一、內部控制概述
隨著人們認識的不斷深入,內部控制日益受到企業的重視被逐漸提高到企業戰略層面的高度。它是指企業為實現其經營目標對企業內部各種活動采取自我調整和約束、規劃和評價的一系列方法和措施的總和,以保證生產經營活動的效率,保護財產安全完整和財務會計信息的相關性和可靠性。1949年國際上首次提出內部控制概念,1988年美國注冊會計師協會(AICPA)提出內部控制三要素,1992年美國反虛假財務報告委員會下屬的發起委員會(COSO)提出了內部控制五要素,2004年,COSO又將其拓展為八要素,更加注重企業風險管理過程。同時,我國有關內部控制的法律法規也在不斷完善:1996年我國注冊會計師(CICPA)協會頒布了準則《企業內部控制與審計風險》,2001年財政部頒布了《內部會計控制規范》,2008年財政部聯合審計署、證監會、銀監會和保監會頒布了《企業內部控制基本規范》,隨后出臺了具體規范和應用指引。
內部控制發展至今主要經歷了四個階段:第一,查錯防弊階段,主要通過不相容崗位職責分離的手段來防止舞弊,通過內部的相互牽制來達到互相監督,保證資產安全和財務信息真實的目的;第二,制度控制階段,自1949年系統地研究內部控制開始,就慢慢走向制度控制階段,不僅僅局限于最初的查錯防弊,而是依靠良好的內部控制制度包括組織結構和制度的設計以及有力的實施來保證財產安全和財務數據可靠性;第三,結構控制階段,1988年提出“內部控制結構”的概念,將其分為控制環境、控制程序和會計控制三個要素;第四,框架體系階段,1992年提出《內部控制整體框架》,2004年又發布《企業風險管理整合框架》,從戰略層面的控制環境出發,通過風險的評估、識別和應對,到控制活動的實施、信息溝通和控制監督,企業內部控制邁入了擁有完整的框架和體系來完成控制目標的階段。
內部控制的發展階段見證了內部控制方法和措施的完善,同時顯示了其在企業中地位的提升和職能的擴大,內部控制的目標也從最初的查錯防弊轉到現在通過全面風險管理來控制公司的風險,促進企業戰略目標的實現。內部控制的理論發展與企業的內部控制實踐并不同步,目前我國大多數企業的內部控制仍然存在很多問題,需要加強基于戰略導向的內部控制在企業里的推行和實施。
二、戰略管理與內部控制融合
我國企業內部控制存在的問題主要表現在以下幾個方面:首先,內部控制的理念落后,風險管理的意識不強。公司的目標是實現股東財富的最大化,所以很多公司容易陷入單方面追求公司業績的怪圈,而忽略企業的風險管理。殊不知只有設計科學的內部控制體系并嚴格執行,才能保證企業面臨的風險在可承受的范圍內,才能保證企業的可持續發展;其次,設計內部控制體系時忽視企業的戰略,由于傳統的內部控制目標是保證企業經營的合規性、效率效果以及財務信息的可靠性,所以大部分企業實施內部控制的目標大都局限于此,不愿意花多的經歷將企業戰略考慮進去;再次,不注重控制環境的完善,控制環境主要包括外部環境和內部環境,完善控制環境不僅僅需要對整體的宏觀外部環境給予關注和解讀,也需要企業內部董事會和管理層對內部控制給予推動;最后,信息溝通和監督機制不完善,很多企業將視野局限在保證員工完成本職工作上,而忽視了部門內和部門之間的信息溝通,造成了工作重復和工作盲點的出現,而監督機制的不完善主要表現在內部審計部門的不獨立性上。
基于以上問題,筆者認為將內部控制與企業戰略管理的融合非常有必要,將先進的理念與豐富的實踐結合起來將會促進內部控制效果的提升和目標的實現。戰略管理是企業為不斷發展和長期生存,在迅速變化的市場環境以及自身可獲得資源條件限制下,為達成企業目標而設計的總體途徑和方法。在多變的宏觀環境和激烈的市場競爭中,戰略管理對于企業來說顯得尤為重要,因為戰略管理使得企業跳出追求短期和局部利益的怪圈,將視野擴大到追求長期和整體利益,這樣企業才能以不變應萬變,避免在前行的途中失去方向。外部環境的千變萬化使得企業內部的管理層也對戰略管理日益重視,他們需要做的不是集中力量解決企業的單個問題,而是要擔負起制定企業戰略并隨時評估戰略與環境適應性的責任。內部控制作為戰略管理的重要環節,對于企業戰略能否順利實施起著至關重要的作用,所以企業的內部控制更應當主動將戰略管理的相關理念融入自身的框架體系中,達成企業的戰略目標。
