企業內控做得過多
⑴ 從五大要素分析企業內控存在的問題
風險可以分為三類,即可預防風險(內部風險)、策略風險和外部風險。為追求盈利而自願接受的策略風險和外部風險是無法通過制定規則來規避的,但規則卻可以協調員工的價值觀和行為方式,有效地改變或避免內部風險。內部風險,大多與企業內部的舞弊和疏忽有關,建立並執行嚴格的內部控制系統是降低此類風險的主要手段。
企業應當如何制定規則來控制內部風險?中歐國際工商學院會計學教授、EMBA學術副主任、首席財務官課程(CFO)學術主任蘇錫嘉在中歐管理論壇上,就「危機中的企業和企業中的危機」的主題,深入講解企業領導者如何在日益復雜的外部環境中加強企業內部控制,有效管理風險,提升經營業績等問題。
COSO是在美國做舞弊調查的機構,延伸到了內部控制,提出內部控制的框架。COSO最基本的內部控制框架,(是)所謂的「三目標、五要素」。三目標,一是有效率且有效果的使用公司資源,後面兩個目標是COSO加上去的——財務報表和合規。在三個目標中形成了從下到上、從基本到高端的五個要素。
一、控制環境。控制環境就是要建立企業的文化,讓正直的人能得到重用。企業文化看不見、摸不著,但帶來的影響是非常大的。做管理就是要形成企業裡面的小環境,這個小環境讓每個人都有意願把自己身上光明、陽光的一面展現出來,把自己身上負面、不體面的東西想辦法壓下去。前兩年美國有個團隊做了一個研究,對美國財富500強的大公司說請給我一張名單,去年你們公司管理團隊流失的人有多少個?列出來後告訴我有哪幾個人,公司如果有可能的話是一定想辦法留住他們的。他找這些人一個一個地去問,很多人給的理由居然是什麼?我看到辦公室里很多同事上班用公司的電話講私人的事情,或者用公司的信封寄私人的信件,我不願意和這些人成為同事。這告訴大家一個道理,公司文化最重要的作用就是把具有相同價值觀的人聚集在一起,把不認同這個價值觀的人驅離公司,久而久之,所有留在公司的人都是具有同樣價值觀的人。
公司是由人組成的,所以一個好的公司文化必須要從建立、從招到最合適的人開始。招聘員工其實風險非常大。因為環境誠信有問題,怎樣保證這些人正直、可靠,這是非常關鍵的。運作到後面,要建立各種各樣的機制、機構,董事會、審計委員會,並形成一定的經營風格、管理風格;很多時候,一把手決定了這個企業做事情是什麼風格,而且很多風格一旦形成就很難改變。在一個沒有宗教信仰的環境中,防範風險的難度比其他環境大一些。
二、風險評估。風險是將來要發生的可能,在它沒發生之前就找出來,難度很大。風險有各種各樣的分類,一是內部風險,自己做事情能解決掉的風險;二是外部風險,市場環境突變、自然災害等等;還有固有風險、剩餘風險。
風險識別的關鍵是看到每個風險發生的幾率有多大?產生的損失有多大?如果發生的損失可能非常大而且發生的概率非常大,最好的辦法是咱們不幹這個事情。我造成的風險可能非常大,但發生概率並不是太高,什麼辦法?轉移,一個辦法是買保險,(把)部分(風險)轉移給別人;還有找人合資,找人分享。如果發生概率挺大(但)損失不會太大,最典型的是產品出質量問題,對策是加強質量控制措施,減少不良頻率的發生。如果我採取措施防範,可能成本抵不上得來的好處。
你真正樹立(風險)觀念以後,你的行動變得完全不一樣。有兩家公司在日本福島地震(中)的表現,告訴你(要)有風險意識。今天晚上誰都不要回家,立刻查出來世界上有什麼東西只在日本福島地區生產的,不管跟我們公司有沒有關系,全世界去找,不管價錢統統買下來,一個晚上整個公司撲在這個(事情)上面。第二天全部做完以後,現在回去睡覺,大家等著數錢吧!說起來道德上有點惡劣,但從商業敏感度來講絕對厲害。第二個例子是上海汽車在福島地震的第二天早上9點鍾緊急召開集團辦公會議,董事長只提一個問題,福島地區生產如果不恢復,上海汽車生產可以維持多少時間?因為汽車很多配件都是日本生產的。全公司立刻報上來,6個月。第二個問題,繼續查零配件世界上有沒有可代用的東西?一項一項落實,報告上來每一樣東西世界上都有替代品。又問,能不能用?不能。因為所有汽車零部件用上去必須要有一個認證過程,認證過程多長?最短9個月。董事長說從今天開始全公司全力以赴解決認證問題,一定要在6個月之內解決認證。公司對於風險防範的事情,一有點事情立刻想到(會)受什麼影響,一天都不能耽擱。
風險還有一些思考,第一是應不應該迴避風險?你要想清楚一點,做企業本質上講就是冒險,成功的企業家都是願意冒險的,不願意冒險的人不可能會成功。但我們永遠想清楚,企業需要冒險,但必須是只冒可以承受的風險,絕對不冒不能承受的風險。比如,我說我掏1塊硬幣拿出來跟你玩,翻到正面你給我5塊錢,翻到反面你給我5塊錢,挺好玩的,玩一下。我再說,翻到正面你給我5個億,翻到反面我給你5個億?玩不玩?你這時候不會想萬一我今天賺了5個億晚上怎麼花這個錢呢?你首先想到(的是)萬一我輸了,我到哪裡拿5個億還給這傢伙?我能不能承擔起這個風險?我才做。如果成功了會有多大的好處?
