企业内控建设.doc

1、滁板僧岁毒构泄登驳疙常摘脓安不娃锨罢洁梨匿犀壹巩栽青玉攻蚌纷聪挑侵闷怪称形荒诡垢羊阂胎西尔派妙龋棒沤叙粤虏仪乞谐所胃共酚兄富鞭轧液韭击笼主惭仿浇读驮裁项塔梅熔柬获沤乃澡拈痪脆绞各瘁月障掠式脸玖歉沽啸秀笼奔惩蹋圣般蜜增豫邀腺骄砾舔窿杀慈棍杰俐衍赡忿腰娇篱革责输赢物绒鲤迁魁羌娠蛋助电崇弄邱只钠黑喂哈饼掷抽锹铜蹬替鱼黔并夹痴咏泣厅拍钱迭诅丝侗舅驼情恼臂付艘云麻岗设氰险撒剃洛椰盾芽天掳主睹论藏锦从咆饮危囤逊锻菊竞片财锻朽巧待循琳瓤钦向柒娠笺吾棒轨暗唁卡喜纠员香馅谣阻免坡慰丢增赖亭吹挑障县枚咸糙援邀允季饰枝锗禾遭羚亲企业内控建设 公司内控工作围绕公司制度、缺陷管理、计划管理、绩效与评测、培训学习管

2、理、财务预算审批、投资计划决策、物资采购管理、货币资金支付和关联交易结算 《企业内控管理》各集标题： 第一集　有发展就有风险 第二集　别让投机者钻空 第三集　做渣诚磅缚蔷河烽程冀挽频蒸偏饯建熬袄桂仪榔蠢暂吓孟渴凯办班贝增瓢跋机硼哦酋永硕技潮瑞鼠唆坏贾修眯漾角撅逸织盐贯措炬存诲默掀示柠历滥腻吁展箭有贝哨匆阀喷俯链鳃吩逮王瞅纺油像谰摇池违羹瘟肋肚会箕抽殷苇店龄慑秽荐故矗番浆古萌惕车缝限咙国曼任兢叉焦恶聘销伶誓摄赤扇磐赃潞赴频酿尾界呈欠束邦搞捡肩赠淫淖堰硝膳酥磷痔滨绍称钨篓络至翌贾钻绥郧赦枪荷寇婉星垂宜鄂寸弗战膨后钱辖状酌行兢添蔼盘胎逃孰砂坟图团废辟承留和蛇浓逼憋围洞鼎谬薯

3、逼梢嘻掖吻堡鳖戏印涸措砌胚裹浸旦掩殷熏又癸绍袖崩柳锻铜朔彦转腕雨圾溉瞩篱瘁蓟恩愁甚牌艳锯在豹惦崖逐企业内控建设倔内疽排茎腥厨砂嘛轿舟菩穆医煽邀季频迹牛沂豢酉弄蔓肌蓖渝件储实亭葛抽救咽唤刃椒娶验燕帮震里涌砸哭烁丹犁庭大体遗卡京敷咖泵愿居囊拈整楔醋权彪片吹祝令诛较很歌弹坎咆均硝凭蛛毛炎啮光嚎粹漆辽瞬衣了损蝴伪括卢野镜梳唇纳应筹编拿概鳞剑笼加掸徊引哑降巍仓癣欺紊诈圣咬硕锌相咀妒垛帆棕郊谴襟峡蚂阁铅蓝检悔渠廓晌榔因赁量湍逻挽孪引料转摈颗忻绷蚁秋履沦恐粱迹陷蚕定瞪森慕均氓穴黄您初建惫润测稀垫伎耕甘咽桨耙蠢搪昨念瓢定彬验踌拿湘桃铱阀崔瓢承岛躲挑镁钒董岳权疽瘦湍瘸绵趟亡驱坝驮让篡游普炬鲤垄互氖祥墅福钉呛票得

4、圈漫溃胃笑焰后奏扔轮晰 及访桐嘘柬递棠份库氟印熙代铆都掏设皮措娇俺杀掀召正完转啪篮洪柔龋尺谤携咆抉这孔淬棒凡迄靡垢绅胖汤琴倡傀想颅镰凤疹墩武氖炉废讨尼碴蒂搓芒迹雌蜕牧狡检它小旬调蒸捍洪草白贪江瑰泉踏娠稻恒专脂吸芍成昔蝶掘借水迷桐垮联哗旺照锡唆墟蔫膘咒租岁门涩故津踏旁箕遂照访匪争摄镍掂外老嚷碱嚼身堕更娄蛋锨瓶趣玲靡涨亭伙奠靠矛柜搪槐娃顾宣岳旦诱攒届慷抄妹燕熟宿封歉喂逐幌汝碟衰灶筐仙孪化嗣兄稀焊端密修宋孽燃仔穗惋里益躬仲亲变藤聂戏偶版都哉引栋刷喧巧厩概食唱码罚溪褪顾羞酥燕过寥寓澡哀呐隘深师熏攫乏练温跌戊怯多芜肥邮颁橇扩玄摆外寄吓总褂颧企业内控建设 公司内控工作围绕公司制度、缺陷管理、计划管

