法律财税 风险管控  合同专家  纳税筹划!



企业内部控制管理

 二维码 68

内控


内部控制的简称。指一般公司企业内部的控制运作。


我国财政部对内部会计控制做了如下的定义:内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。


历史发展

第一个阶段:内部控制的雏形-蒙马利1912内部牵制。以职务分离、帐户核对为主要内容


第二阶段:内部控制的初步形成-由内部牵制逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的控制系统。


第三阶段:成熟期--内部控制结构。代表:1988年美国aicpa发布的《审计准则公告第55号》,它以"内部控制结构"代替"内部控制",并提出内部结构的三要素:控制环境、会计系统和控制程序。


第四阶段:内部控制整体框架。COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。


COSO报告认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。


(注:COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会--发起机构委员会(Committee of Sponsoring Organizations of the Treadway Commission, 简称COSO)。)




内控工作的难点

"会议越开越多,流程越设越长,涉及的部门越来越多,风险是否真的越来越少?""如果每次审批总是进入例外管理的程序,那花费时间讨论正常流程又起什么作用?""内控部门是不是文档制造机?如果一个事项应该在几个文档里体现,但实际却只在一个文档体现,即使我们愿意执行又该怎么执行呢?"铂略咨询Linked-F研究显示,跨国企业的内控部门经常受到来自业务部门的各种挑战。铂略认为,如何向业务部门解释内控是做好内控的关键工作。内控部门第一步就是要给业务部门树立正确的内控观念,明确业务部门和内控部门的业绩区别。


业务部门,是要带领企业高质高效的达成企业的经营目标,将其价值最大化。这个目标是企业的自主性目标,是自己给自己的压力。它所实现的措施都是积极性的措施,是为了实现要带领企业有效率的的达成企业的价值最大化。而内控,更多的是外部强加给我们的,它要求我们企业里的每个人应该使用正确的方法,做该做的事情,而不是不择手段的用你的智慧和能力去实现企业价值的最大化。从这个意义上说,内控的目标是强制性的,它的措施是防御性的。所以COSO(美国反舞弊性财务报告委员会发起组织)的报告里写到"再好的内部控制体系,它不能够把一个劣迹斑斑的或没有经营智商的管理层变成一个非常有经验、头脑和能力的管理层。"所以他的作用不在于智慧和能力,它的作用在于去完成外界强制要完成的事情,在企业实现主要目标的前提下。它是一种防御性措施,它所强调的是一种必须做的义务和责任,而不是智慧和能力。


管理起源

1.企业的生产经营时刻处于在风险中。


1.1.企业所面临的风险:商业风险和管理风险


1.2.商业风险:不是受企业完全支配的因素


1.3.如经营环境、行业的风险、企业所处的金融


1.4. 风险、产品的开发能力等


1.5.管理风险:企业完全支配的因素


1.6.经营和财务信息的不足;


1.7.政策、计划、程序、法律和标准贯彻失败


1.8.资产流失


1.9.资源浪费和无效使用


1.10.不能达到企业的目的和目标




风险与不足

折叠


管理局限

1. 人为过失。执行内控制度的人在决策过程中因在一定的时间内、基于所掌握的信息以及所受到的压力,作出在事后看来没有产生理想结果的判断。


2内部控制体系设计中的缺陷。制度是人执行的,在执行的过程中因制度设计的缺陷以及执行的人员培训问题会造成错误。


3 管理层凌驾内部控制体系。出于个人利益或虚夸主体的财务状况或合规情况等不法企图,而拒绝执行既定的政策或程序。


4 员工串通或舞弊。


5 建立控制的相关成本与效益比较。


风险后果

1.1.竞争失败(企业由于竞争失败会遭受诸多的不利)


1.2.经营中断(企业的目标将无法达到)


1.3.法律诉讼(会给企业带来损失和信誉的破坏等)


1.4.商业欺诈(会给企业带来损失)


1.5.无益开支(使得企业的收益能力下降)




内控背景

在工作中,您是否遇到过以下情形:


当财务部门审批销售部门的差旅费或交际应酬费时,总听到销售人员在抱怨:审的也太严了吧,我们在前面冲锋陷阵,你们反而在后边拉我们后腿。


在对供应商进行招投标的过程中,采购部门认为处处按照采购部门的规章制度办事,怎么到了法务部或管理部,选中的供应商就迟迟批不下来呢?


公司管理层天天说风险,为什么员工对风险却没什么概念?是领导在危言耸听,还是风险管理和控制就是领导的事儿。


制度整合了,流程也更新了,但在执行的过程中,反而觉得比以前更麻烦了,花的时间更多了。




对象

财务总监及其他相关的高级管理人员


负责内部控制和内部审计部门的经理、主管和其他管理人员


财务与其他职能部门的经理和管理人员


收益

掌握先进的内部控制、风险管理、职业舞弊及内部审计等理论


掌握快速诊断企业内部控制缺陷的方法,评价内部控制的效果并进行改进


提升管理层对内部控制自我评估的能力,建立有效的内部控制环境


明确如何结合企业自身特点、建立适合企业自身情况的内部控制系统


通过企业运作中的典型实例帮助学员明确主要业务活动中的控制要点、控制标准和控制方法




内容

对内部控制相关理论的全面介绍


内部控制环境


内部控制的实质--风险管理


内部控制活动


内部审计简介


职业舞弊


内控的建立和执行


萨奥法案及公司治理




相关资格

自2012年起,我国对上市公司实施全面内控审计的序幕将正式拉开,为了有效地通过内控审计,企业首先需要提交一份合格内部控制自我评价报告。经过一年多的发展,内控流程梳理、风险识别与评估和内控体系建设已成为企业持续稳健发展和员工提升胜任能力的必修课。国际注册内控师也随即成为各大企业急需的高端人才,呈现出供不应求的发展态势。企业管理人员需要更好地掌握从事企业内部控制系统建设所需的基本理论、法规要求、实务操作技能、评价指标和管理方法,从而协助企业提高内部控制系统的有效性。为了适应日益增长的内控人才需求,为内控管理领域源源不断地输送人才。


在借鉴和引进国外职业资格证书,完善和发展国内职业资格认证考试制度"的大背景下,为了在日趋激烈的企业竞争中立于不败之地,管理层必须在内部控制领域选择专业和技术熟练的个人,聘用有能力而又可以依赖的专业人士。获得国际注册内部控制师资格认证表明证书持有者掌握了内部控制通用知识与技能,具备了内部控制方面的职业胜任能力。国际注册内部控制师ICICS资格在全球范围推广的职业人才知识体系和认证标准。该资格认证体系建立了全球内部控制职业人士最初的资格标准和职业胜任能力持续改进的要求。(来源网络)


我国企业内部控制的缺陷


长期以来,由于种种原因,我国许多企业没有内部控制制度,造成了会计信息失真,财务收支管理混乱,有的企业甚至发生了财务会计人员携款外逃的恶性事件,使国家和企业的财产遭受重大损失。目前,我国企业内部控制方面存在的问题主要有以下几个方面。


一、 国内部分企业没有正确认识内部控制

很多国内企业对内部控制的认识还停留在比较原始的阶段,认为内部控制就是内部监督,把内部控制看作是一堆手册、文件或制度;也有的企业把内部成本控制、内部资产安全控制等视为单纯的管控手段;有的企业甚至对内部控制的认识还停留在感性层面。我国的内部控制起步较晚,经过几十年的发展,虽取得了一定的成绩,但与发达国家相比仍有一定的差距。


二、 企业内部治理机制不够完善

内部控制作为管理机构为实现管理目标而建立的一系列规则、政策和组织实施程序,与公司治理及公司管理是密不可分的。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。我国许多上市公司虽然设立了董事会、监事会,但在实际工作中,监事会、董事会的监控作用严重弱化,公司未能从根本上建立符合发展需要的公司治理机制。很多公司或者没有设立内部审计机构,或者建立的内部审计机构没有发挥应有的作用。由于公司治理机制不完善,缺乏有效的控制措施,产生了大量内耗,无形中增加了公司的经营成本。


三、 企业预算管理缺乏规范

在管理实践中,大多数企业的预算是由总经理组织编制,报董事会批准后实施的。由于信息不对称,董事会无法对预算提出实质性意见,董事会职权弱化的现象十分突出,从而产生了预算管理中的内部人控制现象,削弱了预算管理计划、协调和控制的作用,为内部控制留下隐患。


四、 企业管理权责利不够明晰

有一些企业中,权责不清的现象十分严重,往往存在着一些谁都可以管、谁都又可以不管的“自由”区域。当这些区域出了问题以后,相关人员常常互相推诿,企业方面无法追究责任,最终不了了之。而且,由于“自由”区域与其他区域沟通不畅,常会发生资源浪费和决策失误的现象。这都对企业造成了负面影响,也阻碍了企业的可持续发展。


五、 企业激励和约束机制尚不健全

我国企业控制活动中很大的一个薄弱环节就是约束机制不够健全、有效。激励和约束计划可能是好的,但由于没有人去考核、检查或者没有认真地去考核、检查,导致其只是搞形式、走过场,执行效果可想而知。无论我们的制度多么先进、多么完备,在没有有效控制、考核的情况下,都很难发挥出它应有的作用。

近几年,伴随着我国企业改革的日益深入,企业管理的深层次问题越来越突出,如何建立健全公司治理机构、优化内部控制、促进企业资源的有效利用、避免舞弊和浪费,已成为当前一些企业面临的重大课题。


“一个投入、三份产出”,让内控深入中国公司灵魂

内控对企业究竟有何价值?很多企业家都有这样的困惑。有人用形象的比喻表达自己的看法:


“如果说企业是一个风筝,内控可以说是风筝的拉线。线粗了风筝会掉下来,线太细风筝又会飞走。但一个大的前提是,风筝要能飞起来,否则,线就没有任何价值。”




说这话的意思,是指内控能实现价值的前提是企业要有发展,内控固然能够保障企业的资产安全,好比可以让风筝不会飞走,但内控如果给企业套上了枷锁,让企业飞不动,企业家为何还要去做内控?


诚然,只有风筝飞起来线才有价值。内控为何难以深入中国公司灵魂?恐怕最根本的原因,还在于企业家没有从中看到其对公司的前期牵引、后期保障的内在价值。


劣币驱逐良币,中国市场的丛林法则


企业能够活下来并且不断发展壮大,究竟依靠什么?如果按照丛林法则,狮子活下来的唯一理由是比羚羊跑得更快,而羚羊活下来的唯一理由是比同伴跑得更快,这就是自然选择,优胜劣汰,比的是谁快,也是我们定义的“竞优法则”。


“竞优法则”下,无论是生物还是企业,选择的标准是相似的,评判的尺度是客观的,选择的结果是公平的,这就是我们理想中的市场经济。与此相对的则是“次品市场”,执行的法则不是优胜劣汰,而是劣币驱逐良币,竞的不是谁的质量更优,而是谁的价格更低!


