关于我们
关联业务
荣誉责任
学术贡献
文章发表
建立符合现代企业管理制度的内部控制体系
北大纵横管理咨询集团合伙人  李建怀  李秦宇   企业文明   201401
建立符合现代企业管理制度的内部控制体系 摘要:内部控制是对现代企业管理制度的补充和完善,对企业规范管理、防止风险和提升管理效率有着重要意义,企业应该从公司治理、战略、组织、人力资源、企业文化、社会责任和运营过程各个全面进行全方位的梳理,兼顾风险与管理效率的提升,才可以从根本解决企业持续发展问题。 关键词:现代企业管理制度、内部控制、管理咨询 一、内部控制的发展及其存在问题: 内部控制源于西方发达的经济体,尤其以美国COSO全国虚假财务报告委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)为代表,先后经历“内部牵制”、“内部控制制度”、“内部控制结构”、“内部控制整合框架”和“企业风险管理整合框架”五个阶段,内部控制的内容从内部牵制设计一个要素到会计控制、管理控制的两个要素,到增加内部环境的三要素,到内部环境、风险评估、控制活动、信息与沟通、内部监督第五元素,再到内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督的八要素逐步的增加和完善;控制目标也从提高经营效果效率、财务报告可靠性和法律法规的遵循性的三目标发展到合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略的五目标。在目标设定中增加了“战略目标”,使企业在追求短期利益的同时,从战略高度关注企业长远目标和可持续发展,可以说内部控制是一个很好的管理工具,是很多专家学者和企业管理者的管理实践的经验总结,是对现代企业管理理论的实践性总结和重要补充。 现代企业管理制度主要指以市场经济为基础,以完善的企业法人制度为主体,以有限责任制度为核心,以公司企业为主要形式,以产权清晰、权责明确、政企分开、管理科学为条件的新型企业制度,而在实践中缺乏相应指导内容,内部控制很好的解决了这个问题。 当前我国企业也十分重视应用内部控制来加强内部管理,与西方发达国家相比,我国在内部控制理论研究上起步较晚,大多数企业在内部控制应用方面主要以我国有关部门颁发的制度为依据,同时借鉴国外企业的成功经验。我国的内部控制从2005年开始境外上市企业按照COSO规范要求建立内部控制体系,到2008年财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》,2010年三个配套指引《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》的颁布,再到2011年A+H股的上市企业实施内部控制、境内上市公司试点和自愿试点企业的内控试点,到2012年所有主板上市企业的全面展开,走过了7年时间,在政府的创引和指导下,不少企业在内部控制应用方面表面上搞得轰轰烈烈,但是真正取得较好成效的却不多,没有达到应有的效果。由于历史与发展的原因,我国市场经济还不发达,市场体制尚不完善,从整体来看,企业体制多样化,治理结构不合理,企业在内部控制应用方面基本都存在控制环境不良、控制手段传统、控制目标单一、执行力不够、关注战略目标不够、执行力不够、没有和现代企业管理制度相结合等问题外,因此如何建立支撑企业战略目标,符合现代企业管理制度的内部控制具有现实意义。 二、建立符合现代企业管理制度的内控体系 (一)、强化法人治理结构,建立符合现代企业制度的内控环境 法人治理结构是公司中的核心问题,而公司法人治理结构的核心是通过配置公司的权力,建立有效的监督和激励机制,以保护公司股东的权益,实现公司利益最大化。建立股东(大)会、董事会、监事(会)和经理层的决策、执行和监督的机制,从根本上处理好投资者、管理层和监督者的关系,处理好制度与人的关系。股东(大)会是公司的最高决策机构,按照国家相关法律法规、行业和地方相关法规和公司章程规定,对公司章程规定的重大事项必须提交股东(大)会讨论;董事会执行股东(大)会的决议并在公司章程规定的权限下进行管理活动;监事(会)对董事会和企业管理者的管理活动进行监督,发挥战略委员会、审计委员会、薪酬提名委员会等专业委员会对董事会的支撑作用;建立企业董监高和独立董事的职责权限、任职资格、议事规则和工作程序,并按照规范要求定期组织相关会议,保持好相关记录并按照信息披露的要求进行披露。