最近更新赞助商链接
“有控则强、失控则弱、无控则乱”。研究企业的兴衰史,人们可以看到,但凡失败的企业总能找到内部控制缺失的问题。正因如此,以“风险控制”为导向的内部控制体系建设在现代企业可持续发展的进程中扮演着越来越重要的角色。
然而“工欲善其事,必先利其器”,一个做手工或工艺的人,要想把工作完成,应该先把工具准备好。那么在我国欲完善企业内控体系,企业应该先准备好那些保障体系和技术工具呢?
完善内控法律保障体系
企业内部控制体系作为一项可持续发展的系统工程需要有完善的法规体系作保障。而完善的法规体系框架需要包括四个层面的内容:一是国家大法;二是部门规章;三是行业协会的标准与指南;四是可参考借鉴的最佳实务案例。
有人形象地描述我国的内部控制法规体系建设现状是:“站在外国巨人的肩上,上不着天,下不落地”。其意思是,我国政府监管部门充分利用了后发优势,在吸收借鉴美国《萨班斯-奥克斯利法案》(下称“SOX法案”)和COSO内部控制框架的基础上,出台了《企业内部控制基本规范》及其配套指引,但内控方面的国家大法尚未出台;与此同时,又缺乏能使《企业内部控制基本规范》落地的行业标准与操作指南。于是乎,企业为了节约成本,直接从第四个层面切入,学习借鉴其他企业的实务案例,甚至不惜照搬照套,以达到尽快构建本企业内控体系的目的。采用这种方式建成的企业内控体系具有鲜明的个性,但明显缺乏系统性和规范性。
笔者认为,构建完善的法规保障体系,有利于增强企业内控建设的权威性和强制约束力,也有利于行业协会研究、制定和尽快发布企业如何实施内控的标准、操作指南和技术方法,增强贯彻落实内控法规的可操作性,促使企业真刀实枪地开展内控体系建设。
构建内控信息化管理平台
众所周知,SOX法案404条款是实施过程中最难操作、最复杂、耗费成本最高的一个条款。该条款规定,在美上市企业建立内部控制体系,内部控制活动的记录不仅要细化到像产品付款时间这样的细节,而且对重大缺陷都要予以披露,要求对内控体系进程和文档记录进行有效的信息化管理,以实现自动化、一体化和可持续的合规报告。为了满足SOX法案的严格要求,上市公司必须在信息存档、披露和安全等方面构建新的系统,部署新的软件和IT治理环境。这就是当年以SOX等为代表的法案,在美国IT业引发的狂热、持久的法规遵从效应,也为美国IT业带来了一批全球最有实力的买家定单的原因!
我国《企业内部控制配套指引》中的18项应用指引分类为:5项内部环境类指引、9项控制活动类指引和4项控制手段类指引。与国际内部控制协会(InternalControlIn鄄stitute,下称“ICI”)发布的内部控制指标体系相比较,最大的区别在于,而ICI将控制环境定义为10大属性,即:行为守则政策、企业道德价值观、首席执行官的表率作用、组织架构、员工的胜任能力、特别授权与沟通、一般授权与责任制、内部审计、资产保护和既定的工作流程;将控制活动按照企业运营管理业务流程分为:支出、收入、生产/转换、融资和对外财务报告五个业务循环周期;而控制手段则通过信息化管理手段来实现对内控流程中各项业务活动的控制,最终通过建立信息化管理平台实现企业内部控制的目标。
企业内部控制是一个持续完善的过程,企业的信息安全、存档、共享等也必将是一个永续的过程。构建内控信息化管理平台,需要梳理企业运营管理业务流程,将风险点和关键控制点及其处理规则嵌入系统程序。所有这些要求离开内控管理软件和信息数据平台的技术支持,在手工环境下是难以实现。不过我国企业内部控制相关规范体系虽然也多处提及了“利用计算机和通信技术”、“利用信息技术”、“形成信息化管理平台”等字眼,但由于缺乏具体落地实施的标准与操作指南,目前还无法让国内的IT业嗅出实实在在的商机。
相关文章发表评论