构建国有企业内部控制框架doc.docx
《构建国有企业内部控制框架doc.docx》由会员分享,可在线阅读,更多相关《构建国有企业内部控制框架doc.docx(10页珍藏版)》请在冰豆网上搜索。
构建国有企业内部控制框架doc
构建国有企业内部控制框架
年月日《中国总会计师》杂志
——在“应对危机——内部控制与风险管理”高级论坛上的讲话(摘要)
国资委收益管理局局长刘德恒
各位朋友,女士们,先生们:
上午好!
非常高兴参加这次由中国内审协会主办的内部控制与风险管理高级论坛。
在此,我首先代表国资委对论坛的举办表示祝贺。
受国际金融危机的快速蔓延和世界经济增长明显减速的影响,企业的稳健经营对内部控制水平提出了更高要求,在我国《企业内部控制基本规范》实施之际,我国企业内部控制建设面临深入推进的关键时期,内审协会举办这样有针对性的论坛,无疑将会对中国企业建立完善内部控制体系、防范风险、化解危机起到有力的推动作用。
借此机会,我也向大家简要介绍一下国有企业内部控制建设的基本情况,以及我们历经两年探索研究提出的国有企业内部控制框架,即“内部控制基本框架”。
国有企业内部控制建设深入推进
企业内部控制是提高企业运营效率、保障企业依法经营和会计信息真实可靠、促进企业实现战略目标的活动,是现代企业制度的根本要求,是企业各项管理工作的基础,也是企业提高管理水平和防范风险的一种有效机制。
企业要实现持续健XX展,就必须不断完善内控体系,通过制度规避风险,以机制控制风险,以责任降低风险,努力实现“速度、效益与风险”的平衡,提高企业的经营效率和效果,从而促进国有企业实现其战略目标。
近年来,国有企业的内部控制建设深入推进,取得了明显的成效,具体表现在以下几个方面:
第一,国有企业对内控建设的认识显著提高
在《萨班斯法案》的推动下,世界各地对内部控制的认识显著提高,掀起了内部控制建设与评价的高潮,相当多的跨国公司花巨资完善内部控制机制。
国有企业也在中航油、三九、XX等企业因内控缺陷导致危机后,对内控建设的认识明显提高,大家都普遍认为建立完善企业内部控制体系,对于不断提高企业把握发展机遇及应对风险挑战的能力、提高企业的竞争能力显得尤为重要。
中国石油()集团、中国石化()集团、XX集团等一批中央企业率先组织专门力量建立和完善企业内部控制体系,编制了《内部控制手册》,并顺利通过内部控制的外部评审。
第二,国有企业法人治理结构得到初步完善
完善公司法人治理结构,建立规范的董事会制度,是企业可持续发展的需要,也是完善企业内部控制环境,健全决策机制的客观要求。
从年起,国务院国资委连续组织开展了家中央企业建立规范的董事会试点工作,通过试点,促使企业通过建立规范的董事会结构,完善了企业的法人治理结构,探索决策权和经营权分离机制,有效解决了“内部人控制”问题,构建科学的决策体系,明显地改善了内部控制环境,初步形成了内部制衡体系。
同时,董事会试点工作也带动了中央企业整体积极完善治理结构、改善内部控制环境、完善内部控制机制。
在中央企业的带动下,国有企业整体在推进完善法人治理结构方面也取得了积极成效。
第三,全面风险管理工作上了一个新台阶
为加强中央企业风险管理,促进企业持续、稳定、健XX展,年,国资委出台了《中央企业全面风险管理指引》,要求中央企业识别各种经营风险,制订风险应对措施,提升风险管理水平。
各中央企业普遍以此为契机,加强了组织领导,积极培育风险管理文化,通过建立健全全面风险管理组织机构和相关制度着手构建全面风险管理体系框架;通过加强投融资、资金、担保、购销等重大事项的集中管理,使中央企业总体风险管理工作上了一个新台阶。
各地国有资产监管机构也普遍参照《中央企业全面风险管理指引》出台了相应的风险管理规章制度,促进了监管范围内国有企业的风险管理水平的提高。
第四,内部审计工作水平有了较大提高
内部审计是公司治理的四大基石之一,是企业依法经营的“经济卫士”,也是企业内部控制的“评估师”和“助推器”,一方面,内部审计是企业内部控制环境的重要组成部分,另一方面,内部审计部门对企业内部控制的评价和完善负有责任。
