企业内部控制就是完善企业内部管理。内部控制初期设立的目的是为了防止风险隐患的扩大和风险外溢的管理,但其本质是控制流程、防范风险、达成目标。
内部控制作为企业管理机制,突出的是“制度”治理、“规范”管理;内部控制的目标是企业运作的经济性、企业经营的合法性,财务报表的可靠性的持续提高。
内部控制需要企业的董事会、管理层和每一位员工共同参与,涉及企业发展的各个阶段,企业财务和运营的各个层面;内部控制人人有责,但不是齐抓共管,而是各司其职、各负其责、信息沟通、有效监督,内部控制不能替代企业家的智慧。但千万要注意,内部控制只能提供实现企业目标的得力支持,而不是达成的根本保证,内部控制不是一剂万能药。
企业内控管理体系是从组织架构设计入手。企业的组织架构设立的核心目的是完善公司治理结构、管理体系和运行机制。
企业内控管理从组织架构入手,即企业围绕着企业目前和长远目标,理清人、事、权、责,在物流、作业流、信息流、资源流当中嵌入管理界限和控制节点,从而形成统一指挥、分工负责、反应迅速、决策科学、执行有利、高效透明的组织架构。
如果企业是一棵枝繁叶茂的大树,那么组织架构就是决定这棵大树形状和走向的树干和数值,而组织架构设计就像一个富有创意的园艺师在修整多余的枝杈。
不合理的企业组织架构设计的主要风险包括:治理结构形同虚设、缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略,内部机构边界模糊,权责配置不合理,机构重叠、业务交叉、职能缺失,可能导致相互推诿、运行效率低下。
企业建立和实施有效的内部控制,应当包括五个要素:控制环境、风险评估、控制活动、信息沟通及内部监督。其中,控制环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,内部监督是保证。
控制环境核心包括:治理结构、组织架构、权责分配、HR体系及企业文化等;
风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程;
控制活动是企业根据风险评估结果,通过系列预防、控制、评估等方式方法来控制措施,将风险控制在可承受范围之内;
信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
在企业生产经营过程中,只有进行科学地风险评估,自觉地将风险控制在可承受范围之内,才能实现企业的可持续发展。