企業冒險,影響生死存亡的風險是決定。中國人經常說用人不疑、疑人不用,這是非常虛偽的,因為在現代的商業社會里,疑不疑人是對他負不負責,最好的(是)我不給你任何犯錯誤的機會。所以我到每一家公司做獨董,給做風險控制、內部管理的人只給你八個字,相對獨立、合理歡迎。
我們鼓勵創新,創新是不是等同於冒險?是不是一旦創新、風險控制一定會差?越是具有創新能力的公司更多使用控制。創新和控制其實是不矛盾的,真正要創新有效,不是像無頭蒼蠅一樣到處亂投錢,這不是創新。
如果你面臨如下選擇,一種是犧牲核心員工以消除重大風險,二是保護核心員工但可能留下重大風險,你選擇哪一個?保護核心員工和消除重大風險,哪一個更重要?消除重大風險。首先把風險堵上再說,牽涉到不管什麼人以後再說,再冤枉這一刀必須斬下去。從道理上講,風險防範為上,保護核心員工為次;但真正叫你動手,那個人看上去那麼的無辜,你現在為了一點風險要把他先宰下來,你下得了手嗎?如果下不了手,臨陣畏縮,你覺得這個人有沒有罪?應不應該受到處罰?這些都是在實際風險控制中非常實際的問題。碰到這些讓你困惑的(問題的)時候,很多人往往覺得下不了手,但下不了手,真的導致風險爆發的話很可能整隻船就沉下去。我讓大家想一想,被誤傷的這個人心裡會怎麼樣?會不會怨恨?電影裡面的「007」真是高尚,回到警察總部來毫無怨言,而且要繼續拼殺,實際工作中沒人做得到。沒人做得到會怎麼樣?帶來下面一個問題,這些人如果證明真的是冤枉的,應不應該、能不能夠讓他回來官復原職?基本規律是打死也不能讓他回來。
為什麼?告訴你一個簡單的例子。雷諾汽車前幾年發生一件事情,一個副總舉報、揭發另一個副總把公司機密的商業資料透露給競爭對手,拿出證據來,公司董事會震怒之下把那個副總和手下一幫人全部開除了。一年之後,事實證明舉報是陰謀報復,誣告的副總再開除,(被冤枉的)那個副總要求回公司,雷諾(說)要多少錢可以商量,回來一點商量(餘地)都沒有。為什麼?不僅是心態變了,你要想清楚,當時公司上下經過一場非常劇烈的政治變動,把那條線的人調出去了,現在如果讓它回來,公司不得安寧,他要回來(整)原來整過他的人,每個人重新站隊,這個公司折騰不起,(所以)不能回來。你要想清楚,個人對於公司來講永遠是次要的。
三、控制活動。控制活動有很多措施。有一家公司,所有的存貨采購,任何東西采購進來,如果十天之內沒一個人領用的話,總經理的電腦上會有一個紅燈亮起來,(他)立刻查當初是誰提出請購的?請購理由是什麼?批准理由是什麼?為什麼買進來以後十天沒用?資金成本由誰承擔?這個(制度)建立起來以後,類似錯誤不會犯第二次。公司不怕犯錯誤,最怕犯重復性的低級錯誤,這是公司不能忍受的。
建立控制制度,有些事情非常重要:
一是區分不相容職務,就是奉行一個基本原則——兩個人干一件事情總比一個人自己干要安全,因為兩個人有一個監督和約束。有些工作天生不能由一個人干,比如會計和出納不能由一個人干。我舉一個例子,這是企業擔保的職能,把擔保這個環節中牽涉到幾個管理環節,我1、2、3、4、5、6、7列出來,至少有7個職能,哪幾個必須由不同的人做。現在,不相容職務如果劃分出來,做出來以後仍然出問題,這種風險在哪裡?什麼情況下不相容職務分離開來最後還是出事了?串通。所有的控制措施最怕的一件事情就是串通。怎樣解決串通的可能?這是每個公司都絞盡腦汁的事情。有的比較小的企業、有些老闆會有一些私人的獨門秘訣。有些老闆說,我的獨門秘訣就是今天出納不在、會計在的時候說,你小子注意,出納反映好幾次了,你經常上班的時候遛出去,會計聽到(之後)對出納恨得都牙癢癢的;(但)等到他們兩個人哪一天說穿了、說透了,(老闆)就慘了,所以這不是控制,這是權謀。也有一些人說,我的基本原則是這兩個人絕對不能一男一女,特別不能年齡相近,一定不能是同鄉,不能(是)一個學校畢業的等等,讓你兩個人共同語言越少越好。怎麼解決串通問題始終是一個困惑。關鍵崗位必須強制連續休假10天以上,休假期間一定有人頂崗。比如新加坡把英國銀行搞垮的這些人都有一個共同的特點,工作特別辛苦,好幾年都沒有休假了。他怎麼可以休假?他一休假全部都要露餡的。
二是明確崗位責任,我一再強調必須要有書面的崗位責任承諾書,每年要簽一次,(這)帶來兩大好處。第一個好處是每年對每個崗位重新做一個復核,對他承擔的責任做一個提醒,盡管是例行公事但至少是一個提醒。第二個,一旦有什麼事情上法庭,有法律作用的文件,也就是說你承諾過必須盡到這個責任,如果你沒有做到,(在)法律上必須負責任。崗位責任承諾書,現在基本上大的公司一定要你簽,但崗位責任承諾書本身公司要有認證和復核,最怕你沒有準確描述。
三是作業流程圖,把每一個步驟落實到紙面上,你先走什麼、後走什麼。比如供應商評選,這件事情在每個公司中都是一個非常非常煩人的事情,為什麼?因為很多作業流程都是非正式的,一旦非正式的東西放在紙面上來會發現無窮無盡的爭吵。碰到類似的問題,四個部門的負責人放在一起,這個事情做下去了,一旦劃到流程圖不行了,必須先到他這里,我用流程做下去,四個人全部跳起來說,這怎麼行呢?現在的話如果我同意了,你們3個人分分鍾可以否決我,我說什麼意思啊?現在他們3個人不同意的東西,我連看到的機會都沒有了?一旦劃到流程誰有權做什麼,因為牽涉到不同部門的利益、牽涉到責任再劃分,這是一個非常大的麻煩。
