1 企業內部控制存在的問題
1.1 企業部門分割,使內控體系失效
由于我國企業一直按資源特性和屬性橫向分割設計組織結構,形成部門割據的特征是不可避免的,各部門都從本部門利益出發來理解、執行內部控制。例如,財務部門和設計、采購、生產、庫管、銷售各環節共同控制著企業產品成本。設計部門主要執行產品的質量和功能的控制;采購部門把熟悉供應商、采取便利的采購方式作為首要業務;生產部門把安全完成產品生產作為主要業務,對業務效率、產品成本考慮得很少;銷售部門把產品的銷售、賒銷和銷售折扣等價格策略作為主要業務。上述部門的立場都與內部控制的最終目標相背離,財務部門對成本的核算也只能是對運營過程事后的反映。
1.2 監管體系不健全,監管力度不夠
目前,我國的監管體系仍然存在很多問題,自律組織不健全。企業外部監督體系存在行政干預多、監管手段違反市場規律的問題,想以行政管理代替市場選擇。在我國目前的監管體系中,政府以行政命令的方式過多地干預市場,弱化了內控的監督作用。從內部監督體系來看,我國成立了內部審計機構,但內部審計的職能未能充分發揮,機構形同虛設,一些企業領導不重視內部審計工作。企業內部審計機構人員缺乏,并且由于內部審計人員人事管理還由本單位負責,單位領導直接制約內部審計工作,內部審計明顯處于被動地位,大大限制了內部審計的獨立性。
1.3 片面進行內部控制,忽視內部控制的目標
內部控制必須滲透到各個業務領域和操作環節,重點制約和調節關鍵的業務、關鍵的資產、成本費用。內部控制要按照目標和計劃,對工作人員的業績進行評價,找出缺陷,分析原因并采取改進對策,最終實現企業經營效率和效益的提高。所以,既不能用其他管理工作代替內部控制,也不能用內部控制取代其他管理工作。內部控制的一項重要目標是防止會計信息失真,但防止會計信息失真不是內部控制的唯一目標,所以,把內部控制的目標限定為減少會計信息失真,不僅不利于發揮其改善經營管理的作用,而且會使企業領導及員工對內部控制產生抵觸。
1.4 信息與溝通系統不夠完善
企業內部控制信息系統是指對企業經濟業務進行記錄、處理、歸納、報告并保持相關資產、負債和所有者權益的記錄及方法。信息和溝通系統的作用是協調各方利益,使各級管理者及時掌握營運狀況和組織中發生的問題,確保其對自己責任范圍的控制,并且利用反饋信息對工作中的失誤盡可能采取補救措施。經營者通過信息系統了解競爭對手的經營狀況、財務成果和市場的變化,而且還可以通過財務報告等形式向社會提供必要的信息。有的人員為了一己私利,利用企業內部控制不嚴的漏洞,挪用、貪污或盜竊資金,或與外部不法人員勾結,利用虛假發票非法侵占企業資產,造成國有資產遭受重大損失,致使會計信息失真。
2 企業內部控制存在問題原因分析
2.1 內部控制整體性較差
我國企業目前的內部控制缺乏整體性,主要表現在:風險管理部門能從整體上把握總體業務風險,全面監控企業的總體風險,但與其他業務部門相比較而言,對關鍵業務環節和控制點的認識還不是很明確。內審部門把對業務和風險的核查作為自己的職責,使內審部門主導的內部控制是一種事后評價,不可避免地背離了全面內部控制的初衷。財務部門的職責使內部控制側重于對運營效率風險和財務效果的反映,而較少地關注業務過程本身的屬性,造成內控體系對業務的影響和沖突,有時還會導致與營運效果相背離。各部門從自己立場出發制定職責,缺乏整體性,對內部控制的可操作性造成不利影響。
2.2 公司治理結構不完善
雖然我國許多上市公司設立了股東大會、董事會、監事會和總經理等機構,但企業的運行機制還不健全,控股股東幾乎控制了公司的股東大會、董事會和監事會,股東大會對財務報告的約束比較薄弱。董事會中絕大多數是控股股東代表,而且大多又是企業的管理者,董事會的監控作用被嚴重弱化。監事會成員往往是企業內部人員,與被監督者是上下級關系,對董事和經理的監督作用有限,再加上專業知識缺乏,結果往往使監督流于形式。我國目前還沒有從根本上建立真正的法人治理結構,合理的人力資源管理機制也沒有形成,公司組織機構設置也存在一定問題,機構設置不合理,不相容崗位的職責尚未分離的現象仍然存在。
2.3 控制目標忽略運營效率
隨著我國加入WTO,企業間競爭越來越激烈,企業將會面臨更大的環境變化和風險。因此,為了實現利益最大化,企業應在內部控制中增加非財務目標。內部控制主要的控制手段是風險評估,采用風險評估手段識別和分析企業內部的控制環節可以事前將經營管理風險(含財務管理風險)控制在最小程度,即哪個環節控制風險最大,哪個環節就是要加強的關鍵控制點,不論其是否會對企業的會計系統產生影響。我國上市公司普遍缺乏有效的風險管理機制,對市場缺少充分分析和缺少風險意識,忽視經營風險而片面追求財務杠桿的運用,風險控制失效,致使公司經營戰略的及時調整受到嚴重影響。
