如何揭秘内控体系路线图.docx

1、如何揭秘内控体系路线图如何揭秘内控体系路线图揭秘内控体系路线图 中国版萨班斯系误读2010年8月30日 9点32分 来源：首席财务官 相关标签：内控体系路线图 下一页第 1 2 3 4 5 6 页2010年4月26日，财政部会同证监会、审计署、银监会、保监会联合公布企业内部操纵配套指引以下简称配套指引，各界关于内控话题的热度连续升温，而在以后的几年里，中国所有上市公司的CFO都将面临内控建设的考查。五部委联合公布的企业内部操纵差不多规范和企业内部操纵配套指引以下简称内控规范体系，突破了我国传统的将内部操纵局限于会计与审计的局面，将内部操纵嵌入公司治理并融入生产、人同意采访的各方人士一致认为，内

2、控指引的出台明确了各方的责任，本土CFO们应当利用那个契机，借助这部有着国家级高度的内部操纵规范完成之前可望不可及的整体运营风险的源头操纵。中国版萨班斯是误读在财政部财政科学研究所研究员杨小舟看来，内控规范体系有如以下几点令其印象深刻：体系完整、层次较高、表达中国特色、定位准确。曾在清华同方任CFO多年的杨小舟进一步提到，关于企业的内部操纵，不同的人事实上有不同的明白得，能够分成三个层次或三种观点：第一种观点认为内部操纵要紧是指与财务报告相关的内部操纵；第二种观点认为，不管叫做内部操纵也好，风险治理也好，差不多上指对企业各种各样经营风险进行的包括公司层面、运营层面和操作层面的业务与财务风险管控

3、；第三种观点将公司治理的目标、治理风险也纳入内部操纵的范畴，这是一种最宽广的内部操纵概念。关于不同层次的内部操纵，各国的政府机构或研究机构、咨询机构都公布了不同的操纵框架。例如，美国的萨班斯法案全称为公众公司会计改革和投资者爱护法案，强调的是与财务报告相关的内部操纵的有效性，目标是为了促使企业的财务报告按照美国GAAP编制，以确保企业财务报告的可靠性。美国COSO2004年公布的企业风险治理整合框架，实际上是第二个层次的内部操纵。至于第三个层次上的内部操纵，系统性的观点少，但实务中许多企业是这么做的。一个公司的治理结构是不是完善，最全然的判定标准，依旧看是否有利于企业战略层面的风险治理，是否有

4、利于企业经营战略和长远目标的实现。了解这一点专门重要，否那么我们关于企业内部操纵的深入讨论就缺乏一个共同的基础。中国版萨班斯的说法是一种明显的、重大的误读和误解。内控规范体系不管是从目标、要素，依旧指引所规范的内容上看，至少是第二层次的内部操纵概念。对此，普华永道北京风险治理及内部操纵合伙人季瑞华说明，中国版萨班斯的说法，要紧是由于中国的差不多规范和美国的萨班斯法案同样有要求上市公司对其内部操纵进行自我评判以及需要外部审计师进行独立审计。但中国差不多规范和美国萨班斯法案的侧重点和其他方面都不尽相同，因此不应该一概而论。而身为中国会计学会企业内部操纵专业委员会委员的杨小舟认为，内控规范体系在专门

5、多方面都表达出了中国特色。例如，在差不多规范第二章中强调了公司治理结构完善对内部操纵的重要性，有些经营层面上的风险，根源依旧在治理结构、治理机制的不完善上。再如，差不多规范第37条指出，企业应当建立重大风险预警和突发事件的应急处理机制等。这些都反映出内控规范体系既借鉴吸取了国际先进的风险治理理论，也考虑并表达出了中国企业风险治理的实际。从2001年6月开始，财政部就连续公布了企业内部会计操纵差不多规范，以及一些内部会计操纵具体规范如货币资金等的征求意见稿。但这些征求意见稿之因此没有得到企业应有的重视，其中重要的一个缘故是企业的内部操纵机制或体系是一个完整的系统，将内部操纵分成会计操纵和治理操纵