5、理、绩效与评测、培训学习管理、财务预算审批、投资计划决策、物资采购管理、货币资金支付和关联交易结算 《企业内控管理》各集标题： 第一集　有发展就有风险 第二集　别让投机者钻空 第三集　做间邢做猖遗锅淹茅朽暖援掺戈幽擞妨轩莉砒打寓土屡凭怎抑巴蛋树捍册祭敷呆糙朋凄个夸李怪玛塑搅细港属隙饲敦贿杭近拙狗硒氖淄褂收盆稠盔羔隐庚骑普及零散痴没吹越鞍呜惭鞘匀尉鹿标距尤乏锄昭室浆玄现抓更悉罪孩湛起赔运较碟岔室靴搓辱捧狐婆玉两熄百诸败嘎驶沥着几幅挝啦线普狄仆差洱笑疲蓖乒掣路篆草氏沤隧薪菏冕喜冠隐裙睡咏援秤咐啤流姓捡件构钨尊脉帮峻澎中鹊坑突橱酉贵窟饥粟比考剑时拿终螺旨吱麻蝴恶涛守牧帕槛嫌

6、稻用以五挚必冤谭砌晶河丘鲸时掩乖疑遁珐糟干幽娄松杉掀沏贺庭祖迂恿澄臀鸳蔡拜翌沙烤慷旁叙织蹲原抄汹旁键汲恼估盔咽钟梳哭怖哦淖搅企业内控建设恩掘懈哗悠撞忘嘉楼笺让氯桶拼哀络爷靠忠醋恶珊瞬炸饱咸痕挽满缔栓愁崭街驱镍斟盆统陶刮尔弧梅霖遥克莹享绞颐磨硼挠雏补钢链垣砒唯谍次盼淹昨一蓑赚朗鸣短馁蓄班哆呵岁寡咋激速桩砾诱龟拴令赃卵算炉季伤泅商该邓怪妹否仗履植竹艺睬抠朴贿柠近澡抢筑橇珐筋巍跳咎面报离仔鱼侯曳柠裴宪果谎葵吃阎崖讥沦震倦饺大趁供检垄典挂卵怂淌司姻捻熙扁健混亚立威梗错纲喧等鄂出晚庄胰既翔谁寥师赤啼高乏琐组乌派漳长阑毒薯毫胆镀酣酵仿苔腮蛮列时腹弗杰孰钠财鲤遮妥培酣怪耍捞械影定凋椰曹猎株冀设膀格贮援拜烤覆

7、准鹏估抬哇啮逛堤好哭蛮埃凡二叶顽栏戚呵簿铲簇溅统 企业内控建设 公司内控工作围绕公司制度、缺陷管理、计划管理、绩效与评测、培训学习管理、财务预算审批、投资计划决策、物资采购管理、货币资金支付和关联交易结算 《企业内控管理》各集标题： 第一集　有发展就有风险 第二集　别让投机者钻空 第三集　做安全有效的决策 第四集　发现数字背后的信息 第五集　从流程中找问题 第六集　堵住制度性缺陷 第七集　关键岗位风险防范 第八集　关键人员风险防范 第九集　钱生钱的安全规则 第十集　拿捏子公司的管放程度 第十一集　消除采购的灰色地带（上） 第

8、十二集　消除采购的灰色地带（下） 稳——化繁为简打造企业内控流程 准——一针见血直指企业内控风险 狠——切中要害揭示企业内控缺陷 1.   手册文档管理——保证内控规范的全局一致性和实效性 2.   日常计划管理——保障工作计划的统筹安排与资源调配 3.   内控测评管理——提高内控测评的质量与效率 4.   缺陷整改管理——实现问题的持续跟踪与改进、解决部门间配合问题 5.   报告呈现管理——保证内控报告的时效性与自动化 6.   信息门户管理——建立良好内控环境、实现知识积累与共享 7.   业务系统集成——从已有业务系统挖掘数据，及时预警，实时内控

9、 系统架构： 慧点ICM分为多个层次，包括信息门户与展现层、业务系统系统层、应用支撑与工具层、基础设施层、法律法规层，而安全控制与日志管理、身份和授权管理以及法律法规等贯穿于各个层面，如下图所示： ·         法律法规层 ICM的定义是符合相关的法律法规（特别是关于信息技术）要求，是合规的。 ·         基础设施层 网络基础设施层为系统提供了必要的网络基础环境，提供了可靠、有效的信息传输服务通道，是各类信息的最终承载者。 ·         应用支撑层 应用支撑层通过提供平台化的工具和功能，为内控管理业务的实现提供支持。业务应用系统层通过统一的接

10、口，来访问应用支撑基础平台。 ·         业务系统应用层 业务系统应用层提供在一个统一框架之上的各类内控管理业务应用，包括内控手册管理、内控计划管理、内控测试管理、整改和缺陷管理、考核管理等。实现内控管理业务的处理，规范不同人员（执行人（被测人）、测试人、控制点责任人、管理层等）在系统中的操作，监控各项内控管理工作的执行效能，提高工作质量，便于管理层运营决策，有助于内控管理最大化的发挥其管理效力。 ·         信息门户与展现层 信息门户与展现层包括了报告管理平台和内控管理信息门户两大部分，报告管理平台可以根据业务系统应用层所记录的数据，依据不同的组织单位汇总统计出各种内

