企业内部控制系统结构设计研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇企业内部控制系统结构设计研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
企业内部控制制度的完善严密与否,执行情况的好坏,直接关系到企业的兴衰成败。加强企业内部控制,不仅是企业最基础性的工作,也是企业能够生存和发展的保证
随着社会主义市场经济体制和现代企业制度的确立,企业成为自主经营、自我约束、自我发展、自我完善的经济实体后,面临着两个基本问题:一是如何适应外部环境的变化,二是如何协调内部资源的有效利用。由于企业对外部环境的适应性是建立在内部协调性的基础之上,因此,加强企业内部控制,不仅是企业最基础性的工作,也是企业能够生存和发展的保证。
本文从企业经营管理的角度出发,以COSO委员会内部控制-整体框架为理论基础,借鉴国内外其他行业特别是金融证券企业内部控制管理研究的成果和经验,结合一般企业的特点和内部管理要求,对其内部控制系统结构进行了探讨,为企业的管理创新提供参考。
一、企业内部控制的理论认识
内部控制的历史源远流长,而现代意义的内部控制则是在20世纪40年代以后才逐步建立起来的,它起源于西方,最初形式是内部牵制,随着社会经济的发展和企业管理水平的提高,由内部牵制逐渐发展到比较完整的内部控制。
按照最新的一种归纳,内部控制理论的发展大致经历了五个阶段(如图1):上世纪40年代前的内部牵制阶段;40年代末至70年代末的内部控制阶段;80年代至90年代的内部控制结构阶段;90年代的内部控制整体框架阶段;90年代末以后的企业风险管理与内部控制阶段。
不同的组织在不同的时期从不同角度出发,对内部控制概念有着不同的阐述。目前比较权威的是美国COSO委员会(Committee of Sponsoring Organizations Of The Treadway Commission)于1992年、1994年修改的《内部控制-整体框架》(Internal Control-Integrated Framework,即通称的COSO报告)中提出的内部控制概念。COSO报告指出,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素包括:控制环境(control environment)、风险评估(risk assessment)、控制活动(control activity)、信息与沟通(information and communication)、监督(monitoring)五个方面。
在《内部控制-整体框架》之后,内部控制理论出现了一些新发展,如加拿大注册会计师公会(Canadian Institute of Chartered Accountants,即CICA)所属的控制基准委员会(The Canadian Criteria of Control Committee,简称COCC),在COSO报告的基础上,经过不断修改,于1995年11月了《控制指南》(Guidance on Control),提出了一种更精简、更具动态的内部控制基本架构,从“目标”、“承诺”、“能力”、“学习与监督”四个方面提出20项控制基准。此外,美国COSO委员会在《内部控制-整体框架》基础上,吸收各方面风险管理研究成果后在2004年9月正式《企业风险管理-整体框架》(Enterprise Risk Management - Integrated Framework),该框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值能力的框架,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面应用指南。
虽然在COSO报告之后,内部控制理论方面出现了一些新发展,但这些新理论均是以COSO报告为基础。COSO报告提出的由“三个目标”和“五个要素”组成的内部控制的整体架构,得到了公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可。此外,由于《企业风险管理-整体框架》的时间不长,其实践效果有待进一步检验,而《内部控制-整体框架》在10多年的应用实践中已得到广泛认可,因此本文仍以COSO报告作为理论基础。
二、COSO内部控制的构成要素
COSO委员会认为,内部控制由相互关联的五项要素构成,它们源于管理层的运作业务,并且是管理流程的一部分。
