[转帖]企业内控建设的困惑与难题[久久部落论坛]

作者单位：复旦大学管理学院会计系来源：财务与会计作者：王一浩　

2006年6月，随着《上市公司内部控制指引》的出台，宣告中国版“萨班斯法案”的推进出入倒计时，上市公司内部控制和风险管理制度体系建立进入了关键时期。一时间，“内部控制”再次成为理论界和实务界关注的热点。无论是出于外部压力还是内部需求，包括非上市公司在内的企业也借此机会，重新审视自身的内部控制问题，或通过自我探索，或寻求中介机构帮助，开始迈上了一条内部控制建设之路。

　　笔者以中介机构人员的身份参与过多家公司的内部控制咨询项目，最近结束了同上海某建设股份有限公司(以下简称“AB建设公司”)的内控建设合作项目。因此，特撰此文，希望在AB建设公司实际案例的基础上，探讨我国企业内部控制的现状、内控建设的方法，并对企业在内控建设过程中常见的认识难点和误区进行分析。

　　一、案例介绍

　　(一)公司背景介绍

　　AB建设公司是上海浦东某大型集团公司下属的一家建筑类上市公司，主营道路、桥梁及各类基础设施施工。公司分市政、沥青、道路研究3个事业部，分别从事路桥建设施工、沥青砼生产摊铺和道路最新技术研发的工作。公司系传统的国有企业改制的上市公司，公司董事会管理理念先进，中高层管理队伍年轻有活力，公司经营业绩良好，在集团内部评比中多次获得好评。

　　居安思危的公司董事会认为，虽然公司目前运转良好，但无论是从公司自身长远发展考虑，还是从外部股东和监管机构的要求出发，都有必要对公司内部控制系统进行一次全面诊断和梳理，使公司管理水平更上一层楼，因此聘请中介机构入驻公司，前后历时大半年，对公司内部控制情况进行全面的调研、诊断和再设计。

　　(二)公司内控存在的问题

　　中介机构通过了解公司组织架构、各部门各岗位职责、业务流程制度、业务执行情况等内容，对AB建设公司的内部控制现状进行了较为全面而深入的梳理，发现了以下问题：

　　1、业务流程重效率、轻控制，不相容职务未分离

　　公司从成立至今，通过不断探索积累，对日常一些主要的业务流程如销售、采购、生产等形成了一套固有的“行之有效”的操作规范。这类操作规范的主要特点是运行效率较高，能迅速应对市场需求变化或管理决策变更，但是也存在着大量控制因素缺失，特别是一些不相容的职务未得到有效分离的弊端。例如，存在设备管理员负责从设备采购、验收，直至保管全过程的现象；又如原材料的领用人直接持有仓库钥匙，燃料油运输人有权为自有设备加油等。这些流程设置的风险使外人无法对该业务进行牵制监督，舞弊隐患较大。

　　2、集权与分权安排不合理

　　一些部门或岗位的权力有时过于集中，有时过于分散。例如，各类大小合同，无论金额或类型，都需总经理审批；事业部经理对于生产车间一个电灯泡的采购、请购、审批和费用报销，都要亲力亲为。而公司某事业部包括主任室、生产车间、市场部、综合办公室在内的各部门都有权实施原材料或固定资产的采购。这种不合理的过度集权或分权可能带来降低效率、管理失控的风险。

　　3、管理数据计量粗放，管理活动不留痕迹

　　企业在各项经营管理活动中会产生大量的数据、文档和记录，这些资料不仅是企业核算的依据，也是内部控制的关键证据。但调查发现，AB建设公司的员工对这些重要资料的采集、整理和保存的意识还比较薄弱。例如，在采购前对市场价格的调查记录、对供应商的选择依据等资料，不仅是采购部门以后重复采购时的参考，也是第三方部门对其监督检查的重要依据，但公司对这些资料的保留不作要求。又如，公司对原材料的计量比较粗放，对石料的验收采用看吃水线估计数量的方法，而据笔者了解，该方法误差能达30%。

　　4、管理信息沟通不顺畅

　　在公司内部各部门之间如果能形成一套有效的信息传递沟通机制，不仅能提高经营管理效率，也是内部控制手段在公司范围内全面运作和联动协调的保障。但在调研中发现，公司在这方面做得并不理想。例如，公司应收购款回收难的一个重要原因是，项目经理负责项目款讨，但由于身兼数个项目，无法知晓各项目款实际到账情况，因此给催讨带来不便。