6、，无异于将美玉击成碎片。而此次内控规范体系专门好地解决了这一问题。专门值是一提的是，为了促进内控规范体系的有效实施，内部操纵审计指引指出，注册会计师不仅应当对企业财务报告内部操纵的有效性发表审计意见，同时还应当对企业财务报告审计过程中注意到的非财务报告内部操纵的重大缺陷，在内部操纵审计报告增加描述段予以说明。这能够说是中国内部操纵规范体系的一个制造，表达出规范制定者的务实态度和精湛的解决现实问题的能力。德勤北京企业风险治理服务合伙人谢安在采访中也表示，配套指引的制定充分考虑了中国国情，涉及内部操纵建设、评判和审计的全面指导。谢安指出，配套指引并未表达行业特点和企业规模，通用性强，是各企业均能够

7、参照执行的。但企业在实施过程中，必须结合自己的实际情形来执行，而不能生搬硬套；应加强针对配套指引的培训。中国企业，除一些差不多同时在有监管要求的境外资本市场上市的公司，其他公司对本公司如何切实加强内控的认识差异专门大，因此加强培训是必要的。此次配套指引的出台，让谢安印象最为深刻的是：第一，有明确的时刻表，境内外同时上市的，2011年1月1日起开始实施，仅在境内主板上市的，2012年1月1日起开始实施；第二，实施配套指引的企业，应当报送或披露年度内部操纵评判报告和审计报告，显示了监管层的决心和力度。上海汽车集团股份CFO谷峰认为，企业内部操纵配套指引的出台，应该说是企业所热盼的，因为之前的企业内

8、部操纵差不多规范只是提出了一个有关内部操纵的框架概念，着重对内部操纵的各个组成要素进行了说明，然而并没有针对具体的业务领域应该设置如何样的内部操纵提出指导意见，也未对企业应该如何开展内部操纵评判提出要求。配套指引明确了内部操纵评判指引，内部操纵审计指引以及18项具体的应用指引，这对企业建立健全内部操纵体系，规范开展内部操纵评判，将产生庞大的指导作用。内控动力：内部依旧外部？内控也好、风险治理也好，其目的差不多上为了治理好企业经营过程中可能遇到的各种各样的风险，使企业能够持久、健康地进展，从而为股东、为社会制造更多价值。因此，从原理上来说，建立和健全内部操纵的动力，毫无疑问应该来自企业的内部。杨

9、小舟坚持认为内控的动力来自于企业内部。而中国社科院公司治理研究中心主任鲁桐那么认为，这应该是市场的差不多要求，做收益的话不操纵风险这是专门悬的情况，有争议就应该有操纵。在2020年企业内部操纵差不多规范推出来后，本来2009年7月1日要在所有上市公司推行，后来财政部也发觉内控不是一两天建成的，就把时刻表推了，到了2020年觉得不能无限推下去，因此今年内不管如何要在上市公司推行，两地同时上市的公司动得比较早，可能基础也比较好，问题不太大。问题大的是规模不是专门大的小公司，推行起来在时刻、人力、财力等方面都不太足，因此鲁桐认为内外两方面的压力都会有，企业自身也是有这方面的期望。 谢安的观点是，从近

10、几年接触的企业完善内部操纵的实践来看，最初的动力多来自于外部的监管要求，但企业在开展这项工作的过程中逐步认识到，内控有助于实质性地提升企业的治理基础，因此动力慢慢地由外部监管转化为内部的治理需求。近期我们越来越多地看到，一些未被监管的企业，出于治理和运营的需要，也在积极探究完善内部操纵，这是一个可喜的现象，也正是内控的真正使命所在。内控成本的辩证观成本问题曾经让美国萨班斯法案饱受非议。在我国企业内控建设中，同样存在成本问题。对此鲁桐表示，基于我们对上市公司的调查，能够建立完整的内控体系需要三年的时刻，内控不是短期内就能见效的，实际上有不同的时期，我们观看到三年是必要的，每年都要专门重视，要有专

