公司内部控制十大漏洞、五大原则、五大要素(建议了解)

2020-11-25

内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。


从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。


本文作者结合众多内控失败案例和内控咨询工作的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。


一、出纳领取银行对账单、编制银行存款余额调节表。


之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。


不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。


货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。


国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。


卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。


2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。


一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。


从笔者了解的情况看,80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。


殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。


二、领导“一只笔”审批,缺乏完善内控制度和流程保障。


领导“一只笔”,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。


首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。


其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。


第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致fu败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。


三、过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。


企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。


更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。


针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。


2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂的人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大的影响,盈利反而创下历史新高,靠的就是花旗银行内部已经形成完整的制度和流程,用制度来保障业务开展,而不是依赖于某个业务人员或主管。


四、内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少。


很多单位有这样一种现象,员工在某个岗位工作久了后变得驾轻就熟,经验老到,工作起来游刃有余,而一旦这个员工因有事调离或辞职,后面接替的人员则需要花很长时间来熟悉情况,重新摸索工作方法


造成这种现象的原因是企业制度主要是文字性东西,缺乏清晰的岗位说明和工作流程图,执行的人往往凭自己的经验和别人“言传身教” 来做事,岗位新手在开始阶段工作不知从何入手,通常需要很长一段学习和熟悉过程。



因此,一套完整的企业制度应包括三部分:



(1)文字描述的支撑制度文件;


(2)工作流程图或流程的文字描述;


(3)相关凭证、表单、文件的样式汇总。

通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,而且能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于企业内部控制的持续改进。


五、内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。


很多企业的内部控制制度都是在发展中逐步建立起来,经常是发现管理中出现了某种问题,于是相应地出台一个制度来规范。


例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。


这种“救火式”的制度往往只能防范已发生过的风险,而对未发生的风险则考虑不足。此外,这样的制度体系无论在内容上还是形式上,都缺乏系统性和完整性,没有科学合理的分类,甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。


笔者曾经接触过一个单位,仅是购买电脑一项,既可以通过信息科购买,因为信息科负责整个单位的计算机软硬件系统;也可以通过行政办公室,因为电脑属于办公用品,而办公用品归办公室管理;还可以通过负责管理固定资产的设备科购买,因为电脑是一种固定资产。


为此,企业应有一套规范的制度制定程序和形式规范,包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理,并以书面形式予以约束。


六、员工临时休假或出差时,缺乏明确的工作交接制度。


任何一个岗位,总会出现员工因急事、生病或出差等原因不能正常上班的情形,很多单位在制度设计时都没有考虑到员工暂时离岗时工作由谁接替的问题。


实际操作中,在遇到员工临时休假或出差时,便临时指派一位相关人员来兼任,但事实上,这种急时抱佛脚的做法,稍有不当,可能会给企业带来风险。


企业正常的工作安排中通常会将不相容职务由两个以上的人来担任,以便相互牵制,而临时指派某人兼任做法,可能会导致不相容职务由同一人担任。


例如支票印鉴平常一般都由两人分别保管,如果因其中一人临时有事而指派另一人暂时兼任,由一人掌握所有空白支票和印鉴的话,盗用支票的风险就会大大增加。


因此,企业有必要明确规定一些重要岗位的工作交接制度,防止员工临时休假或出差时留下内部控制“真空”的现象。


七、人员招聘时注重笔试和面试的考察,忽视背景调查。如果雇佣了不诚实的人,那么即使是最良好的控制也无法防范舞弊。


如果企业不仔细地筛选应聘者,并因此而雇佣了不诚实的员工,则很有可能遭受损害。很多企业在招聘过程中也非常强调应聘者的诚信,但较多注重于笔试或面试的考察。


“然而,谁能知道在一份漂亮的简历背后又隐藏着什么?”,背景调查则能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况,从而能帮助企业甄别应聘者,防止将不合格人员招进来。


而且背景调查本身并不需要复杂的技术,只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解一些非常有用的信息,实施成本也比较低。


曾经被称为北京市医疗系统头号女贪、案发前为北京肿瘤医院住院部主任的石巧玲,四年时间贪污挪用1000多万元,检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本,而在填写工作简历时她又玩上了花样:


在1979年 5月石巧玲亲自填写的《工作人员履历表》中,前页写“售货员”,后页则写在“工商局工作”;


1995年12月25日填写的肿瘤医院《干部任免呈报表》中,石巧玲的工作简历又变成了“1967——1978年,北京商业局会计”。


对石巧玲来讲,严肃的履历表成了可随意填写的“草纸”。其实,这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。


