我国企业内部控制和风险管理中需要注意的几个问题
王小宝
财政部、证监会、审计署、银监会、保监会于
1、内部控制是企业风险管理的防御管理,是常态下采取的干预策略;
基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。财政部会计司司长、企业内部控制标准委员会秘书长刘玉廷做客《中国会计报》时指出:只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。在我国传统观念中,管理是通过人来管理事物,是通过管“乌纱帽”管理事物,是以事物发展的结果为标准,以成败论英雄,是一种事后追究责任的管理体制,是一种“亡羊补牢”的做法,已经远远不适应当今纷繁复杂的经济生活。而新的内部控制整合框架在引进美国文本式的内部控制标准的同时(当然这是非常重要的制度安排,其定位不仅是财务报告的可靠性,还定位于企业经营风险控制,范围比美国萨班斯法案更广泛。刘玉廷语),更引进了西方的管理理念,即通过流程来管事,以按规则把事情做对进行衡量,是一种过程控制。
2、内部控制建设过程中,更应注重信息的沟通。
随着信息经济时代的到来,企业的内部控制环境将发生显著的变化,企业面对的将是一个动态的、不稳定的市场,信息的实时传输成为信息经济时代企业内部控制的基本特征。
内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手。现代企业如果没有良好的治理结构,内部控制就会形同虚设。(中国会计报,刘玉廷)
目前,我国企业普遍缺乏良好的内部环境,主要表现在:法人治理结构不健全,内部控制的外部约束较弱;公司治理结构中责任不到位;缺乏绩效考核对内部控制与风险管理的引导机制;没有形成重视风险的控制文化;高管层缺乏自主控制意识。也就是说,我国部分企业治理结构不完善、董事会丧失监督作用、内部人控制现象严重,以及产权不清、组织机构重叠、不利于上下级信息沟通。这种现象的存在,阻碍了企业内部信息的沟通,影响了企业员工的执行力,削弱了企业的经营效率和效果。因此,如何构建企业信息报告制度,建立信息沟通程序是企业制定内部控制制度必须考虑的问题。
3、内部控制制度更要注重有效执行。
传统国有企业的粗放经营以及民营企业的人治色彩难以内生为控制的理念,而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系,这就决定了中国式内部控制的需求动力在很大程度上来源于外部的压力,包括融入国际市场经济的渴望以及建立国际一流企业的梦想,这种渴望和梦想使得国内企业不得不按照西方的框架建立相应的内部控制。在这一背景下,政府部门对内部控制的关注首先集中在容易发生舞弊风险的金融领域,特别是商业银行、证券公司等金融风险多发地带。然后由点到面,由金融机构向一般行业扩展。然而,具体企业根据自身需求设计整体内部控制的自发性远远不足。因此,企业内部控制制度能够有效执行的前提必须是:企业的高级管理人员率先垂范,将自己的行为置于公司内部控制制度的框架之内,同时强化企业风险管理意识,拿出加强风险管理的切实行动,把来自出资人和监管机构的推动力,变为加强企业抵御风险能力、增强经营效率的内在需要。只有这样,才能使得董事会、高管层、各部门、各层次全员参与内部控制制度的建设和执行。
4、内部控制应当在执行过程中及时修正;
内部控制制度的完善过程,是在建立有效信息沟通渠道的基础上,与内部环境的改善同时改进的过程。在执行内部控制制度过程中,要建立持续的全员培训计划,让全员明确知晓企业内控目标和自己的责任,要建立内部控制自我评估制度,由组织整体对管理控制和治理负责,以及时发现和修正内部控制制度中不合理、不完善、不适用于企业发展变化的部分。
5、内部控制制度中应包含业务应急计划的内容
董事会和管理层应该对企业的业务应急计划的准备情况负责;应该将业务应急计划融入到日常业务活动中,使之成为良好的工作习惯;如公司业务的数据备份。公司应该定期、全面和切实地测试业务应急计划。
石家庄三鹿集团股份有限公司是我国较大的婴幼儿奶粉生产商,近年的市场份额占到近20%,农村的市场份额更是到了30%,却在9月8日被媒体爆出质量问题。
河北省副省长杨崇勇9月17日在北京表示,石家庄三鹿集团股份有限公司
三鹿奶粉事件
时间 |
事件进程 |
