內部控制的有效性有兩層涵義:一是指企業的內部控制政策和措施沒有與國家法律相抵觸的地方;二是指設計完整,合理的內部控制在企業的生產經營過程中,能夠得到貫徹執行并發揮作用,實現其為提高經濟效率、效果,提供可靠財務報告和遵循法律法規提供合理保證的目標。在評價內部控制的有效性時,只有滿足了第一層涵義,才能考慮其執行的效果;而第二層涵義對企業來說則是根本性的,也是企業的追求目標。內部控制有效執行的主要制約因素有:
(一)內部控制的執行動力先天不足
從經濟學的視角來審視內部控制的執行,內部控制制度的執行成本幾乎是由企業的總經理及以下的各執行層來承擔。而內部控制執行效果的受益者除經理層和內部員工外,還有企業的委托層(股東)和企業外部的審計人員、投資者和潛在投資者、外部監管者等相關各方。因此,如果沒有對代理人內部控制的再監督,企業收益提高了,但執行者卻得不到報酬,那么內部控制的執行水平必然低于企業最優水平。而單純的外部管制并不能解決這種外部效應導致的內控失靈,這一點通過透視中航油事件可以得到驗證。
(二)內部控制受管理成本因素的影響
不管實施何種管理,都需要付出管理成本,如果實施內部控制造成企業管理成本奇高,則有可能對內部控制進行適當的調整和修改,這樣就會削弱內部控制效能的充分發揮。控制環節越多,控制措施越復雜,相應的控制成本也就越高,同時也會影響企業生產經營活動的效率。
(三)高層管理人員的違規操作
內部控制是人們根據管理的需要而建立的一種方法,只有每個人都能按要求執行,才能發揮其真正的作用。但是如果高層管理人員違規操作,那么再嚴密的內部控制也不能產生應有的效果。內部控制作為企業管理的一個組成部分,它理所當然地要按照其管理人員的意圖運行,尤其是企業負責人的決策更是起決定作用。決策出了問題,貫徹決策人意圖的內部控制也就失去了應有的控制效能。
三、內控新規下加強內控有效執行的措施
(一)樹立正確的“內控觀”
內部控制體系并不是一個獨立于企業現有管理體系外的新東西,更不意味著對企業現有管理體系的否定。實際上,內部控制體系更應該扮演現有管理體系的“整合者”角色。內部控制體系應該融入到企業的文化中去,企業領導應該真正認識到內控的精神實質,才能積極推動企業內控的發展,并真正幫助企業實現價值的最大化。具體執行如下步驟:第一,評估現狀。參照規范的內容對企業自身進行一個自我檢查,充分理解企業現存的內部控制措施以及其中存在的內部控制缺陷,并對企業的業務流程進行全方位的梳理。 第二,建立初步規劃。由于基本規范不僅要求企業要像《薩奧法案》那樣財務報表合規,還包括對效率效果的合規、合法性、資產安全以及戰略方面等五個目標全部要合規。因此,企業目前可以配合自身管理的需要去建立一個初步的規劃,然后再逐步實現目標。 第三,建立有效的工作團隊。企業應按照基本規范的要求,明確董事會、監事會以及各級管理層在內部控制中的責任,規范審計委員會以及內部審計職能的獨立性。在此基礎上根據自身情況搭建內部控制體系,建立內控團隊,啟動一系列內部培訓,包括在企業內部對內控重要性的宣傳。對于某些企業而言,如果執行內部控制標準過高,可以考慮將其業務外包,由專業中介機構提供服務,盡可能提高效率、減少成本。 第四,必須關注內控指引的建設與更新。由于基本規范對部分關鍵的標準和程序只提出原則性的要求,而具體的指引都還處于征求意見的階段,因此企業一方面要關注現有政策的明確要求(如證券交易所內控指引中提出的關注領域),另一方面需要時刻關注指引內容的變化與要求。在某種情況下,對政策要求的誤判,可能會直接造成企業成本的增加,甚至浪費。
(二)引入問責機制,建立內控制度有效執行的機制保障
