企业内控做得过多
⑴ 从五大要素分析企业内控存在的问题
风险可以分为三类,即可预防风险(内部风险)、策略风险和外部风险。为追求盈利而自愿接受的策略风险和外部风险是无法通过制定规则来规避的,但规则却可以协调员工的价值观和行为方式,有效地改变或避免内部风险。内部风险,大多与企业内部的舞弊和疏忽有关,建立并执行严格的内部控制系统是降低此类风险的主要手段。
企业应当如何制定规则来控制内部风险?中欧国际工商学院会计学教授、EMBA学术副主任、首席财务官课程(CFO)学术主任苏锡嘉在中欧管理论坛上,就“危机中的企业和企业中的危机”的主题,深入讲解企业领导者如何在日益复杂的外部环境中加强企业内部控制,有效管理风险,提升经营业绩等问题。
COSO是在美国做舞弊调查的机构,延伸到了内部控制,提出内部控制的框架。COSO最基本的内部控制框架,(是)所谓的“三目标、五要素”。三目标,一是有效率且有效果的使用公司资源,后面两个目标是COSO加上去的——财务报表和合规。在三个目标中形成了从下到上、从基本到高端的五个要素。
一、控制环境。控制环境就是要建立企业的文化,让正直的人能得到重用。企业文化看不见、摸不着,但带来的影响是非常大的。做管理就是要形成企业里面的小环境,这个小环境让每个人都有意愿把自己身上光明、阳光的一面展现出来,把自己身上负面、不体面的东西想办法压下去。前两年美国有个团队做了一个研究,对美国财富500强的大公司说请给我一张名单,去年你们公司管理团队流失的人有多少个?列出来后告诉我有哪几个人,公司如果有可能的话是一定想办法留住他们的。他找这些人一个一个地去问,很多人给的理由居然是什么?我看到办公室里很多同事上班用公司的电话讲私人的事情,或者用公司的信封寄私人的信件,我不愿意和这些人成为同事。这告诉大家一个道理,公司文化最重要的作用就是把具有相同价值观的人聚集在一起,把不认同这个价值观的人驱离公司,久而久之,所有留在公司的人都是具有同样价值观的人。
公司是由人组成的,所以一个好的公司文化必须要从建立、从招到最合适的人开始。招聘员工其实风险非常大。因为环境诚信有问题,怎样保证这些人正直、可靠,这是非常关键的。运作到后面,要建立各种各样的机制、机构,董事会、审计委员会,并形成一定的经营风格、管理风格;很多时候,一把手决定了这个企业做事情是什么风格,而且很多风格一旦形成就很难改变。在一个没有宗教信仰的环境中,防范风险的难度比其他环境大一些。
二、风险评估。风险是将来要发生的可能,在它没发生之前就找出来,难度很大。风险有各种各样的分类,一是内部风险,自己做事情能解决掉的风险;二是外部风险,市场环境突变、自然灾害等等;还有固有风险、剩余风险。
风险识别的关键是看到每个风险发生的几率有多大?产生的损失有多大?如果发生的损失可能非常大而且发生的概率非常大,最好的办法是咱们不干这个事情。我造成的风险可能非常大,但发生概率并不是太高,什么办法?转移,一个办法是买保险,(把)部分(风险)转移给别人;还有找人合资,找人分享。如果发生概率挺大(但)损失不会太大,最典型的是产品出质量问题,对策是加强质量控制措施,减少不良频率的发生。如果我采取措施防范,可能成本抵不上得来的好处。
你真正树立(风险)观念以后,你的行动变得完全不一样。有两家公司在日本福岛地震(中)的表现,告诉你(要)有风险意识。今天晚上谁都不要回家,立刻查出来世界上有什么东西只在日本福岛地区生产的,不管跟我们公司有没有关系,全世界去找,不管价钱统统买下来,一个晚上整个公司扑在这个(事情)上面。第二天全部做完以后,现在回去睡觉,大家等着数钱吧!说起来道德上有点恶劣,但从商业敏感度来讲绝对厉害。第二个例子是上海汽车在福岛地震的第二天早上9点钟紧急召开集团办公会议,董事长只提一个问题,福岛地区生产如果不恢复,上海汽车生产可以维持多少时间?因为汽车很多配件都是日本生产的。全公司立刻报上来,6个月。第二个问题,继续查零配件世界上有没有可代用的东西?一项一项落实,报告上来每一样东西世界上都有替代品。又问,能不能用?不能。因为所有汽车零部件用上去必须要有一个认证过程,认证过程多长?最短9个月。董事长说从今天开始全公司全力以赴解决认证问题,一定要在6个月之内解决认证。公司对于风险防范的事情,一有点事情立刻想到(会)受什么影响,一天都不能耽搁。
风险还有一些思考,第一是应不应该回避风险?你要想清楚一点,做企业本质上讲就是冒险,成功的企业家都是愿意冒险的,不愿意冒险的人不可能会成功。但我们永远想清楚,企业需要冒险,但必须是只冒可以承受的风险,绝对不冒不能承受的风险。比如,我说我掏1块硬币拿出来跟你玩,翻到正面你给我5块钱,翻到反面你给我5块钱,挺好玩的,玩一下。我再说,翻到正面你给我5个亿,翻到反面我给你5个亿?玩不玩?你这时候不会想万一我今天赚了5个亿晚上怎么花这个钱呢?你首先想到(的是)万一我输了,我到哪里拿5个亿还给这家伙?我能不能承担起这个风险?我才做。如果成功了会有多大的好处?
