员工风采 您现在所在位置:首页 > 员工风采
  • 我国企业内部控制和风险管理中需要注意的几个问题
  • 发布人:本站 发布时间:2012-11-14 浏览次数:1811次
  •  

    我国企业内部控制和风险管理中需要注意的几个问题

    王小宝

     

    财政部、证监会、审计署、银监会、保监会于2008628联合发布《企业内部控制基本规范》。基本规范自200971起先在上市公司范围内施行,同时鼓励非上市的其他大中型企业执行。基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标定位于五个方面,包括:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。这就要求各公司对企业的内部控制制度进行梳理、完善。企业在制定内部控制制度时,应注重以下问题:

    1、内部控制是企业风险管理的防御管理,是常态下采取的干预策略;

    基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。财政部会计司司长、企业内部控制标准委员会秘书长刘玉廷做客《中国会计报》时指出:只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。在我国传统观念中,管理是通过人来管理事物,是通过管“乌纱帽”管理事物,是以事物发展的结果为标准,以成败论英雄,是一种事后追究责任的管理体制,是一种“亡羊补牢”的做法,已经远远不适应当今纷繁复杂的经济生活。而新的内部控制整合框架在引进美国文本式的内部控制标准的同时(当然这是非常重要的制度安排,其定位不仅是财务报告的可靠性,还定位于企业经营风险控制,范围比美国萨班斯法案更广泛。刘玉廷语),更引进了西方的管理理念,即通过流程来管事,以按规则把事情做对进行衡量,是一种过程控制。

    2、内部控制建设过程中,更应注重信息的沟通。

    随着信息经济时代的到来,企业的内部控制环境将发生显著的变化,企业面对的将是一个动态的、不稳定的市场,信息的实时传输成为信息经济时代企业内部控制的基本特征。

    内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手。现代企业如果没有良好的治理结构,内部控制就会形同虚设。(中国会计报,刘玉廷)

    目前,我国企业普遍缺乏良好的内部环境,主要表现在:法人治理结构不健全,内部控制的外部约束较弱;公司治理结构中责任不到位;缺乏绩效考核对内部控制与风险管理的引导机制;没有形成重视风险的控制文化;高管层缺乏自主控制意识。也就是说,我国部分企业治理结构不完善、董事会丧失监督作用、内部人控制现象严重,以及产权不清、组织机构重叠、不利于上下级信息沟通。这种现象的存在,阻碍了企业内部信息的沟通,影响了企业员工的执行力,削弱了企业的经营效率和效果。因此,如何构建企业信息报告制度,建立信息沟通程序是企业制定内部控制制度必须考虑的问题。

    3、内部控制制度更要注重有效执行。

    传统国有企业的粗放经营以及民营企业的人治色彩难以内生为控制的理念,而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系,这就决定了中国式内部控制的需求动力在很大程度上来源于外部的压力,包括融入国际市场经济的渴望以及建立国际一流企业的梦想,这种渴望和梦想使得国内企业不得不按照西方的框架建立相应的内部控制。在这一背景下,政府部门对内部控制的关注首先集中在容易发生舞弊风险的金融领域,特别是商业银行、证券公司等金融风险多发地带。然后由点到面,由金融机构向一般行业扩展。然而,具体企业根据自身需求设计整体内部控制的自发性远远不足。因此,企业内部控制制度能够有效执行的前提必须是:企业的高级管理人员率先垂范,将自己的行为置于公司内部控制制度的框架之内,同时强化企业风险管理意识,拿出加强风险管理的切实行动,把来自出资人和监管机构的推动力,变为加强企业抵御风险能力、增强经营效率的内在需要。只有这样,才能使得董事会、高管层、各部门、各层次全员参与内部控制制度的建设和执行。

    4、内部控制应当在执行过程中及时修正;

    内部控制制度的完善过程,是在建立有效信息沟通渠道的基础上,与内部环境的改善同时改进的过程。在执行内部控制制度过程中,要建立持续的全员培训计划,让全员明确知晓企业内控目标和自己的责任,要建立内部控制自我评估制度,由组织整体对管理控制和治理负责,以及时发现和修正内部控制制度中不合理、不完善、不适用于企业发展变化的部分。

    5、内部控制制度中应包含业务应急计划的内容

    董事会和管理层应该对企业的业务应急计划的准备情况负责;应该将业务应急计划融入到日常业务活动中,使之成为良好的工作习惯;如公司业务的数据备份。公司应该定期、全面和切实地测试业务应急计划。

    石家庄三鹿集团股份有限公司是我国较大的婴幼儿奶粉生产商,近年的市场份额占到近20%,农村的市场份额更是到了30%,却在98日被媒体爆出质量问题。

    河北省副省长杨崇勇917日在北京表示,石家庄三鹿集团股份有限公司82向市政府报告奶粉存在质量问题,市政府没有及时向社会公布,直到99,即新闻媒体已经报道以后,才向省政府报告。在长达38天的时间中,三鹿集团竟没有采取任何应急措施,没有主动向社会公布情况、没有主动召回问题奶粉,最终造成灭顶之灾。这是企业内部控制不健全、没有得到有效执行的典型案例。

    三鹿奶粉事件

    时间

    事件进程

    时间

    事件进程

    3

    三鹿接到消费者投诉 称送测未发现问题,南京出现全国首例肾结石婴儿病例

    912

    质检总局开始全国性调查

    6

    国家质检总局网站接到问题奶粉投诉

    912

    卫生部上报病 印发相关诊疗方案

    628

    甘肃出现省内首例患儿

    912

    北京、上海、天津、广州、南京、宁波、长沙等地的三鹿奶粉下架

    7

    广东现疑因食用三鹿奶粉引发肾结石病例

    912

    三鹿受污染奶粉致婴儿泌尿系统结石事实初步认定

     