2.4 內部控制信息披露制度不完善
近些年來,我國頒布了一系列內部控制信息披露的規則,為規范上市公司披露內部控制信息進而完善證券市場起到了一定作用,但仍存在很多不完善之處。如,對內部控制信息缺少硬性要求,沒有強制要求披露內部控制的詳細信息和監事會的評價。只在上市公司融資行為發生時才強制披露其內控方面的信息。進行信息披露時以這種方式或態度,其數量和質量都很難讓人滿意,對投資者形成決策的作用更是遠遠不夠。還有,對內控信息披露的內容和格式要求不詳細,對內控信息披露的評價缺少統一標準。另外,在年度報告摘要中允許監事會在認為已建立內控制度時免于披露,這就為上市公司減少有關信息披露、逃避相關責任留有一定余地。
3 我國企業內部控制的再設計
近年來互聯網的廣泛應用,給計算機會計信息系統的內部控制帶來了許多新的問題,也對企業內部控制制度造成了極大沖擊。在這種情況下,需要重新設計企業內部控制的制約機制(如圖1所示),防范企業經營風險和財務風險。
3.1 健全風險控制機制
隨著市場環境的變化和經濟的迅猛發展,企業的信息系統風險、資產風險和兼并重組風險等逐步增大,企業在經營過程中必須加強風險管理。所以,企業要想有效地防范和控制風險,必須制定風險回避、風險分散和風險轉移等策略,建立和完善風險預測、風險評估、風險控制和風險約束機制。
降低風險的關鍵是完善風險控制機制。一是事前控制,即一個方案在進行決策前要兼顧收益和風險兩個因素。客觀分析風險的存在和形成原因,制定出可行的措施,確保風險發生時能夠有效應對。二是事中控制。主要是采用定量、定性分析法,對風險狀況進行計算和監督,及時調整、控制偏差并采取新舉措。三是事后控制。企業把風險分析資料作為指導未來管理行為的依據,總結風險管理的經驗,為今后的風險管理指明方向。四是要建立預警機制,監督企業資本運營過程,通過指標分析,發現某種異常情況著手應對,將風險損失降低到最小。
3.2 建立信息溝通機制
建立良好的信息溝通機制可以使企業及時掌握營運狀況,為企業提供正確、及時、全面的信息,并在相關部門和人員之間進行溝通。由“產生―傳遞―處理―反饋”形成順暢的信息循環系統,是保障企業內部控制有效性的基礎,也是實施內部控制評價的關鍵。所以,企業必須逐步建立高質量的信息溝通系統。
一是完善通暢的自上而下的信息傳遞渠道。公司管理層要為全體職工制定各自的控制職責,必須使每一名職工得到認真履行職責的明確信息,讓他們清楚各自在控制系統中的職責和任務,以及各自信息傳遞的內容、方式、渠道和傳遞對象,保證按既定的路線和層次準確地傳遞信息。二是確保自下而上的信息反饋渠道。在日常工作中職工每天都會接觸到一些關鍵性經營問題,他們總是最先意識到問題的存在。只有建立一個開放和暢通的信息反饋渠道,才能使這些信息及時地反饋給管理層,才會使職工有一個及時反映和解決各種意外情況的途徑。
3.3 風險管理和業務流程相結合
內部控制設計應該把業務流程與風險管理相結合,并根據企業經驗和實踐,按照資源數量要求和資源稀缺程度分析業務流程的關鍵點,找出關鍵點中錯弊頻率最高、對財務影響最突出的業務點作為控制點。目前我國企業缺少的不是政策和制度,缺少的是綜合觀念下的風險規范制度的實施,缺少的是讓制度貫徹下去的具體方法。
以流程為模式的內部控制可以保證企業風險管理被長期、習慣地遵從。針對各種失誤,在關鍵控制點制定相應的措施和具體方法,以減少其發生的損失和概率。隨著內控過程對風險的化解和規避,企業的利益得到保障,企業全體工作人員會逐漸認同并接受用內控流程模式來實施業務運營。在業務實施過程中,自覺控制和防范業務風險,在各項業務和管理過程中踐行內部控制的思想和各項要求。企業在遵從并反復運行內部控制流程時,風險管理將成為企業的習慣。
3.4 改進對外披露制度
我國上市公司的內部控制信息披露存在選擇性和隨意性,我們可以借鑒國外經驗,采取強制性披露方式,要求上市公司的管理層提供詳盡的、單獨的內控報告,為投資者決策提供有用的信息,降低投資者獲取信息的成本。證監會應當完善內控信息披露的規范體系,對上市公司內部控制信息實行強制性披露,并對所有上市公司內部控制信息披露的范圍、內容與格式做出詳細的規定。
目前,由證監會制定的公開發行證券公司信息披露規范有首次披露、定期報告、臨時報告和其他披露4個層次。我國應不斷完善法律法規,建立內控信息披露反欺詐條款和賠償制度,讓惡意披露信息,誤導投資者的公司受到制裁。證監會和交易所根據我國證券市場的實際情況而制定內部控制信息披露的規范都是可行的。我國可以考慮在交易所的上市規則中增加有關內部控制信息披露的要求,可由證監會以《公開發行證券公司信息披露編報規則》或《公開發行證券公司信息披露規范解答》的形式對具體的披露方式加以規范。同時,證券監管部門應加強對披露的內控信息進行監管,以保證信息的可信度。
