近30年來美國在企業內部控製方麵進行了諸多的研究和實踐,使內部控製理論得到了重大改進,並為世界各國廣泛借鑒。如何建立一個完整的內部控製整體框架,對總經理加強企業管理具有重要意義。
企業建立內部控製製度的目的在於,提高企業經營管理水平,並加強企業的風險防範能力,促進企業可持續發展。一個有效和健全的內部控製製度至少包含五個要素:
1憊娣兜哪誆炕肪
內部環境是企業實施內部控製的基礎,比如企業治理結構是否完善、機構設置及權責分配是否合理、是否擁有健康的企業文化,以及完善的內部審計、人力資源政策等。
內部環境是其他內部控製要素的根本,其中管理效率是一個重要的衡量指標。在上例中公司在生產經營的過程中,出現了礦井安全隱患問題,但未得到領導重視,說明該公司某些員工,特別是管理層的人員亦在一定程度上缺乏安全意識;領導未能及時給予任何答複,也反映出該公司管理效率的低下。
【提示】內部環境的好壞取決於管理層的理念和經營風格。通常情況下,如果企業主要管理人員武斷專行、剛愎自用,都會導致公司治理結構形同虛設,對內部控製環境造成破壞。
2001年,美國世通公司宣告破產。該公司曾經位列財富500強的第42位,鼎盛時期的雇員總數為8萬人,年收入達352億美元。其創始人伯納德?埃伯斯從一家電話公司起步,通過兼並、收購、上市等一係列資本運作使公司快速擴張,於1995年更名為世界通信公司,埃伯斯任首席執行官(ceo)。到1999年6月21日,世界通信公司股票漲至64.50美元的最高峰,市值則衝破1960億美元。2001年,大量收購行為導致世通高額負債並引起美國證券監管機構的關注,為此證監會展開調查,埃伯斯被迫辭職。在離職審計中發現公司財務造假金額高達90多億美元,而埃伯斯向世通公司的個人借款也高達3.66億美元。
【分析】世通公司以及其他許多從零起步快速擴張最終破產的企業(如美國南方保健等),都表現出一個驚人的相似的特征,即公司創始人的個性剛愎自用,而且企業管理權限過度集中於創始人或ceo手中。這種控製權的過度集中導致公司治理結構中的監督、製衡功能難以發揮,通常在企業達到破產等不可挽迴的地步後才被發現。我國許多小公司在做大過程中也存在類似問題,有時還未做成大公司就難以前進。公司治理結構在公司正常發展擴張中具有不可或缺的監督作用,同時也是對高管人員行為的必要製衡。內部環境是企業必須著力打造的企業氛圍。
企業應當結合業務特點設置內部機構,如內部審計部門等,明確職責權限,將權利與責任落實到各責任部門。在達到一定規模後,企業還應當在董事會下設立審計委員會,負責審查企業內部控製,監督內部控製是否得到有效實施,並對企業內部控製進行自我評價。
2毖轄韉姆縵掌攔
風險評估就是企業采取一定的程序和方法,及時識別經營活動中的風險,並對風險進行係統分析,合理確定風險應對策略。上述煤礦公司的案例就是缺乏必要的風險分析程序,導致潛在風險未能及時被發現和防範。
某集團是一家從事海洋運輸的公司,在全球90多個國家和地區設立有海外公司。2008年4月1日,該集團宣布成立集團風險控製和管理委員會,集團總裁親自擔任委員會主任,旨在加強集團風險控製和管理。
2006年6月以來該集團兩次爆出“資金門”事件。2008年春節前後該集團駐韓國釜山公司被查出挪用公司巨額運費收入及部分投資款,公司內部人員先後進行非法截留轉移多達一百多次,被挪走的資金總額大約4000萬美元,約合人民幣3億元。釜山分公司采用的造假手法包括虛報費用、虛開發票、和供應商內外勾結等。
該集團的財務體製是:控股公司掌控下屬企業的全部財務和資金結算,海外分公司通常都采取獨立核算製度,分公司隻需要在年底報年賬,不需要報明細賬,有些公司甚至連現金流都不用向總部匯報。如果海外分公司不涉及上市公司,總部通常也不對海外分公司實施定期審計。公司內部控製存在的嚴重漏洞導致財務造假和巨額資金挪用。
該集團成立集團風險控製和管理委員會,事實上就是針對該事件的,並進一步借此完善公司的內部治理結構,建立風險評估製度,加強公司防範風險的能力。
一個嚴謹的風險評估程序通常包括以下步驟:
(1)進行風險分析
近年來西方國家開始出現風險分析團隊和首席風險分析師,企業設置風險控製委員會,其目的就是進行風險分析和判斷。風險分析需要具備專門技術,采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等概率進行測算,對識別的風險進行分析和排序,確保風險分析結果的準確性。
這章沒有結束^.^,請點擊下一頁繼續閱讀!