八、关键岗位无强制轮换或带薪休假制度。


企业员工在某一岗位工作时间长了,会比较熟悉内部控制漏洞所在,实施舞弊的可能性更大。现实中,有不少挪用或贪污等舞弊现象都是在工作交接时被发现的。


2005年4月,仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元,该会计19***毕业后被分配至仪征化纤从事财务工作,十六年来他的岗位和职务一直都没有变化,由于在这个岗位上的时间很长,规律摸得非常透,他知道什么时候将款项交给单位,也清楚什么时候要进行财务检查或审计,总能找到新的款项填补以前的漏洞,自1999年开始挪用资金,作案时间长达六年,期间一直未露蛛丝马迹,直到2005年因单位内部人事改革他被迫交接工作时才败露。


过去我们比较强调“螺丝钉”精神,殊不知,“螺丝钉”在一个地方时间拧长了也会容易生锈的。


通过强制轮换,或者带薪休假,在休假期间工作由别人暂时接替,由于员工离岗时的工作交接会受到他人监督,那么他实施并掩盖舞弊的机会将大大减少。


美国货币管理局要求全美的银行雇员每年休假一周,在雇员休假期间,安排其他接替人员做他的工作,就是为了防止员工长期在同一岗位工作可能产生舞弊。


对我国企业来说,对一些关键岗位,例如财务、采购中的部分岗位,通过建立强制轮换和带薪休假制度,既可以提升员工的工作能力,同时是防范和发现舞弊的一项有效措施。


九、过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由。


实施内部控制无疑需要成本,并且在一定程度上会影响到运行效率。于是, 一些单位管理人员便常常以影响效率为由,反对内部控制措施的推行。


事实上,如果将各项职能都较给某一个部门或某一个人去执行,没有必要的授权批准和审核,在效率上可能会很高,但由此产生的风险也急剧上升。


因此,为了防止一些重大风险给企业带来灾难性损失,牺牲一定程度的效率是控制风险所必须付出的成本。


现实中经常碰到的情形是,在企业推行新的内部控制制度,往往会涉及到原有利益格局的打破和调整,这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行,实际是由于个人或部门利益受到影响。


因为内部控制制度不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为企业的领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。


十、说一套,做一套,制度放空炮。


内部控制制度是否得到有效执行是个老生常谈的问题,却又不得不谈,很多出问题的案例往往都不是因为制度缺乏规定,而恰恰是制度有明文规定却未能遵照执行。


以中航油(新加坡)为例,尽管公司有完整的风险管理规章制度,是由国际“四大”之一的安永会计师事务所制定的,在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定,公司的风险管理基本结构是从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5 万美元时向首席执行官汇报,亏损50万美元时,必须斩仓。


但遗憾的公司这些制度并未得到有效执行,公司内部风险管理内控系统形同虚设,最终给公司造成了超过5亿美元的灾难性损失。


内部控制制度不能有效执行原因主要有二:


一是制度本身制定得不合理,或过于理想化,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行;


二是缺乏保证制度执行的机制,一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。


为此,企业一方面需要提高制度可操作性,另一方面要加强制度执行力,不能为制度而制度。


     每个企业都会遇到内控问题,这个问题永远都不会过时,你要自己对照一下,这个企业是否做到,是否存在重大和重要的缺陷。


内部控制原则 

   

    内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则,即全面性、重要性、制衡性、适应性和成本效益原则。  

(一)全面性原则  内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制,不存在内部控制空白点。  

(二)重要性原则  内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。重要性原则的应用需要一定的职业判断,企业应当根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。  

(三)制衡性原则  内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时,还要求履行内部控制监督职责的机构或人员具有良好的独立性。  

(四)适应性原则  内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。  

(五)成本效益原则  内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。


内部控制要素


   借鉴COSOCommittee of Sponsoring Organizations of the Treadway Commission,全美反欺诈财务报告委员会下属的发起人委员会,该委员会于1992年颁布了《內部控制整体框架》,提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯法案》第404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。)报告框架,我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。


(一)内部环境包括1.治理结构   

公司治理结构指的是内部治理结构,又称法人治理结构,是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。  


治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,减少代理成本。  2.机构设置与权责分配  公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,


内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。  所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。  


3.内部审计机制  内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释,内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。  


内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。  


4.人力资源政策  人力资源政策是影响企业内部环境的关键因素,它所包括的雇用、培训、评价、考核、晋升、奖惩等业务,向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与公司员工密切相关,而员工正是公司中执行内部控制的主体。  

一个良好的人力资源政策,能够有效地促进内部控制在企业中的顺利实施,并保证其实施的质量。  


5.企业文化  企业文化体现为人本管理理论的最高层次。企业文化重视人的因素,强调精神文化的力量,希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社会的发展而努力,并通过各种渠道对社会文化的大环境产生作用。     