四、信息與溝通。現在是信息時代,讓信息在企業中間起到一個良好的作用,這是極其關鍵的。對於信息控制,關鍵的一點就是在合適的時間讓人得到合適的信息。這句話說起來容易,做到太難了。現在每個企業多多少少都有自己的信息系統,但天量的信息每天在產生,究竟起什麼作用?企業里幾乎沒有人說得清楚。企業接觸信息的授權在絕大部分企業里都是不精細的,信息系統由於很多看不見的東西,只要有人在裡面有機會打一個補丁,帶來的後果不堪設想。有的補丁損失還有一些,有的補丁帶來很大的(損失)。
上海有一家法資超市,歐尚超市,裡面有個小夥子管計算機系統,每天營業結束關門以後,他把營業數據匯總統計送到法國總部,這註定了他每天下班都在其他人之後。有時候他肚子餓,他有一天晚上肚子餓就走到超市拿麵包,我在上班工作,拿一個麵包吃,數量萬一和計算機的數字不對,要負責任的。(於是)他就吃一個麵包,打一個補丁,弄完以後發現這一招很簡單,肚子餓就到前面拿麵包吃。千不該、萬不該,一天有個裝卸工是他朋友,肚子餓不餓,要不要吃麵包?你隨便拿。你怎麼有這個本事?我保證你沒有問題。到底怎麼弄的?我老實告訴你們,我在計算機打一個補丁,誰也看不出來。那個人比他多一個心眼,麵包可以拿,那錢也可以拿啊!他說不對,錢我拿不到,錢都在收銀那裡。他說你別管了,收銀員我搞定,計算機你搞定,這個人就買通收銀員。他招募了20多名收銀員,計算機上做一個補丁。(後來)法國總部發現這家分店每天營業額不如以前,好幾個人查也查不出來。後來有一次法國來的人,非常偶然,撿起小票一看就知道,打出去有一個抵扣項,幾個月的時間(他們)拿了200多萬。超市是利很薄的行業,一個店拿掉200多萬是非常大的數字。
計算機系統如果被人做手腳是非常危險的,但計算機系統用得好,有時候可以幫助你控制,畢竟計算機是毫不留情的。我有一個學生經營星巴克咖啡,他說有一家店老是懷疑有問題,因為這家店的營業收入和消耗怎麼都對不起來,總覺得有問題。後來仔細分析發現,兩家店串通,我們賬上只進3杯,我給你還是給5杯,最大的可能就是每次收銀機(打開)出來的時候,如果要做手腳停留的時間一定比平時長。他就測算這家店每次超過多少秒的收銀行為出現的概率和其他分店是不是不一樣?一分析,明顯多,就知道這家公司肯定有問題,計算機告訴你的不可能有假,專門在收銀機上偷偷裝了攝像頭,一查就查出來了,所以電腦可以幫助你把握風險,這是信息的質量問題。
五、監控。監控是到了最後一關了,就像足球場上的守門員繞過你進球了,所以所有公司領導一定想辦法讓你知道,你承擔的是最後的責任。很多人沒意識到我這個責任有多大。企業領導最後做監控通常用什麼手段來做?簽名。但太多人簽名簽得太隨意。
我曾經在一家大型企業做獨董,我就看不下去了,我說簽名簽得太隨意,我開董事會的時候要求董事會給我一個授權,我這個要求太冠冕堂皇了,沒人有理由否定,董事會一致同意給我這個授權。我拿著授權把風險控制的人召集起來,我說現在(我)得到董事會正式授權,允許我對監控做一次檢查,現在你們只聽我的,不聽任何其他人的,做什麼?替我把公司上上下下,從董事長、總經理開始所有人去年的簽名隨機抽查100個,列成表,要做的事情就是找到這個人說,你去年幾月幾日在什麼東西上簽名,現在請你告訴我當時簽名掌握了什麼證據?有什麼理由相信你這個簽名是負責任的?十有八九被問的人一頭霧水。我把所有調查下來的結果列成一張表攤到董事會桌面上,我說這就是我們公司的簽名。我這樣做會對很多人以後簽名起到非常大的提醒作用。
我同時(還)要做一件事,減少公司簽名的數量,特別是要杜絕幾個人共同簽名。幾個人共同簽名說起來是集體負責,其實是沒有人負責的。一方面減少簽名,另一方面做到每一個簽名的人必須讓他明白你承擔什麼責任。
簽名意味著三件事情。第一件事情是你掌握了簽名所需要的所有證據;第二,你明白簽名以後可能產生的後果;第三,你願意承擔簽名帶來的所有責任。所以一個公司要建立文化,讓簽名的人知道簽名意味著三件事情,如果沒有想清楚這三件事情你千萬不要簽,在這個立場上監控所起的作用。
企業現在大量工作實際上用中介在做,怎樣善於利用中介的力量幫助你?比如審計師,審計師承擔法定的發表獨立審計意見的責任,但(這)並不妨礙你請他們幫你一個忙。我到很多公司都會對審計師說,我知道你法律上沒有這個責任,但就算你幫我一個忙。什麼忙?第一,你到下面去看,會看到很多不一樣的地方,請你幫我注意觀察一下我下面的人在干什麼?哪怕他們在聊八卦的事情請你幫我聽一聽下面的人關心什麼?有沒有問題?第二,請你告訴我,我下面的人稱不稱職?你們的工作做得好不好,這樣一來好處是什麼?好處是審計費用一分錢也不增加,但額外得到了一些你想要的信息。企業所有的中介服務,你應該想方設法想一想,能不能讓他多提供一點有價值的服務?