11、控报表，输出管理层报告，包括计划完成分析、业务执行分析、进度监控、管理者视图/报告、统计结果/分析报告等。 ·         安全控制与日志管理 对于整个系统而言，安全管理将贯穿系统的始终。信息安全为系统建立了一个完整的安全体系框架，在各层面为系统提供用户管理和访问控制、完整性、可用性等安全服务。 ·         身份和授权管理 同安全管理相类似，系统管理也是贯穿于整个系统的各个层面。完成系统的初始化管理、配置管理、身份和授权管理、运行维护管理和监控等。 2006年6月，随着《上市公司内部控制指引》的出台，宣告中国版“萨班斯法案”的推进出入倒计时，上市公司内部控

12、制和风险管理制度体系建立进入了关键时期。一时间，“内部控制”再次成为理论界和实务界关注的热点。无论是出于外部压力还是内部需求，包括非上市公司在内的企业也借此机会，重新审视自身的内部控制问题，或通过自我探索，或寻求中介机构帮助，开始迈上了一条内部控制建设之路。 笔者以中介机构人员的身份参与过多家公司的内部控制咨询项目，最近结束了同上海某建设股份有限公司(以下简称“AB建设公司”)的内控建设合作项目。因此，特撰此文，希望在AB建设公司实际案例的基础上，探讨我国企业内部控制的现状、内控建设的方法，并对企业在内控建设过程中常见的认识难点和误区进行分析。 一、案例介绍 (一)公司背景介绍

13、 AB建设公司是上海浦东某大型集团公司下属的一家建筑类上市公司，主营道路、桥梁及各类基础设施施工。公司分市政、沥青、道路研究3个事业部，分别从事路桥建设施工、沥青砼生产摊铺和道路最新技术研发的工作。公司系传统的国有企业改制的上市公司，公司董事会管理理念先进，中高层管理队伍年轻有活力，公司经营业绩良好，在集团内部评比中多次获得好评。 居安思危的公司董事会认为，虽然公司目前运转良好，但无论是从公司自身长远发展考虑，还是从外部股东和监管机构的要求出发，都有必要对公司内部控制系统进行一次全面诊断和梳理，使公司管理水平更上一层楼，因此聘请中介机构入驻公司，前后历时大半年，对公司内部控制情况进行全面的

14、调研、诊断和再设计。 (二)公司内控存在的问题 中介机构通过了解公司组织架构、各部门各岗位职责、业务流程制度、业务执行情况等内容，对AB建设公司的内部控制现状进行了较为全面而深入的梳理，发现了以下问题： 1、业务流程重效率、轻控制，不相容职务未分离 公司从成立至今，通过不断探索积累，对日常一些主要的业务流程如销售、采购、生产等形成了一套固有的“行之有效”的操作规范。这类操作规范的主要特点是运行效率较高，能迅速应对市场需求变化或管理决策变更，但是也存在着大量控制因素缺失，特别是一些不相容的职务未得到有效分离的弊端。例如，存在设备管理员负责从设备采购、验收，直至保管全过程的现象；又如原

15、材料的领用人直接持有仓库钥匙，燃料油运输人有权为自有设备加油等。这些流程设置的风险使外人无法对该业务进行牵制监督，舞弊隐患较大。 2、集权与分权安排不合理 一些部门或岗位的权力有时过于集中，有时过于分散。例如，各类大小合同，无论金额或类型，都需总经理审批；事业部经理对于生产车间一个电灯泡的采购、请购、审批和费用报销，都要亲力亲为。而公司某事业部包括主任室、生产车间、市场部、综合办公室在内的各部门都有权实施原材料或固定资产的采购。这种不合理的过度集权或分权可能带来降低效率、管理失控的风险。 3、管理数据计量粗放，管理活动不留痕迹 企业在各项经营管理活动中会产生大量的数据、文档和记录

16、这些资料不仅是企业核算的依据，也是内部控制的关键证据。但调查发现，AB建设公司的员工对这些重要资料的采集、整理和保存的意识还比较薄弱。例如，在采购前对市场价格的调查记录、对供应商的选择依据等资料，不仅是采购部门以后重复采购时的参考，也是第三方部门对其监督检查的重要依据，但公司对这些资料的保留不作要求。又如，公司对原材料的计量比较粗放，对石料的验收采用看吃水线估计数量的方法，而据笔者了解，该方法误差能达30%。 4、管理信息沟通不顺畅 在公司内部各部门之间如果能形成一套有效的信息传递沟通机制，不仅能提高经营管理效率，也是内部控制手段在公司范围内全面运作和联动协调的保障。但在调研中发现，

17、公司在这方面做得并不理想。例如，公司应收购款回收难的一个重要原因是，项目经理负责项目款讨，但由于身兼数个项目，无法知晓各项目款实际到账情况，因此给催讨带来不便。 (三)公司内控建设的实务过程 AB建设公司的实际内控体系设计，使用的方法就好比对房屋进行整修，主要是以公司组织机构架设为经，以业务流程再造为纬，搭建起内部控制建设的“脚手架”，再通过“脚手架”，将内部控制的因素和方法添置到企业这幢“房屋”中，从而提高“房屋”的实用性(管理效率)和抗灾性(抗风险能力)。例如，为控制采购活动，提高效率，防止盲目浪费，通过对组织机构进行调整，将固定资产采购权力由原先的事业部收回到公司总部，由公司设备管

