易倍体育,易倍,体育,EMC,官方,官网,平台
开云APP 开云官网入口开云APP 开云官网入口内部控制是在一定环境下,单位为了提高经营效率,充分有效地获得和使用各种资源,达到既定管理目标,而在组织内部实施的各种制约和调节的组织、计划、程序和方法。内部控制的目标与企业的经营发展战略是一致的,过去狭义的理解就是为了防止舞弊、保障企业资产安全,会计的监督控制、不兼容岗位的分离与相互牵制都是内控的一部分。经过几十年的发展,现在的内部控制含义更加丰富,比如规范流程促进企业经营效率的提高,监督各部门运营,防范企业风险,以及保证企业合法合规经营等等。通过这一系列举措,保障企业管理顺畅,生产经营安全合规,从而提高效率,促进企业目标的实现是内部控制的作用,可以说每一个企业都有内部控制,它贯穿于企业经营活动的各个方面,但有的企业管理得好,控制有效;有的企业管理存在薄弱点,控制难度大。不能说内控的失效企业一定会经营失败,但有效的内控机制在降低内外部经营风险,保障企业资产安全方面能够起到决定性的作用。
内部控制有五大要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。其中内部环境是控制的基础,风险评估与控制活动是重要的环节和手段,信息与沟通是必要的条件,内部监督是不可缺少的重要保证。下面我将着重对这五大要素一一进行解读。
内部环境是内部控制的基础,它包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化和法律环境等。
我国上市公司的治理结构和机构设置都是按公司法来的,基本都一样。股东大会是公司最高机构,董事会是内控管理的核心,监事会对董事会进行监督,管理层是内控的执行者。法规设计的不同层级机构掌握不同的权力和责任,相互控制的设想很好,但现实中如果不出现特别重大的事件(比如公司退市,重大并购之类),股东大会基本上是不召开的,因为董事会里的董事们代表股东议事,有什么问题或矛盾在董事会上已经反映过了。虽然监事会对董事会行使监督权,但监事们要么是股东代表,要么是企业员工,前者的权力主要在董事会中行使,后者代表了管理层的意识,很难说监事会能真正发挥多大的职能。所以上市公司治理结构的核心是董事会和管理层,一旦董事会和管理层都被一方所控制,就会给内控留下隐患(这些年上市公司大股东侵占小股东利益的事件频发,很能说明这方面的问题)。
这里的内部审计不仅要求企业设置独立的审计部门,还规定了内审工作的范围:在经营层面要起到查错防弊的职能;在管理方面要提供有建设性的意见,为企业改善经营管理服务;要对内部控制体系进行检查,发现内部控制的缺陷并提出改进意见。
再好的制度也要靠人来执行,所以良好的人力资源政策对企业的持续发展至关重要。人力资源政策的内容归纳起来不过以下几个方面:人员的聘用与辞退;员工的薪酬与考核;员工岗位的调整与轮换等等,一般企业会设计适合自身发展需要的人力资源政策,但能否很好地贯彻与执行就很难说了,这里要强调很多企业都会忽略的一条:关键岗位员工的强制休假制度。有些关键岗位很难找到合适的人进行轮岗,但一个人长期在关键岗位工作又容易出现问题,这时可以考虑推行强制休假制度,这里的强制休假主要不是为了给员工发福利,而是执行内控的需要。
一说到企业文化就会给人以假大空的印象,实际上只要是企业就会有企业文化,它代表了企业的个性和行为方式。人的性格有好有坏,企业文化也是一样,积极向上的企业文化有利于员工树立现代企业管理理念,强化风险意识。有经营风险就会有法律风险,企业应当对员工加强法制教育,培养法制观念,防范法律风险。
所谓风险评估,是要求企业准确识别并控制与目标相关的内部风险和外部风险,并确定企业的风险承受能力。
内部控制与风险管理密不可分。风险管理是内部控制的核心,也是内部控制的目标,内部控制是管理风险的一种手段。因此在理解内部控制之前,首先要弄清楚企业有哪些风险,哪些是可以通过内部控制防范的,哪些是通过其他手段防范的。
风险分类的方式有很多,跟内部控制联系在一起,可以把风险分为两大类:可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。
从这里也可以看到,企业全面风险管理讲的是针对所有风险的管理,而内部控制讲的是针对可控风险的管理,这是内部控制与风险管理的区别和联系。
广义的风险是中性的概念,它既有可能给企业带来损失,也有可能给企业带来收益。因此,企业采取内部控制措施的时候,还需要把可控风险再进一步分类。
