這場“中長跑”必不可少

內(nèi)控體系建設已成為企業(yè)核心競爭力

    □ 本報記者  劉 霞

    在近日舉行的“中國企業(yè)全面風險管理高層論壇”上，來自財政部、國資委和審計署的相關(guān)負責人紛紛表示，在當前經(jīng)濟形勢下，中國企業(yè)應防范多種風險，加強內(nèi)控體系建設。

    專家指出，企業(yè)內(nèi)部控制已經(jīng)越來越受到企業(yè)管理者的重視，并逐漸成為企業(yè)的核心競爭力。企業(yè)推進內(nèi)部控制體系建設是一場“中長跑”，要分階段一步一步往前走。

    奢侈品還是必需品

    時至今日，發(fā)生在幾年前的兩件事讓整個石油行業(yè)“談虎色變”。

    2003年12月23日，重慶開縣川東鉆探公司發(fā)生井噴特大事故，事故奪走243人的生命。

    2004年12月1日，曾被譽為中國企業(yè)“走出去戰(zhàn)略棋盤上的過河尖兵”的中國航油(新加坡)股份有限公司發(fā)布消息：公司因石油衍生產(chǎn)品交易，總計虧損5.5億美元。一顆冉冉升起的新星就這樣黯然隕落。

    “在后來對事情的進一步剖析中，發(fā)現(xiàn)內(nèi)控體系建設和執(zhí)行控制的缺失才是最大的誘因�！北本┱�略鈞策企業(yè)管理咨詢有限公司合伙人崔自力介紹，這樣兩件看起來風馬牛不相及的事情，卻在撩動更多企業(yè)管理者的神經(jīng)，促使他們深入思考：企業(yè)的內(nèi)控體系究竟會怎樣影響著企業(yè)的生存和發(fā)展。

    “如果說企業(yè)戰(zhàn)略可以保障企業(yè)有正確的發(fā)展方向，那么內(nèi)部控制則可以保障企業(yè)在前行的道路上不摔跟頭�！睂＜曳Q，隨著市場經(jīng)濟各項建設漸趨完備，新的游戲規(guī)則正在確立，其中最為重要的一點便是對企業(yè)風險與內(nèi)控的要求在逐步加強，而企業(yè)市場競爭環(huán)境的日益復雜化，客觀上也要求企業(yè)及其決策者能夠關(guān)注風險管理。

    那么，內(nèi)控體系建設究竟會成為企業(yè)管理的奢侈品還是必需品呢？

    “企業(yè)走得慢一些會面臨被競爭對手超越，但是如果不關(guān)注風險控制則可能面臨生存的問題。內(nèi)部控制體系建設正在從過去的可有可無變成現(xiàn)在的不得不建。”專家如是說。

    內(nèi)控建設5大問題

    “盡管是必需，但一些企業(yè)在內(nèi)控建設方面的意識和積累還很薄弱，具體到推進企業(yè)內(nèi)部控制的時候，往往會非常困惑�！睂＜医榻B，當前有的企業(yè)對風險管理和內(nèi)部控制的認識還比較淺顯，要么理解成財務控制，要么理解成審計手段，一些企業(yè)都是在經(jīng)營風險暴露之后才開始關(guān)注到這個問題。

    據(jù)介紹，一些企業(yè)的風險管理存在5個方面的問題。

    一是風險管理意識薄弱。由于管理者風險管理意識淡薄，片面追求發(fā)展速度，制定不切實際的目標或盲目擴展投資，使企業(yè)承受無謂的風險。

    二是企業(yè)治理結(jié)構(gòu)存在缺陷。因為企業(yè)治理結(jié)構(gòu)不規(guī)范，不能有效制衡管理層的強大權(quán)力，董事會沒有或者不能負起監(jiān)督管理層的責任。

    三是管控模式不合理。企業(yè)管控模式不合理，便無法有效控制企業(yè)風險。組織結(jié)構(gòu)設計不合理，便不能建立有效的內(nèi)控和相互制衡的機制。

    四是風險管理組織不健全。缺乏包含決策、管理和具體執(zhí)行層在內(nèi)的完整的風險管理組織。內(nèi)部審計限于財務報表審計和經(jīng)濟責任審計，缺乏對風險管理情況的檢查和監(jiān)督。

    五是風險管理體制不健全。缺乏系統(tǒng)的成套風險管理體制來識別影響企業(yè)達標的風險，進行監(jiān)控及管理。沒有將風險管理的手段和內(nèi)控程序融入到管理與業(yè)務的制度與流程中。

    推進內(nèi)控4個環(huán)節(jié)

    “中國企業(yè)推進內(nèi)部控制體系建設是一場‘中長跑’，明確內(nèi)控體系是保障公司整體運行績效的重要環(huán)節(jié)。”專家說。

    據(jù)介紹，企業(yè)推進內(nèi)部控制要分4個階段進行。

    第一個階段就是對企業(yè)的戰(zhàn)略進行識別。據(jù)介紹，當前中國企業(yè)大多數(shù)都還沒有建立起內(nèi)部控制體系，通過對企業(yè)戰(zhàn)略的梳理，包括集團管控、業(yè)務特點以及業(yè)務環(huán)境等的識別，可以明確企業(yè)戰(zhàn)略對內(nèi)部控制體系建設的要求是什么。根據(jù)企業(yè)的戰(zhàn)略，了解企業(yè)內(nèi)部控制的特點，風險集中體現(xiàn)在哪些區(qū)域。然后進行針對性地規(guī)劃，確定內(nèi)部控制體系建設的重心。

    第二個階段是在企業(yè)戰(zhàn)略目標的指導下，圍繞內(nèi)部控制的控制環(huán)境建設、風險識別、控制活動、信息與溝通、監(jiān)督5個方面的具體要求，設計公司級的內(nèi)部控制。

    第三個階段是流程級和IT級內(nèi)部控制體系的建設，這是內(nèi)部控制的重點和難點。把通過戰(zhàn)略梳理確定的關(guān)鍵風險區(qū)域歸結(jié)成流程地圖，對現(xiàn)有的流程進行描述，并找到這些流程中的風險點、現(xiàn)有的控制措施以及控制的缺失，從而制定內(nèi)部控制措施、風險控制目標等。通過流程級和IT級內(nèi)部控制體系的建設，要形成企業(yè)的風險控制矩陣，系統(tǒng)性地發(fā)現(xiàn)風險并制定相應的控制措施。

    “前3個階段主要針對公司內(nèi)部控制的設計缺陷，比如公司沒有戰(zhàn)略、缺失流程、流程不合適存在風險。但是一些企業(yè)所面臨的風險不是由于設計缺陷造成的。它有制度、有流程，只是沒有去嚴格地執(zhí)行。所以需要進行第4個階段�！睂＜医榻B，第4階段有兩項工作，一是要生成一套內(nèi)部控制的體系文件，包括控制環(huán)境等多個子模塊，并在此基礎上形成一個持續(xù)優(yōu)化的機制。二是對公司級內(nèi)控、流程級內(nèi)控以及IT級內(nèi)控進行跟單測試，通過測試發(fā)現(xiàn)運行缺陷，并針對內(nèi)控建設的基本要求提出整改意見�！吨袊�質(zhì)量報》