丁家丰 马军生
2010年4月,财政部等五部委联合发布了《企业内部控制配套指引》(以下简称配套指引)。此次发布的配套指引由18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(以下分别简称应用指引、评价指引和审计指引)组成,连同2008年5月发布的《企业内部控制基本规范》(以下简称基本规范),标志着我国企业内部控制规范体系基本建成。伴随着配套指引的发布,财政部等部委开展了一系列宣传和培训工作,企业也纷纷开始了解、学习并尝试建立内部控制规范体系。
笔者作为专业咨询人员,曾参与了多家大型上市公司的内部控制建设,也参加了财政部举办的有关内部控制培训班,但在与各类企业交流、协助企业建立内部控制规范体系的过程中发现:大多数企业对内部控制规范体系存在不同程度的疑惑、抵触甚至误解,出现了“走形式”、“绕弯路”和“瞎折腾”等现象,不但影响了企业提升管理、防范风险的效果,还浪费了企业的精力和资源。笔者根据实际工作经验归纳总结了企业内部控制规范体系建设中的十大误区,并提出了防范的措施,以期为企业建立健全内部控制规范体系提供一些思路。
误区一:有关规定要求的是财务报告内部控制,因此内部控制应由财务部门负责
几乎无一例外,各大上市公司在开始建立内部控制规范体系时,总是先找财务部门,他们认为:一方面,财务会计与内部控制有密切联系;另一方面,内部控制要求外部审计要对基于财务报告的内部控制的有效性发表审计意见,不找财务部门找谁呢?那么,内部控制仅是要求基于财务报告的内部控制吗?内部控制的日常工作究竟应该由哪个部门来具体操作?
基本规范第四条指出,内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项;审计指引第四条指出,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。以上规定都清楚表明了企业要做的是全面防范各类风险的内部控制,而不仅是基于财务报告的内部控制。关于内部控制的日常工作究竟应该由哪个部门来具体操作的问题,答案也是清晰明确的,因为基本规范规定,董事会负责内部控制的建立健全和有效实施。也就是说,内部控制是企业最高层、一把手的责任,董事会可以把内部控制的日常操作授权给任何一个管理部门,但最终还是要由董事会负责。
因此,在内部控制规范体系的具体实施过程中,笔者建议,可由企业管理部门或战略部门(部分企业可以选择成立专职的内部控制部或风险管理部)负责内部控制规范体系的建立工作,纪检监察或内部审计部门负责对内部控制的监督。理由是:企业管理部门或战略部门一般统领企业经营的各项事务,在建立健全内部控制规范体系的过程中,能从全局角度对企业经营的流程以及流程中的风险控制点进行梳理和完善,而纪检监察和内部审计部门具有一定的独立性和审计监督技巧,能够相对公正且高效地执行内部控制的监督任务。
误区二:内部控制是为了应对外部监管,对企业来说则是降低效率增加了成本
笔者在与企业交流的过程当中,经常能遇到这样的事情:企业老总听说要推行内部控制规范体系的建设,于是对财务总监说:“去安排人弄一下。”财务总监很为难:“内部控制的工作量好像很大。”老总安慰:“前两年定的内控制度还在吗?拿来改改能过关就行,千万不能耽误了正常的工作。”
以上说法中,管理者把内部控制与企业经营看成了完全不相干的两件事,其后果是非常严重的。内部控制是防范企业经营风险、是企业经营管理必不可少的组成部分,企业只要进行生产经营活动,就必然同时进行内部控制,比如采购询价比价、加强应收账款的回收、盘点现金等都是企业采取的比较普遍的内部控制措施。从表面上看,内部控制是外在监管的要求,但很多有远见的企业早已开始积极借助内部控制这个外力推动自身的管理变革,加强对经营风险的识别和控制,提升精细化、规范化管理的水平,为企业做大做强打基础。
关于实施内部控制规范体系增加企业管理成本的问题,基本规范早已指出,内部控制应当遵循重要性原则和成本效益原则,也就是说,在实施的过程中,应当抓大放小,考虑风险损失与控制成本孰轻孰重的问题,不要件件小事都控制,不要为了控制而控制。在有些企业里,员工领用一张A4打印纸都要签字审批,而对于上亿元的投资项目却未充分评估,草率上马,这其实是走入了内部控制的误区。所以,内部控制应当也必然是企业的自发需求,内部控制从防范风险的角度协助企业完善了管理,而非降低效率增加了成本。
误区三:企业建立和完善内部控制规范体系,就是编写内部控制制度