我國企業也在逐步建立風險控製機構,上述中海集團的案例就是一個典型代表。建立風險控製和管理機構的目的就是使企業的風險防範和控製行為規範化、製度化和長久化。
(2)確定風險應對策略
企業應當根據風險分析的結果,在風險與收益中進行權衡比較,並結合企業的風險承受度,確定風險應對策略,以對風險進行有效控製。通常情況下,企業可以采取的風險應對策略有三種:
1)規避風險
對於超出企業風險承受度的事項,企業可以選擇放棄或者停止與之相關的業務活動,以避免和減輕損失。比如本書第五章提到的好易控公司針對某大型國企的中控產品銷售及安裝調試服務,如果該狀況不能改善並長期持續下去,好易控公司就應當采取避免越陷越深、公司積壓款過多的策略,其作用就是減少乃至停止與該國有企業的合作。
2)降低風險或分擔風險
降低風險是指從企業內部采取適當的控製措施降低風險或者減輕損失,將風險控製在風險承受度之內的策略。
分擔風險是指企業借助外部力量,采取業務分包、購買保險、合作經營等方式,將風險控製在風險承受度之內。比如鋼鐵企業為保證原材料供應與上遊鐵礦石廠商聯營,就是一種分擔風險的方式。
3)承受風險
承受風險是指企業對風險進行評估後,認為風險可以接受,準備實施新項目。通常情況下,企業應該對項目的風險進行充分估計並有充足的應對措施。
(3)風險的持續關注
企業的風險隨實際情況和環境的變化在不斷發生變化,企業需要根據不同發展階段的具體情況,結合業務拓展,持續收集並關注與風險變化有關的信息,不斷調整對風險的評價和分析,並及時調整風險應對策略,對風險進行適時動態的把握。
(4)重大風險預警機製
通過重大風險預警機製和突發事件應急處理機製,可以及時應對可能發生的重大風險或突發事件,確保突發事件得到及時妥善處理。
3庇行У目刂蘋疃
內部控製在企業管理中具有極其重要的意義,企業內部控製製度的實施在很大程度上依賴於控製活動。控製活動是企業根據風險評估結果所采用的相應控製措施,其目的在於將風險控製在可承受度之內。企業的控製活動通常應包含以下幾個方麵:
(1)不相容職務分離控製
凡是業務流程中所涉及的不相容職務,需要實施相應的分離措施,形成各司其職、相互製約的工作機製。
企業不相容職務的內容主要有:錢賬分離、物賬分離。前者包括現金、銀行存款的管理,後者主要體現在倉庫的實物管理和賬務管理必須分離。這些內容在本書第二部分均已做了詳細介紹。
(2)授權審批控製
企業應對業務進行詳細分類管理,區分常規授權和特別授權。對於特別授權項目必須要有總經理和相關高層管理人員審批方可執行,其目的在於明確權限、審批程序和相應責任。
通常情況下對於日常重複性項目實行常規授權,對於重大決策項目和突發項目都應該實行特別授權。此外,集體決策審批或者聯簽製度能更好地提高決策的科學性並降低風險。
(3)會計係統控製
會計係統控製能有效地防範內部錯誤和舞弊。會計係統控製要求企業加強會計工作,包括會計憑證、會計賬簿和財務會計報告的管理和控製。關於這點,本書第十三章將詳細論述。
(4)財產保護控製
財產保護體現在兩個方麵:一是財產的日常管理,包括財產記錄和實物保管;二是定期清查,包括定期盤點和賬實核對。
財產保護控製還需要加強對重要財產接觸的限製,比如未經授權的人員不得接觸財產。財產處置行為通常需要通過特別授權後才能進行。
(5)預算控製
實施全麵預算管理製度,可以明確各責任單位在預算管理中的職責權限,並通過預算加強對各項支出的約束,以強化內部控製。
(6)運營分析控製
