企业内控体系建设的思路和⽅法
⼀、内部控制是什么?
内部控制,是指由企业董事会(或者由企业章程规定的经理、⼚长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员⼯共同实施的、旨在合理保证实现企业基本⽬标的⼀系列控制活动。
内部控制的作⽤指内部控制的固有功能在实际⼯作中对企业的⽣产经营活动及外部社会经济活动所产
⽣的影响和效果。在社会化⼤⽣产中,内部控制作为企业⽣产经营活动的⾃我调节和⾃我制约的内在机制,处于企业中枢神经系统的重要位置。企业规模越⼤、其重要性越显著。可以说,内部控制的健全、实施与否,是单位经营成败的关键。
⼆、企业为什么难以解决内控上存在的问题?
⼀个企业在⽣存、发展的过程中,必定会⾯临各种各样的风险,如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信⽤风险和操作风险等。在风险⾯前,企业并不是⽆能为⼒的,可以通过建⽴内控体系来防范和化解风险。
但企业最⼤的风险在于对风险的⽆知和⽆视,对已知的风险企业⼀定有相应的控制措施,⽽对未知的风险,往往是防不胜防。企业常常发现不了⾃⼰存在的风险,⼀是由于外部时刻在变化的复杂环境造成的,另⼀原因是只缘⾝在此⼭中。不知道风险在哪⼉,当然不可能建⽴应对风险的控制措施了。我认识的⼀些企业家曾和我说,企业⾥⾯的⼈在做事上经常马马虎虎,在对待问题上经验主义,制度都有,但风险事件层出不穷。
三、内控体系建⽴的四⼤关键步骤
关键步骤⼀:搭框架
企业内控体系的框架搭建依据四层分法,也可以称为两横两纵——
第⼀层分法(横向):按⾏业划分,分传统制造类、化⼯类、⾦融投资类、房地产类、建筑施⼯类、物流类、商业流通类、服务类、移动互联类……;
第⼆层分法(横向):按企业所处阶段划分,培育期企业、成长期企业、成熟期企业、衰退期企业;第三层分法(纵向):按企业类型划分,分为多元化集团、专业化集团、单体企业、分⽀机构;
第四层分法(纵向):按专业分类,企业的内控包括公司层⾯的控制、业务层⾯的控制和信息层⾯的控制。公司层⾯的内控包括组织架构、⼈⼒资源、社会责任、企业⽂化;业务活动层⾯的内控包括战略、⼈⼒资源、资⾦、采购、资产、销售、研发、⼯程、担保、业务外包、财务报告、全⾯预算、合同管理;信息层⾯的内控包括内部信息传递和信息系统。
企业如果没有依据四层框架分析来搭建适合⾃⼰的内控体系,就会⾛⼊内控搭建的误区,要么是⾛形式,要么建⽴的内控体系不符合企业实际情况,就好⽐给⾃⼰穿了⼀件不合适的外套,内控变成了负担。企业网站设计思路
举例:某集团企业的内控体系,这个集团处在快速发展阶段,⽆关多元化,分⼦公司多,站在集团的⾓度,如何实现对分⼦公司的控制,管哪些不管哪些,内控与集团管控如何融合,⾯对如此复杂的集
团化企业的全⾯内控体系建设,我们建议企业的内控建设先从财务内控着⼿,开展财务内控管理体系的梳理和设计其原因有三:
⾸先,财务管理体系是整个集团运营的核⼼,解决了财务管理体系的关键⽭盾,整个集团的内部控制问题就⾄少解决了⼀半的内部控制难题。
其次,财务管理部门的经理业务⽔平较⾼,对⽣产经营的各个环节均有深度的掌握和全⾯的认识,梳理各业务活动内部控制会起到事半功倍的效果。
