赵晓林
(港扬食品有限公司,江苏 扬州 225000)
企业构建完善的内部控制体系,是提升企业运营效率、效果的需要,是防范企业内部风险的需要,也是提升企业核心竞争力的需要。完善的内部控制体系是衡量企业经营管理水平的重要标志之一。通过加强内部控制可以控制企业财物的保管和使用,能够有效预防和减少企业资产被损坏、浪费、挪用、盗窃以及其他不合理问题的发生;通过加强内部控制还可以及时识别企业管理中的潜在风险,做到事前预防、事中控制、事后纠偏,防范和化解企业经营管理中的风险。
企业在充分分析、慎重考虑风险的基础上做出合理的应对决策,可以提升组织的运营效率,提高公司治理水平,使经营管理工作更加规范、有效,有利于实现企业发展战略目标;内部控制通过规范企业业务处理程序,基于不同岗位进行分工控制、协调和考核,促使各部门或人员履行职责、明确目标,以职务分离和账目核对为手法,使各项业务在互相牵制、互相监督的条件下进行,从而有效地控制错误和非法活动的发生。在很大程度上保证财务数据的正确性和可靠性,准确、可靠的财务数据是企业经营管理者检视过去、控制现在、预测未来、调整企业运营策略的必要条件;企业生产和经营必须遵守相关的法律法规,在法律法规范围内运营,科学、合理的内部控制体系,能把各项法律法规及政策落实到位,通过实施内部控制进行自我约束,合理保证企业经营管理的合规、合法,使生产和经营符合政府部门等监管的要求。
部分中小企业的管理者对内部控制的认知存在误区,他们或是错误地认为内控就是老板控制员工,是上级对下级的控制,是对某个部门或某个职能的控制;或是错误地认为内部控制就是领导签字审核,制定打印一堆制度,梳理一套流程;甚至错误地认为内部控制就是为了应付监管机构,对企业的经营管理无法产生价值,还会增加工作量。
一些因素阻碍着企业内部控制价值的发挥。首先,内部控制一般是针对经常或重复发生的业务设置的,具有相对稳定性,但随着企业生存环境的变化、信息技术的进步,如果出现不经常发生或未预计到的业务,现有的内部控制可能会无法全面覆盖,甚至导致失效。其次,内部控制是由人来设计和执行的,因此也会受设计人员知识经验的限制,执行人员控制意识的缺失以及疏忽大意、精力分散等原因而出现判断错误或人为失误导致内部控制失效;或因企业内部控制的执行人员未理解内部控制的核心要求,或者专业素养无法支撑实操落地,造成内部控制不能充分发挥效用。最后,中小企业构建内控体系,从无到有,再到实施,往往会调整和规范很多工作流程,可能导致相关部门或岗位的工作负担增加;内部控制也会导致企业管理成本上升,一些企业决策者出于成本效益的权衡而不支持建立内部控制体系。
对于部分中小企业而言,公司治理结构不够健全,缺乏科学决策、良性运行机制和执行力。内部机构设计不科学,权责分配不合理,可能出现机构重叠、职能交叉或缺失、推诿扯皮的现象。有些中小企业,特别是家族企业,在流程设置或者权限分配过程中多是基于关系的亲疏,在关键岗位会任用家庭成员,可能导致内部控制的管理效果打折扣。内部控制涉及企业中所有层级、所有人员,处于不同层级的人员或部门在内部控制系统中可能拥有大小不等的业务处理与决策权限,超越职责权限会打乱正常的内控程序和业务流程,为徇私舞弊、违法乱纪行为的发生埋下隐患。此外,管理层越权往往是重大舞弊案件或虚假财务报告发生的重要原因,进而影响到内部控制的成效。
根据海恩法则,任何不安全事故都是可以预防的。每一起严重事故的背后,必然有29起轻微事故和300起未遂先兆以及1000起事故隐患。这说明,风险虽然不可控,但可以提前分析认知,提前做好应对准备,可以降低不确定性,避免不必要的损失。但一些中小企业管理者往往轻视管理中遇到的问题,淡化管理中的危机。仅仅凭借本能与直觉,通过不断试错来总结管理中的得与失,直到重大危机爆发,犯了掩耳盗铃的错误,企业缺乏风险预防和规避风险的能力。
具体来看,有的中小企业虽然建立了内控体系,但照搬模板、追求形式、缺乏有效的落地手段,最终内控体系流于形式,执行力低下成为很多中小企业面临的现实问题。在大多数企业中,风险事件的发生不是因为内部控制体系的缺失,而是因为内部控制未得到有效执行。有的企业只有空洞的制度,基本看不到具体的流程设计、工作标准或具体职责;有的企业虽然在制度上设置了层层控制,但关键内部控制岗位人员几乎“闭着眼睛”签字;有的企业管理者带头不遵守内部控制的要求,将自己的权威凌驾于已有的管理控制体系上;有的企业内部控制就是固定的流程、步骤和表单,企业内部控制应随着企业管理模式、经营环境、信息技术发展等原因同步修订、补充和完善,否则内控就难以发挥应有的作用。
内控工作不仅要求内控人员懂专业、有实践经验,还需要知识结构多元化,通晓财务、法律、管理等知识。除此之外,内控人员还需要深刻理解组织的战略及未来规划,在建立与高级管理层良好合作关系的同时,也要有解决问题、协调沟通的能力,既要坚持原则又不失灵活性。内部控制可能由于两个或更多的人员串通或管理不当,尤其是不相容职务的混同而失效,所以,内控人员职业道德水平的高低和专业能力的强弱将直接决定内部控制流程的执行效率与效果。但对于中小企业,特别是家族企业而言,他们录用过多的家庭成员,为了节省成本不愿意增加岗位,也无法做到定岗定编,优秀的人才基本不会考虑中小企业,企业内缺少高素质员工,专业人才的短缺造成了部分关键控制措施无人执行,制约中小企业内部控制体系的建设。