企业冒险,影响生死存亡的风险是决定。中国人经常说用人不疑、疑人不用,这是非常虚伪的,因为在现代的商业社会里,疑不疑人是对他负不负责,最好的(是)我不给你任何犯错误的机会。所以我到每一家公司做独董,给做风险控制、内部管理的人只给你八个字,相对独立、合理欢迎。
我们鼓励创新,创新是不是等同于冒险?是不是一旦创新、风险控制一定会差?越是具有创新能力的公司更多使用控制。创新和控制其实是不矛盾的,真正要创新有效,不是像无头苍蝇一样到处乱投钱,这不是创新。
如果你面临如下选择,一种是牺牲核心员工以消除重大风险,二是保护核心员工但可能留下重大风险,你选择哪一个?保护核心员工和消除重大风险,哪一个更重要?消除重大风险。首先把风险堵上再说,牵涉到不管什么人以后再说,再冤枉这一刀必须斩下去。从道理上讲,风险防范为上,保护核心员工为次;但真正叫你动手,那个人看上去那么的无辜,你现在为了一点风险要把他先宰下来,你下得了手吗?如果下不了手,临阵畏缩,你觉得这个人有没有罪?应不应该受到处罚?这些都是在实际风险控制中非常实际的问题。碰到这些让你困惑的(问题的)时候,很多人往往觉得下不了手,但下不了手,真的导致风险爆发的话很可能整只船就沉下去。我让大家想一想,被误伤的这个人心里会怎么样?会不会怨恨?电影里面的“007”真是高尚,回到警察总部来毫无怨言,而且要继续拼杀,实际工作中没人做得到。没人做得到会怎么样?带来下面一个问题,这些人如果证明真的是冤枉的,应不应该、能不能够让他回来官复原职?基本规律是打死也不能让他回来。
为什么?告诉你一个简单的例子。雷诺汽车前几年发生一件事情,一个副总举报、揭发另一个副总把公司机密的商业资料透露给竞争对手,拿出证据来,公司董事会震怒之下把那个副总和手下一帮人全部开除了。一年之后,事实证明举报是阴谋报复,诬告的副总再开除,(被冤枉的)那个副总要求回公司,雷诺(说)要多少钱可以商量,回来一点商量(余地)都没有。为什么?不仅是心态变了,你要想清楚,当时公司上下经过一场非常剧烈的政治变动,把那条线的人调出去了,现在如果让它回来,公司不得安宁,他要回来(整)原来整过他的人,每个人重新站队,这个公司折腾不起,(所以)不能回来。你要想清楚,个人对于公司来讲永远是次要的。
三、控制活动。控制活动有很多措施。有一家公司,所有的存货采购,任何东西采购进来,如果十天之内没一个人领用的话,总经理的电脑上会有一个红灯亮起来,(他)立刻查当初是谁提出请购的?请购理由是什么?批准理由是什么?为什么买进来以后十天没用?资金成本由谁承担?这个(制度)建立起来以后,类似错误不会犯第二次。公司不怕犯错误,最怕犯重复性的低级错误,这是公司不能忍受的。
建立控制制度,有些事情非常重要:
一是区分不相容职务,就是奉行一个基本原则——两个人干一件事情总比一个人自己干要安全,因为两个人有一个监督和约束。有些工作天生不能由一个人干,比如会计和出纳不能由一个人干。我举一个例子,这是企业担保的职能,把担保这个环节中牵涉到几个管理环节,我1、2、3、4、5、6、7列出来,至少有7个职能,哪几个必须由不同的人做。现在,不相容职务如果划分出来,做出来以后仍然出问题,这种风险在哪里?什么情况下不相容职务分离开来最后还是出事了?串通。所有的控制措施最怕的一件事情就是串通。怎样解决串通的可能?这是每个公司都绞尽脑汁的事情。有的比较小的企业、有些老板会有一些私人的独门秘诀。有些老板说,我的独门秘诀就是今天出纳不在、会计在的时候说,你小子注意,出纳反映好几次了,你经常上班的时候遛出去,会计听到(之后)对出纳恨得都牙痒痒的;(但)等到他们两个人哪一天说穿了、说透了,(老板)就惨了,所以这不是控制,这是权谋。也有一些人说,我的基本原则是这两个人绝对不能一男一女,特别不能年龄相近,一定不能是同乡,不能(是)一个学校毕业的等等,让你两个人共同语言越少越好。怎么解决串通问题始终是一个困惑。关键岗位必须强制连续休假10天以上,休假期间一定有人顶岗。比如新加坡把英国银行搞垮的这些人都有一个共同的特点,工作特别辛苦,好几年都没有休假了。他怎么可以休假?他一休假全部都要露馅的。
二是明确岗位责任,我一再强调必须要有书面的岗位责任承诺书,每年要签一次,(这)带来两大好处。第一个好处是每年对每个岗位重新做一个复核,对他承担的责任做一个提醒,尽管是例行公事但至少是一个提醒。第二个,一旦有什么事情上法庭,有法律作用的文件,也就是说你承诺过必须尽到这个责任,如果你没有做到,(在)法律上必须负责任。岗位责任承诺书,现在基本上大的公司一定要你签,但岗位责任承诺书本身公司要有认证和复核,最怕你没有准确描述。
三是作业流程图,把每一个步骤落实到纸面上,你先走什么、后走什么。比如供应商评选,这件事情在每个公司中都是一个非常非常烦人的事情,为什么?因为很多作业流程都是非正式的,一旦非正式的东西放在纸面上来会发现无穷无尽的争吵。碰到类似的问题,四个部门的负责人放在一起,这个事情做下去了,一旦划到流程图不行了,必须先到他这里,我用流程做下去,四个人全部跳起来说,这怎么行呢?现在的话如果我同意了,你们3个人分分钟可以否决我,我说什么意思啊?现在他们3个人不同意的东西,我连看到的机会都没有了?一旦划到流程谁有权做什么,因为牵涉到不同部门的利益、牵涉到责任再划分,这是一个非常大的麻烦。
