我国企业内部控制和风险管理中需要注意的几个问题
王小宝
财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行,同时鼓励非上市的其他大中型企业执行。基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标定位于五个方面,包括:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。这就要求各公司对企业的内部控制制度进行梳理、完善。企业在制定内部控制制度时,应注重以下问题:
1、内部控制是企业风险管理的防御管理,是常态下采取的干预策略;
基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。财政部会计司司长、企业内部控制标准委员会秘书长刘玉廷做客《中国会计报》时指出:只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。在我国传统观念中,管理是通过人来管理事物,是通过管“乌纱帽”管理事物,是以事物发展的结果为标准,以成败论英雄,是一种事后追究责任的管理体制,是一种“亡羊补牢”的做法,已经远远不适应当今纷繁复杂的经济生活。而新的内部控制整合框架在引进美国文本式的内部控制标准的同时(当然这是非常重要的制度安排,其定位不仅是财务报告的可靠性,还定位于企业经营风险控制,范围比美国萨班斯法案更广泛。刘玉廷语),更引进了西方的管理理念,即通过流程来管事,以按规则把事情做对进行衡量,是一种过程控制。
2、内部控制建设过程中,更应注重信息的沟通。
随着信息经济时代的到来,企业的内部控制环境将发生显著的变化,企业面对的将是一个动态的、不稳定的市场,信息的实时传输成为信息经济时代企业内部控制的基本特征。
内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手。现代企业如果没有良好的治理结构,内部控制就会形同虚设。(中国会计报,刘玉廷)
目前,我国企业普遍缺乏良好的内部环境,主要表现在:法人治理结构不健全,内部控制的外部约束较弱;公司治理结构中责任不到位;缺乏绩效考核对内部控制与风险管理的引导机制;没有形成重视风险的控制文化;高管层缺乏自主控制意识。也就是说,我国部分企业治理结构不完善、董事会丧失监督作用、内部人控制现象严重,以及产权不清、组织机构重叠、不利于上下级信息沟通。这种现象的存在,阻碍了企业内部信息的沟通,影响了企业员工的执行力,削弱了企业的经营效率和效果。因此,如何构建企业信息报告制度,建立信息沟通程序是企业制定内部控制制度必须考虑的问题。
3、内部控制制度更要注重有效执行。
传统国有企业的粗放经营以及民营企业的人治色彩难以内生为控制的理念,而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系,这就决定了中国式内部控制的需求动力在很大程度上来源于外部的压力,包括融入国际市场经济的渴望以及建立国际企业的梦想,这种渴望和梦想使得国内企业不得不按照西方的框架建立相应的内部控制。在这一背景下,政府部门对内部控制的关注首先集中在容易发生舞弊风险的金融领域,特别是商业银行、证券公司等金融风险多发地带。然后由点到面,由金融机构向一般行业扩展。然而,具体企业根据自身需求设计整体内部控制的自发性远远不足。因此,企业内部控制制度能够有效执行的前提必须是:企业的管理人员率先垂范,将自己的行为置于公司内部控制制度的框架之内,同时强化企业风险管理意识,拿出加强风险管理的切实行动,把来自出资人和监管机构的推动力,变为加强企业抵御风险能力、增强经营效率的内在需要。只有这样,才能使得董事会、高管层、各部门、各层次全员参与内部控制制度的建设和执行。
4、内部控制应当在执行过程中及时修正;
内部控制制度的完善过程,是在建立有效信息沟通渠道的基础上,与内部环境的改善同时改进的过程。在执行内部控制制度过程中,要建立持续的全员培训计划,让全员明确知晓企业内控目标和自己的责任,要建立内部控制自我评估制度,由组织整体对管理控制和治理负责,以及时发现和修正内部控制制度中不合理、不完善、不适用于企业发展变化的部分。