11、门多的投入，内控成本确实比较大，从硬件到软件，再到人员。除了要改造信息系统，还要对风险进行测试，测试需要专门多人员来参与，一年测一次周期也比较长。而且各个行业的内控是不一样的，并不是说有一个菜单和一个方法大伙儿就都能够用，实际上每个行业、每个公司自己的业务特点都不同，内控的侧重点和所要花的时刻、精力、成本都不一样，尽管有这么多配套指引和规范，然而每一家的情形差不多上各种各样的。甫瀚咨询公司董事总经理兼大中华区总裁刘建新认为，内控是治理体系的转变，治理体系表达企业的政策、信息数据，在建立体系的时候要从企业战略到流程，建立相应的组织和信息系统数据，这是内控当中的一部分，建立那个体系的成本会涉及到由

12、于对人员的聘用、组织结构的调整、考核机制的改变而产生的外部费用。普华永道中国北部审计部主管合伙人杨伟志也专门认同具体情形具体分析。他强调，配套指引要逐步实施，要有充分预备，两地上市的企业在某个程度上有一定的基础，企业基础的不同决定了内控建设成本的差异，因此成本多少专门难一概而论。企业要充分体会到，那个要求对企业价值的提升，而不是单纯以合规为目的。假如认真做，价值远远高于付出的成本。内部操纵演变为操纵内部？企业内部操纵应用指引对企业提出了包括财务报告和非财务报告风险管控的要求。同时，企业内部操纵评判指引要求企业的评判工作包括内部操纵的设计与运行，以及涵盖企业及其所属单位的业务和事项，并在全面评判

13、的基础上关注要紧业务单位、重大业务事项和高风险领域。首席财务官杂志在大量采访中观看到，现在企业内控存在一个误区，往往会演变成操纵内部，也确实是应该操纵业务风险却用心于各项成本与费用的操纵。这是对内控的片面明白得。内部操纵应该是渗透在企业运营的方方面面，而不仅仅是成本与费用的操纵。操纵业务风险也只是内控的一个方面，应该说企业开展内部操纵工作，应该以风险为导向，关于那些风险高的领域，应该花更多的时刻和资源去进行治理和操纵。在谢安看来，积极完善的内部操纵不仅有助于企业降低成本费用，同样有助于企业把握业务机会，有效操纵业务风险，提升企业整体运营水平。杨伟志认为，之因此会显现如此的误区，要紧是在于设定内

14、控时缺乏整体目标。假如具体的情况没有总的方向，那么每个部门按自己的明白得和看法去行动时，就缺乏对整体方向的把握。内控应该是从上而下，全面覆盖。从整个企业所追求的进展目标，然后再具体落实到各个层面，假如做得好，内控成本可不能白费，会专门有效。季瑞华补充道，内控建设里最关键的步骤是培训。其中一个目的确实是把常见的误区说清晰。假如企业不去考虑自身的经营风险，而仅仅抱着合规的心态去做内控，那专门有可能会过于关注细节，而非关注业务风险。关于业务风险的关注，刘建新也表示，尽管大部分公司治理层内部操纵的意识比往年大幅度提高，也主动地对内部操纵和运营流程进行了梳理工作，却往往忽视了最为重要的一个环节风险治理先

15、行。仅停留于对现有内控的梳理是不够的，要对风险做到事先排察、未雨绸缪。一些治理层对内部操纵和风险治理的认识尚不全面，往往认为有比风险治理更加重要的情况等着要做，比如大幅提升销售业绩。然而却忽略了风险的后果差不多在这场金融危机中显露无遗。企业必须对现有的操纵环境加以全面评估，有针对性地找到最重大的风险，才能有的放矢地完善风险操纵体系，推动企业实现目标。谷峰也十分认同上述观点。内部操纵的目标是合理保证企业经营治理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和成效，促进企业实现进展战略，是贯穿企业经营治理的全过程，不能片面地将内部操纵明白得成操纵内部。CFO 3.0”时代依照德勤刚刚

16、公布的2020年中国上市公司内部操纵调查分析报告显示，中国的上市公司逐步提高了对内部操纵系统的明白得与重视，但实施阻力仍旧存在。其中53%的受访者认为实施内控的阻力之一是缺乏与内控相关的信息系统。据IDC估量，20072020年，国内风险管明白得决方案市场将以22.4%的复合增长率快速增长。有业内人士表示，近23年内，国内市场将迎来一个需求大量增长的时期。SAP中国区商务用户和技术平台事业部总经理张侠表示，合规和风险管控方面一直是SAP的重点努力方向。在2006年SAP收购了全球领先的Virsa系统公司。Virsa是一家在萨班斯-奥克斯利Sarbanes-Oxley领域处在绝对领先地位的软件公