(三)公司内控建设的实务过程

　　AB建设公司的实际内控体系设计，使用的方法就好比对房屋进行整修，主要是以公司组织机构架设为经，以业务流程再造为纬，搭建起内部控制建设的“脚手架”，再通过“脚手架”，将内部控制的因素和方法添置到企业这幢“房屋”中，从而提高“房屋”的实用性(管理效率)和抗灾性(抗风险能力)。例如，为控制采购活动，提高效率，防止盲目浪费，通过对组织机构进行调整，将固定资产采购权力由原先的事业部收回到公司总部，由公司设备管理部统一进行计划、审批和实施。又如，为了营造企业良好的控制环境，强调员工控制责任，提高控制意识，要求所有员工签订《保密协议》，使其明确在AB建设公司工作需要尽到哪些保密义务、违反保密协议需要承担哪些责任；对于特殊岗位的员工，如研发人员和采购人员，还需分别签订《同行竞业条款》和《阳光协议》，保证企业资源为企业所有，不掌握在个人手中。再如，通过建立全面的合格分包商考评体系，从风险评估和监督的角度出发，为分包商的选择、评价、确定、考核的整个过程提供依据。

　　二、思考和启示

　　(一)BPR、ISO、IC、ERM、SOX……企业何去何从

　　有远见的公司高层往往出于自身需求或外部压力，希望通过外部中介机构的专业能力提高公司的经营管理水平。而企业流程再造(BPR)、质量管理体系(ISO)、内部控制(IC)、企业风险管理(ERM)、萨班斯—奥克斯利法案(SOX)又都是时下热门的管理咨询项目，改造对象上又都或多或少同企业组织结构和业务流程相关，改革心切的管理者往往在选择上左右为难。那么它们之间究竟有何区别和联系?

　　ISO改造同其他四者联系最小，区别最大。质量管理是在质量方面指挥和控制组织的协调活动，通常包括制定质量方针、目标以及质量策划、质量控制、质量保证和质量改进等活动。ISO9000是国际上通用的质量管理体系。企业为使其产品质量达到国际标准从而更具市场竞争力，往往会遵循ISO9000系列的质量管理体系，这就要求企业在组织机构、岗位职责、业务流程、操作程序和资源使用上有机协调，保证产品从采购、生产、销售、服务一条链上满足质量标准。简单地说，ISO改造的核心是“质量”，过程是围绕质量提高并依照一定国际标准而进行的组织结构、岗位职责、流程操作等方面的改造。

　　BPR是20世纪90年代初期在美国兴起的管理变革浪潮，它是一个根本设想，就是以首尾相接、完整的整合性过程来取代以往被各部门割裂的、不易看见也难于管理的支离破碎的过程。BPR的核心是“效率”(包括成本效率、生产效率、质量效率、服务效率等)，过程是围绕效率提高对企业进行根本性和彻底性的改造。

　　IC和ERM的关系最为密切。

　　内部控制起源于18世纪产业革命以后，但真正建立起系统概念体系是在20世纪90年代。1992年，COSO委员会提出了内部控制的纲领性文件——《内部控制整体框架》，简称COSO报告。COSO报告把内部控制定义为：内部控制是受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务性；与法律法规的遵循有关的目标，即确保企业在经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。它们的关系是：控制环境是基础，风险评估是依据，控制活动是手段，信息与沟通是载体，监控是保证。

　　在内部控制整体框架的基础上，结合《萨班斯—奥克斯利法案》，COSO委员会于2003年发布了《全面风险管理框架》。该框架是建立在《内部控制整体框架》基础之上的，它既包括《内部控制整体框架》，又是对它的扩展。《全面风险管理框架》是明确针对风险概念的一个框架。它增加了一个目标，即战略目标。战略目标比其他三个目标的层次更高，这意味着风险管理不仅要确保企业财务报表的真实可靠、企业经营的效率与效果、遵循有关的法律法规，而且要深入到企业的发展战略制定当中，管理企业在战略制定过程中可能出现的战略风险。同时《全面风险管理框架》增加了三个要素，即目标设定、事件识别和风险对策。