(一)控制环境(Control Environment)。控制环境是内部控制整体框架的基础,支撑着整个内部控制框架,是整个控制框架的引擎,起着塑造组织控制文化、影响人员控制意识、奠定组织风格和组织结构等关键作用。对内部控制发挥此作用的环境要素包括人员操守、道德价值、能力素质,以及管理层的管理哲学、经营理念等等。
(二)风险评估(Risk Assessment)。面对不断变化的环境,任何组织都面临各种各样的风险,必须对所面临的风险进行有效了解和估定,建立可操作的发现、甄别、分析、管理、控制风险的机制,即风险评估机制。
(三)控制活动(Control Activities)。控制活动是帮助管理层确保管理方针得以贯彻的政策和程序。控制活动的目标是,经过风险评估后确定的用以管理和控制风险所必须采取的各项行动能够得到有效落实。控制活动由组织各部门依据不同目标要求实施,并贯穿组织过程始终,具体包括核准、授权、验证、对账以及对经营活动的审查、对资产的保护和不相容职务的分离等。
(四)信息与沟通(Information and Communication)。能否及时鉴别、挖掘、获取、处理丰富的内部信息和外部信息,能否实现信息在各部门、各层次、内部外部间顺畅地传递,能否很好地沟通、理解和利用信息,决定了组织目标的实现程度,也是组织及其员工履行职责的必要条件。
(五)监督(Monitoring)。内部控制的过程必须加以恰当地监督,必须不时地对内部控制运行质量进行评价。监督可以分为持续性监督和独立性评估,一般需要二者结合。持续性监督通常在经营过程中进行,或体现为经营过程的延续,包括日常管理、例行监督和常规性事后监督等;独立性评估的范围和频率取决于风险评估或持续性监督程序的有效性。监督应保持独立性,监督发现的内部控制缺陷应直接向最高层报告。
上述五要素并非孤立地存在和发生作用,而是相互影响相互联系。具体来说,控制环境居于内部控制中最重要的位置,是其他控制要素的基础;辨识和分析风险是有效内部控制的关键;而风险评估和控制活动必须借助于信息在企业内部能够有效地沟通;最后,需要实施有效的监控以保障内部控制的实施质量。这些组成部分之间的配合和联系,构成了一个完整的系统,可以灵活地随条件变化而变化(如图2所示)。
COSO委员会同时指出,内部控制的三类目标是一个组织努力的方向,而内部控制构成要素则是为实现这些目标所必需的条件,构成要素和目标之间是相关联的。五类要素之间相互协调、相互联系,每一个要素都适用于所有的目标类别,共同构成能够对不断变化的环境做出动态反应的一个整体。
三、企业内控系统设计目标
内部控制系统设计是企业自身或委托外部中介组织针对企业自身环境和条件,依照一定的原则和程序,对企业内部控制的主体与客体、控制目标、控制方式等所进行的科学搭建与规划。一般来说,所设计的内部控制系统应有明确的目标。内部控制属于管理的范畴,其目标应与组织的管理目标相一致,控制目标是管理目标的具体化,控制的基本目标是保证组织完成工作任务。
(一)COSO内控目标的规定要求。COSO报告将企业内部控制的目标分成三类,即合理保证企业营运的效率和效果、企业财务报告的可靠性及遵循法律、法规的合规性。这种分类有利于不同的人从不同的视角关注企业内部控制的不同方面。
(二)企业的内部控制目标。企业作为以盈利为目的的经济实体,其内部控制的目标应包括以下几个方面:
1.建立和完善符合现代管理要求的内部组织结构,形成科学的决策机制、执行机制和监督机制,保证各项职责正确履行并提高工作效率;
2.建立行之有效的风险控制系统,强化风险管理,堵塞漏洞、消除隐患,防止并及时发现和纠正各种欺诈、舞弊行为,保护单位财产的安全、完整及有效利用;尽量减少不必要的成本、费用并保持盈利,确保单位经营管理目标的实现;
3.保证各项管理信息的提供,并保证信息的可靠性和及时性;
4.保证履行法律义务,确保国家有关法律法规和单位内部规章制度的贯彻执行。
四、企业内部控制系统结构
按照COSO报告的观点,内部控制的基本构成是以要素形式存在的,内部控制的设立与内部控制的基本构成要素的确定往往是联系在一起的。因此,企业内部控制的设置方式可以借鉴COSO报告,按照业务循环来设计。具体来说,可以根据内部控制要素的内涵,结合一般企业的生产和内部管理特点,针对不同业务循环及其关键控制点,确定相应的控制方式、方法和手段,并予以制度化,从而形成一套完善的内部控制系统。我们认为,一个完整的内部控制系统必须是一个由若干要素及子系统组成的整体(如图3所示)。具体阐述如下:
