企业在内部控制建设的过程中应该界定关键的信息,对信息流动、信息的质量标准和流动频率提出明确的要求,同时,有条件的企业应该进行企业的信息化建设,利用信息技术促进信息的集成与共享,充分发挥信息技术在信息沟通中的作用,使信息的加工、流动、使用更加有效。
5. 提高监督能力
监督是内部控制机制实现效率与风险防范平衡的重要管理手段,对于大型国有企业集团尤甚。传统的内部控制监督手段往往集中于审计。在实务中发现,企业集团的审计受时间与空间的约束,监督的频率与覆盖面受到局限,一些风险隐患往往待事发方暴露。此外,考核缺失也是内部控制执行不到位的重要原因。为此,我们将内部控制监督丰富为四个重要手段,做到过程预警与事后审计相结合,监督检查以考核评价为保障,在实际操作中体现“高授权,大监督”的内部控制管理思路。
(1)风险预警。风险预警系统,是指针对企业的业务循环与关键风险点,定制一系列预警指标,并设定临界值与正常区间,定期编制并上报风险预警分析报告。
风险预警系统是实现过程监督的重要工具,可以帮助企业从浩如烟海的财务、运营指标中,提炼出从不同方位反映企业财务经营状况的关键指标,通过与临界值的对比分析,捕捉管理层容易忽略的关键信息,或是下级管理者人为隐瞒的关键数据。
风险预警的作用有以下两点:
1)弥补审计的时间与空间局限性,预警报告的要求可以覆盖到企业集团所有成员单位,按月上报则提高了风险报告的及时性。
2)风险预警分析报告可以指示内部审计的方向,是确定内部审计目标和审计重点的重要依据。
对于大部分国有企业而言,初次建立预警系统,需要关注两个方面的适用性设计:①预警指标的选择应少而精,且易于从财务及业务系统中获取数据。②因管理的历史数据积累不足,一些企业的临界值确定存在难度,初期可先定指标,明确波动趋势的经济含义,将临界值作为分析的参考值,逐步积累完善临界数据。
(2)内部审计。内部审计监督,是通过与内部控制要求相呼应来进行监督评价的过程,是内部控制评价的执行者。具体工作包括:定制评价标准与检查工作手册,定期选定检查对象,评价其内部控制体系设计的合理性以及内部控制体系运行的有效性,同时根据预警体系异常指标所指示的方向进行经济责任审计、合规审计和程序审计,对违规起到威慑与查处作用。
内部控制评价由内审机构执行,内审机构直接向董事会下设的审计委员会报告,是管理层出具内部控制自我评估报告的基础。这种设置体现出公司治理的保障作用。
(3)外部审计。外部审计是重要的监督手段,包括国家审计、外部审计监督等,目前股东对外部审计的利用仍然停留在经营结果的审计上。毋庸置疑,经营结果的审计也为股东和相关利益人监督企业管理的受托人提供了部分保障,但是外部审计对监督的作用没有被充分的发掘利用,一部分原因是股东没有对外部审计师提出明确的工作要求,另一部分原因是目前中介机构的执行报表审计以外的审计功能的力量不足。 相信如果能够将外部审计作为大监督中的重要环节,通过国资委和中介机构的互动,不断明确报表审计以外的需求和中介能力的提升,外部审计必定能够起到很好的监督作用。 可喜的是,通过借鉴西方的先进经验,我国已经将外部审计机构对企业内部控制建设的完整性和实施程度评价导入到了监督实践中,对完善企业的内部控制建设起到了积极的推动作用。