当前中国社会是不是市场经济,进而是不是“竞优市场”,大家都会有自己的判断。但在长期的观察中,人们会有几个方面的明显感受。




01


首先,中国的企业从来都没有站在同一个起跑线上竞争。





一个基本的事实是,中国企业是分层、分界的。从性质上分别有央企、地方国企、外企和民企,从影响力上分别有“两国、两重”企业、地方支柱企业、中小企业、微型企业等,从竞争要素上分别有资源型、关系型、创新型、管理型等。


这些分层、分界并非中国独有,但每一个不同类型和层面的企业,其生存环境和生存状态差异之大,中国当属第一。从税收到土地再到人才和资金,如果非要说大家公平竞争,那肯定是睁着眼说假话。


环境的不同,决定了各自生存的成功要素不同。


例如,关系型企业的核心成功要素是和权力的距离。前不久发轫于大连的一家国内著名民营企业集团出了问题,我们可以找到很多战略和经营上的风险因素,资金链偏紧、多层金字塔组织架构、过度融资、异地管控等等,但这些问题一直都存在,过去为什么不是问题,为什么今天会暴露出来?显然不是因为风险本身,而是看待风险的视角发生了变化。因此,在这样一个市场里,一家企业活得好不是靠风险管理;同样,另一家企业要倒闭,风险管理也救不了它。


一句话,“次品市场”屏蔽了风险管理的实际价值。



02


其次,在“劣币驱逐良币”的市场环境中,良币的生存成本往往更高。



例如在大家都知道的三聚氰胺事件中,为什么企业要往牛奶里添加三聚氰胺?核心的问题是成本可以更低,如果别人添了你不添,那么先倒下的可能是你,这就是劣币在驱逐良币;而在工业明胶事件中,同样是这样的问题,采用工业明胶制作的胶囊每粒就可以降低成本几分钱,所以不使用工业明胶胶囊的企业就可能因为成本压力而倒闭,除非你可以像威尔刚那样卖出很高的价格;还有地沟油,使用地沟油和不使用地沟油就会有很大的成本差异,如果大家的收入程度是一样的,那么最优的选择就是使用地沟油。



03


再者,信息不对称下诚信机制无法降低交易成本。



市场经济运行的基本规则之一是交易成本最小化,哪个企业的内部交易成本低于市场交易成本,那么企业就会不断做大;哪个企业和供应商、消费者之间的交易成本更低,哪个企业就可以更多盈利。诚信有助于降低交易成本,内控本质上是营造一个诚信的市场交易环境,降低各个市场主体之间的交易成本。企业可以通过内控告诉市场,它的财务报表是真的,企业运营是稳妥的,资产是安全的,从而获得更好的条件和相关利益者去谈判取得更多的利益。这是内控支撑企业价值实现的经济学解释。


但是,在信息不对称的市场环境下,诚信无法有效降低交易成本。


例如,为什么消费者不去鼓励那些“良币”而竞相选择那些“劣币”呢?因为市场缺少识别机制,消费者不知道哪个是“良币”哪个是“劣币”。如果清楚地知道市场上80%是“劣币”,那么如果在没有充分信息的支持下,人们最优的选择是认为市场上所有的币都是“劣币”。这就是“良币”的悲哀:更高的维护成本,但是从消费者那里获得同样的支付。这也是我们这个市场和消费者的悲哀,人们不得不被动地接受“劣币”,哪怕愿意支付更高的成本去购买“良币”,例如非地沟油的食品。此外,在缺少选择的情况下我们的消费者太过宽容。


理论上,一旦企业出现风险或者存在较多的风险因素,那么投资者对于企业价值的评估就会打折扣,消费者对于企业产品的评价也会打折扣,这就是市场经济的自然选择机制。但事实上可能不是这样,我们可能没有太多的选择:如果双汇都会出问题,难道人们选择“单汇”就一定是对的吗?所以消费者会很容易宽容,很容易忘记。其实,我们需要更多一些坚持,当从盼盼法式软面包里吃出苍蝇后从此不再购买任何盼盼的产品,当发现哈尔滨啤酒采取相似包装产品陈列误导消费者后从此不再购买任何哈尔滨啤酒……如果更多的消费者采取这种市场投票的机制,那么企业对风险的态度可能会端正很多!


正是因为市场环境还不健全,因为市场主体还在面对完全不同的竞争环境,因为诚信机制还不能帮助企业降低交易成本,因为消费者对犯错误的企业还太宽容,所以中国市场的“竞优法则”就建立不起来,逆向选择的结果是逆淘汰。“劣”本质上是市场经济下的不和谐因素,是不符合市场客观规律和企业运行规律的行为,“劣”是企业风险的内核。在一个“次品市场“上,“劣”不是一种要被驱逐出市场的要素,所以对“劣”进行管理就不是企业的竞争成功要素。


企业家不愿做内控,根子在市场环境,他们的感觉也好,选择也罢,是理性的判断。


“一个投入、三份产出”,企业内控的价值观




企业内控的价值到底在哪里,我们不妨用一个“企业内控建设价值树”(见上图)来形象地标示。价值树很容易理解:企业内控做得好,企业家得到了资产保值增值,从而实现了企业家价值;银行、供应商、中小投资者、消费者等相关利益者要么得到了真实回报要么得到了使用价值,从而实现了相关利益者价值;员工从企业的可持续经营中得到了就业机会和劳动力报酬,从而实现了员工价值。一个内控、三份价值,按道理讲应该是很有意义的事情啊,为何企业家不愿意去做呢?


一个内控、三份价值,按道理讲应该是很有意义的事情啊,为何企业家不愿意去做呢?


企业运营的根本目标在于短期或者长期创造更多的赢利,因此一个真正的企业家,其任何行为都要考虑投资回报率。在内控建设这件事上,投入产出可能存在着严重的不对等。


企业到底要花多少钱做内控,我们可以来算一笔账。美国的数据是这样的:美国国际集团(AIG)董事长曾透露,为达到监管的新规定,AIG每年要花费近3亿美元。尤其是公司在遵循第404条款的第一年要承受巨额成本。据对美国321家上市企业的统计,大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元。其成本包括:内部人员35000工时的投入、130万美元的外部顾问和软件费用,以及150万美元的额外审计费用。通常来说,上市公司在审计方面的支出是过去的30倍。在中国做内控的成本状况如何呢?严格意义上讲,内控建设成本支出只多不少:一方面是因为中国企业的内控基础太薄弱;另一方面,中国特色的内控建设本身也在学习和摸索。


企业花费了巨资去做内控,得到的价值实现在于三个方面:企业家价值、员工价值和相关利益者价值。这三个价值中影响投资决策的可能只有企业家价值一项,其他无论是员工价值还是其他相关利益者价值,可能都不在当代企业家的考虑范畴之内——除非极其特别的情况之下,例如企业上市时必须做好内控,对证监会、中小投资者等相关利益者价值负责,这时的投入产出就差不多对等了。所以在中国,做内控最积极主动的只有三类企业,分别是央企、金融企业和上市公司。


企业运营只有两件事:风险和收益。在一定风险容量下获取尽量高的收益是企业家,在风险不可控的前提下博取高收益是赌徒。遗憾的是,当前中国企业的经营者中,真正的企业家太少,赌徒却太多了!而企业发展最重要的两个关键成功要素是能力和责任。能力是指企业的核心竞争力,责任说的是企业的风险管理水平。


用一个例子可以更浅显地阐述上述观点。电子商务企业联系的是网络买家和卖家,它提供的不仅仅是一个信息平台,更主要的是一个资信担保平台,否则大家最优的选择是点对点交易,而不是上京东和淘宝。电子商务企业经营的不是产品而是风险,风险管理水平越高就有越高的收益。推而广之,很多企业卖的并不是服务,而是风险管理。例如工程公司可以把资质让别人挂靠,以收取管理费,保险公司为个人健康提供担保,OEM把生产外包,自己只做营销和服务,这些企业在很大程度上都是在卖风险管理获取风险溢价。


一家品牌领先型企业完全可以把自己的品牌授权给一千家企业使用,从而实现销售收入的倍增,当然它也需要承担几何级数增加的风险。所以,当阿里巴巴把一款“中国供应商”的产品价格从5万降低到2万后,它的收入增加了10个亿,但随之而来的风险是高层团队的整体辞职。


第三方平台和品牌运营本质上都是在经营风险。这里说到的风险管理,更多涉及的就是对相关利益者价值的管理。必须认识到,一个内控、三份价值实现,从表面上看是不对等的,尤其对企业家本身来说是不对等的。但是,相关利益者价值的实现对于企业的整体价值实现意义重大,只是很多企业家还没有充分意识到。至于员工价值的实现,“以人为本”可能还是一种比较务虚的说法,但现实中“90后”员工的管理其实已经给企业家们提出了这个命题。在员工忠诚度降低、稳定性衰减的大趋势下,员工价值的管理其实也是员工成本的管理。


由于认识的误区,使得不少企业级只看到了内控建设中投入产出的一个方面,忽视了另外两个重要方面。而被忽视的,也许才是未来企业竞争的真谛。


内控陷阱林林总总,谁念歪了经?


除了环境和认识问题,企业在执行内控时,往往因为采取了不太合理的推进方式和推进策略,阻碍了内控在企业内价值的实现。


最容易踩中的第一个陷阱是内控成果的实操性太差:为建体系而建体系,忽视风险本质是短板,没有以问题导向,导致成果虚、执行难、效果差。一百家企业中,因为外部监管环境的要求而去做内控的至少会有七八成,其出发点就是为了满足证监会或者国资委的要求,因而关注的要点必然是体系化和表面化。在实践中不难发现,企业风险的成因中有80%是运行缺陷,也就是说不是没有体系、没有制度,而是体系和制度在执行的过程中走了样。


最容易踩中的第二个陷阱是内控建设贪大求全:希望通过体系建设解决企业所有问题,导致摊子铺得大、涉及范围广,抓不住重点。财政部等五部委出台的《企业内部控制基本规范》对企业风险管理的18个方面进行了规范,很多企业就胡子眉毛一把抓,一个一个对照着做内控。这种做法不是说不对,而是效率不高,尤其是在企业管理基础比较薄弱的时候,往往有良好的期望而没有良好的效果。


企业内控建设不应贪大求全,而是要关注战略导向,围绕战略的要求抓住内控建设的重点。例如,当企业进入新业务领域时,新业务管控风险与资源配置不足都是需要重点关注的风险,而当企业处于高度竞争的市场环境时,成本管理风险和技术创新风险可能就是需要高度关注的风险。因企而异,因时而异,每一个企业都有独特的战略发展路径,也就有独立的风险管理要求,找到它、尊重它,才会有好的执行效果。


最容易踩中的第三个陷阱是内控成果脱离业务:未从使用者角度建立内控体系,依旧是管内控的人不懂业务、懂业务的人不懂内控,形成空对空。这个问题的发生,责任既不在管内控的人身上,也不在管业务的人身上(如果要求内控管理的团队既懂业务又懂内控,内控就更难推进了),核心是要重新认识内控的责任。《企业内部控制基本规范》明确界定了“内部控制”的内涵:即内控管理是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。因此,从来不是哪几个人或者哪个部门去推进内控,而是内控本质上就嵌入在企业的业务控制过程中,是每一个岗位的自觉行为。内控的专业人士和团队在体系建设和体系维护方面,起到重要的推动和监督作用。


最容易踩中的第四个陷阱是内控体系满意度低:高层领导感觉缺少决策支撑,基层员工感觉投入精力大、实际帮助小。出现这个问题的根本原因是高层领导把内控建设当作是业务控制手段,而不是决策控制手段,或者觉得在决策程序中执行内控自己的手脚也被束缚住了,与原来的管理风格出现了冲突。而基层员工则没有把自身的价值与企业的价值联系在一起,过多依赖于管理的惯性,消极对待企业的管理变革。无论是高层领导还是基层员工,如果没有一个良好的内控文化作为支撑,内控建设恐怕只能是水中捞月。



执行中可能误导内控建设的林林总总的陷阱,使得外界对于内控的价值评价进一步打了折扣。其实不是内控的经不好,只是被很多企业给念歪了。



内控为何难以深入中国公司灵魂?思考这样一个命题,目的还想要让内控在企业能够发挥更大的价值,变“要我做”为“我要做”。这其中,环境、认识和执行,一个是外因,两个是内因;环境改善是根本,认识端正是核心,执行得当是保障。


中国的企业家需要认清制约内控价值发挥的原因是什么,但是千万不要等和靠,更不能怨天尤人,更加积极、稳妥地推进企业的内控体系建设,才是当代企业家务实而智慧的选择!

加强企业内控的方法

v  (一)提高企业全体员工对内部控制的认识

企业内部控制贯穿于整个企业的生产经营管理全过程,包括采购、生产经营、销售、财务管理、研究开发、人力资源、会计等各个方面。因此企业的控制环境是由企业全体职工造就的,包括企业的领导、会计人员和所有员工。

v  1.中小型企业领导自身提高管理素质

企业内部控制环境主要是企业的管理者所造就。内部控制是否有效,与企业领导是否重视、是否带头执行有很大的关系。企业领导首先应认识到建立内部控制制度的重要性和必要性,是中小型企业内部控制制度得以正常发挥应有作用的关键。  

v  2.大力提高财会人员的业务技能和内部控制知识水平

作为企业会计控制的主体,会计人员业务素质和内控知识的高低尤为重要。

v  3.加强全体员工道德修养和内部控制制度教育  

企业内部控制应当建立在共同的伦理道德规范的基础上,只有当企业中的每一个员工目标明确,观念趋同,内部控制才能更有实效。

v  (二)在中小型企业中建立起行之有效的内部控制制度

v  1.结合实际,注意构建内控制度的成本收益问题

从经济角度分析,只有当内控带来的收益大于它所发生的费用成本时,才是值得的。中小企业和大企业在控制系统上的要求和所能承担的费用是不一样的。

v  1.结合实际,注意构建内控制度的成本收益问题

从经济角度分析,只有当内控带来的收益大于它所发生的费用成本时,才是值得的。中小企业和大企业在控制系统上的要求和所能承担的费用是不一样的。

v  2.着重解决企业内不相容职务分离的问题

中小企业因其规模和人员数目的特殊性,无法做到专职专人负责,所以加强不相容职务分离控制,增加岗位设置的牵制性就显得尤为重要。例如:明确出纳人员不得兼任稽核、会计其他账目的登记工作;企业财务专用章与法人代表私章由不同人员管理,财务专用章与银行支票应由会计、出纳人员分别保管等。

v  3.强化对内部控制制度实施情况的检查与考核,并建立有效的激励机制

   为了保证企业内部控制制度能有效地发挥作用,并使之不断地得到完善,企业必须定期对内部控制制度的执行情况进行检查与考核。

v  4.利用外部监督、中介组织的监督,完善中小企业内部控制体系

中小企业可以通过会计师事务所作为中介组织在执业中对其内部控制进行的符合性测试而产生的工作结果,了解自己内部控制中的不足,借此机会获得改进内部控制的机会。

控制活动中控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。


企业内控体系建设的思路和方法

一、内部控制是什么?

