2010年4月,財政部匯同證監會、審計署、國資委、銀監會、保監會等六部委聯合發布了《企業內部控制配套指引》。該配套指引連同2008年5月發布的《企業內部控制基本規范》,共同構成了中國企業內部控制規范體系,自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大至國內A股企業及中小板、創業板,并鼓勵非上市大中型企業提前實施。本次的指引發布,旋即在中國企業界掀起了新一輪內控體系建設的高潮。那么究竟什么是內控體系,本輪的企業內控建設與以往的內控建設有什么不同?核心的關注點是什么?企業應如何應對新形勢下發展與規范的要求?
什么是企業內部控制?
2001年美國安然事件爆發,美國政府、市場及企業開始認真審視企業內部風險防控,并直接導致了薩班斯法案的出臺。該法案的核心是通過立法加強對財務制度和企業內部的控制,并增加企業財務透明度,及時對各種缺陷進行修復。其中的“404條款”要求公司在年報中披露內部控制報告,并聘請注冊會計師對公司內控報告的有效性進行審計。這一法案的推出對全世界范圍內企業內部控制制度的規范化發展起到了重要的推動作用。
那么什么是企業內控呢?從廣義的概念上來說,企業內控是相對與外控而言的。企業進行內控與外控的根本目的是要解決在現代社會中,以所有權和經營權分離為主要特征的公司制企業環境下,如何使企業能夠正確、安全、有效地經營,以保護企業出資人及其他利益相關者權益的問題。企業的外控主要是通過政策法規、資本市場、道德文化等社會性資源來對企業的合規性進行約束來實現的。而內控是指企業在經濟活動中建立的一種相互制約的業務組織形式和職責分工制度。內部控制的目的在于改善經營管理、提高經濟效益。它是因加強經濟管理的需要而產生的,是隨著經濟的發展而發展完善的。
早期的內部控制主要著眼于保護財產的安全完整、會計信息資料的正確可靠,側重于從錢物分管、嚴格手續、加強復核方面進行控制。隨著商品經濟的發展和生產規模的擴大,經濟活動日趨復雜化,才逐步發展成現在的內部控制系統。
本文發表于博銳管理在線| http://www.boraid.com/darticle3/list.asp?id=156071 | 36
根據COSO內部控制整體框架,企業的內部控制至少包括以下五個要素:控制環境、風險評估、控制活動、信息和溝通、內部監督。其控制目標包括:經營的效率和效果(基本經濟目標,包括績效、利潤目標和資源、安全),財務報告的可靠性(與對外公布的財務報表編制相關的,包括中期報告、合并財務報表中選取的數據的可靠性)和法律法規的合規性。
圖1 COSO內部控制整體框架
而隨著對企業內部控制實踐的不斷深入,人們逐漸認識到一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,還必須根據風險組合的觀點,從貫穿整個企業的角度看風險。因此在新的時期,COSO將內部控制從全面風險管理的視角為其賦予了新的內涵,使其變的更加完整。
在中國,隨著市場經濟進程的深入,一方面政府監管機構對參與市場競爭的企業在規范化運作方面提出了要求;一方面企業隨著規模的擴大,業務的復雜,也開始自發地關注內部管理與控制體系在運營過程中發揮的巨大作用。從政府監管和企業發展兩條主線來看,中國企業對內部控制體系的關注與完善,主要源自財務會計制度的立法、改革以及相應延伸的財務風險控制,并在此基礎之上逐步提出了內部控制的基本規范和操作指引,形成了今天看到的內部控制規范化管理體系。企業在內控建設上也逐步深入,從單純的財務、業務合規性內控延伸到基于全面風險管理視角的內部控制體系的建設;從單純追求制度、流程的合規性到追求以法律合規性為基礎、運營效率性為內涵、可持續性發展為目標的綜合的內部控制體系建立。
中國企業現階段內控建設工作的重點是什么?