　　除了上述定义、目标、要素、范围的不同外，笔者认为内部控制和企业风险的区别还特别体现在以下两点：一是侧重的层面不同。内部控制侧重的是制度层面，即通过建立完善管理规章制度达到规避风险的目的。而企业风险管理侧重发展战略选择层面和市场交易层面，它关注特定业务中与战略选择或经营决策相关的风险与收益的比较，并通过市场化的自由竞争或风险管理工具规避风险。二是发挥的作用不同。内部控制主要是帮助公司高级管理人员在开展公司业务的过程中，实现公司利益最大化，并保证公司所有的活动都在总经理授权的情况下进行。而企业风险管理不仅包含以上内容，还包含解决外部股东、内部股东、董事会与高级管理人员的关系。主要帮助董事会在开展业务的过程中，秉承董事会的战略，实现股东利益最大化。

(二)谁更需要内部控制

　　在认识了BPR、ISO、IC、ERM、SOX的区别与联系后，那么究竟哪类企业或哪些企业更需要加强内部控制建设呢?笔者认为，处于转型阶段的国有改制企业和民营企业，相对于其他企业而言，内部控制建设的迫切性和必要性更大。

　　企业的发展大致可以分为创业、转型、成熟三个阶段。在创业阶段，管理者和员工上下齐心，吃苦耐劳，有较强的凝聚力；团队之间有良好的信任，不拘泥于规章制度，运行效率高；灵活多变，对市场有较快的反应能力。但缺点是规模小，抗风险能力较弱，无法应对大机会，缺乏吸引大客户的能力。此时如果过多的在日常经营管理中加入内部控制因素，一是成本太大，二是适用性不强，三是影响效率，因此实施全面系统的内控建设条件还不成熟。

　　在成熟阶段，企业拥有较好的文化氛围，内部规章制度较健全、清晰，内部流程较全面、明确，业务操作具有重复性和模仿性；抗风险能力较强。但缺点是可能存在官僚作风，某些制度流程过于刻板，管理和控制成本较高。由于这类企业内控理念和建设已较成熟，因此如果想在管理效率和业绩上寻求突破，BPR或ERM更适用这类企业。通过BPR对组织的作业流程进行再思考和再设计来降低管理成本，全方位提高效率和业绩。通过ERM，在原有内控基础上进一步提升企业全面抗风险能力以适应新经济背景下的复杂环境。

　　而处于转型和成熟之间的转型阶段，则是企业发展的一个至关重要的门槛，能否完成由弱至强的蜕变全看这一过渡阶段的发展。这一阶段企业的特点是具有一定的规模；有一个核心管理团队；有一定的规章制度，但主要是以信任为基础；企业掌握较丰富的资源。同时存在的缺点是企业文化缺失或不稳定，新老管理队伍需要较长的时间进行磨合，老员工之间以及新老员工之间的利益矛盾逐步浮出水面；同时公司规章制度不健全，存在较多漏洞，资产安全难以得到保障。处于此阶段的企业比较容易出现问题，而ERM和BPR在这类企业的推行条件还不成熟且无法对症下药，此时最需要的是内部控制建设。因此，应从基础管理抓起，通过组织结构的适当调整和业务流程的梳理，在全公司范围内建立健全管理控制制度，弥补原有组织流程的控制漏洞，从而保护企业资产的安全。

　　(三)内控建设的边界在哪里

　　在明确了哪类企业更需要内部控制建设后，一个贯穿于内部控制建设整个过程的关键问题是：内部控制的边界在哪里?究竟哪些需要控制?哪些又不需要控制?在AB建设公司内控咨询项目中，笔者就碰到这样的问题：在制度设计阶段初期，公司管理层整理出一百多项规章制度需要中介机构制定，中介机构感觉工作量过大，内控建设成了“无底洞”，管理层也担心如此多的新制度推出后员工的适应情况和执行情况。

　　笔者认为，如何解决该问题，从而保证内控建设的成果得以实现，应从以下三方面来考虑：

　　1、一个原则：成本——效益原则

　　任何控制活动都是需要成本的，这牵涉到人力、物力、时间的投入以及这些资源投入造成的机会成本。因此企业在考虑任何经营活动环节是否需要加以内部控制约束时，都应进行成本和效益的衡量比较，即衡量由控制措施带来的相关环节损失的风险减少或经济利益增加能否弥补因设置该控制措施造成的成本，如果能够弥补，则控制是有意义和可行的。例如，对于员工领用公司纸张、文具这一日常管理，如果加以严格控制，明确每张纸或每支笔的去向和用途并加以记录统计，管理成本相当大，而相应的损失减少却并不大，这就得不偿失。相反，对原材料的供应商选择加以严格控制，无论从最初的询价、比价过程，到确定供应商，再到合同谈判，到货验收，直至事后评价，都要求相互独立的岗位人员执行并留下详细的书面记录和证据，这样做虽然管理成本较高，但能保证采购到价廉质优的原材料并降低相关环节员工的舞弊风险，这样的控制效益就大于成本了。

