一、内部控制建设的必要性
俗话说得好,“没有规矩,不成方圆”。对一个企业同样如此,内部控制的有效建设与执行在一定程度上能够降低企业经营风险,促进其不断壮大,获得公司经济价值最大化。我国《企业内部控制基本规范》明确了内部控制是包括高管在内的全体员工实施的、以实现控制目标的过程,其目标之一是提高经营效率与效果,促进企业实现发展战略。SOX法案404条款中也有规范,规定在美国上市的公司,必须有完善的内部控制体系,包括控制环境、风险评估、控制行为、信息沟通与监督五要素。对内部控制的要求非常严格和详尽。对作假等舞弊手段情况,要求企业的内部控制必须要细化到每一个环节,做到“控制每个环节,每位员工”。
但在中小型企业运行中,内部控制并没有完全发挥作用,往往存在各种各样的问题,阻碍企业的发展。为此,结合我国《企业内部控制基本规范》和美国SOX法案的相关规定,可以看出,对中小型科技上市公司内部控制的建设有很大的必要性。
(一)有利于中小型科技上市公司财务信息质量的提高
一个企业内部控制是否健全、执行是否有效、监督是否到位,关系到财务信息质量的高低,?炔靠刂频挠行?性、系统性是保障企业财务信息质量的关键因素。对中小型科技上市公司而言,要对广大的财务信息使用者负责,更应注重提高企业财务信息质量。内部控制通过对企业会计业务处理程序的制定、执行和监督,科学合理的进行职责分工,在相互监督与牵制下完成,并对“三重一大”实行集体决策,以防止舞弊行为,保证会计资料的准确与可靠。因此,企业内部控制可以对财务行为予以规范,对企业的生产经营活动有调节和约束作用,提高财务信息质量。
(二)有利于中小型科技上市公司经营效率和效果的提升
内部控制是加强企业内部管理、防范风险而建立与实施的内部控制规范体系,并促进企业各个职能部门之间相互配合,明确权利责任,保障企业各部门间的相互协调与制约,经济高效的使用企业资源,以最优方式实现企业发展目标。
(三)有利于中小型科技上市公司进行风险评估
风险评估是识别并分析企业经营活动中与实现目标相关的风险,进而确定应对策略,也是内部控制的重要环节与要素。内部控制的一个基本作用就是控制企业风险,建立和实施一套高质量的企业内控规范体系,有助于提升企业管理水平和风险防范能力,促进和提高中小型企业在国际市场上的竞争力。
二、从A公司内控分析中小型科技企业存在的典型性问题
A公司是一家美国上市公司,提供移动、互联网在线教育服务,已拥有十年的培训经验,在国内多个城市均有分公司、子公司,实施跨地区经营。随着公司规模的不断发展以及成为国际公众公司,其管理需要不断规范,才能在国际市场激烈的竞争中处于不败之地。下面就从A公司在内控建设、执行、监督等方面分析中小型科技企业存在的问题。
(一)对内部控制认识不清
内部控制是企业管理中的重要部分,必须做到全面控制、全员控制和全过程控制。但在以A公司为例的中小型科技公司中,由于企业规模小,重视收益而忽视企业管理,不重视内部控制,认为内部控制只是管理层和治理层的职责,员工无需参与,更不能对其提出质疑,而造成内部控制形同虚设,管理松散。
(二)内部信息传递迟缓、信息系统控制缺乏
在科技高速发展的今天,信息对企业经营管理越来越重要,即使在规模较小的企业中,仍需加强信息沟通渠道的构建。在A公司的内部控制中,虽也强调信息传递(由于信息系统不健全,运行时间不长,员工在使用方面不习惯,所以更多的是口头传递),要求各级别及时领会和传达公司精神,但有的管理层执行力较弱,传达方面丢三落四,导致信息传递迟缓,有的甚至会使员工对公司产生误解,打击员工工作的积极性和热情,不利于公司发展。如果能够有完善的信息系统控制,通过系统来实现信息的传递,会更快捷、准确。
(三)对SOX法案的规定了解有限
作为在美国上市的A公司,除了内审部门和财务部门及部分高管对SOX法案有相关的了解外,其他员工在日常工作中不会用到,自然关注度下降甚至没有。这样无法对法案中提到的主要内容进行监督和问题反馈,只能按照管理层要求做,认为领导的安排不会有问题,一旦管理层存在舞弊或其他不当行为,员工根本没有这方面的意识,可能就会成为舞弊者的助手。
(四)内部控制执行、监督不强
内部控制除了初期的建设外,更重要的还需要加强执行与监督。在A公司,随着业务的发展和海外上市,原有的管理越来越跟不上,内部控制也出现混乱,即使为了满足上市条件而制定了内部控制,但因为一开始就没有对内部控制有足够的认识,所以整个企业在内控执行上不到位,内控中有明确要求,但得不到完全体现。例如在有明确的工作流程和奖励的前提下,得不到奖励的员工为了早点下班,简化工作流程,应付差事,导致公司利益受损,员工的积极性被打掉。另外监督方面也没有起到应有的作用,认为这些都是小事,不构成对企业发展的威胁,久而久之,形成不好的工作习惯,对企业造成难以想象的损失。 三、针对相关典型性问题的建议与解决方案
(一)加强企业员工对内部控制的认识
不管是我国内控的基本规范还是美国SOX法案都强调,内部控制是企业全体员工参与,且治理层和管理层不能凌驾于内部控制之上,否则舞弊的风险很高。加强企业员工对内部控制的认识,应主要有以下几点。
1. 明确内部控制的全面性和全过程控制