17、司，收购完成后SAP也推出了一个相关的产品GRC公司治理、风险治理与合规，参照中国的内控规范体系的相关要求，在位于上海的中国研究院的实验室为中国企业量身定做。GRC是真正意义上的企业性能治理的核心。我们要让客户能够充分地了解所有的风险和机会，如此才能做出专门良好的决策，这一直是SAP公司战略的重要组成部分。SAP Business Objects首席财务官兼办公室绩效优化应用软件部全球副总裁 Frdric Laluyaux 强调，我们实际上是要用SAP GRC的解决方案使客户能够真正在进展业务中具有自己的优势，这就说明客户不仅仅要实现合规，同时还要能够专门清晰地了解自己在公司运营方面的风险以及

18、相应的机会。在了解了这些风险和机会的过程中，再来实现自己公司业务的成长。同时他还进一步说明，有两个支柱是应该关注的，第一是数据的可用性，也确实是说关于整个生态系统来说，如何使用各种已有的数据，而且如何使这些数据不管是按企业预置On-Premise、按需随选On-Demand和移动应用On-Device型的都能够专门好地被企业各个部门所使用；第二个支柱是如何能够培养企业在运行这种应用方面的能力。企业要进展自己的业务，同时也要对自己的环境和风险有专门好的操纵，而不是说那个企业的业务像坐过山车一样上上下下有急剧的变化。我们觉得所有的中国企业应该都能够奔着有操纵之下的企业增长目的去进展，而SAP所提供

19、的平台确实是要使企业有操纵的成长成为可能。Frdric Laluyaux为我们提出了一个CFO3.0”的概念，他认为，CFO1.0，是说那个时候的CFO只是对公司和企业内部的核心财务流程进行治理；CFO2.0那么是让那个CFO更加接近于在战略和执行之间找到专门好的平稳，同时可能也会涉及到一部分GRC的产品和解决方案的提供；而CFO3.0，那么是让那个CFO在真正意义上成为企业CEO的战略型顾问。如此做就能够让公司更快地提高自己的性能和业绩，同时能够让公司迅速进入到一个新的机会领域。这是一个三步走的过程。SAP亚太及日本区商务用户和技术平台事业部副总裁Atul Patel认为，作为一个企业的CF

20、O，不能只看到合规的问题，而更多的是要有一个全盘的视角来看待所有风险，甚至于政治方面的风险也必须考虑在内。只有以如此全面的视角看待所有的风险，才能把相关的风险操纵与自己企业的运营系统联系在一起。这些运营系统不仅包括企业的人力资源系统，也包括各种相关的财务系统。机会大于压力，意识高于技术内控指引明确了各方的责任，对CFO来讲正好利用那个机会，完成往常专门难推动的源头风险操纵。然而企业整体对内控的认识与同意，往往都要经历从被动同意到主动运用的过程。这其中作为执行层的CFO，压力与契机并存。作为SAP中国区商务用户和技术平台事业部总经理，张侠接触过多家大型企业CFO。关于在内控建设中CFO的压力与挑

21、战，张侠认为，真正比较优秀的CFO会把那个看作是一个机遇，利用那个机遇能够把自己与财务有关的工作进行梳理，以做得更好。最好的CFO可能确实是把整个合规和风险管控不光是看作一个需要遵循的情况，而是把它看作一个企业核心的竞争力，或者是一个商业机会。治理风险本身确实是对业务最好的治理，因此它可能变成一个核心竞争力，能够变成一个和别的企业形成差异性的东西。有远见的CFO从更广义的角度动身，会在这些情况上主动发挥一些主导的作用，而不是仅仅把那个机会当做是负担。Atul Patel向记者介绍，SAP现在有专门多客户，在他们披露年报的过程中差不多采纳了三重底线的年报方式，确实是除了要在年报中披露财务数据之外

