内部控制是一个不断发展、变化、完善的过程,它持续地流动于企业之中,并随着企业经营管理的新情况、新要求适时改进调整。内部控制的建立与完善可以使企业全面控制经营风险,不断提高企业竞争力。
首先,企业应不断完善法人治理结构和内部治理结构。董事会是企业内部控制系统核心,负责为企业管理层制定博弈的规则,约束经营者日常行为。但目前不少企业存在“形备而实不至”以及董事会与管理层之间权责不明晰现象,董事会监控作用严重弱化。笔者认为,应完善董事会决策机制,使董事会在内控体系中独立发挥其关键性作用。
一方面,设立董事会决策与监管支持机构,如审计、价格及报酬委员会等;
另一方面,杜绝董事会成员与高层管理人员交叉任职,加大董事会在内控中的作用。同时,应推广和完善管理者激励约束机制,使核心管理层更加关注企业长远发展,使管理层与所有者目标函数趋于一致。
其次,企业应完善内部控制体系,提升企业竞争力。针对内控出现的问题,目前,中国企业内控建设的难点主要有三个。
一是集团公司管控体系薄弱。在集团化过程中,随着资产规模急剧膨胀,集团公司的管理资源和管控体系如果无法跟上,将导致集团公司出现严重的失控问题,比如业务失控、财务失控、投资失控、人员失控。
二是企业信息系统控制基本处于空白状态。一方面,企业信息系统作为一个信息集成系 统,对其理解需要较高的专业知识和能力,而这恰恰是很多企业缺失的;另一方面,企业在进行信息系统建设规划时,由于信息系统服务供应商本身是IT技术出身,没有内控知识,在进行系统设计时没有把内控要求考虑进去,进而导致企业信息系统成为一个没有系统控制的黑箱子,使得企业陷入可怕的信息系统失控状况,导致巨额的经济损失。
三是内控与企业其他管理体系衔接混乱。在内控体系建立之前,很多企业由于内部经营管理或行业监管的需要都已经建立了相关的管理体系,如质量控制体系和安全生产体系等。对此,企业首先应对内控体系与其他管理体系的定位和功能在公司内部进行充分的讨论和培训,让员工明确内控体系在公司整个管理体系中的位置及与其他管理体系的关系。
再其次,企业应通过贯彻落实内部控制基本规范和配套指引,加快建设企业风险管理体系。企业应将过去孤立、分散、非连续的、小视野的风险管理模式逐步向一体化的、连续的、大视野的模式转化,以尽快提高风险管理水平,增强企业的应变能力和适应能力。企业应逐步建立以企业战略为指导、以财务风险管理为主线、以全面风险管理为工具的风险管控体系。内部控制制度不但要健全,还要执行有力,企业要在付诸实施上狠下工夫。监事会应构建全过程监督的体系,经常性监督、事后性监督,实现对公司财务以及公司高管人员履行职责的合法、合规性进行监督,维护公司及股东的合法权益。独立董事应加强事前监督、内部 监督、与决策过程密切结合的监督,对公司的内部控制进行监督,增强会计处理程序和对舞弊性财务报告的防范能力;对重大关联方交易、收购、合并、担保、风险投资等事件予以重点关注;防止公司进行财务造假。
最后,企业应根据自身实际贯彻内控规范和配套指引。
一是出台更为详尽的应用指南。我国企业内控制度薄弱、没有太多的内控制度执行经验,很多企业面对内控评价工作还是会出现无从着手的困境。
因此,设计一套详尽、操作性强的内控应用指南,对企业内控建设有较大的帮助。
二是强化组织领导,自上而下推动。内控规范明确要求企业董事、监事、经理及其他高级管理人员在构建良好的内部环境过程中发挥主导作用。企业高层一定要进一步强化责任意识、法制意识和风险意识,亲身参与、大力支持内控规范的学习培训和贯彻执行,真正将贯彻实施内控规范营造成为企业“高层基调”。与此同时,要及时将内控规范的精神实质和核心内容在企业范围内予以下达,引起广大中层管理者和基层员工的重视,让内控规范的相关标准和要求真正发展成为企业“基层守则”。
三是结合企业实际,制定操作规范。内控规范以原则为导向。如何将内部控制规范中的理念和原则与企业的治理结构、组织机构、业务流程、管理制度很好地进行衔接、融合,是真正落实好内部控制规范的关键。