湖南华菱涟源钢铁有限公司财务部 彭莉冰
财政部等五部委颁布的企业内部控制规范体系,要求上市公司、中央企业和国有大中型企业必须强制执行。实施高质量的内部控制规范体系有助于企业提升可持续发展能力和长久价值。面对不断变化的商业环境、不断涌现的新的生产技术、愈加严格的监管,企业在满足运营合规、财务报告内控目标等的基础上,需要越来越关注企业内部控制和风险管理。近年来,由于内控不到位甚至失效而产生的不良影响,更是警示企业要加强和完善内控建设。笔者站在管理会计视角,针对新形势下大型集团企业内控建设的现状及存在的主要问题,结合财务转型和业财融合趋势,提出了一些持续优化的思考和浅见。
一、大型集团公司内部控制效能建设存在的主要问题
2008年企业内部控制基本指引及内部控制配套指引颁布之后,几乎所有的大型集团公司都陆续建立了内部控制机制。从目前的情况来看,大型集团公司内控机制的建立和优化发挥了重要作用。一是保证财务报告的可靠性。管理者通过对业务流程的分解控制,把控经营管理活动的整个过程,使财务报告的结果真实准确可依赖,让投资人、外部监管方能看到真实准确的财务报告。二是保证风险预警的可控性。内控的目的在于保证企业遵守相关法律法规,在法律法规范围内进行运营。作为内控,企业如有重大法律风险,通过设置多个控制点,通过多级审核交叉检查系统进行预防,即使上述措施都没有把风险控制在可承受范围内,也可事后补救,从而保证企业运行在法律法规允许的区间内。三是保证运营目标的效益性。内控的目标就是合理保证组织目标的实现,追求效果的同时要追求效率。大型企业集团内控体系还赋予内控更多的目标,比如,绩效考核、资产安全、企业内部控制基本规范等。但是,大型集团公司内控建设和实施也存在一些问题,主要体现在:
一是制度流程不科学。很多企业的内控制度都是在发展中逐步建立起来的,经常是企业管理中出现某种问题,发生危机,就针对性地制定整改的措施,并相应出台一些制度来规范;有些制度流程设计不合理或过于理想化,或面对新的情况,原有的制度流程已不能适应却没有及时修改,可操作性不强。同时对制度和流程缺乏执行的刚性。
二是业财部门不融合。大型集团公司都有完整的绩效考评体系。每个部门一般会基于本部门甚至个人的利益考虑问题,而财务部门是站在公司总体利益的角度,二者站位不同。实践中业务部门与财务部门矛盾较多,业务部门提供的数据等信息常常不符合内部控制的要求。
三是层级协同不顺畅。部门与部门之间、上下级之间、子公司与子公司之间、子公司与集团公司之间协同性较差,甚至相互推诿扯皮;层级关系僵化,逐级汇报,有些问题上报到最高决策层时,已事后多天。
四是权责激励不分明。责任不明,边界不清,尤其责任的差异不明确。如多做事的人犯错率高,对错误考核时不用相对数、用绝对数,多做多错,能干的人绩效反而更差,缺失公平。内部控制制度和风险管理虽强调了各方责任,最后考核时考核偏弱甚至不了了之,考核结果与绩效、晋升关联度不大。追责过程缺失常态化。
五是管理信息化水平落后。很多企业尤其是大型集团公司的管理信息系统缺乏规划前瞻性或规划不合理,系统之间相互独立,没有共享,造成信息孤岛或重复建设,导致经营管理效率低下。
究其原因,一方面跟我国内控发展所处的阶段有关,大部分出于监管部门需要,另一方面缺乏操作经验,欠缺历史沉淀,内控还没有形成体系。有的企业单独设立内控部门,有的企业把内审内控功能合并,合二为一。且内控部门相对弱势,职能分工赋予内控部门话语权不够,内控部门自身也没有在过去的工作中证明它的价值所在,还有些部门更强势导致内控部门相对弱势。
二、优化机制、制度和流程,提升内部控制效能
(一)优化责任导向机制
内部控制体系建设是关系企业战略目标和长远发展的重要制度安排,涉及企业经营管理的方方面面,必须由一把手亲自领导,各部门广泛参与,才能确保内部控制体系建设和实施的效能。大型集团公司各部门和人员之间的相互协同一定是一把手工程,董事长或总经理亲自出面协调规范各层级关系。内控自上而下权力是来自最高管理层的授权,只有得到最高决策者的授权内控工作才好推进,职能部门和分支机构也会配合。同时,内控部门与企业最高管理层保持有效沟通,定期提交风险分析报告,对内控过程发现的问题提出控制建议。
在一把手亲自抓的同时,相关部门必须强化责任导向机制,做到责任边界清晰、责任到人到岗。各部门在安排重要工作、制定工作方案、分解工作任务时,制定精细化责任清单并持续动态更新,对权责进行明确划分,尤其重大决策要分清每个部门、人员的责任和边界地方,决策失误导致严重后果时能分清责任主体,不越界考核。突出问责结果的运用,切实提高问责结果运用的规范性和实效性,彰显问责的严肃性和权威性,努力做到追责一贯性、标准一致性。有些错误不允许犯实行一票否决,有些错误可以用对企业的贡献损失比率核定。体现效率优先,兼顾公平。