采用因素分析、對比分析、趨勢分析等方法,對生產、購銷、投資、融資、財務等方麵的信息,定期開展運營情況分析,可以發現存在的問題,比如導致成本上升的因素到底是原材料上漲還是人工費用上漲,或是廢品率高,並通過運營分析進行深層了解,及時查明原因並加以改進。運營分析見本書第三章。
(7)績效考評控製
通過設置考核指標體係,對企業內部各部門及員工業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升的依據,能調動員工的積極性,並使工作業績與個人報酬結合起來,促進企業業績的提升。關於薪酬管理的介紹詳見本書第八卷。
4繃己玫男畔⒂牘低
及時準確地收集、傳遞相關的信息,確保信息在企業內部、企業與外部之間暢通無阻並能得到有效的反饋,是良好的信息與溝通控製的關鍵。信息與溝通控製的主要內容包括:
(1)建立信息與溝通製度
明確內部控製相關信息的收集、處理和傳遞程序,確保信息得到及時處理。前述煤礦公司的案例當中一個重大內控缺陷,就是員工關於安全風險的信息未得到有效反饋和處理。
除企業內部各單位間的信息溝通外,企業還應建立與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方麵間的信息溝通和反饋製度,以便及時發現問題及時解決。
(2)信息技術及信息共享
利用信息技術能更好地促進信息的集成與共享,擴大信息在企業內部的傳遞和影響。因此,信息係統開發與維護、文件儲存與保管、網絡安全等控製都是企業應該完善的內部控製製度。
(3)反舞弊機製
反舞弊機製的重點在於預防。通過建立舞弊案件的舉報、調查、處理、報告和補救程序,可在一定程度上加強員工的舞弊恐懼心理,發揮企業內部管理的震懾作用,從而降低員工舞弊的動機和可能性。
美國畢馬威會計師事務所對發現財務舞弊的調查結果,從圖中可以看出,內部控製是發現舞弊的最重要手段,52%的舞弊行為都是通過內部控製發現的。
美國注冊舞弊檢查師協會2004年進行了關於職務舞弊的統計調查。數據顯示,內部控製、內部審計檢查、警方通知、匿名揭發、外部審計和意外事項是發現職務舞弊的最主要方式。其中匿名揭發是最為有效的。
這也進一步說明了建立反舞弊機製和良好的信息與溝通製度的重要性。
5蹦誆考嘍
僅僅建立製度是不夠的,還需要對製度的執行情況進行監督。內部監督的目的就是定期評價內部控製的有效性,發現內部控製缺陷,並及時加以改進。
企業一方麵要對內部控製的實施情況進行常規、持續的日常監督檢查,同時也需要對影響企業發展戰略、組織結構及經營活動等重大調整或變化,進行有針對性的專項監督檢查。
通過監督檢查可以發現企業內部控製存在的缺陷。一是內控設計方麵是否存在缺陷,比如未對重大資產進行特別授權管理等。二是內控製度的執行是否存在缺陷,即內控製度在各個部門的貫徹情況,包括人員配備與分工等。
通過監督檢查對內部控製的有效性進行自我評價,對監督過程中發現的內部控製缺陷,應當及時提出整改方案,並向管理層報告,尋找改進措施。
企業建立內部控製製度的目的在於,提高企業經營管理水平,並加強企業的風險防範能力,促進企業可持續發展。一個有效和健全的內部控製製度至少包含五個要素:
1憊娣兜哪誆炕肪
內部環境是企業實施內部控製的基礎,比如企業治理結構是否完善、機構設置及權責分配是否合理、是否擁有健康的企業文化,以及完善的內部審計、人力資源政策等。
內部環境是其他內部控製要素的根本,其中管理效率是一個重要的衡量指標。在上例中公司在生產經營的過程中,出現了礦井安全隱患問題,但未得到領導重視,說明該公司某些員工,特別是管理層的人員亦在一定程度上缺乏安全意識;領導未能及時給予任何答複,也反映出該公司管理效率的低下。