　　2、一个方法：曲突徙薪

　　“曲突徙薪”源自中国古代一则寓言故事，其字面意义是将烟囱弯曲，把木材移开，通过细微但关键的改变从而防止火灾的发生。事实上，内部控制建设亦是如此，它决不是将企业原有的组织结构、人事安排、业务流程、财会制度等完全推翻重新设计，而是从内部控制的角度出发，审视原有规章制度，合理部分应加以保留，而某些不安全的、存在漏洞的地方，则加入控制因素予以修正，从而达到“四两拨千斤”的作用。例如，规定采购人员不得参与到货验收等。这些内控措施虽然细微，也未根本改变原有流程，但却减少了相关环节员工的舞弊风险，保护了企业资产的安全。

　　3、一个过程：持久战

　　内部控制建设决不是一朝一夕之事，不是通过一次性的规章制度修订补充就能完成的任务。这有三方面的原因：其一，原先不需要控制的管理环节由于环境条件的变化变得重要起来，控制效益大于成本了，这就需要再修订制度。其二，内部控制本身存在局限性，内控一般针对经常重复发生的业务，一旦设置就具有相对稳定性；不经常发生或未预计到的业务，原有控制可能不适用，因此需要事后补充。其三，企业实施新的内部控制时，管理人员本能会抵触、反对及滥用，使得具有设置良好的内部控制的书面制度同实际执行情况不一致。因此，需要企业高层领导进行不断的教育和贯彻。总之，内部控制建设是一个开放式的、系统性的、循序渐进的过程，企业管理层应做好打“持久战”的准备。

