内部控制,防患于未然
内部控制,防患于未然
魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位最好呢?”扁鹊答:“长兄最好,中兄次之,我最差。”文王再问:“那么为什么你最出名呢?”扁鹊答:“长兄治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去;中兄治病,是治病于病情初起时。一般人以为他只能治轻微的小病,所以他的名气只及本乡里。而我是治病于病情严重之时。一般人都看到我在经脉上穿针放血、在皮肤上敷药等大手术,所以以为我的医术高明,名气因此响遍全国。
这是关于扁鹊的一段很有名的故事,说的是最高明的医术不在于穿针放血,而是能够在病情发作前,将疾患消失于无形。而对于企业而言,内部控制的精髓也在于此,对于公司治理的作用在于防微杜渐,最成功的内部控制莫过于将企业的问题消灭在萌芽状态。
早期的内部控制——人盯人战术
在40年代的美国,内部控制制度是以一种“内部牵制制度”的形式出现的。它的出发点很简单,就是将一项一个人做让人不放心的业务,同时交给两位或两位以上的人去实施,客观上造成实施人之间的一种相互牵制的关系,从而预防可能发生的差错。
最常见的牵制规则是管钱、管物、管账分工负责,相互制约。付款的人不能负责记账,采购的人不能负责收货,做销售的不可以自定信用额。到了ERP的信息时代,变成系统操作人员不可以修改系统,修改系统的人不可以操作,以及不同等级的人被授予不同的权限等等。这些方法是企业内部控制的硬方法。
1992年,美国五家会计协会(注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会)组成了一个委员会叫COSO。COSO委员会把内部控制系统化,提出内部控制的三大目的:取得经营效果和效率,确保财务报告的可靠性,以及遵循适当的法律法规。按照COSO的解释,内部控制是一个过程,像西西弗斯推石头一样永远没有结束的那一天,有企业存在,就有内部控制。而且,内部控制不是一些人的事情,而是企业所有人的事情,企业的流程和制度制约每一个人。好的内部控制制度可以帮助企业达成它的目标,尽管内部控制不能保证企业成功。但是对于上市公司来说,内部控制保证了投资者对财务报告的信心。因此,财务审计的核心实际上也就是内部控制。
公司内部控制五要素
COSO提出了著名的COSO模型,认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成。
企业的内部控制环境包含了企业管理层的领导能力、组织结构、预算和内部报告体系、内部稽核、人事架构、健全的实务等。说到环境,中国人相信“水至清则无鱼,人至察则无徒”,好处是处处有弹性,不好的地方是弄不好就导致污染环境,长期结果是鱼虾皆亡。
企业的风险评估是财务人员的敏感区域,风险管理以预防为主,即通过增加、补充或规范各内部控制环节来规避可能面临的风险。如果风险实在避不开,就转嫁风险,如购买保险,利用对冲和远期合约等。
控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。比如生产、经营性企业的采购作业的交易数量通常都较大,而且存货易于因废弃、变质和偷窃等发生损失,导致重大错误或舞弊的可能性也很高。因此,包括采购在内的物流体系是控制活动的关键。
现在越来越多的企业使用公开招标的方式控制采购。比如,软银的孙正义投资了一家日本公司,提供第三方网上竞价服务,使价格决定过程透明化,不受人为左右。在日本,企业有四个利润来源,在销售、生产、物流之外,还有采购。这家公司在日本获得了很大成功,正在试图将其模式移至中国。中国国有企业内部控制制度有两个最薄弱的环节,一是货币资金,二就是采购。采购业务中弄虚作假,吃“回扣”等现象也许会因采用第三方网上竞价而有所控制。
企业的内部监督是一种随着时间的推移而评估制度执行质量的过程。监督的背后是有效的考核制度和激励制度,这也是中国企业目前比较薄弱的地方。
另外,还有信息交流。这里信息不仅仅是指文书程序、会计记录,以及财务报告,还包括其他商业信息。这本是企业管理的基本要求,但是这几年却遇到前所未有的挑战,因此最终导致了SOX法案的出现。
公司内部控制的达摩克利斯之剑
COSO的内部控制模型在世界各地的企业界里盛行了10年,直到2002年7月25日,美国国会通过了《2002年萨班斯——奥克斯利法案》(也称《2002年公众公司会计改革和投资者保护法案》、SOX法案,以下简称《法案》)。2002年7月30日,该《法案》经美国总统布什签署后,正式成为法
湖北财务总监网 版权所有 鄂ICP备05023550号 湖北财务总监网 | 专业致力于财务管理培训
联系电话:027-82609920 82622273 传真:027-82609920 电子邮件:hbcfo.com@gmail.com
主办单位: 中国企业联合会 | 中国企业联合会管理岗位认证培训湖北省项目管理单位