随着国内外企业风险事件的不断发生,内部控制问题开始受到普遍的重视。内部控制是风险管理的基础,只有建立起良好的内部控制体系,确保内部控制设计的健全性、合理性以及运行的有效性,才能不断增强企业的风险控制能力。内部控制在企业运营过程中形成了自身的运行机制,随着内、外部环境的变化,企业不断优化这种运行机制,从而达到防范风险事件发生的目的,确保企业目标实现。内部控制“过程”的特征体现了内部控制自始至终都在为企业目标的实现服务,具有一贯性和连续性;内部控制“合理保证”的特征要求在企业内部与外部环境变化的同时,内部控制要做出适当调整从而确保企业目标的实现。但内部控制运行机制通过怎样的环节运行,运行过程中应注意什么问题,以往的研究表述不多,本文做些初步的探讨。
一、建立内部控制运行机制
内部控制应当是企业为保证各项活动按计划进行并纠正各种重大偏差的一种内部监督行为,加强内部控制的原动力应当来源于企业自身。在企业运营的同时内部控制也有自身的运行机制,企业运营不停止,内部控制运行也不会停止。内部控制运行机制就是指内部控制从起始环节到结束环节的整个过程,它由明确目标、确定标准、强化执行、监督检查、完善提高五个环节组成,缺一不可。内部控制的运行是一个持续、上升的过程,内部控制运行机制正是通过纳入企业的运营过程中得以实现,最终为企业目标的实现提供合理保证。
(一)明确目标
明确目标是内部控制得以运行的首要环节。内部控制运行同企业生产运营一样,只有明确应该达到的目标,才有开展的必要性。在COSO内部控制报告中提到了三个目标:营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性,其中第一个是为了企业本身服务,后两个是为了投资者和政府服务。从企业本身而言,第一个目标的重要性远大于后两个目标,企业设立的根本目的是实现企业价值最大化,而营运效率和效果的提高更可以促进企业实现价值最大化。
随着市场经济体制的建立以及内部控制理论不断成熟完善,内部控制的目标已经由查错防弊,确保会计信息的准确、真实、完整和资产的有效保护转变发展到经济业务的正常运作、管理方针的顺利实现、提高企业的经营效率和经济效益,进而实现企业价值最大化。因此,企业内部控制运行机制目标的设计应与企业整体目标相联系,内部控制是企业运营系统中的控制要素,只有从企业的整体利益出发,建立起直接与企业整体目标相关的内部控制目标,才能使内部控制具备不断加强与改善的动力。
(二)确定标准
内部控制标准是内部控制运行所要遵循的各类规定和制度。在确定了内部控制所要达到的目标后,就应该根据目标确立一系列与企业实际相适应的、科学的控制流程、控制制度和控制措施,其具体表现为企业的业务制度、规范、程序和计划指标或技术定额等,作为衡量实际控制效果的标准和尺度。
目前,政府部门及其监管部门都发布了相关的内部控制标准。对于企业而言,内部控制标准就是在法律法规的框架内结合自身的实际情况,设计出本企业适用的、以内部控制指引为基础的制度、流程和措施。企业的控制标准设计应关注两点:其一,要保证控制标准的合理性和科学性。由于控制标准是进行内部控制评估的基础,直接关系到内部控制评估的具体结果,而且在内部控制评估与绩效考核相挂钩的情况下,更关系到对相关责任人的奖罚;其二,要保证控制标准与时俱进、不断创新。由于外部环境及企业自身条件都在不断的变化中,因此企业的控制标准也不是一成不变的,而是要不断创新,更好地适应企业的内外部环境的变化,以达到为企业目标更好服务的目的。
中国人寿保险集团公司根据集团公司各部门的工作制度、工作流程以及措施制定出《中国人寿保险(集团)公司内部控制指引》,该指引实现了风险控制目标、风险控制点、控制制度、控制流程和控制措施的统一,并计划对其定期进行修改完善,不断改进。
(三)强化执行