四、信息与沟通。现在是信息时代,让信息在企业中间起到一个良好的作用,这是极其关键的。对于信息控制,关键的一点就是在合适的时间让人得到合适的信息。这句话说起来容易,做到太难了。现在每个企业多多少少都有自己的信息系统,但天量的信息每天在产生,究竟起什么作用?企业里几乎没有人说得清楚。企业接触信息的授权在绝大部分企业里都是不精细的,信息系统由于很多看不见的东西,只要有人在里面有机会打一个补丁,带来的后果不堪设想。有的补丁损失还有一些,有的补丁带来很大的(损失)。
上海有一家法资超市,欧尚超市,里面有个小伙子管计算机系统,每天营业结束关门以后,他把营业数据汇总统计送到法国总部,这注定了他每天下班都在其他人之后。有时候他肚子饿,他有一天晚上肚子饿就走到超市拿面包,我在上班工作,拿一个面包吃,数量万一和计算机的数字不对,要负责任的。(于是)他就吃一个面包,打一个补丁,弄完以后发现这一招很简单,肚子饿就到前面拿面包吃。千不该、万不该,一天有个装卸工是他朋友,肚子饿不饿,要不要吃面包?你随便拿。你怎么有这个本事?我保证你没有问题。到底怎么弄的?我老实告诉你们,我在计算机打一个补丁,谁也看不出来。那个人比他多一个心眼,面包可以拿,那钱也可以拿啊!他说不对,钱我拿不到,钱都在收银那里。他说你别管了,收银员我搞定,计算机你搞定,这个人就买通收银员。他招募了20多名收银员,计算机上做一个补丁。(后来)法国总部发现这家分店每天营业额不如以前,好几个人查也查不出来。后来有一次法国来的人,非常偶然,捡起小票一看就知道,打出去有一个抵扣项,几个月的时间(他们)拿了200多万。超市是利很薄的行业,一个店拿掉200多万是非常大的数字。
计算机系统如果被人做手脚是非常危险的,但计算机系统用得好,有时候可以帮助你控制,毕竟计算机是毫不留情的。我有一个学生经营星巴克咖啡,他说有一家店老是怀疑有问题,因为这家店的营业收入和消耗怎么都对不起来,总觉得有问题。后来仔细分析发现,两家店串通,我们账上只进3杯,我给你还是给5杯,最大的可能就是每次收银机(打开)出来的时候,如果要做手脚停留的时间一定比平时长。他就测算这家店每次超过多少秒的收银行为出现的概率和其他分店是不是不一样?一分析,明显多,就知道这家公司肯定有问题,计算机告诉你的不可能有假,专门在收银机上偷偷装了摄像头,一查就查出来了,所以电脑可以帮助你把握风险,这是信息的质量问题。
五、监控。监控是到了最后一关了,就像足球场上的守门员绕过你进球了,所以所有公司领导一定想办法让你知道,你承担的是最后的责任。很多人没意识到我这个责任有多大。企业领导最后做监控通常用什么手段来做?签名。但太多人签名签得太随意。
我曾经在一家大型企业做独董,我就看不下去了,我说签名签得太随意,我开董事会的时候要求董事会给我一个授权,我这个要求太冠冕堂皇了,没人有理由否定,董事会一致同意给我这个授权。我拿着授权把风险控制的人召集起来,我说现在(我)得到董事会正式授权,允许我对监控做一次检查,现在你们只听我的,不听任何其他人的,做什么?替我把公司上上下下,从董事长、总经理开始所有人去年的签名随机抽查100个,列成表,要做的事情就是找到这个人说,你去年几月几日在什么东西上签名,现在请你告诉我当时签名掌握了什么证据?有什么理由相信你这个签名是负责任的?十有八九被问的人一头雾水。我把所有调查下来的结果列成一张表摊到董事会桌面上,我说这就是我们公司的签名。我这样做会对很多人以后签名起到非常大的提醒作用。
我同时(还)要做一件事,减少公司签名的数量,特别是要杜绝几个人共同签名。几个人共同签名说起来是集体负责,其实是没有人负责的。一方面减少签名,另一方面做到每一个签名的人必须让他明白你承担什么责任。
签名意味着三件事情。第一件事情是你掌握了签名所需要的所有证据;第二,你明白签名以后可能产生的后果;第三,你愿意承担签名带来的所有责任。所以一个公司要建立文化,让签名的人知道签名意味着三件事情,如果没有想清楚这三件事情你千万不要签,在这个立场上监控所起的作用。
企业现在大量工作实际上用中介在做,怎样善于利用中介的力量帮助你?比如审计师,审计师承担法定的发表独立审计意见的责任,但(这)并不妨碍你请他们帮你一个忙。我到很多公司都会对审计师说,我知道你法律上没有这个责任,但就算你帮我一个忙。什么忙?第一,你到下面去看,会看到很多不一样的地方,请你帮我注意观察一下我下面的人在干什么?哪怕他们在聊八卦的事情请你帮我听一听下面的人关心什么?有没有问题?第二,请你告诉我,我下面的人称不称职?你们的工作做得好不好,这样一来好处是什么?好处是审计费用一分钱也不增加,但额外得到了一些你想要的信息。企业所有的中介服务,你应该想方设法想一想,能不能让他多提供一点有价值的服务?