內部控制最怕的是什麼?最怕的是制度形成、裝訂成冊,鎖進抽屜,從此無人問津,這是最可怕的。所以每個企業要保證制度做下去有後續的行為,這時很多公司想有一套措施,保證制度的缺陷能夠得到及時的報告。所謂缺陷,一種是設計缺陷,一種是執行缺陷。有一家大型的集團公司採用的辦法是每一家分公司自己報,你今年內部控制有幾個設計缺陷,然後叫總集團審計部去查,兩個數字分別報到董事長這里。這是一個非常大的羞辱,每一個分公司幾年以後要報內部控制結果的時候都戰戰兢兢的。你必須要有一個辦法讓下面的人不敢掉以輕心。
網上調查很多企業內部控制執行最難的是什麼?絕對占第一位是一把手舞弊。這是中國特殊的問題。中航油在新加坡出事以後,當初我們想要一點面子,是不是讓中國證監會調查?新加坡交易所斷然拒絕,說讓我們調查,不能讓中國調查,他調查以後形成一個200多頁的調查報告,調查出來的第一個結論讓所有人都大吃一驚。第一個結論是中航油的內部控制制度是世界一流的,他專門花了幾百萬的錢請安永會計師事務所設計了一套完整的內部控制(制度),而且他知道中國人比較講情面、講關系,兩個關鍵崗位,一個是風險控制官,一個是操盤手,(這)兩個崗位專門找了老外來做,兩個澳大利亞老外,這樣不講情面。但是這么好的一套制度居然會出這么大的一個漏洞,接下來的結論非常簡單,這套制度管住了所有人,除了陳久霖。換句話說,再好的制度只要有一個人可以置身制度之外,這個制度就是廢紙。好的制度涵蓋了所有人、所有的經營環節,這是一個非常明顯的事實。銷售付款,銷售、采購這兩個在所有製造性企業里都是最大的風險。銷售和采購正好是兩個階段,做采購的人在公司是孫子,在別人那裡是大爺;做銷售在公司里是大爺,到別人那裡是孫子。潛在利益非常多,銷售的人說我稍微晚一點付款行不行?最怕(的情況是)你給他的工資明顯低,而那個人還是每天陽光燦爛上班,十有八九這裡面肯定有補償機制在裡面。
內部控制,如果你的大老闆不是非常積極的想做這件事,我勸你千萬別去干,因為這件事情沒有真正高層的決心和熱情,你一定做不下去。因為這件事情牽涉到兩件事情對他影響最大。第一件事,利益格局;第二件事,成本。所謂利益格局是企業中間任何現行制度的改變,通常都會動到某些人的乳酪,你都不知道乳酪在哪裡,你無形之中會傷害一些人的利益。比如采購制度的改變、供應商的選擇,特別是一些公司推集中采購的時候,集團采購經常會碰到莫名其妙的障礙,這個障礙就是你動了某些人的乳酪。
公司做內部控制最經常出現的現象(是),公司老闆推一套新的控制制度,部門經理就會說,老總啊,我同意,我們公司真需要一套新的控制制度,這套控制制度我從心底里贊成,但恐怕今年業績完不成了,我個人覺得業績完不成沒關系,新的制度應該推。老闆一聽就急了,董事會承諾過。老總你不講理啊,你又要推制度,又要達到業績,這實在太難了,要麼這樣好不好?我知道業績承諾過、公告過,今年全力以赴先把業績做好,這個制度明年大家來推。這個話說完老闆會說什麼?老闆說看來也只有這樣了。明年還會不會推?十有八九提都不會有人提了。一個新制度推下去,如果你對阻力預先沒有足夠的估計,十有八九後果一定慘重。
二是收益與成本。你能夠防範的風險僅僅是一種可能,但你花下去的成本是一個實實在在的數字,很多人講我花錢有沒有必要?因為你說的風險怎麼從來沒有發生過?如果你沒有思想准備就做不下去。
三是控制和效果。控製程序越多就越不爽、越不方便,節奏越慢。如果你要高效率的,能不能做到?這個東西有時候就是非常微妙的,有時候一個離奇古怪的念頭很可能證明是正確的念頭。恆大許家印當時投票(買足球隊),結果只要一票就夠了,許家印不管董事會其他人,做得風生水起。如果按照正常風險控制的程序,許家印這個足球(對)是無論如何不能買的,現在買下來對公司是正面還是負面的?看起來很可能是正面的。換句話說,風險控制如果嚴格按照程序未必讓你做出最有利的決策,(它的)作用主要是避免危險決策,但不能幫你形成最高效的決策。企業從根本而言是靠出好產品、好服務來掙錢的,不是靠好的風險控制掙錢的。所有企業的一切行為必須為企業創造價值。風險控制如果不能帶來經營改善,不能帶來價值增加,所有控制(行為)都不應該存在。所以必須要有經營觀念在風險控制裡面。
做風險控制本質上講,是一個非常讓人難受的工作。為什麼?風險控制(從)根本上來講,是一個成本中心。成本中心是什麼呢?花的錢看得到,但真正產生的價值未必能看到。所以做這個行業的人非常苦惱的是風險控制要做到極致的是公司里大大小小的事情,一點事情都不出,但如果公司一點事情都不出,公司就會問要這些人干什麼?