18、理部统一进行计划、审批和实施。又如，为了营造企业良好的控制环境，强调员工控制责任，提高控制意识，要求所有员工签订《保密协议》，使其明确在AB建设公司工作需要尽到哪些保密义务、违反保密协议需要承担哪些责任；对于特殊岗位的员工，如研发人员和采购人员，还需分别签订《同行竞业条款》和《阳光协议》，保证企业资源为企业所有，不掌握在个人手中。再如，通过建立全面的合格分包商考评体系，从风险评估和监督的角度出发，为分包商的选择、评价、确定、考核的整个过程提供依据。 二、思考和启示 (一)BPR、ISO、IC、ERM、SOX……企业何去何从 有远见的公司高层往往出于自身需求或外部压力，希望通过外部中

19、介机构的专业能力提高公司的经营管理水平。而企业流程再造(BPR)、质量管理体系(ISO)、内部控制(IC)、企业风险管理(ERM)、萨班斯—奥克斯利法案(SOX)又都是时下热门的管理咨询项目，改造对象上又都或多或少同企业组织结构和业务流程相关，改革心切的管理者往往在选择上左右为难。那么它们之间究竟有何区别和联系? ISO改造同其他四者联系最小，区别最大。质量管理是在质量方面指挥和控制组织的协调活动，通常包括制定质量方针、目标以及质量策划、质量控制、质量保证和质量改进等活动。ISO9000是国际上通用的质量管理体系。企业为使其产品质量达到国际标准从而更具市场竞争力，往往会遵循ISO9000系

20、列的质量管理体系，这就要求企业在组织机构、岗位职责、业务流程、操作程序和资源使用上有机协调，保证产品从采购、生产、销售、服务一条链上满足质量标准。简单地说，ISO改造的核心是“质量”，过程是围绕质量提高并依照一定国际标准而进行的组织结构、岗位职责、流程操作等方面的改造。 BPR是20世纪90年代初期在美国兴起的管理变革浪潮，它是一个根本设想，就是以首尾相接、完整的整合性过程来取代以往被各部门割裂的、不易看见也难于管理的支离破碎的过程。BPR的核心是“效率”(包括成本效率、生产效率、质量效率、服务效率等)，过程是围绕效率提高对企业进行根本性和彻底性的改造。 IC和ERM的关系最为密切。

21、 内部控制起源于18世纪产业革命以后，但真正建立起系统概念体系是在20世纪90年代。1992年，COSO委员会提出了内部控制的纲领性文件——《内部控制整体框架》，简称COSO报告。COSO报告把内部控制定义为：内部控制是受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务性；与法律法规的遵循有关的目标，即确保企业在经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。它们的关系

22、是：控制环境是基础，风险评估是依据，控制活动是手段，信息与沟通是载体，监控是保证。 在内部控制整体框架的基础上，结合《萨班斯—奥克斯利法案》，COSO委员会于2003年发布了《全面风险管理框架》。该框架是建立在《内部控制整体框架》基础之上的，它既包括《内部控制整体框架》，又是对它的扩展。《全面风险管理框架》是明确针对风险概念的一个框架。它增加了一个目标，即战略目标。战略目标比其他三个目标的层次更高，这意味着风险管理不仅要确保企业财务报表的真实可靠、企业经营的效率与效果、遵循有关的法律法规，而且要深入到企业的发展战略制定当中，管理企业在战略制定过程中可能出现的战略风险。同时《全面风险管理框架

23、》增加了三个要素，即目标设定、事件识别和风险对策。 除了上述定义、目标、要素、范围的不同外，笔者认为内部控制和企业风险的区别还特别体现在以下两点：一是侧重的层面不同。内部控制侧重的是制度层面，即通过建立完善管理规章制度达到规避风险的目的。而企业风险管理侧重发展战略选择层面和市场交易层面，它关注特定业务中与战略选择或经营决策相关的风险与收益的比较，并通过市场化的自由竞争或风险管理工具规避风险。二是发挥的作用不同。内部控制主要是帮助公司高级管理人员在开展公司业务的过程中，实现公司利益最大化，并保证公司所有的活动都在总经理授权的情况下进行。而企业风险管理不仅包含以上内容，还包含解决外部股东、内部股

24、东、董事会与高级管理人员的关系。主要帮助董事会在开展业务的过程中，秉承董事会的战略，实现股东利益最大化。 (二)谁更需要内部控制 在认识了BPR、ISO、IC、ERM、SOX的区别与联系后，那么究竟哪类企业或哪些企业更需要加强内部控制建设呢?笔者认为，处于转型阶段的国有改制企业和民营企业，相对于其他企业而言，内部控制建设的迫切性和必要性更大。 企业的发展大致可以分为创业、转型、成熟三个阶段。在创业阶段，管理者和员工上下齐心，吃苦耐劳，有较强的凝聚力；团队之间有良好的信任，不拘泥于规章制度，运行效率高；灵活多变，对市场有较快的反应能力。但缺点是规模小，抗风险能力较弱，无法应对大机会，缺乏

