摘要:內部控制一直是當前理論界和實務界最為關注的話題之一,強化企業的內部控制已經成為發達國家公司治理的重要手段。文章分析了企業內部控制理論的演進過程和發展方向,論述了目前我國企業內部控制存在的問題和信息化環境下企業內部控制呈現的新特點,探討了新時期內部控制系統設計的策略。
關鍵詞:內部控制;信息技術;控制評估
中圖分類號:F272文獻標識碼:A文章編號:1003-854X(2007)03-0042-02
長期以來,內部控制一直是當前理論界和實務界最為關注的話題之一,加強內部控制制度建設已成為建立現代企業制度的內在要求。毫不夸張地說,沒有系統具體而有效的內部控制,企業治理將成為一紙空文。內部控制,作為一個專用名詞和完整概念,直到 20 世紀 90 年代才被人們提出、認識和接受。目前一些企業特別是有些國有企業對內部控制的認識存在兩種傾向值得注意:一是一部分人認為只要能夠規范化操作就行了,不必考慮是否先進。二是片面強調改革組織結構的重要性,忽視了控制方式的跟進和強化,這就使公司的改革同微觀治理機制相脫離。隨著科學與技術突飛猛進,經濟全球化、虛擬化、信息化進程的加快,企業面臨的機遇與風險劇增,對企業內部控制提出了新要求,如何應對新的挑戰,完善企業內部控制制度建設,已經成為企業不容回避的問題。
一是不斷探索內部控制理論上的創新。現代內部控制不能局限于會計口徑,更不能僅滿足于審計視野,要使全社會關心組織內部控制制度建設并督促實施,使內部控制真正成為公司的一種基礎性制度。內部控制理論必須首先打破局限于會計與審計領域的傳統認識,把內部控制在理論與方法上從審計范疇中解放出來,從整個社會與組織運行高度來重新審視內部控制原理,通過理論創新來推動內部控制的不斷完善與發展。
二是完善企業的控制環境。控制環境中的要素很多,有價值觀、組織結構、控制目標、員工能力、激勵與誘導機制、管理哲學與經營風格、規章制度和人事政策等等。這些要素對于企業來說,不是短時間內就能改變或形成的。要改善企業內部控制環境,要做好如下工作:(1)加快現代企業產權制度改革。真正實現產權明晰、權責清楚、管理科學、政企分開的現代企業制度,從產權制度上保證內部控制制度有效建立。(2)要有明確的內部控制主體和控制目標。控制主體解決了由誰進行內部控制的問題,而控制目標則解決了為什么要進行控制的問題。科學的企業組織結構在企業內部應包含四個層次的經濟主體,相應地,企業內部也有四種控制主體,即股東、經營者、管理者和普通員工,有各自的控制目標:股東的目標是財富最大化;經營者的目標是不斷增加經營效益;管理者的目標是完成責任目標、獲得業務運行的真實報告;普通員工的目標是遵從企業的內部規章制度,不斷提高企業的生產經營效率。(3)注重企業文化的培養與優化。由于文化本身所具有的特性(無形性、軟約束性、相對穩定性和連續性),使企業文化始終以一種不可抗拒的方式影響著企業,不可避免地影響著企業的內部控制。我國企業在培養自身的文化時,應避免一種只注重內部和短期的企業文化,而應基于企業實際建立一套員工普遍接受的企業文化,使員工真正從內心深處“心系企業”,產生一種凝聚力,這樣才能建立牢固的內控體系根基。(4)增強組織的靈活與精干。要盡量減少管理層次,控制管理幅度,提倡一崗多編,一專多能,使組織機構變扁、變瘦,以利于提高組織效率,降低費用開支。要增強組織對市場、環境變化的靈敏度,提高組織的可塑性。團隊式組織結構和單項環型組織結構以及虛擬公司的出現和有效運作,都可以作為借鑒。(5)加強人力資源管理。人是設計和實施內部控制的主體,現代企業應該以人為本,加強對人力資源的管理。在信息化環境下,不僅對有關人員的知識、技能有了新的要求,而且在道德標準、工作態度上有了更高的要求。建立定期評價、崗位輪換、在職培訓制度,定期對工作人員的表現、成績和問題進行考核,以提高工作人員的技能水平,作業崗位權責分派應最大限度地發揮每個員工的主觀能動性和潛能。
三是進行全面的風險評估,建立危機管理機制。按成本效益原則,重點需要對那些風險水平較高的可控因素實施控制。以工作目標為風險評估的起點,找出控制環境諸要素中可能導致工作目標不能如期實現的關鍵控制點,通過對其風險程度的評估,并采取科學控制風險的措施,積極有效地加以控制,從而保證其工作目標的實現。風險管理是企業的管理層和所有員工的基本責任,因此,企業各個階層都要樹立風險防范意識,要加強對相關工作人員進行風險防范知識培訓,通過相關知識的培訓與具體實例相結合,促進員工牢固樹立風險防范意識。同時,應建立危機管理系統提高企業應對突發事件的能力,為風險控制系統提供強有力的支持。
