企业内部控制制度中的常见问题及纠偏,本文主要内容关键词为:常见问题论文,内部控制论文,制度论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、目标定位不当
最常见的是有些企业为了提高公司的盈利能力,以利润的最大化为目标;还有一些企业由于以前因内部控制薄弱遭受过损失,因此把保证经营管理合法合规、资产安全完整、财务报告真实可靠、确保获得会计师事务所的标准无保留审计意见作为内部控制的目标。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制目标不合理或不完整都是错误的。
二、违背内部控制的基本原则
比较常见的有以下方面
(一)违背全面性原则
有些企业的内部控制制度中,只注重对控制环境、风险评估、控制活动等方面的建设,对企业文化则没有提及。有些企业在内控知识的教育培训中,只对中层以上干部或关键岗位员工进行,对其他基层员工则没有组织内控培训。这些都违背了全面性原则。
内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。内部控制的重要性原则也是在兼顾全面的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。
(二)违背制衡性原则
最常见的是“一支笔”审批制度、“金额超过××万元以上由总经理审批”以及“××事项由××部门(岗位)全权负责”等形式的规定,这些规定没有设置审批的上限,忽视了重大决策应实行集体决策制度,不应由某一人审批,违背了制衡性原则。
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督,同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节,同时还要求履行内部控制监督职责的机构或人员具有良好的独立性。
(三)违背成本效益原则
例如:“禁止进行任何对外担保”等无条件回避所有风险的规定,或“所有采购都必须签订书面合同”、“所有岗位的工作都由不同人员分别负责”、“确保资产绝对安全并不受任何损失”、“不能出现任何安全事故”等规定,表面上看虽然使经济安全有了保证,却违背了成本效益原则。
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。
与上述例子相反的是,有些企业为了提高工作效率或减少人工成本,简化必要的手续。例如有些运输企业将运输、发票开具、收款等系列工作都交给司机办理,在提供运输劳务的同时,随身携带运输发票,现结账现开票。这种制度不仅违背制衡性原则,也违背了成本效益原则。
对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
(四)违背适应性原则
例如:外贸企业规定不得从事外汇买卖业务,业务简单、信息化基础差的小型企业规定必须将所有业务纳入ERP系统等,都违背了适应性原则。
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
三、组织机构不合理
比较常见的现象:一是没有独立的内部审计机构,如有的企业将内部审计机构设在监察审计部或财务部,有的虽然有独立的内部审计机构,但其负责人却由财务负责人或企业分管领导兼任,使其失去了独立性,许多企业内部审计机构的报告只直接提交给总经理;二是内部控制的职责划分不合理,如规定“总经理负责内部控制的建立健全和有效实施”等。
根据有关规定,企业应建立起由股东大会、董事会、监事会、经理层及有关部门组成的完整的公司内部治理机构,各层机构在企业内部控制中分别承担不同的职责,发挥不同的作用。其中董事会对内部控制的建立健全和有效实施负总责,管理层负责组织领导企业内部控制的日常运行,内部审计部门则在评价内部控制的有效性以及提出改进建议等方面起着关键作用。最好的方式是在董事会中设立审计委员会,由独立董事担任审计委员会主席,审计委员会下设内部审计部门,其负责人的任免由审计委员会通过批准。内部审计机构的报告应提交给审计委员会,由审计委员会提交董事会批准。
四、人力资源政策不完善
常见的问题是缺乏员工辞退辞职政策,没有明确的强制休假制度和定期岗位轮换制度等。
企业的人力资源政策不仅包括员工的聘用、薪酬、考核、晋升、奖惩,还包括员工辞退、轮岗等政策。如果缺乏积极公平的人力资源政策,很可能使企业面临诸如劳资纠纷、人才流失、商业秘密泄露之类的风险,使企业失去可持续发展力。
五、风险评估和应对策略不当
风险评估和应对策略不当,一种表现是缺乏必要的风险评估和应对策略,例如重视内部业务流程控制而忽视对外部风险的评估应对;另外一种表现则是一味封闭地排斥风险。更多的是后者,如“加强对工程项目的预算管理,实行刚性预算,超预算的工程支出一律不予批准”、“对所有的客户一律实行现款交易,不得赊销”、“禁止为其他任何单位进行债务担保”等等规定。
企业面临的风险不仅来自内部,也来自外部,外部风险有复杂性、多变性及不可控性,即使企业风险分析力量不足,对外部风险也不可忽略。企业应当采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定应重点关注和优先控制的风险。在风险应对上,包括风险规避、风险降低、风险分担、风险承受等应对策略,企业采用何种风险应对策略,应当根据风险评估结果、风险承受度、成本效益原则合理确定,不能一味地排斥风险,还可采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内,将风险分担。