强化执行是内部控制运行的第三个环节。在根据企业目标制定了内部控制标准之后,最为关键的是采取相应措施将内部控制标准融入到企业的运营过程中,使内部控制标准得到严格遵循以得出真实的内部控制效果,保证企业目标的实现。相应措施主要体现在以下几个方面:
1、要提高认识。董事会和管理层应坚持把内部控制置于战略高度,并努力提高普通员工对内部控制重要性、迫切性的认识。通过内部控制标准确定一系列制度、程序和方法,把内部控制落实到每一个部门、每一位员工,并渗透到决策、执行、监督、反馈等各个环节。保证内部控制的全员参与、全过程控制以及全方位管理,达到对风险的事前防范、事中控制、事后监督。
2、要全员参与。COSO的内部控制概念中强调内部控制是由企业董事会、经理层和其他员工共同实施的,可见企业内的任何一名员工都应参与到内部控制管理中,也应被纳入到内部控制运行过程中,实现内部控制运行过程中的全员参与。明确个人在事前、事中、事后不同的风险控制责任,明确各部门、各岗位的具体职责。只有从上至下的全员重视,并严格按照内部控制指引的规定进行操作,才有可能避免风险事件的发生。
3、与绩效考核相挂钩。根据行为科学理论,为了最大限度地发挥人的主观能动性,只有根据行为效果进行奖罚才能实现人的行为效果的最大化,因此必须要把激励和约束机制引入到内部控制运行机制中来,完善管理层上下级之间的委托代理关系。把内部控制的相关工作明确责任,落实到人,按照管理层次进行层层分解落实,并且和公司的经营目标、岗位责任联系起来,进行必要的奖罚和考核。通过内部控制运行效挂钩,达到进一步强化内部控制执行的目的。
(四)监督检查
监督检查是作用于内部控制运行机制的控制手段,是保证内部控制有效运行的根本措施。内部控制运行机制通过融入企业运营过程中的大量制度及活动予以实现,要确定既定政策和程序是否切实执行且效果良好,建立的标准是否遵循资源的优化配置、是否合理有效,以及组织目标是否达到,就必须持续不断、定期地对内部控制运行进行检查和评估。同时,由于企业的经营环境和内部管理的变化,或者员工疏忽大意、舞弊等情况的出现,可能会导致某些内部控制环节的失效,也只有不断监督检查内部控制的运行情况,才能及时发现问题和加以解决。因此,只有通过在一个组织内部对内部控制进行独立监督检查,才能不断提高内部控制运行的有效性和可靠性。
监督检查是指由特定主体对内部控制设计的健全性与合理性,以及实施的有效性进行的检查、测试与评价。其基本职能是通过定期的监督、检查和评估,促使企业内部控制运行机制持续而有效地运转。内部控制监督检查的作业方式有当事人自查自评和接受他人监督检查与评估两种方式。监督检查与评估的依据应是企业章程和各类内部管理与控制规定,即控制标准。作业对象可以是整个企业,也可以根据情况选定某些部门、某些业务或某些流程。
对于企业而言,对内部控制进行监督检查的目的不仅仅在于独立评价,它应在帮助管理层实现企业最终目标的过程中发挥更大的作用。通过对内部控制的监督检查,针对内部控制的缺陷、管理的漏洞,提出切实可行的、富有建设性的建议和措施,促进管理层进一步改善经营管理,提高企业综合能力。因此,在开展内部控制监督检查的过程中,企业需要不断探索适合自身的内部控制监督检查的方式。
中国人寿保险集团公司已经开始试点内部控制检查,在各部门自查的基础上,再由集团公司审计部牵头组成联合检查小组,对内部控制运行情况进行评价。内部控制试点检查工作依据《中国人寿保险(集团)公司内部控制指引》进行,并根据《中国人寿保险(集团)公司内部控制评级办法》进行评价,在对评价结果进行量化的基础上,确保评价的客观、公正。
(五)完善提高
内部控制的根本目的是保证单位既定目标的实现,而内部控制在运行过程中由于各种因素的影响常会出现偏差。如果这种偏差是由于执行不力造成的,要消除偏差就必须对内部控制执行措施进行完善提高;如果这种偏差是由于内部控制标准本身制定不严谨、不完善造成的,就必须对内部