從2008年五部委聯合下發《企業內部控制基本規范》,到今年4月六部委聯合推出《企業內部控制配套指引》,標志著融合國際先進經驗,并結合我國企業實際特色的中國企業內部控制規范體系的基本建成。而如果將內控指引發布前,企業的內控建設工作比作打基礎階段的話,內控指引發布后,企業則將進入內控體系建設的深化階段,并希望通過更加深入的內控體系的建設,既增強企業的抗風險能力,也提高企業活力,提升企業運營效率與競爭能力。如果說第一階段企業內控建設的關鍵詞是“合規”,那深化階段的關鍵詞將是“效率”。
圖2 中國企業內部控制基本規范體系
在之前若干年,大多數企業主要是通過與會計師事務所的合作,圍繞著經營過程合規性來開展企業內控體系的建設工作。由于會計師事務所的核心能力主要在于審核經營過程是否合乎規范,并通過一系列的流程、表單和措施,使得這個過程環環相扣,互相制約,不出差錯。因此,在這個階段,大多數進行內控體系建設的企業,都主要是圍繞著合規性、規范化、文件化為目標,對現有的組織結構、崗位職責、業務流程、規章制度、權限分配等領域進行梳理、自查。對缺失的環節進行建立健全,對存在潛在風險的進行合規性優化。通過這一階段的內控建設,在一定程度上提高了企業運營的合規性,以及信息披露的真實性,加強了企業的抗風險能力。相對完整地實現了大多數企業內控體系的從無到有,從缺到全。
但是隨著該階段工作的完成,很多企業都開始意識到通過內控體系僅僅解決企業的合規性及文件化是遠遠不夠的。因為這只意味著企業的經營環境是比較安全的,并不意味著企業真正提升了經營效率。前面的工作只能保證企業經營的合法,資產沒被偷掉,反應了企業的真實財務信息與經營過程,但并不能保證企業更有競爭力,創造更好、更新的經營價值,也不能保證企業能夠實現發展戰略,打敗競爭對手。
因此,對內部控制體系進一步深化時,雖然還是針對組織、流程、制度、權限等內容,但工作思路已經發生了悄然改變。很多企業都不僅僅是關注合規性的問題,而是借助本次內控體系深化的機會,將著眼點放在了與合規性不直接相關的業務模式創新、管理結構調整、業務流程優化、IT系統應用等方面。
圍繞著企業的戰略落地與業績增長為中心,做戰略管理體系、業務模式、組織結構、業務流程、績效管理、信息化應用等環節的文章。通過對上述核心管理要素的梳理、優化、建設,強化企業各個環節的運營能力和管理水平。在變革中優先解決企業深層次的軟實力問題,并在此基礎上重新進行合規性的審定,以提升運營能力、降低運營風險,形成標本兼治的內部控制體系。
具體來說,應主要關注以下的幾項重點管理配套提升工作:
1、 制定企業的戰略管理體系,將目標有效地分解落實到年度計劃與考核,形成計劃、執行、監督、改善的戰略管理閉環;
2、 基于對業務模式的分析,明確組織框架與管控原則,形成組織對業務的良好支撐;
3、 對各領域的核心業務流程進行梳理優化,建立流程清單、流程總圖;
4、 識別重點流程,基于端到端的主題,進行跨部門流程的梳理、優化,實現業務的高效貫通。并在此基礎上,細化調整相關崗位職責,以實現流程中心型組織;
5、 界定流程與制度之間的關系,突出流程與制度的差異,實現流程與制度的互補;
6、 通過流程的E化,實現業務運作的可記錄、可管理、可追溯,為內控體系的監督與評價提供工具支撐。
以上工作的實現一方面需要企業自身謀定而動,一方面也需要借助外部社會資源。在外部資源的使用上,企業不僅僅是需要會計師事務所的幫助,而是更多地需要管理咨詢機構參與其中,通過多方資源的利用達成企業構建全面、有效、標本兼治的內部控制體系的目標。
