部分企业特别是央企在贯彻执行《企业内部控制基本规范》过程中,常常面对这样的疑惑:《内控规范》与《中央企业全面风险管理指引》之间的区别与联系是什么、企业开展内部控制应注意什么问题等。
区别和联系
从两者的区别来看:在适用范围方面,《风险管理指引》的适用范围非常明确,主要针对“中央企业”,而《内控规范》要更广泛。在目标方面,《风险管理指引》的目标更加全面,除经营目标、报告目标、合规目标与《内控规范》一致外,《风险管理指引》更强调企业建立危机处理机制,确保风险可控。在结构方面,《风险管理指引》贯穿于事前预测、事中控制和事后整改的全过程,而《内控规范》则强调通过事中控制和事后整改以实现目标。
从二者的联系来看,有很多共同点。在内容上,两个制度基本是一致的。《内控规范》侧重企业内部控制中的几个关键因素,强调抓住重点;《风险管理指引》侧重对风险的识别、评估、控制等流程,强调过程控制。
开展内控应注意的问题
一是如何培育企业文化(风险文化)。归根结底取决于企业一把手对风险的理解和重视程度。一般来说,企业所处的行业风险越大,越需要对风险予以重视,否则企业就可能会在市场中迷失方向。
二是如何识别定性风险。在实践中,企业通常非常重视定量风险的计量与跟踪,尤其是对财务指标的计算,忽视了对定性风险的关注和识别。在定性风险中,又以战略风险、运营风险和法律风险最为关键。
三是如何充分发挥信息系统的功能与作用。信息系统对于企业内部控制而言,应至少包含两方面的功能:即信息共享、风险监测。《内控规范》虽然非常重视信息的收集、流通与共享,但仍然只是将信息系统作为信息共享的渠道和平台,未当成管理工具用来管理、监测风险。
四是如何将《内控规范》的执行落到实处。除了要靠监管部门的监督检查,更重要的是需要通过各种培训、宣传,让企业自觉意识到实施内部控制的重要性,变被动执行为主动接受。
对进一步提高内控的思考
一是优化绩效考核指标。几乎所有企业均制定了与绩效考核有关的制度和办法,但普遍具有简单、粗放的特点。企业更多的时候仅仅将绩效考核与收入、利润挂钩,注重眼前利益,其他的潜在风险则很容易被忽视。
二是更好地发挥内部审计的作用。审计部通常为一个职能部门,日常工作受总经理领导、考核由总经理实施、薪酬由总经理决定,审计委员会委员一般为兼职,能对总经理在内的经营班子施加多大的影响力实在是个未知数。这种情况下,要保持审计工作的独立性,难度可想而知。因此,应该不断探索最大限度发挥内部审计作用的途径和方法,为内部控制服务。(转载自凤凰网)
