吉宁博士观点
实行现代企业制度,加强企业内部控制,是企业管理科学的重要内容之一。由于当今社会计算机信息管理已被普遍应用,虽然传统的信息系统的控制结构与方法在网络环境下仍可沿用,并且有利于信息系统的内部控制更加完善,但同时也对他提出了新的要求。就网络环境而言,企业的信息的处理与相关作业处理程序都必须依靠良好的计算机信息管理系统,因此信息系统内部控制的好坏,将直接影响企业的运营与发展,所以建立健全在计算机信息管理基础上企业的内部控制制度是十分必要的。
一、内部控制制度的必要性
企业内部控制制度划分为内部管理控制制度与内部会计控制制度两大类。内部管理控制制度是指那些对会计业务、会计记录和会计报表的可靠性没有直接影响的内部控制。例如,企业单位的内部人事管理、技术管理、质量管理、客户管理、办公自动化管理等,就属于内部管理控制。内部会计控制制度是指那些对会计业务、会计记录和会计报表的可靠性有直接影响的内部控制。例如,由无权经管现金和签发支票的第三者每月编制银行存款调节表,就是一种内部会计控制,通过这种控制,可提升现金交易的会计业务、会计记录和会计报表的可靠性。企业单位制定内部控制制度的基本目的在于:保证组织机构经济活动的正常运转,保护企业资产的安全、完整与有效运用,提升经济核算(包括会计核算、统计核算和业务核算)的正确性与可靠性,推动与考核企业单位各项方针、政策的贯彻执行,评价企业的经济效益,提升企业经营管理水平,规避企业经营风险。尤其需要指出的是,企业的计算机信息管理系统已经普及,但计算机信息失控、破坏情况日趋严重,从而造成责任不明、相互推卸等问题,其关键在于计算机核算软件存在着密码缺乏牵制性,常用的密码设置方法已不适应计算机信息管理系统的管理和发展,所以新一代的计算机信息管理系统须进一步提升数据的保密程度,安全程度,避免信息泄漏及对实体信息破坏。内部控制贯穿于企业经营管理活动的各个环节,只要企业存在经济活动和经营管理,就需要加强内部控制,建立相应的内部控制制度。
二、建立和评价内部控制制度的基本原则
1、要起到既有防错防弊,又有促进经营管理效果的作用;
2、要起到事前预防和能在事中或事后及时发现工作漏洞的作用,要将内控制度贯彻到每一个流程环节当中去;
3、要在认真总结、科学分析的基础上,设计手续安全、业务分工合理的制约方法,切忌过于繁琐;
4、要根据情况的变化和出现的问题(计算机信息管理)对相应的内部控制制度做出及时修正或建立新的内部控制制度。
三、按照上述理论要构建具有良好绩效的内部控制体系可以从以下几个方面入手
(1)不断完善企业的控制环境
任何企业的控制活动都存在于一定的控制环境之中。所谓控制环境,是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,主要是指重大影响因素。控制环境的好坏直接影响到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现,加强和完善企业内部控制,首先应注意企业内部控制环境的建设。控制环境是一种氛围,其主要内容包括经营管理的观念、方式和风格;组织结构;董事会;授权和分配责任的方法;管理控制方法;内部审计;人力资源管理政策和实务;外部环境的影响等。
(2)进行全面的风险评估
面临企业内外环境的日益复杂化,以及企业间竞争的日益激烈,企业经营风险不断提升,如何辨别、分析防范和控制经营风险,已成为企业内部控制制度的重要内容之一。
一般来说,企业的风险管理就是按公司既定的经营战略,利用各种风险分析技术,找出业务风险点,并采取恰当的方法降低风险。企业的风险管理要以预防为主,即通过增加、补充或规范各内部控制环节来减轻可能面临的风险;其次,要建立内部监督机构对企业高风险区域经常进行检查,及时发现已存在的或潜在的风险;最后,要善于转嫁风险,如购买保险、采取各种不同的结算手段等。总之,企业的风险管理必须贯穿并渗透于企业控制的全过程。在实施计算机信息管理后,可增加专门的风险管理模块,通过计算机信息管理系统处理后得出各种有效数据为经营决策提供参考,使经营决策更加科学化。例如:在销售业务计算机信息管理系统中可以设立专门的信用管理模块,对公司的所有客户进行科学的信用等级评估,然后根据评估结果给予适当的信用额度和帐期,并且对于每个客户的信用情况进行动态监控,如有异常情况马上预警,并采取相关措施,这样可以对客户有一个相对客观的评价,规避了一定的风险。