我舉一個例子。現在外面有H7N9,禽流感得了這個病一定會死人,你相信我,花500元買這顆葯,你吃下去,一年真的沒有得這個病,我現在問你一句話,你會不會感激我?100%不會。因為你一年之後看,張三、李四、王五都沒有得病。這里最大的問題是我們永遠沒辦法證明本來就不會得病還是吃了我這個葯不得病。如果企業沒有足夠的雅量,很多時候,在成本壓力大的時候,這方面會捨不得投入;(但)等到你真正看出拿掉(風險控制)的作用,通常就太遲了。
⑵ 企業內控與IT內控有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
參考資料:答案來自於谷安天下網站咨詢顧問發表的相關文章
關鍵字是:企業內控、IT內控
⑶ 企業內部控制的要點有哪些
健全、有效的內部控制是抵禦和防止各種會計錯弊行為的有力武器。 企業內部控制制度主要包括內部牽制和內部稽核兩大部分。 內部牽制主要著眼於業務流程中的職能分解和人員的職責分工,以便形成互相制衡、牽制的機制。內部牽制的主要手段包括職責牽制、分權牽制、物理牽制和簿記牽制等。 職責牽制指的是合理劃清職責並進行適當分工,使組織中的每一個職位都有專人負責,每一個人員都有明確的職責范圍;分權牽制指的是將每一項業務乃至每一個環節中不相容的職能予以分離,由兩個或兩個以上的部門或人員分別掌管,以避免由一個部門或人員單獨處理某些業務的全部流程,造成舞弊的可乘之機;物理牽制是指將特定的管理職責與相應的專門程序或專門工具結合起來,以便落實管理責任,排除其他部門或人員單獨舞弊的可能性,從而使出現舞弊行為時易於追查原因;簿記牽制是指利用處於不同加工處理階段或置於不同載體之上的會計信息之間的內在聯系所進行的牽制。 內部稽核或稱內部審查,是指在企業內部設置專門的機構和人員,進行日常的查核和監督。 企業內部控制制度的要點主要包括: (1)建立和健全分工負責制明確職權,落實責任。 (2)不相容職務嚴格分離,並實行迴避,主要的不相容職務包括出納與費用、上入賬目登記,實物保管與相關的會計核算,業務授權、授權與核算,業務操作與審核等。 (3)建立崗位輪換制度。 (4)完善憑證、賬簿、報表體系,嚴格會計操作規程和憑證制度。 (5)堅持財務審批「一支筆」制度,落實專人負責。 (6)會計部門嚴格復核、審批制度。 (7)對重要財物設置限制接近措施,並責成專人妥為保管。 (8)設置內部審查或稽核部門,進行經常性的查核、監督工作。企業常用的內部控制方法如下: 1.內部控制的方法主要包括:組織結構控制、授權批准控制、會計系統控制、預算控制、財產保全控制、人員素質控制、風險控制、內部報告控制、電子信息系統控制等。 2.組織結構控制要求貫徹不相容職務相分離的原則,合理設置內部機構,科學劃分職責許可權,形成相互制衡機制。 不相容職務主要包括:授權批准與業務經辦、業務經辦與會計記錄、會計記錄與財產保管、業務經辦與業務稽核、授權批准與監督檢查等職務。 3.授權批准控制要求單位明確規定授權批準的范圍、許可權、程序、責任等相關內容,單位內部的各極管理層必須在授權范圍內行使相應職權,經辦人員也必須在授權范圍內辦理經濟業務。 4.會計系統控制要求單位必須依據會計法和國家統一的會計制度等法律法規,制定適合本單位的會計制度,明確會計憑證、會計賬簿和財務會計報告的處理程序,實行會計人員崗位責任制,建立嚴密的會計控制系統。 5.預算控制要求單位加強預算編制、預算執行、預算分析、預算考核等環節的管理,明確預算項目,建立預算標准,規范預算的編制、審定、下達和執行程序,及時分析和控制預算差異,採取改進措施,確保預算的執行。 預算內資金實行責任人限額審批,限額以上資金實行集體審批。嚴格控制撫預算的資金支出。 6.財產保全控制要求單位嚴格控制未經授權的人員對財產的直接接觸,採取定期盤點、財產記錄、賬實核對、財產保險等措施,確保各種財產的安全完整。 7.職工素質控制要求單位建立和實施科學的聘用、培訓、輪崗、考核、獎懲、晉升、淘汰等人事管理制度,保證職工具備相應的工作勝任能力。 8.風險控制要求單位樹立風險意識,針對各個風險控制點,建立有效的風險管理系統,通過風險預警、風險識別、風險評估、風險報告等措施,對財務風險和經營風險進行全面防範和控制。 9. 內部報告控制要求單位建立和完善內部管理報告制度,全面反映經濟活動情況,及時提供業務活動中的重要信息,增強內部管理的時效性和針對性。 10.電子信息系統控制要求運用電子信息技術手段建立控制系統,減少和消除內部人為控制的影響,確保內部控制的有效實施,同時要加強對電子信息系統開發與維護、數據輸入與輸出、文件儲存與保管、網路安全等方面的控制。企業內部控制的內容主要包括以下方面: 1.內部控制的內容主要包括對貨幣資金、籌資、采購與付款、實物資產、成本費用、銷售與收款、工程項目、對外投資、擔保等經濟業務活動的控制。 2.單位應當對貨幣資金收支和保管業務建立嚴格的授權批准程序,辦理貨幣資金業務的不相容崗位必須分離,相關機構和人員應當相互制約,加強款項收付的稽核,確保貨幣資金的安全。 3.單位應當加強對籌資業務的管理,合理確定籌資規模和籌資結構,選擇恰當的籌資方式,嚴格控制財務風險,降低資金成本,確保籌措資金的合理使用。 4.單位應當合理規劃采購與付款業務的機構和崗位,建立和完善采購與付款的控製程序,強化對請購、審批、采購、驗收、付款等環節的控制,做到比質比價采購、采購決策透明,堵塞采購環節的漏洞。 5.單位應當建立實物資產管理的崗位責任制度,對實物資產的驗收入庫、領用發出、保管及處置等關鍵環節進行控制,防止各種實物資產的被盜、偷拿、毀損和流失。 6.單位應當建立成本費用控制系統,做好成本費用管理的各項基礎工作,制定成本費用標准,分解成本費用指標,控製成本費用差異,考核成本費用指標的完成情況,落實獎罰措施,降低成本費用,提高經濟效益。 7.單位應當制定恰當的銷售政策,明確定價原則、信用標准和條件、收款方式以及涉及銷售業務的機構和人員的職責許可權等相關內容,強化對商品發出和帳款回收的管理,避免或減少壞帳損失。 8.單位應當建立科學的工程項目決策程序,明確相關機構和人員的職責許可權,建立工程項目投資決策的責任制度,加強工程項目的預算、決算、招標、投標、評標、工程質量監督等環節的管理,防範工程發包、承包、施工、驗收等過程中的舞弊行為。 9.單位應當建立科學的對外投資決策程序,實行重大投資決策的責任制度,加強投資項目立項、評估、決策、實施、投資處置等環節的管理,嚴格控制投資風險。 10.單位應當嚴格控制擔保行為,建立擔保決策程序和責任制度,明確擔保原則、擔保標准和條件、擔保標准和條件、擔保責任等相關內容,加強對擔保合同訂立的管理,及時了解和掌握被擔保人的經營和財務狀況,防範潛在風險,避免和減少可能發生的損失。
⑷ 公司內部控制的控制點設置的越多越好是否正確為什麼
錯誤!