    长沙南京北京多名婴儿家长投诉三鹿

    917

    三鹿原董事长总经理田文华被刑拘

    716

    甘肃卫生厅接到多起患病报告

    917

    石家庄市委副书记、副市长和三名局长被免职

    81

    三鹿查明不法奶农掺入三聚氰胺 未对外公布消息

    918

    18名嫌犯因奶粉事件被逮捕

    98

    甘肃14名婴儿患结石住院 均来自农村

    国家有关部门的行动

    91

    豫赣鄂等多省发现类似病例

    916

    伊利蒙牛等22家婴幼儿奶粉检出三聚氰胺

    910

    陕甘宁再现6 南京10例结石案例

    917

    质检总局:停止实行食品类生产企业国家免检

    911

    甘肃:59名婴儿患病 1人死亡

    917

    质检总局将检查乳品企业和乳制品

    911

    三鹿上午称奶粉质检合格晚间承认700吨奶粉受污染

    917

    洋奶粉传将乘机涨价 国内奶粉商面临挤兑

    911

    卫生部提醒停止使用该品种奶粉

    截止917

    结石患儿6244例,死亡4

    912

    南京15名幼儿出院 江苏收治20婴儿

    918

    蒙牛伊利光明液态奶检出三聚氰胺

    912

    三鹿集团辩称不法奶农掺入三聚氰胺

    918

    国家标准委正在修订乳品相关标准

    912

    石家庄警方传唤78名问题奶粉嫌疑人

    922

    石家庄市委书记吴显国被免职,国家质检总局局长李长江引咎辞职

    由于三鹿集团在危机面前未启动企业业务应急计划,最终对行业、对消费者、对有关个人造成了极大的影响。

    6、内部控制制度制定过程中,要强调多部门参与;

    企业内部控制制度的设计涉及到多种控制思维视角,其核心是构筑内部控制框架,要以标准化的控制方法令不同的人操作同样的业务或过程能够产生重复性和一致性,因此需要按照企业的业务流程设计控制程序。企业业务流程是企业内部不仅仅限于一个单独部门的一系列相关业务活动,从而强调内部控制的制定要多部门参与、相互配合。美国企业SOX执行工作的责任分配就证明了这一点:

    美国企业SOX执行工作的责任分配

    SOX执行活动

    执行sox活动的组织或部门

    企业层次的部门

    内部审计

    部门

    财务报告

    部门

    运营或流程管理部门

    IT管理部门

    1、设计流程文件

    19%70

    45%166

    34%125

    58%216

    30%112

    2、维护流程文件

    19%69

    32%119

    33%123

    60%225

    27%102

    3、识别风险

    31%117

    63%234

    37%137

    37%139

    21%77

    4、识别相应的控制

    28%103

    59%221

    38%143

    45%168

    26%97

    5、测试关键控制

    15%55

    77%285

    20%76

    24%88

    15%56

    6、自我评价

    14%53

    18%67

    26%96

    46%172

    16%61

    7、补救控制例外

    19%69

    23%85

    41%152

    72%267

    33%121

    8、与外部审计师协调

    28%104

    63%234

    40%147

    6%22

    7%27

    7、内部控制的有效性与财务报告的可靠性的关系有待在实践中检验。

    无论是证监会对证券公司内部控制的要求和上交所制定的《上市公司内部控制指引》,还是中国人民银行对商业银行内部控制的规定以及财政部对企业内部会计控制的规范,莫不以美国的控制要素为模板。然而,作为美国企业内部控制圣经的COSO报告能否适应中国所有制形式混杂、规模不一、管理者素质参差不齐的现实,远未经过大量的实践检验。即使在美国,也只有18%的审计师和管理层认为使用COSO1992框架评估企业内部控制制度的有效性能达到很高的一致性。

    管理层和外部审计师用COSO1992得出的结论之间的一致性

    问卷结果

    受访者人数

    N=327

    占总数的比例(%

    小型公司(%N=62

    大中型公司(%N=265

    1、完全不能

    10

    3.1

    1.6

    3.4

    2、一定程度

    166

    50.8

    58.1

    49.1

    3、中等程度

    61

    18.7

    19.4

    18.5

    4、很大程度

    58

    17.7

    12.9

    18.9

    5、不确定

    32

    9.8

    8.1

    10.2

    8、缺乏统一的理论基础,政出多门,财政部、交易所和国资委。而美国萨班斯法是由国会通过的。而我国的有关内部控制的法规分别来自于财政部、国资委和证券交易所,不利于内部控制的统一与协调,也不利于有效地推进企业内部控制的设计与执行。我国各有关部门自2005年以来颁布的关于企业内部控制和风险管理的文件主要有:

    200510月,证监会出台《关于提高上市公司质量意见》;

    2006517,证监会发布《首次公开发行股票并上市管理办法》,第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留意见的内部控制鉴证报告”;

    200665,上交所出台《上市公司内部控制指引》,要求上市公司建立内部控制体系,并于200671全面执行;

    200666,国务院国资委发布《中央企业全面风险管理指引》,强调:企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,要求结合企业实际情况执行风险管理指引。

    2006928,深交所出台《上市公司内部控制指引》,要求上市公司于200671全面执行;

    2008522,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,并于628在北京发布,自200971起先在上市公司范围内施行。