jiujiucpa	小大 1楼个性首页 \| QQ \| 信息 \| 搜索 \| 邮箱 \| 主页 \| UC
加好友发短信等级：超级版主贴子：1304 积分：11887 威望：0 精华：9 注册：2008/4/12 0:00:19	[转帖]企业内控建设的困惑与难题 Post By：2009/2/15 17:51:38 作者单位：复旦大学管理学院会计系来源：财务与会计作者：王一浩　 2006年6月，随着《上市公司内部控制指引》的出台，宣告中国版“萨班斯法案”的推进出入倒计时，上市公司内部控制和风险管理制度体系建立进入了关键时期。一时间，“内部控制”再次成为理论界和实务界关注的热点。无论是出于外部压力还是内部需求，包括非上市公司在内的企业也借此机会，重新审视自身的内部控制问题，或通过自我探索，或寻求中介机构帮助，开始迈上了一条内部控制建设之路。 　　笔者以中介机构人员的身份参与过多家公司的内部控制咨询项目，最近结束了同上海某建设股份有限公司(以下简称“AB建设公司”)的内控建设合作项目。因此，特撰此文，希望在AB建设公司实际案例的基础上，探讨我国企业内部控制的现状、内控建设的方法，并对企业在内控建设过程中常见的认识难点和误区进行分析。 　　一、案例介绍 　　(一)公司背景介绍 　　AB建设公司是上海浦东某大型集团公司下属的一家建筑类上市公司，主营道路、桥梁及各类基础设施施工。公司分市政、沥青、道路研究3个事业部，分别从事路桥建设施工、沥青砼生产摊铺和道路最新技术研发的工作。公司系传统的国有企业改制的上市公司，公司董事会管理理念先进，中高层管理队伍年轻有活力，公司经营业绩良好，在集团内部评比中多次获得好评。 　　居安思危的公司董事会认为，虽然公司目前运转良好，但无论是从公司自身长远发展考虑，还是从外部股东和监管机构的要求出发，都有必要对公司内部控制系统进行一次全面诊断和梳理，使公司管理水平更上一层楼，因此聘请中介机构入驻公司，前后历时大半年，对公司内部控制情况进行全面的调研、诊断和再设计。 　　(二)公司内控存在的问题 　　中介机构通过了解公司组织架构、各部门各岗位职责、业务流程制度、业务执行情况等内容，对AB建设公司的内部控制现状进行了较为全面而深入的梳理，发现了以下问题： 　　1、业务流程重效率、轻控制，不相容职务未分离 　　公司从成立至今，通过不断探索积累，对日常一些主要的业务流程如销售、采购、生产等形成了一套固有的“行之有效”的操作规范。这类操作规范的主要特点是运行效率较高，能迅速应对市场需求变化或管理决策变更，但是也存在着大量控制因素缺失，特别是一些不相容的职务未得到有效分离的弊端。例如，存在设备管理员负责从设备采购、验收，直至保管全过程的现象；又如原材料的领用人直接持有仓库钥匙，燃料油运输人有权为自有设备加油等。这些流程设置的风险使外人无法对该业务进行牵制监督，舞弊隐患较大。 　　2、集权与分权安排不合理 　　一些部门或岗位的权力有时过于集中，有时过于分散。例如，各类大小合同，无论金额或类型，都需总经理审批；事业部经理对于生产车间一个电灯泡的采购、请购、审批和费用报销，都要亲力亲为。而公司某事业部包括主任室、生产车间、市场部、综合办公室在内的各部门都有权实施原材料或固定资产的采购。这种不合理的过度集权或分权可能带来降低效率、管理失控的风险。 　　3、管理数据计量粗放，管理活动不留痕迹 　　企业在各项经营管理活动中会产生大量的数据、文档和记录，这些资料不仅是企业核算的依据，也是内部控制的关键证据。但调查发现，AB建设公司的员工对这些重要资料的采集、整理和保存的意识还比较薄弱。例如，在采购前对市场价格的调查记录、对供应商的选择依据等资料，不仅是采购部门以后重复采购时的参考，也是第三方部门对其监督检查的重要依据，但公司对这些资料的保留不作要求。又如，公司对原材料的计量比较粗放，对石料的验收采用看吃水线估计数量的方法，而据笔者了解，该方法误差能达30%。 　　4、管理信息沟通不顺畅 　　在公司内部各部门之间如果能形成一套有效的信息传递沟通机制，不仅能提高经营管理效率，也是内部控制手段在公司范围内全面运作和联动协调的保障。但在调研中发现，公司在这方面做得并不理想。例如，公司应收购款回收难的一个重要原因是，项目经理负责项目款讨，但由于身兼数个项目，无法知晓各项目款实际到账情况，因此给催讨带来不便。 (三)公司内控建设的实务过程 　　AB建设公司的实际内控体系设计，使用的方法就好比对房屋进行整修，主要是以公司组织机构架设为经，以业务流程再造为纬，搭建起内部控制建设的“脚手架”，再通过“脚手架”，将内部控制的因素和方法添置到企业这幢“房屋”中，从而提高“房屋”的实用性(管理效率)和抗灾性(抗风险能力)。例如，为控制采购活动，提高效率，防止盲目浪费，通过对组织机构进行调整，将固定资产采购权力由原先的事业部收回到公司总部，由公司设备管理部统一进行计划、审批和实施。