(一)营造良好的内部控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。COSO报告认为,控制环境是其他控制要素的基础,控制环境是一种氛围和条件,它内嵌于企业文化之中,影响员工的控制意识和实施控制的自觉性,决定着其他控制要素作用的发挥并影响到企业经营目标及整体战略目标的实现。从当前我国企业内部控制薄弱的现状来看,相比于控制制度的缺失,更多的则是制度执行中的人为失效,反映出企业与控制相关人员的素质、品行、价值观与道德观以及企业经营理念、企业文化等控制环境方面存在缺陷。因此,从优化控制环境入手,营造良好的控制环境,是内部控制理论和实践的迫切要求,也是内部控制建设的一项长期任务。任何制度要想得以有效实施,必须要得到所处环境的支持。一个理想的内部控制环境应包括以下几方面:1.完善而有效的公司治理机制;2.合理且高效的组织结构与岗位责权体系;3.符合市场经济要求的经营管理理念;4.适合本企业的人事政策;5.健康向上的企业文化。
(二)进行全面地风险管理,建立风险预警系统
风险管理就是指对风险的预测、分析、判断、评估及采取相应的措施,如回避、控制、分隔、分散、转移、自留及利用风险等活动过程。风险管理是通过对风险进行识别、衡量和控制,以最小的成本代价使风险损失达到最低的管理活动。它是人们对潜在的损失进行辨识、评估,并根据具体情况采取相应的措施进行处理,即在主观上尽可能有备无患或在无法避免时亦能寻求切实可行的补救措施,从而减少损失或进而风险为我所用。风险管理的全过程一般包括风险识别、风险评估、风险管理对策、实施与反馈等四个环节。
当今社会经济环境风云变幻,企业间的竞争越来越激烈,企业面临着内外各种风险。因此,必须有相应的风险评估机制,使企业增强防范和抵御风险的能力。预警系统的作用在于当企业偏离正常状态时,报告企业可能面临的危机,通过分析造成该种状态的原因,提前采取防范措施。预警系统一般包括专门的机构或人员、预警指标体系、相关的信息及传递、指标的分析处理等。
(三)规范和完善各主要控制活动
企业实际运转过程中,相关业务活动的控制在企业内部控制系统中占有举足轻重的位置,从对现实内部控制失败企业案例的分析中可以发现,业务活动内部控制的缺失或执行的无效是内部控制失败的关键性诱因。因此,内部控制体系中非常重要的一部分便是企业各业务活动的内部控制设计。企业的业务活动按其性质可以分为筹资活动、投资活动和经营活动三个大类,相应地,企业的主要控制活动包括以下几个方面:货币资金的内部控制、筹资活动的内部控制、对外投资的内部控制、采购与付款业务的内部控制、结算与收款业务的内部控制、成本费用的内部控制、实物资产的内部控制、担保业务的内部控制。
(四)建立和完善信息系统,加强信息沟通
任何控制活动的进行都是建立在对信息利用和处理基础之上的,一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情,信息系统的好坏直接影响到企业内部控制的效率和效果。特别是在信息技术飞速发展的今天,企业更应当重视对信息系统的建设和完善,以保证组织内的信息能够及时全面地被采集、传输、处理、反馈。一个完善的信息系统由三个部分组成:1.信息与沟通的渠道建设;2.会计核算系统;3.内部报告体系。
(五)强化对内部控制活动和内部控制系统的监控
企业内部控制是一个涉及生产经营管理各环节的过程系统,这个过程系统通过纳入管理过程的大量制度及活动实现。因此,要确保内部控制被切实执行,内部控制能够随时适应环境的变化,内部控制就必须被监督,以确保获得理想效果。内部控制的监督对象不但包括内部控制活动,而且还包括内部控制系统本身。企业可以通过设立内部审计机构开展内部审计或建立内部控制自我评估系统,加强对本企业内部控制的监督,及时发现内部控制中的漏洞和隐患,并针对出现的新问题、新情况及内部控制执行中的薄弱环节,及时修正或改进控制政策,使企业内部控制不断完善。
企业内部控制是现代企业管理最重要、最关键、最基本的一种管理方式。企业内部控制制度的完善严密与否,执行情况的好坏,直接关系到企业的兴衰成败。大量实际案例表明:“得控则强、无控则乱、失控则亡”。由此可见,一个企业经营管理的成败,与内部控制制度的完善严密与否有着内在的联系。完善的内部控制在加强企业的经营管理、维护财产安全、提高经济效益和保证信息真实、可靠方面发挥着极为重要的作用。因此,企业必须加强和完善内部控制体系,提高自身素质,以适应市场竞争的需要。