内部控制的全面性应当贯穿决策、执行和监督的事前、事中、事后,覆盖企业所有业务与事项,实现的是全过程控制。所以A公司在内部控制全过程中还应结合美国SOX法案的要求,完善内部控制,加强对员工切身利益等人力资源方面的控制、减少和杜绝浪费损失的控制、信息与沟通等方面的控制,在这些控制中要注重事前的预防控制,加强现场的事中控制,及时改正出现的问题,保证每项任务的落实,做好事后的反馈控制,进行分析、总结,提出改进措施,才能不断提高新老员工的激情,不断创新、完善与进步。
2. 提高员工的风险意识
在企业的发展中,风险无处不在,A公司也不例外,加强员工对内部控制的认识更为重要。A公司为了实现经营目标,降低经营风险,需要不断强化全员的风险意识,才能在整个公司形成全方位的风险管理理念和防范意识,遇到问题,人人都有降低风险的意识,不至于像《每人只错一点点》故事中谁都不重视自己遇到的每个细小的可能出错的环节,最后酿成船毁人亡的悲剧。所以对跨区经营的A集团公司来说,企业的风险不仅是风险管理,更是风险预防;不仅是管理者的任务,全体员工在日常工作中都应提高风险防范意识,可以通过日常培训、讲座及互动问答等形式灌输风险意识,提高员工的职业素养。同时还应有专门的风险评估机构,建立评估制度,在进行风险评估时,聘请专业人员,运用科学合理的方法评估每个环节的风险,为公司治理层和管理层做出决策提供重要依据。
(二)提高企业控制环境的良好氛围
控制环境决定了一个企业的基本格调,是内控的基础。主要包括治理结构、人力资源政策等在内的各方面。控制环境的好坏会对企业内制的贯彻和执行有直接影响。从控制环境内容看,要对其进行完善,应从规范企业的治理结构开始,一一落实。针对A公司,主要有以下两点。
1. 在A公司的治理结构中,董事会和企业负责人基本能够发挥作用,但需要提高经理层整体的执行力、明确其职责权限。
2. 在A公司人力资源方面,加强对长期服务于公司的忠诚员工的薪酬等奖励,激发其不断为公司服务的热情,提高其创新能力,促进其对新员工的传帮带作用;在新员工的选拔和聘用中,应以职业道德修养和专业胜任能力作?橹饕?标准,满足A公司进行教育这种良心工程的需要,并不断进行员工专业培训和继续教育,提升其业务能力和素质。
对上述提到的奖励,A公司不必单独拿出一笔支出,将制度中处罚的款项不作为企业的营业外收入,而是集中起来,用于奖励有特殊表现、严格遵守公司制度、积极发现问题和提出有利于公司发展建议等的员工,每半年或一年终了清零。这样将会大大提高员工的主动性和积极性,推进企业在一个良性的环境中不断发展壮大。
(三)加强企业信息传递和信息系统控制
《企业内部控制应用指引》中明确,内部信息传递不通畅、不及时、泄露商业秘密或系统运行维护不到位等,可能导致决策失误、削弱企业核心竞争力或系统无法正常运行等。所以强调加强信息传递与信息系统控制也是为了提高企业现代化管理水平,减少人为因素给企业带来的不利影响。在A公司,要结合内部控制应用指引以及企业自身情况有效建立信息系统控制,促进信息传递。在信息系统中直接选定要得到公司信息的人员,传达一步到位。当然在信息系统中应该有监督审核环节或加密措施,以免公司重要信息泄露。
(四)加强对SOX法案的学习
SOX法案是目前给美国资本市场带来最深远意义的法案,对财务报告有很大影响。尤其是404条款,明确规定公众公司管理层应承担设立内控结构的职责,要求上市公司必须在年报中提供内部控制报告,并要求管理层在年度末对内部控制体系及控制程序的有效性进行评价与披露,出具评价报告。通过企业内部和注册会计师对内部控制的双重评价,提高财务信息的准确与可靠,保护投资者利益,且有利于公司在公众的监督和审视下积极健康发展。A公司应通过培训、公司的企业文化等方式给员工灌输有关SOX法案的相关内容,这样作为上市公司的员工既可以充实自己的知识,又能在日常工作中起到监督作用,发现问题及时反映,有利于公司对SOX法案的遵守。
(五)加强内部控制执行力,建立内部控制的监督机制
内部控制建设的再好,如果不执行或者打折,也没有监督机制,内部控制将难以发挥有效的管理作用。A公司应加强内部控制执行力,在内部控制建设中应充分考虑相关控制的内在联系和相互促进,按照要求执行,做到雷厉风行、令行禁止。有关工作流程和业务部门之间相互配合的工作,在信息系统中进行明确,只有上一个步骤按时结束,达到质量要求,才能进行下一个环节,且下一个环节有监督检查上一环节工作的要求,这样可以有效保证业务工作质量。当然除了内在监督外,A公司内审部门的监督工作也要加强,突出强调其独立性,同时满足SOX法案要求,不但要监督公司内部控制是否真正被执行,还应进行控制环境的建设。对A公司而言,不仅在总部建立审计部门,直接接受董事会的领导,还应在下级公司建立审计部门,与财务部门平行,而非合并,进而确保内部审计的独立性。
在信息化膨胀的今天,中小型科技公司要充分利用信息技术,减少人为因素,重视企业内部控制的建设、执行和监督。只有内部控制在一个良好的环境中正常运行,企业才能不断降低发展中的各种风险,提高经营管理水平,提高财务信息质量,也才能够在日益复杂的国际市场上不断增强其核心竞争力,实现公司可持续发展的目标。