再者,从财务管理往企业价值链的前端延伸,可以⼀直伸向销售、采购、⽣产、物流、研发、信息系统架构等各个环节,甚⾄可以将管控要求最终延伸到⼈⼒资源管理、企业的组织架构、公司的治理层⾯等内控环境层⾯。
思路确定后,咨询项⽬组为该集团量体裁⾝,⾸先从财务集团管控⾓度做了⼀次深度培训,使集团各层⾯的负责⼈都认识到集团管控不是⼀个简单的问题,⽽是⼀个系统问题。⽽财务内控先从资⾦⼊⼿。全⾯梳理了集团资⾦管理内部银⾏模式中出现的各业务活动流程。项⽬组为集团设计了资⾦计划管理模板、编制了资⾦计划上报和资⾦平衡管理流程;理顺了结算部与⼆级公司之间内部银⾏结算业务流程上的不衔接之处,规范了结算部与融资部就银⾏业务办理过程中的业务交接程序和责任界定,重新编制了《资⾦管理制度》,包括:资⾦计划、票据、现⾦、银⾏存款、其他货币资⾦、信⽤证、
借款、融资、备⽤⾦、⽹银等各种事项的管理规定。在制度中明确各责任主体在资⾦活动中的职责与权限,强调资⾦内控的各项风险控制措施。因为着⼿准,单点突破,效果很快呈现。
关键步骤⼆:风险
中国企业所处的发展阶段差异⾮常⼤,不同成长阶段,不同规模,不同所有制的企业,企业的风险不⼀样,集团企业更多关⼼战略风险、管控风险,投资风险,资⾦风险……⽽单体企业更关⼼市场风险、⽣产风险、质量安全风险。风险不⼀样,内控上存在的缺陷表现形式不⼀样,控制的⽅式也存在很⼤的差异。
发现⼀个企业的内控缺陷不是看他有没有制度和审批,如果没有那是内控设计上的缺陷,如果有了,但企业风险仍然存在,那是执⾏缺陷,⽽企业好多的问题就是在设计上有,但执⾏上不能执⾏,或设计上没有,执⾏上往往形成了约定俗成的不成⽂规定。那么,有经验与没有经验的⼈来判断这个缺陷就会有很⼤差异了,当⼀个缺陷被认定时,设计内控体系时就会按照原定的逻辑来梳理流程,加强关键点、风险点控制,并通过制度来固化。当⼀个内控规定不能在企业的经营实践中执⾏时,简单的提出加强控制是不能解决问题的。这种情况⼀定是企业管理上存在的客观情况,有的是企业的问题,有的是⾏业的特⾊。当如果是企业的问题时,就要帮助企业解决执⾏上的问题,不是强⾏要求就可以的,这时内控与企业的业务、与企业⽣产、质量控制、与企业的激励放权措施,与企业的管控模式,
与企业的⽤⼈机制都有关。当发现⼀个控制事项不能有效执⾏时,我们会分析其是系统问题还是单项问题,如果是单项问题,解决的办法会⽐较容易,如果是系统的问题,需要提供专项的解决办法。
举例:某集团企业存在短贷长投,企业也知道这是风险,但长时间这么过来了,没有出问题,⼤家也就习以为常了。从内控要求来看,企业的流动资⾦紧张,企业存在短贷长投现象时,从内控的⾓度⼀定会指出缺陷,在制度上规定不允许短贷长投,但企业资⾦上的问题⼀时解决不了,新的风险就出现了,那么企业解决此类内控问题时,需要从根源上问题,建⽴资⾦风险分析模型和预警模型,为企业提供更多融资渠道指引,帮助设计内部资⾦平衡计划,平衡内部资⾦需求。
举例:当企业存在⼤量逾期应收账款,⽽企业在应收款管理上有严格的管理规定,销售合同也按内控要求⾛了所有审批环节,可企业的应收账款量越来越⼤,逾期款也越来越多,如果仅仅从制度上去要求加强应收款控制是不能解决问题的,如果制度上规定不允许赊销,我相信这样的内控制度是⾏不通的。怎么解决这样的内控问题,好的内控体系需要从如何建⽴客户信⽤评价体系,如何建⽴销售⼈员激励体系,如何将回款与责任⼈员薪酬绩效挂钩来解决问题。