所謂問責制,就是在某項活動中針對相應的權力明確相應的責任,并對相應責任履行進行嚴格科學考核,及時察覺失責,依據相應的失責對當事人追究和懲罰,靠“問”的“制度化”來保證“權責對等”實現的一種機制。內控制度中建立嚴格科學的問責制,并嚴格執行,可以增加內部經營活動各方逃避義務的風險,增強各方互利合作的可能,促使內部控制制度有效實施。
內部控制基本原理——三角制衡原理(見圖1)。在內部控制制度中解決由誰來問責這一問題,值得重視,單位所有經濟業務涉及到以下人員,他們是經辦人、審核人、審批人、支付人、檢查人、監督人等,他們的權力可以分為三類,一類是經辦權,另一類是審核、審批或支付權,還有一類是檢查、監督權。這三類人所分管的工作應該是相互獨立并形成相互制衡關系,如同三角形的三個邊。這也體現了內部控制的兩個基本原則——崗位分離原則和權力制約原則。
(三)全員參與,與績效考核相掛鉤
COSO的內部控制概念中強調內部控制是由企業董事會、經理層和其他員工共同實施的,《基本規范》第3條也明確了這一點。可見企業內的任何一名員工都應參與到內部控制管理中,也應被納入到內部控制運行過程中,實現內部控制運行過程中的全員參與,同時,明確個人在事前、事中、事后不同的風險控制責任,明確各部門、各崗位的具體職責。只有從上至下的全員重視,并嚴格按照內部控制指引的規定進行操作,才有可能避免風險事件的發生。
根據行為科學理論,為了最大限度地發揮人的主觀能動性,只有根據行為效果進行獎罰才能實現人的行為效果的最大化。因此必須要把激勵和約束機制引入到內部控制運行機制中來,完善管理層上下級之間的委托代理關系。把內部控制的相關工作明確責任,落實到人,按照管理層次進行層層分解落實,并且和公司的經營目標、崗位責任聯系起來,進行必要的獎罰和考核。通過內部控制運行與績效相掛鉤,達到進一步強化內部控制執行的目的。 (四)強化信息技術安全
近期一系列金融機構中所發生的金融欺詐案例都在提醒我們,強化IT系統安全對于防范欺詐風險的重要性。《基本規范》強調了企業要建立與其經營管理相適應的信息系統,使得內部控制流程能夠和信息系統實現有機結合,從而達到對相關流程的自動控制,以便進一步減少或消除人為操作因素所帶來的風險。同時,企業也應該采用先進、完善的信息技術手段,如加強人員權限和密碼管理、嚴格監控數據輸入、對所有操作進行詳細記錄和備份,以確保技術系統的安全運行。
(五)建立風險預警和突發事件應急機制
根據《基本規范》的相關要求,企業要全面系統地收集所有信息,及時進行風險評估,并采取適當的風險應對策略,比如購買保險、及時放棄或停止相關活動以減少或避免損失等,實現對風險的分散和有效控制。同時,嚴格執行風險管理制度。相對于制定嚴格的風險管理制度,將這些制度嚴格地落實到企業實踐中才是更為重要的。如果沒有良好的執行,再完善的制度也起不到任何作用。除了制定制度之外,企業管理層應該在制度的執行上進行更加嚴格的監督,才能真正實現風險控制的目的。●
【主要參考文獻】
[1] 財政部,證監會,審計署,銀監會,保監會.《企業內部控制基本規范》.
[2] 陳志斌,何忠蓮.內部控制執行機制分析框架構建[J].會計研究,2007,(10).
[3] 陳志斌.問責機制與內部控制制度的有效實施[J].《會計研究》,2004,(7).
[4] 萬志昂.建立健全企業內部控制制度的探討[J].商業會計,2009(3).
[5] 劉進.對內部控制運行機制的思考[J].中國內部審計, 2006,(7).
[6] 許學丹. 如何提高企業內部控制的有效性[J].財會月刊,2009,(2).
[7] 吳俊.企業內部控制的局限性及執行中應處理好的關系[J].會計之友,2008(12).
[8] 萬志昂.建立健全企業內部控制制度的探討[J].商業會計,2009(3).
[9] “執行”內控新規[J].首席財務官,2008(11).