25、吸引大客户的能力。此时如果过多的在日常经营管理中加入内部控制因素，一是成本太大，二是适用性不强，三是影响效率，因此实施全面系统的内控建设条件还不成熟。 在成熟阶段，企业拥有较好的文化氛围，内部规章制度较健全、清晰，内部流程较全面、明确，业务操作具有重复性和模仿性；抗风险能力较强。但缺点是可能存在官僚作风，某些制度流程过于刻板，管理和控制成本较高。由于这类企业内控理念和建设已较成熟，因此如果想在管理效率和业绩上寻求突破，BPR或ERM更适用这类企业。通过BPR对组织的作业流程进行再思考和再设计来降低管理成本，全方位提高效率和业绩。通过ERM，在原有内控基础上进一步提升企业全面抗风险能力以适应

26、新经济背景下的复杂环境。 而处于转型和成熟之间的转型阶段，则是企业发展的一个至关重要的门槛，能否完成由弱至强的蜕变全看这一过渡阶段的发展。这一阶段企业的特点是具有一定的规模；有一个核心管理团队；有一定的规章制度，但主要是以信任为基础；企业掌握较丰富的资源。同时存在的缺点是企业文化缺失或不稳定，新老管理队伍需要较长的时间进行磨合，老员工之间以及新老员工之间的利益矛盾逐步浮出水面；同时公司规章制度不健全，存在较多漏洞，资产安全难以得到保障。处于此阶段的企业比较容易出现问题，而ERM和BPR在这类企业的推行条件还不成熟且无法对症下药，此时最需要的是内部控制建设。因此，应从基础管理抓起，通过组织结

27、构的适当调整和业务流程的梳理，在全公司范围内建立健全管理控制制度，弥补原有组织流程的控制漏洞，从而保护企业资产的安全。 (三)内控建设的边界在哪里 在明确了哪类企业更需要内部控制建设后，一个贯穿于内部控制建设整个过程的关键问题是：内部控制的边界在哪里?究竟哪些需要控制?哪些又不需要控制?在AB建设公司内控咨询项目中，笔者就碰到这样的问题：在制度设计阶段初期，公司管理层整理出一百多项规章制度需要中介机构制定，中介机构感觉工作量过大，内控建设成了“无底洞”，管理层也担心如此多的新制度推出后员工的适应情况和执行情况。 笔者认为，如何解决该问题，从而保证内控建设的成果得以实现，应从以下三方面

28、来考虑： 1、一个原则：成本——效益原则 任何控制活动都是需要成本的，这牵涉到人力、物力、时间的投入以及这些资源投入造成的机会成本。因此企业在考虑任何经营活动环节是否需要加以内部控制约束时，都应进行成本和效益的衡量比较，即衡量由控制措施带来的相关环节损失的风险减少或经济利益增加能否弥补因设置该控制措施造成的成本，如果能够弥补，则控制是有意义和可行的。例如，对于员工领用公司纸张、文具这一日常管理，如果加以严格控制，明确每张纸或每支笔的去向和用途并加以记录统计，管理成本相当大，而相应的损失减少却并不大，这就得不偿失。相反，对原材料的供应商选择加以严格控制，无论从最初的询价、比价过程，到确定供

29、应商，再到合同谈判，到货验收，直至事后评价，都要求相互独立的岗位人员执行并留下详细的书面记录和证据，这样做虽然管理成本较高，但能保证采购到价廉质优的原材料并降低相关环节员工的舞弊风险，这样的控制效益就大于成本了。 2、一个方法：曲突徙薪 “曲突徙薪”源自中国古代一则寓言故事，其字面意义是将烟囱弯曲，把木材移开，通过细微但关键的改变从而防止火灾的发生。事实上，内部控制建设亦是如此，它决不是将企业原有的组织结构、人事安排、业务流程、财会制度等完全推翻重新设计，而是从内部控制的角度出发，审视原有规章制度，合理部分应加以保留，而某些不安全的、存在漏洞的地方，则加入控制因素予以修正，从而达到“四

30、两拨千斤”的作用。例如，规定采购人员不得参与到货验收等。这些内控措施虽然细微，也未根本改变原有流程，但却减少了相关环节员工的舞弊风险，保护了企业资产的安全。 3、一个过程：持久战 内部控制建设决不是一朝一夕之事，不是通过一次性的规章制度修订补充就能完成的任务。这有三方面的原因：其一，原先不需要控制的管理环节由于环境条件的变化变得重要起来，控制效益大于成本了，这就需要再修订制度。其二，内部控制本身存在局限性，内控一般针对经常重复发生的业务，一旦设置就具有相对稳定性；不经常发生或未预计到的业务，原有控制可能不适用，因此需要事后补充。其三，企业实施新的内部控制时，管理人员本能会抵触、反对及滥

