企业内控建设不能仅局限于财务层面

企业内控建设不能仅局限于财务层面

2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门发布的《企业内部控制配套指引》连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国应对国际金融危机的重要制度安排。在这里，根据多年来给企业提供内控建设咨询的经验，我们将就企业内控建设状况、实施重点难点等进行总结分析，并提出相应建议。 　　大多企业未能建立有效的内控监督和评价体系 　　对于我国企业而言，内部控制制度及内部控制评价是近年来才正式提出的一个概念。大部分企业内控制度的建设和评价是从五部委颁布《企业内部控制规范》和证券交易所《上市公司内部控制指引》的要求开始的。企业的内控制度还处于建设的初步阶段，企业内控大多还不够系统、全面和规范，内控建设还停留在从局部业务管理的需求而自发衍生出来的阶段。 　　我国企业对于内控内涵和范围的理解还较为狭窄，大多还局限于财务相关的循环和业务上，没有树立内控的全局观和全员观。这必然会导致企业在内控建设过程所投入的人、财、物大打折扣。更为可怕的是，由于无法从业务流程的根源上进行内控建设和监督，仅从财务流程加以控制，不论是控制效率还是控制效果都会大打折扣，更不用说要把内控提到提升企业经营管理水平的层面上。 　　大多企业未能建立有效的内控监督和评价体系。我国大部分企业在内控系统建设和实施评价过程的衔接部分还未到位，还未建立有效的内控监督体系，更不用说定期向董事会提交内控评价报告的制度，这是上市公司内控监管需要重点关注的问题。这样一来，企业内控评价和信息沟通基本无从谈起，内控实施也无法落到实处。 　　内控建设的难点何在 　　集团公司管控体系薄弱。随着全球经济一体化进程的加快，企业在激烈的市场竞争中所面临的不确定性越来越大，企业间的并购、重组日益频繁，许多企业为了生存和发展纷纷组建企业集团。在集团化过程中，随着资产规模急剧膨胀，如果集团公司的管理资源和管控体系无法跟上，将导致集团公司出现严重的失控问题，比如业务失控、财务失控、投资失控、人员失控。有些集团公司甚至不清楚究竟有多少孙子公司，有多少有负债。在这类分支机构失控情况下，企业家多年创立和发展的集团公司极有可能在短时间内陷入崩塌的漩涡，甚至解体。 　　企业信息系统控制基本处于空白状态。上世纪90年代兴起的企业信息系统建设，至今仍方兴未艾。然而，与之形成鲜明对比的是，企业内控信息系统建设基本处于空白状态。市场中暴露出来的企业信息系统舞弊，不断冲击着企业信息系统的安全性和控制有效性。 　　信息系统控制对于企业来说是一个难上加难，却不得不解决的问题。信息系统控制建设的困难来自于两个方面：一是企业信息系统作为一个信息集成系统，对其理解需要较高的专业知识和能力，而这恰恰是很多企业缺失的；二是企业在进行信息系统建设规划时，由于信息系统服务供应商本身是IT技术出身，没有内控知识，在进行系统设计时没有把内控要求考虑进去，进而导致企业信息系统成为一个没有系统控制的黑箱子，使得企业陷入可怕的信息系统失控状况，导致巨额的经济损失。 　　内控与企业其他管理体系衔接混乱。在企业内控建设中，经常要面对的是企业内控体系与企业其他管理体系的衔接问题。在内控体系建立之前，很多企业由于内部经营管理或行业监管的需要都已经建立了相关的管理体系。在企业实务中较为常见的是质量控制体系和安全生产体系。质量控制体系为ISO认证体系，而安全生产体系则主要是基于行业监管的要求。如何实现内控体系与已有管理体系之间的有效衔接，这就成为企业内控建设的难点。 　　对于这个问题，企业首先应对内控体系与其他管理体系的定位和功能在公司内部进行充分的讨论和培训，让员工明确内控体系在公司整个管理体系中的位置及与其他管理体系的关系。从大的层面来说，企业内控体系、质量管理体系和安全生产体系，各有侧重分工又相互联系。企业内控侧重于企业内部流程和风险控制、侧重于经济管理上，质量管理体系侧重于产品质量的监督，而安全生产体系则着重于企业生产流程和操作的规范化。当然，内控体系和其他管理体系很多时候在管理的流程和业务上也会存在重叠，必须保证几个管理系统的一致性和包容性。