【提示】內部環境的好壞取決於管理層的理念和經營風格。通常情況下,如果企業主要管理人員武斷專行、剛愎自用,都會導致公司治理結構形同虛設,對內部控製環境造成破壞。
2001年,美國世通公司宣告破產。該公司曾經位列財富500強的第42位,鼎盛時期的雇員總數為8萬人,年收入達352億美元。其創始人伯納德?埃伯斯從一家電話公司起步,通過兼並、收購、上市等一係列資本運作使公司快速擴張,於1995年更名為世界通信公司,埃伯斯任首席執行官(ceo)。到1999年6月21日,世界通信公司股票漲至64.50美元的最高峰,市值則衝破1960億美元。2001年,大量收購行為導致世通高額負債並引起美國證券監管機構的關注,為此證監會展開調查,埃伯斯被迫辭職。在離職審計中發現公司財務造假金額高達90多億美元,而埃伯斯向世通公司的個人借款也高達3.66億美元。
【分析】世通公司以及其他許多從零起步快速擴張最終破產的企業(如美國南方保健等),都表現出一個驚人的相似的特征,即公司創始人的個性剛愎自用,而且企業管理權限過度集中於創始人或ceo手中。這種控製權的過度集中導致公司治理結構中的監督、製衡功能難以發揮,通常在企業達到破產等不可挽迴的地步後才被發現。我國許多小公司在做大過程中也存在類似問題,有時還未做成大公司就難以前進。公司治理結構在公司正常發展擴張中具有不可或缺的監督作用,同時也是對高管人員行為的必要製衡。內部環境是企業必須著力打造的企業氛圍。
企業應當結合業務特點設置內部機構,如內部審計部門等,明確職責權限,將權利與責任落實到各責任部門。在達到一定規模後,企業還應當在董事會下設立審計委員會,負責審查企業內部控製,監督內部控製是否得到有效實施,並對企業內部控製進行自我評價。
2毖轄韉姆縵掌攔
風險評估就是企業采取一定的程序和方法,及時識別經營活動中的風險,並對風險進行係統分析,合理確定風險應對策略。上述煤礦公司的案例就是缺乏必要的風險分析程序,導致潛在風險未能及時被發現和防範。
某集團是一家從事海洋運輸的公司,在全球90多個國家和地區設立有海外公司。2008年4月1日,該集團宣布成立集團風險控製和管理委員會,集團總裁親自擔任委員會主任,旨在加強集團風險控製和管理。
2006年6月以來該集團兩次爆出“資金門”事件。2008年春節前後該集團駐韓國釜山公司被查出挪用公司巨額運費收入及部分投資款,公司內部人員先後進行非法截留轉移多達一百多次,被挪走的資金總額大約4000萬美元,約合人民幣3億元。釜山分公司采用的造假手法包括虛報費用、虛開發票、和供應商內外勾結等。
該集團的財務體製是:控股公司掌控下屬企業的全部財務和資金結算,海外分公司通常都采取獨立核算製度,分公司隻需要在年底報年賬,不需要報明細賬,有些公司甚至連現金流都不用向總部匯報。如果海外分公司不涉及上市公司,總部通常也不對海外分公司實施定期審計。公司內部控製存在的嚴重漏洞導致財務造假和巨額資金挪用。
該集團成立集團風險控製和管理委員會,事實上就是針對該事件的,並進一步借此完善公司的內部治理結構,建立風險評估製度,加強公司防範風險的能力。
一個嚴謹的風險評估程序通常包括以下步驟:
(1)進行風險分析
近年來西方國家開始出現風險分析團隊和首席風險分析師,企業設置風險控製委員會,其目的就是進行風險分析和判斷。風險分析需要具備專門技術,采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等概率進行測算,對識別的風險進行分析和排序,確保風險分析結果的準確性。
這章沒有結束^.^,請點擊下一頁繼續閱讀!