关键三:建规则
企业存在风险,存在内控管理上的缺陷,就需要加强内控⽂化建设,通过完善⼀系列的制度、流程形成共同遵守的规则。
内控规则最重要的成果是针对内控形成的各项内控⼿册。常规的内控⼿册的构成分6⼤⼿册,包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册、内部监督分册。但⼿册的内容构成不同咨询团队提供的产品会有较⼤差异。这其中最关键差异就是适⽤。⽽适⽤与否,不是谁都能实现的。内控要解决的不仅仅是控制的问题,更多是要解决企业发展与风险控制的协同。
关键四:持续评价与提升
内部控制规范体系是⼀个企业内部控制应有的基本管理要求,在规范的基础上进⾏控制才是最有效率和效果的。内部控制改进体系是规范体系运⾏和完善的机制保障,只有通过监督改进机制,⼀个规范的体系才能很好地运⾏、完善。
内控风险和评价,内控风险评价报告有时是为满⾜上市公司信息披露⽤的。⽽企业本⾝需要定期提报⼀份真实的内控评价报告,让决策层清楚的知道企业存在哪些风险,通过控制措施降低了哪些风险,还存在哪些剩余风险。定期评价,不断改进循环,企业才能处在稳定上升的发展态势中。内控风险评价上最⼤的优势是不仅能帮助企业到风险,⽽且有对风险的评估能⼒,设计应对风险的模型,能清晰的通过风险评估⼯具指出控制的效果,并合理的评估还存在的剩余风险。所谓剩余风险是指那些未能为企业所控制的战略风险和各经营流程的流程风险。⼀般来说,剩余风险往往具有⼀定的财务后果。它可能导致企业财务报表的重⼤错报,使企业财务报表重⼤错报的风险增加,也可能导致企业管理层舞弊,严重者还可能导致企业破产。
四、专业化的内控咨询能为企业带来怎样的不同?
咨询公司在风险管理上有⾃⼰的咨询⼯具和⽅法,更重要的是为多家企业提供过类似的咨询服务,形成了完整的风险数据库,也积累了多家企业应对风险的经验和⽅法,同时因置⾝事外,能更客观公正的评价公司的管理。
内控咨询简单的来说是咨询公司抛开经验主义,从第三⽅的⾓度来帮助企业查企业管理上存在的现实的问题及潜在的风险,然后帮助企业建⽴制度化风险评估及科学风险预测、科学风险应对的体系。
内控体系所要实现的⽬标是进⾏内控体系建设的出发点和指导;⼀个完善的内控体系能实现多⽅⾯的⽬
标。但是,不同的企业在发起内控体系建设项⽬时,往往对内控体系所要实现的⽬标有侧重点或阶段性的要求;从企业咨询需求的⾓度,不同阶段,不同类型、不同状况的企业对内控的需求也不⼀样,很多咨询机构在应对客户的咨询需求时都会⾯临两种或三种咨询思路,⼀种是合规性需求的咨询思路,⼀种符合企业应⽤需求的内控制度、流程体系梳理,第三种是帮助企业建⽴真正防控风险,能落地实施的内控体系。这三者的区别主要在是否符合企业实际,是否能落地实施。企业请咨询公司做内控体系就像买⾐服,买⾐服的标准不同,最后的结果也会有很⼤的差异,是想要时尚,还是想要品牌,还是想要合适,时尚的东西好看不好⽤,品牌的东西贵还不⼀定合体,真想买到适合⾃⼰需要的⾐服,⾸先需要企业⾃⼰有鉴赏能⼒、有执⾏的能⼒,如果⾃⼰的鉴赏能⼒和执⾏⼒不够,那么⾄少能把⾃⼰的真实需求表达清楚,⽽且还要配置与需求匹配的资源(包括时间、参与实施推动的⼈,内部协调机制),量体裁⾐做出来的⾐服肯定是最合⾝的,能愿意为合适的内控体系付成本也是很关键的。