(二)风险评估

  风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。  

1.目标设定  

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。  企业开展风险评估,应当准确识别与实现控制目标相关的内部风险与外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。  

2.风险识别  

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。  

3.风险分析  

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上,对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。  

4.风险应对  

企业应当在分析相关风险的可能性和影响程度基础上,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。  企业管理层在评估了相关风险的可能性和后果,以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。


常用的风险应对策略有:  

1)风险规避。  

风险规避,即改变或回避相关业务,不承担相应风险,是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如:由于雨雪天气,航空公司取消某次航班;企业拒绝与不守信用的厂商有业务来往;新产品在试制阶段发现问题而果断地停止研发。  

2)风险承受。  

风险承受,即比较风险与收益后,愿意无条件承担全部风险,是企业在权衡成本效益之后,对风险承受度之内的风险,不准备采取控制措施降低风险或者减轻损失的策略。例如:企业设有一个小型仓库,平时就存放一些待处理的设备(市场价值很小),如果为了防止这些设备被盗偷而专门雇佣一个保管员,那么这时支付保管员的费用要远高于设备的价值,显然,不符合成本效益原则,因此,对于这种存在的失窃风险企业就应该采用风险承受策略。  

3)风险降低。  

风险降低,即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略,包括两类措施:风险预防和风险抑制。  

4)风险分担。  

风险分担,即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如:大学里学生宿舍的管理外包给物业公司负责,这是由于大学本身不具有物业管理的能力,通过外包的方式转移了与物业相关的风险;公司给某些关键设备购买财产保险来转移风险。  风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。  


(三)控制活动  

控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与检查性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。  

1.不相容职务分离控制  所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。  

2.授权审批控制  授权批准是指企业在办理各项经济业务时,必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。  

3.会计系统控制  会计作为一个信息系统,对内能够向管理层提供经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。  

4.财产保护控制  财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和,按是否具有实物形态,分为有形财产(如资金、财物)和无形财产(如著作权、发明权),按民事权利义务,分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。财产是企业开展各项生产经营活动的物质基础,企业应采取有效措施,加强对企业财产物资的保护。  

5.预算控制  预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制,使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任企业的约束条件,能够从根本上保证企业经营目标的实现。  


6.运营分析控制  

运营活动分析,曾被称为经营活动分析,但实际上运营活动是比经营活动范畴更广,更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。  企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法(通过函询的方式收集专家意见,对未来进行直观预测的一种定性方法)。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。  运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方面,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。  


7.绩效考评控制  

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测(构建指标体系并进行监测),发现做得好的(绩效考核),进行奖励(激励机制),使其继续保持或者做得更好,能够完成更高的目标。更为重要的是,发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好(绩效改进)。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系,就是绩效考评体系。   


(四)信息与沟通  

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,是实施内部控制的重要条件。企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。信息与沟通的要件主要包括:信息质量、沟通制度、信息系统、反舞弊机制。  


1.信息质量  

信息是企业各类业务事项属性的标识,是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。  


2.沟通制度  

信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。  


3.信息系统  

为提高控制效率,企业可以运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。  


4.反舞弊机制  

舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。  


反舞弊工作的重点包括:  

1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;  

2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;  

3)董事、监事、经理及其他高级管理人员滥用职权;  

4)相关机构或人员串通舞弊。  为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。  信息与沟通的方式是灵活多样的,但无论哪种方式,都应当保证信息的真实性、及时性和有用性。  


(五)内部监督  内部监督是企业对内部控制建立与实施情况监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。从定义出发,内部监督主要有两个方面的意义:第一,发现内控缺陷,改善内部控制体系,促进企业内部控制的健全性、合理性;第二,提高企业内部控制施行的有效性。除此之外,内部监督也是外部监管的有力支撑。最后,内部监督机制可以减少代理成本,保障股东的利益。  

1.企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。  

2.内部监督包括日常监督和专项监督。 

 

1日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括:在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;在与员工沟通过程中获得内部控制是否有效执行的证据;通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;通过内部审计活动对内部控制有效性进行持续监督。  

2) 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。  

专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充,如果发现某专项监督需要经常性地进行,企业有必要将其纳入日常监督之中。  


3.日常监督和专项监督情况应当形成书面报告,并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道,确保发现的重要问题能及时送达至治理层和经理层;同时,应当建立内部控制缺陷纠正、改进机制,充分发挥内部监督效力。  


4.企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。内部控制自我评价的方式、范围、程序和频率,除法律法规有特别规定的,一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。


本文转自:IPO上市实务。若无法确认本文作者,我们注明来源于出处涉及版权问题请及时告,我们会立即理。本公众号发布内容仅代表作者观点,与本公众号管理员立场无关对作者表示感谢


本网站由阿里云提供云计算及安全服务 Powered by CloudDream