为加强中央企业内部监督和风险控制,国资委相继出台了《中央企业经济责任审计管理暂行办法》与《中央企业内部审计管理暂行办法》,加强对中央企业审计工作的监督指导力度。
近年来,中央企业的内部审计水平有较大的提高,突出表现在内部审计机构不断健全、内部审计队伍不断充实、内部审计制度建设加快、内部审计领域不断拓展。
国有企业的内部控制框架
内部控制在国外经历了几十年的发展与演进,逐渐形成了以保障效率、报告准确、经营合规为主要目标的一套相对完整的体系。
在内部控制演进的不同时期,学界和企业界也对内部控制有不同的解读与认知。
在内部控制建设实践和理论探讨中,我们发现,尽管内部控制的一般原则有普适性,但是其表现和应用形式会因为国家、区域、文化和企业发展阶段的不同而有所差别。
XX国有企业不断向现代企业制度推进,企业处在深刻变革之中,企业经营的市场环境、法律环境也在不断变化和成熟,企业的成长速度较快,针对“深刻变革、快速成长”这一历史阶段的特性,我国国有企业应该建立怎样的内部控制体系、内部控制如何更加有效地发挥作用,是一个值得深入探讨的课题。
为此,我们组织专题研究,从我国国有企业的实际情况出发,借鉴国内外内部控制建设的经验与框架,对国有企业内部控制建设进行了深度的探索。
经过两年多的研究,我们提出了适应国有企业的内部控制框架,并出版了《国有企业内部控制框架》一书,概括地说,国有企业内部控制框架可以归纳为“框架”,即:
一个首要目标,两层责任主体,三条建设主线,四大基本原则,五项保障措施,具体为:
一个首要目标
从的定义看,企业内部控制所要达到的目标有三个,即经营的效率和效果、财务报告的可靠性和法律法规的遵循性,从《企业内部控制基本规范》看,企业内部控制的目标除了上述三个之外还有资产安全和促进企业实现发展战略两个目标。
有些人认为内部控制几大目标之间是平行的关系,甚至个别人认为内部控制会降低运营效率。
我们认为,归根结底,企业内部控制所要实现的首要目标是提高企业运营的效率和效果,控制与效率是统一的,不是此消彼长的关系,而应该是相辅相成的,局部控制的目的是提高整体的效率,短期控制换来长期的效益,切忌本末倒置,为建立内部控制而牺牲运营效率。
一个健全的控制体系能够促进企业运营效率的提高,从而提高企业的运营效果。
两层责任主体
从内部控制的定义看,内部控制的主体包括企业董事会、监事会、经理层和全体员工。
可见,内部控制是全员的控制,但应该明确关键的责任主体,确定关键责任主题的职责和任务。
从实践看,很多企业的内部控制失效就是因为责任主体不明确。
我们认为,内部控制的两个关键责任主体是企业的董事会(股东)和管理层。
这两个主体责任的落实是推动内控建设的关键。
当前,我国还有较多的国有企业是国有独资公司,没有XX健全的董事会,在这种情况下,除企业管理层需承担建设和维护内部控制有效实施的责任外,股东也应该有责任推进企业的内部控制建设。
三条建设主线
内部控制建设是一项复杂的系统工程,涉及企业生产经营的方方面面,为更有效地推进内控建设,我们认为,企业内部控制建设可以从三个方面着手,以取得事半功倍的效果。
这三个方面,我们将之归纳为三条建设主线:
即治理结构、财务控制、业务控制。
治理结构主要包括董事会构成及运行规则、内部组织结构设置及责权分配等,是内部控制得以建设和实施的基础。
财务控制主要通过会计核算、核算流程规范、财务分析、资金管理、预算管理、投融资规划等手段保障企业财务报告可靠、资产安全。
业务控制主要是以企业实际从事的生产经营活动作为控制点,对企业的采购、生产、销售、经营、合同管理等活动进行控制,以促进企业经营行为合法合规、授权合理、业务流程顺畅、运转具有效益和效率。
四大基本原则
四大基本原则即“强支撑、短流程、高授权、大监督”。