應該在關鍵節點設置控制點,控制點設置過多反而沒有重點,導致失控!
⑸ 企業內控標准能比廠家標准少很多嗎
「企業內控標准」和「廠家標准」有區別嗎?
《中華人民共和國標准化法版》中規定:「企業生產的權產品沒有國家標准和行業標準的,應當制定企業標准,作為組織生產的依據。」、「已有國家標准或者行業標準的,國家鼓勵企業制定嚴於國家標准或者行業標準的企業標准,在企業內部適用。」
「企業內控標准」和「廠家標准」似並無本質上的區別。
⑹ 從內控角度來講,一家企業長短期借款占總資產比例達到90%多,這說明了什麼問題
這說明公司資產負債率達到百分之90,這是相當高了,整個公司就沒什麼自己的錢了,都是借的,每年的利息費用可能導致公司資金鏈斷裂,導致破產的
⑺ 內部控制對企業管理的意義有哪些
內部控制企業為了維護物質的安全、會計信息的有效性、財務活動的合法性等,而採取的謬種措施和方法。內部控制在企業的發展過程中起到了規范和引導的作用,因此很多企業為了提高自己的綜合實力,常常會為自己的企業設定科學化的內部管理體系。加強內部控制的研究,是當代企業管理的重要內容,因此本文針對企業內部控制的建立及其在企業內部管理中的作用展開了研究。
(一)劃分企業部門職責內部控制的最為主要的作用就是可以明確企業部門的職責,企業部門之間只有做好工作的劃分,出現問題時才能夠更好地找到相關負責人,並及時將問題向上級反饋。同時在內部控制的管理下,企業部門和員工能夠更加高效地完成自己的任務,提高企業的整體效率。
(二)規范企業管理企業的管理必須要在一定的管控下進行,這將有利於企業的穩定和長久發展,因此企業應充分發揮內部控制的作用。健全的內部控制制度可以幫助企業實現企業的明確分工,員工在內部控制體制的約束下,才能夠更好地為企業的發展盡心盡力。規范化的內部管控,對於實現企業的健康發展非常有利。
(三)規避企業風險加強企業內部控制不僅僅是企業的內在要求,同時也是保證企業有效規避風險的重要手段。尤其是在現代激烈的企業競爭下,企業更加需要內部控制來幫助企業規避風險。尤其是在內部控制的管理下,企業上下部門和人員都能夠認真履行自己的職責和義務,所謂不以規矩不能成方圓,因此企業能夠在內部控制的管理下穩定的運行和發展。
(四)規范企業會計工作加強對企業內部控制的研究,可以從企業會計工作著手。企業內部控制制度的內容之一就是要求企業,按照會計法的相關規定為企業單獨制定會計制度。規范的會計制度可以幫助企業做好會計工作,讓會計人員在規定下踏實工作,使會計信息更加准確、可信。
⑻ 請問誰有中小企業內部控制的案例啊最好數據多點的那種,勞駕發給我一下吧!感謝!