四是確保有效的控制活動。(1)針對人員的控制。在會計信息化環境下,企業組織的權責范圍遵循以流程為核心的原則,各部門之間實行職責相分離。信息系統的建立導致了一些新的職能工作,這些工作的分工安排,同樣應遵循內部控制中的內部牽制原則。實行票據保管、收款與會計記錄人員的崗位分離;數據、文件的保管工作應獨立設置,這樣可以防止越權存取、使用數據或文件。各部門通過定期舉行績效考評會議,作為對其工作目標完成情況的事后控制,不僅可以總結一定時期的工作成果,同時也是發現問題、改進工作的過程。通過績效考評,配合一些必要的獎懲措施,將部門的工作目標與個人工作目標緊密地聯系在一起。(2)針對信息系統的控制活動。企業信息化系統使用過程應進行操作權限與操作規程控制、信息安全與數據處理流程控制,作業崗位的人員只能按照所授予的權限接觸和操作系統,并通過對每個用戶進行系統功能的授權來落實其責任和權限,把計算機用戶對信息的讀入或修改控制在一定的級別范圍之內,進行身份認證,設置系統管理員和其他用戶的權限,禁止非法操作人員進行操作。對系統軟件必須先進行嚴格的檢查與測試,查看該軟件是否具有容錯和糾錯的能力,確定該軟件的合格性和合規性,糾正隱含在軟件內的程序處理邏輯錯誤與計算錯誤;數據輸入過程中進行崗位分工,輸入后進行數據核對。 五是建立良好的信息系統,加強信息流動與溝通。管理要納入信息系統的規范運作,先進的管理思想應該不斷融入信息系統中。信息系統不僅處理企業內部所產生的信息,同時也處理與外部的事項及環境等有關的信息。要建立一個廣泛而有效的信息與交流系統,應該遵循以下原則:(1)一個有效的內控系統需要充分的和全面的內部財務、經營等方面的數據,以及關于外部市場中與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲,并能以前后一致的形式規范地提供使用。(2)有效的內控需要建立可靠的信息系統,涵蓋公司的全部重要活動。(3)有效的內控系統需要有效的交流渠道,確保所有員工充分理解和堅持現行的政策和程序,影響他們的職責,并確保其他的相關信息傳達到應被傳達到的人員。
六是加強內部控制的監督與評估。(1)建立相應的問責制。我國企業普遍存在的問題是內控制度制定時看起來十分完備,但出現問題時,就不知道找誰負責。所以,必須使責任清晰地落實到個人,各個環節有什么樣的風險,不同級別人員有多大的權限,都非常清晰,一旦出現問題,就可以很清晰地判斷是哪個環節出了問題,并通過對相關責任人執行考核,形成內部控制實施效果的評價反饋,從而保障內部控制制度的正常運行。(2)增強內部審計的獨立性和權威性。建議企業都成立隸屬于最高領導的綜合管理部門,以保證內部審計的獨立性和權威性。同時還應配備高素質的管理人才。隨著內部審計由財務領域向經營、管理領域的拓展,監管機構在人員的構成上也應是多元化的,不僅要有懂財務的審計人才,而且還應配備精通企業各相關業務的專門人才,選擇有豐富業務經驗的人員加入內部監管部門,使內部審計在企業內部控制制度中發揮更大的作用。(3)內部審計應從事后審計向事前和事中審計轉變。(4)強化外部監管的作用。企業要接受政府的監管,同時也必須聘請社會中介機構來對企業內部控制的建立健全以及實施情況進行評價。社會對企業的監管主要來自于注冊會計師的獨立審計。社會監管以其特有的中介性和公正性而得到法律的認可,具有很強的公正性和權威性。但外部的檢查監督不能取代內審的職能,兩者只有有機地結合在一起,才能使對內部控制的監管做到真正有效。(5)實行控制自我評估。“控制自我評估(CSA,ControlSelf Appraisal)”是一種新興的審計技術和方法,意指每個企業不定期或定期地對自己的內部控制系統進行評估,評估內部控制的有效性及其實施的效率效果。CSA 把傳統的只有內部審計人員從事的內控評價轉由公司各部門參與作業的人員親自評估,幫助他們認識到內部控制不止是內部審計工作的責任,也不僅僅是高級管理層應關心的問題,相反,應該把它看作是組織所有成員的事。設計 CSA 的目的是使人們了解哪里存有缺陷以及可能引至的后果,然后讓他們自己采取行動改進這種狀況,而不是坐等內部審計人員站出來。為此,我國企業可試行定期或不定期地進行 CSA,以便經常發現和解決內部控制過程中出現的問題。
總之,內部控制的加強不是短期內就能完成的,也不是單靠企業自身的努力就可以達到的。不同的企業,其規模、文化背景存在差異,而同一企業在不同發展階段,內部控制的內容也有所區別,所以,在設計內部控制制度時,重要的是應從企業自身的經營特點出發,為企業量身訂做,這樣才能使企業的內部控制做到真正意義上的科學、有效。