当前,我国经济处于高速发展阶段,市场经济体制在不断地完善当中,经济社会处于一种高变革状态,企业外部环境的变化必然导致企业内部控制的变革,同时,国有企业也处在高速发展的状态,企业的快速成长导致经营风险出现变化,也需要对内部控制体系进行不断调整。
在这样的外部环境下,对于大型国有企业来说,过长的控制流程和权力的高度集中,将降低企业应对市场变化的能力,从而降低企业的经营效率与效果。
所以缩短企业的控制流程、提高授权程度,从而提升企业的运作效率、应对变换的市场环境、是现阶段以高变革、高成长为主要特征的国有企业建设内控的两个重要原则。
当然,在强调短流程的同时,要改善控制环境、管理基础等支撑环境,只有支撑环境改善了,才更加具备短流程的条件。
支撑体系包含两个层面的内容,一个是道德、企业文化、管理理念、管理风格等软性层面,一个是基础的管理规范等硬性层面。
硬性层面主要包括核算规范、信用管理、采购目录、供应商数据库、预算管理、详尽的业务计划体系、投资筛选与估值系统等基础管理体系。
而提高授权、充分发挥下级积极性的同时,需要提高监督能力,对每一项授权都要有相应的监督,不能出现没有监督的授权。
监督与授权是矛盾的两个方面,过度监督或监督缺位都会使授权的效果弱化。
而没有监督的授权将会导致权力的异化,使企业的决策者在应用权力决策的过程中产生偏差,导致企业经营失败。
所以完善的监督体系是高授权的必要前提。
五项保障措施
根据我国国有企业的实际情况,参考内部控制框架和企业风险管理框架的研究结果,我们提出了国有企业内部控制建设的五大保障措施,即国有企业内部控制建设应当主要从以下五个方面入手:
一是改善支撑环境。
支撑环境是内部控制的基础。
我们强调的支撑环境不仅包括内部控制环境,还包括管理基础、信息技术等对风险管理、制度流程、信息沟通和监督起支撑作用的各种因素,支撑环境的改善是缩短流程的基础,没有良好的支撑环境就不具备“短流程”的条件。
当然,支撑环境的完善不可一蹴而就,需要一个渐近的过程与周期。
在治理结构改善的过程中,需要两个责任主体的共同努力,并分段、分层次地进行。
首先,在国资委的推动下和指导下,改善治理结构;其次,管理层要从管理基础和管理手段切入,完善基础管理的支撑,例如相对明确的组织设置与职责分工以支撑流程运行,清晰的责权分配以支撑授权审批,基础的核算规范以支撑报告可靠,有效的预算管理体系和业务计划体系以支撑经营权力的下放。
二是加强风险管理。
风险管理是内部控制的重要环节。
我们强调的风险管理不仅仅是的风险评估,而是全面风险管理的理念,将全面风险管理技术引入到“内部控制框架中”。
加强风险管理体现在三个层面上,一是提高风险识别、分类、评估和应对的能力;二是在制度流程层面选择合适的政策和流程;三是在道德文化层面形成关注风险、防范风险的文化。
当前企业经营环境复杂多变,加强风险管理显得尤为重要,通过风险管理将企业的的风险控制在可以承受的范围以内,这也是内部控制首要目标的基本要求。
三是完善制度流程。
制度流程是内部控制的具体方式。
制度流程以控制活动为表现形式,将内部控制的各项要素体现出来:
首先,围绕风险识别评估过程确定的关键风险制定相关的政策,将相关风险纳入控制活动设计之中;其次,政策与流程的设计,强调相关流程涉及的组织职责边界清晰、审批事项授权明确,从而与控制环境的完善程度相联系;第三,政策与流程的设计,应当建立必要的控制文档,并明确规定文档的填写内容、填报责任人、填报时间与路径,从而将信息沟通的要求融入其中;最后,政策与流程还应当作为监督评价的标准和基础。
四是促进信息沟通。
信息沟通是内部控制的重要条件。
在内部控制五要素中,信息沟通是最难以理解的一个要素。
一些人不理解为什么将信息沟通作为内部控制的一个要素,好像它与流程没有什么关系,甚至有些人认为信息沟通就是信息化。
我们认为,在内部控制体系中,首先是建设了内部控制环境,然后适时评估企业风险,根据风险采取相应的控制流程。
在流程的设计中,要明确每一个流程需要的信息。