咨询在⼀定程度上能协助客户进⼀步明确其对内控体系的要求和期望,在咨询和客户之间,以及客户决策层之间形成⼀致认知。
咨询通常是⼀种思路和⽅法。给同⼀企业做同样的咨询内容,常常不同的⼈做出的解决问题的思路会有很⼤差异,客户得到的体验也会有很⼤的差异,这样的咨询,每⼀次都是在做⼀个新的项⽬,咨询师前期很⾟苦,需要收集⼤量的资料分析,阅读,形成对企业的判断。这往往需要咨询师有很丰富的咨询经验,咨询师在没有经验的情况下,在有限的服务周期内,可能为客户提供不了满⾜需求的成果。
内控咨询项⽬经过过去⼏年的实践,已经成为⼀个相对成熟的咨询产品。根据过去⼏年我们的实践经验发现该咨询产品涵盖内容⼴泛、边界与其它专项项⽬相⽐边界模糊;同时,不同的咨询机构或会计师事务所在这⼏年也都在不断的摸索寻⼀种更加有效率且客户满意的咨询⽅案,有时在同⼀个咨询项⽬中可能同时出现⼏种咨询思路,造成进度不统⼀,项⽬成果存在差异难以融合。
我们咨询团队旨在统⼀项⽬思路、规范项⽬成果⽂件,并通过所提供的咨询⼯具帮助咨询顾问快速掌握咨询⽅法,提⾼⼯作效率,保障项⽬进度,为客户在最短时间内提供适合客户需求的内控成果⽅⾯形成了⾃⼰的咨询产品。
内部控制体系的搭建和完善分集团型多元化企业的内控,集团型专业化企业的内控、单体企业的内控,不同企业在体系设计上,在内控要求上存在很⼤的差异。
四层分法基本上涵盖了企业内控涉及的⽅⽅⾯⾯。⾯对不同客户的需求时,我们随时能运⽤我们的内控咨询产品,轻松的完成前期体系的搭建。这每⼀步都会形成专项的咨询服务模块,这种模块的切分不仅满⾜客户分专项的需求,也为我们流⽔化的作业形成了可能。我们标准化的
咨询流程如下:
沿着上⾯的咨询流程,我们在每⼀模块都形成了标准化的框架。
第⼀阶段:项⽬启动阶段,这个阶段有些咨询公司是在项⽬合同约定的现场完成的,⽽我们可以做到进场前先完成了,这个时间就为客户节约了成本。
第⼆阶段:内控现状调研,我们内控咨询产品的研发也是经历⼀个过程,前期研发其实很多是在咨询现场完成的,在做每⼀个咨询项⽬时,我们开始积累⾏业特征、企业特征,梳理风险点。然后我们通过EXCEL软件功能开发内控调研问卷,问卷的优势⼀是在问题的设计上,⼆是在风险统计上能实现⾃动风险统计。⽐如第⼀次梳理⼀个企业的风险我们需要⽤⾄少⼀个⽉的时间,但第⼆次再做类似项⽬时,我们可以减少⼀半时间,第三次时可以再减少⼀半。再接类似项⽬案例时,我们运⽤调研问卷,参照分⾏业风险地图,对照企业现状情况,核对⼀遍,再进⾏穿⾏测试,就基本上可以把企业的风险点确定,形成针对该企业的风险数据库、缺陷整改建议、风险控制矩阵。
……
企业内控体系的建设不是推倒重来,⽽是结合企业的实际情况,将散布于企业管理各个⽅⾯的相关元素按照框架的要求和标准进⾏补充、修正和组合。使企业的内控体系更具系统性和科学性。内控咨询产品的形成,⼀是能保证⼯作的有序推进,⼆是对开展内部控制体系建设⼯作进⾏了整体策划,明确了建设⽬标、建设思路、建设⽅法,确定了项⽬建设阶段,并为企业提出明确的实施⼯作计划。企业
建⽴内控体系就应该真正把内控作为强化企业管理的抓⼿,紧密结合企业实际,总结管理经验,优化控制环境,不断创新,推进管理⽔平提升。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论