因素的组合。控制环境包括公司治理、组织结构、员工的职业道德、管理人员的管理哲学和风格、各部门的权责分配、企业人力资源政策等,为企业战略实现提供了组织构架和运行规则,是其他控制要素发挥作用的前提和基础。外部环境包括行业特征、市场竞争态势、国家产业政策和政府监管等,它是影响企业发展战略实现的外在因素。第二,风险评估。风险评估是对影响企业战略实现的各种风险及其发生概率和影响程度所进行的评定和估算,目的是为企业制定风险管理策略提供依据。风险是指影响企业战略实现的各种不利因素,风险评估的核心是管理风险,所以企业必须将相关的风险与具体的业务活动建立联系,以便借助于业务活动控制对风险进行管理。这就要求企业必须要建立完整和有效的风险评估机制以识别、评估和应对对企业实现战略实现具有重要不利影响的风险因素。第三,控制活动。控制活动指为保证企业战略实现的各种政策和程序,它包括一系列针对经营管理的制度、政策和活动。控制活动应当贯穿于企业经营管理活动的始终和所有的层面,也就是说,控制活动应当作用于企业所有岗位和所有员工。第四,信息与沟通。信息是企业管理的基础,也是企业风险管理的基础。根据风险管理的要求,企业所有员工应当充分了解自己在内部控制中的角色和岗位职责。同时,企业还应当建立的开放的信息收集和沟通渠道,加强与客户和供应商等利益相关者的联系,以保证顾客可以通过信息沟通渠道向企业反聩关于产品或服务的设计或质量要求方面的需求信息,帮助企业提高及时响应市场的能力。第五,监督。监督是对企业内部控制持续性改善的过程,它指的是企业对内部控制完整性和有效性所进行的自我评价,这一督过程是在持续性的监督和专门评价两种方式下进行的,实践中这两种方式是密不可分的。对内部控制的持续性监督内生于企业经营管理过程,与内部控制具有较强的粘合度,因而比较有效。专门评价独立于企业具体的业务活动,它是在企业内部审计部门的组织下对内部控制的有效性所进行的评价,其范围和时间频率取决于持续性监督的效果的强弱。由于专门评价具有事后监督的性质,与持续性监督相比,更容易发现内部控制中的问题。
二、企业内部控制存在的问题
(1)内部控制目标问题。企业内部控制目标偏重于财务报告的可靠性和法律法规的遵循性目标,忽视了内部控制对经营效果和效率提升和对企业价值增长的贡献。(2)内部控制主、客体问题。企业内部控制主体定位于高层管理人员和财务部门,忽视了董事会对内部控制的领导作用。由于内部控制主体定位过低以及内部控制客体不全面,企业经理层可以轻易地规避内部控制,内部控制往往流于形式。(3)内部控制要素问题。企业现有的内部控制系统相对注重内控组织和责权制度的建设,而忽视了企业文化和管理哲学等“软控制”因素的作用。受长期计划体制惯性的影响,我国企业管理层普遍不重视风险管理,几乎没有成型风险管理机制。内部审计独立性和权威性不足,且定位于财务监督,没有很好地发挥对内部控制的监督和评价作用。
三、内部控制体系架构建设
(1)完善控制环境。控制环境对企业内部控制的方式和特点有着潜移默化的影响,影响着控制的效率和效果。因此,加强控制环境建设是目前构建企业内部控制的首要任务。首先要加强企业文化建设,向员工输入风险意识,增强其自觉服从内部控制的自觉性;其次,企业领导人要按照企业目标要求形成自己的风险偏好,并将其转化为企业的风险偏好,为企业风险管理奠定基调。(2)建立风险评估机制。每个企业战略目标的实现都要受到来自于内部和外部的各种风险的考验,因而风险评估是企业风险管理的基础和核心。由于企业所处的宏观经济环境和行业环境总是处于不断的变化之中。这就要求企业必须建立起完善的风险识别、评估机制,以自如地应对各种风险的挑战。(3)规范控制活动。控制活动由全面预算、授权审批等控制政策和程序组成。全面预算是对企业各种资源的战略规划和安排,因此首先要加强企业预算管理,严格预算编制、执行和调整程序,增强企业预算的约束力。其次要严格授权审批制度,将企业一切经营管理活动都纳入到授权范围之内,以增强内部控制对企业员工行为的约束力。(4)促进信息沟通。信息与沟通是风险识别和管理的依据,也是提高企业内部控制执行力的根本。风险管理要求信息沟通具有广泛性,信息沟通渠道要遍布企业组织机体的各种方面。这就要求企业必须建立广泛的信息沟通渠道,并保证其畅通无阻。(5)加强对控制的监控。提升对内部控制的监督关键在于,加强内部审计的作用,首先要理顺内部审计管理体制,将内部审计直接置于董事会的领导之一,以加强对企业经理层的约束能力,增强内部审计在内部控制评价中的独立性和权威性;其次要转变内部审计职能,将内部审计的功能由传统的财务监督职能拓展到为企业内部控制服务领域,并通过对内部控制的持续改善,为增进企业价值服务。
参 考 文 献
[1]内部控制课题组.企业内部控制基本规范解读与案例分析[M].上海:立信会计出版社,2008
[2]肖旭东.我国企业内部控制现状及原因探究[J].企业导报.2010(5)
[3]朱荣恩.企业内部控制制度设计——理论与实践[M].上海:上海财经大学出版社,2005