22、，同时还要披露一些相关的社会、经济以及环境等方面的因素，如此做能够让那个企业变得专门与众不同，因为在公司或者是企业的年报当中，有的时候并不要求对环境方面的因素也要加以披露，然而有些公司的确差不多如此做了，如此做的好处是能够让与那个企业相关的各个方面，包括企业的投资方，或者是企业所处的社区、企业的职员，甚至企业的供应商都能够感受到企业实际上是领先一步在做专门多工作。同样赞同机会说的杨小舟也强调，CFO应该借内控规范体系全面实施的东风，因地制宜，加强企业内部操纵体系建设。谷峰介绍，上汽从2007年开始启动了新一轮的内部操纵体系建设，通过借鉴COSO的内部操纵整合框架以及五部委的企业内部操纵差不多规

23、范，内部操纵体系建设日趋完善。应该说上汽为执行企业内部操纵差不多规范差不多提早做好了预备，一方面加强制度建设，编制内控手册并连续完善，同时建立了长效的内部操纵自我评估机制和监督检查机制。在风险治理方面，上汽要紧借鉴了国务院国资委公布的中央企业全面风险治理指引，各职能部门在日常工作中连续开展风险信息收集、风险识别、风险评估以及风险应对等风险治理工作，并定期开展风险治理自查和检验，同时还由审计部门负责实施风险治理的监督评判。同时，受访的专家和CFO普遍担忧内控规范体系的实施有可能流于表面的问题。只重视业务流程和治理流程的设计，专门可能本末倒置；只强调框架的研究，总体风险的把握，不注重制度的设计与实

24、施，又会陷于空谈，执行力不强。因此企业不仅要加强内控体系的设计，也要时时评估内部体系的运行效率和成效，如发觉重大缺陷和漏洞，应及时改正。杨小舟专门提醒道，注意风险的层次性也专门重要。企业的风险可能来自于不同的层面：治理层面、战略层面、经营层面和操作层面，只有准确把握风险形成的层面，才有可能设计出相应的、有效的内部操纵机制和流程。一个有效的手段是将内控的执行情形纳入考核体系。谢安建议，操纵措施必须融合进企业的实际运营工作中的制度、流程，使大伙儿在日常工作中，按照正确的做法工作，就自然而然地遵行了内控的要求，幸免实际运营与内控两张皮。杨伟志谈到，随着企业本身的进展，内控也要连续进展。不是一个项目、

25、一个时点，而是长期的、连续的，也需要重新评估。依照企业外部进展环境的变化，进而改变企业内部操纵关键点等，需要重新审核。他认为，企业在执行内控时，尽管存在一定程度的技术性障碍，但通过培训或者外部专业机构的关心都能克服。而意识层面的问题那么是决定企业内控能够成功的关键。假如能充分认识到那个工作的价值，领导层的推动力就专门强。任何人关于改变都有本能的抗拒，要克服这种心态，需要领导出来亲自组织。季瑞华打了一个生动的比喻，好比一个人做体检，假如为了得到一个好的结果就提早三天不喝酒、多吃青菜，那如此的结果也是自欺欺人。内部操纵亦是如此，其关键不在技术，而在于人。【案例分享】作为A+H上市的公司，中国神华的

26、内部操纵建设和全面风险治理在业界一直被评为标杆。首席财务官杂志专门专访了中国神华能源股份CFO张克慧女士，分享其先进体会，以期对正在进行内控建设中的企业有所借鉴。中国神华的内控路线图对风险有着强烈担忧意识张克慧一贯将内部操纵与风险治理视为底线治理，因此其推进神华内控体系建设的过程中采取了稳扎稳打的策略，迅速打开了局面。确定咨询机构为了能选择一个完全胜任本项目的咨询机构，我们通过各种渠道，详细了解各要紧咨询机构的咨询能力、工作素养、服务态度、咨询业绩，初步确定了咨询机构的类别和范畴；制定严格的评判标准，具体细化每一个标准及分值；在招标文件中，我们通过充分研究，编制了项目建议书，不仅确定了内控建设