又如，为了营造企业良好的控制环境，强调员工控制责任，提高控制意识，要求所有员工签订《保密协议》，使其明确在AB建设公司工作需要尽到哪些保密义务、违反保密协议需要承担哪些责任；对于特殊岗位的员工，如研发人员和采购人员，还需分别签订《同行竞业条款》和《阳光协议》，保证企业资源为企业所有，不掌握在个人手中。再如，通过建立全面的合格分包商考评体系，从风险评估和监督的角度出发，为分包商的选择、评价、确定、考核的整个过程提供依据。 　　二、思考和启示 　　(一)BPR、ISO、IC、ERM、SOX……企业何去何从 　　有远见的公司高层往往出于自身需求或外部压力，希望通过外部中介机构的专业能力提高公司的经营管理水平。而企业流程再造(BPR)、质量管理体系(ISO)、内部控制(IC)、企业风险管理(ERM)、萨班斯—奥克斯利法案(SOX)又都是时下热门的管理咨询项目，改造对象上又都或多或少同企业组织结构和业务流程相关，改革心切的管理者往往在选择上左右为难。那么它们之间究竟有何区别和联系? 　　ISO改造同其他四者联系最小，区别最大。质量管理是在质量方面指挥和控制组织的协调活动，通常包括制定质量方针、目标以及质量策划、质量控制、质量保证和质量改进等活动。ISO9000是国际上通用的质量管理体系。企业为使其产品质量达到国际标准从而更具市场竞争力，往往会遵循ISO9000系列的质量管理体系，这就要求企业在组织机构、岗位职责、业务流程、操作程序和资源使用上有机协调，保证产品从采购、生产、销售、服务一条链上满足质量标准。简单地说，ISO改造的核心是“质量”，过程是围绕质量提高并依照一定国际标准而进行的组织结构、岗位职责、流程操作等方面的改造。 　　BPR是20世纪90年代初期在美国兴起的管理变革浪潮，它是一个根本设想，就是以首尾相接、完整的整合性过程来取代以往被各部门割裂的、不易看见也难于管理的支离破碎的过程。BPR的核心是“效率”(包括成本效率、生产效率、质量效率、服务效率等)，过程是围绕效率提高对企业进行根本性和彻底性的改造。 　　IC和ERM的关系最为密切。 　　内部控制起源于18世纪产业革命以后，但真正建立起系统概念体系是在20世纪90年代。1992年，COSO委员会提出了内部控制的纲领性文件——《内部控制整体框架》，简称COSO报告。COSO报告把内部控制定义为：内部控制是受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务性；与法律法规的遵循有关的目标，即确保企业在经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。它们的关系是：控制环境是基础，风险评估是依据，控制活动是手段，信息与沟通是载体，监控是保证。 　　在内部控制整体框架的基础上，结合《萨班斯—奥克斯利法案》，COSO委员会于2003年发布了《全面风险管理框架》。该框架是建立在《内部控制整体框架》基础之上的，它既包括《内部控制整体框架》，又是对它的扩展。《全面风险管理框架》是明确针对风险概念的一个框架。它增加了一个目标，即战略目标。战略目标比其他三个目标的层次更高，这意味着风险管理不仅要确保企业财务报表的真实可靠、企业经营的效率与效果、遵循有关的法律法规，而且要深入到企业的发展战略制定当中，管理企业在战略制定过程中可能出现的战略风险。同时《全面风险管理框架》增加了三个要素，即目标设定、事件识别和风险对策。　　除了上述定义、目标、要素、范围的不同外，笔者认为内部控制和企业风险的区别还特别体现在以下两点：一是侧重的层面不同。内部控制侧重的是制度层面，即通过建立完善管理规章制度达到规避风险的目的。而企业风险管理侧重发展战略选择层面和市场交易层面，它关注特定业务中与战略选择或经营决策相关的风险与收益的比较，并通过市场化的自由竞争或风险管理工具规避风险。二是发挥的作用不同。内部控制主要是帮助公司高级管理人员在开展公司业务的过程中，实现公司利益最大化，并保证公司所有的活动都在总经理授权的情况下进行。而企业风险管理不仅包含以上内容，还包含解决外部股东、内部股东、董事会与高级管理人员的关系。主要帮助董事会在开展业务的过程中，秉承董事会的战略，实现股东利益最大化。 (二)谁更需要内部控制 　　在认识了BPR、ISO、IC、ERM、SOX的区别与联系后，那么究竟哪类企业或哪些企业更需要加强内部控制建设呢?笔者认为，处于转型阶段的国有改制企业和民营企业，相对于其他企业而言，内部控制建设的迫切性和必要性更大。　　企业的发展大致可以分为创业、转型、成熟三个阶段。在创业阶段，管理者和员工上下齐心，吃苦耐劳，有较强的凝聚力；团队之间有良好的信任，不拘泥于规章制度，运行效率高；灵活多变，对市场有较快的反应能力。