内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。内部控制的作用指内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。在社会化大生产中,内部控制作为企业生产经营活动的自我调节和自我制约的内在机制,处于企业中枢神经系统的重要位置。企业规模越大、其重要性越显著。可以说,内部控制的健全、实施与否,是单位经营成败的关键。

二、企业为什么难以解决内控上存在的问题?

一个企业在生存、发展的过程中,必定会面临各种各样的风险,如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前,企业并不是无能为力的,可以通过建立内控体系来防范和化解风险。但企业最大的风险在于对风险的无知和无视,对已知的风险企业一定有相应的控制措施,而对未知的风险,往往是防不胜防。企业常常发现不了自己存在的风险,一是由于外部时刻在变化的复杂环境造成的,另一原因是只缘身在此山中。不知道风险在哪儿,当然不可能建立应对风险的控制措施了。我认识的一些企业家曾和我说,企业里面的人在做事上经常马马虎虎,在对待问题上经验主义,制度都有,但风险事件层出不穷。

三、内控体系建立的四大关键步骤

关键步骤:搭框架企业内控体系的框架搭建依据四层分法,也可以称为两横两纵——第一层分法(横向):按行业划分,分传统制造类、化工类、金融投资类、房地产类、建筑施工类、物流类、商业流通类、服务类、移动互联类……;第二层分法(横向):按企业所处阶段划分,培育期企业、成长期企业、成熟期企业、衰退期企业;第三层分法(纵向):按企业类型划分,分为多元化集团、专业化集团、单体企业、分支机构;第四层分法(纵向):按专业分类,企业的内控包括公司层面的控制、业务层面的控制和信息层面的控制。公司层面的内控包括组织架构、人力资源、社会责任、企业文化;业务活动层面的内控包括战略、人力资源、资金、采购、资产、销售、研发、工程、担保、业务外包、财务报告、全面预算、合同管理;信息层面的内控包括内部信息传递和信息系统。企业如果没有依据四层框架分析来搭建适合自己的内控体系,就会走入内控搭建的误区,要么是走形式,要么建立的内控体系不符合企业实际情况,就好比给自己穿了一件不合适的外套,内控变成了负担。举例:某集团企业的内控体系,这个集团处在快速发展阶段,无关多元化,分子公司多,站在集团的角度,如何实现对分子公司的控制,管哪些不管哪些,内控与集团管控如何融合,面对如此复杂的集团化企业的全面内控体系建设,我们建议企业的内控建设先从财务内控着手,开展财务内控管理体系的梳理和设计其原因有三:首先,财务管理体系是整个集团运营的核心,解决了财务管理体系的关键矛盾,整个集团的内部控制问题就至少解决了一半的内部控制难题。其次,财务管理部门的经理业务水平较高,对生产经营的各个环节均有深度的掌握和全面的认识,梳理各业务活动内部控制会起到事半功倍的效果。再者,从财务管理往企业价值链的前端延伸,可以一直伸向销售、采购、生产、物流、研发、信息系统架构等各个环节,甚至可以将管控要求最终延伸到人力资源管理、企业的组织架构、公司的治理层面等内控环境层面。思路确定后,咨询项目组为该集团量体裁身,首先从财务集团管控角度做了一次深度培训,使集团各层面的负责人都认识到集团管控不是一个简单的问题,而是一个系统问题。而财务内控先从资金入手。全面梳理了集团资金管理内部银行模式中出现的各业务活动流程。项目组为集团设计了资金计划管理模板、编制了资金计划上报和资金平衡管理流程;理顺了结算部与二级公司之间内部银行结算业务流程上的不衔接之处,规范了结算部与融资部就银行业务办理过程中的业务交接程序和责任界定,重新编制了《资金管理制度》,包括:资金计划、票据、现金、银行存款、其他货币资金、信用证、借款、融资、备用金、网银等各种事项的管理规定。在制度中明确各责任主体在资金活动中的职责与权限,强调资金内控的各项风险控制措施。因为着手准,单点突破,效果很快呈现。关键步骤二:找风险中国企业所处的发展阶段差异非常大,不同成长阶段,不同规模,不同所有制的企业,企业的风险不一样,集团企业更多关心战略风险、管控风险,投资风险,资金风险……而单体企业更关心市场风险、生产风险、质量安全风险。风险不一样,内控上存在的缺陷表现形式不一样,控制的方式也存在很大的差异。发现一个企业的内控缺陷不是看他有没有制度和审批,如果没有那是内控设计上的缺陷,如果有了,但企业风险仍然存在,那是执行缺陷,而企业好多的问题就是在设计上有,但执行上不能执行,或设计上没有,执行上往往形成了约定俗成的不成文规定。那么,有经验与没有经验的人来判断这个缺陷就会有很大差异了,当一个缺陷被认定时,设计内控体系时就会按照原定的逻辑来梳理流程,加强关键点、风险点控制,并通过制度来固化。当一个内控规定不能在企业的经营实践中执行时,简单的提出加强控制是不能解决问题的。这种情况一定是企业管理上存在的客观情况,有的是企业的问题,有的是行业的特色。当如果是企业的问题时,就要帮助企业解决执行上的问题,不是强行要求就可以的,这时内控与企业的业务、与企业生产、质量控制、与企业的激励放权措施,与企业的管控模式,与企业的用人机制都有关。当发现一个控制事项不能有效执行时,我们会分析其是系统问题还是单项问题,如果是单项问题,解决的办法会比较容易,如果是系统的问题,需要提供专项的解决办法。举例:某集团企业存在短贷长投,企业也知道这是风险,但长时间这么过来了,没有出问题,大家也就习以为常了。从内控要求来看,企业的流动资金紧张,企业存在短贷长投现象时,从内控的角度一定会指出缺陷,在制度上规定不允许短贷长投,但企业资金上的问题一时解决不了,新的风险就出现了,那么企业解决此类内控问题时,需要从根源上找问题,建立资金风险分析模型和预警模型,为企业提供更多融资渠道指引,帮助设计内部资金平衡计划,平衡内部资金需求。举例:当企业存在大量逾期应收账款,而企业在应收款管理上有严格的管理规定,销售合同也按内控要求走了所有审批环节,可企业的应收账款量越来越大,逾期款也越来越多,如果仅仅从制度上去要求加强应收款控制是不能解决问题的,如果制度上规定不允许赊销,我相信这样的内控制度是行不通的。怎么解决这样的内控问题,好的内控体系需要从如何建立客户信用评价体系,如何建立销售人员激励体系,如何将回款与责任人员薪酬绩效挂钩来解决问题。关键三:建规则企业存在风险,存在内控管理上的缺陷,就需要加强内控文化建设,通过完善一系列的制度、流程形成共同遵守的规则。内控规则最重要的成果是针对内控形成的各项内控手册。常规的内控手册的构成分6大手册,包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册、内部监督分册。但手册的内容构成不同咨询团队提供的产品会有较大差异。这其中关键差异就是适用。而适用与否,不是谁都能实现的。内控要解决的不仅仅是控制的问题,更多是要解决企业发展与风险控制的协同。关键四:持续评价与提升内部控制规范体系是一个企业内部控制应有的基本管理要求,在规范的基础上进行控制才是最有效率和效果的。内部控制改进体系是规范体系运行和完善的机制保障,只有通过监督改进机制,一个规范的体系才能很好地运行、完善。

内控风险和评价,内控风险评价报告有时是为满足上市公司信息披露用的。而企业本身需要定期提报一份真实的内控评价报告,让决策层清楚的知道企业存在哪些风险,通过控制措施降低了哪些风险,还存在哪些剩余风险。定期评价,不断改进循环,企业才能处在稳定上升的发展态势中。内控风险评价上最大的优势是不仅能帮助企业找到风险,而且有对风险的评估能力,设计应对风险的模型,能清晰的通过风险评估工具指出控制的效果,并合理的评估还存在的剩余风险。所谓剩余风险是指那些未能为企业所控制的战略风险和各经营流程的流程风险。一般来说,剩余风险往往具有一定的财务后果。它可能导致企业财务报表的重大错报,使企业财务报表重大错报的风险增加,也可能导致企业管理层舞弊,严重者还可能导致企业破产。

四、专业化的内控咨询能为企业带来怎样的不同?

咨询公司在风险管理上有自己的咨询工具和方法,更重要的是为多家企业提供过类似的咨询服务,形成了完整的风险数据库,也积累了多家企业应对风险的经验和方法,同时因置身事外,能更客观公正的评价公司的管理。内控咨询简单的来说是咨询公司抛开经验主义,从第三方的角度来帮助企业查找企业管理上存在的现实的问题及潜在的风险,然后帮助企业建立制度化风险评估及科学风险预测、科学风险应对的体系。内控体系所要实现的目标是进行内控体系建设的出发点和指导;一个完善的内控体系能实现多方面的目标。但是,不同的企业在发起内控体系建设项目时,往往对内控体系所要实现的目标有侧重点或阶段性的要求;从企业咨询需求的角度,不同阶段,不同类型、不同状况的企业对内控的需求也不一样,很多咨询机构在应对客户的咨询需求时都会面临两种或三种咨询思路,一种是合性需求的咨询思路,一种符合企业应用需求的内控制度、流程体系梳理,第三种是帮助企业建立真正防控风险,能落地实施的内控体系。这三者的区别主要在是否符合企业实际,是否能落地实施。企业请咨询公司做内控体系就像买衣服,买衣服的标准不同,最后的结果也会有很大的差异,是想要时尚,还是想要品牌,还是想要合适,时尚的东西好看不好用,品牌的东西贵还不一定合体,真想买到适合自己需要的衣服,首先需要企业自己有鉴赏能力、有执行的能力,如果自己的鉴赏能力和执行力不够,那么至少能把自己的真实需求表达清楚,而且还要配置与需求匹配的资源(包括时间、参与实施推动的人,内部协调机制),量体裁衣做出来的衣服肯定是最合身的,能愿意为合适的内控体系付成本也是关键的。咨询在一定程度上能协助客户进一步明确其对内控体系的要求和期望,在咨询和客户之间,以及客户决策层之间形成一致认知。咨询通常是一种思路和方法。给同一企业做同样的咨询内容,常常不同的人做出的解决问题的思路会有很大差异,客户得到的体验也会有很大的差异,这样的咨询,每一次都是在做一个新的项目,咨询师前期很辛苦,需要收集大量的资料分析,阅读,形成对企业的判断。这往往需要咨询师有很丰富的咨询经验,咨询师在没有经验的情况下,在有限的服务周期内,可能为客户提供不了满足需求的成果。内控咨询项目经过过去几年的实践,已经成为一个相对成熟的咨询产品。根据过去几年我们的实践经验发现该咨询产品涵盖内容广泛、边界与其它专项项目相比边界模糊;同时,不同的咨询机构或会计师事务所在这几年也都在不断的摸索寻找一种更加有效率且客户满意的咨询方案,有时在同一个咨询项目中可能同时出现几种咨询思路,造成进度不统一,项目成果存在差异难以融合。我们咨询团队旨在统一项目思路、规范项目成果文件,并通过所提供的咨询工具帮助咨询顾问快速掌握咨询方法,提高工作效率,保障项目进度,为客户在最短时间内提供适合客户需求的内控成果方面形成了自己的咨询产品。内部控制体系的搭建和完善分集团型多元化企业的内控,集团型专业化企业的内控、单体企业的内控,不同企业在体系设计上,在内控要求上存在很大的差异。四层分法基本上涵盖了企业内控涉及的方方面面。面对不同客户的需求时,我们随时能运用我们的内控咨询产品,轻松的完成前期体系的搭建。这每一步都会形成专项的咨询服务模块,这种模块的切分不仅满足客户分专项的需求,也为我们流水化的作业形成了可能。