很多企业重视流程,但流程中的信息的及时性、相关性和可靠性不够,造成内部控制失效(如企业董事会在决策信息不足的情况下进行决策)。
因此,评价企业内部控制时,不能光看是不是经过了规定的程序,更要看经过这些程序时是否有足够的信息,信息不够造成的内部控制失效常常被人忽视。
另一方面,良好的内部沟通也是内部控制的重要环节,组织中的沟通要寻找合适有效的途径,沟通不畅或沟通障碍容易造成内部控制失灵。
五是提高监督能力。
监督是内部控制的重要保证。
从监督的定义看,包括两层意思:
一是监督是内部控制五要素之一,是内部控制的重要组成部分,内控环境、风险评估、控制活动及信息沟通等四要素的自我调整和完善需要监督来保障,通过监督实现内部控制的动态更新,从而保证内控促进企业实现发展战略;二是对企业内部控制进行独立的评估或认证,通过评估、认证,落实内控的有效性,合理保证内部控制有效。
因此,我们认为,完善企业的内部控制监督体系,必须要有一套完善的内部控制监督措施。
我们将内部控制监督丰富为五个重要手段,包括风险预警、强化预决算管理及重大财务事项监控、内部审计监督、内部控制评价与考核、责任追究等具体监督手段。
从而做到过程预警与事后审计相结合,监督检查以考核评价和责任追究为保障,体现“高授权、大监督”的内部控制设计管理思路。
五大保障措施与的五要素一脉相承、相互呼应,但针对目前相当多的企业内部控制不够完善的现状,我们更多地强调内部控制的动态改进,对于每一个保证措施,都提出了最佳做法和改进措施。
国有企业内部控制框架的主要特点
国有企业内部控制基本框架是一个从实践中走出来的框架,框架形成的过程中,我们总结了国有企业内部控制建设与实施的得失,对国家大环境、国有企业的现状、所处的特殊发展阶段进行了广泛深入的思考,借鉴和其他国外先进原则框架的XX,形成了特点鲜明的国有企业内部控制框架。
框架主要特点表现在以下几个方面:
符合现阶段我国国情,是对框架的继承和发展
相当长的一段时间以来,我国经济一直在高速、稳定、健康地增长,经济体制改革也在不断深入。
在这种背景下,国有企业在进行着以资源整合、行业整合、地域整合为主要特征的快速成长,要有力地提升管理水平以防范企业快速成长中的各种风险,要求企业在引入管理机制和管理工具时不是追求完备性,而是要力求灵活、简单、适用,以适应深刻变革、快速成长所带来的企业演进和变化。
因此,本框架是针对现阶段国有企业的实际情况提出的,是对框架和《企业内部控制基本规范》的继承和发展。
突出效率效果目标
目前国有企业处在一个特殊的历史阶段,现阶段,为满足企业高速增长和适时调整应对变革的需要,框架强调,内部控制的首要目标是提高运营的效率和效果,控制与效率的统一性要从不同层面来认识,局部的控制带来的是整体效率,短期控制换来长期效益,切忌为建立内部控制而牺牲运营效率。
为保障该目标的实现,框架确定了内部控制的四大原则,即“强支撑、短流程、高授权、大监督”。
在企业内部控制建设中应牢牢把握效率优先的首要目标,与此同时,框架也强调了对其他基本目标的基础保障。
强调了内控建设的动态性
内控机制建设不是一蹴而就、一劳永逸的过程,而是一个经过初始建设、形成系统、并随着企业的发展而持续改进、不断完善并最终形成内控文化的过程。
所以,框架中我们强调内控建设的动态性、持续改进性。
在具体操作中,针对企业制度化弱、管理基础弱等特点,既要求企业在内控建设时要有全面性的视野,也赋予企业管理者以灵活把握的空间,根据具体情况评估风险、选取关键风险点并围绕风险点设置控制流程,同时强调简便、实用、快捷地形成初始的内控框架,并随着企业的发展对内控提出的新要求进行及时改进,不断完善。
强调强支撑和大监督体系
国有企业内控框架以效率和效果为基本基调,为实现效率和效果目标,框架强调了短流程和高授权的基本原则。
高授权和短流程在监督不力的情况下会产生比较大的决策风险和运营风险,因此作为内控措施的一部分,框架强调建设系统性的管理支撑体系和大监督体系。
支撑体系是运营管理的一部分,完善的支撑体系能够缩短管理流程,保障和支撑运营效率。