内部控制最怕的是什么?最怕的是制度形成、装订成册,锁进抽屉,从此无人问津,这是最可怕的。所以每个企业要保证制度做下去有后续的行为,这时很多公司想有一套措施,保证制度的缺陷能够得到及时的报告。所谓缺陷,一种是设计缺陷,一种是执行缺陷。有一家大型的集团公司采用的办法是每一家分公司自己报,你今年内部控制有几个设计缺陷,然后叫总集团审计部去查,两个数字分别报到董事长这里。这是一个非常大的羞辱,每一个分公司几年以后要报内部控制结果的时候都战战兢兢的。你必须要有一个办法让下面的人不敢掉以轻心。
网上调查很多企业内部控制执行最难的是什么?绝对占第一位是一把手舞弊。这是中国特殊的问题。中航油在新加坡出事以后,当初我们想要一点面子,是不是让中国证监会调查?新加坡交易所断然拒绝,说让我们调查,不能让中国调查,他调查以后形成一个200多页的调查报告,调查出来的第一个结论让所有人都大吃一惊。第一个结论是中航油的内部控制制度是世界一流的,他专门花了几百万的钱请安永会计师事务所设计了一套完整的内部控制(制度),而且他知道中国人比较讲情面、讲关系,两个关键岗位,一个是风险控制官,一个是操盘手,(这)两个岗位专门找了老外来做,两个澳大利亚老外,这样不讲情面。但是这么好的一套制度居然会出这么大的一个漏洞,接下来的结论非常简单,这套制度管住了所有人,除了陈久霖。换句话说,再好的制度只要有一个人可以置身制度之外,这个制度就是废纸。好的制度涵盖了所有人、所有的经营环节,这是一个非常明显的事实。销售付款,销售、采购这两个在所有制造性企业里都是最大的风险。销售和采购正好是两个阶段,做采购的人在公司是孙子,在别人那里是大爷;做销售在公司里是大爷,到别人那里是孙子。潜在利益非常多,销售的人说我稍微晚一点付款行不行?最怕(的情况是)你给他的工资明显低,而那个人还是每天阳光灿烂上班,十有八九这里面肯定有补偿机制在里面。
内部控制,如果你的大老板不是非常积极的想做这件事,我劝你千万别去干,因为这件事情没有真正高层的决心和热情,你一定做不下去。因为这件事情牵涉到两件事情对他影响最大。第一件事,利益格局;第二件事,成本。所谓利益格局是企业中间任何现行制度的改变,通常都会动到某些人的奶酪,你都不知道奶酪在哪里,你无形之中会伤害一些人的利益。比如采购制度的改变、供应商的选择,特别是一些公司推集中采购的时候,集团采购经常会碰到莫名其妙的障碍,这个障碍就是你动了某些人的奶酪。
公司做内部控制最经常出现的现象(是),公司老板推一套新的控制制度,部门经理就会说,老总啊,我同意,我们公司真需要一套新的控制制度,这套控制制度我从心底里赞成,但恐怕今年业绩完不成了,我个人觉得业绩完不成没关系,新的制度应该推。老板一听就急了,董事会承诺过。老总你不讲理啊,你又要推制度,又要达到业绩,这实在太难了,要么这样好不好?我知道业绩承诺过、公告过,今年全力以赴先把业绩做好,这个制度明年大家来推。这个话说完老板会说什么?老板说看来也只有这样了。明年还会不会推?十有八九提都不会有人提了。一个新制度推下去,如果你对阻力预先没有足够的估计,十有八九后果一定惨重。
二是收益与成本。你能够防范的风险仅仅是一种可能,但你花下去的成本是一个实实在在的数字,很多人讲我花钱有没有必要?因为你说的风险怎么从来没有发生过?如果你没有思想准备就做不下去。
三是控制和效果。控制程序越多就越不爽、越不方便,节奏越慢。如果你要高效率的,能不能做到?这个东西有时候就是非常微妙的,有时候一个离奇古怪的念头很可能证明是正确的念头。恒大许家印当时投票(买足球队),结果只要一票就够了,许家印不管董事会其他人,做得风生水起。如果按照正常风险控制的程序,许家印这个足球(对)是无论如何不能买的,现在买下来对公司是正面还是负面的?看起来很可能是正面的。换句话说,风险控制如果严格按照程序未必让你做出最有利的决策,(它的)作用主要是避免危险决策,但不能帮你形成最高效的决策。企业从根本而言是靠出好产品、好服务来挣钱的,不是靠好的风险控制挣钱的。所有企业的一切行为必须为企业创造价值。风险控制如果不能带来经营改善,不能带来价值增加,所有控制(行为)都不应该存在。所以必须要有经营观念在风险控制里面。
做风险控制本质上讲,是一个非常让人难受的工作。为什么?风险控制(从)根本上来讲,是一个成本中心。成本中心是什么呢?花的钱看得到,但真正产生的价值未必能看到。所以做这个行业的人非常苦恼的是风险控制要做到极致的是公司里大大小小的事情,一点事情都不出,但如果公司一点事情都不出,公司就会问要这些人干什么?