我國企業也在逐步建立風險控製機構,上述中海集團的案例就是一個典型代表。建立風險控製和管理機構的目的就是使企業的風險防範和控製行為規範化、製度化和長久化。
(2)確定風險應對策略
企業應當根據風險分析的結果,在風險與收益中進行權衡比較,並結合企業的風險承受度,確定風險應對策略,以對風險進行有效控製。通常情況下,企業可以采取的風險應對策略有三種:
1)規避風險
對於超出企業風險承受度的事項,企業可以選擇放棄或者停止與之相關的業務活動,以避免和減輕損失。比如本書第五章提到的好易控公司針對某大型國企的中控產品銷售及安裝調試服務,如果該狀況不能改善並長期持續下去,好易控公司就應當采取避免越陷越深、公司積壓款過多的策略,其作用就是減少乃至停止與該國有企業的合作。
2)降低風險或分擔風險
降低風險是指從企業內部采取適當的控製措施降低風險或者減輕損失,將風險控製在風險承受度之內的策略。
分擔風險是指企業借助外部力量,采取業務分包、購買保險、合作經營等方式,將風險控製在風險承受度之內。比如鋼鐵企業為保證原材料供應與上遊鐵礦石廠商聯營,就是一種分擔風險的方式。
3)承受風險
承受風險是指企業對風險進行評估後,認為風險可以接受,準備實施新項目。通常情況下,企業應該對項目的風險進行充分估計並有充足的應對措施。
(3)風險的持續關注
企業的風險隨實際情況和環境的變化在不斷發生變化,企業需要根據不同發展階段的具體情況,結合業務拓展,持續收集並關注與風險變化有關的信息,不斷調整對風險的評價和分析,並及時調整風險應對策略,對風險進行適時動態的把握。
(4)重大風險預警機製
通過重大風險預警機製和突發事件應急處理機製,可以及時應對可能發生的重大風險或突發事件,確保突發事件得到及時妥善處理。
3庇行У目刂蘋疃
內部控製在企業管理中具有極其重要的意義,企業內部控製製度的實施在很大程度上依賴於控製活動。控製活動是企業根據風險評估結果所采用的相應控製措施,其目的在於將風險控製在可承受度之內。企業的控製活動通常應包含以下幾個方麵:
(1)不相容職務分離控製
凡是業務流程中所涉及的不相容職務,需要實施相應的分離措施,形成各司其職、相互製約的工作機製。
企業不相容職務的內容主要有:錢賬分離、物賬分離。前者包括現金、銀行存款的管理,後者主要體現在倉庫的實物管理和賬務管理必須分離。這些內容在本書第二部分均已做了詳細介紹。
(2)授權審批控製
企業應對業務進行詳細分類管理,區分常規授權和特別授權。對於特別授權項目必須要有總經理和相關高層管理人員審批方可執行,其目的在於明確權限、審批程序和相應責任。
通常情況下對於日常重複性項目實行常規授權,對於重大決策項目和突發項目都應該實行特別授權。此外,集體決策審批或者聯簽製度能更好地提高決策的科學性並降低風險。
(3)會計係統控製
會計係統控製能有效地防範內部錯誤和舞弊。會計係統控製要求企業加強會計工作,包括會計憑證、會計賬簿和財務會計報告的管理和控製。關於這點,本書第十三章將詳細論述。
(4)財產保護控製
財產保護體現在兩個方麵:一是財產的日常管理,包括財產記錄和實物保管;二是定期清查,包括定期盤點和賬實核對。
財產保護控製還需要加強對重要財產接觸的限製,比如未經授權的人員不得接觸財產。財產處置行為通常需要通過特別授權後才能進行。