监督体系不参与业务运营过程,但是能够通过预警、审计、考核和责任追究,既不过分影响权力的正常应用,也对权力形成强有力的制约与威慑。
构建内部控制应处理好的几个关系
一是处理好控制成本与效益的平衡关系
对于企业来说,并不是越多的内部控制就越有益。
因为建立内部控制机制并保证这些机制有效执行是需要成本的,企业要按照成本效益原则处理好控制系统完备程度与效益的关系问题,实现控制效果和控制目标目的和谐统一。
但是这也并不是说企业可以以节约成本为理由,而不建立或不健全内部控制机制。
如何在完善内部控制机制与内部控制成本之间寻找一个平衡点是一个值得继续探索的问题,关键的一点就是,应该将企业的风险控制在企业可承受范围之内就行了,不能过度控制。
二是要处理好控制与效率的关系
与企业自身情况相符合的内部控制,有利于企业提高管理效率和生产经营效果,但是,如果所建立的内部控制系统环节过多、过于复杂繁琐,不仅将导致企业成本增加,而且还将因控制而丧失了效率。
为此,企业应结合自身具体情况,确定科学的控制点,以取得控制与效率的最佳结合点。
在建设国有企业内部控制机制的过程中,企业一定要注意的是:
并不是控制环节越多、程序越复杂、范围越广、内容越多的内部控制就越好,而是应该结合实际情况制定适合企业自身实际的控制强度和内部控制机制。
如何建立一套科学的内部控制机制、实现控制与效率的有机结合也一直是内部控制建设中的一个难点问题。
三是处理好内部控制稳定与发展的关系
内部控制是一定时间内、一定环境下的产物,由于环境、政策等情况发生变化,会使得原有的控制制度不再适合,从而使原有的内部控制失去作用。
所以,企业要处理好内部控制稳定与发展的关系,在实践中不断发现问题并不断完善内部控制。
同时,内部控制的建设应当坚持“与时俱进”的原则,随着经济环境的变化和企业生产经营的发展,从政策层面和企业自身两个角度,不断发展、更新、修护内部控制体系。
四是处理好信息化与完善内部控制机制的关系
信息时代,许多内部控制是通过计算机自动完成授权并有效地分离监控与操作的活动,并通过对数据库的建设与维护实现内部控制信息的大量储备与流转,信息化影响到内部控制的各因素,是企业内部控制的“固化”,有效地提高了企业内部控制的效率;同样地,内部控制也反作用于企业的信息化建设,良好的内部控制是企业信息化建设的基础,影响着信息化发展的进程。
但是,由于计算机系统的复杂性和专业性,对人员的素质要求非常高,这也导致了内部控制系统构建和评价的困难,也容易产生潜在的风险。
信息化对企业内部控制理念和方法的冲击是全方位的,认识这种变化、探讨解决方案对企业内部控制的发展和完善具有深远意义。
当前,由美国次贷危机引发的全球金融危机,进而演变成世界性的金融海啸已经波及到了实体经济的各个方面,我国作为世界经济循环的重要参与者,也不可避免地受到了冲击。
在这轮XX不遇的金融危机冲击下,我国部分国有企业经营放缓、利润减少,有些企业因为参与资源市场和金融衍生品市场的远期交易而蒙受惨重损失。
在这次危机中我们发现,一些企业风险管理与内部控制是照本宣科建立的,有关的政策和流程没有紧密结合企业的实际,更缺乏用“心”去执行内控。
要使内部控制有效,首先应当建立适合企业实际的内部控制体系,而不是引进“千篇一律”的管理流程,还要求企业家在逐利的冲动下保持一份谨慎,在纷繁的利益诱惑下保持一份淡定,这样才能坚持自己的既定目标,控制企业的非正常性损失。
总的来说,对于企业来讲,有健全的内部控制的企业不一定能够长治久安,因为决定企业成败的关键元素比较多,但是没有内部控制的企业注定是要失败的。
建立内部控制体系应当坚持“适当、适度、适用”,在内部控制建设中不能照搬框架,要紧密结合企业的自身特点和外部环境,紧紧围绕“提高运营效率和效果”的首要目标,做到“合适的才是最好的”,同时,在执行内部控制和风险管理时要用“心”,不能照本宣科,要保留一份额外的谨慎。
谢谢!
升级会员 