信息沟通是企业一系列内部控制措施能够有效执行的前提条件,信息资料公开、共享能降低信息不对称的风险,例如,如果企业对于法律法规的修订不了解,就存在触犯法律法规的风险。随着互联网及信息技术的快速发展,市场环境变化越发复杂,快捷、准确的信息传递成为促进企业规范运作和发展的保障手段。但是,由于企业组织架构、职能边界及与之对应的利益格局的影响,会导致信息输出方可能不配合信息输出或输出信息质量不高;或者尽管企业已建立信息传递机制,但由于信息输出方与接收方存在专业业务上的隔阂,导致信息无法被传递和应用。内部信息系统缺失,功能不健全,导致内容不完整、信息虚假或不准确、信息提供不及时,或者提供的相关信息未被有效利用、内部信息泄露等,会误导信息使用者,导致决策失误或延误,增加企业的经营风险,削弱企业的核心竞争力,进而影响企业生产经营的有序进行。
内部控制向上涉及企业整体战略,向下涉及企业日常运营,企业管理层应树立正确的企业内控观念,明确建立内部控制体系的必要性,并保证内部控制设计与执行的有效性,这是应对风险、实现稳健经营的必要条件。企业内控体系应根据整体战略制定控制目标,识别可能威胁目标实现的主要风险,进而根据风险评估结果制定相应的控制措施。内控不是一套静态的管理制度,也不是一成不变的控制措施,而是动态的管理过程,随着企业生存环境的变化、信息技术的进步及时修订、补充和完善,建立与企业自身的发展紧密结合的长效机制。中小企业在设置内部控制体系时,要充分考虑企业所处阶段和检查性控制措施的完善情况,保证每一个流程与控制点的合规性,企业可以聘请外部咨询顾问,梳理风险点,建立内控体系,交由组织内部执行与完善,也可以招聘专业人员搭建、磨合与完善内控体系。
企业应梳理现有的治理结构和内部机构设置,对各机构的职能进行科学、合理的分解,合理设置内部职能机构,明确各职责权限、任职条件、议事规则和工作程序,避免职能交叉、缺失或权责过于集中,企业在确定职权和岗位分工的过程中,应当明确各岗位的权限和相互关系,体现不相容职责,形成各司其职、各负其责、相互制约、相互协调的工作机制,确保决策、执行和监督相互分离,形成制衡。定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行存在缺陷的,应当及时优化和调整,及时解决内部机构设置和运行中存在的职能交叉、缺失或运行效率低下等问题,从组织设计上保证内部控制的独立性,增强内部控制工作的有效性。
风险是内部控制的出发点,也是内部控制的落脚点,结合未来将要开展的业务活动,积极、系统地开展风险识别与评价,基于风险识别与评价结果,积极、专业、系统地设置控制措施,并匹配控制措施落地手段。有效的风险控制需要嵌入企业的各个层面和各个部门,与企业的各项业务活动、管理流程相衔接,发现重大风险点,找出日常控制点,建立管理制度和业务操作流程,实现风险控制“常态化”“系统化”。一家企业只有建立了完善的内部控制体系,很多经营风险在萌芽阶段才能通过内部控制体系的有效运行进行预防和控制。
企业为了实现内控制度的有效落地,应从内控制度自身管理及其相关主体协调两个角度出发,落实关键管理活动。实施制度专业归口管理、制定清晰的整体制度框架及制度类别与层次体系、明确与制度管理有关的配套流程、权限和标准。并在企业内部实施强有力的贯彻和宣传,对制度运行情况有效跟踪和反馈,提高内控制度的“可操作性”。
企业需要在内部控制流程的基础上,进一步在岗位价值评估、人才甄选、薪酬体系和绩效考核部分制定更加适合企业现状的专项方案。合理地设置岗位,建立岗位责任制,清晰地规范岗位职责,加强对关键岗位与核心人员的引进,关注并合理评估招聘对象的专业胜任能力和职业素养。建立信息沟通机制,加强任职跟踪管理,及时修正各岗位的具体工作事项。制定合理的培训计划,确保培训效果,并使培训成果充分服务于企业。激励与约束相结合,建立具备竞争力的薪酬制度,并与工作绩效相挂钩,以提高员工忠诚度和工作积极性,从而使员工为企业创造出更多的价值。
针对信息传递壁垒,制定正式的信息沟通职责、权限、程序,并设置必要的沟通保障机制;针对信息专业壁垒,调配企业内部专业力量,引进第三方专业力量,或者将强的专业化信息转化成弱的专业化信息。综合评估信息的价值及信息获取难度,收集最具有价值的信息,建立规范的内部信息报告审核制度,编制内容全面、通俗易懂、符合多层次人员需求的内部信息报告。设定严格的内部信息报告传递流程,确定内部信息报告传递的方式、时间、保密程度等。保证组织具有可用于规划、进行监督、遵守法律法规所需的信息。
建立信息化管理系统。首先,要夯实管理基础,在梳理现有业务流程和管理制度的基础上,规划未来信息化管理系统的运行,与各相关方进行沟通和协调;其次,在开发的过程中,要充分考虑风险点及其控制措施、权限设置、数据和文档保留等,尤其要考虑未来的业务和技术趋势,关注系统未来的可拓展性;最后,完善授权管理及信息安全管理。信息化管理系统的建立,意味着相关部门作业方式的改变,甚至是思维方式的改变,这会给不适应现代信息技术的人带来很大的困扰,因此,最好使用循序渐进的方式实施。