5、内部控制制度中应包含业务应急计划的内容
董事会和管理层应该对企业的业务应急计划的准备情况负责;应该将业务应急计划融入到日常业务活动中,使之成为良好的工作习惯;如公司业务的数据备份。公司应该定期、全面和切实地测试业务应急计划。
石家庄三鹿集团股份有限公司是我国较大的婴幼儿奶粉生产商,近年的市场份额占到近20%,农村的市场份额更是到了30%,却在9月8日被媒体爆出质量问题。
河北省副省长杨崇勇9月17日在北京表示,石家庄三鹿集团股份有限公司8月2日向市政府报告奶粉存在质量问题,市政府没有及时向社会公布,直到9月9日,即新闻媒体已经报道以后,才向省政府报告。在长达38天的时间中,三鹿集团竟没有采取任何应急措施,没有主动向社会公布情况、没有主动召回问题奶粉,最终造成灭顶之灾。这是企业内部控制不健全、没有得到有效执行的典型案例。
三鹿奶粉事件
时间 | 事件进程 | 时间 | 事件进程 |
3月 | 三鹿接到消费者投诉 称送测未发现问题,南京出现全国首例肾结石婴儿病例 | 9月12日 | |
6月 | 9月12日 | ||
6月28日 | 甘肃出现省内首例患儿 | 9月12日 | |
7月 | 9月12日 | ||
9月17日 | |||
7月16日 | 9月17日 | ||
8月1日 | 9月18日 | ||
9月8日 | 有关部门的行动 | ||
9月1日 | 9月16日 | 伊利蒙牛等22家婴幼儿奶粉检出三聚氰胺 | |
9月10日 | 9月17日 | ||
9月11日 | 9月17日 | ||
9月11日 | 9月17日 | ||
9月11日 | 卫生部提醒停止使用该品种奶粉 | 截止9月17日 | 结石患儿6244例,死亡4人 |
9月12日 | 9月18日 | ||
9月12日 | 9月18日 | ||
9月12日 | 9月22日 | 石家庄市委书记吴显国被免职,质检总局局长李长江引咎辞职 |
由于三鹿集团在危机面前未启动企业业务应急计划,最终对行业、对消费者、对有关个人造成了极大的影响。
6、内部控制制度制定过程中,要强调多部门参与;
企业内部控制制度的设计涉及到多种控制思维视角,其核心是构筑内部控制框架,要以标准化的控制方法令不同的人操作同样的业务或过程能够产生重复性和一致性,因此需要按照企业的业务流程设计控制程序。企业业务流程是企业内部不仅仅限于一个单独部门的一系列相关业务活动,从而强调内部控制的制定要多部门参与、相互配合。美国企业SOX执行工作的责任分配就证明了这一点:
美国企业SOX执行工作的责任分配
SOX执行活动 | 执行sox活动的组织或部门 | ||||
企业层次的部门 | 内部审计 部门 | 财务报告 部门 | 运营或流程管理部门 | IT管理部门 | |
1、设计流程文件 | 19%(70) | 45%(166) | 34%(125) | 58%(216) | 30%(112) |
2、维护流程文件 | 19%(69) | 32%(119) | 33%(123) | 60%(225) | 27%(102) |
3、识别风险 | 31%(117) | 63%(234) | 37%(137) |
利安达山西分所于2019年10月28日至10月29日成功举办了为期两天的培训活动,培训主题——新会计准则业务内容。此次培训活动我们诚邀广大新三板客户财务负责人及相关财务人员前来参加,并受到了客户积极响应。
此次培训主讲人有:利安达山西分所负责人王小宝、利安达河南分所负责人商振乾、利安达山西分所注册会计师崔雪岚、山西泰和财税咨询有限公司负责人刘强。他们结合自身多年资深的实务经验为我们精彩地讲解了会计基础工作规范、企业纳税风险防范、新会计准则及成本管理,着实令人受益匪浅。 通过此次培训能更好地加强我们与客户之间的有效沟通,加强相互促进、互惠共赢的合作关系,积极地为客户提供优质的服务。
利安达会计师事务所
(特殊普通合伙)山西分所供稿
|