企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。 (二)、对公司的战略进行研究,制定企业的中长期和短期战略目标并对目标进行分解 企业战略管理是企业管理科学中的一个重要范畴,它能够给企业发展指明方向,促进企业朝着正确的方向迈步,保证企业近期和长远的持续发展。为了保证战略目标的实现,企业要加强战略管理,做好从战略分析、规划、实施到决策变为现实的战略过程,对国家宏观政策、行业进行研究,对市场和竞争对手进行必要调查,对存在的机会和风险进行识别,发挥自己的优势,做和自己能力资源相匹配的业务,设计好的商业盈利模式。企业应该对自己的中长期战略和短期战略进行研究,并提出相应的目标和实施路线图,并把战略目标分解到相应的组织和人,落实资源和计划,对关键目标和节点进行重要控制,并根据执行情况进行必要的调整,在企业经营管理中进行动态的战略管理。一般企业都缺乏战略管理人才和相应的行业研究,因此建议请专业的咨询公司定期对公司的战略进行必要的设计或者战略梳理。 (三)、在战略框架下设计企业的组织架构,并对管理职责重新进行梳理 为了促进企业实现发展战略,优化管理体制和运行机制,按照组织设计原则和内控规范要求对现有组织进行设计和梳理,明确各部门的职责,区分核心职责和辅助职责,并对核心职责对应的业务进行必要的设计,明确各部门的管理界限和接口,面对重大组织调整,最好进行必要的试运行或者设计过度组织结构,并对组织运行过程和结果进行分析并做必要的调整,在组织正式运行后一般要保持组织的相对稳定。 很多企业在经过多年发展后,由单体公司向集团化迈进,企业的组织也要进行相应的变革。按照集团化管理的要求,要明确集团和子公司的定位和职责要求,整合资源,对子公司管控进行必要设计,尤其关注子公司的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免等重要事项并建立相应管理制度。 (四)、建立战略指导下的薪酬和绩效考核等人力资源制度 人力资源管理是一门科学,它具有价值有效性、稀缺性和难以模仿性,是企业构建竞争优势的核心资源。企业如何在激烈的市场竞争中,以人力资源作为核心构建自己的竞争优势,是企业管理的基础,企业高层必须重视。内部控制下的人力资源管理内容分为人力资源的引进与开发、人力资源的使用与退出两部分内容。在企业管理实践中,企业要按照组织和管理职责的分配,进行必要的岗位分析,对岗位职责进行设计,编写岗位说明书,对岗位的工作任务进行分析,进行定岗定编;对岗位进行分析评价,建立具有激励性的薪酬制度和绩效考核办法,把战略目标、年度目标和经营计划关联,把公司目标和管理活动结合起来,并逐层分解;在建立绩效考核制度同时加强对员工的培训、职业生涯规划和长效激励机制的建设,保证公司的战略目标实现,同时兼顾员工的利益,让员工也分享企业发展带来的实惠。 (五)、按照内部控制要求建立企业文化和社会责任相关制度 作为社会公众公司,企业应履行社会责任,实现企业与社会的协调发展。内部控制要求企业的社会责任主要包括安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等, 要求企业做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,实现企业与员工、企业与社会、企业与环境的健康和谐发展。企业文化是企业在社会主义市场经济的实践中,逐步形成的为全体员工所认同、遵守、带有本企业特色的价值观念、经营准则、经营作风、企业精神、道德规范、发展目标的总和。内部控制要求企业进行文化建设并对文化建设进行评估,董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和示范作用,以自身的优秀品格和脚踏实地的工作作风带动影响整个团队,共同营造积极向上的企业文化环境。 (六)、对企业的核心业务进行梳理和设计,建立业务层面的内部控制 按照《企业内部控制应用指引》要求,对企业的资金、采购、资产、销售、研发、工程项目、全面预算、合同管理等重要管理要素进行业务流程的梳理与设计。对符合公司业务发展要求的业务流程进行描述以实现规范化;对不符合内控流程要求的业务流程进行优化;对不适应公司未来变革与发展的业务流程进行再造;从业务流程识别关键流程,从关键流程识别关键作业,从关键作业识别关键管理活动,从管理活动识别内控风险,并对风险通过多维度按照重大风险、重要风险和一般风险进行评价,建立风险控制矩阵,对评价指标比较高的风险纳入公司层面风险数据库,企业高层在管理实践中要重视并采取不同的应对措施:对公司不能承受的风险要建立风险管理方案并落实资源进行改善。