(3)设立良好的控制活动
控制活动是确保管理阶层的指令得以实现的前提条件。控制活动出现在整个企业内的各个阶层与各种职能部门,涉及的控制对象包括人、财、物、产、供、销等各方面。
1、明确规定处理各种经济业务的职责分工和程序方法。企业要健全和强化内部组织机构,它是企业经济活动进行计划、指挥和控制的组织基础,其核心问题是合理的职责分工。在一般情况下,处理每项经济业务的全过程,或者在全过程的某几个重要环节都规定要由两个部门或两个以上部门、两名或两名以上工作人员分工负责,起到相互控制的作用。如汇出一笔采购货款,规定要由采购经办人填写请款单,供应计划员(或供应部门负责人)审查请款数额、内容及收款单位是否符合合同和计划,会计员审核请款单的内容并核对采购预算后编制付款凭证,最后由出纳员凭手续完整的付款凭证办理汇款结算(出纳员开出汇款结算凭证,还要通过会计员审核),前后须经四人分工负责处理。而采购汇款的报帐业务,则规定要经过采购经办人填写报帐单,货物提运人员提货,仓库保管员验收数量,质检员验收质量,以及会计员审核发票、帐单及验收凭证,编制转帐凭证报销。在实现计算机信息管理后首先要完善企业内部的组织结构,根据各个不同部门的只职能授予相应的权利,然后根据各自的职能在计算机信息管理系统中完成相应的操作。
2、明确资产记录与保管的分工。规定管钱、管物、管帐人员的相互制约关系,旨在保护资产的安全完整。如出纳员不得兼管稽核、会计档案保管和收入、费用、债权债务帐目的登记工作;银行票据的签发印鉴,必须有两人分别掌管;向银行提取较大数额现金时,必须由两人以上,对领款、点验安全入库的全过程共同负责;仓库材料明细帐要设专人稽核或另设记帐员记帐;管钱、管物、管帐人员因故离开工作岗位或调动工作时,规定要由主管领导指定专人代理或接替,并监督办理必要的交接手续或正式移交清单。另外,现金收付的复核制,物资收发的复秤制、复点制等,也都是防错防弊的内部控制制度。在实现计算机信息管理以后在财务工作中一定范围的授权显得更加重要,对出纳、制单、复核等人员的授权必须明确,必须防止几项业务一人挑的做法。
3、明确规定保证会计凭证和会计记录的完整性和正确性要求。如对各种自制原始凭证,在格式、份数、编号、传递程序、各联的用途、有关领导和经办人签章、明细数合计数及大小写数字一致等方面做出规定;对各种帐簿记录,要求帐证的一致或保持一定统驭关系的规定;还有会计核算中规定的双线核对、余额明细核对、各种报表相关数字核对,以及由此而规定的内部稽核制度等,在实现了财务电算化以后一般认为明细帐由会计凭证汇总而来,总帐由明细帐汇总而来,所以一定是帐证相符、帐帐相符的,但在实际工作中时有发生明细帐与总帐不符的情况,所以必须要由专人进行核对。
4、明确规定建立财产清查盘点制度。如为了保证财产物资的安全和完整,除规定物资保管员对每项物资进行收付后,都要实行永续盘存办法核对库存帐实外,还要规定财产物资的局部清查和全面清查制度,以保证帐卡物相符或及时处理发生的差错。又如现金出纳员除规定每日下班前要结帐清点库存现金,遇有差错要及时报告外,会计主管人员还有经常检查出纳员工作,定期或不定期检查库存现金及金库管理情况的责任。随着科学技术的进步和计算计应用水平的不断提升有的仓库管理已经可以做到计算机信息管理系统自动分派存储货位,还有了专门的存货盘点模块,所以我们可根据各企业的实际情况制定存货管理的内控制度,以便对财产进行动态的管理。
5、明确规定计算机信息管理系统操作权限和控制方法。
