內部控制是由企業董事會、監事會、經理層和全體員工***同實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。
1.促進遵循國家法律法規
守法和誠信是企業健康發展的基石。逾越法律的短期發展終將付出沈重代價。內部控制要求企業必須將發展置於國家法律法規允許的基本框架之下,在守法的基礎上實現自身的發展。
2.促進維護資產安全
資產安全是投資者、債權人和其他利益相關者普遍關註的重大問題,是企業可持續發展的物質基礎。良好的內部控制,應當為資產安全提供紮實的制度保障。
3.促進提高信息報告質量
可靠及時的信息報告能夠為企業提供準確而完整的信息、支持企業經營管理決策和對營運活動及業績的監控;同時,保證對外披露的信息報告的真實、完整,有利於提升企業的誠信度和公信力,維護企業良好的聲譽和形象。
4.促進提高經營效率和效果
它要求企業結合自身所處的特定的內外部環境,通過建立健全有效的內部控制,不斷提高經營活動的盈利能力和管理效率。
5.促進實現發展戰略
這是內部控制的終極目標。它要求企業將近期利益與長遠利益結合起來,在企業經營管理中努力作出符合戰略要求、有利於提升可持續發展能力和創造長久價值的策略選擇。
(二)內部控制原則
內部控制原則是企業建立與實施內部控制應當遵循的基本指針。
1.全面性原則
內部控制應當貫穿決策、執行和監督的全過程,覆蓋企業及其所屬單位的各種業務和事項,實現全過程、全員性控制,不存在內部控制空白點。
2.重要性原則
內部控制應當在兼顧全面的基礎上,關註重要業務事項和高風險領域,並采取更為嚴格的控制措施,確保不存在重大缺陷。重要性原則的應用需要壹定的職業判斷,企業應當根據所處行業環境和經營特點,從業務事項的性質和涉及金額兩方面來考慮是否及如何實行重點控制。
3.制衡性原則
內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督,同時兼顧運營效率。制衡性原則要求企業完成某項工作必須經過互不隸屬的兩個或兩個以上的崗位和環節;同時,還要求履行內部控制監督職責的機構或人員具有良好的獨立性。
4.適應性原則
內部控制應當與企業經營規模、業務範圍、競爭狀況和風險水平等相適應,並隨著情況的變化加以調整。適應性原則要求企業建立與實施內部控制應當具有前瞻性,適時地對內部控制系統進行評估,發現可能存在的問題,並及時采取措施予以補救。
5.成本效益原則
內部控制應當權衡實施成本與預期效益,以適當的成本實現有效控制。成本效益原則要求企業內部控制建設必須統籌考慮投入成本和產出效益之比。對成本效益原則的判斷需要從企業整體利益出發,盡管某些控制會影響工作效率,但可能會避免整個企業面臨更大損失,此時仍應實施相應控制。
(三)內部控制要素
1.內部環境
內部環境規定企業的紀律與架構,影響經營管理目標的制定,塑造企業文化氛圍並影響員工的控制意識,是企業建立與實施內部控制的基礎。內部環境主要包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
(1)治理結構。企業應當根據國家有關法律法規和企業章程,建立規範的公司治理結構和議事規則,明確董事會、監事會和經理層在決策、執行、監督等方面的職責權限,形成科學有效的職責分工和制衡機制。
(2)機構設置及權責分配。企業應當結合業務特點和內部控制要求設置內部機構,明確職責權限,將權利與責任落實到各責任單位。企業內部機構設置雖然沒有統壹模式,但所采用的組織結構應當有利於提升管理效能,並保證信息通暢流動。
(3)內部審計機制。企業應當加強內部審計工作,保證內部審計機構設置、人員配備和工作的獨立性。
(4)人力資源政策。人力資源政策應當有利於企業可持續發展,壹般包括員工的聘用、培訓、辭退與辭職;員工的薪酬、考核、晉升與獎懲;關鍵崗位員工的強制休假制度和定期崗位輪換制度;對掌握國家秘密或重要商業秘密的員工離崗的限制性規定等內容。企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準,切實加強員工培訓和繼續教育,不斷提升員工素質。
(5)企業文化。企業應當加強文化建設,培育積極向上的價值觀和社會責任感,倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神,樹立現代管理理念,強化風險意識和法制觀念。董事、監事、經理及其他高級管理人員在塑造良好的企業文化中發揮關鍵作用。
2.風險評估
風險評估是企業及時識別、科學分析經營活動中與實現控制目標相關的風險,合理確定風險應對策略,實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(1)目標設定。風險是指壹個潛在事項的發生對目標實現產生影響的可能性。風險與可能被影響的控制目標相關聯。企業必須制定與生產、銷售、財務等業務相關的目標,設立可辨認、分析和管理相關風險的機制,以了解企業所面臨的來自內部和外部的各種不同風險。
(2)風險識別。企業不僅要識別內部風險,還要識別與控制目標相關的各類外部風險。企業識別內部風險,壹般關註:董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素;組織機構、經營方式、資產管理、業務流程等管理因素;研究開發、技術投入、信息技術運用等自主創新因素;財務狀況、經營成果、現金流量等財務因素;營運安全、員工健康、環境保護等安全環保因素等。企業識別外部風險,壹般關註:經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素;法律法規、監管要求等法律因素;安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素;技術進步、工藝改進等科學技術因素;自然災害、環境狀況等自然環境因素等。
(3)風險分析。在充分識別各種潛在風險因素後,要對固有風險,即不采取任何防範措施可能造成的損失程度進行分析,同時,重點分析剩余風險,即采取了相應應對措施之後仍可能造成的損失程度。企業應當采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關註重點和優先控制的風險。
(4)風險應對。企業在分析了相關風險發生的可能性和影響程度後,結合風險承受度,權衡風險與收益,確定風險應對策略。常用的風險應對策略有:風險規避,即改變或回避相關業務,不承擔相應風險;風險承受,即比較風險與收益後,願意無條件承擔全部風險;風險降低,即采取措施降低發生不利後果的可能性;風險分擔,即通過購買保險、外包業務等方式來分擔壹部分風險。風險應對策略的選擇與企業風險偏好密切相關,為此企業應當合理分析、掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好,采取適當的控制措施,避免因個人風險偏好給企業經營帶來重大損失。風險應對策略往往需結合運用。