成都商务服务交流群

是时候该升级你的企业内部控制了

风险管理智慧2018-12-05 15:25:24



从2003年中石油、中石化等在美国上市的公司为满足萨班斯法案而开展内部控制体系建设至今,中国企业的内部控制体系建设已经走过了十几个年头。在财政部、国资委等政府部门的强力推动下,大多数企业建立了内部控制体系,并且得到了有效的执行和持续的完善。正是内部控制体系的不断完善,有效地帮助企业防控了风险,有力地支撑了我国企业的不断发展壮大。但不容忽视,我国企业在内部控制方面仍然存在诸多问题;而随着我国社会经济及企业自身的发展、改革开放的深入,内外部环境发生了重大变化,又对企业内部控制提出了新的、更高的要求。 未来,我国企业内部控制建设将向何处去?应该关注哪些方面?从哪些方面去下功夫? 



中天恒管理咨询公司作为国内领先的、专业从事内部控制与风险管理咨询服务的专业机构,近些年在继续为企业事业单位提供内部控制与风险管理体系建设、评价和审计等服务过程中,针对企业目前内部控制体系运行中存在的核心问题,为许多企业提供了内部控制升级完善的咨询服务,并在此基础上通过总结提炼形成了内部控制与风险管理升级完善的系列咨询产品,这些产品既可单独提供,又可组合服务,有效地帮助企业提升了内控管理水平,防范和控制了风险,得到客户的广泛认同。 近些年内部控制升级完善的服务主要包括:

1


 一、公司治理的梳理与完善


公司治理是是公司的顶层设计,是公司内部控制的基本支撑。一个分工明确、相互制衡的治理机构,可以使企业自上而下地对风险,特别是重大风险进行有效识别与防控。长期以来,中国企业内部控制体系建设,往往偏重于业务层面的控制,而对于公司治理,则关注严重不足。许多企业在内部控制建设过程中,对公司治理往往只是把模板化的条款搬过来纳入内部控制手册,没有按照内控要求,对公司治理进行系统的梳理,没有对公司治理中的问题加以系列的分析和整改,其结果往往是公司业务层面的风险得到了有效的控制,而公司层面的重大风险,难以得到有效控制。这就是为什么有的企业在内部控制评价或者审计中被认定为内部控制设计健全、运行有效,却经常出现企业领导人员因贪腐被抓、投资失误造成重大损失等重大风险事件发生这种怪象的根本原因。而解决这种怪象的根本出路,就是完善公司治理。梳理和完善公司治理的重点包括: 

     (1)分清董事会与经理层的权限; 

     (2)分清董事会与董事长个人的权限; 

     (3)分清总经理办公会、总经理、副总经理的权限; 

     (4)明确党委会的权限; 

     (5)梳理审批流程并理清先后顺序; 

     (6)梳理完善监事会的监督职责; 

     (7)梳理董事会对经理层的激励机制以提高激励力度。 

2


二、战略风险评估与防控设计


在既往的内部控制实践中,绝大多数企业的内部控制是基于经营性风险而设计的,重点关注投资、采购、销售、财务、工程、合同管理等相关流程;而对于战略风险则往往关注得不多,基于战略风险而设计内部控制往往很少。一旦战略出现偏差,出现了战略风险,即使控制得最严,也难以避免经营上的困难,甚至出现生存危机,更不用说支撑企业的做大做强。因此,需要从业务层面风险控制上升到战略风险的防控。战略风险评估与防控设计的工作内容包括: 

    (1)战略风险的识别; 

    (2)战略风险的成因与后果分析; 

    (3)战略风险的应对策略制定; 

    (4)战略风险的解决方案制定,包括策略路径与策略行动; 

    (5)战略风险的流程控制完善。 

3


三、全过程风险管理体系建设


按照《中央企业全面风险管理指引》的要求,许多企业都已经建立了风险管理体系,推行全面风险管理。但现实中,许多企业的风险管理大多停留在风险评估阶段,只是完成了风险的识别、评价等工作,没有对风险进行系统的分析,没有建立风险预警机制,更谈不上全过程风险管理。全过程风险管理体系建设包括:

(1)事前的风险评估与控制设计。具体包括:目标设定,风险的识别,风险的分析,风险的评价,制定风险的应对策略与具体控制措施, 风险预警体系建立,应急预案体系建立等。

(2)事中的风险防范。具体包括定期开展风险评估,确定重大风险,制定重大风险解决方案; 执行内部控制措施;风险实时监测;开展定期风险监测和预警;定期或者不定期组织应急演练等。 