沿着咨询流程,我们在每一模块都形成了标准化的框架。

第一阶段:项目启动阶段,这个阶段有些咨询公司是在项目合同约定的现场完成的,而我们可以做到进场前先完成了,这个时间就为客户节约了成本。第二阶段:内控现状调研,我们内控咨询产品的研发也是经历一个过程,前期研发其实很多是在咨询现场完成的,在做每一个咨询项目时,我们开始积累行业特征、企业特征,梳理风险点。然后我们通过EXCEL软件功能开发内控调研问卷,问卷的优势一是在问题的设计上,二是在风险统计上能实现自动风险统计。比如第一次梳理一个企业的风险我们需要用至少一个月的时间,但第二次再做类似项目时,我们可以减少一半时间,第三次时可以再减少一半。再接类似项目案例时,我们运用调研问卷,参照分行业风险地图,对照企业现状情况,核对一遍,再进行穿行测试,就基本上可以把企业的风险点确定,形成针对该企业的风险数据库、缺陷整改建议、风险控制矩阵。……企业内控体系的建设不是推倒重来,而是结合企业的实际情况,将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。使企业的内控体系更具系统性和科学性。内控咨询产品的形成,一是能保证工作的有序推进,二是对开展内部控制体系建设工作进行了整体策划,明确了建设目标、建设思路、建设方法,确定了项目建设阶段,并为企业提出明确的实施工作计划。企业建立内控体系就应该真正把内控作为强化企业管理的抓手,紧密结合企业实际,总结管理经验,优化控制环境,不断创新,推进管理水平提升


内部控制设计实务

内部控制设计的方法


1、访谈

首先,要了解企业的实际情况,针对性的设计访谈提纲,对企业的高管及相关人员进行访谈,跟随的助手要记录清楚企业的要求,明确企业内部控制设计的诉求,并对访谈结果进行深入、细致的汇总分析。


2、调查表

编制内部控制调查表,分发到各个部门,跟各个部门经理再访谈,对企业内部控制的现状及业务管理活动进行调查了解。


3、组织系统图

组织系统图主要描述企业内部各层级的组织结构,显示每一职位在企业中的地位及其上下属与纵横关系。现代企业组织庞大、部门众多、层次不一、关系复杂,以组织系统图描述各组织机构,能够使人一目了然。


4、职责划分

对企业各个部门的职责予以详细及明确的划分,使每一业务都有负责部门,而且要做到不重复也无遗漏。


5、工作说明书

工作说明书是描述工作性质的文件,是职位工作的说明性文书。通常针对企业的每个工作职位编制一份详细的说明,用来反映担任那个职位的人应该履行的职责。


6、方针和程序手册

方针和程序手册是以书面形式表达管理当局指令及同类业务处理方法的一种文件,通常详细描述业务处理的方针与程序。


7、业务流程图

业务流程图是利用图解形式描述各经营环节业务处理程序的一种图式。它显示了凭证和记录资料的产生、传递、处理、保存及其相互关系,从而直观地表达内部控制的实际情况,根据风险管理加强控制点。对于无法表示的问题,可用简要文字进行说明,作为流程图的附件。


内部设计过程中采用的具体方法还有很多,企业应注重定性和定量方法的结合。定性分析法在内部控制设计中普遍采用,但这种方法的主管随意性大。定量分析法可以为内部控制设计提供可靠的数据,提高内部控制设计的科学性和可操作性,但工作繁琐,且有的影响因素不能 量化。

因此,企业在设计内部控制时,应将定性分析和定量分析恰当地结合起来,以定性分析为基础进行定量分析,使定量分析服务于定性分析。



内部控制设计的流程:

收集资料和了解情况 →现状流程描述→进行风险评估→寻找控制点→确定控制措施→明确控制责任→完善控制证据→编制内部控制文档→设计内部控制手册→制度优化十个基本流程。


1、设计准备

设计准备是内部控制设计的首要环节,是内部控制设计的基础。内部控制设计应从认识上、人员上、时间上、经费保障上进行多方面的长期准备。领导对内部控制设计工作要高度重视,否则内部控制设计工作将很难有效推进。


2、设计实施

设计实施是内部控制设计的重要环节,是内部控制设计的关键;是内部控制设计的实质性阶段;是内部控制设计项目组成人员具体落实内部控制设计方案的具体操作过程。


3、试行完善

试行完善是内部控制设计的必不可少的一个环节。内部控制不管设计怎么完美,关键是能够有效执行,并符合成本效益原则。因此,内部控制设计阶段初步完成后,应当进行内部控制的试运行,从而对内部控制系统的合理性和有效性进行评价,并进行必要的完善,最后内部控制系统才能进行实际运行和全面推广。


上述内部控制设计流程是概括的一般模式,而不是通用模式。实际工作中,在设计内部控制时,可以借鉴其思路,而不能照搬,各企业必须根据自身的实际情况加以具体调整和修订,甚至完全重新设计。


构建内部控制体系,需要借鉴国际先进的标准,更要以我国政府监管部门制定的内部控制规范及其配套指引为依据,结合企业的实际情况来设计,应符合国情、符合各企业自身的情况。


内部控制应以风险为导向,要突出对各类风险控制政策、措施、方法及其工具等的设计。内部控制设计不仅仅是解决理念和或理论问题,而是要与业务管理相融洽,嵌入到业务管理流程中,从而设计出控制风险的可操作性的具体解决方案。


企业内部控制设计的步骤


1、了解和评估控制环境

控制环境是指对内部控制的效果起到促进或削弱作用的因素,企业在设计内部控制制度时,应当对内部条件和外部条件进行研究和分析。各个企业的内部控制虽然有相同的原则和相近的内容,但是由于各个企业对这些原则的使用、内容的融合不同,还是存在差异的,在设计过程中,要具体根据企业经营活动的情况来具体设计控制制度。


2、建立内部控制结构

企业在建立内部控制时,应注意各个控制环节,注意各个控制环节和组织结构的联系,发挥各个组成部分的协同效应,同时要求内部控制制度要能够有效监督经营活动的过程,预防和发现风险并及时纠正。企业在设计内部控制制度时,要坚持整体和局部、宏观和微观相结合,首先建立内部控制的组织结构,然后针对每个业务部门的机构设置情况进行分析,合理划分企业的组织结构,防止机构之间职能的重叠,以免资源的重复使用和浪费。


3、确定各个业务循环的流程

第一,明确各个业务流程的起点和终点。在持续经营的情况下,企业的各个业务都是不断循环的过程,要弄清业务流程的循环过程,就要找到业务流程的起点,按照业务流转的特点设计出整个流程。

第二,找到业务流程之间的联系。企业的经营活动需要建立的控制制度之间是广泛联系的,我们可以通过协同控制措施降低内部控制的成本和提高控制效率。业务流程之间的联系可以划分为不同类型,有逻辑联系、财务资金联系、管理联系等。


4、找到关键风险控制点

内部控制的设计要受到经济性质原则的制约,不可能面面俱到,因此只有抓住关键的控制环节才能够建立有效的内部控制制度,关键的控制点是指业务流程和企业经营活动中容易产生风险的环节,要想找到关键控制点,就要对各个业务流程进行风险评估,对风险进行排序后确定关键点。


内部控制设计的方式


根据内部控制设计机构的人员构成情况,内部控制设计可以分为自行设计、委托设计、联合设计等方式。


1、自行设计

自行设计是指由本企业内部组织和人员独立进行的内部控制设计方式。这种方式的优点是企业内部人员了解企业各方面的情况,熟悉企业供产销各种业务和人财物各种要素;设计人员之间相互熟悉,便于合作;容易得到企业各职能部门和有关人员的支持和配合,且能够节省设计时间和节约设计费用,便于内部控制设计工作的顺利进行。这种方式的缺点是设计人员容易受传统习惯的影响,难以大胆革新,不利于借鉴吸收新知识、新经验和新做法。如果设计人员知识水平和实践经验达不到要求,就很难保证内部控制设计的工作质量。


2、委托设计

委托设计是指委托社会上的咨询服务机构为企业设计内部控制的一种方式。这种方式的优点是社会上的设计机构可以站在客观的立场上,提出新的构想、采用新的方法,不受企业惯例、传统的约束,更能适应现代管理趋势;咨询机构一般比较专业,设计内部控制实践经验相对要丰富些;由于“外来的和尚好念经”的观念的存在,这种方式独立性强,咨询结果容易得到认同。这种方式的缺点是受托机构或人员对企业的了解较少,需要更多的设计时间,设计成本比较高;客观存在脱离企业实际,缺乏操作性的风险。


3、联合设计

联合设计是指企业内部组织和人员与社会咨询机构和人员共同设计内部控制的一种方式。这种方式有利于充分发挥自行设计和委托设计的优点,克服各自的缺点,相互配合、取长补短,是比较好的一种内部控制设计方式。采用这种方法时,要明确分清各方的职责权限,否则就容易出现相互扯皮的现象,从而影响工作效率。



在推进企业内控体系建设方面,我们概括本书的核心内容,提炼出几个关键策略:

  第一,建立健全企业内控制度和机构,保证内控体系有效运行

  企业实施有效的内部控制,就要建立健全企业内控制度。按照严格、详细、具体的原则,结合本行业、本企业的特点和实际,制定实施细则。企业应建立专门的内控管理部门,以保证内部控制制度的有效运行。

  第二,增强内控能力,达到内控体系可靠、风险可控的目标。

  一般而言,财务预算、资金结算、项目投资、物资采购和产品销售等都是企业运转与发展的重点环节,是企业避免和化解可能风险的关键所在。通过合理授权,使企业各级人员职责清晰,运转流畅,避免审批权限过分集中。加强宣传与培训,形成全员重视内控的意识,既利于内控制度的实施,也利于集体监督风气的形成。增强控制能力,尤其是关键环节始终处于受控状态,达到内控体系可靠、风险可控的目标。

  第三,内部控制的关键在于执行,在于具体落实。

  内部控制的关键在于执行,在于具体落实。在企业内部,要统一规范业务流程,实现管理的系统化、程序化,使工作环节、业务步骤清晰可见,内容要求明确,为执行者的监督检查和考核提供依据。加强信息化建设,建立规范的业务流程数据库,实现流程管理和控制的信息化。坚强对业务流程的梳理,解决好程序和效率的关系。在按流程运行、按程序操作、按控制执行的关键环节,必须留下可供查实的证据,使规章制度执行具有可检查性。

  第四,全员参与,培养员工的内控意识和技能

  内部控制具有全面性和系统性,需要全员参与,因此要着力培养全体员工的内控意识。把企业文化建设作为企业内部控制建设的基础,结合企业文化建设,加强内部控制制度的宣传和培训力度,为内部控制制度的实施建立良好的企业文化氛围,使全体员工树立内控理念,掌握内控知识,自觉地将内控融入到日常工作中。

  第五,逐步建立和完善法人治理结构和监督体系

  逐步完善法人治理结构,力求权利和责任的合理配置,切实保障两权分离。决策层和经营管理层要真正分开,互相制衡而又不影响协调运转。健全内部审计机构,提高内部审计的独立性,充分认识内部审计的重要作用,拓展内部审计的职能,不断强化内部监督。同时加强外部的政府监管和社会监督,建立起分工合理、监管全面的监督体系。


  总体而言,企业进行内控体系建设是发展趋势,但又不能操之过急,不可盲目模仿、复制。企业要结合自身的发展实际,加强调查研究和探索,构建涵盖各领域的内控体系,并实现有效运行。


内控建设步骤:

1、诊断。内控项目组首先对A公司的内控现状进行综合诊断,对其控制环境、控制活动、风险识别与监控、监督、信息与沟通五个方面进行评估,确定控制目标。

2、培训A公司内部控制专业人才。经过培训的A公司内部的内控小组要全过程跟随咨询机构项目组,从开始到项目成果出来。

3、在诊断的基础上,A公司以COSO的内部控制体系框架为基础,建立持续满足国内相关法律法规要求、符合内部管理实际的内控体系。内部控制体系建立的同时,贯彻成本效益原则、动态性原则、制衡原则、重要性原则及全员性原则。