戰略管理可大致分為戰略制定、戰略實施和戰略評價三個階段。戰略制定主要基于對企業的現有環境和未來發展趨勢進行分析后做出,戰略實施則要將制定的戰略目標分解,通過一系列策略的實施來保障,戰略評價則是對戰略的實施效果進行評價,進一步促進戰略制定的科學性和可行性。在這個過程中,完善的內部控制主要是保障企業的戰略實施過程。而以戰略為導向的內部控制體系需要做到以下幾個方面:第一,控制目標方面,在傳統的保證合法性、經營的效率和效果以及財務報告真實可靠性基礎上,加入戰略目標。內部控制的目標不再局限于法律條文的規范,而是真正站在企業戰略的角度,為實現企業的戰略目標服務;第二,風險管理方面,以戰略為導向的內部控制需要將戰略風險分解至各戰略層級并貫穿于整個控制過程,通過對各層級的風險控制來達到使整體的風險保持在可承受范圍內的目標;再次,控制活動方面,傳統的控制活動主要包括職責分離、授權審批、資產控制等方面,而融入戰略管理的目標后,控制活動將發生革命性的變化,不再僅是割裂的、單個的程序和流程,而是依靠戰略目標將其各個要素聯合起來,組成自發良性的交替循環模式。以戰略為導向的內部控制體系將是更加協調、更加完整的體系。
三、基于戰略導向的內部控制體系構建
基于上述戰略管理與內部控制融合的必要性,本文借鑒COSO提出的內部控制五要素的框架,提出構建基于戰略導向內控體系的具體建議:
第一,控制環境。傳統的控制環境主要包括治理職能和管理職能,具體由七個要素組成即管理層對誠信和道德觀的落實、治理層的參與程度、對勝任能力的重視、管理層的經營理念和風格、組織架構、職責分配以及人力資源政策,其中治理層和管理層的推動對控制環境的好壞起著關鍵作用。戰略導向的內部控制起點是在控制環境中加入戰略目標,將戰略制定環節中對外部環境和內部環境的分析結合起來,關注企業業績成長的同時,也注重評估企業自身的風險承受能力,通過管理層和治理層的推動將戰略目標納入控制環境中,能使企業的員工自上而下都對內部控制目標有更全面和整體的認識,增強企業的向心力以及內部控制執行的效率和效果。
第二,風險管理。風險管理涉及風險的評估、識別和應對過程。風險管理規模大、管理層級多的公司顯得尤為重要,因為這類企業往往對風險的評估和識別過程較不敏感,導致無法很好地實施風險應對。基于全面風險管理的出現以及以風險為核心的戰略導向內部控制體系的構建,這類企業最好能成立專門的風險管理部來進行風險管理,及時地對企業內外部環境進行解讀,識別風險薄弱點并采取針對性措施應對。在此過程中,一方面要參考根據企業整體戰略劃分給各層級的風險承受值來設置風險預警以及風險臨界點,另一方面要根據環境變化及時考察戰略的適應性,及時對需要改變的地方做出修正。
第三,控制活動。在以戰略為導向的內部控制體系下,控制活動的實施過程是戰略實施的重要保障,在這個過程中并不是僅僅保證內部牽制、職責明晰等方面,更重要是從企業整體角度出發,將企業戰略目標逐步通過一系列具體的策略來實現,通常情況下,是根據企業的職能部門如營銷、財務、生產等來分解同時通過設計一些指標來約束,從而保證戰略目標的實現。指標的設計不僅僅要考慮分解給部門的目標,而且要將部門之間的組織關系以及外部環境的變化等考慮進來,同時具有可衡量性。在有條件的企業中,可以將平衡計分卡的思想引入到戰略導向的內部控制中來,平衡積分卡是一種新型的戰略管理工具,它將企業戰略分為客戶、財務、經營和學習四個維度,并將戰略目標分解為四個領域的具體指標,這種工具可以給企業一定的借鑒和參考。
第四,信息溝通與控制監督。企業內有效的溝通能解決信息不對稱問題,加快企業的運營效率,減少不必要的工作。同時更重要的是有效的信息能為企業管理層提供更加相關的信息,有利于他們做出正確的決策。在企業外部有相關的法律法規規定了強制性的信息披露要求來減少企業與投資者之間的信息不對稱問題,然而在企業內部卻往往缺少這樣一個機制,去促進整個企業之間的信息溝通。信息獲取、處理和評價的流程不完善是造成信息溝通障礙的重要原因,這在戰略反饋和評價過程中也顯得尤為突出。而在控制監督方面,更多地需要根據戰略實施過程中對戰略的及時修正來對內部控制進行監管,同時控制監督本身也是促進內部控制動態管理的重要環節,通過監督發現的問題及時反映給內部控制設計部門,從而不斷地完善制度本身,在以戰略為導向的內部控制體系構建中,對戰略實施的監督和評價與對內部控制的監督是一體的。