1)计算机代替手工填制记帐凭证是相当容易的,并且比手工制作的凭证更规范、效率更高。但是难以给查帐和审计工作提供可靠的依据。为了解决这一矛盾,可以先由计算机填制输出记帐凭证,然后由有关经办人确认后签名或盖章,无签名或盖章的视作无效凭证,不得进行帐务处理。设置主辅操作员进行两次输入,仅仅是为了防止数据输入时错误,对于原始凭证与记帐凭证中的差错却无法校正,连事后控制的作用也发挥不了。因此,可直接由主办会计根据审核无误的原始凭证操作计算机制作记帐凭证,并将数据存入一个临时数据库中,以便调出修改。同时应对输出的记帐凭证确认后签名或盖章,然后交稽核员稽核。对于审核无误的记帐凭证,稽核员交出纳进行收、付款,并操作计算机将主办会计存入临时库存中的凭证数据转入正式数据存中,以便进行帐务处理。
2)信息化可以大大提升会计工作效率和会计工作的水平。但是,不能以此代替原手工会汁处理中已建立起来的内部控制制度和管理制度,同时,还应加强计算机信息管理,这是会计系统安全、正常运行的前提。要明确系统管理人员、维护人员不得兼任出纳、会计工作,任何人不得利用工具软件直接对数据库进行操作。程序设计人员还应对数据库采用加密技术进行处理,严格按会计电算化系统的设计要求配置人员,健全数据输入、修改、审核的内部控制制度,保障系统设计的处理流程不走样变型。从以上分析看出电算化系统下内部牵制没有手工系统完善。但是从另一个角度看,手工系统下的多方牵制也不是一个成熟的牵制方法,只是通过多人的重复劳动实现牵制。因此这种传统的牵制手段已不能适应电算化会计系统的要求,必须找到能够充分利用网络实时高效的特点的方法。一个比较有效的办法是在电算化系统内分出操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员进行帐务处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行即时或定期审查,一旦出现数据不一致便进行深入调查。这样明确了岗位的划分,实现了有效牵制。
3)对信息系统进行内部控制,主要是对存取权限进行控制。设多级安全保密措施,系统密匙的源代码和目的代码,应置于严格保密之下,从计算机系统处理方面对信息提供保护,通过用户密码口令的检查,来识别操作者的权限;利用数值项防止用户利用合法查询推出该用户不应了解的数据。操作权限(密级)的分配,应由财务负责人统一专管,以达到相互控制的目的,明确各自的责任。传统会计系统的内部控制机制与手段已不适应网络环境,网络环境下会计信息系统必须针对网络的特点,建立适应网络系统的控制体系及相应的岗位责任制和内部控制制度。控制范围应由原来单一的财务部门转变为财务部门和计算机信息管理部门共同控制。控制方式应由单纯的手工控制转化为组织控制、手工控制和程序控制相结合的全面内部控制。在网络财务软件中实行新的程序控制方法:(1)采用用户名/口令体系安全技术方法,它可以在开机口令、网络用户名/口令和应用系统名/口令三个层次上使用。)实行用户级控制、数据库级控制和网络系统级控制相结合的多级权限控制机制。用户级能对网络用户进行合理的权限分工,实现操作权限的集中化管理,强化计算机信息管理员对软件各模块操作的统一授权,防止非法用户获得使用权;数据库级能防止不道德的软件人员对财务资料进行非法篡改;网络系统级能防止因断电、通信线路故障等意外所引起的资料损毁。通过程序控制,网络财务系统应能实现如下功能:一、限制财务系统用户工作站点;二、限制财务系统用户工作时间;三、限制财务系统用户工作权限。
4)对业务系统的控制,由于采取统一的计算机信息管理以后有关财务数据全部由业务数据自动生成所以对业务系统的控制显得由为重要,首先要对业务系统的审批权限进行严格的控制,因为它直接关系到业务的合法性,其次要对业务数据的准确性进行严格的复核,以保证财务数据的准确性,另外对业务系统数据存取权限也要严格控制防止数据被修改,同时对系统的操作应有运行日志记录每一次操作的有关内容备查.