4、以流程为手段,以制度为基础保障,明晰权责、适当授权,对核心流程上的风险点进行分析,控制关键环节,制定相应的风险处置措施。由内控项目组组织在各相关部门的参与和配合下,沿着预算管理、资金管理、资产管理、成本管理、采购与付款业务、生产业务、销售与收款业务七条主线,以流程化的方式分析各个业务类别的管控基础、关键控制点、所需的控制活动和监督方式,识别各控制环节的风险点,对风险点进行归类汇总,明确控制要素、控制效果、控制部门,制定相应的风险处置措施。同时,为保障风险处置措施得到有效实施,对各个关键业务绘制了流程手册,并建立了相应的制度作为流程实施的保障,以达到预防风险、提升内部管理的目的。

5、建设沟通平台,构建监督体系。打破各产品部门分散、分割的现状,统一信息接口与标准,建立各个部门共同参与的信息平台。以制度形式规定了沟通的形式、频率与内容;在完善业务流程体系的基础上,优化制度建设,提高作为信息重要载体的制度文件的有效性;加强和改善现有的纪检审计队伍建设,适度引进外部监督力量参与内部控制体系建设。

6、持续优化和改进。内部控制体系建设是一个动态的、持续的过程,必须建立相应的更新机制。内控项目组确立了内部控制体系持续改进的主导部门,明晰了相关部门在持续更新中的职责;制定了制度评估工具、流程评估工具等,定期对内控活动进行评估,并依据评估结果进行体系改进,以达到持续优化的目标。


内部控制常见问题

内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制的警钟。
      结合众多内控失败案例和内控咨询工作的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。

一、出纳领取银行对账单、编制银行存款余额调节表。

       之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。 2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
从笔者了解的情况看,80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。

二、领导“一只笔”审批,缺乏完善内控制度和流程保障。

      领导“一只笔”,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致fu败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。

三、过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。

       企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂的人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大的影响,盈利反而创下历史新高,靠的就是花旗银行内部已经形成完整的制度和流程,用制度来保障业务开展,而不是依赖于某个业务人员或主管。

四、内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少。

      很多单位有这样一种现象,员工在某个岗位工作久了后变得驾轻就熟,经验老到,工作起来游刃有余,而一旦这个员工因有事调离或辞职,后面接替的人员则需要花很长时间来熟悉情况,重新摸索工作方法。造成这种现象的原因是企业制度主要是文字性东西,缺乏清晰的岗位说明和工作流程图,执行的人往往凭自己的经验和别人“言传身教” 来做事,岗位新手在开始阶段工作不知从何入手,通常需要很长一段学习和熟悉过程。因此,一套完整的企业制度应包括三部分:(1)文字描述的支撑制度文件;(2)工作流程图或流程的文字描述;(3)相关凭证、表单、文件的样式汇总。通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,而且能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于企业内部控制的持续改进。

五、内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。

      很多企业的内部控制制度都是在发展中逐步建立起来,经常是发现管理中出现了某种问题,于是相应地出台一个制度来规范。例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。这种“救火式”的制度往往只能防范已发生过的风险,而对未发生的风险则考虑不足。此外,这样的制度体系无论在内容上还是形式上,都缺乏系统性和完整性,没有科学合理的分类,甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。笔者曾经接触过一个单位,仅是购买电脑一项,既可以通过信息科购买,因为信息科负责整个单位的计算机软硬件系统;也可以通过行政办公室,因为电脑属于办公用品,而办公用品归口办公室管理;还可以通过负责管理固定资产的设备科购买,因为电脑是一种固定资产。为此,企业应有一套规范的制度制定程序和形式规范,包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理,并以书面形式予以约束。

六、员工临时休假或出差时,缺乏明确的工作交接制度。

        任何一个岗位,总会出现员工因急事、生病或出差等原因不能正常上班的情形,很多单位在制度设计时都没有考虑到员工暂时离岗时工作由谁接替的问题。实际操作中,在遇到员工临时休假或出差时,便临时指派一位相关人员来兼任,但事实上,这种急时抱佛脚的做法,稍有不当,可能会给企业带来风险。企业正常的工作安排中通常会将不相容职务由两个以上的人来担任,以便相互牵制,而临时指派某人兼任做法,可能会导致不相容职务由同一人担任。例如支票印鉴平常一般都由两人分别保管,如果因其中一人临时有事而指派另一人暂时兼任,由一人掌握所有空白支票和印鉴的话,盗用支票的风险就会大大增加。因此,企业有必要明确规定一些重要岗位的工作交接制度,防止员工临时休假或出差时留下内部控制“真空”的现象。

七、人员招聘时注重笔试和面试的考察,忽视背景调查。如果雇佣了不诚实的人,那么即使是最良好的控制也无法防范舞弊。

       如果企业不仔细地筛选应聘者,并因此而雇佣了不诚实的员工,则很有可能遭受损害。很多企业在招聘过程中也非常强调应聘者的诚信,但较多注重于笔试或面试的考察。“然而,谁能知道在一份漂亮的简历背后又隐藏着什么?”,背景调查则能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况,从而能帮助企业甄别应聘者,防止将不合格人员招进来。而且背景调查本身并不需要复杂的技术,只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解一些非常有用的信息,实施成本也比较低。曾经被称为北京市医疗系统头号女贪、案发前为北京肿瘤医院住院部主任的石巧玲,四年时间贪污挪用1000多万元,检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本,而在填写工作简历时她又玩上了花样:在1979年 5月石巧玲亲自填写的《工作人员履历表》中,前页写“售货员”,后页则写在“二商局工作”;1995年12月25日填写的肿瘤医院《干部任免呈报表》中,石巧玲的工作简历又变成了“1967——1978年,北京商业局会计”。对石巧玲来讲,严肃的履历表成了可随意填写的“草纸”。其实,这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。

八、关键岗位无强制轮换或带薪休假制度。

        企业员工在某一岗位工作时间长了,会比较熟悉内部控制漏洞所在,实施舞弊的可能性更大。现实中,有不少挪用或贪污等舞弊现象都是在工作交接时被发现的。2005年4月,仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元,该会计19***毕业后被分配至仪征化纤从事财务工作,十六年来他的岗位和职务一直都没有变化,由于在这个岗位上的时间很长,规律摸得非常透,他知道什么时候将款项交给单位,也清楚什么时候要进行财务检查或审计,总能找到新的款项填补以前的漏洞,自1999年开始挪用资金,作案时间长达六年,期间一直未露蛛丝马迹,直到2005年因单位内部人事改革他被迫交接工作时才败露。过去我们比较强调“螺丝钉”精神,殊不知,“螺丝钉”在一个地方时间拧长了也会容易生锈的。
通过强制轮换,或者带薪休假,在休假期间工作由别人暂时接替,由于员工离岗时的工作交接会受到他人监督,那么他实施并掩盖舞弊的机会将大大减少。美国货币管理局要求全美的银行雇员每年休假一周,在雇员休假期间,安排其他接替人员做他的工作,就是为了防止员工长期在同一岗位工作可能产生舞弊。对我国企业来说,对一些关键岗位,例如财务、采购中的部分岗位,通过建立强制轮换和带薪休假制度,既可以提升员工的工作能力,同时是防范和发现舞弊的一项有效措施。


九、过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由。

      实施内部控制无疑需要成本,并且在一定程度上会影响到运行效率。于是, 一些单位管理人员便常常以影响效率为由,反对内部控制措施的推行。事实上,如果将各项职能都较给某一个部门或某一个人去执行,没有必要的授权批准和审核,在效率上可能会很高,但由此产生的风险也急剧上升。因此,为了防止一些重大风险给企业带来灾难性损失,牺牲一定程度的效率是控制风险所必须付出的成本。现实中经常碰到的情形是,在企业推行新的内部控制制度,往往会涉及到原有利益格局的打破和调整,这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行,实际是由于个人或部门利益受到影响。因为内部控制制度不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为企业的领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。

十、说一套,做一套,制度放空炮。

 


老板如何放权


一、以开放的心态,接纳员工的智慧

   一个老板招一群铁心的追随者,可这老板既不信任他,又不培养他们,更不放权给他们,但老板严禁职业外创业,还不放弃他们,这样混混沌沌的运行了十几年,结果企业不但没有发展壮大,反而有能力的人都走了,没能力的人被开掉了。老板仍然孤独的一个人在战斗。 这是多么大的浪费,最终既浪费企业的资源,又浪费人才的时间,害人又害己啊!因此,老板用人的策略,要么放弃下属,要么培养下属、信任下属。二者必择其一。

   因为经营企业是团队运作,老板个人能力再强,也抵不过一个卓越的团队运作。所以老板千万别做个人英雄,你需要花时间、精力和金钱培养你的下属。只有你的下属强大,企业才能变得强大。

要知道,下属之所以没有能力,之所以不愿意承担责任,老板要负主要责任。因为他们今天的结局都是你老板造成的。


二、搭建合适的管理组织,去“分工”

   有了追随老板的人,就要人尽其用,首先,要设计组织结构方案,搭建符合企业现阶段发展的组织架构。保证无业务漏项情况下,完成组织结构图,要对部门、关键岗位的职责定义。这一阶段除了对人才的选用,更重要的是设置好职责,保证企业有活力运转,事事有人管,人人有事管。

   通常情况下,这一阶段企业应选聘专业人员或机构做组织变革,规范的输出文件名称是《组织管理手册》,包括整体组织架构、部门细化结构、关键岗位描述和业绩指标。这样就摆脱了“老板抢事干下属就没事干”,老板暂时可以轻松一下,去喝喝茶谈谈发展、处处关系。因为你现在不是一个人在战斗。但问题马上就会来了,面临就“一放就乱”的窘境。


三、选择合适的管控方式,去“分权”

   老板刚开始放权肯定是集权化管理模式,除非你实现了多元化发展,那再考虑战略型管控。权力收放的原则是:

(1)战略、投资和高层人事任免决策权责集中,日常经营管理类决策权责下放;

(2)财务、信息、文化权责集中,其他经营管理权责下放:

(3)履行期限长的权责集中,履行期限短或需要快速决策的权责下放;

(4)能共享公司资源、有利降低成本且能提高效率的权责集中,不能共享公司资源、具有行业特点的权责下放;

(5)计划外事项处理权责集中,计划内事项处理权责下放。

管控方式的设计,首先需要管理层在各项专业管理方面做出各自权责范围定义,如审核、审批、审定、签批、决定等。输出《公司权责体系手册》文件,包括人资、财务、采购、销售、质量安全等权责细化分配。


四、运用评价和激励的方法工具,去“分钱”

   如果想公平、公正的分钱,首先老板要问一问,是否他们每人都有目标,你对目标做要求了吗?如果做了,他们实现了吗,实现的过程是否有效监督?对实现的结果是否做出公允评价?评价后他们的奖金是否能与之匹配?

   企业的存在的目标是绩效,下属工作的目的是达成绩效。缺少可参考的评估依据,没了绩效目标,老板!你怎么看?是否在喝茶时应该考虑下企业的三五年规划?是否应该给经营、财务、信息、人资做一个三五年的子规划?是否应该让每个部门做一个下一年度的工作计划?是否让人资、财务对业务计划做监控考评?这一阶段,老板负责找专业的人,去建立的可供参考的《全面预算体系》、《绩效管理体系》。


五、学会用系统流程的方面控制过程,去“收口”

   老板们放心放权的前提就是建设公司规范的运作体系,通过有效的内部控制系统来保障权力行使的有效性。公司的内部控制系统?有点太高大上了吧?回头再看下前面的书名号的地方,也许就不这么认为了!

企业内部控制体系是由企业各种经营管理组织、管理制度和流程、经营管理人员岗位责任制、经营管理报告制度、内部审计制度以及电子监控制度组成的经营管理体系,同时还包括投资、财务、人事和行政管理体系中的制约机制。

   对于刚刚完成创业阶段的私营企业来讲,管理不规范是正常状态,必须着眼实际、分步进行。首先就是建立岗位责任制,保证权力使用者要承担权力滥用责任,企业保留追究责任的可能;其次是从最关键的管理工作开始,通过绩效、预算来加强管理过程的透明化,逐步建立企业内部的过程监督机制;第三是严格执行公司内部建立起来的制度体系,维护权威性。完善的内部控制体系是一项系统工程,不可能一蹴而就!


