内部控制一般指企业内部的控制运作,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。于董秘而言,参与公司内部控制不仅是董秘的日常工作,同时也是公司规范运作的必要条件。
内部控制的认识与理解
内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。在社会化大生产中,内部控制作为企业生产经营活动的自我调节和自我制约的内在机制,处于企业中枢神经系统的重要位置。企业规模越大,其重要性越显著。可以说,内部控制的健全、实施与否,是单位经营成败的关键。
一般来讲,企业做好内控主要从三方面来重点关注:目标、风险、控制。
首先来讲是定好目标,目标也决定了企业所面对的风险,目标的制定要做到可量化、可衡量、可达到。内控的目标一般包括了经营管理合法合规、资金安全、提高经营效率、促进企业发展战略、财务报告及相关信息真实完整。
再来就是关注风险,目标的确定会带来许多不确定性,这时便有了风险,企业需要对风险进行评估,再以风险为导向制定控制运作。
最后是控制,控制就是通过程序和方法等合理控制风险,内控就是过程控制,控制需要流程化和制度化,需要企业全员参与。再因为内部控制固有的局限性,同样会计控制是内部控制的一部分,也是很多企业内控的难点与重点。
内部控制包括了5大要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
内部环境
内部环境可以说是企业实施内部控制的基础,主要可以从5个方面来构建:治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化。
1、治理结构
首先是从治理结构来说,要求企业建立规范的公司治理结构和议事规则,涉及到三会一层的规范治理和运行。
股东大会:依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。
董事会:对股东大会负责,依法行使企业的经营决策权。负责内部控制的建立健全和有效实施。
监事会:对股东大会负责,监督企业董事、经理和其他高级管理人员依法履行职责。对董事会建立与实施内部控制进行监督。
经理层:负责组织实施股东大会、董事会决议事项,主持企业的生产经营管理工作。负责组织领导企业内部控制的日常运行。
董事会下设立审计委员会,负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
2、机构设置及权责分配
企业应结合业务特点和内部控制要求设置内部机构,明确职责、权限、利益。编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,正确行使职权。
3、内部审计
为了保证内部审计机构设置、人员配备和工作的独立性,需要对内部控制的有效性进行监督检查,对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
4、人力资源政策
企业的人力资源除了考察员工职业道德修养和专业胜任能力之外,还应该对于员工进行培训和继续教育。企业的人力资源政策关系到企业流动的活力,也关系着公司长期平稳运行的人才基础。
5、企业文化
企业需要建设一个良好的企业文化主要可以从积极向上、社会责任感;诚实守信、爱岗敬业、开拓创新和团队协作;遵守员工行为守则,认真履行岗位职责;加强法制教育,增强董监高的法制观念等方面来建设,塑造企业发展的内核,使积极正面的企业文化推动内部控制和企业发展。
风险评估
风险评估,是企业在实现目标的过程中不得不处理的一个环节,对风险的评估也会大大影响企业内控。
对风险进行评估首先要对风险进行识别,识别包括内部风险和外部风险。内部风险包括:人类资源因素、管理因素、安全环保因素、自主创新因素、财务因素,外部风险包括:经济因素、法律因素、自然环境因素、可续技术因素、社会因素。
对风险进行识别之后便是对风险进行分析,把识别的风险进行定性和定量。定性就是指得出风险的影响程度,定量就是评估风险发生的可能性。然后确定风险关注风险的重点和优先控制的风险。
之后就是对相应的风险做出应对策略,对企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略;对企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
对企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略;对企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
控制活动措施
企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。控制也是内控的执行侧面,控制的效果也直接影响目标的完成。
控制活动是指由若干要素组成的单个或一系列活动,这些活动旨在 防止设定的目标偏离。
控制活动的措施主要有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制。
其中不相容职务分离控制可能很少听说,不相容职务分离控制其实是指不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。
不相容职务分离的核心是“内部牵制”,它要求每项经济业务都要经过两个或两个以上的部门或人员的处理,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约,比如财务和出纳必须职务分离。
信息与沟通
在内部控制中需要相关的信息及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。其中重要信息应当及时传递给董事会、监事会和经理层,并及时沟通处理。
对采集内外部信息需要合理的筛选、核对、整合可提高信息的有用性。最后企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
内部监督
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进,确保企业内部控制高效运行。当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责,及时防止或发现差错,则控制缺陷存在。
缺陷就包括了设计缺陷和运行缺陷,当出现设计缺陷时表明必要的控制或控制的必要成分缺失,无法达到控制目标或者是现有的控制设计不当,即使按设计执行后仍无法满足控制目标。当出现运行缺陷时说明一个设计合理的控制未能按预期执行或者执行控制的人员没有执行所需的授权或能力,导致无法有效执行该控制。
在日常的内控工作中,企业内部应该定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。(来源:企鹅号 董秘俱乐部)