总之企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的关键绩效领域确定其关键控制活动,一般包括对人的素质、任职资格以及业绩考核的控制,企业运营的控制,包括计划决策管理、销售收款、采购付款、财产物资管理、质量管理、融资投资管理、资金管理控制等,以及对内部信息系统的构建、内部监督机构运作等方面进行的控制。要合理地设计业务流程,在业务流程中体现内部的控制,所以在信息计算机管理的条件下需要企业与软件开发人员加强沟通将企业的内控制度和管理理念贯彻到软件中去,对每一项业务首先要确定业务管理控制点,然后就各业务控制点贯彻业务审批流程中的内部控制。
确定了业务控制点以后再对各业务控制点的审批流程进行设计,以保证各项数据的真实性、有效性完整性。
(4)建立统一的计算机信息管理系统
计算机信息管理系统,就是向企业内各级主管部门(人员)、其他相关人员,以及企业外的有关部门(人员)提供信息的系统。通过计算机信息管理系统,企业内部的员工能够清楚地了解企业的内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统应有助于提升内部控制的效率和效果,具体讲,应有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定和以及改进建议的及时传达。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确和经济地传递(包括向下的、向上的和横向的沟通传递)给企业内的相关人员,使他们能够顺利履行其职责。在计算机信息管理的条件下,整个信息系统将发挥强有力的作用,但关键还是要保证系统数据的准确性,安全性,完整性,同时应增加相应的评价分析系统以满足计算机信息管理的需要。
(5)加强企业的内部监督
要确保内部控制制度被切实地执行且执行的效果良好,内部控制过程就必须被施以恰当的监督。监督是一种随着时间的推移而评估制度执行质量的过程。
内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。在内部控制的监督过程中,内部审计发挥着越来越重要的作用,内部审计通过监督控制环境和控制程序的有效性,监督企业的内部控制是否被执行并及时反馈有关执行结果的信息,帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立、为改进控制制度提供建设性建议,为组织成功的达到所需要的内部控制水平服务。
四、必须解决好企业内部控制管理的四大难点
一般来说,一项好的内部控制制度应该达到以下标准:
其一,控制触角摄入企业经营的各个环节和各个方面,不留下控制死角,也就是说企业的各项经营管理活动均应纳入内部控制范围;
其二,事权划分明确具体,具有很强的操作性,也就是说内部控制制度作为一种制度要能真正成为企业经理人的行为规范,操作方便;
其三,控制程序规范,过程控制受到特别重视,也就是说内部控制要形成科学的机制,尤其是把对经营管理过程的控制放在突出的地位,通过控制,能防患于未然;
其四,具有良好的控制效果,内部控制的功能得到有效发挥。
而从目前企业内部控制制度实践操作来看,要达到上述标准,实施有效的内部控制、必须研究和解决以下四个难点:
第一、如何把握授权的度。事物变化的一般规律是由量变到质变。在这里“量”上的度起决定作用,当量的变化到了极限时,必然引起质的变化。内部控制制度的度量界定也就成为实践中的一个难点。企业经营管理是一个复杂的系统工程,保证这个系统的正常运行,合理授权是必然的。对于企业法定代表人,既要保证其经营决策的独立性和权威性,又要保证其经济行为的效益性和廉洁性,权力的度量界定是关键一环。当今社会大凡出现重大舞弊经济案件的企业,基本上均是授权不当引起的,是授权多、权力过大,且控制不力的恶果。授权无“度”,直接制约内部控制制度效能的发挥,在巨大的权力面前,国家的政策法规都会相形见拙,更何况是一个企业的内部控制制度,这是问题的一个方面;另一方面,对内部控制执行人员的授权也有“度”的学问,对不同的控制环节要有不同权力授予,才能使内部控制制度有效运行。但权力授予也要讲究“度”的限制,不然容易产生新的舞弊土壤。不管哪个环节,在具体授权时,应先认真研究从而准确掌握,这样既能保证经营决策有效运作、管理制度有效贯彻,又能保证权力制衡得到落实。