六、控制措施不当
(一)不相容职务没有分离控制
例如,有些企业对下属的分公司、办事处等人员较少的单位,只设一名财务人员,负责所有财务工作;销售人员持合同章单独外出洽谈并签订合同等。
不相容职务一般包括:授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。对于不相容的职务如果不实行相互分离的措施,就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”,因此,企业在设计内部控制系统时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。
(二)授权不当
常见的是企业没有明确规定总经理等管理层的审批限制,没有明确规定紧急情况下的授权审批程序,造成实际操作中出现多重审批或越权审批。
企业必须建立授权审批体系,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。对于重大的业务和事项,企业应当实行集体决策审批或者联签制度,包括董事长或总经理在内的任何个人不得单独进行决策或擅自改变集体决策。
(三)会计系统控制不到位
常见的问题有:会计凭证内容或流程设计不合理,例如没有规定审核后的凭证必须经审核人同意才能修改等;科目体系设计不合理,没有达到核算要求等。
(四)财产保护控制不完善
常见的问题是没有对财产记录做出详细要求,没有对财产(特别是固定资产、应收账款等)交接的手续和职责做出详细规定,导致财产记录资料不齐,缺乏财产实物照片等重要信息,导致财产实物与账面不符,责任不清。
财产保护控制的措施主要包括财产记录、实物保管、定期盘点、账实核对、限制接近等,各种措施的制定应尽量详细并具有可操作性。
(五)实施内部控制的情况在绩效考评中的定位不当
有些企业将员工实施内部控制的情况仅作为绩效考评的参考指标,这是不正确的。企业应将员工实施内部控制的情况纳入绩效考评体系,作为绩效考评的考核指标,作为其晋升、奖励、惩处等的依据,而不是“参考”指标。
七、信息与沟通制度不够严格
多数企业重视内部沟通,忽视与利益相关者、监管部门、注册会计师、供应商等的沟通,没有明确规定与内部和外部信息沟通的时间、内容和方式,例如缺乏严格的对账制度,回避担保、对外拆借资金等错误行为的及时披露等。信息与沟通制度不严格,容易削弱企业的反舞弊机制,形成风险时间差或风险空洞,甚至使不法分子有机可乘。
信息与沟通的主要环节有:确认、计量、记录有效的经济业务;在财务报告中恰当揭示财务状况、经营成果和现金流量;保证管理层与单位内部、外部的顺畅沟通。信息与沟通的方式是灵活多样的,无论采用哪种方式,都应当保证信息的真实性、及时性和有用性,因此企业必须制订严格的信息与沟通制度,避免信息与沟通流于形式或失去时效性。
八、内部监督设置不当
(一)监督范围狭窄。许多企业主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围,这是不够的。内部监督范围应当涉及全员、全业务、全过程,应当将企业所有重要业务事项和高风险领域纳入监督范围。
(二)重视专项监督,忽视日常监督。专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充,如果发现某专项监督需要经常性地进行,企业有必要将其纳入日常监督之中。
(三)董事会或股东大会过多地介入到公司管理业务中,这样设置容易出现缺乏监督的业务管理和执行。董事会或股东大会属于决策和审核机构,不应该过多地介入到公司管理的业务执行中,否则难以对其实施有效的监督。
(四)没有独立的监督机构,导致监督失去独立性。
(五)缺乏书面的监督记录或监督报告,没有定期对内部控制的有效性进行自我评价并出具报告。无论是日常监督还是专项监督,企业都应该记录监督情况,形成书面报告,确保发现的重要问题能及时送达至治理层和经理层;同时应当定期对内部控制的有效性进行自我评价并出具报告。
九、内部控制评价职责不当
比较常见的问题是将内部控制评价交给管理层负责,或者委托提供审计服务的会计师事务所负责,对缺陷的整改也常常由管理层负责,这是不正确的。
企业应当建立内部控制评价制度,由专门的独立机构进行评价,如果委托会计师事务所进行评价,该会计师事务所不能同时从事对本企业的审计等不相容业务。对评价中发现的缺陷,由不同的层面分别负责整改,其中董事会负责重大缺陷的整改,接受监事会的监督;管理层负责重要缺陷的整改,接受董事会的监督;内部有关单位负责一般缺陷的整改,接受管理层的监督。
十、企业战略规划或配套制度与内部控制制度不匹配
例如,有的企业战略规划中只有市场占有率、利润等指标,缺乏人力资源、企业文化建设等企业内部控制要素的配套规划。
企业制定内部控制制度时,应结合企业战略规划对配套制度进行检查,内容有冲突的应进行调整。
基本规范和配套指引的发布,对提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益具有重大的意义。企业在制定内部控制制度时,一定要准确理解把握、结合实际、不急不躁、统筹兼顾、稳步推进,只有这样才能制定出科学完善的内部控制制度,为企业健康发展保驾护航。
标签:内部控制论文; 企业内部控制评价指引论文; 内部控制缺陷论文; 沟通管理论文; 内部审计论文;