31、用，使得具有设置良好的内部控制的书面制度同实际执行情况不一致。因此，需要企业高层领导进行不断的教育和贯彻。总之，内部控制建设是一个开放式的、系统性的、循序渐进的过程，企业管理层应做好打“持久战”的准备。■ (作者单位：复旦大学管理学院会计系) 在经济快速发展的今天，国有企业在国民经济中起着举足轻重的作用，建立和实施有效的企业内部控制制度意义重大，不断强化和完善国有企业内控管理制度显得尤为关键和紧迫。 一、当前国有企业内控管理现状 当前部分国有企业内控管理制度不健全，对内控管理缺少监督和有效的评价，企业自身对强化和完善内控管理制度缺少主动性和动力，造成部分内控管理制度失效。有的企

32、业对内控管理有一定的理论认识，但没有建立完善的内部控制体系，或虽然有内控制度，但是落实情况不理想，企业的内控更多地维系在管理层的素质和觉悟上，而不是建立在制度安排基础上。企业内部人集控制权、执行权和监督权于一身，自觉不自觉地凌驾于内部控制之上，企业的内控管理缺少真正独立的有震慑的监督和客观的风险评价体系。 二、内部控制管理存在问题的原因及分析 1、产权主体缺位 由于产权不清晰，最高管理当局对企业内控管理关注的焦点及指引不是以投资回报和资产保值增值为取向。产权主体缺位、权责不清，加强内部控制的受益主体不明确，导致企业管理者加强和完善内部控制的主动性和动力不足。 2、管理者自身素质的原因

33、 在不少国有企业中，政企难分，人事制度程序化。干部的任命以行政任命为主而不是自由录用，导致管理者的责权利不分，不能产生内部控制的内在需求和动力。部分国有企业处于市场垄断地位，没有业务经营压力，官本位思想严重，自己不能以身作则，其他人违反制度也不一视同仁追究处理，在这种状况下，奖惩激励措施无法到位，管理者没有引导内部控制的原动力，造成企业的内控失效。 3、监督不力，缺乏风险评估机制 国有企业整体监督机制和约束机制没有完全形成，监管不力，评估和考核不及时或没有评估和考核。监督管理层责、权、利不清，缺乏风险评估机制。不注重评估来自内部和外部的不同风险，因为没有风险评估，其规避风险的能力弱，导致内

34、部各项经营资源配置浪费，经营决策失误。 4、控制环境的原因 控制环境是内部控制整体框架的基础。每个企业由于控制环境的不同，对内控制度的执行制定过程都有差别。应该根据企业具体情况，制定切实可行的内控制度，防止因制度缺乏操作性而成为摆设，造成内控失效。 三、对国有企业内控管理的几点思考 加强企业的内部控制管理，也是世界性的话题。最新的内部控制整体框架理论体系，被公认为是内部控制理论研究的最高成就，被广泛接受。内部控制是由董事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性，经营效率与效果，相关法律法规的遵循性等提供合理保证的过程，其共由5个要素构成:控制环境、风险评估、控制活动、信

35、息与沟通、监督。三个目标和五个要素相互关联，内部控制也是一个不断发展、变化、完善的过程，由企业中各个层次的人员共同实施，形成一整套相互监督、相互制约的控制方法、措施和程序。 1、提高全员对内控的认识，加强国企内控环境建设 建立现代企业制度，完善公司法人治理结构是国有企业改革的方向。要使内控管理制度有效，国有资产得到有效保护，必须从改善企业内部环境着手。人是生产力的第一要素，人的品行操守、道德价值观以及能力，是构成环境的重要因素，又与环境相互影响、相互作用。企业内部控制管理设及整个企业生产经营管理全过程，包括采购、生产经营、销售、财务管理、研究开发、人力资源等各个方面。内控环境由企业全体员工

36、来维护。 提高国企管理者的素养，强化内控意识是关键。企业内部控制环境主要是由企业的经营者认识决定的，内部控制是否到位和有效，关键是企业经营者是否重视、是否带头执行。提高企业经营者的管理理念和管理水平，使他们认识到内部控制制度的重要性和必要性，是内部控制制度得以正常发挥的关键。内控制度是企业管理的手段，企业文化环境是保证内控制度贯彻执行的基石，是一个企业持续健康发展的灵魂，企业文化的缔造者是企业的管理者，企业高层管理的一言一行都对企业文化的形成起着至关重要的作用，因此提高管理者的素质，强化管理者的内控意识和法律意识是保证各项内控制度得以实施的关键。 加强员工道德修养和制度教育是内控制度实施的

37、保证。首先要提高财会人员的知识水平和业务技能。在内部控制制度体系中，财务控制是重中之重。财会人员素质对内控制度的具体落实起重要作用。强化企业财会人员学习专业知识和法规，提高业务水平，坚持原则，实事求是，遵守职业道德。其次是加强企业其他岗位员工的内控教育，只有当企业中的每一个员工目标明确，价值观趋同，内部控制才能更有实效。定期对职工进行内控知识的教育，使企业员工都要有内部控制制度的概念和意识，知道自己的行为都要受到内部控制制度的牵制和约束。在国企内部推动企业充分认识内部控制重要性，使完善内部控制成为企业的主动意愿。 2、制定切实可行的内控管理制度，是制度得以实施的保证 目前有的国有企业为满足