(3)事后的风险处置,包括风险应急反应、风险处置、风险事故调查、风险管理体系完善和责任追究等。

4


四、项目风险评估


在以往的内部控制实践中,风险评估往往是针对整个企业的,随着企业内部控制实践的不断推进,项目的风险评估,特别是投资项目的风险评估,越来越得到企业,特别是企业管理层的高度关注。项目风险评估具体工作内容包括:

(1)项目风险前评估,是指在项目可研阶段,对项目进行风险评估,评估项目可能面临的风险,从而为管理层投资决策提供参考; 

(2)项目风险中评估,是指在项目实施过程中,对项目进行风险评估,从而为项目实施部门有效组织项目实施、确保项目顺利完成提供参考; 

(3)项目风险后评估,是指在项目运营一段时间后,进行风险评估,评估项目未来运营可能的风险,从而为管理层安排项目继续运营、追加投资、退出等的决策提供参考。


5


五、岗位内部控制


在以往的内部控制体系建设中,主要成果——《内部控制手册》,(有的单位还分为《内部环境分册》、《风险评估分册》、《控制活动分册》、《信息与沟通分册》和《内部监督分册》,往往体量很大,在实际使用中,各部门和员工普遍反映大厚、无从下手,更谈不上遵照执行了。

岗位内控体系,其核心是在修订完善单位内部控制手册的基础上,将岗位内部控制手册拆分到部门和岗位,形成《岗位内部控制手册》。《岗位内部控制手册》主要内容包括: 

  (1)本岗位的岗位职责; 

  (2)本岗位涉及的流程图及控制矩阵; 

  (3)与本岗位相关的业务表单。

6


六、“三位一体”内控体系


在以往的内部控制实践中,各单位纷纷按照财政部内控规范建立了内部控制体系,主要是《内部控制手册》,但对于如何落地实施,往往关注不够,或者不知道如何落地。这是导致许多单位内部控制流于形式,业务管理与内部控制“两张皮”的主要原因。“三位一体”内控体系由三部分组成:

(1)内部控制标准体系,即由《内部控制管理手册》为主要载体,明确根据企业的业务和管理,针对企业面临的风险,制定的风险应对策略、解决方案以及具体控制点与相关控制措施等。

(2)内部控制落地体系,包括业务流程、部门岗位职责、权限指引、业务表单和管理制度等。

(3)内部控制实施保障体系,包括内部控制文化、内部控制组织保障体系、内部控制监督、考核与责任追究机制以及信息化等。

7


七、流程效率评估与优化


在以往的内控实践中,各单位为有效地控制风险,纷纷加强控制,由此导致了另一个问题,即控制设计过于繁杂,控制点过多,导致业务运行效率过低。流程效率评估与优化的主要工作内容包括:

(1)流程的效率评估,以确定相关业务流程是否存在效率过低的问题。 

(2)流程简化,具体来说包括重事项审批,适当简化合同和付款审批;明确审核职责,减少不必要的审核环节; 权力下放,提高审批效率。

(3)实现分类管理,重点包括:按照重要性程度区分一般、重要和重大,分别规定不同的审核、审批流程;按照风险严重程度区分高风险事项、中等风险事项和一般风险事项,分别规定不同的流程;按照与廉政的关联度,对涉及廉政事项如八项规定事项从严审核审批,对与廉政无关事项适度简化;区分预算内和预算外程序,简化预算内审核、审批流程;区分有合同事项审批和无合同事项审批,适当简化合同内事项审批,强化无合同事项的审批。 

8


八、系统自动控制


目前大部分单位的内部控制仍然是基于手工实施的,因而在实际操作中很容易被绕过、被逾越;即使已经信息化了,也只是把手工审批改成了电子审批,没有更多地采用系统自动控制,没有充分发挥系统的控制功能。

系统自动控制在信息系统设计过程中,强化系统自动控制功能的要求,以提高控制的效率与效果。比如,对于物资采购,设计了系列自动控制功能: 

(1)自动比对该项采购是否属于集中采购目录内,如是,自动转入集采流程。

(2)如不属于集采范围,针对前置条件,自动配比采购流程,比如招标、比价、竞争性谈判、单一来源等。

(3)对合格供应商清单进行封闭管理。

(4)合同输入自动比对是否在合格供应商清单内。

(5)付款申请自动比对合同和预算等。

【作者】北京中天恒管理咨询公司总咨询师 徐荣才


风险管理智慧

风险,让您发现一个更精彩的世界。

关注“风险管理智慧”,带您走进智慧世界!


Copyright © 成都商务服务交流群@2017