有的风险发生后,只能带来损失,因此这类风险就称之为“危害性风险”,比如煤矿坍塌、等。对于这类风险,内部控制的目标就是“尽最大努力杜绝风险”,彻底消除这类风险。因此这类内部控制的方案、手段比较复杂,成本很高。
有时候,企业在做内部控制方案的时候,会考虑成本与收益的问题。比如某类风险发生后带来的损失很少,但是采取控制措施的成本很高,可能企业觉得不划算,干脆就任由风险发生。
我的观点是,千里之堤毁于蚁穴,企业的风险都不是孤立的,尽管某个风险表面上带来的损失很小,但是这个风险很有可能关联到其他方面,这种潜在的影响有时候是无法估量的,或者说在当时是无法预料的。因此,既然已经看到了风险,就必须想办法控制,不留任何隐患。
还有的风险既有可能带来收益,也有可能带来损失,比如企业研发某项技术,研发成功就能带来巨大收益,研发失败就会导致前期投入打水漂。再比如企业营销广告,打广告有可能带来业绩增长,也有可能没有效果。这类风险就是“不确定性的风险”。
还有一类风险,叫做“投机性风险”,它的特点就是企业主动去承受一定风险,获取一定的收益,比如企业做一些项目。这也属于不确定性的风险,不过它对企业来说更有诱惑,被高收益所诱惑。
风险与收益是恋生兄弟,高风险高收益。对于不确定性的风险,内部控制的目标就是“积极管理”,使之往好的方向发展。
明白了内部控制与风险的关系及内部控制的目标,就要采取一些措施去实现目标。说到内部控制的实施,书上讲了“五要素”,特别经典的说法。这里无可厚非,五要素已经非常全面的把内部控制的流程概括好了(我一般是对管理学教材的观点进行批判的,但是这里没得黑,五要素确实是全面)。
其实,按照五要素的要求,中规中矩的做风险管理,没错。在面对风险的时候,保持一颗敬畏的心,还是非常有必要的。根据我的理解,简单介绍一下五要素如何去实施。
不管做什么事,一个有利的环境是必须的。内控的核心是制衡,就叫做令行禁止吧。古代行军打仗之前,都会颁布几项纪律。我们有三大纪律八项注意。这就是塑造一种氛围,让大家听话,这样以后再下达什么命令就容易执行了。如果一开始就一盘散沙,后面就控制不了局面了。
内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明确自己的职责,权力恰当分配,一切行动听指挥。
包括识别风险、评估风险的影响、采用哪种应对方案。同时企业应该针对某项风险设置一个可承受度。为什么呢,因为上面提到过,风险与收益平衡,一点都不想承担风险,那么收益就没有了。
就是一些具体的做法了。书上讲的很详细,此处不再赘述,可以看看书。这里要考虑上面提到过的一个原则:衡量控制措施的成本与防范风险带来的收益。控制措施可能有多种,当然是选择成本最小的那种,但是不能因为收益太小而不去控制。
我觉得这一条用处最大的就是反舞弊。有些舞弊行为,有可能是几个人串通,做出一套完整的流程,外部的人根本发现不了。因此设立举报或投诉的机制,把这些隐蔽的舞弊行为挖掘出来。其实很多大案要案,不是外部检查出来的,而是内部举报的。
就是看看内部控制措施有没有执行,执行的如何等等。监督,贵在独立和长效。独立不多说了。长效的意思是,建立长效机制,就是说这种监督不是一时的,而是持续的,不搞定期检查。
“什么是内控呢。内控就是审批和职责分离。举个栗子,你想放屁,那么你要填个《放屁申请单》给部门领导-分管副总-老总批完了才能放,这就叫内控(事前控制)。《放屁申请单》就是内控痕迹的一种。放屁的时候如果有人在场监督,同时拿个扇子及时把屁吹散,就更好了,这叫事中控制。放完屁之后最好还要填个《放屁执行情况表》,放屁的人和监督的人一起签字确认每隔一段时间由领导复核一下,这叫事后控制。如果不申请随便放,那万一造成火灾或者把别人熏死了,后果很严重,这就是风险。因此内控是风险管理的一种实现形式。什么是职责分离(SoD)呢,就是负责抽烟的和负责放屁的不能是同一人,抽烟和放屁是不相容职责,不然不小心把自己的屁点着了就SB了。”
内部控制,通俗点讲,就是企业自己制定一系列规章制度,并执行,以便防患于未然。从最基本的按照不相容职位分离原则,设立不同的审批权限,到建立内审制度,内部举报机制,为的就是降低企业内部由于资历不够或者道德问题产生的风险。
我曾经也参与过内部控制的审计,根据404的要求,会计师会重点对被审单位的内审制度,各级员工资历,各循环的流程控制,ERP系统的运行有效性等进行大量的穿行测试,观察及访谈。
简言之,内控,就是分权分级,相互制衡,上下监督,定期报告,及时更正的一套企业维持自身运转,保证财报公允真实的一套体系。管理层对自身的内控设置合理性和运行有效性负责。
高级- 内部控制需要回答 “企业如何可以让好事情自然而然地发生?”