企业内部控制理论的发展与启示(五)
若巨人集团考虑到生物工程可能会遭受的风险,就不会将巨人大厦的资金来源孤注一掷于生物工程;若然,“标王”秦池就不会将自己的身家都投人广告活动。国外对风险评估早已非常重视。战略管理中常用的“SWOT” (strength ,weakness, opportunities and threats)分析法,就是风险分析的一种,企业应该对内分析自身的优势与劣势,长处与短处,对外分析外界的机会和威胁,考虑自己的生存机遇。不仅企业在战略目标的制定过程中要进行“SWOT”分析,而且在企业日常的内部控制过程中也应该时时这样做,才能将内部控制目标达不成的风险降至最低。企业进行风险评估一般须经历风险辨别、分析、管理、控制等过程。特别要注意的是,当企业内外部环境发生变化时,风险最容易发生,因此企业应加强对环境改变时的事务管理。
3.设立良好的控制活动
控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业保证其已针对“使企业目标不能达成的风险”,采取了必要行动。控制活动出现在整个企业内的各个阶层与各种职能部门,包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。一般而言,控制活动包括两个要素:政策和程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯地、彻底地加以执行。同时程序也不应该只是机械地被动地予以执行。
控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的五大循环即采购循环、销售循环、付款循环、收款循环和理财循环等分别设计其控制活动。例如,企业的采购循环就应注意请购单、订购单、采购单等的授权与审批,要注意对采购的单价、质量、数量等的审核等。
4.加强信息流动与沟通
在谈及控制环境时,我们已提出,一个良好的信息系统有助于提高内部控制的效率和效果。企业须按某种形式及在某个时间之内,辨别、取得适当的信息,并加以沟通,使员工顺利履行其职责。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项要素,是企业内部控制过程的一个部分。
如果企业能够策略性地使用信息系统,则意味着该企业可能会成功,反之则否。江西一家国有企业购买了一火车槽车重油,进厂一夜后无人验收,尔后这列载有近30吨重油的槽车又被当空车返回了铁路部门。这样的信息沟通体系,是无法希望其内部控制能有很高的效率和效果的。
一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务。每位员工都必须了解内部控制制度的有关方面,这些方面如何生效以及在控制制度中所扮演的角色、所担负的责任以及所负责的活动怎样与他人的工作发生关联等;员工需知道企业期望他们作出哪种行为、哪种行为被接受、哪种行为不被接受;员工还需知道在其执行职责时,一旦有非预期的事项发生,除了要注意该事项本身之外,尚应注意导致该事项发生的原因。一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及对外界的信息沟通管道。企业会计系统是企业信息系统最为重要的组成部分。企业的会计系统为企业提供成本信息、营运信息、生产信息、库存信息等。因此,企业应加强会计系统及其他方面的信息沟通体系的建设。
5.加强企业的内部监督
前已述及,企业内部控制是一个过程,这个过程系通过纳入管理过程的大量制度及活动实现的。因此,要确保内部控制制度被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,内部控制就必须被监督。监督是一种随着时间的推移而评估制度执行质量的过程。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来实现,或两者结合。
在内部控制的监督过程中,有两项职能发挥着重要作用。(1)内部审计。在企业各个层级的人员中,就内部控制而言,内部审计人员具有极其重要而又特殊的地位。内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命。美国著名内部控制专家迈克尔•海默教授(Michael hammer)曾说过:“内审机构应将自己视为公司的一种资源。在帮助管理当局更有效地达至预期控制目标的过程中发挥作用。内部审计师的使命将从简单的‘我们实施审计’向‘我们帮助创建一些程序,以期达到组织成功所需要的内部控制水平’的方向发展。”因此,审计部门的作用不仅在于监督企业的内部控制是否被执行,还应该帮助组织进行“软控制”环境的营造,成为内部控制过程设计的顾问,建议管理当局建立一种健康积极的组织文化,使成员能自觉把办事准确和职业道德放在首位。