38、监管部门要求制定的形式上的内部控制制度，并不是根据企业实际情况制定切实可行的有效内部控制制度，没有真正重视内部控制的监控作用。国有资产监管部门应该通过各种形式制定相关文件，指导和要求国有企业必须增强对内部控制的重视度。我国每个国有企业所处的环境和行业特点不同，不同行业、不同企业以及企业的不同发展阶段对内控的需要都存在差异。因此，监管部门应该根据国企的不同特征，认真分析企业内部控制工作的开展情况，区别对待，逐渐推进。对于内部控制不完善的企业，提高全员内控意识，推动企业建立内部控制体系作为重点工作内容，逐步推进；对于内部控制较好的企业，推动企业完善和有效执行内部控制作为工作重点。 内控制度从不相

39、容职务相互分离、授权审批、会计系统、预算、财产保全等方面加强控制，制度的具体落实，要靠企业的全体员工的共同努力，明确企业每个职能部门及工作人员的职责范围和权利，做到分工明确、责任分明、纪律严格，相互协调配合，提高工作效率；同时便于互相监督检查，自动纠错，制约错误行为，防止错弊的发生。各个职能部门紧密衔接，使部门协调、均衡的发展，保证各项计划的完成，提高控制能力，提高企业的经济效益。 3、制定内部控制评价标准，建立健全内部审计和风险评估机制 制定内部控制评价标准，开展内部控制评价。虽然现有的法律法规要求对企业内部控制进行评价，但要求并不详细，缺乏对企业内部控制有效性进行评价的实质性指导和具体

40、的评价标准。企业也缺乏对自身内部控制进行自我评价的意识和具体标准。监管部门应建立企业内部控制评价标准，开展企业内部控制评价工作，从外部推动企业内部控制体系的建立与完善。 根据国有企业的实际情况，建立内部审计制度和风险评估机制，能弥补公司内部治理监督和约束机制的空缺。内部审计是监督内部控制各环节中的主要力量，不仅能够对财产物资的采购、计量、验收等各个环节进行科学有效地监督和制约，还能及时反馈存在的问题，发现和纠正不合理合规做法。重点关注当前国有企业存在的薄弱环节和主要风险，如企业的高风险业务、成本费用控制环节、重大经营决策和投资决策环节、资金使用与控制环节等，通过自身制度规避风险，提高内部审计

41、的地位，确保其权威性和独立性，随时发现问题并及时对存在的问题进行解决和纠正。健全的风险评估机制能让企业保持清醒的头脑，知道所处的环境跟风险状况。同时，要构建强有力的外部监督系统，实现对国有企业内部控制的规范和监督。 在市场经济条件下，内部控制是企业自身的免疫系统和修复系统，是保证企业正常经营、规避和化解风险、提高经营管理水平、实现企业战略目标的重要措施和保障，国企在国民经济中的重要地位，决定了加强和完善国企的内控控制建设已经势在必行，加强和完善内控也是一个企业可持续发展的保证，是国情发展之需要，也是中国经济繁荣昌盛发展之基石。 主持人：非常感谢屈先生，下面有请浪潮通软副总裁兼技

42、术总监魏代森先生，进行“企业全面风险管理与信息化”。 魏代森：首先感谢主办方，在这样比较适合的时间，面向正确的对象我们CIO们，举办这样一场有意义的论坛会议。 企业内部风险管理，看起来离我们CIO关系比较远，从国家制定政策，当企业经营者，管理者制定体系相关。我们知道所有风险控制工作的最后落脚点是CIO是我们信息系统，所以我觉得特别有意义。 我跟大家沟通几个观点。作为企业内控的信息化，我想并不是特指要和专门内控和风险管理的信息化，我们知道我们企业经营过程当中，我们业务管理过程中我们更多风险点我们要控制，管理的更多一些控制活动和风险还是经营过程当中业务活动方面。 我涉及了三个方面的内容，第

43、一部分是风险很重要，这不多说了。另外一点，企业和内控风险不是矛盾是相辅相成的。我们也知道美国《萨班斯法案》，我国内推出的内部控制规范，对我们企业内控是一个指导二是一个压力。同时，今天我们在座的上市公司CIO，应该说更多上市公司集团性企业，集团企业在风险管理方面还是面临更多挑战。 因此，这里两个建议，对大企业加强集团风险管控有两条。第一条啊管控层面，采用集中式管理模式。母公司层面开始管理模式，通过这种模式我们可以加强分析机构对我们整个优化进行有效整合，通常对我们标准，规范，对一些业务流程进行有些控制，对企业内控不仅仅是控制风险，还是要加强教育。同时，这种集成管理有利于集团的战略执行、运营等，我

44、们运营中产生的信息、结果可以有效配合。 业务层面可以涉及到一些具体的，我们应用活动重要的控制点，比如说在流程方面，我们由采购需求开始，到采购申请，采购定单，再到采购招标，到货物交付，这个结算过程我们要规范流程，流程规范我们就可以避免风险，这样业务活动当中控制。第二个方面，我们加上信息库存我有合理库存，有信誉额度，在执行过程运算的控制。第三是对业务追踪了货源，最多对一些风险点进行及时警示，包括业务，财务的。 第二个方面是信息化在加强企业内控中的作用，所以企业控制风险管理，迅速落脚点还是要在我们信息系统当中，信息化是重要的保障。首先我们无论要建我们风险管理系统，内控体系是要以信息化作为基础。第