基本规范第六条指出,企业应当根据有关法律法规、本规范及其配套方法,制定本企业的内部控制制度并组织实施。对于本条款的理解,企业中就出现了以下两种比较典型的情形:第一种,组织业务骨干和笔杆子编写一套名为《内部控制制度》的文件,少则三四页,多则十几页,不少上市公司还将《内部控制制度》通过证券交易所向投资者披露。第二种,组织一些涉及管理、财会、法律多个专业的名牌大学毕业生,历经数月查阅名典巨著,增删数十遍,编撰了一套由十几万字、上百项管理制度构成的《企业内部控制制度汇编》,并召开全体员工大会隆重发布。
笔者认为,内部控制制度是企业所有规章制度、管理办法、实施细则的总和,而制定内部控制制度的过程,是企业从上到下分析业务、梳理流程、识别风险、加强管控的过程。在精细化管理水平较高的企业,除了制定内部控制制度文本外,还制定了让人一目了然的流程图和便于操作的表单,员工将表单按照流程图填写并按规定的程序进行流转,与此同时各项管理的要求和控制措施也履行到位,这与一些企业编写上百项内部控制制度却忽视操作性的做法形成了鲜明对比。
误区四:企业应根据18项应用指引梳理出18个内部控制制度
笔者在与企业交流的过程中,不止一次被问到:《内部信息传递制度》究竟怎么写?笔者很疑惑:为什么要写这个制度呢?原来,不少企业认为,应用指引共18项,“忠实地”根据18项指引编写18个内部控制制度,是贯彻内部控制规范体系的最佳做法,而应用指引中的第17号是“内部信息传递”,所以就出现了编写《内部信息传递制度》的问题。
笔者认为,内部信息传递是内部控制的基本要素之一,贯穿于企业生产经营的每个流程当中:营销有市场调研报告、生产有生产分析会、采购有供应商名录等,所有这些都是重要的信息传递形式和手段,早已深入到企业生产经营的每一个流程中的每一个环节。如果企业的每一个制度都体现了信息的形成与使用,那么就无需劳心劳力再专门编写一个关于信息传递的制度了。
而更深层次的问题是,在内部控制规范体系的建立中,部分企业虽以文件(或企业制度)的形式贯彻落实了有关方面的要求,却忽略了对重要流程的识别和梳理。应用指引有18项,而企业流程却有数百项;应用指引契合了制造业的大部分需要,却还有建筑业、服务业等企业的业务流程不能完全覆盖。因此,笔者认为,18项应用指引只是指导和参考,企业要抓大放小,抓住关键控制点,判断哪些经营管理的核心流程需要梳理,唯有如此,才能识别风险,加强对风险的防范和控制。
误区五:借助国际知名咨询机构的力量,企业内部控制就能达到国际领先水平
许多企业感到单靠自身力量搞内部控制很吃力,就想到借助外部的力量。不少企业首先想到的是聘请国际知名咨询机构(或会计师事务所),他们认为知名机构的成功案例和逻辑缜密的方案值得信赖,却并未考虑这些机构所提供的解决方案是否契合自身的需要。常见的结果是,几个月的合作结束后,企业会发现:得到的是难懂的内部控制方案和几十项拗口的内部控制术语、难以实施的内部控制措施及员工对方案的抵触。
笔者认为,企业在聘请外部机构协助建立健全内部控制时,至少要满足以下三个条件:一是咨询机构有能力向管理层及各级员工提供全方位、多层次的内部控制培训,培训传达的内部控制建设思路要契合现阶段国内新兴市场经济的特点。二是咨询服务内容不仅要包括方案的调研和设计过程,还要包括方案的辅导和实施。三是企业管理层(尤其是高层)及员工要安排时间和精力与咨询公司进行沟通,以保证提供的方案是量身定做的。
误区六:内部控制规范体系的建设任务紧迫,企业应当在最短时间内建立实施
一些企业的管理者在认识到了建立内部控制规范体系建设的重要性及紧迫性后,拍板决策:“3个月建立,3个月修改完善,半年时间全部建成”。这种雷厉风行的做法值得称道,但在如此短的时间内就能建立健全内部控制规范体系却让人生疑。
一方面,从建立内部控制规范体系的角度来说,内部控制不能独立于企业经营管理之外而存在,内部控制规范体系与企业现有的组织架构、人员配备、业务流程和授权权限等多个方面都有紧密的联系。在建立企业内部控制规范体系时,需要全面探讨和思考以上事项,如果简单跳过这一过程,在内部控制规范体系的推进中就会削足适履或自相矛盾。
从实施内部控制规范体系的角度来说,任何发展变革都需要有一个宣传、发动、探索、学习、试行和落实的过程。在这个过程中,全体员工要学习有关内部控制的知识,接受内部控制的理念,更难的是要打破旧有的利益格局,改掉旧有的操作习惯,这都需要大量的时间。笔者认为,大型企业建立和实施内部控制规范体系一个可行的思路是:首先对企业的生产经营活动流程进行全面梳理,建立全面的内部控制规范体系,然后选择其中几个较为容易改进的流程进行试点,进而逐步推广到全部流程。这种摸着石头过河的做法配合了企业生产经营的开展,可以减少企业改革的阻力。