从7w+1h谈内部控制制度

内部控制本来就千头万绪,加上又出了一个基本规范及18项具体准则,要谈的内容很多,细想了下,大致可以从7个W,1个H着手来谈。


01、WHY(为什么要完善内控?)


有人问了,我们原来没有内控不也做得蛮好?错了,只要有组织,就不可能没有内控的,无非是控制的全面点还是片面点、严格点还是马虎点、精细点还是粗旷的区别。皮包公司的老板一天到晚包不离手,包中就是几个章,这也是内控的一种,对他而言管住了章就保住了公司。


有人会说,我们现有的内控不是蛮好吗?还要换,麻烦死了。说得有道理,原来的是不错,可公司在不断的发展、变化中,就象我们刚开始时,可以摸着石头过河,过了段时间,过河的人多了,石头不够摸的了,怎么过河?总不可能让人摸着鱼过河吧?这时,我们是不是需要考虑建个桥,不要再趟水了?企业是动态发展的,管理也是动态的,那么这个相匹配的内控却被要求静止不变,这就有点强人所难了。


一句话内控需要与时俱进。


02、WHO(内控针对的对象)


内控给人的感觉就是管人,一上来就摆出一副不相信的样子,你看强调不相容职务分离,如出纳不能管全部银行印鉴,还不能拿对帐单,编银行存款余额调节表,怕我贪污?怕出问题这个说得对,在西方新教伦理“人生而有罪,应罪而平等,必须通过创造财富这苦来赎罪,通过利益分配机制来享受财富”的思想下发展起来的市场经济,强调的是以理性的制度来扼制人的恶。注意这里强调的是人,是普遍的人,而不是个人,所以内控本身不针对任何个人,针对的是部门内的岗位、部门内部及其他部门间的业务流程。


一个好的内控,最终实现的境界是,在不信任的基础上设计内控,完满地运行这种内控,以达到最大的信任度。看上去有点矛盾,仔细想想看,是否如此?从辩证法上说就是对立统一嘛。


03、WHEN(完成内控的时间)


前面说过,内控是一个动态发展的管理,所以主要企业存续着,完成内控的时间点只能说,没有最终,只有永远。


但是完善内控是有时间点的,所谓的完善,分二个层面,第一个层面就是初始有了内控的载体,通俗点说就是有了成套的规章制度,更进步点也有了业务流程图。那这个初始点在那儿?没有具体的时间点,只可以说有个大致的时间段,这个阶段最理想的是在企业渡过创业期,进入成长期之际。


第二个层面就是逐步修正、完善期。内控要根据企业的发展动起来,做是这个动决不是象我们城市的大马路,想到埋煤气管了挖开来,刚填好,又想到污水管还没排,再开挖。不能把制度当儿戏,随意变动。制度的变动要根据情况,小的非原则性的修改,可以定期的先以补丁的形式修订,经过一段时间运行后,对运行的情况进行评估,再决定修改的程度,是重修还是修订。不管哪种方式,都不能忘掉制度的连贯性,不能想着推翻重来,一步到位,欲速则不达,要考虑循序渐进的进步。


04、WHERE(内控执行层面)


内控是控制谁的?只是控制内部的员工?当然不是,内控的定义是:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”控制目标是什么?有五个,一要合法合规的生产经营(不要做象三聚氢安里兑奶粉的傻事),二要保证企业资产安全(不要被人侵占挪用),三要不做假帐,四要保证提高经营效率与效益(防止潜在的损失就是效益),五是保证实现企业的发展战略。你看,这五条不是一网打尽了企业的全体人员?


注意到没有,内控定义的前三个主体,都是管理层,所以执行内控时,就要象当年红军指挥员一样大手一挥地说:“同志们,跟我冲”,而不能象电影中的国军指挥员那样说:“弟兄们,给我冲。”如果那样,后果可想而知了。


05、WHAT(内控的范围具体是什么?)


说了半天,内控要做些什么呢?总不能老让人因为身在内控中而不识内控真面目吧?


简单的话,内控的大致范围就是18项具体指引,可分成三类,一是内部环境类,有企业战略、组织架构、人力资源、社会责任、企业文化这五项。二是控制活动类,有资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告这九项,三是控制手段类,有全面预算、合同管理、内部信息传递、信息系统这四项。


除上述18项外,你也可以想想,内控还有没有其他的内容?抢答开始:“1、2、3”。“有的”。回答正确,18项指引只是主要的,还有一些相对次要的方面的没写具体指引而已,比如说,公章管理、档案管理等等。


一句话,企业方方面面的管理,特别是涉及人、物、财的都应有合理的管控方式。


06、WHOM(谁的内控?)


前面我们提到内控是面向全体员工的,但在具体的某一项内控运作时,则是只针对与内控流程相关地部分人,那么其他的人呢?从理论上讲,应该只要有工作岗位就会有相应地内控存在,而且这些内控应该是不重复,不缺位,不交叉的。


这样就会产生一个问题,会不会有哪些跟我有关的内控,那些是跟我没关的内控,是不是跟我没关的内控我可以不关心?这个问题是存在,对一般员工而言,不了解跟工作不相关的内控,情有可愿,不在其位,不谋其政。但在其位的,特别是那些有草拟内控制度权的人,则不能不关心。为什么?一是要考虑制度与制度之间的相配性,在立规矩的原理上应该是一脉相承,不能各为其政,二是制度间的衔接与关联性,制度可能是不同部门间各自独立的,但有可能处于一个流程的上下流,不能出现上游截水,让下游渴死的局面,那是要打群架的,不利于河蟹的局面。


总而言之,就员工而言,可以分我的内控,他的内控;而对管理层来说,那都是我的内控,要有一盘棋的全局观念。


07、WHICH(内控负责的部门)


内控是各部门分别执行的,常规的内控制度也是各部门分别或几个部门汇同草拟的,如何避免内控设计上的重复或缺失?这就需要一个牵头的领导或部门来具体负责综合协调工作。这个部门一般由审计部或财务部负责。不但要牵头做,还要负责对执行过程的意见反馈处理、定期对内控的可行性、有效性进行评价。虽然我们说内控的对象是岗位与流程,但具体操作的必竟还是一个个活生生的个人,所以在内控的执行监管、事后评介中难免涉及人的因素,这里要特别注意的是要尽量对事不对人。要有沟通的技巧,以服务和咨询的姿态来操作,就会大大减轻遇到的阻力。


08、HOW(如何做)


内控最大忌讳是,内控制度都成了TXT文档,而不是EXE程序。内控的具体操作,可分成事前、事中、事后三部曲。


事前就是建全内部环境,明确各岗位的职权利。对企业面临的内、外经营状况进行风险评估,判断自己的风险承受度后,采取相应地对策。


事中是就是各项控制活动,及为妥善控制所必须的有效的信息沟通。这些控制活动的好坏就是执行力的体现。事后则是内部监督评价。


不相容岗位


不相容岗位:所谓不相容岗位,是指在公司经营业务处理过程中,将全部工作集中由一人办理容易产生漏洞和弊端的两项或两项以上的职务。

不相容岗位分离控制,概括而言,即公司经营业务的审批与执行要分离,执行与记录工作、监督工作要分离,资产的保管与使用、记录要分离。

不相容岗位分离的核心是内部牵制。

《平衡计分卡与公司风险内控经典案例解析》秦杨勇 著 2014.4

不相容岗位汇总

一、货币资金业务的不相容岗位至少应当包括:

(一)货币资金支付的审批与执行;

(二)货币资金的保管与盘点清查;

(三)货币资金的会计记录与审计监督。

出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作。


二、企业采购与付款业务的不相容岗位至少包括:

(一)请购与审批;

(二)询价与确定供应商;

(三)采购合同的订立与审核;

(四)采购、验收与相关会计记录;

(五)付款的申请、审批与执行。


三、存货业务的不相容岗位至少包括:

(一)存货的请购与审批,审批与执行;

(二)存货的采购与验收、付款;

(三)存货的保管与相关会计记录;

(四)存货发出的申请与审批,申请与会计记录;

(五)存货处置的申请与审批,申请与会计记录。


四、对外投资不相容岗位至少应当包括:

(一)对外投资项目的可行性研究与评估;

(二)对外投资的决策与执行;

(三)对外投资处置的审批与执行;

(四)对外投资绩效评估与执行。


五、工程项目业务不相容岗位一般包括:

(一)项目建议、可行性研究与项目决策;

(二)概预算编制与审核;

(三)项目决策与项目实施;

(四)项目实施与价款支付;

(五)项目实施与项目验收;

(六)竣工决算与竣工决算审计


六、固定资产业务不相容岗位至少包括:

(一)固定资产投资预算的编制与审批,审批与执行;

(二)固定资产采购、验收与款项支付;

(三)固定资产投保的申请与审批;

(四)固定资产处置的申请与审批,审批与执行;

(五)固定资产取得与处置业务的执行与相关会计记录。


七、销售与收款不相容岗位至少应当包括:

(一)客户信用调查评估与销售合同的审批签订;

(二)合同的谈判与签订;

(三)销售合同的审批、签订与办理发货;

(四)销售货款的确认、回收与相关会计记录;

(五)销售退回货品的验收、处置与相关会计记录;

(六)销售业务经办(编制销售发票通知单)与发票开具、管理;

(七)坏账准备的计提与审批;坏账的核销与审批。

(八)应收票据的贴现业务联系的审批与经办(必须经过审批);

——特别注意:超过单位既定销售政策和信用政策规定范围的特殊销售交易,企业应当进行集体决策(而不是由经理审批)


八、筹资业务的不相容岗位至少包括:

(一)筹资方案的拟订与决策;

(二)筹资合同或协议的审批与订立;

(三)与筹资有关的各种款项偿付的审批与执行;

(四)筹资业务的执行与相关会计记录。


九、成本费用业务的不相容岗位至少包括:

(一)成本费用定额、预算的编制与审批;

(二)成本费用支出与审批;

(三)成本费用支出与相关会计记录。


十、担保业务不相容岗位至少包括:

(一)担保业务的评估与审批;

(二)担保业务的审批与执行;

(三)担保业务的执行和核对;

职位体系设计攻略


一、职位体系是什么?

  最简单的说法,就是把职位进行分层、分类。这就引出了一系列职位体系的概念:职系、职群、职位序列、职位子序列、岗位、职位、职衔……五花八门、花样繁多。我们先对这些概念做一个简单的解释。

  先看分类:

  职门:职业分类中最大的分类形式,称为职门或职类,它是根据职业性质对职位进行的最初步的划分,是从横向对职位进行的最大的划分,《中华人民共和国职业分类大典》中可以对应称为职业大类。

  职组(职群或职业中类):又被称为职群,是在职门里面再进行分类。职组是由工作性质大致相同的职位汇集而成的,又可以解释为是由业务性质相同的若干职系构成的,《中华人民共和国职业分类大典》中可以对应称为职业中类。实际上它是介于职门和职系中间的一个分类。职组并不是职位分类结构中不可缺少的因素,日本就没职组一说。

  职系(职位序列):是在职组范围内,就职务种类相似而工作复杂程度、责任轻重各不相同的职位进行汇集而成的。一般来说,一个职系就是一个专业、一个职业或者一个工种。职系是职位分类制度中的一个重要概念。它是根据工作的性质对职位所作的最后一次纵向划分,能够比较真实地显示出各个职位的工作性质。以文书职业为例,书记、速记、文书虽然有高低不同的级别,但因工作性质相似,可统称为文书职系。

  职位子序列:一个专业类别的分支,就是对职位序列的进一步细分,如薪酬考核、招聘培训。

  由于这些概念都翻译自国外,而各家的译法又有一些不同,所以到今天为止,职位体系从概念到内涵在运用上都有些混乱。但总体而言,我们可以理解的是,无论叫什么名字,以上都是对职业的横向分类,只是粗细不同。

  再看分层,见下图示例:


从纵向上分层,不仅是职等不同,其层级均有各自的角色定义,例如,在上图的示例中,从下往上的层级角色分别是支持流程、执行流程、管理流程、执行战略、建立愿景。层级角色既是层级价值的体现,更是指导职位设计的重要依据——职位层级要与其职位价值相匹配。

  最后,结合着以上对“分类、分层”的理解,我们来总结三个基本概念:

  岗位:对主要职责的归纳,并不包含层级的定位。如薪酬管理岗即意味着该岗位主要职责是薪酬管理工作。

  职衔:是对职位层级的统一称呼,表明层级的高低。一般而言,不同类别的职位,职衔名称不同。如管理类职衔从下往上可以分别叫主管、经理、高级经理,而专业类职衔从下往上则可以分别叫助理、专员、资深专员、专家。在不同类型的企业中,对职衔的叫法往往各不相同,可以简单地分为国企体系(常用总经理、副总、处长、科长、股长等职衔)、欧美外企体系(常用总裁、总监、高级经理、经理、主管等职衔)、日台体系(常用课长、系长、组长、线长等职衔)等多种体系。

  职位:是对职责与职级的规定。一般而言,职位名称=岗位名称+职衔。对于特殊职位可以有所不同,尤其是一些约定俗成的职位名称,例如司机、主值(火电厂运营人员)等。

  二、如何设计职位体系?