(5)預算控製
實施全麵預算管理製度,可以明確各責任單位在預算管理中的職責權限,並通過預算加強對各項支出的約束,以強化內部控製。
(6)運營分析控製
采用因素分析、對比分析、趨勢分析等方法,對生產、購銷、投資、融資、財務等方麵的信息,定期開展運營情況分析,可以發現存在的問題,比如導致成本上升的因素到底是原材料上漲還是人工費用上漲,或是廢品率高,並通過運營分析進行深層了解,及時查明原因並加以改進。運營分析見本書第三章。
(7)績效考評控製
通過設置考核指標體係,對企業內部各部門及員工業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升的依據,能調動員工的積極性,並使工作業績與個人報酬結合起來,促進企業業績的提升。關於薪酬管理的介紹詳見本書第八卷。
4繃己玫男畔⒂牘低
及時準確地收集、傳遞相關的信息,確保信息在企業內部、企業與外部之間暢通無阻並能得到有效的反饋,是良好的信息與溝通控製的關鍵。信息與溝通控製的主要內容包括:
(1)建立信息與溝通製度
明確內部控製相關信息的收集、處理和傳遞程序,確保信息得到及時處理。前述煤礦公司的案例當中一個重大內控缺陷,就是員工關於安全風險的信息未得到有效反饋和處理。
除企業內部各單位間的信息溝通外,企業還應建立與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方麵間的信息溝通和反饋製度,以便及時發現問題及時解決。
(2)信息技術及信息共享
利用信息技術能更好地促進信息的集成與共享,擴大信息在企業內部的傳遞和影響。因此,信息係統開發與維護、文件儲存與保管、網絡安全等控製都是企業應該完善的內部控製製度。
(3)反舞弊機製
反舞弊機製的重點在於預防。通過建立舞弊案件的舉報、調查、處理、報告和補救程序,可在一定程度上加強員工的舞弊恐懼心理,發揮企業內部管理的震懾作用,從而降低員工舞弊的動機和可能性。
美國畢馬威會計師事務所對發現財務舞弊的調查結果,從圖中可以看出,內部控製是發現舞弊的最重要手段,52%的舞弊行為都是通過內部控製發現的。
美國注冊舞弊檢查師協會2004年進行了關於職務舞弊的統計調查。數據顯示,內部控製、內部審計檢查、警方通知、匿名揭發、外部審計和意外事項是發現職務舞弊的最主要方式。其中匿名揭發是最為有效的。
這也進一步說明了建立反舞弊機製和良好的信息與溝通製度的重要性。
5蹦誆考嘍
僅僅建立製度是不夠的,還需要對製度的執行情況進行監督。內部監督的目的就是定期評價內部控製的有效性,發現內部控製缺陷,並及時加以改進。
企業一方麵要對內部控製的實施情況進行常規、持續的日常監督檢查,同時也需要對影響企業發展戰略、組織結構及經營活動等重大調整或變化,進行有針對性的專項監督檢查。
通過監督檢查可以發現企業內部控製存在的缺陷。一是內控設計方麵是否存在缺陷,比如未對重大資產進行特別授權管理等。二是內控製度的執行是否存在缺陷,即內控製度在各個部門的貫徹情況,包括人員配備與分工等。
通過監督檢查對內部控製的有效性進行自我評價,對監督過程中發現的內部控製缺陷,應當及時提出整改方案,並向管理層報告,尋找改進措施。