企业内部控制
昨天在朋友圈里看到了大师级的人物写的《IPO视角下的内部控制》,今天我也想聊一聊内部控制(以下简称“内控”)。
大家看到IPO,可能会说:噢~~,原来只有大公司和上市公司才需要内控啊,我们这小公司就不需要了。其实不然,内控在大小公司都有它存在的必要性,因为内控的主要目是保护公司资产、减少公司风险(内控目标)。
谁能保证他的公司一点风险都没有?大到被称为“债券之王”的美国雷曼兄弟破产、小到企业会计被交友软件短信骗走几十万,案例数不胜数,这些都是没有制度管控(内控缺陷)导致。
时常能在网络上看到报道,哪家会计接到老板通知(固定电话、微信、QQ等)要付货款,急(会计没有时间确认),会计接到指令不假思索就付了出去。等老板收到短信通知后与会计核对才知道,被骗了。
这是会计的错嘛?其实并不全是,因为老板平时的做事风格就是这样,一人说了算,唯我独尊,公司根本没有审批制度,缺少内控,所以这被骗的苦果只能老板自己承受。
我第一次接触内部控制是在2012年8月,财政部办公厅、中国证券监督管理委员会办公厅公告《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30号),要求非国有控股主板上市公司满足要求的上市公司在披露2013年年报时,同时要披露内控自我评价报告及内部控制审计报告,我们公司被要求披露。
当时我们公司刚刚上市,我对于内控的要求一无所知,公司内部人员也都一头雾水,如何提交内控报告无从下手。
我在网上收集了好多资料,也买了一堆的书,但整理到最后发现自己越理越乱,完全搞不明白内控强调的重点在哪,企业要怎样做才算是符合内控要求、才能得出内部控制有效的结论?
于是我多方求助,首先向有着丰富的上市公司管理经验的董秘同学请教,也特地去他们公司现场学习,学习如何梳理内控流程、编制内控文件、规范业务范围及如何在公司内部推行内控制度,也多次向审计师取经。虽然最终我是按期披露了内控的自我评价报告,但完全是依葫芦画瓢,没明白其中的精髓。
现经过近10年的摸索,我有了那么一丢丢浮浅的认知,虽然简单粗暴了些,但也想分享给大家。
我对内控的理解就是公司规矩和原则,公司里的所有人都必须遵守,所谓没有规矩不成方圆。
内控存在的意义在于通过公司内部管理从而减少公司风险,所以我把整个内控体系简单的分成以下几个方面,或许可以帮到您对内控的理解。
一、公司内部制度的制定及执行(企业内部控制体系建设)
1.谁来制定制度及执行(内部控制建设的组织形式)
2.制度的覆盖的范围(企业层面、业务层面的内容)
每家公司根据自己的情况,既要考虑全面性,也要考虑重要性,还要考虑适应性和制衡性,然后制定出一套适合自己的内控制度(内控原则)。
这里较为重要的是不相容职务相分离、授权审批设定(控制要素)。
二、公司内部稽查及出具稽查报告(内部监督及内部控制评价)
各个业务模块的制度制定好了后,由专门部门根据制度的规定按相应的程序(内部控制评价程序)来稽查相关部门的业务(内部控制评价的内容)是否按规定执行,如果没有按要求执行,判断会给公司带来什么样的风险(风险评估)。
当公司的经营环境发生变化,导致现有的制度已不再适用,那么稽查部门要督促制度制定部门对相应的制度做出修订。
年度结束,通过一定的方法(内部控制评价的方法)对这一年的内部稽查做一个总结,看是否有对公司不利的地方,不利影响的大小是多少(内部缺陷的认定),最终出具总结报告(内部评价报告)。
三、外部对公司检查(内部控制审计)
由于制度的制定、执行及评价报告都是公司内部人员完成,为了考虑其公允性,大公司、上市公司、有条件的公司可以考虑聘请第三方有资质的会计事务所对前面一至三项内容进行专项审计,出具内部控制审计报告,看是否有存在不当的制度,是否存在缺陷,是否有重大风险等等。
四、对内外部指出的问题进行整改
针对自我评价报告和内部控制审计报告中提及的一切有风险的问题(一般缺陷、重要缺陷和重大缺陷),用风险分析方法对这些风险问题进行分析和整改(风险分析),将公司的风险降到最低(风险应对)。
公司无论大小,大到国有控股公司,小到人体工商户,只要经营业务,与钱挂钩,都应该有相应的管理制度,不能成为独裁公司,这样才能降低经营风险,保证企业的持续经营。
以上是以大白话的方式解说了内控的相关内容,理解了大白话的内控后,就不难理解那专业复杂的内控内容了。实际内控的建立是相当复杂的,不同公司有不同的标准,以100万这个数字为例,对于小公司来说100万已是很大的数字了,但对于那些大公司而言,这又是微不足道的数字,所以每个公司要根据自己的情况进行建立内控制度,而不能盲目的跟他人学。
内部控制这个领域是经济学者和专家们重点研究的方向,我是内控方面的小白,我还要在这个领域继续修行,若有兴趣的朋友也有可以通过信息交流学习。
特别提醒:
中小公司,在建立内控体系的过程中,考虑风险外的同时,还需兼顾成本效益原则。不必过于追求建立大而全内控框架,而应在充分分析自身风险点的基础上,建立与本企业现状相适应的内控体系,并在企业的发展过程中不断优化。
分享