  到底是先有“职位”,还是先有“体系”?虽然在实际设计中这两者密不可分,但以哪一个为先导,其设计思路有本质的不同。

  先有“职位”,后有“体系”

  这是最传统的方式。职位根据部门需要而定,职位职责是对部门职责的分解。在建立职位体系时,一定是首先明确公司组织结构;在确定“部门”的基础上,再设计部门内部的职位设置;在此基础上,撰写职位说明书,建立职等架构,设计薪酬体系、绩效体系等。

  这种方法在操作上较为简单,“部门需要什么职位就设计什么职位”。 但这种做法最直接的弊端就是:职位是死的,部门一撤并,职位就立足不稳。同时,组织中各个职位之间的关系是模糊的,员工的发展路径是不清晰的,以此建立起的所谓的职位体系,“体系性”其实并不强,以此体系为基础建立的各类人力资源管理措施也自然是“将就”。

  这种方法一般适用于小型组织,操作简单、按“需”定制。

  先有“体系”,后有“职位”

  先将组织中的各项工作内容划分为若干职位序列,如管理、职能、业务、销售、生产等,有必要的再在序列下细分子序列。最后以这些序列或子序列为基础,划分不同层级,而所谓职位,就是由其所在“序列”与“层级”共同确定。这种方法的特点在于打破了部门界线,在设计职位时以满足组织的需要为根本。其优点不言而喻,在组织发展过程中,部门可能经常发生撤并变更,而职位可以保持相对稳定。同时,职位设计有了统一的标准与原则,体系性更强。

  在实际操作中,又有两种差异较大的方法:

  方法一:“价值链”设计

  下图即是按价值链来分,是迈克。波特的分法:

按“价值链”分,实质上是从“事”的维度来分,比如研发、采购、生产、营销、服务这样的业务链条,或者行政后勤、信息技术、人力资源、财务会计这样的职能模块。

  方法二:“职位族”设计

  职位族是对具有相似工作性质和任职要求的一类职位的通称,如“技术族”、“领导族”等。在职位族的基础上还可以细分出“职位类”。在职位族或类的基础上,再对同一职位族从纵向分层,体现同类性质工作的纵向差异。如下图的示例中,职能管理族可分为六个层级,各层级的角色定义各有不同,按照能力要求高低,从下往上分别是辅助工作者、初级工作者、独立工作者、专业骨干、专业带头人、职能专家。

  下图示例为某企业职位族设计成果:


按“相似工作性质和任职要求”来划分职位类别,也是以业务流程为基础,但与“按价值链”划分职位类别的实质区别在于,“职位族”方法本质上是对“人”进行分类,是以对人的不同的能力要求与工作性质差异为核心分类依据的,其分类方式并不追求与“价值链”的一一对应。

  以上两个分法各具特点,有时,两种分法的区别并不明显。但是笔者认为,在进行人力资源各项管理制度的设计时,以“职位族”的思想去划分,即更关注“人”的差异,在进行各类制度设计时更具优势。例如,人力资源管理与财务管理虽说属于不同的职群,但从事这两类职群的人可以同属于“职能管理族”,他们的激励特点是相似的,因此,这两类职群的人只需要适用“职能管理族”的激励方案即可,比如薪酬结构、考核策略。但是,如果以职群来分,则会有分得过细的缺陷——难道你准备为人力资源管理职群、财务管理职群等等各个职群的人,都单独设计一套激励方案?

  以“价值链”方法划分建立职位体系的缺点是显而易见的,所以,就有了一种折中的方式——以“价值链”划分方法为基础,再用“职位族”的思想对职位类别进行归类。实际上,某外资人力资源咨询公司的标准化职位体系设计工具,正是运用了“职群+MPAO”两种方式来构建职位体系,其“职群”即是以“价值链”为基础划分职位,而“MPAO”即是以类似于“职位族”的思想对职位进行分类,M为管理类,P为专业类,A为行政类,O为操作类。在该体系中,一个职位既属于某个职群,又属于MPAO中的某类。

  三、如何选择设计方法?

  对于快速变化的中大型多元化集团而言,由于职位众多且新的职位不断出现,职位族方法的运用也许是必不可少的。例如,对于某集团而言,资深或首席销售经理可能与某些部门管理者处于相同的职等上,但其角色却并不一定都是“管理战略”。再如,即便精心设计出的适用所有职位的层级划分方式与层级角色,也可能随着新职位的出现变得不再适用。如电信集团的农村支局长这一职位,从职位本身看起来,是管理类人员,但由于农村支局长实质上是从区域销售人员转型而来,如果把农局长对应到管理类人员中去,则即便是M1(管理类人员中的起步层级)也偏高了。这样的情况日益普遍,怎么办?

  也就是说,大型集团往往很难采用一套全公司统一的“层级角色”,相反,采用职位族的方法,可以分别界定不同职位族各层级的角色定义,从而指导职位设计,而不必强求一张“统一的”职位体系表。而且,对于大型多元化集团而言,既便是采用上文所说的某外资公司的MPAO分类方法,往往也面临着分类过粗的问题,指导性并不强,往往需要企业“量身定做”适合自己的职位族分类方式。

  总结前文所述,作一归纳:越是大型多元化集团,越难强求“统一”,运用职位族方法,建立贴合企业实际的“个性化”职位体系往往非常必要;对于职位种类并不多的一般中型企业而言,无论是按“价值链”的方式还是“职位族”的方式,只要是采用先有“体系”后有“职位”的设计思路,不难建立起结构合理、关系清晰的职位体系;对于小企业而言,先有“职位”后搭“体系”的方式,也是一种简便易行的设计选择。


企业不同发展阶段内部控制管理策略分析

企业不同发展阶段内部控制管理策略分析

原创 2016-11-11 颜世伟 企业内控建设

在该四个阶段,企业的发展状况各不相同,本文从战略目标、经营状况、内部管理、财务状况、员工五个方面对处于四个不同阶段企业的基本特征,如下表所示:


(一)初创阶段,人文管理

经营者行使主要的企业内部控制管理职能,不必成立专门部门。处于初创阶企业人数少、规模小、控制跨度宽、正规化程度较低,是一种扁平式组织结构形式,通常仅有2—3个垂直层次,决策权主要集中在经营者手上,组织结构非常简单。这种简单的组织结构简便易行、反应敏捷、费用低廉、责任明确。初创阶段的企业宜维持这种简单的组织结构,不必设立正式的企业内部控制管理部门,也没有必要聘用专职的企业内部控制管理人员,企业内部控制管理职能可由经营者来行使。吸引关键人才,刺激创业。实施低于市场平均水平的薪酬策略,采取股份奖励等激励措施,绩效考核以结果为导向。

创立初期,在生存还是死亡的环境压力下,经营者是无法主动地去系统性考虑绩效管理的。即使设定了下一年度的绩效指标,通常也是以销售额、利润、产值等财务指标为主,根本无法按照教科书上所讲述的“平衡积分卡”来从若干方面确定所谓的战略指标。这个阶段的绩效管理,主要关注的是结果,对过程不太注意,因为只有良好的结果才能使企业生存下去。


(二)成长阶段,制度管理

在增长阶段,随着企业规模的不断扩大,企业内部控制管理事务会越来越多,企业内部控制管理职能也变得更为复杂并且更为重要,需要设立独立的企业内部控制管理部门来履行各种企业内部控制管理职能,这些职能包括授权管理、制度规范、战略与文化管理、人力资源管理和标准化体系建立等等。此阶段,企业内部控制管理部门需要在企业内部逐步建立科学的企业内部控制管理体系。

在初步建立内部管控体系后,着手建立绩效评估制度和科学的人员晋升制度,采取现金奖励与股份奖励相结合的激励方式。

成长期企业,绩效考评制度开始逐步建立健全,不仅仅关注结果,开始将考评分为业绩、技能、态度等方面进行综合考评。此外也开始尝试一些考评工具,如KPI指标考评等,希望能通过考评提高企业经营效果,以促进企业的发展。

随着企业的发展,企业内出现了很多管理岗位,这就要求建立科学的人员晋升制度,否则会出现“老员工”“新员工”之争、功劳与苦劳之争等问题,利益分配一旦不均就可能极大的影响到企业的发展。员工晋升要有相应的岗位标准,要有晋升考评制度,还要有入职培训课程等一系列晋升制度的保障。

(三)成熟阶段,精细管理

处于成熟阶段的企业,企业规模较大、人员多,企业管理部门承担的事务也多,此时要进一步提高企业内部控制管理的水平,增强企业内部控制管理的有效性,企业内部控制管理部门的机构设置就需要更加专门化,可在设置一些分支机构和部门,让这些机构和部门分别完成战略规划、绩效管控、内控持续改进和内部审计等方面的事务。


(四)衰退阶段,稳步调整

衰退期企业内部旧势力庞大,大部分员工已经习惯原有的系统;组织机构运行缓慢;制度繁多而执行力不足。笔者所处企业正处于衰退期,没有选择等待死亡,而是选择了变革,也采取了一些措施:第一,战略目标调整,寻找新的发展机会,并让重要的反对者参与目标制订;第二,任用支持变革的人员;第三,宣导新的经营理念;第四,减少老业务的投入,增加新业务的支出。

基于以上变化,企业内部控制管理策略遵循循序渐进的原则做出相应的调整:

稳定员工心态,调整组织架构。一方面减少老业务的投入,逐步削减老业务在组织中的比重;一方面,增加新业务的支出,扩展新业务的组织中的比重;此外,简化流程手续,减少管理层级,建立扁平化组织架构,以提高企业运营效率。

开展培训,对新理念进行普及性的宣导。这一点是相当重要的,既可以减少变革阻力,又能够提高员工的认识水平从而促进新业务的发展。绩效考评、薪酬管理都要为新业务的发展服务。比如考评中注重新业务业绩,对待新业务的态度;在薪酬管理中也注意新旧两方面业务的兼顾等等。


浅谈公立医院内部控制的四个难点及对策

内部控制是公立医院内部管理的重要环节,能为医院管理者和有关部门提供真实可靠的信息,便于做出医院发展和管理的决策,充分利用和有效配置医院的各项经济资源,更好地实现医院综合管理目标,对提高医院运营水平、增强医院在医疗市场中的竞争力具有重要意义。从近几年内审实践来看,公立医院内控制度存在比较薄弱,无章可循;虽然建立了内部控制制度,也只是一些书面的文件,并未完全遵照执行。  

一、管理层对内部会计控制认识不足。医院管理层普遍认为业务收入的增长、医疗技术的提高、高端人才的引进、先进设备的购置等才是常抓的工作,从而忽视了内部会计控制是业务运行过程中监督制约的重要机制,并以为内部控制是物价、稽核、审计部门的事,与会计无关或关系不大,这些都是导致内部会计控制措施难以落实和发挥应有效用的重要原因。

二、内部控制制度不够完善:无章可循和有章不循,执行不力。就医院本身而言,由于行业及历史的局限性,内部会计控制的实践尚处于探索阶段,对内部控制的完整性、合理性及有效性缺乏一个操作性强的标准体系,内控制度也仅仅散见于医院的相关文件中,还没有真正形成内部控制制度体系。虽然建立了一些内部会计控制制度,但不够科学、严谨,仅仅把一些业务规章制度当作是内部会计控制制度,其职责划分、奖惩标准不明确,稽核范围过于狭窄,影响了执行的效果。内部控制制度重在执行,而实际上医院仅仅出于应付上级检查,存在形式主义问题;部门负责人对内部会计控制重视不够,加上执行人员业务素质不高,造成内控制度执行不力,遇到具体问题时随便处理,流于形式。诸如此类的问题在国内很多医院普遍存在,导致医院内部会计控制失控,甚至发生经济犯罪案件,造成国有资产的流失,损害了国家及广大职工的利益。