我举一个例子。现在外面有H7N9,禽流感得了这个病一定会死人,你相信我,花500元买这颗药,你吃下去,一年真的没有得这个病,我现在问你一句话,你会不会感激我?100%不会。因为你一年之后看,张三、李四、王五都没有得病。这里最大的问题是我们永远没办法证明本来就不会得病还是吃了我这个药不得病。如果企业没有足够的雅量,很多时候,在成本压力大的时候,这方面会舍不得投入;(但)等到你真正看出拿掉(风险控制)的作用,通常就太迟了。
⑵ 企业内控与IT内控有什么关系
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
参考资料:答案来自于谷安天下网站咨询顾问发表的相关文章
关键字是:企业内控、IT内控
⑶ 企业内部控制的要点有哪些
健全、有效的内部控制是抵御和防止各种会计错弊行为的有力武器。 企业内部控制制度主要包括内部牵制和内部稽核两大部分。 内部牵制主要着眼于业务流程中的职能分解和人员的职责分工,以便形成互相制衡、牵制的机制。内部牵制的主要手段包括职责牵制、分权牵制、物理牵制和簿记牵制等。 职责牵制指的是合理划清职责并进行适当分工,使组织中的每一个职位都有专人负责,每一个人员都有明确的职责范围;分权牵制指的是将每一项业务乃至每一个环节中不相容的职能予以分离,由两个或两个以上的部门或人员分别掌管,以避免由一个部门或人员单独处理某些业务的全部流程,造成舞弊的可乘之机;物理牵制是指将特定的管理职责与相应的专门程序或专门工具结合起来,以便落实管理责任,排除其他部门或人员单独舞弊的可能性,从而使出现舞弊行为时易于追查原因;簿记牵制是指利用处于不同加工处理阶段或置于不同载体之上的会计信息之间的内在联系所进行的牵制。 内部稽核或称内部审查,是指在企业内部设置专门的机构和人员,进行日常的查核和监督。 企业内部控制制度的要点主要包括: (1)建立和健全分工负责制明确职权,落实责任。 (2)不相容职务严格分离,并实行回避,主要的不相容职务包括出纳与费用、上入账目登记,实物保管与相关的会计核算,业务授权、授权与核算,业务操作与审核等。 (3)建立岗位轮换制度。 (4)完善凭证、账簿、报表体系,严格会计操作规程和凭证制度。 (5)坚持财务审批“一支笔”制度,落实专人负责。 (6)会计部门严格复核、审批制度。 (7)对重要财物设置限制接近措施,并责成专人妥为保管。 (8)设置内部审查或稽核部门,进行经常性的查核、监督工作。企业常用的内部控制方法如下: 1.内部控制的方法主要包括:组织结构控制、授权批准控制、会计系统控制、预算控制、财产保全控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制等。 2.组织结构控制要求贯彻不相容职务相分离的原则,合理设置内部机构,科学划分职责权限,形成相互制衡机制。 不相容职务主要包括:授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查等职务。 3.授权批准控制要求单位明确规定授权批准的范围、权限、程序、责任等相关内容,单位内部的各极管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。 4.会计系统控制要求单位必须依据会计法和国家统一的会计制度等法律法规,制定适合本单位的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。 5.预算控制要求单位加强预算编制、预算执行、预算分析、预算考核等环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。 预算内资金实行责任人限额审批,限额以上资金实行集体审批。严格控制抚预算的资金支出。 6.财产保全控制要求单位严格控制未经授权的人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产保险等措施,确保各种财产的安全完整。 7.职工素质控制要求单位建立和实施科学的聘用、培训、轮岗、考核、奖惩、晋升、淘汰等人事管理制度,保证职工具备相应的工作胜任能力。 8.风险控制要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估、风险报告等措施,对财务风险和经营风险进行全面防范和控制。 9. 内部报告控制要求单位建立和完善内部管理报告制度,全面反映经济活动情况,及时提供业务活动中的重要信息,增强内部管理的时效性和针对性。 10.电子信息系统控制要求运用电子信息技术手段建立控制系统,减少和消除内部人为控制的影响,确保内部控制的有效实施,同时要加强对电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。企业内部控制的内容主要包括以下方面: 1.内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制。 2.单位应当对货币资金收支和保管业务建立严格的授权批准程序,办理货币资金业务的不相容岗位必须分离,相关机构和人员应当相互制约,加强款项收付的稽核,确保货币资金的安全。 3.单位应当加强对筹资业务的管理,合理确定筹资规模和筹资结构,选择恰当的筹资方式,严格控制财务风险,降低资金成本,确保筹措资金的合理使用。 4.单位应当合理规划采购与付款业务的机构和岗位,建立和完善采购与付款的控制程序,强化对请购、审批、采购、验收、付款等环节的控制,做到比质比价采购、采购决策透明,堵塞采购环节的漏洞。 5.单位应当建立实物资产管理的岗位责任制度,对实物资产的验收入库、领用发出、保管及处置等关键环节进行控制,防止各种实物资产的被盗、偷拿、毁损和流失。 6.单位应当建立成本费用控制系统,做好成本费用管理的各项基础工作,制定成本费用标准,分解成本费用指标,控制成本费用差异,考核成本费用指标的完成情况,落实奖罚措施,降低成本费用,提高经济效益。 7.单位应当制定恰当的销售政策,明确定价原则、信用标准和条件、收款方式以及涉及销售业务的机构和人员的职责权限等相关内容,强化对商品发出和帐款回收的管理,避免或减少坏帐损失。 8.单位应当建立科学的工程项目决策程序,明确相关机构和人员的职责权限,建立工程项目投资决策的责任制度,加强工程项目的预算、决算、招标、投标、评标、工程质量监督等环节的管理,防范工程发包、承包、施工、验收等过程中的舞弊行为。 9.单位应当建立科学的对外投资决策程序,实行重大投资决策的责任制度,加强投资项目立项、评估、决策、实施、投资处置等环节的管理,严格控制投资风险。 10.单位应当严格控制担保行为,建立担保决策程序和责任制度,明确担保原则、担保标准和条件、担保标准和条件、担保责任等相关内容,加强对担保合同订立的管理,及时了解和掌握被担保人的经营和财务状况,防范潜在风险,避免和减少可能发生的损失。
⑷ 公司内部控制的控制点设置的越多越好是否正确为什么
错误!