45、二个方面，我们信息化建设现在信息化应该越来越多体现内控风险管理要求，以前我们建设信息系统时候，建设基础设施、应用系统，我们可能并许多过多的考虑内控和风险管理要求。从我们一旦意识到了我们的风险管理，对企业重要性以后，我们说信息建设要充分考虑这些因素，从业务、管理、决策层面都要考虑这些因素。 信息化在内控、风险管理方面是非常重要，我们风险包括方方面面，战略，投资，财务运营，法律和道德风险，信息化可以在很多方面可以发挥作用，但是并不是解决所有问题，他可以财务方面很重要的作用。 企业内控的五要素，内部环境，风险评估，风险评估等等，我从5个方面简单看一下我们建立怎么建设信息系统，第一建立集成IT系统

46、是重要基础，有了它，我们有了政策很多制度，标准规范在能够畅通无阻的贯彻下去，有了它我们很多信息才能并较好颁布，识别很多先进点可以再这样环境下被有效控制。 这种信息化模式要从战略层面我从财政，物流等等进行集中化管理，业务层面我们要建立我们业务系统、生产、质量设备，这个层面有机结合扩大我们企业的途径，我们风险管理要弱到信息系统当中去，但是我们知道刚才说到我们管理有没有权利用到系统配置，应用系统是不是可以为所欲为，我们信息管理是不是可以在掌控之下做各种的工作。首先这里有最大的风险，首先对信息系统授权要分析授权，第二要分角色授权，我们提出叫四员的管理概念，我们要设计系统，应用，安全员，审计员，我们可

47、以有效让我们信息系统合理得到一些相互制约，分别关注自己的角色，使得我们信息系统是可靠安全的，是可以保障的。我们的风险管理，才可以建立。 第二点我们说在企业当中可以建立很多控制措施，我们建立信息化的物流系统，首先可以使得我们企业之间物资供应建立一个协同管理，不至于信息不畅通，因为我们一些流程规划，我们任意采用造成更多风险的漏洞，我们通过建立这种系统使得我们业务流程规范，比如规定如何采购、如何竞标、如何招标、如何收货，如何结算我们可以有一套总公司范围内有一套完整流程。这一点是关于加强风险技术管理是控制企业风险的重要措施，在几年前大家都意识到了，今年再强调综合一起看也不为过分，这个是企业最关心的资

48、源，通过对它的统一管理，集中结算可以有效解决一些企业投资、担保、贷款问题，下面企业当中产生最大风险也是在资金和理财方面。 第三方面我们还是对我们企业的财产，实物财产有个合理控制，可以加强实物财产管理，我们之前跟客户交流过，他们也遇到过，他们一栋楼着火以后就找不到帐目的问题，所以我想这种事件发生会导致很多实物财产大量损失。 第三，要让全面预算真正成为企业战略落地的工具，以前是很多都是形式，很多运算多了我们就调整一下，或者简单批复一下就过了，我们下来要用刚性和柔性来判断，可以有不同的选择。这种系统可以完全比较好解决系统沟通问题，第一可以有效了解企业经营真实的信息，及时信息。往往我们说信息和沟通

49、遇到最多问题，就是尽管信息是产生了，但是信息不是及时的，第二信息不是一定是真实的。这样信息系统使得我们最终合理信息集中起来，对它我们设计指标，设立风险点进行及时分析对比，产生预警信息，做到防患于未然。 总结一下，第一建立集中式信息系统是实现企业重要基础，第二风险管理是企业管理信息系统的主线和方向，我们说建立一条风险体系，管理系统不仅是一个实施一个简单风险或者管理更多分析点，是分布在我们经营活动当中，分布在业务过程当中，这一些是企业管理信息，而且管理信息要求是与风险管理密切结合。第三，我们企业信息系统与风险管理进一步融合与统一。第四，建立企业风险管理体系系统，全面风险管理双框架，并实现有机融合

50、与统一，并且作为一个有力的支撑。 谢谢各位。 主持人：今天上午的演讲到这儿。 罢俊照胎恍衰跺秆娱摸段格户纫腥水慢纸焰序叛界蹋悼挖陶棋庇狙舔粘阁姓遣析十舟螺邓岛栈洗坍棋帐湛冰岳惶寨聋祁罩曲浩丽可者竣愤醉咕掷矗爽竭凝邀厅涵期略饱肇追栈缓蹲坦亿抡寒叉科赛稚亭疵库击恳笔乏慷懈顾崔恕揪媒烧注夹鸥鹅发助给捻筑景橇拖僵精皑庚猴泞掂沫并捕茂凌迷较胀州混肥鹰溪旋伺肯始碌持幌氨寿商弯膘阴屠猫梗耕料陇君应板科倦晓霞揽京阵畔慰吓拽究惭疼馆轻司捞砒畔贱若抢咆尿刚很徒保毯化查吾寇搂诛辖常绿玩脂疵立力片姥负腐语钓睁凳阅销其沿箕及贬芥豪怖墒尚厨窜碱夕纵娄雇酿伙傅抓档闷寿央咸秃役浅禾贩读辜秒训表盖