误区七:内部控制自我评价就是上市公司在年末出一份报告说明加强管理的情况
2006年6月上交所发布的上市公司内部控制指引规定,公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,随后深交所也提出了类似的要求。而在实际披露过程中,有的上市公司认为,自我评估报告就是在年末出一份报告说明加强管理的情况,由于没有硬性规定、各上市公司理解的不同,造成披露的效果参差不齐。
评价指引及指引解读发布后,相关要求就更加明确了。首先,自我评价报告只是一个结果,更重要的是企业需要完善自我评价这个过程,具体来说就是评价的依据、范围、程序、方法及缺陷的认定。其次,企业可以完善和推广内部控制评价表,就是对评价过程中形成的评价工作底稿进行全面整理和综合汇总,整理出一个包括内部控制各要素的结论性评估表格,一般由评价内容、业务描述、有效性/缺陷、评价记录等项目组成。通过完善和推广使用内部控制评价表,可以使不同企业的内部控制评价报告更具可比性,同时也有利于报告使用者的阅读和理解。
误区八:国有企业需分别做好全面风险管理和内部控制两项工作
国资委在2006年印发了《中央企业全面风险管理指引》,而内部控制规范体系出台后,企业往往会指定不同部门或者不同负责人分别负责风险管理和内部控制的工作,笔者认为,这其实是一种误解。简言之,全面风险管理与内部控制的内在本质相互融合。两者都是从梳理和识别各个流程中的风险开始,对风险加以分析和评估,最终进行管理和控制,并对控制活动的有效性进行持续监督和评价。两者的区别是在侧重点上,国资委作为国有资产出资人,从提升管理的角度,对国有企业风险识别及防范做了全面要求;而内部控制规范体系则从保护投资者的角度出发,在兼顾各类风险的同时,对于其中的财务报告真实性风险做了更加硬性的规定。
因此,无论是从有关部门的要求来看,还是结合国有企业的现有实践过程的经验教训来分析,国有企业在实际操作层面都应当把风险管理与内部控制合并为一项工作来开展,这样才有利于形成合力,真正提升企业的风险防控水平。
误区九:企业已经建立了质量管理体系,再开展内部控制规范体系的建设,是一种重复
质量管理体系、健康与安全管理体系、环境管理体系、社会责任体系等都是企业常规的认证体系,其基本思路是通过系统化的梳理来识别企业管理中的不足,借助满足认证标准的过程来提升管理。有的企业就认为:已经针对经营管理的各个流程采取了一系列完善的措施,为什么还要再费时费力建立一套内部控制规范体系呢?笔者认为,这其实就是二者如何融合和互补的问题。
首先,各类认证体系与内部控制规范体系并不矛盾,只是内部控制关注的重点是风险防控,而每个认证体系都是各有其侧重点的。其次,内部控制规范体系和现有认证体系互相促进,如内部控制强调不相容职务相互分离,如将质量监督责任同生产相分离,则可进一步促进质量管理工作的开展。再次,企业在实际操作过程中,可以将几个认证体系共同编制一套文件,将“梳理流程、厘定目标、识别风险、完善控制、修订制度、持续改进”的过程合而为一,使同一套制度能够满足多个认证的要求,这样做既节省了企业的人力、物力和财力,又提升了企业管理的水平。
误区十:实施ERP等管理信息系统,就能提升内部控制水平
在一些内部控制较为薄弱的企业,员工素质不高,信息沟通不畅,授权权限混乱,各个业务流程都存在不同程度的失控,专家和老总就提出:通过实施ERP来提升管理及控制水平。实施ERP能真解决内部控制方面的问题吗?其实不然。首先,ERP以及其他任何管理软件都是基于计算机程序的管理信息系统,能够减少人工操作和人为控制,实现信息集成和自动控制。但ERP系统中的流程和控制措施不会自动产生,需要企业对其进行设定,如果把错误的流程固化进系统,那么ERP就不是雪中送炭而是火上浇油了。其次,ERP本身也需要进行控制,西方国家实行会计电算化初期,因计算机舞弊,每年损失上百亿美元。而信息系统规模越大、与管理联系越密切、集成度越高,风险也就越大。再次,企业在实施ERP系统时,如果过分依赖于信息技术而忽视了配套管理措施,最终会造成信息系统与内部控制的脱节。
正如基本规范所指出的,企业在借助信息系统提升管理水平的同时,应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。唯有如此,通过实施ERP等管理信息系统,才能真正提升企业管理及内部控制的水平。
本文发表于《财务与会计》2011年第2期