应该在关键节点设置控制点,控制点设置过多反而没有重点,导致失控!
⑸ 企业内控标准能比厂家标准少很多吗
“企业内控标准”和“厂家标准”有区别吗?
《中华人民共和国标准化法版》中规定:“企业生产的权产品没有国家标准和行业标准的,应当制定企业标准,作为组织生产的依据。”、“已有国家标准或者行业标准的,国家鼓励企业制定严于国家标准或者行业标准的企业标准,在企业内部适用。”
“企业内控标准”和“厂家标准”似并无本质上的区别。
⑹ 从内控角度来讲,一家企业长短期借款占总资产比例达到90%多,这说明了什么问题
这说明公司资产负债率达到百分之90,这是相当高了,整个公司就没什么自己的钱了,都是借的,每年的利息费用可能导致公司资金链断裂,导致破产的
⑺ 内部控制对企业管理的意义有哪些
内部控制企业为了维护物质的安全、会计信息的有效性、财务活动的合法性等,而采取的谬种措施和方法。内部控制在企业的发展过程中起到了规范和引导的作用,因此很多企业为了提高自己的综合实力,常常会为自己的企业设定科学化的内部管理体系。加强内部控制的研究,是当代企业管理的重要内容,因此本文针对企业内部控制的建立及其在企业内部管理中的作用展开了研究。
(一)划分企业部门职责内部控制的最为主要的作用就是可以明确企业部门的职责,企业部门之间只有做好工作的划分,出现问题时才能够更好地找到相关负责人,并及时将问题向上级反馈。同时在内部控制的管理下,企业部门和员工能够更加高效地完成自己的任务,提高企业的整体效率。
(二)规范企业管理企业的管理必须要在一定的管控下进行,这将有利于企业的稳定和长久发展,因此企业应充分发挥内部控制的作用。健全的内部控制制度可以帮助企业实现企业的明确分工,员工在内部控制体制的约束下,才能够更好地为企业的发展尽心尽力。规范化的内部管控,对于实现企业的健康发展非常有利。
(三)规避企业风险加强企业内部控制不仅仅是企业的内在要求,同时也是保证企业有效规避风险的重要手段。尤其是在现代激烈的企业竞争下,企业更加需要内部控制来帮助企业规避风险。尤其是在内部控制的管理下,企业上下部门和人员都能够认真履行自己的职责和义务,所谓不以规矩不能成方圆,因此企业能够在内部控制的管理下稳定的运行和发展。
(四)规范企业会计工作加强对企业内部控制的研究,可以从企业会计工作着手。企业内部控制制度的内容之一就是要求企业,按照会计法的相关规定为企业单独制定会计制度。规范的会计制度可以帮助企业做好会计工作,让会计人员在规定下踏实工作,使会计信息更加准确、可信。
⑻ 请问谁有中小企业内部控制的案例啊最好数据多点的那种,劳驾发给我一下吧!感谢!