第二、如何提升被控对象的受控度。有效的内部控制制度是对企业经营的现在所有环节和从事经营管理活动的所有个人实施全方位控制。这里就存在一个控制与反控制的问题。现在不少企业内部控制制度形同虚设,舞弊行为时有发生,提升被控对象的受控度显然成为了内部控制制度实施中的难点。一般而言,内部控制的对象是企业的权力操纵者,是对权力操纵者的权力约束,也是对权力操纵者之间的权力制衡。这种独特的控制对象决定了提升受控度的艰巨性。提升被控对象的受控度关键有两点,一是内部控制制度的科学性;二是主要决策者的受控程度。就目前的经济管理现状来看,提升被控对象的受控接任重道远。
第三、如何提升规范控制程度。提起内部控制制度,人们往往想起会计工作岗位在设置上管钱的不管账,管报销的不管稽核等、其实内部控制制度内容极为丰富,涉及到企业经营管理的所有方面和所有环节。对于一个复杂系统工程的控制,不能靠人治,也不能靠简单的出纳控制、财务管理来实现目的,而是靠一套科学规范的内部控制制度,用制度来规范管理的行为,让经理人在从事经营管理活动中,知道干什么、怎么干,按照规定的程序来完成工作任务、接受规定的控制管理。这里的重点是管理人员针对企业不同的经营管理活动制定出具体的标准,然后将这一标准贯彻落实到应用管理软件当中去,而要完成这个任务,就要有丰富的知识、超前的意识、广阔的视野和扎实的作风,这无疑又是一个难点。
第四、如何提升控制人员的熟练程度。企业内部控制制度的中心是财务会计控制,承担内部控制职责的主要是财会人员。因此,财会人员要能真正担当起内部控制的重任,更新知识、提升操作能力就显得刻不容缓。如上所述,科学的内部控制制度是对企业经营管理各个环节实施有效监控的制度,它大大突破了财务会计的工作范畴,大大超越了财务会计的知识领域,是投资、金融、市场、营销、法律、材料、信息等多方面知识的融合,没有相应的知识支持,内部控制不可能完全到位。同时内部控制主要是做人的工作,矫正人的行为,需要有相应的组织、指挥和协调工作能力,培养大批这样的“全才”,显然需要很长的过程
五、保证内部控制制度执行的主要措施
(1)企业必须重视对内部控制制度管理人员的选用。内部控制制度设计得再完善,若没有称职的人员来执行,也不能发挥作用。企业的用人政策直接影响着企业能否吸收有较高能力的人员来执行内部控制制度。
(2)对全体参与人员进行全员的培训,使全体人员充分了解、熟悉体现企业内控制度的各项业务流程,严格按业务流程办事避免差错的发生,对各级操作人员要细分工作权限,严禁替代操作,保证业务流程的严肃性。
(3)企业必须发挥内部审计机构的作用。内部审计机构是强化内部控制制度的一项基本措施,内部审计工作的职责不仅包括审核会计帐目,还包括稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率,并向企业最高管理部门提出报告,从而保证企业的内部控制制度更加完善严密。
(4)应发挥国家审计机关、部门审计机构的权威性和监督作用。定期或不定期的对企业内部控制制度进行评价,以杜绝企业管理部门负责人滥用职权所造成的内部控制制度形同虚设的情况。
(5)发现问题后要及时完善,同时对软件进行修改,防止漏洞的进一步扩大。
总之严谨的内部控制制度不仅要对企业经营管理的各个方面实行全方位的有效控制,把企业的各项经济活动全面置于经济监控之中,而且要对企业经营管理重要方面、重要环节实行重点控制。面的控制与点的控制要有机结合,内部控制才能发挥良好的效益。那么,在实施企业内部控制时,如何找到控制点,通过点的控制起到牵一发而动全身的作用,是需要认真对待的问题。企业内部控制的点应该设在以下几个个位置上:
一、资金。对企业资金筹资、调度、使用、分配等实行严格控制,防止资金体外循环;
二、成本费用。对企业的各项成本费用支出实施严格的监管,防止出现舞弊行为;
三、权力使用。对企业各经营环节经济活动操作者的权力实施有效监控,防止授权滥用,造成经济损失;
四、业务流程。要把企业的内部制约充分的体现在业务的审批流程中,每一项业务的审批都需要有相应的内部控制体现,以保证将内部控制贯彻到经营活动的每一个环节中。
根据以上分析得出如下结论
随着信息化进程的推进,与之配套的内控制度显得越来越重要了,传统的内部控制机制与手段已不适应网络环境,网络环境下计算机信息管理系统必须针对网络的特点,建立适应网络系统的控制体系及相应的岗位责任制和内部控制制度。控制方式应由单纯的手工控制转化为组织控制、手工控制和程序控制相结合的全面内部控制,同时也对我们提出了更高的要求:要不断的完善企业的控制环境;根据企业的内控要求设置相关的组织机构;设计合理的业务流程;建立良好的控制活动;明确规定计算机信息管理系统的操作权限和控制方法;做好内控活动的监督工作,我们认为良好的内控制度是计算机信息管理的基础,它将为企业的经营活动提供坚实的保障。