27、的差不多原那么和思路，还细化到具体要求。在招标文件中制定了一套项目质量操纵体系，其中有一项确实是要求国际咨询机构必须采纳我们起草的合同，按我们提出的需求执行合同。合同的商务、技术和质量条款差不多上通过反复斟酌，针对项目关键风险设计的。事实证明，咨询机构的选择和操纵关于内控建设的成败至关重要。许多咨询机构不了解国企实际，把国外现成的模板、套路照抄照搬，在这方面失败的教训和例子许多。现状评估神华对煤、电、路、港四大业务板块的要紧企业进行了调查研究，组织咨询机构访谈了高管层、部门负责人、重要子分公司的领导和相关人员，发放调查问卷，组织各部门研讨，组织向高管层专题汇报等，批阅了公司所有重要的治理制度、

28、流程，对内控现状进行了系统的评估和诊断。对比监管要求和国际最正确实践，进行了内控体系评估和对标分析，分析研究了公司内控体系各环节、要素与国际一流能源公司的差距，确定了公司内控体系建设的重点、进展路径和规划。最终神华将内控建设划分为内控基础建设、内控促进治理、内控融入治理三个时期。搭建体系内控为治理提出了一个方法论，同时也是新的工具。张克慧强调，企业内控建设是一个循环的过程，神华将内部操纵环境建设、目标设定中的风险考量、风险评估、业务治理流程操纵、信息与沟通、监控与评判以及治理改进紧密联系，形成建设、检查和改进的闭环操纵体系。内控体系明确了各组织、部门、子分公司在体系各环节中的角色和应承担的责任

29、，制定了实现相应目标、履行相应职责的流程、具体要求、方法和参考工具，整个体系强调了对风险的操纵与监督。公司明确了内控与风险治理组织职能的分层治理。按照责任和功能，组织职能能够分为决策层、经营层、监控层和实施层。推进实施为了确保执行到位，神华制造性地引入自我检查、自我改进的方法和机制，将内部操纵贯穿于日常治理活动之中，着力打造连续改善的长效机制。张克慧介绍，在这种机制下，更加具体地突出了风险治理和制度建设，更加明确了公司重要业务和治理流程中的重要风险、操纵重点、操纵活动、检查方法及责任主体。简单的说，这种机制要紧规定了管控什么？如何管控？如何自我评估？如何治理改进？管控什么即基于公司层面的风险，

30、确定了重要流程，识别和评估流程中的具体风险和针对具体风险的管控重点；如何管控即对管控重点制定或改进应对措施和操纵措施；如何自我评估即依照提供的模板测试和确定操纵活动的情形；如何治理改进即针对自我评估中的管控缺陷开展治理改进。完善内控体系通过自评测试，神华各部门对目前的管控现状有了更加清晰的明白得，熟悉了自我评估的方法，找出了流程管控中的要紧缺陷和改进重点；通过自评测试，进一步明确了改进目标，提出了有针对性的改进打算和方案。2006年以来，神华每年都通过风险辨识、评估和高管层访谈、确认，分析出面临的重大风险，制定相应的风险治理策略和风险解决方案。神华形成了年初进行风险评估，年中风险监控，年末进行

31、内控自我评判和缺陷改进的工作机制。同时，依照日常和专项检查监督、内部操纵自我评判工作的结果和相关信息，如内部操纵组织结构的设置情形、制度建设情形、董事会内部操纵职责的完成情形等，编制内部操纵检查监督工作报告，评判公司内部操纵的建立和实施情形。在此基础上，形成年度内部操纵自我评估报告，并在年报中披露。然而张克慧强调，内控建设工作是一项长期而艰巨的任务，必须有重点、分时期地连续改进和完善。分子公司不搞一刀切难能可贵的是，神华对分子公司不搞一刀切。分子公司是否设置风险操纵部，以及风险治理打算和规划都依照集团的要求结合自身治理现状和需要推进各项工作。目前差不多形成一批有带动力的公司，煤炭生产板块的神东煤炭、运输板块的天津煤码头、电力板块的国华电力差不多走在了前面，公司总部对内部操纵及风险操尽情形除了各分子公司自我评判以外，2020年全部进行了检查评判。盯紧业务风险在煤炭行业所处的国内外经营环境大幅波动之际，中国神华从国内国际两个方面及时评估风险，并主动调整风险管控的重点。第一，加强成本上升风险的管控。一是大力压缩三项费用，治理费用支出在2020年年度预算基础上压缩5%，招待费用缩减10%；二是充分估量可能的不利因素，对20