内部控制的核心目标是提升和规范的运营效率,增强治理水平与风险应对能力,确保战略目标的顺利达成,并促进长期可持续发展。它贯穿于战略目标的设定、分解和实施全过程,为目标的实现提供合理的保障。简言之,内部控制可以概括为:一个定义、三大目标、五项原则和五大要素。
一、一个定义
“一个定义”指的是:内部控制是一个由董事会、管理层及全体员工共同参与的系统化过程,其目的是为确保在提高运营效率、财务报告的准确性及合法合规性等方面的目标实现提供合理的保障。
作为风险管理的基础,内部控制为风险管理的有效实施提供了前提和保障。风险管理涉及对所面临的风险的识别、评估和应对措施的制定,它建立在坚实的内部控制体系上。管理层应时刻关注各类风险,并采取措施予以防范和管控。风险管理包括“风险偏好”和“风险容忍度”两个方面。风险偏好是在追求目标时,对收益波动的接受度,以及与战略目标相符的风险偏好,而风险容忍度则是在风险偏好基础上,在实现目标过程中可以接受的风险程度。只有建立健全的内部控制体系,才能使风险管理得以有效落实。
二、三大目标
“内部控制的三大目标”涵盖了经营目标、报告目标与合规目标。这表明,确保财务报告的可靠性仅是内部控制的一个方面。换言之,内部控制的范围远不止于会计控制,尽管二者有着密切的联系。
经营目标:内部控制应帮助实现其发展目标,确保资产的安全性与完整性,提升资源利用率,防止资源浪费和库存积压。
报告目标:内部控制确保财务报告和相关信息的真实性、可靠性、准确性和完整性,进而保障信息披露的完整性,不仅限于会计方面,更反映整体风险管理的水平。
合规目标:确保所有的经济活动和业务操作都遵循法律法规,符合合规要求,确保权力在制度框架内得到合理的运行和监督。
三、五项原则
内部控制的实施必须遵循五项基本原则,以确保其有效性和效率:
全面性原则:内部控制应覆盖整个,所有员工、所有业务及所有流程。它不仅贯穿决策、执行、监督等各个环节,还必须实现对所有活动的全方位管理和控制。
重要性原则:在全面控制的基础上,内部控制要重点关注重要的经济活动和风险领域。不是所有活动都需要控制,应该集中力量在核心业务和关键环节,以确保资源的合理分配与使用。
制衡性原则:应避免不相容职务由同一人担任。内部控制要在内部通过合理的职责分工、部门间的相互制约与监督机制进行有效的制衡。
适应性原则:随着规模的扩大及外部环境的变化,内部控制制度应保持灵活性,不断调整和优化,以适应新的业务需求和管理要求。
成本效益原则:设计内部控制时,必须考虑控制措施的成本与预期效益之间的平衡。复杂的控制程序不一定意味着更好的效果,关键是找到能够最大化效益的控制点。
四、五大要素
内部控制体系的建设由五大相互关联的要素组成:控制环境、风险评估、控制活动、信息与沟通以及内部监督。
控制环境:控制环境是文化、价值观、管理理念等的综现,它为内部控制制度的执行提供基础和支持。一个健康的控制环境能够有效降低内部控制的风险,即使在某些环节存在不足,也不会对整个造成严重影响。反之,一个不良的控制环境则可能导致舞弊行为,给带来巨大的损失。
风险评估:风险评估涉及对与实现目标相关的各类风险进行识别和分析。并不是所有的风险都需要严格管控,内部控制应以风险为导向,重点管控那些对目标实现有重大影响的风险。通过科学的风险评估,可以避免过度控制带来的成本和效率低下。
控制活动:控制活动是为防范已识别的风险而采取的具体措施,通常包括职责分离、资产管理、信息处理等。它们应该渗透到日常业务流程中,并留下可供监督的痕迹,以确保有效实施。
信息与沟通:信息的流动和沟通渠道是内部控制顺利运行的关键。内外的各个层级应保持及时、准确的信息交流,这包括上下级之间、部门之间及与外部利益相关者的沟通。信息系统的建设也是确保内部控制有效性的一个重要环节,良好的信息系统可以帮助减少舞弊行为,确保操作合规。
内部监督:内部监督是确保内部控制制度能够持续改进和优化的关键。通过定期或不定期的检查与评估,管理者能够识别出控制活动中的不足,并提出改进意见,确保控制机制能够随着外部环境和内部需求的变化不断调整和完善。
内部控制是实现战略目标、提升管理效能和应对风险的根本保障。通过有效的控制环境建设、科学的风险评估、严格的控制活动执行、畅通的信息与沟通渠道以及严密的内部监督,可以在复杂多变的环境中保持稳定的运营,实现可持续发展。