建立内部控制制度为经营管理做好服务
中国广东核电集团
中国广东核电集团有限公司(以下简称广东核电集团)从1979年筹建,向中国银行贷款3亿美元作资本金起步,与香港中华电力公司合资设立广东核电合营公司,负责建设和经营大亚湾核电站,到1994年国务院决定以大亚湾核电站为基础,组建中国广东核电集团有限公司至今,已经走过27年历程。按照“以核养核,滚动发展”的方针,广东核电集团在大亚湾核电站的基础 上,又开发建设了岭澳核电站,大连红沿河核电站和福建宁德核电站,现有13家主要成员单位,已形成以核电为主业,常规清洁能源开发、金融服务、信息技术研发和后勤服务配套发展的新格局。截至2006年1月,广东核电集团拥有总资产579亿元人民币,净资产232亿元人民币。两座正在运行的核电站拥有4台百万千瓦级发电机组,年发电能力达300亿千瓦时。
广东核电集团多年来之所以能够取得良好的经营业绩和始终保持健康发展态势,其中有一条重要原因,就是集团内各公司的管理层,都高度重视企业内部控制体系的建设和内部审计监督。
一、建立科学的内部控制体系
内部审计对公司经营管理的监督评价活动,是以内部控制为主线来组织开展的,健全完善的内部控制制度体系既是各公司健康有序运行的基本保证,也是内部审计工作有效开展的前提和基础。广东大亚湾核电站建设初期,就参照香港中华电力公司的管理体制、机制,结合自身的实际,逐步建立了一整套行之有效的内部控制体系和审计监督体系,实行科学的程序化管理。通过各种技术程序、行政管理程序明确了各部门之间的职责分工与相互接口,确保所有重要的经营活动都能做到“有章可循,有据可查”;通过建立科学的授权管理体系,合理地分配和约束权力,真正做到“凡事有人负责,凡事有人监督”;集团公司成立后,通过推进集团公司管理政策和相关配套制度建设,不断规范母子公司管理。这一系列内部控制措施在核电站的工程建设、运营等方面发挥了巨大的作用。2003年初,广东核电集团审计部在组织对集团公司治理及母子公司管理控制模式进行系统研究的基础上,又提出并实施了从策略控制层(政策)、管理控制层(制度)、运作控制层(程序)三个层次构建集团政策程序框架体系,与管理政策相配套的还有62个制度。集团公司管理政策从“公司治理”、“战略管理”、“人力资源管理”、“财务管理”、“安全质量与环境保护”、“科技管理”、“商务管理”、“信息化管理”、“公关宣传与企业文化”和“行政与后勤管理”等10个方面,明确了集团公司与成员公司的职责及分工,规范了集团公司重要事项的管理原则,为集团公司整体协调有序运作确立了行为规范与准则,为实现集团公司发展战略提供了制度保障。在推进建立集团公司政策程序框架体系的基础上,各成员公司根据集团公司管理政策和配套制度的要求,也对原有的制度、程序进行全面的梳理和修订,逐步形成了集团公司上下原则一致、层次分明、各具特色的内部控制制度体系,逐步形成了具有广东核电集团特色的内部控制制度体系。
二、开展有效的内部控制审计
1、理顺内部审计管理体系。大亚湾核电站引进香港中华电力公司的审计理念和模式,设置了总审计师,直接向董事会报告工作,行政上接受总经理领导的双向负责制,在实际工作中体现出了较强的适用性和优越性。向董事会负责,有利于保证内部审计较高的独立性和权威性,从而有效实施对公司的全面监督,公司董事会也能够通过内部审计及时了解公司经营管理情况,及时采取措施,降低公司的经营风险。定期向总经理汇报工作,融洽了与总经理的关系,也有利于内部审计工作的开展。内部审计的主要职能是提供管理咨询及监督服务,促进增加企业价值,这也是股东的终极目标。大亚湾核电站的内部审计管理模式,用程序规定的风险分析评估方法,从公司管理目标计划和预算、政策和程序、组织机构分工和授权、管理信息和记录、资产管理与效益、员工培训、合同管理与成本分摊7个风险因素方面,对公司的主要业务活动逐项进行评价与分析,确定每个项目风险的高低,并全部列入“审计项目清单”。“审计项目清单”是制订周期性循环审计计划和年度专项审计计划的依据。通过开展以风险为导向的全方位的审计监督,确保了内部控制系统的健全性和有效性,有效控制了不正常事件发生的可能性,为集团公司生产经营活动的正常开展创造了条件。
2、以预防为主加强事前、事中审计。内部控制审计的根本宗旨是“增效益、防风险”,本着“以防为主,防范胜于纠正”的审计理念,广东核电集团始终将内部控制审计的重点放在事前的防范和控制上,适当兼顾事中的检查和事后的监督,建立以预防为主的约束与监督机制。通过将控制点前移,发现违规现象及时报告和处理,尽可能地将不正常事件消灭在萌芽状态。如对于超过一定金额以上的采购项目,审计部门在合同招评标阶段就介入,并对采购过程中的各关键点,包括:采购计划、立项申请、供应商选择、评标规则、价格谈判策略、合同推荐、合同条款、授权审批等进行全面的监督,确保采购过程规范,并取得最佳采购效益。在合同执行过程中,审计部门对合同的执行情况、变更情况进行跟踪,发现问题及时提出整改意见。通过开展事前、事中的内部控制审计,避免了潜在的风险损失。
三、提高内部控制审计质量
1、推行审计公示和问责制度。通过对以往审计发现问题的分析,找出制度不严、有制度不执行、管理不规范或内部控制有盲点的主要原因,通过三个“必须”,即对审计发现的问题必须查明原因,对审计建议和改进措施必须落实,对相关人员的责任必须追究。解决屡查屡犯的问题。通过强化审计的问责制度,确保了审计的效果。在强调审计“问责”的同时,我们积极推进审计“公示”,实行审计公告制度。