时间 |
事件进程 |
3月 |
三鹿接到消费者投诉 称送测未发现问题,南京出现全国首例肾结石婴儿病例 |
|
|
6月 |
|
||
|
甘肃出现省内首例患儿 |
|
|
7月 |
|
||
|
|
||
|
|
||
|
|
||
|
国家有关部门的行动 |
||
|
|
伊利蒙牛等22家婴幼儿奶粉检出三聚氰胺 |
|
|
|
||
|
|
||
|
|
||
|
卫生部提醒停止使用该品种奶粉 |
截止9月17日 |
结石患儿6244例,死亡4人 |
|
|
||
|
|
||
|
|
石家庄市委书记吴显国被免职,国家质检总局局长李长江引咎辞职 |
由于三鹿集团在危机面前未启动企业业务应急计划,最终对行业、对消费者、对有关个人造成了极大的影响。
6、内部控制制度制定过程中,要强调多部门参与;
企业内部控制制度的设计涉及到多种控制思维视角,其核心是构筑内部控制框架,要以标准化的控制方法令不同的人操作同样的业务或过程能够产生重复性和一致性,因此需要按照企业的业务流程设计控制程序。企业业务流程是企业内部不仅仅限于一个单独部门的一系列相关业务活动,从而强调内部控制的制定要多部门参与、相互配合。美国企业SOX执行工作的责任分配就证明了这一点:
美国企业SOX执行工作的责任分配
SOX执行活动 |
执行sox活动的组织或部门 |
||||
企业层次的部门 |
内部审计
部门 |
财务报告
部门 |
运营或流程管理部门 |
IT管理部门 |
|
1、设计流程文件 |
19%(70) |
45%(166) |
34%(125) |
58%(216) |
30%(112) |
2、维护流程文件 |
19%(69) |
32%(119) |
33%(123) |
60%(225) |
27%(102) |
3、识别风险 |
31%(117) |
63%(234) |
37%(137) |
37%(139) |
21%(77) |
4、识别相应的控制 |
28%(103) |
59%(221) |
38%(143) |
45%(168) |
26%(97) |
5、测试关键控制 |
15%(55) |
77%(285) |
20%(76) |
24%(88) |
15%(56) |
6、自我评价 |
14%(53) |
18%(67) |
26%(96) |
46%(172) |
16%(61) |
7、补救控制例外 |
19%(69) |
23%(85) |
41%(152) |
72%(267) |
33%(121) |
8、与外部审计师协调 |
28%(104) |
63%(234) |
40%(147) |
6%(22) |
7%(27) |
7、内部控制的有效性与财务报告的可靠性的关系有待在实践中检验。
无论是证监会对证券公司内部控制的要求和上交所制定的《上市公司内部控制指引》,还是中国人民银行对商业银行内部控制的规定以及财政部对企业内部会计控制的规范,莫不以美国的控制要素为模板。然而,作为美国企业内部控制圣经的COSO报告能否适应中国所有制形式混杂、规模不一、管理者素质参差不齐的现实,远未经过大量的实践检验。即使在美国,也只有18%的审计师和管理层认为使用COSO1992框架评估企业内部控制制度的有效性能达到很高的一致性。
管理层和外部审计师用COSO1992得出的结论之间的一致性
问卷结果 |
受访者人数
N=327 |
占总数的比例(%) |
小型公司(%)N=62 |
大中型公司(%)N=265 |
1、完全不能 |
10 |
3.1 |
1.6 |
3.4 |
2、一定程度 |
166 |
50.8 |
58.1 |
49.1 |
3、中等程度 |
61 |
18.7 |
19.4 |
18.5 |
4、很大程度 |
58 |
17.7 |
12.9 |
18.9 |
5、不确定 |
32 |
9.8 |
8.1 |
10.2 |
8、缺乏统一的理论基础,政出多门,财政部、交易所和国资委。而美国萨班斯法是由国会通过的。而我国的有关内部控制的法规分别来自于财政部、国资委和证券交易所,不利于内部控制的统一与协调,也不利于有效地推进企业内部控制的设计与执行。我国各有关部门自2005年以来颁布的关于企业内部控制和风险管理的文件主要有:
2005年10月,证监会出台《关于提高上市公司质量意见》;