三、内部会计控制人员缺乏应有的素质。人员素质是决定内部会计控制制度执行效果的关键,目前医院缺乏经过正规培训的内部控制人员,不能达到实施内部控制的要求,对内部控制的程序或措施执行不力,没有发挥应有的作用,在一定程度上影响了内控制度的落实。

四、内部会计控制的监管不力。医院未设立专门的机构或人员对内部会计控制执行情况进行监督检查,内部会计控制出现问题得不到及时发现和纠正,从而直接影响了医院内部会计控制的落实,对医院的健康发展不利。


针对上述问题,结合内部审计实践,可以从以下几个方面:

 1、建立科学的医院内部会计控制体系。根据医院实际情况建立与实施内部控制,遵循全面性、重要性、制衡性、适应性以及成本效益原则。内控体系制度的制定尽量做到具体、完善、适用、经济、高效,并且要互相牵制,落实到人。只有制定好制度才能有行动的依据,内控体系建立以物价、审计、纪检牵头,财务科、招标办为基础,各科室、部门配合实施,做到事前、事中、事后监控,以降低财务风险,促进医院发展战略的实现。如采购业务控制(本项工作由分管招标工作的院领导牵头,招标办、后勤服务中心、药学部、信息资源部、监审处、财经处分别负责,其他相关部门配合)各部门按照各自职责范围,负责建立健全采购预算与计划管理、采购活动管理、验收管理等内部管理制度。明确相关岗位的职责权限,确保采购需求制定与内部审批、招标文件准备与复核、合同签订与验收、验收与保管等不相容岗位相互分离。强化采购过程监管,重点加强采购实施、供应商选择、出入库管理等环节的内部控制。招标办要依法明确公开招标、邀请招标、询价采购或单一来源采购等不同方式采购的实施范围和条件,加强标书制定、招标实施等环节的内部控制。


2、强化内部审计和外部监督。内部审计是内部控制制度的重要组成部分,是对内部控制的检查和再控制。医院设立审计部门(监审处),配备高素质的专业审计人员通过对医院内部各部门的经营情况、财务收支、业务往来以及经济责任等经济活动的审计做出客观、公正的审计结论意见,起到评价和见证的作用,同时也激励单位各部门提高效益。定期或不定期的审计来评价内部会计控制体系的设计是否合理、执行是否规范、找出优缺点,提出改进建议,及时纠正控制运行中的偏差。由此可见,医院内部审计在医院内部会计控制中发挥了重要作用,因此强化内部控制必须建立、健全内部审计制度。该院将内部审计的重点放在事前的防范和控制上,适当兼顾事中的检查和事后的监督,发现违规现象及时上报和处理。如对药品和一次性耗材的采购,审计部门在合同招标阶段就介入:对采购计划、供应商选择、价格谈判、合同条款、授权审批等进行全面的监督,会同招标办、后勤中心配送部、财务科共同把关,确保采购过程规范,并对合同执行过程情况进行跟踪、发现问题及时提出整改意见。


 3、加强医院信息化建设。医院信息化建设已经成为医院发展的关键,通过将信息化系统与内部会计控制系统进行关联,通过职能权限密码、职能权限认证等方式,使不同权限的人员对系统进行不同的操作。通过信息化会计内部控制系统的建立,使医院内部经济活动实时记录在信息系统,避免了传统手工录入带来的弊端。通过信息化会计内部控制系统还可将经济活动信息全面展露在所有人员面前,避免了职务侵占等情况的发展。医院管理人员以及财务第一责任人也通过会计内部控制系统及时掌握和了解医院的经济活动动态,为及时调整工作、调整经营方针等提供了真实的财务信息与资讯。


 4、建立财务风险御警机制。为了有效防范可能发生的财务风险,医院必须从长远利益着眼,建立和健全财务风险防御机制。主要措施是:(1)建立风险转移机制,即将一定的财务风险转移给他人承担的方法,如积极参加社会保险;(2)风险应对决策机制,降低财务风险,如建立风险基金,即在损失发生前以预提方式建立用于防范风险损失的专项准备金,来应对未知的赔偿。


 5、提高会计人员素质,加强会计人员队伍建设。首先要严把用人关,不具备会计专业素质的人员坚决不能从事财务工作。其次医院负责人应鼓励和支持在岗人员的继续教育:学习和掌握新知识,提高业务素质。第三是加强会计人员职业道德教育,使会计人员养成自觉遵守有关法律法规的职业习惯,使内控工作能真正落实到人。财务人员素质是实行内部控制的关键,要建立以提高职工素质和敬业精神为核心的人力资源管理制度,通过多层次、多渠道的培训,创造公平、择优的用人环境,建立健全有利于优秀人才脱颖而出的用人机制。


十种常见的内部控制问题

良好的内控制度,能够有效约束企业的主要经济行为和关键岗位人员,确保企业经营和管理运行良好。笔者结合多年的财务管理和中介审计工作经验,总结了企业在内控设计时面临的十个突出问题。

1.设计目标不集中

企业设计内控制度时,如果忽视目标定位,可能会出现设计目标不集中、思路不清晰问题:一是关注内控的具体目标,忽视内控制度设计应当服务于企业发展的战略目标;二是战略目标调整、业务模式改变后,内控程序不能跟上企业变革的步伐;三是内控制度侧重查舞弊、防风险,忽视财务报告和管理信息的真实、可靠和完整,表现为过程控制和结果控制不平衡,高级管理人员容忍甚至授意、指使会计造假,为虚构业绩、隐瞒利润或偷逃税款而放弃内控。

2.关键控制点偏离

企业内控制度的设计,在层次上应涵盖董事会、管理层和全体员工,在对象上应涉及各项业务和管理活动,在流程上应渗透到决策、执行、监督、反馈等各个环节。而选准关键控制点是制定内控制度的核心,只有抓住关键控制点,才能有效避免内控真空。比如,销售收款环节的关键控制点之一是销售人员不得直接收取销货款。有的企业为方便工作,在一定条件下允许销售人员直接收取销货款,这样的内控制度为无良人员截留、挪用甚至贪污货款提供了可能。

3.成本效益失衡

内控制度设计需讲求控制效率和效果,合理权衡成本和效益的关系,避免两个极端:一是成本节省偏好,即使对重要业务与事项、高风险业务领域,也不舍得投入必要的控制成本;二是苛求控制效益,设计的控制程序繁琐,管理刚性有余但缺少必要的变通,执行难度大、效率差。把握好成本效益原则,需要记住:内控不在繁简,管用就行。

4.照搬照抄缺个性

企业之间因所有制形式、组织形式、行业特点、经营模式、业务规模、企业文化等方面的差别,在实施内控时也有不同的要求。借鉴别人的经验本无可厚非,假如只是简单照抄,千人一面,内控制度不能充分体现个性化差异,那只能算是充当门面,很难具有可操作性。

5.企业发展难适应

有的企业内控制度沿袭传统,一朝制定多年不变,很难适应企业的发展,使得内控制度不能随着外部环境的变化、经营业务的调整和创新、管理要求的提高而改进和完善,使得企业在新情况、新问题面前没有应对措施。为此,企业内控制度也要与时俱进。

6.部门之间少协同

有的企业把内部控制等同于内部会计控制,认为内控是财务部门监督其他部门的职责,往往形成财务部门单枪匹马抓内控,却得不到其他部门协同配合和支持理解的被动局面。高级管理人员,特别是直接负责的主管人员在认识上的误区、自身能力的限制、管理上的偏好等因素,都可能使企业部门之间的内控协同效果弱化。

7.控制程序脱节

企业内控的程序应当与业务流程环环相扣,相关的控制要求应当延伸到业务的各个链条,业务链条变化后也应当有恰当的控制程序与之相适应,否则就可能出现控制程序脱节的问题。比如,有的企业在合同控制中,只关注合同评审和签订,不注重合同的执行和变更,或者虽然关注合同的执行,但跟踪控制程序只是参照初始签订的合同,不深入分析合同变更原因,不认真了解合同条款变更的内容,使得控制程序脱节。

8.信任逾越监督

企业的组织结构、岗位设置和权责分配应当科学合理,确保不同部门、岗位之间权责分明并有利于相互制约、相互监督。但习惯代替制度、信任逾越监督的问题在不少企业都有所表现,少数人拥有凌驾于内控之上的特殊权力,负责监督的部门被边缘化,不敢行使监督权。

9.制度迁就环境

内控制度设计应当以企业的工作环境为依托,不同的工作环境和人员安排,对内控的要求也不尽相同。有的企业派驻外地的经营网点不设立分公司,异地经营网点的采购、仓储、保管、销售、收款业务完全依赖同一部门的工作。随着网点的经营规模扩大,其自主经营时间越长,企业面临的风险就越大。在此经营环境下,若没有适当的内控制度安排,单独依靠内部审计和突击检查是解决不了问题的。

10.轻信管理系统

企业管理系统往往具有一定的局限性,有的企业缺乏对系统流程与内控有效性和适配性的评估,流程再造不彻底,管理系统与控制环节脱节甚至矛盾,系统更新不及时,内控工作又过分依赖管理系统,形成系统流程和控制程序两条主线的排斥效应,有可能造成管理混乱和控制程序失效。

内控是点,风控是线,内审是面

国际内部审计师协会(IIA)自1941年成立以来,内部审计得到广泛的发展;九十年代伴随着外企的进入,给中国企业翻开了内部审计新的篇章,首先在中国外企得到良好的发展,其次大量的私企集团从管控中得到较大的效益,企业内部审计得到进一步的发展,业界得到较好的评价。内部审计由于其时间短、效果保密、行业特殊性,极少对外宣传,造成许多朋友对内部审计存在不理解、存在误会、存在偏见等问题。存在对内部控制、风险管理与内部审计关系不清,经常在增值内审群里争论“大内控小内审,大内审小内控”的问题。谁是谁非,不下结论,个人认为只要对公司管理有利,谁大谁小无所谓。这里只是想从四个方面再次谈谈我的一些看法。

    一、从概念上分析

    1、内部控制。控制—指管理层、委员会及其他各方进行的、旨在加强风险管理、增在实现发定的目标的可能性的行为。

    内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

    2、风险管理。风险是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。

   风险管理是社会组织或者个人用以降低风险的消极结果的决策过程,通过风险识别风险估测、风险评,并在此基础上选择与优化组合各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失的后果,从而以最小的成本收获最大的安全保障。

    对待风险关键在于监控。

    3、内部审计。内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加 价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。

    从概念上分析,内部控制也有监督评价的内容;内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。

   二、从职能职责上分析

   内部控制与风险管理对内部审计没有监管功能,内部审计则是不断地对公司的制度流程等控制程序进行评估与评价,对风险管理效果持续地评价,对公司运营效果不断地确认,对新增业务进行咨询与判定。

   显然,我们可以从三者的职能职责上可以有大致的理解。

   三、从三者关系上分析。

   在集团内部管理而言,三者关系有一定的关系与作用是风险管控和内的基础,是风控和内审的根源根本,处在整个控制系统的前端。风险管理则处在中端,它能为内作业提供逻辑和方向,为内确定问题即是评估后的风险,确定审计方向目标提供精准定位。

   是通过确认和咨询的方式,对企业运营、内部控制、风险管理和公司治理进行评估与评价,以保证企业各项业务工作按照既定目标和标准,不偏不倚地完成公司目标。

四、从控制方式上分析

   内控、风控、内审三者是"基础一分析一评估"递进关系、因果关系。从控制方式方面总结,内部控制是事前控制,因为制度与流程是为管理而生,为防止企业管理出现问题和错漏而制订所以,它是事前预防和控制范围;

   风险管理,主要在事中进行分析评价,当然事前也可以,风险评价的基本和内容也是内部控制和制度流程,作业过程的风险就属于事中控制;就算事后分析风险也是为了事中的管控所以,个人认为风控是事中控制的范畴

   内部审计,从三关系而言,内审工作已经在前两者之后,是根据风险提示或结果,对内控相对应节点(关键控制点)进行确认,确认风险是否存在,是否产生损失,是否可化解转移,按照这个过程,内审就是事后的确认与评估,属事后控制范畴。

最后,我们的总监群子君总结内控是点,风控是线,内审是用线把点串起来组成面。

我再提炼成为:内控是点,风控是线,内审是面。


文章分类: 法人治理
分享到: