内控指的是内部控制。
内部控制是在一定环境下,单位为了提高经营效率,充分有效地获得和使用各种资源,达到既定管理目标,而在组织内部实施的各种制约和调节的组织、计划、程序和方法。
内部控制有五大要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。其中内部环境是控制的基础,风险评估与控制活动是重要的环节和手段,信息与沟通是必要的条件,内部监督是不可缺少的重要保证。
1. 内部环境
内部环境是内部控制的基础,它包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化和法律环境等。
人的性格有好有坏,企业文化也是一样,积极向上的企业文化有利于员工树立现代企业管理理念,强化风险意识。有经营风险就会有法律风险,企业应当对员工加强法制教育,培养法制观念,防范法律风险。
2. 风险评估
所谓风险评估,是要求企业准确识别并控制与目标相关的内部风险和外部风险,并确定企业的风险承受能力。对企业来说,只要经营就存在风险,有内部管理失控带来的管理风险,有外部经营环境恶化带来的危机,也有国家导向变化产生的政策性风险,风险无处不在。企业首先要能分析和识别风险,应对风险也不能草木皆兵,风险管控也是有成本的,不能因为有风险就什么都不能干了,我们先找出需要重点关注的风险,并找出合适的应对策略。
企业应对风险的策略有四种:风险规避、风险降低、风险分担、风险承受。风险承受就是说风险在企业可承受范围内,或者权衡利弊后,出于成本考虑,不打算采取任何降低风险的措施。
3. 控制活动
所谓控制活动就是为了控制风险而采取的措施,企业为了保证政令通畅会制定一系列的政策和程序,这些措施大部分是预防性质的,比如不相容职责的分离、审批授权、财务监督、预算管理等,也有检查性的控制,对资产的日常管理与清盘,对经营成果的分析评价以及考核激励等。预防性的控制活动存在于每一个业务流程中,目的是防止错报和舞弊现象的发生。
4. 信息与沟通
决策是管理工作的本质,而决策的下达需要及时准确的信息支持。企业的信息传递与沟通是确保内部控制有效运行的关键。
5. 内部监督
内部监督指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制的缺陷,并及时加以改进。有了内部监督制度就要有专门的监督部门,一般情况当然是审计部负责,如果条件不具备,财务部或经授权的其他监督机构也可以负责。内部监督分为日常监督和专项监督。专项监督要视企业具体情况而定,如果日常监督有效,企业经营也没有出现大的变动,就可以减少专项监督,反之就要增加。
基本规范要求企业结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。这是内部监督的重要工作,主管部门要求上市公司每年都要对内控情况进行自我评价并向公众披露。