但缺点是规模小，抗风险能力较弱，无法应对大机会，缺乏吸引大客户的能力。此时如果过多的在日常经营管理中加入内部控制因素，一是成本太大，二是适用性不强，三是影响效率，因此实施全面系统的内控建设条件还不成熟。 　　在成熟阶段，企业拥有较好的文化氛围，内部规章制度较健全、清晰，内部流程较全面、明确，业务操作具有重复性和模仿性；抗风险能力较强。但缺点是可能存在官僚作风，某些制度流程过于刻板，管理和控制成本较高。由于这类企业内控理念和建设已较成熟，因此如果想在管理效率和业绩上寻求突破，BPR或ERM更适用这类企业。通过BPR对组织的作业流程进行再思考和再设计来降低管理成本，全方位提高效率和业绩。通过ERM，在原有内控基础上进一步提升企业全面抗风险能力以适应新经济背景下的复杂环境。 　　而处于转型和成熟之间的转型阶段，则是企业发展的一个至关重要的门槛，能否完成由弱至强的蜕变全看这一过渡阶段的发展。这一阶段企业的特点是具有一定的规模；有一个核心管理团队；有一定的规章制度，但主要是以信任为基础；企业掌握较丰富的资源。同时存在的缺点是企业文化缺失或不稳定，新老管理队伍需要较长的时间进行磨合，老员工之间以及新老员工之间的利益矛盾逐步浮出水面；同时公司规章制度不健全，存在较多漏洞，资产安全难以得到保障。处于此阶段的企业比较容易出现问题，而ERM和BPR在这类企业的推行条件还不成熟且无法对症下药，此时最需要的是内部控制建设。因此，应从基础管理抓起，通过组织结构的适当调整和业务流程的梳理，在全公司范围内建立健全管理控制制度，弥补原有组织流程的控制漏洞，从而保护企业资产的安全。　　(三)内控建设的边界在哪里 　　在明确了哪类企业更需要内部控制建设后，一个贯穿于内部控制建设整个过程的关键问题是：内部控制的边界在哪里?究竟哪些需要控制?哪些又不需要控制?在AB建设公司内控咨询项目中，笔者就碰到这样的问题：在制度设计阶段初期，公司管理层整理出一百多项规章制度需要中介机构制定，中介机构感觉工作量过大，内控建设成了“无底洞”，管理层也担心如此多的新制度推出后员工的适应情况和执行情况。 　　笔者认为，如何解决该问题，从而保证内控建设的成果得以实现，应从以下三方面来考虑： 　　1、一个原则：成本——效益原则　　任何控制活动都是需要成本的，这牵涉到人力、物力、时间的投入以及这些资源投入造成的机会成本。因此企业在考虑任何经营活动环节是否需要加以内部控制约束时，都应进行成本和效益的衡量比较，即衡量由控制措施带来的相关环节损失的风险减少或经济利益增加能否弥补因设置该控制措施造成的成本，如果能够弥补，则控制是有意义和可行的。例如，对于员工领用公司纸张、文具这一日常管理，如果加以严格控制，明确每张纸或每支笔的去向和用途并加以记录统计，管理成本相当大，而相应的损失减少却并不大，这就得不偿失。相反，对原材料的供应商选择加以严格控制，无论从最初的询价、比价过程，到确定供应商，再到合同谈判，到货验收，直至事后评价，都要求相互独立的岗位人员执行并留下详细的书面记录和证据，这样做虽然管理成本较高，但能保证采购到价廉质优的原材料并降低相关环节员工的舞弊风险，这样的控制效益就大于成本了。 　　2、一个方法：曲突徙薪 　　“曲突徙薪”源自中国古代一则寓言故事，其字面意义是将烟囱弯曲，把木材移开，通过细微但关键的改变从而防止火灾的发生。事实上，内部控制建设亦是如此，它决不是将企业原有的组织结构、人事安排、业务流程、财会制度等完全推翻重新设计，而是从内部控制的角度出发，审视原有规章制度，合理部分应加以保留，而某些不安全的、存在漏洞的地方，则加入控制因素予以修正，从而达到“四两拨千斤”的作用。例如，规定采购人员不得参与到货验收等。这些内控措施虽然细微，也未根本改变原有流程，但却减少了相关环节员工的舞弊风险，保护了企业资产的安全。 　　3、一个过程：持久战 　　内部控制建设决不是一朝一夕之事，不是通过一次性的规章制度修订补充就能完成的任务。这有三方面的原因：其一，原先不需要控制的管理环节由于环境条件的变化变得重要起来，控制效益大于成本了，这就需要再修订制度。其二，内部控制本身存在局限性，内控一般针对经常重复发生的业务，一旦设置就具有相对稳定性；不经常发生或未预计到的业务，原有控制可能不适用，因此需要事后补充。其三，企业实施新的内部控制时，管理人员本能会抵触、反对及滥用，使得具有设置良好的内部控制的书面制度同实际执行情况不一致。因此，需要企业高层领导进行不断的教育和贯彻。总之，内部控制建设是一个开放式的、系统性的、循序渐进的过程，企业管理层应做好打“持久战”的准备。

	支持(1) 中立(0) 反对(0) 单帖管理举报帖子使用道具 \| 引用 \| 回复

回复标题：
上传表单：

	签名：不显示显示

主题：[转帖]企业内控建设的困惑与难题

[转帖]企业内控建设的困惑与难题