同时,制定奖惩措施,将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。
(二)建立风险预警处置机制
面对企业生产经营管理风险,必须建立重大风险预警机制。内控工作中,把风险进行描述,列示风险清单,标示风险属性、等级、应对措施、责任部门,把所有的风险在这一个流程当中列示出来。运用风险评估方法,评价风险等级,形成相应的风险清单,然后测算采取控制之后所有减少的损失。减少损失之后残存的风险就是必须承受的风险,从成本效益的角度来考虑建立控制措施。从风险评估发现重大风险点,找出日常控制点,建立管理制度和业务操作流程,用系统的方法管理风险,提高效益和效率。通过将表单管控、授权管控、归口管控、安全控制、会计控制、信息化控制、预算控制、采购控制、公开控制等植入到现有的流程中,避免可能发生的重大风险。
同时建立重大风险和突发事件应急处理机制,对可能发生的重大风险或突发事件,制定应急预案,明确责任人员,规范处理程序,确保突发事件得到高效妥善处理。特别是要针对层级僵化形式建立绿色通道,通过高层授权来打破僵化形式,解决特殊问题,从而提升内控效能。
(三)优化业财融合机制
根据内控建立的业财融合实际是共享建设。财务要熟悉业务,与业务部门加强交流,向业务的前端进行转移,让财务的控制规则嵌入业务的前端,规则通过系统固化,减少人为干预,实现业务端过渡到财务端,进行数据融合采集,通过数据共享与集中效率提升服务,提升会计核算效率,以服务于业务,从而推动业财融合。要深度参与经营分析,参与价值链各个环节,透过财务数据挖掘背后的业务原因,将业务的控制点和财务的控制点融合到一个点上。在这一过程中,财务人员也逐步实现向业财融合型管理会计转型。
(四)优化内控自评和审计机制
传统的内部控制,通过强制性的措施来约束大家的行为并与标准相互比对,但这种控制是消极行为,自我控制才是积极行为。自我评价就是为了鼓励自我控制,鼓励员工参与到发现控制问题并提出建议的过程中。利用内控自评梳理业务操作中的风险点,并自主采取行动改善目前的操作状况,引导员工从内部控制的角度去看业务流程的设计与执行,定期督促员工做系统回顾。组织内控主体对内控进行自我评估,由独立的第三方开展内控审计,评价控制风险,评价内部控制的强弱,确定在内部控制薄弱的领域扩展审计程序,制定实际性审计方案,找出需要控制的环节或领域进行修订或增减制度流程,让内控越发完善,也让内控体系逐渐拥有自我修正的能力。
(五)优化制度流程设计
内部控制最大的问题是执行,执行中的关键问题就是制度流程化。要针对制度和流程中的短板,通过对流程构成要素的重新组合,进行流程优化或流程再造。纵向,根据统一的模板编制业务流程图。在流程梳理的过程中,及时发现有没有遗漏、有没有杂乱、有没有不符合相关法律法规的规定、有没有不相容职务的相互分离、有没有权限设置的不合理等。在纵向的流程的基础之上增加一个横向的岗位,岗位对应职责,职责通过表单体现,制度、流程、岗位、职责、表单,构成整个内部控制的系统方法,并植入内控体系。并且针对自评结果和审计所提出的建议,内控相关方要充分调查,仔细研究思考在现有的制度流程的基础上,进行必要的增减、调整与修改。
实践中,笔者深刻体会到,管理制度和业务流程最好是由负责的相关职能部门或分支机构编写汇制,内控部门只是予以审核确认,这样相对能够保证系统的整体性和系统性。
(六)数字科技赋能内控
数字时代,内部控制必须运用数字化技术和手段来提高效能。构建智能化流程,实现数字化技术和业务流程的深度融合。数字科技赋能内控,以进一步提升效能,核心就是要着力建立完善的会计信息系统。实践中,信息系统的建立或重塑需咨询公司和软件公司的配合。在深度熟悉业务的前提下,将自己的思维和要求与软件开发师沟通交流。结合业务实际,将原有的企业各信息系统的冗余功能去除掉,整合优化重复的功能,开发增加适应企业发展增值的功能。
建立基于企业历史和行业的数据库,包括对销售、采购、库存等一系列数据的归集、分析应用,是数字科技赋能内控的着力点。信息化基础建设的加强,会进一步打通企业部门之间的壁垒,并进一步提升数字化内部控制价值。
三、结语
面对当前整个经济发展的形势,既要稳增长又要防风险。内部控制建设要与企业的发展战略相结合,充分利用大数据赋能业务,推动财务管理模式的调整改进。特别是疫情防控常态化给企业经营带来更多的不确定性,财务应在不确定性中加强有效的风险管控,提升内控效能。