2、整合监督力量,创新监督模式。整合纪检、监察、审计、监事会等监督机构,形成一个有机的整体,协同配合,发挥监督合力。一是推动建立集团内部控制监督联席会议制度。联席会议由集团公司党组和总经理部领导,纪检、监察牵头,审计、财务、资产管理、人力资源管理等负有监督职能的部门参与,沟通和分析集团在物资采购、工程招标、资金管理、资产处置、产权转让、改制重组、人力资源管理、合同商务管理、投融资管理和安全质量管理等关键环节上的有关信息和情况,适时分析集团内部控制监督工作中的新情况、新问题和新形势,研究内部控制监督工作的重点和有效方法,提出解决的意见、建议和措施。集团公司审计部承担联席会议办公室职能,按时汇总相关的信息,提出需要关注的问题,并及时跟踪落实有关问题的整改。二是整合审计监督和监事会监督,通过健全完善成员公司的法人治理结构,规范监事会运作,来进一步强化监督。集团公司审计部对成员公司的监督和监事会的监督同样是代表股东的监督,其目的具有高度的一致性,过去由于二者之间缺乏有机的联系和整合,在监督作用的发挥上,存在一定的不足。为此,集团公司调整了成员公司监事会管理和运作模式,在集团公司审计部设立了监事会办公室,成员公司的监事原则上由集团公司审计人员兼任,集团公司对成员公司的监督将主要以监事会年度检查的形式进行,形成监事会年度检查报告后报股东会。这既理顺了集团公司审计部与成员公司审计部的监督分工,又进一步完善了各公司的法人治理结构,充分发挥了监事会的监督职能,起到了事半功倍的效果,确保内部控制审计的质量。
摘自:中国内部审计
⑼ 怎么健全企业内控管理制度的措施
(一)努力营造良好的内部控制环境
内部控制环境,是指内部控制环境所赖以依存和运行的、对其建立和实施发生影响的各种内部、外部因素的总和。主要反映管理者和其他人员对内部控制制度的态度、认识和行为,它是内部控制制度运行的基础。没有良好的内部控制制度环境,内部控制制度的目标、内容、方法等都不可能得到有效的实施。根据当前企业现状,营造良好的内部控制环境,需要做好以下三点:
1、加快企业法人治理结构建设步伐
企业法人治理是所有者董事会监事会和高级管理人员组成的一定制衡关系。完善内部控制制度,首先需要规范法人治理结构,因为内部控制制度处于公司法人治理设定的大环境下,内部控制制度能否有效运行与公司法人治理结构是否完善有很大的关系。从所有者的立场出发,不单单要把企业最高管理者行使权力的过程纳入内部控制制度的监控范围,而且要将其作为内部控制制度的重点监控对象。明确股东会、董事会、监事会和经理层的职责,是其各司其职、各负其责、协调运转、有效制衡。
2、加强企业人员的教育,提高企业人员的内部控制及风险意识 要使内部控制系统的功能按预定的目标正常发挥,必须配备与承担的职务相适应的高素质人员,故要强调以企业人员为本,要求企业内部要充分发挥企业人员的作用,依靠提高企业人员的综合素质道德水平和法规意识,充分发挥企业人员的主动性积极性和创造性,从而达到内部控制的最佳效果。除对人员素质的控制,还可以对人员的职务进行定期轮换,不仅使某项职务的承担人员发生的错弊能在短时间内被发现、纠正,而且可以促使工作人员兢兢业业工作,以便交接时经得起检查,从而达到增强内部控制的功能。内部控制制度的成败,取决于企业人员控制意识和行为,而领导者内部控制的意识和行为是关键。企业领导层要积极支持整个内部控制制度健身,推动和实施内部控制制度和风险管理文化,使内部控制及风险意识在企业人员内部得到广泛认同。
3、重视道德规范建设,建立良好的企业文化氛围
企业文化是一个企业长期经营实践中所凝结起来的一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式。良好的企业文化氛围能为企业控制程序的执行创造良好的基础,在完善控制环境中起着重要的作用。企业内部控制应当建立在共同的伦理道德规范的基础上,形成真正意义上的团队精神。只有当企业的每个员工信仰明确,思想鲜明,都能以主人翁的态度参与企业管理,充分发挥其主动性、积极性与创造性,内部控制才能更有效。
(二)加强对内部控制制度的执行力
内部控制制度能否发挥其效能,执行时关键,因此一定要做到有法可依、执法必严、违法必究。首先,各企业领导人要转变思想观念,充分重视内部控制制度的作用,变被动为主动,充分考虑本企业的规模、生产经营特点、员工素质的因素,设立相应的机构。企业经营者应加强对广大员工的素质教育和法制教育,增强他们的使命感和责任感,各负其责、各司其职、相互监督,保证企业内部控制制度的贯彻落实。特别是要改变以往内部审计机构从属财务部门,内部审计人员也多由财务人员兼任的局面,设立企业的内部审计部门,保障其独立性和权威性,充分发挥内部审计对内部控制制度的审查和评价作用,借以维护财经纪律,改善经营管理,提高经济效益。此外,还要提高企业员工的政治和业务素质,可以通过招聘制、考评制、轮换制等,选拔综合素质高、业务技术好、管理能力强的人员担当相应职务。强化内部控制制度实施情况的检查与考核,建立有效的激励机制,对于严格执行内部控制制度的,给予精神鼓励和物质奖励;对于违规违章的,坚决给与行政处分和经济处罚,并与职务升降挂钩。最后,国家对于拒不建立健全相应企业内部控制制度的企业,要严加惩处。为了保证企业内部控制制度能有效地发挥作用,并使之不断的得到完善,企业必须定期对内部控制制度的执行情况进行检查与考核,看企业内部控制制度是否得到有效遵循,执行中有何成绩,出现了什么问题,为什么某项内部控制制度不能执行或不能完全执行,估计可能产生或已经造成的后果。
(三)健全企业内部审计制度
在现代企业制度中,内部审计已成为内部控制制度的重要组成部分。内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。它通过系统、规范的方法评价和改善组织的风险管理、控制和管理过程的有效性,帮助组织实现其目标。对当前内部审计存在的薄弱环节,企业管理者应采取有效措施,增强内部审计的权威性和独立性,真正发挥内部审计的作用;拓宽内部审计的范围,在做好财务审计工作的同时,广泛开展管理审计。内部审计工作的职责不仅包括审核会计账目,还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行制定职能的效率,并向企业最高管理部门提出报告,从而保证企业的控制制度更加完善严密。
⑽ 为什么内部控制并非越严格越好,而是越有效越好
因为有的时候严反而会适得其反