建立公司高层、中层和基层全员参与的内控体系,在业务过程和日常管理活动中对控制活动进行记录与归档;建立事前、事中和事后交叉控制的网状控制,对风险比较大的事项,加强控制;对风险比较小或者一般的事项采取减少控制以提高管理效率;对风险适中的业务活动可以加强事后审计控制,在兼顾风险的同时提高管理效率。 内部控制是一个综合控制措施的设计,往往是几个控制措施的综合应用,内控规范里讲了7个常见的内部控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、营运分析控制、绩效考评控制。根据内控实践经验,强调事前不相容职责控制、授权审批控制外,特别强调了作为内控事后控制的内部审计控制,即经过风险评价后对组织和业务进行内部审计控制,有利于提升管理效率,特别是针对国企改制来的上市公司,公司要强化审计部门的力量,对风险大的单位和业务加强内部审计。 三、对内控体系进行评价 完成内控体系建设后,企业要按照《企业内部控制评价指引》要求制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告,自我评价报告需要对外公告和提供内控审计单位进行内控审计。内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷,并对内控缺陷进行认定,包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。按其影响程度分为重大缺陷、重要缺陷和一般缺陷。对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。新建立的内控体系一般要求试运行3个月以上进行初次内控评价,在年底财务审计前再做一次内控评价,并检查整改效果。 四、执行内控审计 在企业完成内控评价报告后,按照《企业内部控制审计指引》的要求,企业要对特定基准日内部控制设计与运行的有效性进行审计。可以单独进行内部控制审计,也可将内部控制审计与财务报表审计进行整合审计。内控审计包括制定审计计划、实施审计工作、评价控制缺陷、完成审计并出具审计报告。内控审计报告有四种:标准内部控制审计报告、带强调事项段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见内部控制审计报告。 特别注意内控无效的两种情况:注册会计师认为财务报告内部控制存在一项或多项重大缺陷的应当对财务报告内部控制发表否定意见,评价指引中明确指出的重大缺陷的主要四种情况如下: 1. 注册会计师发现董事、监事和高级管理人员舞弊。 2. 企业更正已经公布的财务报表。 3. 注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。 4. 企业审计委员会和内部审计机构对内部控制的监督无效。 企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,出具无法表示意见的内部控制审计报告。 五、案例介绍 这是一个创业板上市企业,上市前三年业绩获得很好发展,上市后由于竞争的加剧、市场发生很大变化、企业的内部管理滞后,严重的影响了企业的持续发展。解决方案如下:首先,对企业的战略进行梳理,提出相关多元化战略的公司战略和以差异化为核心的双链增值战略的业务战略,对传统产业在价值链扩展增值、产业链增值方向下功夫,充分挖据潜力;同时开发国外市场和寻找新的业务增长点。最后,在战略梳理基础上,对企业现有组织进行变革,设计了企业近期组织变革方案和远期组织架构,对管理职责和进行重新设计,建立了中高层以上人员的胜任力模型;进行人员定岗定编和薪酬绩效考核设计,把企业战略目标、年度经营目标和员工的收入挂钩,建立激励性薪酬和绩效激励制度,同时按照内控规范要求完善营销、研发、采购、存货、质量、工程项目、业务外包、合同管理等相关内控制度,设计了相关业务流程,并建立风险管理体系。目前公司已经完成一个相关产业多元化投资项目,并成功开发国外市场;完成新组织的试运行并转入新的组织管理架构,完成薪酬和三季度的绩效考核,企业管理逐步规范,业绩也获得保证和提升。 (李建怀,北大纵横管理咨询集团六级咨询师,擅长金融行业,深入参与过国企、中外合资、股份公司等的管理咨询项目,在管理咨询中有自己独有的见解。)