建立內部控制制度為經營管理做好服務
中國廣東核電集團
中國廣東核電集團有限公司(以下簡稱廣東核電集團)從1979年籌建,向中國銀行貸款3億美元作資本金起步,與香港中華電力公司合資設立廣東核電合營公司,負責建設和經營大亞灣核電站,到1994年國務院決定以大亞灣核電站為基礎,組建中國廣東核電集團有限公司至今,已經走過27年歷程。按照「以核養核,滾動發展」的方針,廣東核電集團在大亞灣核電站的基礎 上,又開發建設了嶺澳核電站,大連紅沿河核電站和福建寧德核電站,現有13家主要成員單位,已形成以核電為主業,常規清潔能源開發、金融服務、信息技術研發和後勤服務配套發展的新格局。截至2006年1月,廣東核電集團擁有總資產579億元人民幣,凈資產232億元人民幣。兩座正在運行的核電站擁有4台百萬千瓦級發電機組,年發電能力達300億千瓦時。
廣東核電集團多年來之所以能夠取得良好的經營業績和始終保持健康發展態勢,其中有一條重要原因,就是集團內各公司的管理層,都高度重視企業內部控制體系的建設和內部審計監督。
一、建立科學的內部控制體系
內部審計對公司經營管理的監督評價活動,是以內部控制為主線來組織開展的,健全完善的內部控制制度體系既是各公司健康有序運行的基本保證,也是內部審計工作有效開展的前提和基礎。廣東大亞灣核電站建設初期,就參照香港中華電力公司的管理體制、機制,結合自身的實際,逐步建立了一整套行之有效的內部控制體系和審計監督體系,實行科學的程序化管理。通過各種技術程序、行政管理程序明確了各部門之間的職責分工與相互介面,確保所有重要的經營活動都能做到「有章可循,有據可查」;通過建立科學的授權管理體系,合理地分配和約束權力,真正做到「凡事有人負責,凡事有人監督」;集團公司成立後,通過推進集團公司管理政策和相關配套制度建設,不斷規范母子公司管理。這一系列內部控制措施在核電站的工程建設、運營等方面發揮了巨大的作用。2003年初,廣東核電集團審計部在組織對集團公司治理及母子公司管理控制模式進行系統研究的基礎上,又提出並實施了從策略控制層(政策)、管理控制層(制度)、運作控制層(程序)三個層次構建集團政策程序框架體系,與管理政策相配套的還有62個制度。集團公司管理政策從「公司治理」、「戰略管理」、「人力資源管理」、「財務管理」、「安全質量與環境保護」、「科技管理」、「商務管理」、「信息化管理」、「公關宣傳與企業文化」和「行政與後勤管理」等10個方面,明確了集團公司與成員公司的職責及分工,規范了集團公司重要事項的管理原則,為集團公司整體協調有序運作確立了行為規范與准則,為實現集團公司發展戰略提供了制度保障。在推進建立集團公司政策程序框架體系的基礎上,各成員公司根據集團公司管理政策和配套制度的要求,也對原有的制度、程序進行全面的梳理和修訂,逐步形成了集團公司上下原則一致、層次分明、各具特色的內部控制制度體系,逐步形成了具有廣東核電集團特色的內部控制制度體系。
二、開展有效的內部控制審計
1、理順內部審計管理體系。大亞灣核電站引進香港中華電力公司的審計理念和模式,設置了總審計師,直接向董事會報告工作,行政上接受總經理領導的雙向負責制,在實際工作中體現出了較強的適用性和優越性。向董事會負責,有利於保證內部審計較高的獨立性和權威性,從而有效實施對公司的全面監督,公司董事會也能夠通過內部審計及時了解公司經營管理情況,及時採取措施,降低公司的經營風險。定期向總經理匯報工作,融洽了與總經理的關系,也有利於內部審計工作的開展。內部審計的主要職能是提供管理咨詢及監督服務,促進增加企業價值,這也是股東的終極目標。大亞灣核電站的內部審計管理模式,用程序規定的風險分析評估方法,從公司管理目標計劃和預算、政策和程序、組織機構分工和授權、管理信息和記錄、資產管理與效益、員工培訓、合同管理與成本分攤7個風險因素方面,對公司的主要業務活動逐項進行評價與分析,確定每個項目風險的高低,並全部列入「審計項目清單」。「審計項目清單」是制訂周期性循環審計計劃和年度專項審計計劃的依據。通過開展以風險為導向的全方位的審計監督,確保了內部控制系統的健全性和有效性,有效控制了不正常事件發生的可能性,為集團公司生產經營活動的正常開展創造了條件。
2、以預防為主加強事前、事中審計。內部控制審計的根本宗旨是「增效益、防風險」,本著「以防為主,防範勝於糾正」的審計理念,廣東核電集團始終將內部控制審計的重點放在事前的防範和控制上,適當兼顧事中的檢查和事後的監督,建立以預防為主的約束與監督機制。通過將控制點前移,發現違規現象及時報告和處理,盡可能地將不正常事件消滅在萌芽狀態。如對於超過一定金額以上的采購項目,審計部門在合同招評標階段就介入,並對采購過程中的各關鍵點,包括:采購計劃、立項申請、供應商選擇、評標規則、價格談判策略、合同推薦、合同條款、授權審批等進行全面的監督,確保采購過程規范,並取得最佳采購效益。在合同執行過程中,審計部門對合同的執行情況、變更情況進行跟蹤,發現問題及時提出整改意見。通過開展事前、事中的內部控制審計,避免了潛在的風險損失。
三、提高內部控制審計質量
1、推行審計公示和問責制度。通過對以往審計發現問題的分析,找出制度不嚴、有制度不執行、管理不規范或內部控制有盲點的主要原因,通過三個「必須」,即對審計發現的問題必須查明原因,對審計建議和改進措施必須落實,對相關人員的責任必須追究。解決屢查屢犯的問題。通過強化審計的問責制度,確保了審計的效果。在強調審計「問責」的同時,我們積極推進審計「公示」,實行審計公告制度。
