“内控五要素”包括内部环境、风险评估、控制活动、信息与沟通和内部监督。其中,内部环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,内部监督是保障。
在内控咨询服务过程中,发现很多企业对“内控五要素”概念不知所云,未搞清楚“内控五要素”和内部控制体系是什么关系,如何在内控体系建设过程中清晰的体现“内控五要素”内容。看到很多企业内控体系文件中,把“内控五要素”作为一个管理章节写入制度或手册中,但是企业自身越来越发现“内控五要素”很空,浮在空中,无法有效落地执行,就认为“内控五要素”作用不明显。
出现这种情况归根到底是企业没有搞清楚“内控五要素”的实质、以及如何有效运用,接下来结合多年来咨询实践谈谈对“内控五要素”的理解。
企业内部控制体系建设及完善需要涵盖遵循“内控五要素”理念原则,“内控五要素”贯穿于企业日常经营管理活动流程始终,任何一项内控活动、制度及流程无不体现着“内控五要素”的原则。“内控五要素”彼此构成一个整体,相互关联、相互影响,缺一不可。缺少其中一个要素,内控整体有效性便会受到影响。
企业高层对内部控制的认知基本决定着企业内部环境的基调。风险内控态度上是风险偏好者、风险保守者抑或是追求风险平衡,经营风格上是激进、稳重、还是谨慎细微,管理风格上是抓大放小授权型还是事无巨细的指令式,是追求管理上的灵活性还是强调管理规则的刚性等。
企业内部控制体系是“一把手”系统性工程,来自高层的重视很重要。若管理层对内部控制的认知是狭隘的、不到位的、缺乏重视的,必然会影响到企业内部控制体系建设及推进的有效性。另外,内部控制体系建设及实施过程中需要融入企业管理层经营哲学和管理风格,比如管理风格是抓大放小授权型,就要重点关注机构设置、权责分配、授权体系等,探讨哪些事项可以授权、授权的条件和规则是什么、授权后如何对其进行有效监督等。