新颁布的《企业内部控制基本规范》,可以说是由政府推动的一种制度创新,必将对我国的企业经营产生重大影响。企业内部控制规范在控制目标、控制范围和技术等诸多方面较以前有重大突破,在某些方面甚至颠覆了大家已有的内控观念,这些变化成为了实施中的难点,需要引起重视。
◇内部控制目标与风险、成本的关系
1992的COSO报告将控制目标确立为三个方面:财务信息的可靠性、经营活动的效率和效果、相关法律法规的遵循性,1994年的COSO报告《风险管理——整合框架》扩展了内部控制目标结构,具体构成如下:
新《企业内部控制基本规范》在借鉴COSO报告的基础上,将内部控制的目标确立为5个方面:(1)合理保证企业经营管理合法合规;(2)资产安全;(3)财务报告及相关信息真实完整;(4)提高经营效率和效果;(5)促进企业实现发展战略。这一控制目标可以视为以下结构:
企业的根本目标是价值创造,而战略目标是依据价值创造确定的,其他目标则与战略实施直接或间接相关。但是,在内部控制建立和实施中总是存在损害价值创造的行为,例如,为满足内部控制的要求而占有大量人力物力,内部控制的程序过于繁琐,使企业因程序繁琐而丧失盈利机会,控制环节过多导致人浮于事。
为避免这些问题的发生,在内部控制设计和运行时应树立新观念。内部控制的设计可以说有两种理念,一种理念是风险最小化,一种理念是风险可承受。风险最小化试图将所有的风险都降低到最低,必然导致内部控制的繁琐。风险可承受则遵循风险和报酬均衡的原理,关注企业对风险的承受能力。新《企业内部控制规范》中强调这一理念,这就要求企业应区分重大风险和一般风险,内部控制应围绕重大风险展开,这符合全面性原则和重要性原则。
◇内部控制层次上的协调
内部控制层次与企业治理结构有关。从理论上说有两种观点,一种是治理结构属于内部控制的构成要素,一种是内部治理结构属于内部控制有效运行的环境。无论哪种观点,从委托代理理论出发,治理结构都需要制衡。但现实中经常出现治理结构失效,如郑百文、中航油等事件。《企业内部控制基本规范》将将治理结构界定为控制环境。这似乎比较符合我国的情况,因为我国许多企业的兴旺发达与管理当局密不可分,“单位好不好,关键在领导”,只有领导重视的事情才能顺利进行,许多企业也确实如此。
从理论和实际看,内部控制和治理结构存在许多交叉。新《企业内部控制基本规范》将内部控制定义为“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”企业董事会、监事会既属于治理结构的范畴,又是内部控制的主体。从控制的层次看,董事会、监事会为高层,经理为中层,职能部门和员工为低层,这三个层次都应纳入内部控制的范围。但实施的难点在于高层控制不可能由企业内部的主体来完成,企业内部主要是对中低层的控制,对高层的控制应当由外部控制主体如股东、政府等来完成。但是,外部控制主体往往因信息不对称或其他原因,经常出现监控不力的问题。但是,没有对高层的内部控制,企业内部的控制又容易出现问题。
◇内部控制内容的协调
企业的全部活动可以分为价值创造活动和辅助活动。价值创造活动基本上可以分为财务活动和业务经营活动,现有的财务报表体现了这种分类,资产负债表和现金流量表反映了企业的财务活动和财务状况,利润表反映了企业的经营活动,现金流量表又分别反映了经营活动和投融资活动产生的现金流量。辅助活动主要指对财务和经营活动提供支持、进行管理的活动,包括预算、分析、考评、信息系统、人力资源政策。从这一角度看,企业的内部控制可以划分为财务活动控制、经营活动控制和管理活动控制三个方面,而信息系统则成为三个方面控制的平台。
问题在于这三个方面并不是截然分开的,相互之间存在交叉,尤其是经营活动与财务活动更是相互融合。在设计内部控制时有两种思路,一种按业务活动或财务活动的“过程”,对关键业务环节和关键点进行控制,一种是按部门所管辖的业务范围。无论哪种设计思路,都同时存在业务活动、财务活动和管理活动。因此,在设计内部控制时应注意避免重复。
◇内部控制技术和方法与传统控制方法的协调
《企业内部控制基本规范》提出的控制措施包括七个方面:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。但是,这些措施未必全面,而且,还存在与传统控制方法之间的协调问题。如存货采购中的集中采购,归口分级管理、存货中的ABC控制,资金的集中管理和授权管理,已成为实践中行之有效的控制措施。
内部控制中有人脑控制和电脑控制,尽管许多企业购置和使用了电脑、业务软件、信息系统,但在控制上并没有充分发挥电脑的优势,依然依赖于人脑控制,人脑控制容易出现遗漏、疏忽等,因此,为提高控制的效率和效果,企业应妥善处理人工控制和电脑控制的关系,应充分采用IT系统在控制中作用,将重复性活动的控制置于IT控制中。最为重要的是,在控制技术方面应充分发挥IT系统处理大量信息的优势来识别、评估和监控企业的风险。当然,控制的条件和范围需要人为事先设定,并且,应随企业内外环境的变化即使调整。
◇企业内部控制文化的建立
内部控制中最难的是对“人”的行为的控制和约束,“人”是风险的制造者和最终控制者,其行为贯穿于企业业务活动的始终,因而也决定了企业内部控制运行的有效与否。现实中我国企业最大的难点就是对“人”的行为控制,有一句话形容财务控制的尴尬,说财务人员“顶得住,站不住;站得住,顶不住”。严格执行财务制度的财务人员往往会受到排挤,而放松监管的往往受到欢迎。
内部控制是全员、全方位的,需要企业各个层级的员工来执行,但是,当员工的利益追求与企业的目标存在冲突时,员工往往选择自利行为。为防止这些问题的发生,企业应当建立内部控制文化,将内部控制的理念融入员工的价值观中,同时建立引导和激励机制,使员工的自利行为让位于企业的内部控制。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:内部控制规范实施中的几个难点