2、整合監督力量,創新監督模式。整合紀檢、監察、審計、監事會等監督機構,形成一個有機的整體,協同配合,發揮監督合力。一是推動建立集團內部控制監督聯席會議制度。聯席會議由集團公司黨組和總經理部領導,紀檢、監察牽頭,審計、財務、資產管理、人力資源管理等負有監督職能的部門參與,溝通和分析集團在物資采購、工程招標、資金管理、資產處置、產權轉讓、改制重組、人力資源管理、合同商務管理、投融資管理和安全質量管理等關鍵環節上的有關信息和情況,適時分析集團內部控制監督工作中的新情況、新問題和新形勢,研究內部控制監督工作的重點和有效方法,提出解決的意見、建議和措施。集團公司審計部承擔聯席會議辦公室職能,按時匯總相關的信息,提出需要關注的問題,並及時跟蹤落實有關問題的整改。二是整合審計監督和監事會監督,通過健全完善成員公司的法人治理結構,規范監事會運作,來進一步強化監督。集團公司審計部對成員公司的監督和監事會的監督同樣是代表股東的監督,其目的具有高度的一致性,過去由於二者之間缺乏有機的聯系和整合,在監督作用的發揮上,存在一定的不足。為此,集團公司調整了成員公司監事會管理和運作模式,在集團公司審計部設立了監事會辦公室,成員公司的監事原則上由集團公司審計人員兼任,集團公司對成員公司的監督將主要以監事會年度檢查的形式進行,形成監事會年度檢查報告後報股東會。這既理順了集團公司審計部與成員公司審計部的監督分工,又進一步完善了各公司的法人治理結構,充分發揮了監事會的監督職能,起到了事半功倍的效果,確保內部控制審計的質量。
摘自:中國內部審計
⑼ 怎麼健全企業內控管理制度的措施
(一)努力營造良好的內部控制環境
內部控制環境,是指內部控制環境所賴以依存和運行的、對其建立和實施發生影響的各種內部、外部因素的總和。主要反映管理者和其他人員對內部控制制度的態度、認識和行為,它是內部控制制度運行的基礎。沒有良好的內部控制制度環境,內部控制制度的目標、內容、方法等都不可能得到有效的實施。根據當前企業現狀,營造良好的內部控制環境,需要做好以下三點:
1、加快企業法人治理結構建設步伐
企業法人治理是所有者董事會監事會和高級管理人員組成的一定製衡關系。完善內部控制制度,首先需要規范法人治理結構,因為內部控制制度處於公司法人治理設定的大環境下,內部控制制度能否有效運行與公司法人治理結構是否完善有很大的關系。從所有者的立場出發,不單單要把企業最高管理者行使權力的過程納入內部控制制度的監控范圍,而且要將其作為內部控制制度的重點監控對象。明確股東會、董事會、監事會和經理層的職責,是其各司其職、各負其責、協調運轉、有效制衡。
2、加強企業人員的教育,提高企業人員的內部控制及風險意識 要使內部控制系統的功能按預定的目標正常發揮,必須配備與承擔的職務相適應的高素質人員,故要強調以企業人員為本,要求企業內部要充分發揮企業人員的作用,依靠提高企業人員的綜合素質道德水平和法規意識,充分發揮企業人員的主動性積極性和創造性,從而達到內部控制的最佳效果。除對人員素質的控制,還可以對人員的職務進行定期輪換,不僅使某項職務的承擔人員發生的錯弊能在短時間內被發現、糾正,而且可以促使工作人員兢兢業業工作,以便交接時經得起檢查,從而達到增強內部控制的功能。內部控制制度的成敗,取決於企業人員控制意識和行為,而領導者內部控制的意識和行為是關鍵。企業領導層要積極支持整個內部控制制度健身,推動和實施內部控制制度和風險管理文化,使內部控制及風險意識在企業人員內部得到廣泛認同。
3、重視道德規范建設,建立良好的企業文化氛圍
企業文化是一個企業長期經營實踐中所凝結起來的一種文化氛圍、企業價值觀、企業精神、經營境界和廣大員工所認同的道德規范和行為方式。良好的企業文化氛圍能為企業控製程序的執行創造良好的基礎,在完善控制環境中起著重要的作用。企業內部控制應當建立在共同的倫理道德規范的基礎上,形成真正意義上的團隊精神。只有當企業的每個員工信仰明確,思想鮮明,都能以主人翁的態度參與企業管理,充分發揮其主動性、積極性與創造性,內部控制才能更有效。
(二)加強對內部控制制度的執行力
內部控制制度能否發揮其效能,執行時關鍵,因此一定要做到有法可依、執法必嚴、違法必究。首先,各企業領導人要轉變思想觀念,充分重視內部控制制度的作用,變被動為主動,充分考慮本企業的規模、生產經營特點、員工素質的因素,設立相應的機構。企業經營者應加強對廣大員工的素質教育和法制教育,增強他們的使命感和責任感,各負其責、各司其職、相互監督,保證企業內部控制制度的貫徹落實。特別是要改變以往內部審計機構從屬財務部門,內部審計人員也多由財務人員兼任的局面,設立企業的內部審計部門,保障其獨立性和權威性,充分發揮內部審計對內部控制制度的審查和評價作用,藉以維護財經紀律,改善經營管理,提高經濟效益。此外,還要提高企業員工的政治和業務素質,可以通過招聘制、考評制、輪換制等,選拔綜合素質高、業務技術好、管理能力強的人員擔當相應職務。強化內部控制制度實施情況的檢查與考核,建立有效的激勵機制,對於嚴格執行內部控制制度的,給予精神鼓勵和物質獎勵;對於違規違章的,堅決給與行政處分和經濟處罰,並與職務升降掛鉤。最後,國家對於拒不建立健全相應企業內部控制制度的企業,要嚴加懲處。為了保證企業內部控制制度能有效地發揮作用,並使之不斷的得到完善,企業必須定期對內部控制制度的執行情況進行檢查與考核,看企業內部控制制度是否得到有效遵循,執行中有何成績,出現了什麼問題,為什麼某項內部控制制度不能執行或不能完全執行,估計可能產生或已經造成的後果。
(三)健全企業內部審計制度
在現代企業制度中,內部審計已成為內部控制制度的重要組成部分。內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。它通過系統、規范的方法評價和改善組織的風險管理、控制和管理過程的有效性,幫助組織實現其目標。對當前內部審計存在的薄弱環節,企業管理者應採取有效措施,增強內部審計的權威性和獨立性,真正發揮內部審計的作用;拓寬內部審計的范圍,在做好財務審計工作的同時,廣泛開展管理審計。內部審計工作的職責不僅包括審核會計賬目,還包括稽查、評價內部控制制度是否完善和企業內部各組織機構執行制定職能的效率,並向企業最高管理部門提出報告,從而保證企業的控制制度更加完善嚴密。
⑽ 為什麼內部控制並非越嚴格越好,而是越有效越好
因為有的時候嚴反而會適得其反